ACTIVIDAD 4

IDENTIFICACION Y VALORACION DE RIESGOS

ELABORACION DE PAPELES DE TRABAJO

ESTUDIANTES

JOSSIE STEVEN SUAREZ NARVAEZ ID 641985

CRISTIAN CAMILO ZULETA GUEVARA ID 571862

GRUPO 8

TUTOR:

FLORO ANTONIO LOPEZ WINTACA

AUDITORIA DE SISTEMAS

NRC 885

CORPORACION UNIVERSITARIA MINUTO DE DIOS UNIMINUTO

VILLAVICENCIO – META
CONTADURIA PÚBLICA
2021-I
 CONTADURÍA PÚBLICA
Auditoría de sistemas
Unidad 4
EMPRESA A AUDITAR

INTRODUCCIÓN

El informe contiene los resultados de una auditoría realizada por los Contadores Públicos Jossie Steven
Suarez y Cristian Camilo Zuleta, con ayuda de la Contraloría de Villavicencio, Empresa auditar
ASOASEO con un enfoque integral utilizando los estándares legales, el análisis y el conocimiento como
herramientas, partiendo de diferentes ejes temáticos, brinda un concepto integral para la gestión del
Instituto en 2021.

Esta auditoría se desarrolló con un énfasis especial en el cumplimiento de la función que le corresponde a
las empresas de servicio público de aseo y a los resultados que de ella se derivan en procura de un mejor
bienestar de la población de su área de Influencia.

En busca de éste objetivo, se realizó un trabajo que contó con un contador público especializado en
auditorías internas, la colaboración del funcionario de la entidad y la información por ellos suministrada.

El presente informe se inicia describiendo los hechos relevantes del contexto que enmarcan el proceso
auditor. Acto seguido se describe la metodología utilizada para entrar a la narración de los principales
resultados obtenidos durante la auditoria.

Finalmente, y de manera sintetizada, como anexo se presenta el dictamen integral preliminar que califica
la gestión de la entidad, determina el fenecimiento de las cuentas revisadas así como la consolidación de
los presuntos hallazgos y fallos sistemáticos.
2. METODOLOGÍA

El propósito fundamental de esta auditoría es determinar si la administración del ASOASEO, con Nit.
1121929782-2, No ha contado con un Direccionamiento claro y visible que le permita tener operaciones
administrativas y asistenciales eficientes y efectivas a fin de cumplir con su Misión a través de la prestación
de los servicios.

La evaluación se llevó a cabo de acuerdo con normas de auditoría, compatibles con las normas
internacionales de auditoría y procedimientos de auditoria con enfoque integral prescritos por la Contraloría
Departamental del Villavicencio - Meta, consecuentes con las de general aceptación; por lo tanto, requirió
acorde con ellas, de planeación y ejecución del trabajo de manera que el examen proporcione una base
razonable para fundamentar los Conceptos y la opinión expresada en el informe integral.

La auditoría incluyó el examen, sobre la base de pruebas selectivas, de las evidencias y documentos que
soportan la gestión de la entidad, las cifras y presentación de los Estados Contables consolidados y el
cumplimiento de las disposiciones legales, así como la adecuada implementación y funcionamiento del
sistema de control interno y el cumplimiento del plan de mejoramiento; los estudios y análisis se encuentran
debidamente documentados en papeles de trabajo,

El trabajo se realizó con un equipo multidisciplinario conformado por cuatro (3) profesionales en las áreas
de: Sistemas y contaduría, a través del análisis documental, entrevistas, encuestas, revisión de software y
vulnerabilidades de la empresa.
3. GESTIÓN
DIRECCIONAMIENTO GENERAL Y CONTROL

 Planeación
La auditoría procedió a establecer la existencia y cumplimiento de políticas planes y programas de acuerdo
a sus objetivos y metas que deberían estar plasmadas en el plan estratégico de la entidad, concordante con
el plan de acción el cual no fue presentado a esta comisión, por lo tanto se concluye que sin este elemento
la empresa de aseo no ha tenido planeación desde la creación de la misma.

 Direccionamiento Estratégico

La entidad ha tenido en las vigencias auditadas cinco Gerentes que han dirigido la misma sin que se
evidencie documentalmente la conducción de actores locales, regionales o nacionales en pro de una
articulación de las políticas propias de la entidad.

No cuentan con Identificación y valoración de riesgos, elaboración de papeles de trabajo.

Para la evaluación de riesgos de seguridad en el sistema informático de una compañía, se realizó
una inspección, en la cual se detectaron las siguientes situaciones:
1. La compañía hace copias de seguridad a diario de su sistema contable; sin embargo, estas
copias reposan en el mismo servidor, nunca se ha hecho una extracción de información.

2. Nunca se ha hecho una copia de seguridad de los archivos ofimáticos, todos los usuarios
de los equipos tienen privilegios de administrador en sus computadores.

3. La navegación en internet es libre, no existe restricción alguna en páginas o contenidos,

igualmente pueden descargar archivos sin restricción alguna.

4. En la inspección se detecta que el 80% de los equipos verificados tienen archivos en el

escritorio del computador.

5. Transportan los archivos en USB.

6. Una vez al año se les realizan a los computadores mantenimientos preventivos y se tiene
un contrato de prestación de servicios con un profesional que también atiende los
mantenimientos correctivos.

7. Se establece que los trabajadores tienen acceso a los correos electrónicos de la empresa
y a los archivos compartidos incluso fuera de la organización.
 1. Con la información recolectada en sus papeles de trabajo se solicita identificar los riesgos
y valorarlos de acuerdo con el siguiente modelo.
1121929
NOMBRE DE LA EMPRESA ASOASEO S.AS NIT 782
SISTE
CICLO MAS DV
EJECU
MATRIZ DE IMPACTOS CIÓN

MODERAD
RIESGOS BAJO O
ALTO

Perdida de información X
Escape de información confidencial X
Daño en el sistema operativos del equipo X
Sistema de transporte de archivos X
Fácil disponibilidad de la información en el sistema a sus empleados X
Perdida de correos electrónicos pertenecientes a la empresa X
Una vez al año se les realizan a los computadores
Mantenimientos preventivos. X
Transportan los archivos en USB. X
Nunca se ha hecho una copia de seguridad de los
archivos ofimáticos X
Las copias de seguridad reposan en el mismo servidor, nunca se ha
hecho una extracción de información. X
La navegación en internet es libre, no existe restricción X
alguna en páginas o contenidos
 2. Con los riesgos identificados, diligencie el Cuestionario de auditoría que encuentra a continuación,
diseñe los cuestionamientos y marque la respuesta afirmativa o negativa, según cada uno de los
hallazgos; si es necesario, registre también las observaciones.

NOMBRE DE LA EMPRESA
ASOASEO SAS NIT 0
SISTEM
CICLO AUDITADO SISTEMAS AS DV
PROCESO-POLÍTICAS DE EJECU
SEGURIDAD CIÓN

CUMPL NO
PREGUNTAS, CONFIRMACIONES Y
E CUMPLE OBSERVACIONES
CUESTIONAMIENTOS
SÍ NO
Restricciones en navegación por
X No hay ningún tipo de restricción.
internet.
Acceso a los correos electrónicos Los trabajadores deben hacer uso
corporativos solo en la empresa y en las X exclusivo de los correos solo para
horas de labor. temas laborales.
Limitas el número de empleados que
tienen privilegios de administrador en la X
infraestructura de la empresa
Los empleados Saben reconocer un e-
X
mail sospechoso
Están tus sitios web protegidos X
Cuentas con las soluciones de
X
seguridad adecuadas
Hacen revisión frecuentemente a los
X
servidores de almacenamiento
Manejan un adecuado sistema de
almacenamiento de información con X
copias de seguridad
A la hora de encender el equipo existe
X
desorden información en el escritorio
Hay riesgo de que cuando el servidor
Realizas periódicamente una copia de X falle, no exista otra copia de
seguridad de tus datos seguridad.
Los archivos permanecen en un lugar
X
seguro.
Este papel debe ser con privilegios de
Pides a tus empleados que cambien de X un solo administrador quien maneje el
contraseña con regularidad soporte técnico.
Es importante la seguridad contra el
riesgo de un virus. Este problema
X
Los equipos informáticos cuentan con puede hacer dañar el archivo o
protección de fiare-Wall información de la empresa.
X Puede haber pérdida de los correos,
Los usuarios tienen acceso a los correos ya que los usuarios tienen la facilidad
de la empresa del acceder libremente.
ANÁLISIS DEL CASO CONTROL INTERNO EN AUDITORÍA DE SISTEMAS

Se reúne la Información proporcionada por el representante legal, y se observa que la empresa

se enfrenta a unos altos índices de ataques informáticos y amenazas, ya que aunque la tecnología
actual ha hecho un gran aporte a la empresa, tiene que asumir algunas responsabilidades.
Los tipos de amenazas de la seguridad informática que presente la empresa.

 Ataques y explotación dirigidos.

 Robo interno de archivos y base de datos.
 Navegación imprudente por parte de los empleados.
 Phishing.
 Uso de teléfonos inteligentes, tabletas y otros dispositivos.
 Uso imprudente de Wiffi

CONTROL INTERNO
 Para entender la importancia del control interno de la empresa, conviene empezar por entender el
propósito del control interno, que tiene como objetivo resguardar los recursos de la empresa o
negocio evitando pérdidas por fraude o negligencia, como así también detectar las desviaciones
que se presenten en la empresa y que puedan afectar al cumplimiento de los objetivos de la
organización.

 Desarrollar un Control Interno adecuado a cada tipo de organización nos permitirá optimizar la
utilización de recursos con calidad para alcanzar una adecuada gestión financiera y administrativa,
logrando mejores niveles de productividad.

 Un sistema de control interno adecuado, va a permitir aportar seguridad de manera razonable

respecto de los siguientes contextos de una organización:

 La efectividad y eficiencia de diversas operaciones.

 La confiabilidad de la información que se esté auditando.

 El cumplimiento de la legislación y las regulaciones aplicables que afecten a las operaciones de la

organización a la que pertenezcamos.

 La mejor ejecución de auditorías de control externo.

 De cara a la ejecución de auditorías externas es necesario que el auditor deposite confianza en los
controles que realiza la empresa.
 LOS RIESGOS DE INGRESO A LOS SISTEMAS INFORMÁTICOS Y
AUTENTICACIÓN DE LA EMPRESA
RIESGO EFECTOS PROPUESTA
Uso no  sabotaje informático (suprimir  Usuario y contraseña
autorizado de o modificar sin autorización  Asignación de una dirección
Sistemas funciones o datos de IP privada.
Informáticos computadora con intención de  Utilización de un firewall para
obstaculizar el funcionamiento restringir la transmisión.
Robo de normal del sistema)  Especificación de la
Información  Fraude informático que comunicación cifrada TLS.
supone el cambio de datos o  Configuración de un PIN para
informaciones contenidas en la gestionar información
computadora en cualquier fase almacenada en la impresora.
de su procesamiento o  actualizados los programas
tratamiento informático, en el antivirus y firewall
que media ánimo de lucro y  personal capacitado en
genera perjuicio a terceros. conocer e identificar
amenazas que hayan sido
 espionaje informático o fuga
enviadas por email
de datos que consiste en
obtener no autorizadamente
Fraudes
datos almacenados en un
basados en el
fichero automatizado, en virtud
uso de
de lo cual se produce la
computadores
violación de la reserva o
secreto de información de un
sistema de tratamiento
automatizado de la misma

Uso de  Instalación de malware a  Se recomienda instalar

dispositivos través de descarga de un antivirus en los
móviles aplicaciones dispositivos móviles.
 Ataque a los celulares por  evitar páginas y
medio de ‘ransomware’, una aplicaciones con
técnica con la que los contenido no seguro
atacantes secuestran la
información del dispositivo a
 cambio de una recompensa  y hacer copias de
económica. seguridad de forma
periódica.
Espionaje  Daño de imagen. Genera un  Ingreso de usuarios y claves
impacto negativo de la  cifrado de la
entidad y lleva implícita información confidencial
la pérdida de confianza. corporativa
 Consecuencias  instalación, configuración y
Alteración de
legales. Podrían conllevar actualización de cortafuegos
la Información sanciones económicas o mantener actualizadas todas
administrativas. las aplicaciones de nuestros
 Consecuencias sistemas, etc.
económicas. Estrechamente  Sanciones jurídicas y
relacionadas con las económicas
anteriores, se encuentran
dentro de aquellas que
Divulgación de suponen un impacto
negativo a nivel económico,
Información
con una disminución de la
inversión, negocio, etc.
Virus Instalación de virus que nos  Instala un buen antivirus en
informáticos o ralentiza el ordenador, hacernos los equipos y actualizarlo de
código perder información (o, forma permanente.
malicioso directamente, robárnosla para  No aceptar software de
ningún tipo cuyo origen se
usos ilícitos y peligrosos)
desconozca, y que solicite la
desactivación del antivirus.
 No hace clic en los pop-
ups (ventanas emergentes)
que aparecen en los
navegadores. Si el navegador
web le avisa de que una
página no es segura,
abandónela inmediatamente
DESARROLLO DE LAS AUDITORÍAS

1. Recopilación de los datos necesarios y procesamiento de los mismos.

2. Solicitud de documentación requerida.

3. Realización de las encuestas autorizadas por la Administración, entrevistas, protocolos de

observación, verificación de superficies con registro de toma de datos mediante medios objetivos
y contrastados.
4. Realizar plan de visitas y recopilación de información.
5. Análisis inicial de resultados. Presentación previa.

3.1 FINANCIAMIENTO

· ESTADOS FINANCIEROS

Balance General
Activos

Efectivo

En las cuentas corrientes se manejan recursos provenientes del cobro de servicios de

Recolección de basura, barrido y limpieza de vías y áreas públicas.

Deudores

EJEMPLO $ Millones
Municipio compra de terreno 53.700.000

Municipio Servicios Aseo 918.600.000

Alcaldía Municipal 448.000.000

Plaza de Mercado 120.000.000

Anticipos de Empleados 2,400.000

Avances 6,700.000

Depósitos entregados en garantía 116.000.000

Provisión de difícil cobro 135.000.000

Depreciación Acumulada
No se cuenta con un módulo detallado de activos fijos que permita efectuar la depreciación en forma
individual por activo así como lo establecen los principios contables de contabilidad contenidos en el
decreto 2649 de 1993, $190 millones depreciados en forma global y debe ser en forma individual.
Los bienes muebles e inmuebles de la entidad se encuentran amparados mediante pólizas de seguros.

Pasivos

No se manejan pasivos pensiónales porque no hay personal de carrera administrativa

En la planta de la entidad. Solo se manejan pasivos por prestaciones sociales.
La entidad no maneja deuda pública.

Ingresos.
Sus principales fuentes de ingresos son por la venta y recaudo de servicios de aseo a los usuarios con tarifa
residencial y a los grandes productores.

Sus principales fuente de ingresos de la Empresa de Aseo son: ingresos por venta de servicios de recolección
de basuras En el 2020 barrido y limpieza de vías y disposición
Final de residuos.

Ventas de Servicios
AÑO 2019 2.388.775.012
AÑO 2020 2.938.539.294
AÑO 2021 3.457.895.068

OTROS INGRESOS
AÑO 2019 92.058.471
AÑO 2020 266.841.048
AÑO 2021 689.600.036
PLAN PARA LOS RIESGOS INFORMÁTICOS IDENTIFICADOS
Como primera medida se deben establecer políticas de seguridad dentro de la empresa que
permitan proteger la información, garantizar su confidencialidad y reglamentar su uso y el del
sistema por el cual se accede a la misma, Mitigar el riesgo de pérdida, deterioro o acceso no
autorizado.

Además de la información, en las políticas de seguridad informática se incluyen elementos como

el hardware, el software y los empleados; se identifican posibles vulnerabilidades y amenazas
externas e internas; y se establecen medidas de protección y planes de acción ante una falla o un
LOS RIESGOS A LOS QUE LA INFORMACIÓN SE EXPONE POR LA
MANIPULACIÓN DE UN USUARIO.
RIESGO EFECTOS PROPUESTA
Divulgación indebida de  incumplimiento de  establecer normas para
información sensible o confidencialidad e la transición de IPv4 a
confidencial, de forma integridad de la IPv6 debido a que todos
accidental o bien, sin información los equipos informáticos
autorización.  Ausencia de de la entidad soportan la
Modificación sin transferencia de nueva versión de IP
autorización o bien, de conocimiento y falta de  Invertir en un software o
forma accidental, de capacitación sistema de información
información crítica, sin  Acciones no adecuadas para el almacenamiento
conocimiento de los en el tratamiento de los y consulta de la
propietarios. activos de información documentación física
Pérdida de información e informáticos existente
importante sin  Daño de documentos y  Adquisición de una
posibilidad de deterioro del papel. nube para
recuperarla.
 No tener acceso o  No existen transición de almacenamiento de
disponibilidad de la protocolo de IP información.
información cuando sea  Crear cuentas de
necesaria usuario con claves

LOS RIESGOS QUE PUEDE SURGIR DE LA IMPRESIÓN, REIMPRESIÓN Y

EXTRACCIÓN DE BASES DE DATOS DE UN SISTEMA INFORMÁTICO.
RIESGO EFECTOS PROPUESTA
Gastos innecesarios en Genera gastos de papel y
reimpresiones tinta y energía
 Concientizar a los
empleados

 Alternativas de
No contribuir a medio almacenamiento
ambiente

 Configurar la
impresora

 Reutilizar el papel

Las fases para implementar un sistema de control interno

Existen ocho fases que se deben de seguir secuencialmente para poder garantizar una correcta
implementación del control interno. Son las siguientes y pueden encontrarse detalladas en el siguiente
artículo:

 Crear una cultura del control mediante la comunicación, la motivación y la capacitación.

 Recabar información.
 Clasificar la información obtenida.
 Diagnosticar.
 Revisar los procedimientos.
 Evaluar el control interno y de gestión.
 Implementar, hacer seguimiento y ajustar.
 Evaluar indicadores y realizar más ajustes.
BIBLIOGRAFIA
https://www.escuelaeuropeaexcelencia.com/2016/04/iso-9001-pasos-para-hacer-una-auditoria-interna/
https://xperta.legis.co/visor/normativanai/normativanai_df741de615c4416897638856733decc3/normativa
-nai/anexo---ejemplos-de-informes-de-auditoria-emitidos-por-un-auditor-independiente-sobre-estados-
financieros