CONTADURÍA PÚBLICA

Auditoría de sistemas
Unidad 2

CONTROL INTERNO EN AUDITORÍA DE SISTEMAS

Usted es invitado a que haga una propuesta de auditoría de sistemas a una empresa que se dedica a la comercialización de productos de aseo; para enten
Somos una empresa nueva, llevamos 4 años en el mercado con un excelente resultado comercial y financiero, iniciamos comercializando productos en un
Mi preocupación radica en que yo quiero seguir creciendo, pero hay mucho desorden en los procesos y tengo la dificultad que cuando requiero informaci
El computador del almacén se ha dañado tres veces en dos años.
Manejamos la información de inventarios en Excel y en varias ocasiones he recibido archivos con errores. La respuesta de los trabajadores es que alguien
Hace unos días necesité una orden de compra de diciembre del año pasado, la cual estaba en el equipo de la asistente administrativa y la respuesta que m
En dos años he cambiado tres veces de proveedor de Internet, servicio que nunca funciona; a la red que tiene 20 gigas de velocidad se conectan los 19 eq

Con esta información, usted se dispone a hacer la visita preliminar para observar e identificar riesgos; en su visita comprueba las siguientes condiciones:
1.    Los equipos de cómputo están ubicado frente a las ventanas por lo que todo el día están expuestos al sol y, en algunas ocasiones, a salpicaduras de a
2.    Los trabajadores consumen alimentos sobre sus equipos de cómputo.
3.    Los computadores no están configurados con claves de usuario ni de administrador para acceder, cada usuario es administrador de su equipo y puede
4.    Ningún computador tiene clave de ingreso, en los cuatro años que lleva la empresa nunca se ha realizado una copia de seguridad de los archivos ofim
5.    En cuanto al uso del Internet se detecta que los usuarios tienen libre acceso a diversas páginas y a las redes sociales en el horario laboral; a la hora de
6.    Para acceder al software contable, los usuarios se identifican con usuario y contraseña; sin embargo, se evidencia que existen cuatro usuarios en el si
7.    A la hora de la auditoría, se detecta que el asistente contable trabaja con el usuario contador el cual le fue prestado, los usuarios nunca han cambiad
8.    No existen restricciones de horas para trabajar y los usuarios pueden imprimir, reimprimir y extraer archivos planos sin restricción alguna.
9.    En lo referente a los procesos, los dos usuarios pueden modificar borrar y eliminar archivos sin restricción alguna, pero el computador identifica el tip
uctos de aseo; para entender el alcance de la auditoría, usted se entrevista con el representante legal de la empresa, quien le manifiesta sus preocupaciones de la siguiente forma:
alizando productos en una oficina en la que laborábamos cinco personas, un asistente contable y financiero, dos ejecutivos comerciales, un almacenista y yo, como gerente. Hoy e
ando requiero información, no logro tenerla a tiempo. En la actualidad, tenemos un sistema contable y cada trabajador administrativo y el almacenista tienen asignado un equipo

bajadores es que alguien debe cambiarles su archivo.

ativa y la respuesta que me dio fue que el archivo se le perdió.
ad se conectan los 19 equipos de cómputo y 19 dispositivos móviles, pero parecen insuficiente; todos nos conectamos por WIFI.

siguientes condiciones:
ones, a salpicaduras de agua.

dor de su equipo y puede realizar las acciones que desee en él, cualquier usuario puede prender un computador o tener acceso a la información que se almacena.
idad de los archivos ofimáticos, para el caso del programa de contabilidad, este realiza de manera automática la copia de seguridad y la almacena en el mismo servidor, pero ningu
ario laboral; a la hora de la inspección, la mayoría de quienes manejan los equipos se encontraban navegando en YouTube.
n cuatro usuarios en el sistema y solo dos trabajadores habilitados para trabajar, no se logra establecer quién hace uso de los dos usuarios desconocidos.
arios nunca han cambiado sus usuarios y contraseñas.
icción alguna.
mputador identifica el tipo de modificación, la hora y el responsable.
 es de la siguiente forma:
yo, como gerente. Hoy en día somos un equipo de 18 personas, dos en contabilidad, una dedicada a las actividades administrativas, un almacenista, cinco ejecutivos comerciales y
enen asignado un equipo de cómputo, pero no se ha estabilizado el tránsito de la información.

smo servidor, pero ninguna de estas copias reposa fuera de la máquina.

a, cinco ejecutivos comerciales y nueve personas en logística.
 DATOS ANALISIS DE RIESGO TIPO DE RIESGO

Los equipos de cómputo están ubicados frente a las

ventanas por lo que todo el día están expuestos al sol y, Natural
en algunas ocasiones, a salpicaduras de agua.

Los trabajadores consumen alimentos sobre sus equipos

Social
de cómputo.

Los computadores no están configurados con claves de

usuario ni de administrador para acceder, cada usuario es
administrador de su equipo y puede realizar las acciones
Social
que desee en él, cualquier usuario puede prender un
computador o tener acceso a la información que se
almacena.

Ningún computador tiene clave de ingreso, en los cuatro

años que lleva la empresa nunca se ha realizado una copia
de seguridad de los archivos ofimáticos, para el caso del
programa de contabilidad, este realiza de manera Tecnológico
automática la copia de seguridad y la almacena en el
mismo servidor, pero ninguna de estas copias reposa fuera
de la máquina.

En cuanto al uso del Internet se detecta que los usuarios

tienen libre acceso a diversas páginas y a las redes
sociales en el horario laboral; a la hora de la inspección, la Tecnológico
mayoría de quienes manejan los equipos se encontraban
navegando en YouTube.

Para acceder al software contable, los usuarios se

identifican con usuario y contraseña; sin embargo, se
evidencia que existen cuatro usuarios en el sistema y solo
Social
dos trabajadores habilitados para trabajar, no se logra
establecer quién hace uso de los dos usuarios
desconocidos.

A la hora de la auditoría, se detecta que el asistente

contable trabaja con el usuario contador el cual le fue
Social
prestado, los usuarios nunca han cambiado sus usuarios y
contraseñas.
No existen restricciones de horas para trabajar y los
usuarios pueden imprimir, reimprimir y extraer archivos Social
planos sin restricción alguna.

En lo referente a los procesos, los dos usuarios pueden

modificar borrar y eliminar archivos sin restricción alguna,
Social
pero el computador identifica el tipo de modificación, la
hora y el responsable.
GRADO DE IMPACTO BAJO MODERADO ALTO

Muy severo

Moderado

Grave

Grave

Muy severo

Grave

Grave
Grave

Grave
 % DE
MUY ALTO RECOMENDACIONES
CUMPLIMIENTO

Determinar ubicación de la sala de computo, debe tener

0% una ubicación fisica segura, para proteger la integridad de
los activos

Revisar las normas, politicas y procedimeintos estipulados

para garantizar la seguridad de los activos, si no cuenta
20%
con estos es recomendable la creacion de algun manual o
reglamento para hacer uso de estos equipos.

Crear procedimientos para la asignacion de perfiles de

acceso a los sistemas, implementar niveles según el perfil
0%
del trabajador para proteger adecuadamente la integridad
y confidencialidad de datos y programas.

Realizar copia de seguridad en un disco duro externo o en

0% un lugar donde la empresa lo desee tener, si lo desea
puede usar un software automático el cual realiza su
copia de seguridad cada cierto tiempo según la
configuración que se le de, y recordar siempre en cifrar la
información.

Implementar autorizaciones a diferentes niveles con la

0% finalidad de proteger adecuadamente la integridad y
confidencialidad de datos y programas .

Determinar si los usuarios son restringidos, verificar el

20% acceso, limitar el numero de usuarios y ejercer un estricto
control de las actividades que se realizan.

Realizar cambios periodicos que permitan certificar la

identidad y permanencia del usuario. Validar
0%
periodicamente los permisos, alcance y estratificacion de
las claves de acceso asuganadas por cada empleado.
 Determinar horarios para habilitar y/o manipular el
programa de la empresa, divulgar estas normas y
0%
controlar la configuracion del sistema para que se habilite
según el horario estipulado.

Vigilar las vulnerabilidades que afectan el sistema en

20% operación , determinar el acceso autorizado y generar
reportes de las alertas a los diferentes niveles .
 PLAN DE AUDITORIA

FECHA 29 DE May 2020

OBJETIVO DE LA AUDITORIA
Verificar el cumplimiento de los procedimientos de acuerdo a las normas y objetivos
de la empresa, ademas diagnosticar posibles fallas en el proceso.

ALCANCE DE LA AUDITORIA
Optimizar eficientemente los procesos mediante un analisis objetivo, examinando
las evidencias obtenidas con base en toda la informacion suministrada por la entidad.

DURACION DE LA AUDITORIA
Un (1) mes

EQUIPO AUDITOR

Omar Torres
Yeferson Rodriguez
Leidy Jurado

PROCESO DOCUMENTOS

Antecedentes, vision, Archivos y graficos de la

mision, objetivos y plataforma.
organigrama de la
empresa.

Esquema basico de
tecnologia de informacion Mapa de riesgos y manual de
de la empresa, analisis de procedimeintos de las areas.
flujo de datos entre
dependencias involucradas
en mel proceso, valoracion
de riesgo.
 Encuestas y entrevistas
Indagacion de personal y
jefe de area
Papeles de Trabajo
Informe Final

AUDITOR LIDER
Nombre y Firma

AUDITADO
Nombre y Firma

REVISION
NOMBRE Y FIRMA
CARGO
UDITORIA

e acuerdo a las normas y objetivos

as en el proceso.

un analisis objetivo, examinando

rmacion suministrada por la entidad.

Auditor 1
Auditor 2
Auditor 3

AUDITOR FECHA

Omar Torres June 01

Yeferson Rodriguez June 8

Leidy Jurado June 15

1,2y3 Junio 22 - junio 30

APROBO