TALLER DE AUDITORÍA

ANDRÉS ALFONSO GRACIA GONZÁLEZ

PRESENTADO A:

ING. PABEL LUIS LÓPEZ JIMENEZ

UNIVERSIDAD DEL SINÚ – ELÍAS BECHARA ZAINÚM

FACULTAD DE CIENCIAS E INGENIERÍAS

INGENIERÍA DE SISTEMAS DE INFORMACIÓN

MONTERÍA

2021
El BANCO CORDOBES (BC) tiene un entorno informático y un auditor de
sistemas externo encuentra estas situaciones:

1. En la última reunión del comité de Informática se ha criticado el servicio

recibido y uno de los asistentes ha dicho “aquí lo que hay que hacer es un
outsourcing”, con lo que Informática está preparando un informe para
rebatir esta idea y llevarlo a la próxima reunión del Comité. Se ha dicho a la
entidad auditora que en el informe se pronuncie sobre esta posibilidad.

2. Las pruebas se realizan con datos ficticios, a excepción del caso de

Contabilidad, porque el Jefe de Contabilidad prefiere que se haga así y
considera que “hay que confiar en Informática”.

3. No existe función de “atención al usuario” y los problemas llegan dirigidos a

Desarrollo, Técnica de Sistemas, Operación del Ordenador...

4. Las compras las realiza (y a veces toma las decisiones basándose en el

precio) el Departamento de Compras para mayor transparencia (se habían
detectados casos de corrupción cuando las realizaba Informática)

5. La decisión sobre alquiler, compra o leasing de equipos viene dada por el

Departamento Financiero.

6. Las utilidades de uso restringido sólo pueden usarlas los técnicos de

sistemas para evitar errores.

7. Se están criptografiando los soportes enviados al exterior (intercambio con

otras entidades y respaldo) mediante un algoritmo desarrollado en la
Entidad y cuyo programa fuente está protegido y guardado en la caja fuerte
del banco.

8. No hay paquete de seguridad. Existen controles como que cuando se

imprime la nómina baja al centro de procesos el Subdirector de Recursos
Humanos y verifica que nadie mira los listados mientras salen y después se
los lleva “debajo del brazo”.
 Solución
1) Primeramente se debe atender a los principios de confianza de un auditor: el cual
puede aceptar indicaciones del auditado como válidas. Así como también, tener
disposición de dialogo para aclarar dudas o conflictos que pudieran surgir, como es
el caso de esta situación. Por lo cual, el auditor debe prestar atención a la versión
que da tanto el comité como el grupo de Informática y a partir de ahí, sacar sus
conclusiones y exponerlas en su informe final, sin dejarse llevar de alguna
influencia.
2) Este es un claro ejemplo de lo que no se debe hacer. A pesar de que se debe confiar
en la informática; todo sistema de información está expuesto a fallos por lo que no
es apropiado no usar datos de prueba en el área de contabilidad o cualquier otra, ya
que de esta forma se minimizan los fallos que pudieran presentarse a futuro.
3) Una excelente atención al cliente optimiza las relaciones con los consumidores. De
tal manera que los clientes satisfechos no solo compran más, sino que recomiendan
el servicio ofrecido a otras personas lo cual es una buena opción para toda empresa.
Que no haya un área de atención al cliente para las quejas podría tener un efecto
adverso a lo anteriormente mencionado y, además, podría desconocerse en que se
está fallando.
4) Ante esta situación se está actuando de manera correcta, puesto que tener a cargo de
la compra de todo aquello necesario para la empresa a personas que sepan sobre el
tema resulta beneficioso, donde quizás podría haber inconvenientes es la intuición
de compra con base a los precios, ya que más barato o caro no necesariamente
significa mejor.
5) Es una buena práctica que el departamento financiero esté al tanto de los gastos,
siempre y cuando se haga con transparencia, puesto que si en un determinado caso
se hace necesaria la compra obligatoria de algún elemento de hardware, por
ejemplo, ellos determinarán las condiciones de esta compra dado el presupuesto
disponible o la urgencia de dicha compra.
6) No es correcto que los técnicos de sistemas puedan acceder a dichas utilidades ya
que estas contienen información, en este y muchos casos, de carácter confidencial
para la empresa lo cual en manos equivocadas puede ser un error garrafal.
 7) Esta es una buena práctica de seguridad lógica y física ya que se tiene un control
sobre posibles situaciones que atenten contra la integridad del programa que se
utiliza para criptografiar los soportes.
8) Definitivamente esta es una acción poco prudente por parte del subdirector, aunque
también se debe hacer mención sobre el “control” que se tiene cuando se imprimen
los listados que no es para nada segura ya que nada garantiza que no hay alguien
que esté mirando dicha información.
En resumen, quitando el buen cuidado que tienen sobre el programa utilizado para
criptografiar los soportes que envían al exterior, en el Banco Cordobés, se evidencian
ciertas faltas de seguridad que son muy críticas a la hora de dar, entre otras cosas,
consistencia a la información que maneja la entidad bancaria, ya que esta podría sufrir de
alteraciones debido al poco cuidado que se le presta en materia de seguridad.