CONTROL INTERNO EN AUDITORÍA DE SISTEMAS

NRC: 25572

ACTIVIDAD 2

PRESENTADO POR:

INGRID YULIETH ARIAS BURGOS ID: 451071

PRESENTADO A:
LINA YINETH YARA TRIANA

CORPORACIÓN UNIVERSITARIA MINUTO DE DIOS – UNIMINUTO

IBAGUÉ
2021
 CONTADURÍA PÚBLICA
Auditoría de sistemas
Unidad 2

CONTROL INTERNO EN AUDITORÍA DE SISTEMAS

Usted es invitado a que haga una propuesta de auditoría de sistemas a una empresa
que se dedica a la comercialización de productos de aseo; para entender el alcance de
la auditoría, usted se entrevista con el representante legal de la empresa, quien le
manifiesta sus preocupaciones de la siguiente forma:

Somos una empresa nueva, llevamos 4 años en el mercado con un excelente resultado
comercial y financiero, iniciamos comercializando productos en una oficina en la que
laborábamos cinco personas, un asistente contable y financiero, dos ejecutivos
comerciales, un almacenista y yo, como gerente. Hoy en día somos un equipo de 18
personas, dos en contabilidad, una dedicada a las actividades administrativas, un
almacenista, cinco ejecutivos comerciales y nueve personas en logística.

Mi preocupación radica en que yo quiero seguir creciendo, pero hay mucho desorden
en los procesos y tengo la dificultad que cuando requiero información, no logro tenerla
a tiempo. En la actualidad, tenemos un sistema contable y cada trabajador
administrativo y el almacenista tienen asignado un equipo de cómputo, pero no se ha
estabilizado el tránsito de la información.

El computador del almacén se ha dañado tres veces en dos años.

Manejamos la información de inventarios en Excel y en varias ocasiones he recibido

archivos con errores. La respuesta de los trabajadores es que alguien debe cambiarles
su archivo.

Hace unos días necesité una orden de compra de diciembre del año pasado, la cual
estaba en el equipo de la asistente administrativa y la respuesta que me dio fue que el
archivo se le perdió.
En dos años he cambiado tres veces de proveedor de Internet, servicio que nunca
funciona; a la red que tiene 20 gigas de velocidad se conectan los 19 equipos de
cómputo y 19 dispositivos móviles, pero parecen insuficiente; todos nos conectamos
por WIFI.

Con esta información, usted se dispone a hacer la visita preliminar para observar e
identificar riesgos; en su visita comprueba las siguientes condiciones:

1. Los equipos de cómputo están ubicado frente a las ventanas por lo que todo el
día están expuestos al sol y, en algunas ocasiones, a salpicaduras de agua.
2. Los trabajadores consumen alimentos sobre sus equipos de cómputo.
3. Los computadores no están configurados con claves de usuario ni de
administrador para acceder, cada usuario es administrador de su equipo y puede
realizar las acciones que desee en él, cualquier usuario puede prender un
computador o tener acceso a la información que se almacena.
4. Ningún computador tiene clave de ingreso, en los cuatro años que lleva la
empresa nunca se ha realizado una copia de seguridad de los archivos
ofimáticos, para el caso del programa de contabilidad, este realiza de manera
automática la copia de seguridad y la almacena en el mismo servidor, pero
ninguna de estas copias reposa fuera de la máquina.
5. En cuanto al uso del Internet se detecta que los usuarios tienen libre acceso a
diversas páginas y a las redes sociales en el horario laboral; a la hora de la
inspección, la mayoría de quienes manejan los equipos se encontraban
navegando en YouTube.
6. Para acceder al software contable, los usuarios se identifican con usuario y
contraseña; sin embargo, se evidencia que existen cuatro usuarios en el sistema
y solo dos trabajadores habilitados para trabajar, no se logra establecer quién
hace uso de los dos usuarios desconocidos.
7. A la hora de la auditoría, se detecta que el asistente contable trabaja con el
usuario contador el cual le fue prestado, los usuarios nunca han cambiado sus
usuarios y contraseñas.
8. No existen restricciones de horas para trabajar y los usuarios pueden imprimir,
reimprimir y extraer archivos planos sin restricción alguna.
9. En lo referente a los procesos, los dos usuarios pueden modificar borrar y
eliminar archivos sin restricción alguna, pero el computador identifica el tipo de
modificación, la hora y el responsable.

SOLUCION.

Tomando como base las lecturas, haga el análisis del caso "Control interno en
auditoría de sistemas", el cual se encuentra en la plataforma virtual e incluya los
temas que se enuncian a continuación.

1. Haga un listado en el que se identifiquen los riesgos a los que se encuentra

expuesta la empresa en sus sistemas informáticos, así:

a. Los riesgos del control interno específicamente.

 Deficiencia en los controles dentro de la empresa, se evidencia fallas en la

administración.
 Formación del personal, la necesidad de potenciar y concientizar en materia
de seguridad de la información de la empresa, no consumir alimentos dentro
de la empresa
 Daños en equipo de cómputo, servidores.

 Control de acceso a las redes, bloquear páginas que pueden descargar al

computador de la empresa generan donde en ellos virus y ocasionar daños,
perdidas de información contable etc
 Desarrollo de un software seguro, no se evidencias soporte técnico para el
software de los equipos.
 La seguridad informática nunca está a salvo de un daño o de recuperarla en
caso de pérdida, no hay copias de seguridad.
b. Los riesgos de ingreso a los sistemas informáticos y su autenticación.
  divulgación de información confidencial.
 interrupción de servicios.
 requisitos y restricciones de cada usuario con su propia contraseña.
 suplantación de personal idóneo para el usuario asignado.
 sustracción, alteración o pérdida de sus documentos.

c. Los riesgos a los que la información se expone por la manipulación de un usuario.

 pérdida de información.
 corrupción o modificación de información.
 fugas de información y/ o datos

d. Los riesgos que pueden surgir de la impresión, reimpresión y extracción de bases

de datos de un sistema informático.

 Malware y spear phising: Se trata de una técnica combinada que usan los
cibercriminales, hackers patrocinados por estados o espías para penetrar en las
organizaciones y robar sus datos confidenciales.
 Auditorías débiles: No recopilar registros de auditoría detallados puede llegar a
representar un riesgo muy serio para la organización en muchos niveles.
 Privilegios excesivos e inutilizados: Cuando a alguien se le otorgan privilegios de
base de datos que exceden los requerimientos de su puesto de trabajo se crea
un riesgo innecesario. Los mecanismos de control de privilegios de los roles de
trabajo han de ser bien definidos o mantenidos.
 Abuso de Privilegios: Los usuarios pueden llegar a abusar de los privilegios
legítimos de bases de datos para fines no autorizados, por ejemplo, sustraer
información confidencial. Una vez que los registros de información alcanzan una
máquina cliente, Los datos se exponen a diversos escenarios de violación.
 Inyección por SQL: Un ataque de este tipo puede dar acceso a alguien y sin
ningún tipo de restricción a una base de datos completa e incluso copiar o
modificar la información.
 Exposición de los medios de almacenamiento para backup: Éstos están a
menudo desprotegidos, por lo que numerosas violaciones de seguridad han
conllevado el robo de discos y de cintas. Además, el no auditar y monitorizar las
 actividades de acceso de bajo nivel por parte de los administradores sobre la
información confidencial puede poner en riesgo los datos.
 Denegación de servicio (DoS): En este tipo de ataque se le niega el acceso a las
aplicaciones de red o datos a los usuarios previstos. Las motivaciones suelen
ser fraudes de extorsión en el que un atacante remoto repetidamente atacará los
servidores hasta que la víctima cumpla con sus exigencias.
 Limitado conocimiento y experiencia en seguridad y educación: Muchas firmas
están mal equipadas para lidiar con una brecha de seguridad por la falta de
conocimientos técnicos para poner en práctica controles de seguridad, políticas
y capacitación.

 Explotación de vulnerabilidades y bases de datos mal configuradas: Los

atacantes saben cómo explotar estas vulnerabilidades para lanzar ataques
contra las empresas.
 Datos sensibles mal gestionados: Los datos sensibles en las bases de datos
estarán expuestos a amenazas si no se aplican los controles y permisos
necesarios.
2. Clasifique los riesgos en los siguientes procesos: entradas a los sistemas
informáticos, procesos a los sistemas informáticos y salidas de información de los
sistemas informáticos.
 ineficiencia en la utilidad del material.
Desarrollo de un software seguro, no se evidencia soporte técnico para el
ENTRADA A LOS software de los equipos.
Requisitos y restricciones de cada usuario con su propia contraseña
SISTEMA
Es el proceso mediante el cual el Sistema de Información toma los datos
INFORMÁTICOS que requiere para procesar la información. Las entradas pueden ser
manuales o automáticas

Es la capacidad del Sistema de Información para efectuar cálculos de acuerdo

con una secuencia de operaciones preestablecida. Estos cálculos pueden
PROCESOS DE efectuarse con datos introducidos recientemente en el sistema o bien con
datos que están almacenados.
SISTEMAS Deficiencia en los controles dentro de la empresa, se evidencia fallas en la
INFORMÁTICOS administración.
deficiencia en los controles dentro de la empresa, se evidencia fallas en la
administración.

SALIDA DE Corrupción o modificación de información.

INFORMACIÓN Divulgación de información confidencial.
DE LOS Control de acceso a las redes, bloquear páginas que pueden
SISTEMAS descargar al computador de la empresa generando en ellos virus
INFORMÁTICOS y ocasionar daños, perdidas de información contable etc

3. Después del análisis hecho, elabore una propuesta que contenga los
procedimientos de control interno que implementaría para mejorar la situación de
seguridad en la empresa en cada uno de los riesgos identificados.

hoy en día las organizaciones deben tener claro que el control interno es un
concepto que abarca mucho más que una auditoría interna. Un sistema de control
interno implica la interrelación armónica y consciente de todos los componentes y
miembros de una organización y de su entorno en un proceso de mejoramiento
continuo de su eficiencia y su eficacia operacional para el logro de sus metas y
objetivos.

 Mejora la eficiencia y eficacia de las operaciones, y por lo tanto, produce el

máximo de resultados con el mínimo de recursos en la 7 capacidad de la
organización para alcanzar las metas y/o resultados propuestos.
 Aumenta la confiabilidad y oportunidad en la información generada por la
organización. Esto cobra una inmensa importancia si se tiene en cuenta que cada
vez

más organizaciones deben revelar apropiadamente su información financiera para

los

propósitos de los diferentes grupos de interés.

 Contribuye a prevenir y mitigar la ocurrencia de fraudes y a dar un adecuado

cumplimiento a la normatividad y regulaciones aplicables.