CONTADURÍA PÚBLICA

Auditoría de sistemas
Unidad 6

Identificación y valoración de riesgos, elaboración de papeles de trabajo

Para la evaluación de riesgos de seguridad en el sistema informático de una compañía, se realizó una
inspección, en la cual se detectaron las siguientes situaciones:

1. La compañía hace copias de seguridad a diario de su sistema contable; sin embargo, estas
copias reposan en el mismo servidor, nunca se ha hecho una extracción de información.

2. Nunca se ha hecho una copia de seguridad de los archivos ofimáticos, todos los usuarios de
los equipos tienen privilegios de administrador en sus computadores.

3. La navegación en internet es libre, no existe restricción alguna en páginas o contenidos,

igualmente pueden descargar archivos sin restricción alguna.

4. En la inspección se detecta que el 80% de los equipos verificados tienen archivos en el

escritorio del computador.

5. Transportan los archivos en USB.

6. Una vez al año se les realizan a los computadores mantenimientos preventivos y se tiene un
contrato de prestación de servicios con un profesional que también atiende los
mantenimientos correctivos.

7. Se establece que los trabajadores tienen acceso a los correos electrónicos de la empresa y a
los archivos compartidos incluso fuera de la organización.

1. Con la información recolectada en sus papeles de trabajo se solicita identificar los riesgos y
valorarlos de acuerdo con el siguiente modelo.

NOMBRE DE LA EMPRESA DIDÁCTICA

SAS NIT
CICLO SISTEMAS DV
EJECUCIÓ
MATRIZ DE IMPACTOS N

MODERAD
RIESGOS BAJO ALTO
O
1
Restricción de internet X
2
Copia de seguridad X
3
Todos los usuarios con perfil de administrador x
 4
Mantenimientos de computadores x
5
Acceso a los correos Electrónicos X
6

2. Con los riesgos identificados, diligencie el Cuestionario de auditoría que encuentra a

continuación, diseñe los cuestionamientos y marque la respuesta afirmativa o negativa, según
cada uno de los hallazgos; si es necesario, registre también las observaciones.

NOMBRE DE LA EMPRESA DIDÁCTICA

SAS NIT 0
SISTE
CICLO AUDITADO SISTEMAS MAS DV
EJECU
PROCESO-POLÍTICAS DE SEGURIDAD CIÓN

NO
PREGUNTAS, CONFIRMACIONES Y CUM
OBSERVACIONES
CUESTIONAMIENTOS CUMPLE PLE
SÍ NO
1 El acceso al internet es solo para determinados Debe ser solo para los directores o
usuarios y para uso laboral x jefes de cada departamento
2 La compañía cuenta con procedimientos de Se debe hacer copia de seguridad
seguridad en los sistemas informáticos x en varios servidores
3 La creación de los usuarios al sistema contable se Los usuarios deben acceder a los
hace de acuerdo con cada perfil X aplicativos de acuerdo con su perfil
4 Tratar de que el mantenimiento se
Se le hace mantenimiento a los computadores X haga semestral
5 Restringir el acceso a los correos
Como es el acceso a los correos empresariales X externos
6
7
8
9