ACT 4.

PARTE 2 INFORME SOBRE EL PROCESAMIENTO DE AUDITORÍA DE

SISTEMAS

ASIGNATURA:
AUDITORÍA DE SISTEMAS NRC: 23946

PRESENTADO POR:
GLORIA AMPARO LUNA ID 657402
OLGA LUCÍA ENCARNACIÓN LOAIZA ID 659709

DOCENTE:
ANYELO ALEJANDRO CORAL HERERRA

INSTITUCIÓN:
UNIMINUTO CORPORACION UNIVERSITARIA MINUTO DE DIOS

PROGRAMA:
CONTADURÍA PÚBLICA
SANTIAGO DE CALI, 30 OCTUBRE DE 2021
 CONTENIDO

INTRODUCCIÓN………………………………………………………………..…...3
1. PARTE 2 INFORME SOBRE EL PROCESAMIENTO DE AUDITORÍA DE
SISTEMAS.……………………..…………………....………………………………….…….4
2. CONCLUSIONES…………………………………………………..………….….13

REFERENCIAS BIBLIOGRÁFICAS………………………………………..…........14
 INTRODUCCIÓN

Mediante el presente trabajo se realiza un informe sobre el procedimiento de la auditoria de

sistemas con el objetivo de identificar cada una de las fases que integran un procedimiento de
auditoría de sistemas y fortalecer la competencia de gestión del conocimiento.

La auditoría de sistemas computacional se refiere a la revisión práctica que se realiza sobre los
recursos informáticos con que cuenta una entidad con el fin de emitir un informe o dictamen sobre
la situación en que se desarrollan y se utilizan esos recursos.
 CONTADURÍA PÚBLICA
Auditoría de sistemas
Unidad 2

CONTROL INTERNO EN AUDITORÍA DE SISTEMAS

Usted es invitado a que haga una propuesta de auditoría de sistemas a una empresa que se dedica
a la comercialización de productos de aseo; para entender el alcance de la auditoría, usted se
entrevista con el representante legal de la empresa, quien le manifiesta sus preocupaciones de la
siguiente forma:

Somos una empresa nueva, llevamos 4 años en el mercado con un excelente resultado comercial
y financiero, iniciamos comercializando productos en una oficina en la que laborábamos cinco
personas, un asistente contable y financiero, dos ejecutivos comerciales, un almacenista y yo, como
gerente. Hoy en día somos un equipo de 18 personas, dos en contabilidad, una dedicada a las
actividades administrativas, un almacenista, cinco ejecutivos comerciales y nueve personas en
logística.

Mi preocupación radica en que yo quiero seguir creciendo, pero hay mucho desorden en los
procesos y tengo la dificultad que cuando requiero información, no logro tenerla a tiempo. En la
actualidad, tenemos un sistema contable y cada trabajador administrativo y el almacenista tienen
asignado un equipo de cómputo, pero no se ha estabilizado el tránsito de la información.

El computador del almacén se ha dañado tres veces en dos años.

Manejamos la información de inventarios en Excel y en varias ocasiones he recibido archivos con

errores. La respuesta de los trabajadores es que alguien debe cambiarles su archivo.

Hace unos días necesité una orden de compra de diciembre del año pasado, la cual estaba en el
equipo de la asistente administrativa y la respuesta que me dio fue que el archivo se le perdió.
En dos años he cambiado tres veces de proveedor de Internet, servicio que nunca funciona; a la
red que tiene 20 gigas de velocidad se conectan los 19 equipos de cómputo y 19 dispositivos
móviles, pero parecen insuficiente; todos nos conectamos por WIFI.

Con esta información, usted se dispone a hacer la visita preliminar para observar e identificar
riesgos; en su visita comprueba las siguientes condiciones:

1. Los equipos de cómputo están ubicado frente a las ventanas por lo que todo el día están
expuestos al sol y, en algunas ocasiones, a salpicaduras de agua.

A partir de febrero del presente año, en que la organización se ubicó en el

nuevo edificio; se logra identificar que no cuenta con una estructura física
HALLAZGO que le permita ubicar los equipos lejos de las ventanas por lo que ha tenido
que tomar otras medidas que eviten un daño físico y perdida de la
información.
Los equipos de cómputo están ubicados frente a las ventanas por lo que
RIESGO todo el día están expuestos al sol, al agua y al polvo; lo que genera un
deterioro y una pérdida total del equipo y por ende de la información.
Mientras el puesto de trabajo se logra organizar en otro sitio que no sea
cerca de las ventanas, se deben instalar persianas, polarizar los vidrios,
RECOMENDACION realizar un respaldo semanal de la información en servidores y estos a su
vez en cintas que serán guardadas en otras instalaciones ajenas a la
empresa.

2. Los trabajadores consumen alimentos sobre sus equipos de cómputo.

Desde que se cambiaron de oficina la organización no cuenta con un

espacio y un tiempo estipulado donde puedan adquirir los alimentos sin
ningún problema, tampoco cuentan con una política interna para evitar
HALLAZGO
que los empleados usen los puestos de trabajo como mesa de
alimentación.
 Al consumir los alimentos sobre los equipos de cómputo se corre el
riesgo de derramar los alimentos sobre los computadores generando un
daño físico, también se pueden dañar documentos importantes, los
RIESGO malos olores que se generan en las oficinas de trabajo y cuando los
clientes o proveedores visiten las instalaciones esto generaría un mal
ambiente, aparte que se corre el riesgo de que los platos, vasos y de más
elementos se pueden quebrar.
Se debe de establecer una política de control interno donde se fije un
horario para el consumo de alimentos y acondicionar un espacio donde
RECOMENDACION
los colaboradores puedan sentirse a gusto y poder consumir los
alimentos sin ningún problema.

3. Los computadores no están configurados con claves de usuario ni de administrador para

acceder, cada usuario es administrador de su equipo y puede realizar las acciones que desee
en él, cualquier usuario puede prender un computador o tener acceso a la información que
se almacena.

Desde que la compañía fue creada en el 2017 no cuenta con una

herramienta que permite crear los usuarios de ingreso a los computadores y
HALLAZGO
poder obtener un control, que permita la limitación de usuarios al entrar en
cualquier equipo, permitiendo que la información se encuentre segura.
Los computadores no están configurados con claves de usuario ni de
administrador para acceder, en el cual está expuesto a que cualquier usuario
RIESGO
puede prender un computador y tener acceso a la información que se
almacena.
La empresa debe adquirir un directorio activo que le permita realizar la
creación de los usuarios a los empleados, asignando un perfil adecuado de
acuerdo con su rol, lo que permite tener un control y restricciones de acceso
a las demás personas, evitando la manipulación y pérdida de la
RECOMENDACION
información. Se debe de realizar copias de seguridad por lo menos 3 veces
al mes o cada semana. Se debe de contar con un sistema de copia de
seguridad por fuera de la máquina para tener seguridad de que la
información no se pierda.
 4. Ningún computador tiene clave de ingreso, en los cuatro años que lleva la empresa nunca
se ha realizado una copia de seguridad de los archivos ofimáticos, para el caso del programa
de contabilidad, este realiza de manera automática la copia de seguridad y la almacena en
el mismo servidor, pero ninguna de estas copias reposa fuera de la máquina.

A partir del 2017 en que la empresa fue creada se logra identificar que los
computadores no tienen clave de ingreso, por lo que cualquier persona
HALLAZGO puede ingresar y tomar o realizar cualquier proceso que ponga en riesgo
toda la información, tampoco realiza una copia de seguridad de todos los
archivos.
Ningún computador tiene clave de ingreso y en los cuatro años que lleva la
empresa nunca se ha realizado una copia de seguridad de los archivos
RIESGO ofimáticos y la copia de seguridad se almacena en el mismo servidor y
ninguna reposa fuera de la máquina, provocando así que no se tenga
salvaguardia de la información.
Se debe de asignar una clave para cada usuario lo que permite restricciones
y seguridad de la información, nadie puede ingresar a la información sin
que otra persona tenga una previa autorización. Se debe de realizar copias
RECOMENDACION
de seguridad por lo menos 3 veces al mes o cada semana. Se debe de contar
con un sistema de copia de seguridad por fuera de la máquina para tener la
certeza de que la información no se pierda.

5. En cuanto al uso del Internet se detecta que los usuarios tienen libre acceso a diversas
páginas y a las redes sociales en el horario laboral; a la hora de la inspección, la mayoría
de quienes manejan los equipos se encontraban navegando en YouTube.

En el proceso de auditoría el auditor asignado logra identificar que no

existe un control establecido en las páginas de navegación, que
HALLAZGO
independiente de los perfiles con los que cuenta el personal de la compañía
 tienen una navegación libre, lo que permite que se puedan acceder a las
redes sociales sin ninguna restricción.

Que los empleados utilicen el internet para realizar tareas ajenas a su cargo
y por no tener conocimiento en las páginas seguras pueden generar una
alerta de virus en los computadores de la empresa, los colaboradores
pueden acceder a las redes sociales en horarios laborales generando
RIESGO distracción y puede ocasionar que se realicen malos procedimientos en las
funciones establecidas a su cargo o que se publique información delicada
de la empresa. El ingreso a YouTube genera un riesgo de seguridad, por
ejemplo, un phishing por el que les hurtaron las credenciales de sus cuentas
bancarias.
Desde el área de infraestructura se deben establecer políticas de seguridad
informática para restringir la navegación y de acuerdo con el cargo y sus
funciones dar permisos a las páginas necesarias. Realizar un bloqueo de
todas las páginas relacionadas con Facebook, Instagram, Twitter,
RECOMENDACION
WhatsApp, entre otras para evitar que se filtre información y que los
empleados no cumplan con sus funciones laborales. Restricción total a las
páginas de YouTube para evitar una sanción que afectan económicamente a
empresa.

6. Para acceder al software contable, los usuarios se identifican con usuario y contraseña; sin
embargo, se evidencia que existen cuatro usuarios en el sistema y solo dos trabajadores
habilitados para trabajar, no se logra establecer quién hace uso de los dos usuarios
desconocidos.

La compañía cuenta con un software contable, pero con algunas

inconformidades porque existen cuatro usuarios en el sistema y sólo dos
colaboradores habilitados para trabajar lo que los llevaría a utilizar usuarios
HALLAZGO
prestados para poder cumplir con sus funciones laborales, no permitiendo el
control adecuado de cada usuario, para así saber quién es el responsable de
cada proceso
 Se evidencia que existen cuatro usuarios en el sistema y solo dos
trabajadores habilitados para trabajar por lo que no se logra establecer
quién hace uso de los dos usuarios desconocidos. No se cuenta con un
RIESGO
control de los usuarios que ingresan al software contable por lo que la
información está en riesgo y en caso de pérdida sería más difícil identificar
a la persona que lo realiza.
Bloquear a todos los usuarios y establecer a cada personal un usuario y
nueva contraseña que le permita el ingreso. Se debe realizar una auditoría
para saber quién es la persona que tienen acceso al software y bloquear
RECOMENDACION
todos los usuarios y asignar a cada uno de nuevo. Realizar seguimiento a
los usuarios y parametrizar a cada uno según su usuario y perfil asignado
realizando permisos limitados.

7. A la hora de la auditoría, se detecta que el asistente contable trabaja con el usuario contador
el cual le fue prestado, los usuarios nunca han cambiado sus usuarios y contraseñas.

En el momento en que se realizó la auditoria se identifica que el asistente

contable realiza sus funciones con el usuario del contador, que al ver que no
tenía usuario de ingreso este se lo prestó incumpliendo un protocolo de
HALLAZGO
seguridad informático. Por costumbre y asignación de claves, los usuarios
prefieren no cambiar en un tiempo determinado sus contraseñas de acceso,
por miedo a que se les olvide.
Se detecta que el asistente contable trabaja con el usuario contador el cual
le fue prestado, los usuarios de la compañía nunca han cambiado sus
RIESGO
usuarios y contraseñas y todos tienen acceso a la información sin
limitaciones.
En el informe de auditoría se realiza la recomendación sobre prestar sus
usuarios y claves a otras personas, lo cual no es ético ni recomendable, se le
debe de asignar un usuario al asistente contable con limitaciones y que los

RECOMENDACION usuarios de los administradores como de las personas con mayor cargo
como el de contador no sean suministradas y prestadas a ningún otro
usuario. Se debe de realizar el cambio de contraseñas cada 3 meses para
que no se tenga el riesgo que puedan acceder a la información y para ello
 desde el sistema se enviará una alerta informando que la contraseña se
vencerá en los próximos días y se debe cambiar obligatoriamente. Que cada
usuario se parametrice según su cargo y tenga limitaciones al ingresar a la
información.

8. No existen restricciones de horas para trabajar y los usuarios pueden imprimir, reimprimir
y extraer archivos planos sin restricción alguna.

En la compañía existen grandes huecos de seguridad en todas sus áreas y

por ello se logra identificar que no existe un horario laboral establecido y
por orden interno se deba cumplir, lo que conlleva a los empleados a
HALLAZGO
utilizar la impresora para procesos personales, realizar una mala
administración de la papelería porque se reimprimen los archivos planos sin
ninguna restricción.
Uno de los riesgos de la compañía es que no existen restricciones de
horario laboral, esto puede ocasionar robos internos, malas prácticas de los
empleados al ingreso y salida de la empresa, problemas de salud en los
empleados, otro riesgo que cuenta la entidad es que los colaboradores
RIESGO imprimen y reimprimen documentos ocasionando malgasten papel y tinta
de las impresoras ya sea por cosas personales o de trabajo. Al momento de
imprimir y reimprimir información fundamental de las empresas eso genera
huecos de seguridad para que otras personas inescrupulosas accedan a ella.
Por lo anterior es importante restringir a los no autorizados.
 Legalmente un trabajador debe cumplir con un horario laboral de 8 horas y
para ello es importante que de acuerdo con los cargos se estipulen horarios
que cumplan con las horas para no sobrecargar y que exista un control. Se
debe instalar impresoras a las personas que realmente lo necesitan
informando que todo está monitoreado desde un servidor para evidenciar
que tipo de documentos imprimen. Se hace un sondeo quincenal para la
RECOMENDACION
entrega de las hojas que se utilizaran y así mismo la tinta de cartuchos de
impresoras. Si bien sabemos, la información con la que cuenta una empresa
es confidencial para ello los archivos que no se deben imprimir por algún
tipo de seguridad deben estar guardados en carpetas compartidas y cuando
son impresos debe generar una alerta al administrador de servidores con el
usuario de la persona y así poder tomar decisiones frente a ello.

9. En lo referente a los procesos, los dos usuarios pueden modificar borrar y eliminar archivos
sin restricción alguna, pero el computador identifica el tipo de modificación, la hora y el
responsable.

La compañía cuenta con un protocolo de seguridad informática un poco

desactualizada porque en el proceso de auditoria se evidencia que los
HALLAZGO usuarios creados en el sistema pueden borrar, modificar y eliminar archivos
sin ninguna restricción afectando el buen funcionamiento de los procesos y
la información sea confiable.
Uno de los riesgos de la entidad es cuando entran a modificar información,
pero sobre todo cuando se trata de información financiera o de datos
personales de clientes, que es información considerada de alto impacto.
Esto puede incurrir a demandas y multas, y existen personas que tienen
RIESGO
ciertos conocimientos financieros y la información más importante de la
empresa la utilizan para ser vendida a la competencia. Otro riesgo que se
puede presentar es que los empleados roben los archivos o las bases de
datos para llamar a los clientes y proveedores para mal influenciarlos.
 Existen aplicativos de seguridad que permiten crear carpetas compartidas
entre varios usuarios, aplicando restricciones a cada uno de acuerdo con su
perfil para visualizar, modificar y eliminar información, también se puede
instalar un software en los equipos de la empresa que genere una alerta de
RECOMENDACION
seguridad cuando se conectan memorias USB o se hacen copias de
información para enviar por correo. La información de las empresas es
confidencial y para ello debe existir un nivel de seguridad que la proteja de
personas internas y externas, también de software maliciosos.
 CONCLUSIONES

• A través de este trabajo hemos podido comprender la importancia de realiza la entrega

correcta de un informe en los procesos de auditoría de sistemas, ya que este determina los
riesgos y recomendaciones a aplicar o a mejorar dentro de una compañía.

• El control interno es especialmente importante en las empresas, debido a que proporciona

el grado de confiabilidad que se requiere para proteger los activos, asegurar la validez de
la información, promover la eficiencia en las operaciones y estimular el cumplimiento de
las políticas y directrices emanadas de la dirección.

• Cabe resaltar que una buena implementación del sistema de control permite tener una
conexión entre la empresa y los clientes, debido a que su principal función es aplicar a
todas las áreas de operación de las empresas permitiendo ser efectivos al momento de
obtener la información necesaria para encontrar las alternativas de solución y mitigar los
riesgos.
 REFERENCIAS BIBLIOGRÁFICAS

Muñoz, C. (2002). Auditoría en sistemas computacionales. Bogotá, D. C.: Pearson Educación.

Alfonso, Y., Blanco, B. y Loy, L. (2012). Propuesta del sistema de acciones para la
implementación de la auditoría con informática. Revista de Arquitectura e Ingeniería, 7 (2), 1-13

Rojas, I. S. (2009). Trabajo de auditoría: Normas COBIT. Buenos Aires: El Cid Editor.