Controles informáticos.

Walter Fernando Reyes Peña

AUDITORÍA INFORMÁTICA

Instituto IACC

02-09-2019
 INTRODUCCIÓN

OBJETIVOS DEL CONTROL:

Reconocer las distintas clasificaciones de auditoría y los distintos tipos de auditoría

informática.

DESARROLLO:

1) Considere la siguiente definición de alcance y objetivos de una auditoría:

El alcance de la auditoría consistirá en la revisión de controles y procesos

relacionados con los proveedores de servicios de TI. Los controles, actividades y
documentos para nuestra revisión se detallan a continuación:

• Políticas y procedimientos de proveedores de servicios de TI.

• Levantamiento de todos los proveedores de servicios de TI.
• Revisión de contratos de proveedores de servicios de TI.
• Revisión de los procedimientos de evaluación de los proveedores de
servicios de TI.
• Evaluación de los controles sobre los proveedores de servicios de TI
(seguridad de la información y continuidad de operaciones).
• Revisión de reportes enviados por los proveedores de servicios de TI a
la Administración respecto al cumplimiento de sus SLA (Service Level
Agreements*).

De acuerdo a lo indicado anteriormente, indique qué tipo de auditoría informática

se está aplicando. Justifique su respuesta.

R: Con la finalidad de ahondar un poco en el tema, debemos considerar que una

auditoría de Sistemas o Auditoría TI, se acerca a los sistemas, las operaciones y las
prácticas de información de una organización, con la finalidad de determinar si el
sistema de TI mantiene la integridad de los datos y opera de manera eficiente para
cumplir con los objetivos de la organización.

Para en caso en mención de la pregunta, nos enfrentamos a una Auditoría de Gestión,

la que en palabras simples (Para no ser textual a la definición del manual en la página
8 de la semana 1), es la que se ocupa de proteger los activos y mantener la integridad
de los datos y la eficiencia operativa. Además, una auditoría de calidad, es la que
ayuda a una corporación, garantizar el cumplimiento de los requisitos o estándares
reglamentarios como de igual forma a los llamados “Conjunto de normas sobre calidad
y gestión de calidad ISO” . El uso de un sistema de software de gestión de auditoría de
TI es una forma más eficiente de realizar estas auditorías.

2) A través de un cuadro explicativo, señale 2 semejanzas y 2 diferencias entre la

auditoría informática y la auditoría general (financiera, operativa).

ÍTEMS Auditoría Informática Auditoría (Financiera, Operativa)

Los informe los cuales se entregan como observaciones y sugerencias

SEMEJANZAS

1
(Dentro del área que está siendo auditada).

Revisión de documentación en función de lo aditado, Ejemplo,

2 documentos de ventas, compras, libros diarios, etc.
 ÍTEMS Auditoría Informática Auditoría (Financiera, Operativa)
Es ni más ni menos que una La auditoría es el examen detallado
herramienta más, que de los informes financieros de una
gestiona el control y flujo de organización y se utiliza para
la información en una proporcionar a todas las partes
empresa. Además la interesadas la confianza de que los
1 herramienta, es de utilidad informes contables de la
DIFERENCIAS

sirven para monitorear organización son precisos.

cualquier actividad individual
torno a los accesos y uso de
la información.

Evaluación de los procesos Evalúa todos los elementos que se

que existen en una relacionen con la eficiencia en torno
corporación, desde la vista a la productividad en las
2
que tengan que ver con el operaciones en una empresa.Del
área TI. mismo modo evalúa a toda la
organización como una unidad.

3) Considere los siguientes enunciados:

• “La política definida por la dirección de informática establece que todo

usuario de la empresa, que tenga acceso a los sistemas informáticos
que son explotados por la misma, deberán realizar cambios periódicos
de sus claves de acceso”.
R: Respecto al enunciado anterior, es posible reconocerlo como “Control
Preventivo”. Lo anterior a consecuencia que las políticas de una corporación
es salvaguardar la integridad de la información que mantiene en sus
sistemas de información, toda vez que en la actualidad, en una era
netamente digital, existen más vulnerabilidades que permiten fugas de
información.

• “La política de seguridad de la compañía establece la utilización de

software de control de acceso que permita que solo el personal
autorizado tenga acceso a archivos con información crítica”.
 R: De a cuerdo a lo expuesto tanto en la semana como en lo indicado en el
caso anterior, podemos definirlo como un “Control Detectivo”, pese que
igualmente podría ser un control del tipo preventivo, para éste caso, es
posible usarlo como sistema de información para verificar o auditar, cada uno
de los procesos que realizan los trabajadores, con la finalidad de conocer de
forma fehaciente los procesos en que se encuentran involucrado cada uno de
los trabajadores que disponen acceso a la información “Crítica” de la
compañía.

• “El instructivo de funcionamiento de la empresa Compus Limitada

determina que el administrador de base de datos es el encargado de
realizar los respaldos de todas las bases en el ambiente productivo, del
tipo incremental una vez por día, y del tipo full una vez a la semana”.
R: Es claro conforme a lo estudiado durante la semana, que al catalogar con
el ejemplo de “Procedimiento de Respaldo de Información”(Pág10), lo
encasilla como tipo de control correctivo, debido a que éste tipo de controles
se encuentran diseñados para mitigar o limitar el impacto potencial de un
evento de amenaza(perdida de información en este caso) una vez que ha
ocurrido y recuperarse a las operaciones normales.

De acuerdo a lo estudiado, indique a qué tipo de control corresponden (predictivo,

detectivo, correctivo) los procesos descritos en los puntos a, b y c. Reconozca las
características presentes en cada párrafo que justifiquen su elección.

4) Considere el siguiente hallazgo de auditoría: “Se observan cuentas activas de

usuarios en el sistema SAP pertenecientes a personal desvinculado de la
compañía”. ¿Qué medidas de control interno deberían aplicarse para corregir la
situación planteada? Fundamente su respuesta.
R: Una ejemplificación típica de las grandes empresas son problemáticas gatillantes de
fuga de información.
Creo que acá el Control Interno es portante que se haga ver y notar. Debemos
considerar que el mantener una “Auditoría de la Seguridad Lógica”, de forma eficaz y
eficiente dentro de los estándares de la compañía.
Debemos reconocer que los sistemas informáticos, deben estar adecuadamente
protegidos contra el acceso no autorizado y la destrucción o alteración accidental o
intencional de los programas de software del sistema, programas de aplicación y datos.
La protección contra estas amenazas se logra mediante la implementación de controles
de seguridad lógicos que anteriormente ya comentábamos, cuyo objetivo principal es
que restringen las capacidades de acceso de los usuarios del sistema y evitan que
usuarios no autorizados accedan al sistema. Pueden existir controles de seguridad
lógicos dentro del sistema operativo, el sistema de administración de la base de datos,
el programa de aplicación o los tres.
 REFERENCIAS BIBLIOGRÁFICAS

 MANUAL DE CONTENIDO AUDITORÍA INFORMÁTICA SEMANA 1.-