ACT 2.

PARTE 1 ANÁLISIS DE CASO

ASIGNATURA:
AUDITORÍA DE SISTEMAS NRC: 23946

PRESENTADO POR:
GLORIA AMPARO LUNA ID 657402
OLGA LUCÍA ENCARNACIÓN LOAIZA ID 659709

DOCENTE:
ANYELO ALEJANDRO CORAL HERERRA

INSTITUCIÓN:
UNIMINUTO CORPORACION UNIVERSITARIA MINUTO DE DIOS

PROGRAMA:
CONTADURÍA PÚBLICA
SANTIAGO DE CALI, 16 OCTUBRE DE 2021
 CONTENIDO

INTRODUCCIÓN………………………………………………………………..…...3
1. ACT 2. PARTE 1 ANÁLISIS DE CASO..……………………..…………………....…4
2. CONCLUSIONES…………………………………………………..………….….17

REFERENCIAS BIBLIOGRÁFICAS………………………………………..…........18
 INTRODUCCIÓN

Mediante el presente trabajo se realiza un análisis de caso de control interno en auditoría de

sistemas con el objetivo de identificar los riesgos y las actividades de control requeridas para el
uso de la información.

Un modelo de control interno es diseñado para planear, gestionar y regular la información dentro
de una empresa u organización con el objetivo de mejorar la eficiencia y eficacia de las
operaciones, aumentar la confiabilidad y oportunidad de la información y cumplir con las normas
legales.
 CONTADURÍA PÚBLICA
Auditoría de sistemas
Unidad 2

CONTROL INTERNO EN AUDITORÍA DE SISTEMAS

Usted es invitado a que haga una propuesta de auditoría de sistemas a una empresa que se dedica
a la comercialización de productos de aseo; para entender el alcance de la auditoría, usted se
entrevista con el representante legal de la empresa, quien le manifiesta sus preocupaciones de la
siguiente forma:

Somos una empresa nueva, llevamos 4 años en el mercado con un excelente resultado comercial
y financiero, iniciamos comercializando productos en una oficina en la que laborábamos cinco
personas, un asistente contable y financiero, dos ejecutivos comerciales, un almacenista y yo, como
gerente. Hoy en día somos un equipo de 18 personas, dos en contabilidad, una dedicada a las
actividades administrativas, un almacenista, cinco ejecutivos comerciales y nueve personas en
logística.

Mi preocupación radica en que yo quiero seguir creciendo, pero hay mucho desorden en los
procesos y tengo la dificultad que cuando requiero información, no logro tenerla a tiempo. En la
actualidad, tenemos un sistema contable y cada trabajador administrativo y el almacenista tienen
asignado un equipo de cómputo, pero no se ha estabilizado el tránsito de la información.

El computador del almacén se ha dañado tres veces en dos años.

Manejamos la información de inventarios en Excel y en varias ocasiones he recibido archivos con

errores. La respuesta de los trabajadores es que alguien debe cambiarles su archivo.

Hace unos días necesité una orden de compra de diciembre del año pasado, la cual estaba en el
equipo de la asistente administrativa y la respuesta que me dio fue que el archivo se le perdió.

En dos años he cambiado tres veces de proveedor de Internet, servicio que nunca funciona; a la
red que tiene 20 gigas de velocidad se conectan los 19 equipos de cómputo y 19 dispositivos
móviles, pero parecen insuficiente; todos nos conectamos por WIFI.
Con esta información, usted se dispone a hacer la visita preliminar para observar e identificar
riesgos; en su visita comprueba las siguientes condiciones:

1. Los equipos de cómputo están ubicado frente a las ventanas por lo que todo el día están
expuestos al sol y, en algunas ocasiones, a salpicaduras de agua.

Ítem Clasificación Riesgo Recomendación

No. 1 Riesgo Los equipos de cómputo están Que el puesto de trabajo se
inherente ubicado frente a las ventanas organice en otro sitio que no esté
por lo que todo el día están expuesto a la ventana.
expuestos al sol.
No. 2 Riesgo Los equipos de cómputo están Que el puesto de trabajo se
inherente ubicado frente a las ventanas organice en otro sitio que no esté
por lo que todo el día están expuesto a la ventana.
expuestos al agua
No. 3 Riesgo Los equipos de cómputo están Realizar los mantenimientos
inherente ubicado frente a las ventanas necesarios para el cuidado de los
por lo que todo el día están equipos.
expuestos al polvo.

2. Los trabajadores consumen alimentos sobre sus equipos de cómputo.

Ítem Clasificación Riesgo Recomendación

No. 1 Riesgo Se puede derramar los alimentos Establecer una normativa para
Control sobre el equipo de cómputo que los empleados cumplan lo
generando un daño físico y sobre establecido.
documentos importantes.
No. 2 Riesgo Mal olor en las oficinas de trabajo Implementar terrazas o casinos
Control y cuando los clientes o de alimentación.
proveedores visiten las
instalaciones; esto generaría un
mal ambiente.
No. 3 Riesgo Los platos, vasos y de más Hacer llamados de atención y
Control elementos se pueden quebrar. memorandos a los empleados
que no cumplan.

3. Los computadores no están configurados con claves de usuario ni de administrador para

acceder, cada usuario es administrador de su equipo y puede realizar las acciones que desee
en él, cualquier usuario puede prender un computador o tener acceso a la información que
se almacena.

Ítem Clasificación Riesgo Recomendación

No. 1 Riesgo de Los computadores no están Todos los computadores
control configurados con claves de usuario deberían de contar con
ni de administrador para acceder. usuarios y claves para mayor
seguridad en la información.
No. 2 Riesgo de Cualquier usuario puede prender Se debe de restringir la entrada
control un computador. a los computadores creando
usuarios y claves.
No. 3 Riesgo de Tener acceso a la información que Bloquear el acceso a todos los
control se almacena usuarios limitando que puedan
ingresar todos a la
información de la empresa,
que sean catalogados algunos
usuarios para tener acceso a
toda la información.

4. Ningún computador tiene clave de ingreso, en los cuatro años que lleva la empresa nunca
se ha realizado una copia de seguridad de los archivos ofimáticos, para el caso del programa
de contabilidad, este realiza de manera automática la copia de seguridad y la almacena en
el mismo servidor, pero ninguna de estas copias reposa fuera de la máquina.
Ítem Clasificación Riesgo Recomendación
No. 1 Riesgo Ningún computador tiene clave Se debe de realizar una clave
Control de ingreso para cada usuario para que nadie
pueda ingresar a la información
sin autorización.
No. 2 Riesgo En los cuatro años que lleva la Se debe de realizar copias de
Control empresa nunca se ha realizado seguridad por lo menos 3 veces
una copia de seguridad de los al mes o cada semana.
archivos ofimáticos
No. 3 Riesgo La copia de seguridad se Se debe de contar con un
Inherente almacena en el mismo servidor y sistema de copia de seguridad
ninguna reposa fuera de la por fuera de la máquina para
máquina, provocando así que no tener seguridad de que la
se tenga salvaguardia de la información no se pierda.
información.

5. En cuanto al uso del Internet se detecta que los usuarios tienen libre acceso a diversas
páginas y a las redes sociales en el horario laboral; a la hora de la inspección, la mayoría
de quienes manejan los equipos se encontraban navegando en YouTube.

Ítem Clasificación Riesgo Recomendación

No. 1 Riesgo de Que los empleados utilicen el Desde el área de infraestructura
Control internet para realizar tareas se deben establecer políticas de
ajenas a su cargo y por no tener seguridad informática para
conocimiento en las paginas restringir la navegación y de
seguras pueden generar una acuerdo con el cargo y sus
alerta de virus en los funciones dar permisos a las
computadores de la empresa. páginas necesarias.

No. 2 Riesgo Acceder a las redes sociales en Realizar un bloqueo de todas las
inherente horario laboral genera paginas relacionadas con
 distracción y puede ocasionar Facebook, Instagram, Twitter,
que se realicen malos WhatsApp, entre otras para
procedimientos en las funciones evitar que se filtre información
establecidas a su cargo o que se y que los empleados no
publique información delicada de cumplan con sus funciones
la empresa. laborales.
No. 3 Riesgo de El ingreso a YouTube genera un Restricción total a las páginas
Control riesgo de seguridad, por ejemplo de YouTube para evitar una
un phishing por el que les sanciones que afectan
hurtaron las credenciales de sus económicamente a empresa.
cuentas bancarias.

6. Para acceder al software contable, los usuarios se identifican con usuario y contraseña; sin
embargo, se evidencia que existen cuatro usuarios en el sistema y solo dos trabajadores
habilitados para trabajar, no se logra establecer quién hace uso de los dos usuarios
desconocidos.

Ítem Clasificación Riesgo Recomendación

No. 1 Riesgo Se evidencia que existen cuatro Bloquear a todos los usuarios y
detección usuarios en el sistema y solo dos establecer a cada personal un
trabajadores habilitados para usuario y nueva contraseña.
trabajar
No. 2 Riesgo No se logra establecer quién hace Realizar una auditoría para
detección uso de los dos usuarios saber quién es las personas que
desconocidos tienen acceso al software y
bloquear todos los usuarios y
asignar a cada uno de nuevo.
No. 3 Riesgo No se tiene control de los usuarios Realizar seguimiento a los
detección que ingresan al software por lo que usuarios y parametrizar a cada
la información está en riesgo. uno dándole permisos
limitados.
 7. A la hora de la auditoría, se detecta que el asistente contable trabaja con el usuario contador
el cual le fue prestado, los usuarios nunca han cambiado sus usuarios y contraseñas.

Ítem Clasificación Riesgo Recomendación

No. 1 Riesgo Se detecta que el asistente Se le debe de asignar un usuario al
detección contable trabaja con el asistente contable con limitaciones y
usuario contador el cual le que no tenga nunca el usuario del
fue prestado. contador.
No. 2 Riesgo Los usuarios nunca han Se debe de realizar el cambio de
detección cambiado sus usuarios y contraseñas constante para que no se
contraseñas. tenga el riesgo que puedan acceder a
la información.
No. 3 Riesgo Todos tienen acceso a la Que cada usuario se parametrice
detección información sin limitaciones según su cargo y tenga limitaciones
al ingresar a la información.

8. No existen restricciones de horas para trabajar y los usuarios pueden imprimir, reimprimir
y extraer archivos planos sin restricción alguna.

Ítem Clasificación Riesgo Recomendación

No. 1 Riesgo de Si no existen restricciones de Legalmente un trabajador debe
Control horario laboral, esto puede cumplir con un horario laboral de 8
ocasionar robos internos, horas y para ello es importante que
malas prácticas de los de acuerdo con los cargos se
empleados al ingreso y estipulen horarios que cumplan con
salida de la empresa, las horas para no sobrecargar y que
problemas de salud en los exista un control.
empleados.
No. 2 Riesgo de El riesgo que se genera al Se debe instalar impresoras a las
Control imprimir y reimprimir personas que realmente lo necesitan
documentos es que los informando que todo está
empleados impriman monitoreado desde un servidor para
información personal y evidenciar que tipo de documentos
malgasten papel y tinta de las imprimen. Se hace un sondeo
impresoras. quincenal para la entrega de las
hojas que se utilizaran y así mismo
la tinta de cartuchos de impresoras.
No. 3 Riesgo de Al momento de imprimir y Si bien sabemos, la información con
Control reimprimir información la que cuenta una empresa es
fundamental de las empresas confidencial para ello los archivos
eso genera huecos de que no se deben imprimir por algún
seguridad para que otras tipo de seguridad deben estar
personas inescrupulosas guardados en carpetas compartidas y
accedan a ella. Por lo cuando son impresos debe generar
anterior es importante una alerta al administrador de
restringir a los no servidores con el usuario de la
autorizados. persona y así poder tomar decisiones
frente a ello.

9. En lo referente a los procesos, los dos usuarios pueden modificar borrar y eliminar archivos
sin restricción alguna, pero el computador identifica el tipo de modificación, la hora y el
responsable.

Ítem Clasificación Riesgo Recomendación

No. 1 Riesgo Modificar información es un Existen aplicativos de seguridad que
inherente riesgo muy grande y sobre permiten crear carpetas compartidas
todo cuando se trata de entre varios usuarios, aplicando
información financiera o de restricciones a cada uno de acuerdo
datos personales de clientes.
 Esto puede incurrir a con su perfil para visualizar,
demandas y multas. modificar y eliminar información.
No. 2 Riesgo de Existen personas que tienen Instalar un software en los equipos
control ciertos conocimientos de la empresa que genere una alerta
financieros y la información de seguridad cuando se conectan
más importante de la memorias USB o se hacen copias de
empresa la utilizan para ser información para enviar por correo.
vendida a la competencia.
No. 3 Riesgo de Otro riesgo que se puede La información de las empresas es
control presentar es que los confidencial y para ello debe existir
empleados roben los un nivel de seguridad que la proteja
archivos o las bases de datos de personas internas y externas,
para llamar a los clientes y también de software maliciosos.
proveedores para mal
influenciarlos.
 CONTADURÍA PÚBLICA

Auditoría de sistemas

Unidad 2

CUESTIONARIO DE AUDITORÍA

NOMBRE DE LA
EMPRESA: DIDÁCTICA
SAS NIT 0

CICLO AUDITADO
SISTEMAS SISTEMAS DV

PROCESO-CONTROL EJECUCIÓ
INTERNO N

PREGUNTAS,
CONFIRMACIONES Y CUMPLE NO CUMPLE OBSERVACIONES
CUESTIONAMIENTOS SÍ NO

La compañía cuenta con

procedimientos de La compañía no cuenta con
seguridad en los sistemas controles de seguridad en los
informáticos X sistemas de información.

Existe un administrador de La compañía no cuenta con

los sistemas informáticos X personal para realizar esta labor.

ACCESOS
 De acuerdo con lo planteado
El número de usuarios en el para el ingreso al sistema
sistema coincide con el contable existen 4 usuarios
número de trabajadores creados y 2 empleados
con acceso X habilitados.

La totalidad de los usuarios

del sistema se encuentra Falta establecer un control en la
identificado X cantidad de los usuarios.

Existe un protocolo de El control de seguridad con el

seguridad (usuario y acceso al sistema no está
contraseña) para acceder al estipulado porque el contador
sistema operativo debe prestar el usuario personal a
(Windows) X la asistente.

No existe protocolo de seguridad

para acceder al software
Existe un protocolo de
contable, ya que todos tienen
seguridad (usuario y
acceso al sistema y el contador le
contraseña) para acceder al
presta el usuario a la
sistema transaccional
(Contable) X asistente.

No hay manual de funciones por

Los usuarios son creados lo tanto los usuarios son creados
de acuerdo con el Manual sin limitación alguna a la
de funciones de cargo X información.

ENTRADAS

Se deben comprar licencias

del software contable para
crear usuarios y Los que necesitan el acceso
X
contraseñas de acceso a las deben contar con su usuario y
personas que lo necesitan y contraseña de ingreso
evitar que presten los personalizado.
usuarios.

No existen restricciones de
horas para trabajar y los
Se deben establecer políticas
usuarios pueden imprimir,
estipulando los horarios de
reimprimir y extraer
entrada y salida de los empleados
archivos planos sin
X de acuerdo con el cargo.
restricción alguna.
Se realiza de manera automática
la copia de seguridad y la
almacena en el mismo servidor,
pero ninguna de estas copias
reposa fuera de la máquina para
Existe una copia de ello es importante que se haga
seguridad para manejar una copia en cintas y
toda la información más almacenarlas en otras
importante de la empresa. X instalaciones.

PROCESOS

La información no tiene
una copia de seguridad por
lo que los archivos han
Se realiza información como
generado errores como
órdenes de compra en Excel y por
órdenes de compra y no se
no tener un control de la copia de
tiene copia para
seguridad los archivos se pierden
reemplazar.
X o generan error.
Realizar consultas o
Estas consultas no son limitadas
actualización de datos de la
para todos los procesos, todos
información contable.
X tienen acceso a ella.
 El personal no tiene
Se informa que los responsabilidad de sus funciones
archivos son borrados sin y no se apropiaban de la
darse cuenta y como no se información y tener una copia de
realiza la copia de seguridad de la información por
seguridad. X si se llegara a perder.
Se debe de tener el control del
internet a todos los usuarios tanto
de los computadores como las
líneas móviles para que esta sea
El internet de la empresa es suficiente y no se realice cosas
deficiente. X ajenas a los de la empresa.
Registrar y contabilizar las
facturas de compra, venta y
Se registra toda la información en
de servicios X
el sistema informático.
SALIDAS

Se obtiene un control en el
No se lleva control de toda la
ingreso en la información
información que la empresa
relacionada con la
posee porque no se tiene orden en
información.
X los procesos.
Lograr conseguir un Sobre toda la información que
respaldo de toda la posee la empresa tanto
información almacenada financiera, comercial,
en el disco duro del pc. X administrativa.

No cuadrar las partidas

contables y una posible
suplantación de personal
No están pendiente de realizar
conciliaciones en las partidas
X
contables y con la suplantación
 de personal es muy limitada los
roles de cada uno.

Divulgación de
Cualquier usuario puede divulgar
información confidencial
la información de la compañía sin
de la compañía
X ninguna restricción.
 CONCLUSIONES

• A través de este trabajo hemos podido comprender la importancia de implementar un

modelo de control interno dentro de una empresa u organización, teniendo en cuenta que
permite obtener confiabilidad en la información.

• El control interno es especialmente importante en las empresas, debido a que proporciona

el grado de confiabilidad que se requiere para proteger los activos, asegurar la validez de
la información, promover la eficiencia en las operaciones y estimular el cumplimiento de
las políticas y directrices emanadas de la dirección.

• Cabe resaltar que una buena implementación del sistema de control permite tener una
conexión entre la empresa y los clientes, debido a que su principal función es aplicar a
todas las áreas de operación de las empresas permitiendo ser efectivos al momento de
obtener la información necesaria para encontrar las alternativas de solución y mitigar los
riesgos.
 REFERENCIAS BIBLIOGRÁFICAS

Muñoz, C. (2002). Auditoría en sistemas computacionales. Bogotá, D. C.: Pearson Educación.

Blanco, L. J. y Prats, D. (2005). Auditoría y sistemas informáticos. La Habana: Félix Varela.

Marulanda, C. E., López, M. y Cuesta, C. A. (2009). Modelos de desarrollo para gobierno TI.
Scientia et Technica, Año XV (41), 189-190.