ACTIVIDAD 1

Control interno en la auditoría de sistemas parte 1: análisis de caso

Presentado por:
Diana Carolina Morales Canaria- ID 684219
Joana Maritza Romero Madrid - ID 681839
Carol Andrea Chicue Quiroga - ID 682779

Asignatura:
Auditoria de Sistemas

Docente:
DORIAN TITO OLAYA GUTIERREZ
NRC 671

Bogotá D.C.
2020
 CONTADURÍA PÚBLICA

Auditoría de sistemas

Unidad 2

CONTROL INTERNO EN AUDITORÍA DE SISTEMAS

Usted es invitado a que haga una propuesta de auditoría de sistemas a una empresa que se
dedica a la comercialización de productos de aseo; para entender el alcance de la auditoría,
usted se entrevista con el representante legal de la empresa, quien le manifiesta sus
preocupaciones de la siguiente forma:

Somos una empresa nueva, llevamos 4 años en el mercado con un excelente resultado
comercial y financiero, iniciamos comercializando productos en una oficina en la que
laboramos cinco personas, un asistente contable y financiero, dos ejecutivos comerciales, un
almacenista y yo, como gerente. Hoy en día somos un equipo de 18 personas, dos en
contabilidad, una dedicada a las actividades administrativas, un almacenista, cinco ejecutivos
comerciales y nueve personas en logística.

Mi preocupación radica en que yo quiero seguir creciendo, pero hay mucho desorden en los
procesos y tengo la dificultad que cuando requiero información, no logro tenerla a tiempo. En
la actualidad, tenemos un sistema contable y cada trabajador administrativo y el almacenista
tienen asignado un equipo de cómputo, pero no se ha estabilizado el tránsito de la
información.

El computador del almacén se ha dañado tres veces en dos años.

Manejamos la información de inventarios en Excel y en varias ocasiones he recibido archivos

con errores. La respuesta de los trabajadores es que alguien debe cambiarles su archivo.

Hace unos días necesité una orden de compra de diciembre del año pasado, la cual estaba en
el equipo de la asistente administrativa y la respuesta que me dio fue que el archivo se perdió.
En dos años he cambiado tres veces de proveedor de Internet, servicio que nunca funciona; a
la red que tiene 20 gigas de velocidad se conectan los 19 equipos de cómputo y 19
dispositivos móviles, pero parece insuficiente; todos nos conectamos por WIFI.

Con esta información, usted se dispone a hacer la visita preliminar para observar e identificar
riesgos; en su visita comprueba las siguientes condiciones:

1. Los equipos de cómputo están ubicados frente a las ventanas por lo que todo el día
están expuestos al sol y, en algunas ocasiones, a salpicaduras de agua.

2. Los trabajadores consumen alimentos sobre sus equipos de cómputo.

3. Los computadores no están configurados con claves de usuario ni de administrador

para acceder, cada usuario es administrador de su equipo y puede realizar las acciones
que desee en él, cualquier usuario puede prender un computador o tener acceso a la
información que se almacena.

4. Ningún computador tiene clave de ingreso, en los cuatro años que lleva la empresa
nunca se ha realizado una copia de seguridad de los archivos ofimáticos, para el caso del
programa de contabilidad, este realiza de manera automática la copia de seguridad y la
almacena en el mismo servidor, pero ninguna de estas copias reposa fuera de la máquina.

5. En cuanto al uso del Internet se detecta que los usuarios tienen libre acceso a diversas
páginas y a las redes sociales en el horario laboral; a la hora de la inspección, la mayoría
de quienes manejan los equipos se encontraban navegando en YouTube.

6. Para acceder al software contable, los usuarios se identifican con usuario y

contraseña; sin embargo, se evidencia que existen cuatro usuarios en el sistema y solo dos
trabajadores habilitados para trabajar, no se logra establecer quién hace uso de los dos
usuarios desconocidos.

7. A la hora de la auditoría, se detecta que el asistente contable trabaja con el usuario

contador el cual le fue prestado, los usuarios nunca han cambiado sus usuarios y
contraseñas.
 8. No existen restricciones de horas para trabajar y los usuarios pueden imprimir,
reimprimir y extraer archivos planos sin restricción alguna.

En lo referente a los procesos, los dos usuarios pueden modificar borrar y eliminar archivos sin
restricción alguna, pero el computador identifica el tipo de modificación, la hora y el responsable.

ACTUAR: Tomando como base las lecturas, haga el análisis del caso "Control interno en
auditoría de sistemas", el cual se encuentra en la plataforma virtual e incluya los temas que se
enuncian a continuación.
1. Haga un listado en el que se identifiquen los riesgos a los que se encuentra expuesta la empresa
en sus sistemas informáticos, así:
a. Los riesgos del control interno específicamente.
b. Los riesgos de ingreso a los sistemas informáticos y su autenticación.
c. Los riesgos a los que la información se expone por la manipulación de un usuario.
d. Los riesgos que pueden surgir de la impresión, reimpresión y extracción de bases de datos de
un sistema informático.
2. Clasifique los riesgos en los siguientes procesos: entradas a los sistemas informáticos, procesos
a los sistemas informáticos y salidas de información de los sistemas informáticos.
3. Después del análisis hecho, elabore una propuesta que contenga los procedimientos de control
interno que implementaría para mejorar la situación de seguridad en la empresa en cada uno de los
riesgos identificados. Además, descargue de la plataforma el anexo "Cuestionario de auditoría".

1.
a.
RIESGOS
Básicamente, podemos agrupar las amenazas a la información en cuatro grandes categorías:
Factores Humanos (accidentales, errores); Fallas en los sistemas de procesamiento de
información; Desastres naturales y; Actos maliciosos o malintencionados.

ATAQUES INFORMÁTICOS La falla principal que permite que los

Según los datos de la encuesta anual de
Seguridad del FBI, los virus informáticos
siguen siendo la principal fuente de pérdida
financiera en las organizaciones, seguidos por
los impactos derivados de accesos no
autorizados a los sistemas, el robo de
información de propiedad industrial, y la
pérdida de computadores personales o
elementos de computación móvil. Estas
causas generan más del 74% del total de las
pérdidas financieras.
usuarios sean atacados y sean víctimas de la
gran cantidad de amenazas que nos acechan,
radica en que en muchos casos no se está
gestionando la tecnología dentro de un marco
completo de protección de la información, y
en la falta de concientización a las personas
en los riesgos relacionados con el uso de
tecnología y de herramientas como Internet,
por lo que los esfuerzos se pierden o se
orientan a cumplir objetivos imprecisos. Las
inversiones en tecnología de seguridad, como
solución a los problemas planteados, deben
ser realizadas dentro de un marco
sincronizado con otra serie de medidas para
formar lo que se conoce como un “Sistema de
Gestión de Seguridad de la Información”.

IDENTIFICACIÓN EN LA RED Los sistemas informáticos utilizan niveles

Todos los sistemas informáticos conectados
en red poseen identificadores para poder
enviar y recibir la información desde otros
sistemas. Esta identificación se conoce como
la dirección IP (Internet Protocol).
Para que un sistema pueda acceder a Internet,
necesita tener una dirección IP única, que no
se repita o que no posea otro sistema en la
red. Para situaciones normales como envío de
correo ofensivo, navegación, descarga de
archivos, conversación con otros usuarios, es
posible encontrar el rastro dejado por el
computador utilizado, y en algunos casos
lograr detectar su ubicación física.
pobres de autenticación tanto de sistemas
como de usuarios, lo cual disminuye la
posibilidad de actuar contra los atacantes.
Para ataques elaborados como envío de spam,
virus o inclusive accesos no autorizados, los
atacantes han desarrollado técnicas que
permiten utilizar direcciones simuladas o
falsas, cambiando la dirección original
asignada, y de esa forma engañar los procesos
de búsqueda e identificación y en muchos
casos se valen de servidores públicos, para
que en caso de ser identifi cados, se puedan
mover fácilmente a otros sistemas sin dejar
rastro, y continuar con sus ataques.

LA GESTIÓN DE LA SEGURIDAD DE Los objetivos que se buscan con la Gestión

LA INFORMACIÓN de la Seguridad de la Información son la

“La información es un activo que, al igual
que otros activos del negocio, es esencial
para la organización, y por lo tanto debe ser
protegido de forma adecuada.”
Con la evolución de los sistemas de
información y de la forma de hacer negocios,
la información se ha convertido en uno de los
activos de mayor valor para las personas y
especialmente para las organizaciones. “Los
sistemas, redes y servicios de información
afines, deben ser fiables y seguros, dado que
los participantes son cada vez más
dependientes de estos. Sólo un enfoque que
tenga en cuenta los intereses de todos los
participantes y la naturaleza de los sistemas,
redes y servicios afines, puede proporcionar La información debe ser manejada y
una seguridad efectiva.”
ORIGEN FÍSICO
Las amenazas identificadas para este grupo,
son aquellas que puedan afectar los activos
por elementos de carácter físico ya sea por un
evento natural, por degradación o fallas
eléctricas.
ACTOS ORIGINADOS POR
CRIMINALIDAD
Las amenazas identificadas para este grupo
son aquellas que pueden afectar los activos
por situaciones como actos vandálicos,
sabotaje, infiltraciones y ataques de hackers.
HARDWARE
Las amenazas identificadas para este grupo
son aquellas que afectan los activos por
errores, fallas o degradación.
protección de la confidencialidad, integridad
y disponibilidad de la información y de los
bienes que la contienen o procesan. De esta
manera, las organizaciones y personas se
pueden proteger de:
❖ Divulgación indebida de información
sensible o confidencial, de forma
accidental o bien, sin autorización. •
Modificación sin autorización o bien,
de forma accidental, de información
crítica, sin conocimiento de los
propietarios.
❖ Pérdida de información importante sin
posibilidad de recuperarla.
❖ No tener acceso o disponibilidad de la
información cuando sea necesaria }
protegida adecuadamente de los riesgos o
amenazas que enfrenta. La información
valiosa se puede encontrar en diferentes
formas: impresa, almacenada
electrónicamente, transmitida por diferentes
medios de comunicación o de transporte,
divulgada por medios audiovisuales, en el
conocimiento de las personas, etc.
❖ Incendio, inundación
❖ Sismo
❖ Polvo
❖ Falta de ventilación
❖ Electromagnetismo.
❖ Sobrecarga eléctrica
❖ Falla de corriente (apagones)
❖ Falla de sistema (disco duro dañado)
❖ Sabotaje (ataque fisico y electronico)
❖ Intrusion a red interna
❖ Vandalismo
❖ Virus (ejecución no autorizada del
programa)
❖ infección de sistemas a través de
unidades portables sin escaneo
❖ exposición o extravío de equipo
(Disco Duro)
 ❖ Pérdida de datos por error hardware
❖ Falta de mantenimiento físico

NIVEL DE USUARIO ❖ manejo inadecuado de contraseñas

❖ Compartir contraseñas a terceros no
Las amenazas identificadas para este grupo autorizados
son aquellas que los activos por mal manejo, ❖ falta de capacitacion e induccion de
falta de capacitación o indiscreción de los riesgos
usuarios. ❖ Mal manejo de sistemas y
herramientas
❖ Pérdida de datos por error de usuario

POLÍTICAS ❖ Falta definición de perfil, privilegios

y restricciones del personal
Las amenazas identificadas en este grupo van ❖ Falta de definición de una política de
asociadas a la mala seguridad corporativa
implementación o administración de ❖ Análisis inadecuado de control de
seguridad para los activos. datos

SOFTWARE ❖ Uso de software por usuarios no

Las amenazas de software incluyen posibles autorizados
fallas dentro del diseño, desarrollo e ❖ Software malicioso (virus, troyanos
implementación del software. etc)
❖ Exposición de contraseña

Los controles de acceso impuestos a usuarios o sistemas contribuyen en gran medida en la

disminución de los riesgos presentados ante los tres pilares de seguridad: confidencialidad,
disponibilidad e integridad, la incorporación de estas medidas son eficientes siempre y cuando
exista un seguimiento en las tareas de los usuarios y el funcionamiento de los sistemas.

Con el uso de tecnologías que apoyan los procesos de negocio en las empresas, vienen inherentes
riesgos que deben ser identificados, valorados y tratados antes que estos se manifiesten, de no
hacerlo se verán expuestos a daños y pérdidas considerables.

b. Los riesgos de ingreso a los sistemas informáticos y su autenticación:

● suplantación de personal idóneo para el usuario asignado.

● sustracción, alteración o pérdida de sus documentos.
● divulgación de información confidencial.
● interrupción de servicios.
● requisitos y restricciones de cada usuario con su propia contraseña.

c. Los riesgos a los que la información se expone por la manipulación de un usuario:

 ● pérdida de información.
● corrupción o modificación de información.
● vulnerabilidad del trabajo realizado por el usuario verdadero, esto estima tiempo perdido
para esa persona realizando sus funciones y para la empresa desperdicio económico por
el acceso indebido a información sensible de la empresa.
● fugas de información y/ o datos.

d. Los riesgos que pueden surgir de la impresión, reimpresión y extracción de bases de datos de
un sistema informático:

● Privilegios excesivos e inutilizados: Cuando a alguien se le otorgan privilegios de base

de datos que exceden los requerimientos de su puesto de trabajo se crea un riesgo
innecesario. Los mecanismos de control de privilegios de los roles de trabajo han de ser
bien definidos o mantenidos.

● Abuso de Privilegios: Los usuarios pueden llegar a abusar de los privilegios legítimos
de bases de datos para fines no autorizados, por ejemplo, sustraer información
confidencial. Una vez que los registros de información alcanzan una máquina cliente,
los datos se exponen a diversos escenarios de violación.

● Inyección por SQL: Un ataque de este tipo puede dar acceso a alguien y sin ningún
tipo de restricción a una base de datos completa e incluso copiar o modificar la
información.

● Malware y spear phising: Se trata de una técnica combinada que usan los
cibercriminales, hackers patrocinados por estados o espías para penetrar en las
organizaciones y robar sus datos confidenciales.

● Auditorías débiles: No recopilar registros de auditoría detallados puede llegar a

representar un riesgo muy serio para la organización en muchos niveles.

● Exposición de los medios de almacenamiento para backup: Éstos están a menudo

desprotegidos, por lo que numerosas violaciones de seguridad han conllevado el robo de
discos y de cintas. Además, el no auditar y monitorizar las actividades de acceso de bajo
nivel por parte de los administradores sobre la información confidencial puede poner en
riesgo los datos.

● Explotación de vulnerabilidades y bases de datos mal configuradas: Los atacantes

saben cómo explotar estas vulnerabilidades para lanzar ataques contra las empresas.
 ● Datos sensibles mal gestionados: Los datos sensibles en las bases de datos estarán
expuestos a amenazas si no se aplican los controles y permisos necesarios.

● Denegación de servicio (DoS): En este tipo de ataque se le niega el acceso a las

aplicaciones de red o datos a los usuarios previstos. Las motivaciones suelen ser fraudes
de extorsión en el que un atacante remoto repetidamente atacará los servidores hasta que
la víctima cumpla con sus exigencias.

● Limitado conocimiento y experiencia en seguridad y educación: Muchas firmas

están mal equipadas para lidiar con una brecha de seguridad por la falta de
conocimientos técnicos para poner en práctica controles de seguridad, políticas y
capacitación.

2. Clasifique los riesgos en los siguientes procesos: entradas a los sistemas informáticos, procesos
a los sistemas informáticos y salidas de información de los sistemas informáticos.

ENTRADA A LOS PROCESOS DE SALIDA DE

SISTEMA SISTEMAS INFORMACIÓN DE LOS
INFORMÁTICOS INFORMÁTICOS SISTEMAS
INFORMÁTICOS

1. ineficiencia en la 1. deficiencia en los 1. fuga de información

utilidad del material. controles dentro de la y/o datos.
empresa, se evidencia
fallas en la
administración.

2. Es la capacidad del 2. La salida es la capacidad

2. Es el proceso Sistema de Información para de un Sistema de Información
mediante el cual el efectuar cálculos de acuerdo para sacar la información
Sistema de con una secuencia de procesada o bien datos de
Información toma los operaciones preestablecida. entrada al exterior. Las
datos que requiere Estos cálculos pueden unidades típicas de salida son
para procesar la efectuarse con datos las impresoras, disquetes,
información. Las introducidos recientemente entre otros.
entradas pueden ser en el sistema o bien con datos
manuales o que están almacenados.
automáticas.

3. Esta característica de los 3. Es importante aclarar que

3. Las unidades típicas sistemas permite la la salida de un Sistema de
de entrada de datos a transformación de datos Información puede constituir
las computadoras son
 fuente en información que
las terminales, las puede ser utilizada para la
cintas magnéticas, las toma de decisiones lo que
unidades de diskette, hace posible, entre otras
los códigos de barras, cosas, que un tomador de
los escáner, la voz, los decisiones genere una
monitores sensibles al proyección financiera a partir
tacto, el teclado y el de los datos que contiene un
Mouse , entre otras. estado de resultados o un
balance general de un año
base.
la entrada a otro Sistema de
Información o módulo. En
este caso, también existe una
interfase automática de
salida. Por ejemplo, el
Sistema de control de clientes
tiene una interfase automática
de salida con el Sistema de
contabilidad, ya que genera
las pólizas contables de los
movimientos procesales de
los clientes.

3. Después del análisis hecho, elabore una propuesta que contenga los procedimientos de
control interno que implementaría para mejorar la situación de seguridad en la empresa en
cada uno de los riesgos identificados. Además, descargue de la plataforma el anexo
"Cuestionario de auditoría".

Es importante establecer que el Control Interno siempre ha estado implícito en las buenas
prácticas de administración y ha sido esencial en una gestión empresarial organizada y
responsable. Éste ha sido desarrollado en el Código de Comercio; el Congreso se ha ocupado
del tema para las entidades públicas y la Superintendencia Financiera para las instituciones
que vigila y supervisa. Igualmente, hay que señalar que el tema de Control Interno y sus
prácticas se encuentran en constante evolución.
A través del tiempo estas se han transformado a la par con lo que ha ocurrido en los
mercados, ajustándose en la medida que progresaban las mejores técnicas de administración
de riesgos. Es una realidad que las condiciones cambiantes y difíciles del mercado y del
entorno económico aumentan la probabilidad o el impacto de los riesgos existentes y,
además, generan nuevos riesgos. Un sistema de control interno efectivo considera por lo
menos seis (6) elementos: Ambiente de Control, Gestión de Riesgos, actividades de control,
información, comunicación y evaluaciones independientes.

Es importante aclarar que estos 6 elementos deben ser permanentemente revisados, para que
las eventuales debilidades que se detecten se vuelvan un insumo fundamental para un proceso
de mejoramiento continuo efectivo. Se insiste en que el objetivo primordial del control es
mitigar los riesgos. El control por el control no solo no tiene sentido alguno sino que genera
ineficiencia. Se justifica la existencia de un control sólo cuando cumple su objetivo de
mitigar algún riesgo a un costo razonable, de lo contrario lo más probable es que deba
eliminarse. De ninguna manera puede afectar o impedir el desarrollo de las actividades del
negocio. En la práctica, lo fundamental para las organizaciones consiste en obtener ventajas y
valor agregado al construir un sistema de control interno efectivo.

Entre éstas vale la pena mencionar que:

★ Mejora la eficiencia y eficacia de las operaciones, y por lo tanto, produce el máximo

de resultados con el mínimo de recursos en la 7 capacidad de la organización para
alcanzar las metas y/o resultados propuestos.
★ Aumenta la confiabilidad y oportunidad en la información generada por la
organización. Esto cobra una inmensa importancia si se tiene en cuenta que cada vez
más organizaciones deben revelar apropiadamente su información financiera para los
propósitos de los diferentes grupos de interés.
★ Contribuye a prevenir y mitigar la ocurrencia de fraudes y a dar un adecuado
cumplimiento a la normatividad y regulaciones aplicables.

Por todo lo señalado, hoy en día las organizaciones deben tener claro que el control interno es
un concepto que abarca mucho más que una auditoría interna. Un sistema de control interno
implica la interrelación armónica y consciente de todos los componentes y miembros de una
organización y de su entorno en un proceso de mejoramiento continuo de su eficiencia y su
eficacia operacional para el logro de sus metas y objetivos.
 REFERENCIAS

➔ http://repositorio.unilibrepereira.edu.co:8080/pereira/bitstream/handle/123456789/593
/PROPUESTA%20DE%20MODELO%20.pdf;sequence=1
➔ https://www.ticbeat.com/tecnologias/10-grandes-amenazas-seguridad-bases-datos/
➔ https://www.monografias.com/trabajos48/informacion-contable/informacion-
contable.shtml#:~:text=Un%20sistema%20de%20informaci%C3%B3n
%20realiza,pueden%20ser%20manuales%20o%20autom%C3%A1ticas.