CONTABILIDAD AMBIENTAL

AUDITORIA DE SISTEMAS

NRC:19840

TUTOR

DUMAR FREDY ALVAREZ HERNANDEZ

TRABAJO FINAL

JUAN GUILLERMO JIMENEZ DE LOS RIOS

ID:541477

16/11/2021
 CONTROL INTERNO EN AUDITORÍA DE SISTEMAS

Usted es invitado a que haga una propuesta de auditoría de sistemas a una empresa que se
dedica a la comercialización de productos de aseo; para entender el alcance de la auditoría,
usted se entrevista con el representante legal de la empresa, quien le manifiesta sus
preocupaciones de la siguiente forma:

Somos una empresa nueva, llevamos 4 años en el mercado con un excelente resultado
comercial y financiero, iniciamos comercializando productos en una oficina en la que
laborábamos cinco personas, un asistente contable y financiero, dos ejecutivos comerciales,
un almacenista y yo, como gerente. Hoy en día somos un equipo de 18 personas, dos en
contabilidad, una dedicada a las actividades administrativas, un almacenista, cinco
ejecutivos comerciales y nueve personas en logística.

Mi preocupación radica en que yo quiero seguir creciendo, pero hay mucho desorden en los
procesos y tengo la dificultad que cuando requiero información, no logro tenerla a tiempo.
En la actualidad, tenemos un sistema contable y cada trabajador administrativo y el
almacenista tienen asignado un equipo de cómputo, pero no se ha estabilizado el tránsito de
la información.

El computador del almacén se ha dañado tres veces en dos años.

Manejamos la información de inventarios en Excel y en varias ocasiones he recibido

archivos con errores. La respuesta de los trabajadores es que alguien debe cambiarles su
archivo.
 Hace unos días necesité una orden de compra de diciembre
del año pasado, la cual estaba en el equipo de la asistente administrativa y la respuesta que
me dio fue que el archivo se le perdió.

En dos años he cambiado tres veces de proveedor de Internet, servicio que nunca funciona;
a la red que tiene 20 gigas de velocidad se conectan los 19 equipos de cómputo y 19
dispositivos móviles, pero parecen insuficiente; todos nos conectamos por WIFI.

Con esta información, usted se dispone a hacer la visita preliminar para observar e
identificar riesgos; en su visita comprueba las siguientes condiciones:

• Los equipos de cómputo están ubicado frente a las ventanas por lo que todo el día están
expuestos al sol y, en algunas ocasiones, a salpicaduras de agua.
• Los trabajadores consumen alimentos sobre sus equipos de cómputo.
• Los computadores no están configurados con claves de usuario ni de administrador para
acceder, cada usuario es administrador de su equipo y puede realizar las acciones que
desee en él, cualquier usuario puede prender un computador o tener acceso a la
información que se almacena.
• Ningún computador tiene clave de ingreso, en los cuatro años que lleva la empresa
nunca se ha realizado una copia de seguridad de los archivos ofimáticos, para el caso
del programa de contabilidad, este realiza de manera automática la copia de seguridad y
la almacena en el mismo servidor, pero ninguna de estas copias reposa fuera de la
máquina.
• En cuanto al uso del Internet se detecta que los usuarios tienen libre acceso a diversas
páginas y a las redes sociales en el horario laboral; a la hora de la inspección, la
mayoría de quienes manejan los equipos se encontraban navegando en YouTube.
 • Para acceder al software contable, los usuarios se
identifican con usuario y contraseña; sin embargo, se evidencia que existen cuatro
usuarios en el sistema y solo dos trabajadores habilitados para trabajar, no se logra
establecer quién hace uso de los dos usuarios desconocidos.

• A la hora de la auditoría, se detecta que el asistente contable trabaja con el usuario

contador el cual le fue prestado, los usuarios nunca han cambiado sus usuarios y
contraseñas.
• No existen restricciones de horas para trabajar y los usuarios pueden imprimir,
reimprimir y extraer archivos planos sin restricción alguna.
• En lo referente a los procesos, los dos usuarios pueden modificar borrar y eliminar
archivos sin restricción alguna, pero el computador identifica el tipo de modificación, la
hora y el responsable.

CUESTIONARIO DE AUDITORÍA
1. Haga un listado en el que se identifiquen los riesgos a los que se encuentra expuesta
la empresa en sus sistemas informáticos, así:

a. Los riesgos del control interno específicamente.

Después de analizar la lectura nosotros como auditores invitados nos damos cuenta de los
siguientes riesgos que en general la empresa está presentando, aunque no lleva mucho

tiempo en el mercado dicen tener buen resultado financieramente, pero para que realmente
el gerente se de cuenta si es así o no debe:
 • Tener un orden contable (empezando quien es el
administrador y usuarios y contraseñas personales con sus respectivas restricciones
para cada área)
• Invertir en un buen software contable (si tiene la posibilidad de adquirirlo o si no en
Excel, pero creando copias de seguridad todos los días)
• Adquirir nuevos computadores con su respectiva licencia original, y sobre todo con
su contraseña para cada persona.
• Reubicar los equipos.
• Establecer un horario laboral y que se respete
• Establecer sanciones estrictas para las personas que no estén autorizadas para
utilizar el computador de la otra persona.
• Comprar un disco duro para realizar copias de seguridad y que el gerente lo
administre para tenerlo por fuera de la empresa.
• Tener un lugar específico de archivo de modo que la contabilidad se pueda archivar
año por año.
• Colocar restricción en la red de internet (solo para cuestiones laborales)

b. Los riesgos de ingreso a los sistemas informáticos y su autenticación.

• Que roben información en general

• Permite borrar información

c. Los riesgos a los que la información se expone por la manipulación de un usuario.

• Para fraudes de la empresa

d. Los riesgos que pueden surgir de la impresión, reimpresión y extracción de bases de

datos de un sistema informático.

• Que la información llegue a mano de otras personas que no deben tener ese tipo de
información y se puede prestar para robar clientes.

2. Clasifique los riesgos en los siguientes procesos: entradas a los sistemas

informáticos, procesos a los sistemas informáticos y salidas de información de los
sistemas informáticos.
 Un adecuado sistema de control interno todo empieza
por la responsabilidad de diseñarlo y mantenerlo para que produzca información confiable
y oportuna.

Para que todo esto funciones de mejor manera el administrador se debe apoyar en los
especialistas ideales de esa función como el Contador y el Auditor interno o si lo prefieren
un consultor externo. Donde el control interno se comparte con los programas de
computadora que integran el sistema y las personas que trabajan con él.

Partiendo de todo esto empezando que, si compramos un sistema que no cuente con los
requisitos o controles internos que se deben tener, se puede decir o catalogar como
irresponsables por que no saben las consecuencias y riesgos tan grandes que se corren, por
que cuando estos procesos se hacen mal todo empieza mal como:

Si una empresa es mediana y aproximadamente tiene 18 trabajadores y de ellos 12

personas necesiten un computador con su respectivo usuario o contraseña, pero resulta que
el software que adquirió la empresa solo tiene para darle a 4 usuarios, empezando que el del
administrador debe ser exclusivo por que el no va a manejar la misma información que el
de bodega, logística o el de facturación, que pasa en estos casos se presta que para la
personas que cometen errores que por cierto es de humanos, pero resulta que esa persona no
sabe bien manejar el sistema puede borrar archivos muy importantes y si no se tienen
copias de seguridad como va hacer para recuperar esa información, y lo más grave es como
van a saber que persona fue si entro con usuario de administrador y todos tienen acceso en
donde van a buscar culpables, en este caso el culpable seria el gerente por no dar un orden
contable de manera que la información se lleve adecuadamente y que cada persona tenga el
usuario y contraseña incluido la contraseña del computador por que si esto no se hace de
esa manera le permite agregar, eliminar, leer, modificar datos o modificar transacciones no
autorizadas para su procedimiento.

Se puede decir que en la mayoría de las empresas siempre va haber una persona que este
descontenta ya sea por el motivo que sea, por eso si no se tiene un alto nivel de protección
de datos, este empleado toma represaría y roba información por no tener lar restricciones
necesarias y las respectivas represarías por saquear información exclusiva de la empresa,
incluyendo información bancaria de la empresa, esto seria algo muy delicado y lo debe
 manejar una sola persona en la cual se le confían
contraseñas, pero si el acceso lo puede tener los 18 empleados sería fácil realizar un robo y
esto generaría perdidas financieras que pueden hasta representar quiebras, por que si queda
sin capital para pagar proveedores y es la única cuenta que se maneja, por todos esos
errores se ponen en riesgo la empresa.

Cuando se adquiere licencias autorizadas dentro de esto deben incluir los antivirus
pienso que es de manera sumamente importante ya que por ejemplo si adquiere uno de esos
anti virus por decir no originales que pasa puede ser que a determinada persona le llego un
archivo y resulta que el archivo tiene virus o problemas para descargarlos que pasa si yo
acepto ese archivo pensando que mi computador esta protegido y resulta que no, esto puede
llegar a dañar otros tipos de archivo que como inicialmente mente lo he dicho no existen
copias como se va recuperar esa información entonces por eso es de suma importancia tener
todas las licencia originales para que la entrada y salida de información o de documentos
estén protegidos y no causen daños, y sin cotar las sanciones que pueden tener por no hacer
lo correcto.

3. Después del análisis hecho, elabore una propuesta que contenga los procedimientos
de control interno que implementaría para mejorar la situación de seguridad en la
empresa en cada uno de los riesgos identificados.

Nuevo Procedimiento Para Mejorar El Control Interno

Después de analizar el caso se deben mejorar varias cosas para que el procedimiento resulte
eficaz y confiable para que en la próxima auditoria estén corregidas estas cosas y así poder
encontrar una empresa ordenada y la contabilidad al día, para eso debe hacer los siguientes
procedimientos:

• Los equipos deben tener la ubicación adecuada de manera que no sufran ningún daño y
este activo tenga la utilidad estimada y no generar gastos adicionales a la empresa.
• Se les debe adecuar horarios a los empleados para que tomen su merienda en la cafería
o sitio asignado por parte de la empresa para este tipo de actividad y así evitar daños a
los equipos.
 • Se le debe asignar a cada empleado su respectivo
usuario y contraseña al sistema contable incluyendo la contraseña del computador, bajo
unas actas donde se estipule que lo que pasa o deje pasar bajo el nombre del usuario se
debe hacer responsable y que cuando este ausente en su puesto el computador debe
permanecer bloqueado y protegido con su contraseña y si esto no sucede tendrá
sanciones y que sea una posible causa de despido.

• Se debe tener un disco duro para hacer las copias de seguridad diarias, y que el gerente
todos los días lo lleve y lo traiga a la empresa, para si tener una copia aparte del
servidor, en caso de que se llegue a perder la información que esta dentro de la empresa.
• Se debe limitar el acceso a las paginas de internet, para así presentar mejor
funcionamiento y velocidad de la red y que los empleados solo puedan acceder a temas
exclusivos de la empresa.
• Mejoramiento del software ya que si tienen uno que solo les permite tener acceso a 4
personas donde hay 18 empleados y todos necesitan tener acceso, se debe mejorar ya
que cada uno de ellos tiene diferentes funciones y deben mantener el sistema a la mano
porque así se mejora el rendimiento de la empresa
• Los empleados deben tener horarios específicos para realizar sus labores y en cada área
encargada contando con sus implementos necesarios.
• Se debe hacer las restricciones necesarias para cada usuario, de modo que el
administrador es el único que pueda tener acceso a modificar o eliminar archivos, por
eso se delega en un acta donde cada uno es responsable de su cargo y funciones.