UNIVERSIDAD DE PANAMA

CENTRO REGIONAL UNIVERSITARIO DE COCLÉ

FACULTAD DE INFORMÁTICA, ELECTRÓNICA Y COMUNICACIÓN
CURSO: Evaluación y Auditoria de Sistemas
Parcial #1
Tema: Control Interno Informático y Riesgos
Integrantes:
Ailin Rodríguez 2-7451584
Mario Martínez 2-745-788
Fecha de asignación: 15/06/2023
Fecha de Entrega: 22/06/2023 Valor: 75 puntos.

OBJETIVO:
Resolver caso de estudio empleando control interno informático y valoración de
riesgos

ACTIVIDAD:

Para los casos que se detalla presente:

• Tipo de auditoría que se debe aplicar.
• Controles y riesgos de acuerdo con los casos que se presentan.

Lee los siguientes casos y proceda a resolver:

A continuación, se detalla situaciones en las cuales debes brindar tus
recomendaciones, pensando como Auditor de un centro de procesamiento de
datos.

1. Sucedió en tu empresa, por lo tanto, identifica que tipo de Auditoría sería la

más adecuada para resolver la dificultad que la atañe: Eres el director de una
reconocida empresa a nivel nacional, sin embargo, te has dado cuenta de que el
objetivo informático no coincide con el de la empresa, de que existe un crecimiento
indiscriminado de los costos informáticos, hay inmensas quejas que los programas
no funcionan, hay problemas con la red informática y desconfiguración de equipos,
entre otros. No existe seguridad ni física ni lógica de la información manejada. Por
tanto, es recomendable revisar la gestión informática a fin de que la misma este en
función de apoyar al logro de objetivos que busca la empresa que diriges.

Resultados.
Según lo analizado del caso es auditoria de gestión informática, además de
agregar la auditoria de red, ya que hay problemas con la red.
Lo recomendado sería:
 Antes que todo verificar el cumplimiento de las funciones y actividades de
los empleados ya que la empresa presenta un crecimiento indiscriminado
de los costos informáticos y es ahí donde se recomienda la sistematización
de cada área que maneje los presupuestos de la empresa.
 El revisar y evaluar las operaciones de los sistemas, es algo muy
importante. En este caso es necesario tener al día las actualizaciones de
programas para que estos funcionen de forma adecuada. Evaluar las
 operaciones del sistema, el uso y protección de los procesos de los
programas.
 El buen manejo de la seguridad física y lógica de la información manejada
del sistema.
2. En una entrevista con el personal de una empresa X, el auditor recoge las
siguientes impresiones:
Control de Accesos:
Autorizaciones
Preguntas
¿Existe un único responsable de
implementar la política de
autorizaciones de entrada en el
Centro de Cómputos?
¿Quiénes saben cuáles son las
personas autorizadas?
Además de la tarjeta magnética de
identificación, ¿hay que pasar otra
especial?
¿Se pregunta a las visitas si
piensan visitar el Centro de
Cómputos?
¿Se prevén las visitas al Centro de
Cómputos con 24 horas al menos?
Riesgos
RIESGOS
Riesgo 1. Si, el Gerente de
Informática, pero el director puede
acceder al centro de cómputo con
acompañantes sin previo aviso.
Riesgo 2. El personal de vigilancia y el
jefe de Explotación.
Riesgo 3. No, basta que vayan
acompañados los visitantes por el
gerente o director al centro de
cómputo.
Control Interno.
Controles
Control 1. Solo con la tarjeta
Respuestas
Si, el Gerente de Informática, pero el
Director puede acceder al centro de
cómputo con acompañantes sin previo
aviso.
El personal de vigilancia y el Jefe de
Explotación.
No, solamente la primera.
No, vale la primera autorización.
No, basta que vayan acompañados por el
Gerente de Informática o Director.
Análisis y evaluación
Consideró que el director no debería y
con acompañantes sin previo aviso a
los empleados del centro de cómputo,
porque esta el riesgo del robo de datos
Todos deben saber quien son los
autorizadas
No es un riesgo alto, pero los visitantes
deben ser registrada las visitas con
anticipación.
Análisis y evaluación
Mantener la seguridad del centro de
magnética se puede pasar a la
empresa
Control 2. No, vale la primera
autorización para preguntar si los
visitantes pueden pasar al centro de
computo
Matriz de Riesgos
Constante
Probabilidad
Moderado Riesgo3
Ocasional Riesgo2
posible Riesgo1
Improbable
InsignificanteMenor
Control de Accesos: Controles Automáticos
Preguntas
¿Cree Ud. que los Controles
Automáticos son adecuados?
¿Quedan registradas todas las
entradas y salidas del Centro de
Cómputos?
Al final de cada turno, ¿Se controla el
número de entradas y salidas del
personal de Operación?
¿Puede salirse del Centro de
Cómputos sin tarjeta magnética?
RIESGOS
Riesgo 1: Si, aunque ha de
reconocerse que a pie puede llegarse
computo con toda esta protección
avanzada y tecnológica es audaz.
Muy importante, ya que es un peligro.
Por el riesgo de las bases de datos,
etc…
Crítica Mayor Catastrófico
Impacto
Respuestas
Si, aunque ha de reconocerse que a pie
puede llegarse por la noche hasta el
edificio principal.
No, solamente las del personal ajeno a
Operación.
Sí, y los vigilantes los verifican.
Sí, porque existe otra puerta de
emergencia que puede abrirse desde
adentro
Análisis y evaluación
Un riesgo mayor, ya que esta
accesible a empleados o personas
 por la noche hasta el edificio principal. vigilantes para echo de robos.
Riesgo 2: No, solamente las del Tal como a los visitantes, a los
personal ajeno a Operación. empleados también se le debe
registrar sus salidas y entradas, ya sea
en momentos libres o almuerzos.
Riesgo 3: Sí, porque existe otra puerta NO es un riego mayor, ya que todo
de emergencia que puede abrirse sitio de una empresa debe tener una
desde adentro puerta de emergencias.

Control Interno Análisis y evaluación

Control 1. Al final de cada turno, ¿Se Es importante controlar el numero de
controla el número de entradas y entradas y salidas del personal.
salidas del personal de Operación?
Sí, y los vigilantes los verifican.

Matriz de Riesgo

Constante
Probabilidad

Moderado
Riesgo1

Ocasional
Riesgo3 Riesgo2

Posible

Improbable

Insignificante Menor Crítica Mayor Catastrófico

Impacto

Control de Accesos: Vigilancia

Preguntas Respuestas
¿Hay vigilantes las 24 horas? Sí.
¿Existen circuitos cerrados de TV exteriores? Sí.
Identificadas las visitas, ¿Se les acompaña hasta la persona No.
que desean ver?
¿Conocen los vigilantes los terminales que deben quedar No, sería muy
encendidos por la noche? complicado.

RIESGOS Análisis y evaluación

Riesgo 1. Identificadas las visitas, ¿Se Es necesario que un personal
les acompaña hasta la persona que autorizado acompañe las visitas hasta
desean ver? No. la persona que desea ver. Depende de

Riesgo 2. ¿Conocen los vigilantes los
terminales que deben quedar
encendidos por la noche? No, sería
muy complicado.
las políticas de cada empresa. Por lo
tanto, es un riesgo menor improbable.
Esto es muy importante, conocer a los
vigilantes. Sería un riesgo alto, ya que
pueden vincularse personas que no
operan aquí.

Controles internos Análisis y evaluación

Control 1. ¿Hay vigilantes las 24 Muy importante para así brindar una
horas? Sí. mayor seguridad a la empresa y a los
equipos.
Control 2. ¿Existen circuitos cerrados La seguridad de los equipos
de TV exteriores? Sí. electrónico es esencial.

Matriz de riesgos:

Constante
Probabilidad

Moderado

Ocasional

Posible
Riesgo2

Improbable
Riesgo1
Insignificante Menor Crítica Mayor Catastrófico

Control de Accesos: Registros

Preguntas Respuestas
¿Existe una adecuada política de No, reconocemos que casi nunca, pero
registros? hasta ahora no ha habido necesidad.
¿Se ha registrado alguna vez a una Nunca.
persona?
¿Se abren todos los paquetes Casi nunca.
dirigidos a personas concretas y no a
Informática?
¿Hay un cuarto para abrir los Sí, pero no se usa siempre.
paquetes?

RIESGOS Análisis y evaluación

Riesgo 1. ¿Existe una adecuada Es sumamente importante el uso
 política de registros? No,
reconocemos que casi nunca, pero
hasta ahora no ha habido necesidad.
Riesgo 2. ¿Se ha registrado alguna
vez a una persona? Nunca.
Riesgo 3. ¿Se abren todos los
paquetes dirigidos a personas
concretas y no a Informática?
nunca.
adecuado de las políticas de registros.
Un punto que se debe mejorar. Las
bases de datos es algo esencial en un
centro de cómputo.
El control de registro de un personal es
veraz.
Es necesario la evaluación de los
paquetes.
Casi

Controles internos Análisis y evaluación

Control 1. ¿Hay un cuarto para abrir Debe seguirse usando el cuarto,
los paquetes? Sí, pero no se usa porque es para eso. Ya que se puede
siempre. perder cosas.

Matriz de riesgos:

Constante
Probabilidad

Moderado
Riesgo2 Riesgo1

Ocasional
Riesgo3

Posible

Improbable

Insignificante Menor Crítica Mayor Catastrófico

Al finalizar Usted debe analizar la información recolectada y elaborar los

criterios de riesgos y controles que se deben considerar.

METODOLOGÍA

Lee cada caso y crea un reporte con las soluciones que consideres pertinente para
cada caso. Entregar y presentar.

INSUMOS

PPT
Computadora
Profesora
Internet.