ANÁLISIS DEL CASO CONTROL INTERNO EN AUDITORÍA DE SISTEMAS

PRESENTA
CIRLEY LIZETH LIBERATO ID 385167

Corporación Universitaria Minuto de Dios

Contaduría Pública VIII Semestre
NEIVA-HUILA
2020
 ANÁLISIS DEL CASO CONTROL INTERNO EN AUDITORÍA DE SISTEMAS

Teniendo en cuenta la información suministrada por el representante legal la

empresa posee un alto riesgo de amenazas y vulnerabilidad frente al uso de los
sistemas informáticos pues si bien hoy en día la tecnología ha logrado grandes aportes
a la empresa también es cierto que es necesarios asumir varios tipos de seguridad y
prevención frente al mal uso ya sea por equivocación o mal intencionado de los mismos
empelados. Ya que esto puede ocasionar desde el error más insignificante como hasta
la pérdida del patrimonio.

1. Identificando los riesgos a los que se encuentra expuesta la empresa en

su sistema informático, encontramos:

a) Los riesgos del control interno específicamente:

 Los equipos de cómputo están expuesto al sol y salpicaduras de lluvia
 Residuos de Alimentos en los teclados
 No están protegidos con un usuario ni clave
 No hay copia de seguridad desde hace 4 años
 Libre acceso a las diferentes redes sociales en horas laborales
 Varios usuarios y clave para acceder al software contable
 La contadora y asistente comparten la misma clave y el mismo usuario
 La red de internet implementada no es la más adecuada

b) Los riesgos de ingreso a los sistemas informáticos y autenticación

 Virus informáticos o código malicioso
 Uso no autorizado de Sistemas Informáticos
 Robo de Información
 Fraudes basados en el uso de computadores
 Suplantación de identidad
 Ataques de Fuerza Bruta
 Alteración de la Información
 Divulgación de Información
 Sabotaje, vandalismo
 Espionaje

c) Los riesgos a los que la información se expone por la manipulación de

un usuario.
 Divulgación indebida de información sensible o confidencial, de forma
accidental o bien, sin autorización.
  Modificación sin autorización o bien, de forma accidental, de
información crítica, sin conocimiento de los propietarios.
 Pérdida de información importante sin posibilidad de recuperarla.
 No tener acceso o disponibilidad de la información cuando sea
necesaria

d) Los riesgos que puede surgir de la impresión, reimpresión y extracción

de bases de datos de un sistema informático.
 Gastos innecesarios en reimpresiones
 No contribuir a medio ambiente por el gasto inoficioso de papel
 Documentos que se quedan en la salida de la impresora hay que
tener en cuenta que estos documentos pueden ser confidenciales o
tener información privada de la empresa o los mismos clientes
 Ataque procedente del exterior de la empresa
 Usuarios y acceso no autorizado (sustracción de todo tipo de
documentos)
 Intercepción de datos que se envían (impresiones por wifi ataque y
robos de información)
 Modificar por parte de los usuarios los parámetros de seguridad de las
impresoras (impresiones falsificadas)

2. Clasifique los riesgos en los siguientes procesos:

 entrada a los sistemas informáticos,
 procesos a los sistemas informáticos
 salida de información de los sistemas informáticos.

2. Después del análisis hecho, elabore una propuesta que contenga los
procedimientos de control interno que implantaría para mejorar la situación de
seguridad en la empresa en cada uno de los riesgos identificado.
 PLAN DE PROPUESTA PARA LOS RIESGOS INFORMÁTICOS IDENTIFICADOS

Una vez conocido el área auditada o sistema de información en la fase de

conocimiento, se pueden evidenciar las vulnerabilidades y amenazas de manera
preliminar que pueden ser las fuentes de riesgos potenciales
Como primera medida se deben establecer políticas de seguridad dentro de la empresa
que permitan proteger la información, garantizar su confidencialidad y reglamentar su
uso y el del sistema por el cual se accede a la misma, Mitigar el riesgo de pérdida,
deterioro o acceso no autorizado. Además de la información, en las políticas de
seguridad informática se incluyen elementos como el hardware, el software y los
empleados; se identifican posibles vulnerabilidades y amenazas externas e internas; y
se establecen medidas de protección y planes de acción ante una falla o un ataque.
También Capacitar al personal para el cumplimiento de procesos y actividades de
seguridad de la información.

LOS RIESGOS DEL CONTROL INTERNO ESPECÍFICAMENTE

RIESGO EFECTOS PROPUESTA

Reubicar los equipos de

cómputo que no tenga
exposición directa a
líquidos, salpicaduras, o
Corrosión ambientes con excesiva
Los equipos de cómputo
Resistencia eléctrica o la humedad. Asimismo, se
están expuesto al sol y
conductividad térmica recomienda los cambios
salpicaduras de lluvia
Cortocircuitos bruscos de temperatura y
esperar a que los sistemas
se aclimaten antes de
encenderlos de nuevo
(portátiles)

Se recomienda hacer la
limpieza del equipo con
Los mandos no responden
pañuelos, cepillos y sobre
Las teclas se pegan
Residuos de Alimentos en todo prohibir el consumo
Atraer plaga (hormigas,
los teclados de alimentos y líquidos
cucarachas que dañas
sobre los equipos, destinar
las plaqueta y cableado)
un área de alimentación en
horas específicas.
 Sustracción de información
confidencial
No están protegidos con  Cualquier empelado
un usuario ni clave puede usarlo y realiza
modificaciones
 Descargar virus
 Perdida de archivos ya
sean eliminados por
No hay copia de seguridad
error y provocado
desde hace 4 años
 Perdida de información
por catástrofe
Se recomienda que en
cada puestos de trabajo
del área administrativa
tenga un usuario y clave de
acceso para el uso de su
computadora
 Se pueden hacer
respaldos físicos (que
deben ser cambiados
cada cierto tiempo), en
la nube o una
combinación de ambas.
Preferiblemente que se
cuente con una
alternativa que se haga
de manera automática y
periódica.
 encriptar los backups
con una contraseña, en
caso de que quiera
cuidar información
confidencial.

LOS RIESGOS DE INGRESO A LOS SISTEMAS INFORMÁTICOS Y

AUTENTICACIÓN
RIESGO EFECTOS PROPUESTA
sabotaje informático (suprimir o
Uso no
modificar sin autorización  Usuario y contraseña
autorizado de
funciones o datos de  Asignación de una dirección
Sistemas
computadora con intención de IP privada.
Informáticos
obstaculizar el funcionamiento
  Utilización de un firewall para
restringir la transmisión.
normal del sistema)  Especificación de la
Fraude informático que supone comunicación cifrada TLS.
el cambio de datos o  Configuración de un PIN
informaciones contenidas en para gestionar información
Robo de almacenada en la impresora.
la computadora en cualquier
Información fase de su procesamiento o  actualizados los programas
antivirus y firewall
tratamiento informático, en el
que media ánimo de lucro y  personal capacitado en
conocer e  identificar
genera perjuicio a terceros.
amenazas que hayan sido
 spionaje informático o fuga de
enviadas por email
datos que consiste en obtener
no autorizadamente datos
almacenados en un fichero
Fraudes automatizado, en virtud de lo
basados en el cual se produce la violación
uso de de la reserva o secreto de
computadores información de un sistema de
tratamiento automatizado de
la misma
Suplantación de
identidad

 Instalación de malwares a
 Se recomienda instalar
través de descarga de
un antivirus en los
aplicaciones
dispositivos móviles.
 Ataque a los celulares por
Uso de  evitar páginas y
medio de ‘ransomware’, una
dispositivos aplicaciones con
técnica con la que los
móviles contenido no seguro
atacantes secuestran la
 y hacer copias de
información del dispositivo a
seguridad de forma
cambio de una recompensa
periódica.
económica.

LOS RIESGOS A LOS QUE LA INFORMACIÓN SE EXPONE POR LA

MANIPULACIÓN DE UN USUARIO.
RIESGO EFECTOS PROPUESTA
Divulgación indebida de  incumplimiento de  establecer normas para
información sensible o confidencialidad e la transición de IPv4 a
confidencial, de forma
accidental o bien, sin integridad de la IPv6 debido a que
autorización. información todos los equipos
Modificación sin  Ausencia de informáticos de la
autorización o bien, de transferencia de entidad soportan la
forma accidental, de conocimiento y falta de nueva versión de IP
información crítica, sin capacitación  Invertir en un software o
conocimiento de los  Acciones no sistema de información
propietarios. adecuadas en el para el almacenamiento
Pérdida de información tratamiento de los y consulta de la
importante sin posibilidad activos de información documentación física
de recuperarla. e informáticos existente
No tener acceso o
 Daño de documentos y  Adquisición de una
disponibilidad de la
deterioro del papel. nube para
información cuando sea
 No existen transición almacenamiento de
necesaria
de protocolo de IP información.
 Crear cuentas de
usuario con claves