CONTADURÍA PÚBLICA

Auditoría de sistemas
Unidad 2

CONTROL INTERNO EN AUDITORÍA DE SISTEMAS

Usted es invitado a que haga una propuesta de auditoría de sistemas a una empresa
que se dedica a la comercialización de productos de aseo; para entender el alcance de
la auditoría, usted se entrevista con el representante legal de la empresa, quien le
manifiesta sus preocupaciones de la siguiente forma:

Somos una empresa nueva, llevamos 4 años en el mercado con un excelente resultado
comercial y financiero, iniciamos comercializando productos en una oficina en la que
laborábamos cinco personas, un asistente contable y financiero, dos ejecutivos
comerciales, un almacenista y yo, como gerente. Hoy en día somos un equipo de 18
personas, dos en contabilidad, una dedicada a las actividades administrativas, un
almacenista, cinco ejecutivos comerciales y nueve personas en logística.

Mi preocupación radica en que yo quiero seguir creciendo, pero hay mucho desorden
en los procesos y tengo la dificultad que cuando requiero información, no logro tenerla
a tiempo. En la actualidad, tenemos un sistema contable y cada trabajador
administrativo y el almacenista tienen asignado un equipo de cómputo, pero no se ha
estabilizado el tránsito de la información.

El computador del almacén se ha dañado tres veces en dos años.

Manejamos la información de inventarios en Excel y en varias ocasiones he recibido

archivos con errores. La respuesta de los trabajadores es que alguien debe cambiarles
su archivo.

Hace unos días necesité una orden de compra de diciembre del año pasado, la cual
estaba en el equipo de la asistente administrativa y la respuesta que me dio fue que el
archivo se le perdió.

En dos años he cambiado tres veces de proveedor de Internet, servicio que nunca
funciona; a la red que tiene 20 gigas de velocidad se conectan los 19 equipos de
cómputo y 19 dispositivos móviles, pero parecen insuficiente; todos nos conectamos
por WIFI.

Con esta información, usted se dispone a hacer la visita preliminar para observar e
identificar riesgos; en su visita comprueba las siguientes condiciones:

1. Los equipos de cómputo están ubicado frente a las ventanas por lo que todo el
día están expuestos al sol y, en algunas ocasiones, a salpicaduras de agua.
2. Los trabajadores consumen alimentos sobre sus equipos de cómputo.
3. Los computadores no están configurados con claves de usuario ni de
administrador para acceder, cada usuario es administrador de su equipo y puede
realizar las acciones que desee en él, cualquier usuario puede prender un
computador o tener acceso a la información que se almacena.
4. Ningún computador tiene clave de ingreso, en los cuatro años que lleva la
empresa nunca se ha realizado una copia de seguridad de los archivos
ofimáticos, para el caso del programa de contabilidad, este realiza de manera
automática la copia de seguridad y la almacena en el mismo servidor, pero
ninguna de estas copias reposa fuera de la máquina.
5. En cuanto al uso del Internet se detecta que los usuarios tienen libre acceso a
diversas páginas y a las redes sociales en el horario laboral; a la hora de la
inspección, la mayoría de quienes manejan los equipos se encontraban
navegando en YouTube.
6. Para acceder al software contable, los usuarios se identifican con usuario y
contraseña; sin embargo, se evidencia que existen cuatro usuarios en el sistema
y solo dos trabajadores habilitados para trabajar, no se logra establecer quién
hace uso de los dos usuarios desconocidos.
7. A la hora de la auditoría, se detecta que el asistente contable trabaja con el
usuario contador el cual le fue prestado, los usuarios nunca han cambiado sus
usuarios y contraseñas.
8. No existen restricciones de horas para trabajar y los usuarios pueden imprimir,
reimprimir y extraer archivos planos sin restricción alguna.
9. En lo referente a los procesos, los dos usuarios pueden modificar borrar y
eliminar archivos sin restricción alguna, pero el computador identifica el tipo de
modificación, la hora y el responsable.
 1. Haga un listado en el que se identifiquen los riesgos a los que se encuentra
expuesta la empresa en sus sistemas informáticos así:

a. Los riesgos del control interno específicamente:

 Deficiencia en los controles internos de la empresa, se evidencian fallas en la

administración.
 Formación del personal, la necesidad de potenciar y concientizar en materia
de seguridad de la información de la empresa, no consumir alimentos en sus
puestos de trabajo.
 Daños en equipos de cómputo y en los servidores.
 Control de acceso a las redes, bloquear páginas que puedan traer virus y
ocasionar daños y pérdidas en la información contable.
 Inadecuada planeación de las actividades
 Desarrollo de un software seguro, no se evidencia soporte técnico para el
software de los equipos.
 La seguridad informática nunca esta a salvo de un daño y sin un back up se
corre el riesgo de no poder recuperarla en caso de daño o en caso de robo o
hackeo.
b. Los riesgos de ingreso a los sistemas informáticos y su autenticación
 Suplantación de personal idóneo para el usuario asignado
 Sustracción, alteración o perdida de los documentos
 Divulgación de información confidencial.
 Interrupción de servicios
 Requisitos y restricciones de cada usuario con su propia contraseña
c. Los riesgos a los que la información se expone por la manipulación de un
usuario
 Perdida de la información
 Corrupción o modificación de la información
  Vulnerabilidad del trabajo realizado por el usuario verdadero, esto implica
tiempo perdido para la persona que realizo correctamente sus funciones y
para la empresa un altísimo riesgo financiero por el uso inadecuado de
información sensible de la compañía
 Fugas de información y/o datos
d. Los riesgos que pueden surgir de la impresión, reimpresión y extracción de
base de datos de un sistema informático.
 Sobrecostos para el área financiera, por no existir un procedimiento definido
y un control de este.
 Inadecuado uso de los elementos de papelería generando sobrecostos
innecesarios.
 Pagos que no serian necesarios por soporte del software el cual puede
sufrir perdida de la información o en su defecto daños en la configuración
por el uso inadecuado de este.
2. Clasificación de los riesgos de los sistemas de información

Entrada a los sistemas Procesos a los sistemas Salidas de información de

informáticos informáticos los sistemas informáticos

Ineficiencia en la utilidad Deficiencia en los Fugas de información y/o

del material controles de información, datos
se evidencia fallas en la
administración
Sobrecostos para el área Necesidad de potenciar y Control de acceso a redes,
financiera ya que no concientizar en materia de bloquear paginas que
existen procedimiento seguridad a su personal. puedan descargar virus
establecidos ni supervisión que dañen la información o
de estos permitan la perdida de
esta.
Garantizar la seguridad del Inadecuada planeación y Modificación o sustracción
software, exigiendo falta de control sobre las de información
soporte técnico a su actividades
proveedor
Restringir ingresos Generar copias de Divulgación o sustracción
asignando contraseñas a seguridad que sean un de información
cada usuario respaldo en caso de confidencial
perdida o daño de la
información
Suplantación de usuarios Se puede modificar o Manipulación de la
por no tener restricción de manipular a conveniencia información, falta de
acceso información, no hay responsabilidades
auditoria de procesos pues asignadas por usuarios.
nadie tiene
responsabilidades
asignadas si segregación
de funciones.

3. Propuesta.
Para mejorar la situación de seguridad en la empresa en cada uno de los riesgos
identificados se deben de tener en cuenta los siguientes procesos de control
interno como:
En el área de administración la empresa debe coordinar la selección de
funcionarios idóneos, hábiles, capaces y con moralidad y de esta manera
realizar con eficiencia y eficacia todas las funciones.
Levantar una política interna para el uso de equipos de cómputo, donde todos
los empleados deben tener su usuario y contraseña, el software contable debe
tener perfil para cada empleado con sus respectivos usuarios y contraseñas
asignados.
Se deben tener restricciones para así poder garantizar que no ingrese un virus al
sistema y que se pierda o se dañe información importante para la empresa.
Se debe crear una política donde se prohíba el consumo de alimentos encima de
los equipos de cómputo y también es necesaria una política de infraestructura
 que permita que los equipos estén guardados del sol, la lluvia o de otro medio
físico que pueda dañarlos.
Se debe controlar el acceso de personas no autorizadas a las diferentes áreas
de la empresa.
Enel área de sistemas de la organización se debe evaluar el procesamiento
oportuno, correcto y confiable de la información de la empresa.

Cuestionario de auditoria.

Cuestionario Ambiente de Control.

N INDICADOR SIEMPRE GENERAL A VECES NUNCA

° MENTE
4 3 2 1
1 ¿Existen y/o están X
implementando manuales de
procedimientos dentro del
proceso?
2 ¿Hay definidas políticas de X
sistemas?
3 ¿Se realizan capacitaciones al X
personal que participa en el
proceso?
4 ¿Se realizan evaluaciones de X
desempeño al personal que
participa en el proceso?
5 ¿La información legal y del X
proceso, se difunde asegurando
su conocimiento y aprendizaje?
6 ¿Están establecidos los perfiles X
según las funciones de cada
persona que hace parte de los
diferentes procesos?
7 ¿Están establecidas las políticas X
de entrega de cómputo?
8 ¿Los empleados conocen los X
procesos establecidos por el
área de sistemas?
9 ¿Se realizan actualizaciones a X
manuales de procedimiento,
políticas y software según la
 normatividad?
10 ¿Se promueve la integridad y X
competencia del personal en el
proceso?
11 ¿Existe documentación de la X
asignación de responsabilidades
del personal que hace parte del
proceso?
12 ¿Existe la implementación de X
indicadores que midan el
cumplimiento de los objetivos
del área de sistemas?
Datos obtenidos en trabajo de campo - Elaboración propia

Cuestionario Gestión del Riesgo.

N INDICADOR SIEMPRE GENERAL A VECES NUNCA

° MENTE
4 3 2 1
1 ¿Se han identificado riesgos X
en el proceso?
2 ¿Han implementado controles X
para mitigarlos?
3 ¿El funcionamiento de los X
controles es monitoreado?
4 ¿Se tiene acceso restringido X
para el software, las paginas,
los archivos como para su
modificación?
Datos obtenidos en trabajo de campo - Elaboración propia
 Tabulación de cuestionarios.

PROCEDIMIENTO SIEMPRE GENERALMENTE A VECES NUNCA

Ambiente de control 0 0 7 0

Gestión del riesgo 0 0 0 9

Datos obtenidos en trabajo de campo - Elaboración propia

Después de tabular los resultados de los cuestionarios, estos muestran que en todas las
categorías existe la escala de frecuencia “A veces” y “Nunca”. Estos serán los aspectos de los
cuales se generan los procedimientos sugeridos para que cada indicador se desarrolle y mida de
la forma correcta en la cual se deben de mejorar los procesos, levantar las políticas, definir los
procedimientos correctos, realizar el control pertinente y aplicar los correctivos respectivos.