ACTIVIDAD No 4

CONTROL INTERNO EN AUDITORIA DE SISTEMAS

Presentado por:

LAURA RODRIGUEZ RAMIREZ ID: 642450

HERNAN ALBERTO RAMOS ZAPATA ID: 631760

HECTOR FABIO MARTINEZ ID: 642453

Docente:

ANYELO ALEJANDRO CORAL HERRERA

AUDITORIA DE SISTEMAS

CORPORACIÓN UNIVERSITARIA MINUTO DE DIOS

CONTADURÍA PÚBLICA

2021
 INTRODUCCIÓN

El control interno se puede definir como una acción para prevenir, corregir errores e
irregularidades que puedan afectar el funcionamiento de un sistema para alcanzar sus
objetivos.

Es importante realizar una planificación de la auditoría en informática y seguir una serie de

pasos preventivos que nos permitan de esta manera dimensionar las características del área
a auditar y poder identificar los aspectos que deben mejorarse o eliminarse.
 PROCEDIMIENTO DE AUDITORÍA DE SISTEMAS

HALLAZGOS RIESGOS RECOMENDACIONES

1. Se evidencia que el La empresa corre el Se recomienda la compra e

software (Sistema riesgo de vulnerabilidad instalación de software originales
operativo, paquete de de su información ya que con su respectiva licencia.
office, base de datos, terceros pueden ingresar
antivirus) instalado en a su base de datos.
los equipos de cómputo Por el uso de software
de la compañía no son ilegal en Colombia tiene
copias originales. una multa que puede
alcanzar hasta mil
salarios mínimos.

2. Se evidencia que la Al no realizar Establecer un cronograma con

compañía no tiene actividades de limpieza tiempos establecidos para el
establecido un en el equipo de cómputo, mantenimiento preventivo de los
cronograma de corre el riesgo de que equipos de cómputo (Hardware y
mantenimiento haya daños en las partes Software).
preventivo para sus sensibles del hardware
equipos de cómputo. como por ejemplo la Hacer cambio de teclados y mouse
fuente de poder, en un tiempo inferior a los 3 años
disipador de calor del y realizar dentro del
procesador, etc. Por lo mantenimiento preventivo
cual puede llevar a una chequeo de estos elementos para
pérdida de datos. verificar su correcto
El uso de teclados y funcionamiento.
mouse averiados pueden
traer problemas de salud
para los usuarios como
el síndrome del túnel
carpiano.

3. Se pudo comprobar Al no tener ningún tipo Dependiendo del cargo y de la

que todos los usuarios de control a la actividad que realice el empleado
pueden ingresar sin navegación en las en la empresa, se debe configurar
ninguna restricción a páginas web, esto desde el servidor para asignar
páginas web. conlleva que los usuarios permisos de navegación
puedan descuidar sus correspondiente.
actividades de trabajo y
consecuentemente una Capacitar a los empleados de los
disminución de sus riesgos que conlleva o que se
labores diarias. expone la compañía por la
navegación de páginas indebidas.
 Los usuarios pueden
ingresar a páginas
indebidas, que pueden
vulnerar mediante virus
el sistema operativo de
la compañía.

4. Se evidencia que los Al no contar con una Se debe instalar en la compañía

equipos de cómputo se conexión regulada se una red de energía regulada
encuentran conectados pueden producir daños mediante una UPS, la cual de
directamente a una red físicos del hardware tiempo al usuario de guardar la
eléctrica normal sin como monitores, CPU, información cuando se produzca
ningún tipo de etc., y pérdida de un fallo de energía. Además,
protección. información no gravada ayuda a prevenir picos altos de
en el momento que el corriente eléctrica.
usuario se encuentra
laborando.

Riesgo de cortocircuitos
los cuales pueden
producir incendios
dentro de la compañía.

5. Se evidenció que la Al no tener el control de Crear unas políticas y

empresa no dispone de usuarios puede pasar que procedimientos que aseguren un
políticas ni se asigne un mismo manejo seguro y controlado de las
procedimientos usuario para varias cuentas de usuario nuevas y
documentados, dirigidos personas y también que existentes, se debe involucrar a
a administrar y algún documento todas las áreas que tengan acceso a
monitorear en forma enviado no sea tramitado los sistemas de información lo
controlada y segura la a tiempo por desconocer que lo convierte en un tema a nivel
creación, inactivación y que la persona está de transversal y que asegure entre
eliminación de las vacaciones o ya no otras acciones, la calidad de la
cuentas de usuario labora en la compañía. información procesada a través de
registradas en los los sistemas de información, la
sistemas de información. completitud del registro de la
Se identificaron misma y su integridad.
funcionarios que están
retirados
definitivamente o se
encuentran en
vacaciones, que están
activos en él.

6. En la revisión del En el caso de que alguna Se debe diseñar, implementar y

proceso de copias de información se pierda no aprobar un procedimiento de
seguridad, se observó hay conocimiento de restauración de copias de
que no se cuenta con un donde se guarda o quien seguridad, con una programación
procedimiento formal tiene la custodia de ella de fechas, con el fin de validar si
para la restauración. para poder recuperarla estas copias se están generando de
rápidamente. forma correcta y asegurar la
integridad de la información
contenida en ellas.

7. Se identificó que la Al no tener un control de Cada que compre un equipo de

empresa no tiene un los equipos comprados cómputo se debe crear un archivo
control, ni historial de puede ocurrir que las en el cual se guarde la factura de él
los equipos de cómputo personas los cambien o y se debe llevar un control de
comprados en el peor de los casos se asignación de equipo a la persona
los lleven de la empresa que se le entrega en el cual se
indiquen la serie, marca y
especificaciones el cual debe ser
firmado por la persona con copia a
gestión humana para en caso de
retiro la devolución de este sea
condicionado al pago de la
liquidación.

8. Se observó que los El riesgo que se tiene al Se recomienda que al momento de

equipos de sistemas momento en que una que la empresa tenga una
encontrados no son los persona trabaja con un necesidad de contratación se haga
adecuados para realizar equipo que no es el un estudio del perfil del cargo para
las funciones de las adecuado es que se así conocer el equipo de computo
personas debido a que presente un atraso en la que necesita para cumplir con lo
no tienen la memoria información que se que se solicita.
suficiente y velocidad ingresa en el sistema.
para poder utilizar los
software

9. Todos los equipos de Cualquier usuario Se recomienda que se inhabiliten

la compañía tienen todos sustraer información todos los puertos USB y si algún
los puertos USB confidencial de la usuario necesita uno se debe hacer
habilitados insertar empresa una solicitud al área de sistemas
memorias por medio del jefe inmediato

10. Se identificó que la Si el personal no cuenta Se recomienda dar capacitación al

empresa no capacita al con una capacitación personal sobre la información de
personal sobre la sobre la información de la empresa y la importancia de
importancia que se debe la empresa y los manipular bien los equipos para
tener a la hora de procedimientos que se evitar incidentes.
manipular un equipo de manejan para manipular
la empresa los equipos existirá el
riesgo de mala
 manipulación de la
información.

11. Se evidencia que no Al no existir políticas ni Elaborar e implementar políticas y

existen políticas ni procedimientos procedimientos relacionados con
procedimientos relacionados con la la conformación de la arquitectura
relacionados con la conformación de la y del aspecto físico de la red de
información adecuada arquitectura y del datos para ajustar los servicios de
de la arquitectura y aspecto físico de la red red a las necesidades propias que
aspecto físico de la red de datos se pierde la necesite la entidad
de datos. opción de ajustar a las
condiciones adecuadas
que necesita la entidad
los servicios de red de
datos.

12. Se evidencia que. Si cada usuario no tiene Es importante tener claro el límite
referente a los procesos permisos para realizar de acción de cada trabajador para
se comparten usuarios y sus funciones esto traerá que de esta manera se pueda
tienen permisos de consecuencias porque verificar quien realizó las acciones
borrar y editar cualquiera puede borrar y poder llevar un control de ello.
información de archivos información ya que no
sin ninguna restricción. cuenta con restricciones.
 CONCLUSIONES

Es de suma importancia para las empresas la auditoría de sistemas de información, ya que, si

no se realizan los mecanismos de control, de seguridad y respaldo se corre el riesgo de que
las empresas tengan pérdidas de información y consecuencias económicas los cuales pueden
afectar su estabilidad.

En la auditoria de sistema deberá contener no solo la inspección de los equipos de cómputo

de un sistema sino además se deberá evaluar los sistemas de información en general, desde
sus entradas, procedimientos, salidas y controles.