Control 1

Auditoría Informática
Instituto IACC
21-01-2018
 DESARROLLO

1) Considere la siguiente definición de alcance y objetivos de una auditoría:

El alcance de la auditoría consistirá en la revisión de controles y procesos

relacionados con los proveedores de servicios de TI. Los controles, actividades y
documentos para nuestra revisión se detallan a continuación:

 Políticas y procedimientos de proveedores de servicios de TI.

 Levantamiento de todos los proveedores de servicios de TI.
 Revisión de contratos de proveedores de servicios de TI.
 Revisión de los procedimientos de evaluación de los proveedores de servicios
de TI.
 Evaluación de los controles sobre los proveedores de servicios de TI
(seguridad de la información y continuidad de operaciones).
 Revisión de reportes enviados por los proveedores de servicios de TI a la
Administración respecto al cumplimiento de sus SLA (Service Level
Agreements*).

Según lo mencionado anteriormente se está aplicando la Auditoría de gestión, motivo

porque se hace un examen sistemático de las decisiones y acciones de la administración para
así poder analizar el rendimiento. También se están evaluando la gestión, lo cual implica la
revisión de los aspectos de gestión, como objetivo organizacional, las políticas, procedimientos,
estructura, sistema de control para poder comprobar la eficacia o rendimiento de la gestión de
las actividades de la Compañía. De alguna o cierta manera la auditoría intenta buscar la
respuesta de lo bien que los servicios han estado operando, si el estilo de gestión está bien
adaptado para la operación del negocio, si la auditoría de gestión se centra en los resultados, la
evaluación de la eficacia e idoneidad de los controles subyacentes al desafiar normas,
procedimientos y métodos. Por eso la auditoría de Gestión es una evaluación de los métodos y
las políticas de gestión de una organización en la administración y el uso de los recursos, la
planificación táctica y estratégica, y los empleados y mejora de la organización. Auditoría de
gestión se lleva a cabo generalmente por el empleado de la empresa o por el independiente
consultor y se centró en la evaluación crítica de la gestión en equipo en lugar de valoración del
individuo.

2) A través de un cuadro explicativo, señale 2 semejanzas y 2 diferencias entre la auditoría

informática y la auditoría general (financiera, operativa).
 Auditoria Informática Auditoría General

Diferencias  Análisis en un momento  La auditoría general se encarga

determinado. de revisar la razonabilidad de la
 Se puede recoger y evaluar información presentada en los
la evidencia para estados financieros mientras
determinar si los sistemas que la auditoría informática se
de información y los encarga de determinar el grado
recursos relacionados de eficacia del sistema
protegen adecuadamente informático aplicado en la
los activos entidad.
 Exige la participación única de
profesionales contables.
Semejanzas  Se puede decir que las dos  Tanto la auditoría financiera
auditorías hacen el uso como la auditoría informática
eficiente de recursos para requieren que los sistemas
que soportan los objetivos y informáticos aplicados estén de
metas de la organización acorde a las necesidades de la
para así proteger organización lo cual permitirá
adecuadamente los activos mantener un control adecuado
de la empresa de la información económica-
financiera de la empresa.

3) Considere los siguientes enunciados:

A. “La política definida por la dirección de informática establece que todo usuario
de la empresa, que tenga acceso a los sistemas informáticos que son
explotados por la misma, deberán realizar cambios periódicos de sus claves
de acceso”.
 Predictivo, ya que al renovar clases podremos evitar el acceso de
trabajadores o personal que no se encuentra autorizados de ingresar a los
sistemas informáticos, ya sea por robo o solo por poder compartir esta clave.
 B. “La política de seguridad de la compañía establece la utilización de software
de control de acceso que permita que solo el personal autorizado tenga
acceso a archivos con información crítica”.
 Detectivo, porque el control de acceso podrá evitar que se puedan producir
hechos de mal uso por el acceso de personal no autorizado a archivo de
carácter critico.

C. “El instructivo de funcionamiento de la empresa Compus Limitada determina

que el administrador de base de datos es el encargado de realizar los
respaldos de todas las bases en el ambiente productivo, del tipo incremental
una vez por día, y del tipo full una vez a la semana”.

 Correctivo, porque este podrá minimizar el impacto de una amenaza y nos

podrá facilitar y llevar a la normalidad al poder producirse algún tipo de
incidente.

4) Considere el siguiente hallazgo de auditoría: “Se observan cuentas activas de

usuarios en el sistema SAP pertenecientes a personal desvinculado de la
compañía”.

¿Qué medidas de control interno deberían aplicarse para corregir la situación planteada?
Fundamente su respuesta.

Lo primero que debemos hacer de forma rápida es desactivar las cuentas de los trabajadores
que ya no prestan servicios en la compañia, de esta manera tendremos que hacer de manera
eficaz y expedita la realización de una auditoría interna de seguridad en donde tendremos que
buscar la verificación de integridad, disponibilidad y confidencialidad de toda nuestra
información, posteriormente pasaremos a una auditoria de seguridad lógica lo cual implicara la
autentificación a los sistema de la información. Realizando estos dos pasos de auditoría
podremos prevenir esta situación de tener cuentas activas de usuarios que ya han sido
desvinculados de la compañía.
bibliografia

Iacc 2018. Contenidos Semana 1. Auditoría Informatica.