CONTADURÍA PÚBLICA

Auditoría de sistemas
Unidad 6

Identificación y valoración de riesgos, elaboración de papeles de trabajo

Para la evaluación de riesgos de seguridad en el sistema informático de una compañía, se realizó una
inspección, en la cual se detectaron las siguientes situaciones:

1. La compañía hace copias de seguridad a diario de su sistema contable; sin embargo, estas
copias reposan en el mismo servidor, nunca se ha hecho una extracción de información.

2. Nunca se ha hecho una copia de seguridad de los archivos ofimáticos, todos los usuarios de
los equipos tienen privilegios de administrador en sus computadores.

3. La navegación en internet es libre, no existe restricción alguna en páginas o contenidos,

igualmente pueden descargar archivos sin restricción alguna.

4. En la inspección se detecta que el 80% de los equipos verificados tienen archivos en el

escritorio del computador.

5. Transportan los archivos en USB.

6. Una vez al año se les realizan a los computadores mantenimientos preventivos y se tiene un
contrato de prestación de servicios con un profesional que también atiende los
mantenimientos correctivos.

7. Se establece que los trabajadores tienen acceso a los correos electrónicos de la empresa y a
los archivos compartidos incluso fuera de la organización.

1. Con la información recolectada en sus papeles de trabajo se solicita identificar los riesgos y
valorarlos de acuerdo con el siguiente modelo.

NOMBRE DE LA EMPRESA DIDÁCTICA SAS   NIT

CICLO SISTEMAS DV  
MATRIZ DE IMPACTOS EJECUCIÓN    
       

RIESGOS BAJO MODERADO ALTO

1, como nunca se ha hecho una extracción de la información puede

Ocurrir que haya perdida de la información ya que solo se realiza
Una copia en un solo servidor X
2, como nunca se a hecho una copia de seguridad de los archivos
Ofimáticos puede ocurrir la perdida de la información por no generar
Copias de seguridad adicionalmente todos los usuarios de los
Equipos pueden manipular la información ya que no tienen
Restricciones según el perfil que corresponda X
3, como a los usuarios les permiten una navegación libre la empresa X
 Puede incurrir en gastos ya que el empleado está realizando otras
actividades ajenas de lo que fue contratado de tiempo ,
adicionalmente
como no existe una restricción en páginas y contenidos puede ocurrir
que se descarguen aplicaciones que afecten la empresa como jokers
o
virus que afecten y roben la información

4. en la inspección se detectó que los archivos son guardados

erróneamente en el escritorio del computador por lo cual la información
esta visiblemente y los documentos no son almacenados de manera
adecuada por lo tanto cuando se realiza el backoup no se realice la
copia de estas archivos
X

5, en cuanto a trasladar archivos en USB puede ocurrir que haya virus

Que afecten la información y los equipos como también se puede
Generar el hurto de la información al duplicarla. X

6. como se menciona que el prestador de servicios es personal

Externo a la compañía puede ocurrir que se genere cambios de piezas
Físicas en los computadores en el momento en que este realizando
Los mantenimientos correctivos adicionalmente se corre el riesgo
Que los equipos se infecten de algún virus y se genere una pérdida de
información
X

7 en el caso de los trabajadores que poseen permisos a los correos

Electrónicos y a las carpetas compartidas se puede generar hurto de la
Información debido al índice alto de tiempo fuera de la organización,
Permitiendo modificaciones o plagios al no ser controlados. X

2. Con los riesgos identificados, diligencie el Cuestionario de auditoría que encuentra a

continuación, diseñe los cuestionamientos y marque la respuesta afirmativa o negativa, según
cada uno de los hallazgos; si es necesario, registre también las observaciones.

NOMBRE DE LA EMPRESA DIDÁCTICA SAS   NIT 0

CICLO AUDITADO SISTEMAS SISTEMAS DV  
PROCESO-POLÍTICAS DE SEGURIDAD EJECUCIÓN    
       

PREGUNTAS, CONFIRMACIONES Y CUESTIONAMIENTOS CUMPLE NO CUMPLE OBSERVACIONES

SÍ NO
la compañía cuenta con un servidor adicional para realizar las copias
de
seguridad X
Gestiona los perfiles de los usuarios dicho administrador según el
perfil
correspondiente X
Se realizan copias de seguridad del sistema contable diariamente X  
Se realiza copia de seguridad de los archivos informáticos diariamente X  
La empresa cuenta con restricciones de páginas ajenas al perfil del
usuario X  
Los usuarios cuentan con acceso a carpetas exclusivas directas al
Servidor para cada usuario X  
Los quipos de computo cuentan con restricciones en los puestos USB X
Los correos electrónicos cuentan con supervisión de la información X  
Las carpetas y archivos cuentan con restricciones para su uso solo
Dentro de la organización X  
Existe un administrador de sistemas que controle el acceso a los
Usuarios X
Existe un control escrito de las copias de seguridad X
Existen políticas sobre el uso de medios de almacenamiento X