CONTROL INTERNO EN AUDITORIA DE SISTEMAS

UNIDAD 2

Presentado por:

LINDA PAOLA LOZANO CUBILLO ID: 477389

ANA MARIA ORTIZ OSPINA ID 635681

ESMERALDA CASTRO GARCIA ID 602073

LISETH KATHERINE CARMONA MUÑOZ ID 614207

Presentado a:

YANED PATRICIA SANCHEZ VARON NRC 20812

CORPORACIÓN UNIVERSITARIA MINUTO DE DIOS

CONTADURÍA PÚBLICA

AUDITORIA DE SISTEMAS

2020
 INTRODUCCIÓN

La dificultad presentada en el manejo de ciertos volúmenes de información y la

necesidad de disponer de esta de manera oportuna, integra y confiable genero lo

que se llama hoy en dia la revolución informática, la cual dia a dia se hace más

imprescindible para toda la comunidad en general pero en especial en las empresas

y es ahí en donde nace la necesidad de ejercer control en esta área. El control se

hace atraves de la auditoria de sistemas, pues esta es hace parte del control interno

y se encarga de evaluar las normas, los controles, las técnicas y los procedimientos

que tiene establecidos en las empresas.

 OBJETIVO GENERAL

Evaluar la confiabilidad, oportunidad, seguridad y la información que se procesa

a través de los sistemas.

OBJETIVOS ESPECIFICOS

 Evaluar políticas de orden técnico.

 Evaluar políticas de seguridad lógica y física

 Evaluar los recursos informáticos

 Asesorar y recomendar a los directivos

CONTADURÍA PÚBLICA
 Auditoría de sistemas

Unidad 2

CONTROL INTERNO EN AUDITORÍA DE SISTEMAS

Usted es invitado a que haga una propuesta de auditoría de sistemas a una

empresa que se dedica a la comercialización de productos de aseo; para entender

el alcance de la auditoría, usted se entrevista con el representante legal de la

empresa, quien le manifiesta sus preocupaciones de la siguiente forma:

Somos una empresa nueva, llevamos 4 años en el mercado con un excelente

resultado comercial y financiero, iniciamos comercializando productos en una oficina

en la que laboramos cinco personas, un asistente contable y financiero, dos

ejecutivos comerciales, un almacenista y yo, como gerente. Hoy en día somos un

equipo de 18 personas, dos en contabilidad, una dedicada a las actividades

administrativas, un almacenista, cinco ejecutivos comerciales y nueve personas en

logística.

Mi preocupación radica en que yo quiero seguir creciendo, pero hay mucho

desorden en los procesos y tengo la dificultad que cuando requiero información, no

logro tenerla a tiempo. En la actualidad, tenemos un sistema contable y cada

trabajador administrativo y el almacenista tienen asignado un equipo de cómputo,

pero no se ha estabilizado el tránsito de la información.

El computador del almacén se ha dañado tres veces en dos años.

Manejamos la información de inventarios en Excel y en varias ocasiones he recibido

archivos con errores. La respuesta de los trabajadores es que alguien debe

cambiarles su archivo.

Hace unos días necesité una orden de compra de diciembre del año pasado, la cual

estaba en el equipo de la asistente administrativa y la respuesta que me dio fue que

el archivo se perdió.

En dos años he cambiado tres veces de proveedor de Internet, servicio que nunca

funciona; a la red que tiene 20 gigas de velocidad se conectan los 19 equipos de

cómputo y 19 dispositivos móviles, pero parece insuficiente; todos nos conectamos

por WIFI.

Con esta información, usted se dispone a hacer la visita preliminar para observar e

identificar riesgos; en su visita comprueba las siguientes condiciones:

1. Los equipos de cómputo están ubicados frente a las ventanas por lo que

todo el día están expuestos al sol y, en algunas ocasiones, a salpicaduras de

agua.

2. Los trabajadores consumen alimentos sobre sus equipos de cómputo.

3. Los computadores no están configurados con claves de usuario ni de

administrador para acceder, cada usuario es administrador de su equipo y puede

realizar las acciones que desee en él, cualquier usuario puede prender un

computador o tener acceso a la información que se almacena.

4. Ningún computador tiene clave de ingreso, en los cuatro años que lleva la

empresa nunca se ha realizado una copia de seguridad de los archivos

ofimáticos, para el caso del programa de contabilidad, este realiza de manera

automática la copia de seguridad y la almacena en el mismo servidor, pero

ninguna de estas copias reposa fuera de la máquina.

5. En cuanto al uso del Internet se detecta que los usuarios tienen libre acceso

a diversas páginas y a las redes sociales en el horario laboral; a la hora de la

inspección, la mayoría de quienes manejan los equipos se encontraban

navegando en YouTube.

6. Para acceder al software contable, los usuarios se identifican con usuario y

contraseña; sin embargo, se evidencia que existen cuatro usuarios en el sistema

y solo dos trabajadores habilitados para trabajar, no se logra establecer quién

hace uso de los dos usuarios desconocidos.

7. A la hora de la auditoría, se detecta que el asistente contable trabaja con el

usuario contador el cual le fue prestado, los usuarios nunca han cambiado sus

usuarios y contraseñas.

8. No existen restricciones de horas para trabajar y los usuarios pueden

imprimir, reimprimir y extraer archivos planos sin restricción alguna.

9. En lo referente a los procesos, los dos usuarios pueden modificar borrar y

eliminar archivos sin restricción alguna, pero el computador identifica el tipo de

modificación, la hora y el responsable.

PREGUNTAS

1. Haga un listado en el que se identifiquen los riesgos a los que se

encuentra expuesta la empresa en sus sistemas informáticos , así:

a. Los riesgos del control interno específicamente

➔ Deficiencia en los controles dentro de la empresa,

➔ se evidencia fallas en la administración

➔ Formación del personal, la necesidad de potenciar y concienciar en materia

de seguridad de la información de la empresa, no consumir alimentos dentro

de la empresa

➔ Daños en equipo de cómputo, servidores

➔ Control de acceso a las redes, bloquear páginas que pueden descargar al

computador de la empresa generando en ellos virus y ocasionar daños,

pérdidas de información contable etc

➔ Inadecuada planeación de las actividades.

➔ Desarrollo de un software seguro, no se evidencia soporte técnico para el

software de los equipos.

➔ La seguridad informática nunca está a salvo de un daño o de recuperarla en

caso de pérdida, no hay copias de seguridad

 b. Los riesgos de ingreso a los sistemas informáticos y su

autenticación

➔ Suplantación de personal idóneo para el usuario asignado

➔ Sustracción, alteración o pérdida de sus documentos

➔ Divulgación de información confidencial

➔ Interrupción de servicios

➔ Requisitos y restricciones de cada usuario con su propia contraseña

c. Los riesgos a los que la información se expone por la

manipulación de un usuario.

➔ Pérdida de información

➔ Corrupción o modificación de información

➔ Vulnerabilidad del trabajo realizado por el usuario verdadero, esto estima

tiempo perdido para esa persona realizando sus funciones y para la empresa

desperdicio económico por el acceso indebido a información sensible de la

empresa.

➔ Fugas de información y/o datos

 d. Los riesgos que pueden surgir de la impresión, reimpresión y

extracción de bases de datos de un sistema informático.

➔ Sobre costos para el área financiera, ya que no existe horario ni supervisión

alguna

➔ Ineficiencia en la Utilidad del material

2. Clasifique los riesgos en los siguientes procesos: entradas a los sistemas

informáticos, procesos a los sistemas informáticos y salidas de información

de los sistemas informáticos.

Entrada a los Procesos a los Salidas de

sistemas informáticos sistemas Informáticos Información de los

sistemas informáticos

1. Ineficiencia en la 1.Deficiencia en los 1.Fugas de información

Utilidad del material controles dentro de la y/o datos

empresa, se evidencia

fallas en la
 administración

2.Sobre costos para el 2. formación del 2. control de acceso a

Área financiera, ya que personal, la necesidad las redes, bloquear

no existe horario ni de potenciar la páginas que pueden

supervisión alguna. necesidad y descargar al

3. daños en equipos de concientizar en materia computador de la

cómputo, servidores de seguridad de la empresa generando en

información de la ellos virus y ocasionar

empresa, no consumir daños, pérdidas de

alimentos en los sitios información contable,

de trabajo. etc

3. desarrollo de un 3. inadecuada 3. corrupción o

software seguro, no se planeación de las modificación de

evidencia soporte actividades información

técnico para el software

de los equipos

4. requisitos y 4. la seguridad 4. divulgación de

restricciones de cada informática nunca está información

usuario con su propia a salvo de un daño o de confidencial.

contraseña recuperarla en caso de

pérdida, no hay copias

de seguridad.

5. vulnerabilidad del 5.. corrupción o

trabajo realizado por el modificación de

usuario verdadero, esto información

 estima tiempo perdido

para esa persona

realizando sus

funciones y para la

empresa desperdicio

económico por el

acceso indebido a

información sensible de

la empresa

3. Después del análisis hecho, elabore una propuesta que contenga los

procedimientos de control interno que implementar para mejorar la situación

de seguridad en la empresa en cada uno de los riesgos identificados.

Inicialmente la organización debe diseñar el manual de control interno de

procedimientos donde se contemplen de forma detallada e integral, ordenada y

sistemática, instrucciones, responsabilidades e información sobre políticas,

funciones, sistemas y procedimientos de las distintas operaciones que desarrolla la

empresa en todas sus áreas.

Los procedimientos a implementar son:

➔ Contratar personal idóneo para ejecutar las funciones asignadas en cada

una de las áreas mediante un adecuado proceso de selección, brindándoles

una buena inducción y capacitándose constantemente.

➔ Contratar personal externo calificado para que realice una revisión de

equipos y defina a cuales se le debe realizar mantenimiento y cuales se

deben cambiar.

➔ Crear a cada empleado un usuario y contraseña que se maneje de manera

individual en cada uno de los equipos.

➔ Bloquear y restringir a los empleados el ingreso desde los equipos de la

empresa a redes sociales u otras páginas web que no correspondan con las

actividades propias de su cargo.

➔ Diseñar todos los manuales de funciones de cada empleado con sus

respectivos cronogramas de trabajo.

➔ Hacer un estudio de mercado para contratar o adquirir un software seguro,

confiable, que cuente con todas las funciones que necesita la empresa, que

presten un adecuado servicio técnico y que genere copia de seguridad, la

cual se debe generar diariamente y guardar tanto en el servidor como en un

disco duro externo.

➔ El software debe contar con un usuario para cada empleado con su

respectiva contraseña y se debe asignar unos permisos según el cargo de

cada funcionario para que no todos tengan acceso a la información y

funciones del software.

➔ El software debe contar con la funcionalidad de rastreo y auditoría para poder

identificar todos los movimientos realizados durante la operación por cada

usuario.

➔ El Gerente debe capacitarse en el manejo de software para poder realizar las

respectivas auditorías en todas sus áreas o procesos y no depender de

terceros.
 ➔ Implementar un adecuado manejo de los recursos

➔ Administrar, controlar y programar los costos y gastos de la empresa.

Riesgo inherente

En auditoría, "Riesgo inherente" es la susceptibilidad del saldo de una cuenta o

clase de transacciones a una representación errónea que pudiera ser de

importancia relativa, individualmente o cuando se agrega con representaciones

erróneas en otras cuentas o clases, asumiendo que no hubo controles internos

relacionados. Un riesgo inherente es uno que se encuentra en el ambiente y afecta

a varias categorías o clases de transacciones.

Riesgo corriente

Es aquel riesgo que subsiste, después de haber implementado controles. Es

importante advertir que el nivel de riesgo al que está sometido una compañía nunca

puede erradicarse totalmente. Por ello, se debe buscar un equilibrio entre el nivel de

recursos y mecanismos que es preciso dedicar para minimizar o mitigar estos

riesgos y un cierto nivel de confianza que se puede considerar suficiente (nivel de

riesgo aceptable). El riesgo residual puede verse como aquello que separa a la

compañía de la seguridad absoluta.

Riesgo Residual
Es aquel riesgo que subsiste, después de haber implementado controles. Es

importante advertir que el nivel de riesgo al que está sometido una compañía nunca

puede erradicarse totalmente.

Levantamiento de la evidencia de la auditoría. (Cuestionario de auditoria)

CONTADURÍA PÚBLICA

Auditoría de sistemas

Unidad 2

CUESTIONARIO DE AUDITORÍA

NOMBRE DE LA EMPRESA: DIDÁCTICA

SAS NIT 890312749

SISTEMA
CICLO AUDITADO SISTEMAS S DV 6

EJECUCI
PROCESO-CONTROL INTERNO ÓN

PREGUNTAS, CONFIRMACIONES Y NO OBSERVACI

CUESTIONAMIENTOS CUMPL ONES
CUMPLE E

SÍ NO

La compañía cuenta con procedimientos de X

 seguridad en los sistemas informáticos

Existe un administrador de los sistemas

informáticos X

ACCESOS

El número de usuarios en el sistema

coincide con el número de trabajadores con
acceso X

La totalidad de los usuarios del sistema se

encuentra identificado X

Existe un protocolo de seguridad (usuario y

contraseña) para acceder al sistema
operativo (Windows) X

Existe un protocolo de seguridad (usuario y

contraseña) para acceder al sistema
transaccional (Contable) X

Los usuarios son creados de acuerdo con el

Manual de funciones de cargo X

Los usuarios tienen limitados los ingresos a

las redes sociales X

Los equipos de cómputo cuentan con su

respectiva clave de bloqueo X

PROCESOS

El almacenista elabora algún tipo de

información para el área contable x

existen horas estipuladas y espacios para X

 consumir alimentos

Tiene registros de problemas presentados

por software o equipos X

SALIDAS

Al momento de retiro del personal se

bloquean sus usuarios y contraseñas X

Cuando el personal se encuentra en otra

área, su equipo permanece bloqueado? x

¿Existen sistemas secundarios de

transmisión de información entre las
oficinas? X

¿Qué tan fiable es la información obtenida

después del procesamiento? X

CONCLUSION

La auditoría de sistemas es de vital importancia para el buen desempeño de

los sistemas de información, pues atraves de esta tenemos los controles

necesarios para que los sistemas sean confiables, óptimos y oportunos,

además de garantizar un nivel de seguridad confiable

Lamentablemente en la auditoria de la empresa se encontraron demasiados

riesgos y fallas, lo que nos hace analizar que es necesario para esta empresa

la aplicación de un manual de política de control interno para el área de

sistemas, en donde se tenga la garantía de la confidencialidad y el resguardo

de la información, para prevenir la fugas o robos de la misma.

BIBLIOGRAFÍA

Tomado de: https://www.auditool.org/blog/control-interno/3073-que-es-el-

riesgo-riesgo-inherente-y-riesgo-residual#:~:text=En%20auditor%C3%ADa
%2C%20%22Riesgo%20inherente%22,no%20hubo%20controles
%20internos%20relacionados.
Tomado de:
https://www.auditool.org/blog/control-interno/3073-que-es-el-riesgo-riesgo-
inherente-y-riesgo-residual#:~:text=Es%20aquel%20riesgo%20que
%20subsiste,compa%C3%B1%C3%ADa%20nunca%20puede
%20erradicarse%20totalmente.