ASIGNATURA

AUDITORIA DE SISTEMAS

ACTIVIDAD 7

IDENTIFICACIÓN Y VALORACIÓN DE RIESGOS, ELABORACIÓN DE

PAPELES DE TRABAJO

PRESENTADO POR
JONATAN CHRISTOPHER PÉREZ BELLO ID 644636
AYLIN JOHAIRA BELTRÁN HINCAPIE ID 644638
YESICA ANDREA REY ROA ID 6398055
LIZETH CAMILA MARTINEZ GUTIERREZ ID 637666

DOCENTE
GUILLERMO CARANTON HERNANDEZ
NRC 19840

SAN MARTÍN META

11 DE MARZO DE 2021
 IDENTIFICACIÓN Y VALORACIÓN DE RIESGOS, ELABORACIÓN DE
PAPELES DE TRABAJO

Para la evaluación de riesgos de seguridad en el sistema informático de una compañía, se

realizó una inspección, en la cual se detectaron las siguientes situaciones:

1. La compañía hace copias de seguridad a diario de su sistema contable; sin embargo,

estas copias reposan en el mismo servidor, nunca se ha hecho una extracción de
información.

2. Nunca se ha hecho una copia de seguridad de los archivos ofimáticos, todos los
usuarios de los equipos tienen privilegios de administrador en sus computadores.

3. La navegación en internet es libre, no existe restricción alguna en páginas o

contenidos, igualmente pueden descargar archivos sin restricción alguna.

4. En la inspección se detecta que el 80% de los equipos verificados tienen archivos en

el escritorio del computador.

5. Transportan los archivos en USB.

6. Una vez al año se les realizan a los computadores mantenimientos preventivos y se

tiene un contrato de prestación de servicios con un profesional que también atiende
los mantenimientos correctivos.

7. Se establece que los trabajadores tienen acceso a los correos electrónicos de la

empresa y a los archivos compartidos incluso fuera de la organización.
 1. Con la información recolectada en sus papeles de trabajo se solicita identificar los riesgos
y valorarlos de acuerdo con el siguiente modelo.
NOMBRE DE LA EMPRESA DIDÁCTICA SAS NIT
CICLO SISTEMAS DV
MATRIZ DE IMPACTOS EJECUCIÓN

RIESGOS Bajo Moderado Alto

Perdida de información contable por daño del servidor

Extracción de información por exceso de privilegios
Ingreso de virus por internet
Pérdida de documentos por estar alejados en el escritorio
Ingreso de virus por USB
Extracción indebida información por USB
Daño de software o hardware
Extracción de vida información por correo corporativo

2. Con los riesgos identificados, diligencie el Cuestionario de auditoría que encuentra a

continuación, diseñe los cuestionamientos y marque la respuesta afirmativa o negativa,
según cada uno de los hallazgos; si es necesario, registre también las observaciones.

NOMBRE DE LA EMPRESA DIDÁCTICA SAS NIT 0

SISTEM
CICLO AUDITADO SISTEMAS AS DV
EJECUCI
PROCESO-POLÍTICAS DE SEGURIDAD ÓN

PREGUNTAS, CONFIRMACIONES Y No
OBSERVACION
CUESTIONAMIENTOS Si cumple cumple
La empresa realiza copia de seguridad de la
información contable el diariamente en el servidor X
La empresa realizar copia de seguridad de la
información contable fuera del servidor X
La empresa de realizar copia de seguridad ofimática X
Todos privilegios
Todos los equipos de la empresa tienen restricciones X de administrador
Existen restricciones en las páginas web X
Existen varios archivos vulnerables en el escritorio
de los equipos X
Se permite el acceso de memorias USB X
Se realiza mantenimiento preventivo de los equipos
periódicamente X Anual
Les colaboradores tienen acceso al correo
corporativo fuera de la organización X
La empresa llevar registros del usuario vs equipo X
Todos tienen
La empresa tiene restricción al área de ofimática X acceso al servidor
Se ha realizado una planificación estratégica del
sistema de información para la empresa X
La dirección general y ejecutiva ha considerado la
importancia de tener el estudio del sistema de
información X
El área de Ofimática presenta resultados esperados
por la dirección de acuerdo desarrollo de sus
funciones X
Se cuenta con inventario de todos los equipos de la
empresa X
Cuenta la empresa con algún plan de contingencia X
El área de ofimática cubrir las necesidades de
procesamiento de la información X
Se encuentran regresado de las funciones dentro del
área de ofimática X

Los cuestionarios de evaluación del sistema de control interno en las empresas para el
área de sistemas son herramientas importantes ya que apoya en la planeación de auditoría
el cual permiten conocer toda información requerida de un área o proceso específico. En
esta ocasión presentamos un formato de cuestionario para el área de sistemas.

El objetivo de este tipo de cuestionario es el recolectar la información y evidencia

suficiente para ciertos aspectos TI de una empresa para generar un informe auditor que
permita alinear la TI De la empresa con sus necesidades actuales y futuras en las áreas
objeto del estudio.
 BIBLIOGRAFÍA

• Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información.

• Muñoz, C. (2002). Auditoría en sistemas computacionales. Bogotá, D. C.:
Pearson Educación.
• Gómez, A. (2014). Auditoría de seguridad informática. Madrid: Ra-Ma.