JUZGAR: 

Lea el capítulo 5 "Control interno informático" del libro "Auditoría en

sistemas computacionales" y el capítulo 5 "El control interno" del libro "Auditoría y
sistemas informáticos" e identifique cuáles son los controles internos que se aplican para
la seguridad en el área de sistemas. Luego, haga una comparación del proceso de control
interno convencional con respecto al control interno mediado por sistemas
computacionales. Por último, consulte en Internet qué es el modelo de control COBITO, en
su versión 5, e identifique el dominio de monitoreo y el proceso de control interno.

ACTUAR: Tomando como base las lecturas, haga el análisis del caso "Control

interno en auditoría de sistemas", el cual se encuentra en la plataforma virtual e
incluya los temas que se enuncian a continuación. 

1. Haga un listado en el que se identifiquen los riesgos a los que se encuentra

expuesta la empresa en sus sistemas informáticos, así:

a. Los riesgos del control interno específicamente.

b. Los riesgos de ingreso a los sistemas informáticos y su autenticación.

c. Los riesgos a los que la información se expone por la manipulación de un usuario.

d. Los riesgos que pueden surgir de la impresión, reimpresión y extracción de bases

de datos de un sistema informático.

2. Clasifique los riesgos en los siguientes procesos: entradas a los sistemas

informáticos, procesos a los sistemas informáticos y salidas de información de los
sistemas informáticos. 

3. Después del análisis hecho, elabore una propuesta que contenga los
procedimientos de control interno que implementaría para mejorar la situación de
seguridad en la empresa en cada uno de los riesgos identificados. Además,
descargue de la plataforma el anexo "Cuestionario de auditoría".
 CASO PRÁCTICO
CONTROL INTERNO EN AUDITORÍA DE SISTEMAS

Usted es invitado a que haga una propuesta de auditoría de sistemas a una empresa que se
dedica a la comercialización de productos de aseo; para entender el alcance de la auditoría,
usted se entrevista con el representante legal de la empresa, quien le manifiesta sus
preocupaciones de la siguiente forma:

Somos una empresa nueva, llevamos 4 años en el mercado con un excelente resultado
comercial y financiero, iniciamos comercializando productos en una oficina en la que
laboramos cinco personas, un asistente contable y financiero, dos ejecutivos comerciales,
un almacenista y yo, como gerente. Hoy en día somos un equipo de 18 personas, dos en
contabilidad, una dedicada a las actividades administrativas, un almacenista, cinco
ejecutivos comerciales y nueve personas en logística.

Mi preocupación radica en que yo quiero seguir creciendo, pero hay mucho desorden en los
procesos y tengo la dificultad que cuando requiero información, no logro tenerla a tiempo.
En la actualidad, tenemos un sistema contable y cada trabajador administrativo y el
almacenista tienen asignado un equipo de cómputo, pero no se ha estabilizado el tránsito de
la información.

El computador del almacén se ha dañado tres veces en dos años.

Manejamos la información de inventarios en Excel y en varias ocasiones he recibido

archivos con errores. La respuesta de los trabajadores es que alguien debe cambiarles su
archivo.

Hace unos días necesité una orden de compra de diciembre del año pasado, la cual estaba
en el equipo de la asistente administrativa y la respuesta que me dio fue que el archivo se le
perdió.

En dos años he cambiado tres veces de proveedor de Internet, servicio que nunca funciona;
a la red que tiene 20 gigas de velocidad se conectan los 19 equipos de cómputo y 19
dispositivos móviles, pero parecen insuficiente; todos nos conectamos por WIFI.
Con esta información, usted se dispone a hacer la visita preliminar para observar e
identificar riesgos; en su visita comprueba las siguientes condiciones:

1. Los equipos de cómputo están ubicados frente a las ventanas por lo que todo el día
están expuestos al sol y, en algunas ocasiones, a salpicaduras de agua.
2. Los trabajadores consumen alimentos sobre sus equipos de cómputo.
3. Los computadores no están configurados con claves de usuario ni de administrador
para acceder, cada usuario es administrador de su equipo y puede realizar las
acciones que desee en él, cualquier usuario puede prender un computador o tener
acceso a la información que se almacena.
4. Ningún computador tiene clave de ingreso, en los cuatro años que lleva la empresa
nunca se ha realizado una copia de seguridad de los archivos ofimáticos, para el
caso del programa de contabilidad, este realiza de manera automática la copia de
seguridad y la almacena en el mismo servidor, pero ninguna de estas copias reposa
fuera de la máquina.
5. En cuanto al uso del Internet se detecta que los usuarios tienen libre acceso a
diversas páginas y a las redes sociales en el horario laboral; a la hora de la
inspección, la mayoría de quienes manejan los equipos se encontraban navegando
en YouTube.
6. Para acceder al software contable, los usuarios se identifican con usuario y
contraseña; sin embargo, se evidencia que existen cuatro usuarios en el sistema y
solo dos trabajadores habilitados para trabajar, no se logra establecer quién hace uso
de los dos usuarios desconocidos.
7. A la hora de la auditoría, se detecta que el asistente contable trabaja con el usuario
contador el cual le fue prestado, los usuarios nunca han cambiado sus usuarios y
contraseñas.
8. No existen restricciones de horas para trabajar y los usuarios pueden imprimir,
reimprimir y extraer archivos planos sin restricción alguna.
 9. En lo referente a los procesos, los dos usuarios pueden modificar borrar y eliminar
archivos sin restricción alguna, pero el computador identifica el tipo de
modificación, la hora y el responsable.

ANÁLISIS DEL CASO

1. Riesgos a los que se encuentra expuesta la empresa en sus sistemas informáticos:

a. Riesgos de control interno:
➢ Riesgo de confiabilidad y protección de información.
➢ Riesgo de seguridad y pérdida de datos.
➢ Riesgo de Infraestructura tecnológica de la empresa (uso de dispositivos).
➢ Riesgo de gestión de datos y manejo de información.
➢ Riesgo de entrada, procesamiento y emisión de datos e informes.

b. riesgo de ingresos a los sistemas de información y su autenticación:

➢ Los computadores no están configurados con claves de usuario ni de administrador
para acceder.
➢ cada usuario es administrador de su equipo y puede realizar las acciones que desee
➢ los usuarios pueden ingresar a los computadores y tener acceso a la información que
se almacena.
➢ ningún computador tiene clave de ingreso
➢ no se hacen copias de seguridad
➢ no se hace cambio de usuarios y contraseñas
➢ accesos no autorizados a los equipos y al software contable
➢ redes expuestas al acceso no autorizado

c. riesgos a los que la información se expone por la manipulación de un usuario:

➢ violación de datos
➢ pérdida de información y de archivos
➢ uso indebido de datos e información
 d. riesgos que pueden surgir de la impresión, reimpresión y extracción de bases de
datos de un sistema informático
➢ control de configuración inadecuado
➢ almacenamiento de datos no protegido
➢ control inadecuado de bases de datos
➢ susceptibilidad de daño en almacenamiento de datos e información.

2. Clasifique los riesgos en los siguientes procesos: entradas a los sistemas

informáticos, procesos a los sistemas informáticos y salidas de información de los sistemas
informáticos.

2.1. entradas a los sistemas informáticos

➢ Los computadores no están configurados con claves de usuario ni de administrador

para acceder.
➢ cada usuario es administrador de su equipo y puede realizar las acciones que desee
➢ los usuarios pueden ingresar a los computadores y tener acceso a la información que
se almacena.
➢ ningún computador tiene clave de ingreso
➢ no se hacen copias de seguridad
➢ no se hace cambio de usuarios y contraseñas
➢ accesos no autorizados a los equipos y al software contable
➢ redes expuestas al acceso no autorizado

2.2. procesos a los sistemas informáticos

riesgos que pueden surgir de la impresión, reimpresión y extracción de bases de datos de un

sistema informático

➢ control de configuración inadecuado

➢ almacenamiento de datos no protegido
➢ control inadecuado de bases de datos
 ➢ susceptibilidad de daño en almacenamiento de datos e información.
➢ No existen restricciones de horas para trabajar

2.3. salidas de información de los sistemas informáticos

riesgos a los que la información se expone por la manipulación de un usuario:

➢ violación de datos
➢ pérdida de información y de archivos
➢ uso indebido de datos e información

3. Después del análisis hecho, elabore una propuesta que contenga los
procedimientos de control interno que implementaría para mejorar la situación de
seguridad en la empresa en cada uno de los riesgos identificados.

De acuerdo a riesgos encontrados en el proceso de auditoría, la empresa debe realizar a

cambios en cuanto al manejo de los sistemas informáticos; para empezar, se deben crear
unos sistemas de seguridad en cuanto al inicio de sesión de los equipos de computacion
para evitar que cualquier persona pueda tener acceso a la información que en ellos se
guarda ya que esto representaría un impacto fuerte ya que se podría perder información o
ser usada de mala manera y no saber con precisión quién es el responsable de esto.

Otro aspecto es la reubicación de los puestos físicos de los computadores, compra de un

servidor para el almacenamiento de la información y control de la misma. se debe tener un
administrador que sea el único que tenga acceso a el desbloqueo de los usuarios o cambios
de contraseña de los empleados información que se solicitará por correo y será aprobado
por el jefe de cada área.

Por último, y no menos importante, se deben buscar estrategias para el mejoramiento de la

red wifi y el acceso a internet con medidas como el acceso restringido sólo para
computadores de uso de la empresa y la restricción a los páginas innecesarias en los
horarios laborales, como por ejemplo redes sociales y el uso de You Tube ya que esto
genera mucha congestión y consumo de internet; además de esto, mejorar la capacidad de
gigas con las que cuenta la empresa, esto con el fin de tener mejor cubrimiento de internet y
de esta manera poder realizar copias de seguridad y crear respaldo de información en la
nube y evitar pérdidas por fallas en los ordenadores.

CUESTIONARIO DE AUDITORÍA

NOMBRE DE LA EMPRESA: DIDÁCTICA SAS   NIT 0

CICLO AUDITADO SISTEMAS SISTEMAS DV  
PROCESO-CONTROL INTERNO EJECUCIÓN    
       

PREGUNTAS, CONFIRMACIONES Y CUESTIONAMIENTOS CUMPLE NO CUMPLE OBSERVACIONES

SÍ NO
La compañía cuenta con procedimientos de seguridad en los
sistemas informáticos   X  
Existe un administrador de los sistemas informáticos   X  
ACCESOS    
El número de usuarios en el sistema coincide con el número de
trabajadores con acceso X  
La totalidad de los usuarios del sistema se encuentra identificado X  
Existe un protocolo de seguridad (usuario y contraseña) para
acceder al sistema operativo (Windows) X  
Existe un protocolo de seguridad (usuario y contraseña) para
acceder al sistema transaccional (Contable) X  
Los usuarios son creados de acuerdo con el Manual de funciones de
cargo X  
       
PROCESOS      
GARANTIZAR SERVICIO DE INTERNET ESTABLE   X    
NORMAS PARA EL USO DE EQUIPOS Y EL MANEJO LOS
MISMOS  X    
UBICACIÓN DE LOS EQUIPOS DE COMPUTO    X    
 CREACIÓN DE USUARIOS Y CONTRASEÑAS DE ALTA
SEGURIDAD X     
COMPRA DE UN SERVIDOR PARA ALMACENAMIENTO DE LA
INFORMACIÓN  X    
 SE REALIZARÁ CONFIGURACIÓN CON EL PROXI QUE
PERMITA ACCESO A PÁGINAS EXCLUSIVAS PARA LA LABOR
DEL EMPLEADO  X    
 SE ESTABLECERÁ HORARIOS DE USO DEL SISTEMA
CONTABLE  X    
 SE REALIZARÁ BLOQUEO DE MODELO QUE EL EMPLEADO NO
NECESITE PARA SU LABOR  X    
       
SALIDAS      
USUARIOS Y CONTRASEÑAS PARA LA DESCARGA DE
INFORMACIÓN   X    
 USUARIO Y CONTRASEÑA PARA LA IMPRESIÓN DE
INFORMACIÓN  X    
 BLOQUEO DE CORREO DE SALIDA QUE NO COMPARTAN EL
MISMO DOMINIO. X    
 MANTENIMIENTO DE EQUIPOS DE CÓMPUTO POR PERSONAL
CALIFICADO  X    
 BLOQUEO DE TERMINALES DEL EQUIPO DE COMPUTO  X    
 IMPLEMENTACIÓN DE NORMAS PCI  X    
SE SOLICITA AUTORIZACIÓN PARA EL DESBLOQUEO DE
USUARIOS  X    
 SE ASIGNARÁ ADMINISTRADOR PARA USO DE BLOQUEO
ACTIVACION DE USUARIOS Y CONTRASEÑAS  X