ASIGNATURA

AUDITORIA DE SISTEMAS

ACTIVIDAD 7

IDENTIFICACIÓN Y VALORACIÓN DE RIESGOS, ELABORACIÓN DE

PAPELES DE TRABAJO

PRESENTADO POR
JONATAN CHRISTOPHER PÉREZ BELLO ID 644636
AYLIN JOHAIRA BELTRÁN HINCAPIE ID 644638
YESICA ANDREA REY ROA ID 6398055
LIZETH CAMILA MARTINEZ GUTIERREZ ID 637666

DOCENTE
GUILLERMO CARANTON HERNANDEZ
NRC 19840

SAN MARTÍN META

11 DE MARZO DE 2021
 IDENTIFICACIÓN Y VALORACIÓN DE RIESGOS, ELABORACIÓN DE
PAPELES DE TRABAJO

Para la evaluación de riesgos de seguridad en el sistema informático de una compañía,

se realizó una inspección, en la cual se detectaron las siguientes situaciones:

1. La compañía hace copias de seguridad a diario de su sistema contable; sin embargo,

estas copias reposan en el mismo servidor, nunca se ha hecho una extracción de
información.

2. Nunca se ha hecho una copia de seguridad de los archivos ofimáticos, todos los
usuarios de los equipos tienen privilegios de administrador en sus computadores.

3. La navegación en internet es libre, no existe restricción alguna en páginas o

contenidos, igualmente pueden descargar archivos sin restricción alguna.

4. En la inspección se detecta que el 80% de los equipos verificados tienen archivos en

el escritorio del computador.

5. Transportan los archivos en USB.

6. Una vez al año se les realizan a los computadores mantenimientos preventivos y se

tiene un contrato de prestación de servicios con un profesional que también atiende
los mantenimientos correctivos.

7. Se establece que los trabajadores tienen acceso a los correos electrónicos de la

empresa y a los archivos compartidos incluso fuera de la organización.
 1. Con la información recolectada en sus papeles de trabajo se solicita identificar los
riesgos y valorarlos de acuerdo con el siguiente modelo.
NOMBRE DE LA EMPRESA DIDÁCTICA SAS   NIT
CICLO SISTEMAS DV  
MATRIZ DE IMPACTOS EJECUCIÓN    
       
RIESGOS Bajo Moderado Alto

Perdida de información contable por daño del servidor

Extracción de información por exceso de privilegios
Ingreso de virus por internet  
Pérdida de documentos por estar alejados en el escritorio  
Ingreso de virus por USB  
Extracción indebida información por USB  
Daño de software o hardware  
Extracción de vida información por correo corporativo  

2. Con los riesgos identificados, diligencie el Cuestionario de auditoría que encuentra a

continuación, diseñe los cuestionamientos y marque la respuesta afirmativa o negativa,
según cada uno de los hallazgos; si es necesario, registre también las observaciones.

NOMBRE DE LA EMPRESA DIDÁCTICA SAS   NIT 0

SISTEM
CICLO AUDITADO SISTEMAS AS DV  
EJECUCI
PROCESO-POLÍTICAS DE SEGURIDAD ÓN    
       
PREGUNTAS, CONFIRMACIONES Y Si No
OBSERVACION
CUESTIONAMIENTOS cumple cumple
La empresa realiza copia de seguridad de la
información contable el diariamente en el servidor X
La empresa realizar copia de seguridad de la
información contable fuera del servidor X
La empresa de realizar copia de seguridad
ofimática X  
Todos los equipos de la empresa tienen X  Todos privilegios
restricciones de administrador
Existen restricciones en las páginas web X  
Existen varios archivos vulnerables en el escritorio
de los equipos X  
Se permite el acceso de memorias USB X
Se realiza mantenimiento preventivo de los equipos
periódicamente X Anual 
Les colaboradores tienen acceso al correo
corporativo fuera de la organización X  
La empresa llevar registros del usuario vs equipo X
Todos tienen
La empresa tiene restricción al área de ofimática X acceso al servidor
Se ha realizado una planificación estratégica del
sistema de información para la empresa X
La dirección general y ejecutiva ha considerado la
importancia de tener el estudio del sistema de
información X
El área de Ofimática presenta resultados esperados
por la dirección de acuerdo desarrollo de sus
funciones X
Se cuenta con inventario de todos los equipos de la
empresa X  
Cuenta la empresa con algún plan de contingencia X
El área de ofimática cubrir las necesidades de
procesamiento de la información X
Se encuentran regresado de las funciones dentro
del área de ofimática X  

Los cuestionarios de evaluación del sistema de control interno en las empresas para el
área de sistemas son herramientas importantes ya que apoya en la planeación de
auditoría el cual permiten conocer toda información requerida de un área o proceso
específico. En esta ocasión presentamos un formato de cuestionario para el área de
sistemas.

El objetivo de este tipo de cuestionario es el recolectar la información y evidencia

suficiente para ciertos aspectos TI de una empresa para generar un informe auditor que
permita alinear la TI De la empresa con sus necesidades actuales y futuras en las áreas
objeto del estudio.

BIBLIOGRAFÍA

 Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información.

 Muñoz, C. (2002). Auditoría en sistemas computacionales. Bogotá, D. C.:
Pearson Educación. 
 Gómez, A. (2014). Auditoría de seguridad informática. Madrid: Ra-Ma.