Controles informáticos.

Daniel Fernando Diaz Barraza

AUDITORÍA INFORMÁTICA

Instituto IACC

04 de Noviembre de 2018
Instrucciones:

1) Considere la siguiente definición de alcance y objetivos de una auditoría: El alcance de la

auditoría consistirá en la revisión de controles y procesos relacionados con los
proveedores de servicios de TI. Los controles, actividades y documentos para nuestra
revisión se detallan a continuación:
 Políticas y procedimientos de proveedores de servicios de TI.
 Levantamiento de todos los proveedores de servicios de TI.
 Revisión de contratos de proveedores de servicios de TI.
 Revisión de los procedimientos de evaluación de los proveedores de servicios de TI.
 Evaluación de los controles sobre los proveedores de servicios de TI (seguridad de la
información y continuidad de operaciones).
 Revisión de reportes enviados por los proveedores de servicios de TI a la

Administración respecto al cumplimiento de sus SLA (Service Level Agreements*). De

acuerdo a lo indicado anteriormente, indique qué tipo de auditoría informática se está
aplicando. Justifique su respuesta.

En este caso se está aplicando la auditoría de gestión ya que se realiza un análisis sistemático de
las decisiones y acciones de la administración para analizar el rendimiento. Se evalúa además la
revisión de los aspectos de gestión, como también el objetivo organizacional, las políticas y
procedimientos de proveedores, el sistema de control que permite comprobar la eficacia o
rendimiento de la gestión de las actividades dentro de la compañía. Dentro de esta auditoria se ve
lo siguiente:
Establecer el grado en que el ente y sus proveedores han cumplido adecuadamente los deberes y
atribuciones que les han asignado.
Determinar si los objetivos y metas propuestas en la entidad han sido logrados.
Comparar la adecuada utilización de los recursos de la entidad.
Determinar si es adecuada la organización de la entidad.
Emitir una opinión a través de un informe sobre la gestión realizada por una entidad.

Por eso la auditoría de Gestión es una evaluación de los métodos y las políticas de gestión de una
organización en la administración y el uso de los recursos, la planificación táctica y estratégica, y
los empleados y mejora de la organización. Auditoría de gestión se lleva a cabo generalmente
por el empleado de la empresa o por el independiente consultor y se centró en la evaluación
crítica de la gestión en equipo en lugar de valoración del individuo.
 2) A través de un cuadro explicativo, señale 2 semejanzas y 2 diferencias entre la auditoría
informática y la auditoría general (financiera, operativa).

Auditoria Informática Auditoría General (Financiera,

Operativa)
Diferencias La auditoría informática es una Se encarga de revisar la razonabilidad de
parte fundamental de la la información presentada en los estados
Seguridad Computacional que financieros el informe está basado en los
permite medir y controlar riesgos principios contables y presupuestarios
informáticos que pueden ser generalmente aceptados, las opiniones
aprovechados por personas o del auditor son fácilmente previsibles y
sistemas ajenos a nuestra muy breves.
organización o que no deben El auditor no formula, en general,
tener acceso a nuestros datos. recomendaciones sobre la gestión de la
Su objetivo es evaluar la empresa, y si lo hace, tales
totalidad de lo involucrado: recomendaciones no se contienen en el
informática, organización de cuerpo del informe o son de alcance
centros de información, hardware limitado y sólo se refieren a la gestión
y software. contable presupuestaria y de
cumplimiento legal, no considerándose
como la base del informe.
Semejanzas Se puede decir que las dos auditorías hacen el uso eficiente de recursos para
que soportan los objetivos y metas de la organización para así proteger
adecuadamente los activos de la empresa.
Tanto la auditoría financiera como la auditoría informática requieren que los
sistemas informáticos aplicados estén de acorde a las necesidades de la
organización lo cual permitirá mantener un control adecuado de la
información económica-financiera de la empresa.
 3) Considere los siguientes enunciados:
 “La política definida por la dirección de informática establece que todo usuario de la empresa,
que tenga acceso a los sistemas informáticos que son explotados por la misma, deberán realizar
cambios periódicos de sus claves de acceso”.
 “La política de seguridad de la compañía establece la utilización de software de control de
acceso que permita que solo el personal autorizado tenga acceso a archivos con información
crítica”.
 “El instructivo de funcionamiento de la empresa Compus Limitada determina que el
administrador de base de datos es el encargado de realizar los respaldos de todas las bases en el
ambiente productivo, del tipo incremental una vez por día, y del tipo full una vez a la semana”.

*SLA (service level agreements o acuerdo de nivel de servicio): contrato escrito entre un
proveedor de servicio y su cliente con objeto de fijar el nivel acordado para la calidad de dicho
servicio.

De acuerdo a lo estudiado, indique a qué tipo de control corresponden (predictivo, detectivo,

correctivo) los procesos descritos en los puntos a, b y c.

Reconozca las características presentes en cada párrafo que justifiquen su elección.

A) Controles preventivos: el instructivo de funcionamiento de la empresa Compus limitada

determina que el administrador de base de datos es el encargado de realizar los respaldos
de todas las bases en el ambiente productivo, el tipo de incremental una vez por día, y del
tipo full una vez a la semana. Detectan los problemas antes que aparezcan, por ende,
realizan respaldo de la información diariamente y semanalmente, para así no perder
información por cualquier problema a nivel software y /o Hardware, esto intentan
predecir problemas potenciales antes que ocurran.
B) Controles detectivo: la política de seguridad de la compañía establece la utilización de
software de control de acceso que permita que solo el personal autorizado tenga acceso a
archivos con información crítica. Con esto se pueden realizar un seguimiento completo al
personal autorizado para manejar información confidencial de la empresa ya que pueden
ver a qué hora ingresa y cuantas veces realiza movimientos de documentación, con esto
detectan además o informan de un error, omisión o también un acto fraudulento.
C) la política definida por la dirección de informática establece que todos los usuarios de la
empresa que tengan acceso a los sistemas informáticos que son explotados por la misma,
deberán realizar cambios periódicos de sus claves de acceso. Con esta acción minimiza el
impacto de una amenaza. Facilita la vuelta a la normalidad cuando ha producido una
incidencia, además podemos evitar que otros usuarios externos ingresen a nuestra
información por medio de clave acceso de un trabajador. Acciones y procedimiento
ratificatorio en recurrencia, comprende documentación y reportes, sobre supervisión a los
asuntos, hasta su reformulación o solución
4) Considere el siguiente hallazgo de auditoría: “Se observan cuentas activas de usuarios en el
sistema SAP pertenecientes a personal desvinculado de la compañía”. ¿Qué medidas de control
interno deberían aplicarse para corregir la situación planteada? Fundamente su respuesta.

Lo Primero que se debería realizar es, bloquear al usuario andes de desvincular a la persona de la
empresa, después de realizar la desvinculación se deberá eliminar la cuenta, si ninguna de estas
etapas fueron realizadas por las personas pertinentes, se deberá realizar una revisión tanto a la
proceso de desvinculación de las personas, como el proceso de informar oportunamente a las
personas encargadas de estas cuentas, además se deberá realizar una inspección de los
procedimientos aplicados a este tema, de encontrar desviaciones en la auditoria a realizar se
deberá realizar modificaciones, capacitaciones e implementar una política para las
desvinculaciones futuras en la empresa.

Condición - Criterio - Causa y efecto

Condición: es lo que es, lo que sucedió, esto quiere decir que comunica los hechos que el auditor
encontró e indica que se cumplió con las normas requeridas. El objeto es determinar el tipo de
evidencia que se recogerá de manera que esta pueda servir de base para afirmar cualquier hecho.

Criterio: Se refiere a las normas estandarizadas con la cual se evalúa la situación, tales como los
reglamentos, procedimientos, contratos, convenios, instructivo, normas de control, etc

Causa: Se describe la razón fundamental por la cual ocurrió la situación, como porque sucedió,
como sucedió, es lo que motiva el cumplimiento del criterio. La determinación de la causa ayuda
al auditor a desarrollar las recomendaciones de manera que sean efectivas para las faltas y no se
vuelvan a repetir.

Efecto: Se refiere al resultado observable o la consecuencia de no haber cumplido con uno o más
criterio y lo que a ello ha significado para la institución. Si la situación examinada no tiene efecto
negativo reales o potenciales sobre los objetivos programados, no hay hallazgos.
 Bibliografía

Referencias Bibliográficas

IACC (2015). Fundamentos generales de la auditoría informática. Auditoría Informática. Semana 1

Hallazgos de Auditoria, Obtenido de: http://www.academia.edu/14533865/HALLAZGOS_DE_AUDITORIA