Controles informativos

Auditoria de Sistemas

Instituto IACC

13/06/2015
 Desarrollo

1) Considere la siguiente definición de alcance y objetivos de una auditoría: El alcance de la

auditoría consistirá en la revisión de controles y procesos relacionados con los proveedores

de servicios de TI. Los controles, actividades y documentos para nuestra revisión se

detallan a continuación:

 Políticas y procedimientos de proveedores de servicios de TI.

 Levantamiento de todos los proveedores de servicios de TI.
 Revisión de contratos de proveedores de servicios de TI.
 Revisión de los procedimientos de evaluación de los proveedores de servicios de TI.
 Evaluación de los controles sobre los proveedores de servicios de TI (seguridad de

la información y continuidad de operaciones).

 Revisión de reportes enviados por los proveedores de servicios de TI a la

Administración respecto al cumplimiento de sus SLA (Service Level Agreements).

De acuerdo a lo indicado anteriormente, indique qué tipo de auditoría informática se está

aplicando. Justifique su respuesta.

Se está aplicando la auditoría de gestión ya que se realiza un examen sistemático de las

decisiones y acciones de la administración para analizar el rendimiento. Se evalúa la revisión de

los aspectos de gestión, como el objetivo organizacional, las políticas y procedimientos de

proveedores, también el sistema de control que permite comprobar la eficacia o rendimiento de

la gestión de las actividades dentro de la compañía. Dentro de esta auditoria se ve lo siguiente:

- Establecer el grado en que el ente y sus proveedores han cumplido adecuadamente los

deberes y atribuciones que les han asignado.

- Determinar si los objetivos y metas propuestas en la entidad han sido logrados.
- Comparar la adecuada utilización de los recursos de la entidad.
- Determinar si es adecuada la organización de la entidad.
- Emitir una opinión a través de un informe sobre la gestión realizada por una entidad.
Por eso la auditoría de Gestión es una evaluación de los métodos y las políticas de gestión de una

organización en la administración y el uso de los recursos, la planificación táctica y estratégica, y

los empleados y mejora de la organización. Auditoría de gestión se lleva a cabo generalmente por

el empleado de la empresa o por el independiente consultor y se centró en la evaluación crítica

de la gestión en equipo en lugar de valoración del individuo.

2) A través de un cuadro explicativo, señale 2 semejanzas y 2 diferencias entre la auditoría

informática y la auditoría general (financiera, operativa).

Auditoria Informática Auditoría General (Financiera, Operativa)

Diferencias  La auditoría informática es
 Se encarga de revisar la
una parte fundamental de
razonabilidad de la información
la Seguridad
presentada en los estados
Computacional que
financieros el informe está basado
permite medir y controlar
en los principios contables y
riesgos informáticos que
presupuestarios generalmente
pueden ser aprovechados
aceptados, las opiniones del auditor
por personas o sistemas
son fácilmente previsibles y muy
ajenos a nuestra
breves.
organización o que no  El auditor no formula, en general,
deben tener acceso a recomendaciones sobre la gestión
nuestros datos. de la empresa, y si lo hace, tales
 Su objetivo es evaluar la
recomendaciones no se contienen
totalidad de lo
en el cuerpo del informe o son de
involucrado: informática,
alcance limitado y sólo se refieren
organización de centros de
a la gestión contable presupuestaria
información, hardware y
y de cumplimiento legal, no
software.
considerándose como la base del
 informe.

Semejanzas  Se puede decir que las dos auditorías hacen el uso eficiente de recursos
para que soportan los objetivos y metas de la organización para así
proteger adecuadamente los activos de la empresa.
 Tanto la auditoría financiera como la auditoría informática requieren
que los sistemas informáticos aplicados estén de acorde a las
necesidades de la organización lo cual permitirá mantener un control
adecuado de la información económica-financiera de la empresa.

3) Considere los siguientes enunciados:

 “La política definida por la dirección de informática establece que todo usuario de

la empresa, que tenga acceso a los sistemas informáticos que son explotados por la

misma, deberán realizar cambios periódicos de sus claves de acceso”.

 “La política de seguridad de la compañía establece la utilización de software de

control de acceso que permita que solo el personal autorizado tenga acceso a

archivos con información crítica”.

 “El instructivo de funcionamiento de la empresa Compus Limitada determina que

el administrador de base de datos es el encargado de realizar los respaldos de todas

las bases en el ambiente productivo, del tipo incremental una vez por día, y del tipo

full una vez a la semana”.

De acuerdo a lo estudiado, indique a qué tipo de control corresponden (predictivo,

detectivo, correctivo) los procesos descritos en los puntos a, b y c. Reconozca las

características presentes en cada párrafo que justifiquen su elección.

1. Controles preventivos: el instructivo de funcionamiento de la empresa Compus limitada

determina que el administrador de base de datos es el encargado de realizar los respaldos de

todas las base en el ambiente productivo, el tipo de incremental una vez por día, y del tipo full

una vez a la semana. Detectan los problemas antes que aparezcan, por ende realizan respaldo de

la información diariamente y semanalmente, para así no perder información por cualquier

problema a nivel software y /o Hardware, esto intentan predecir problemas potenciales antes que

ocurran.

2. Controles detectivo: la política de seguridad de la compañía establece la utilización de

software de control de acceso que permita que solo el personal autorizado tenga acceso a

archivos con información crítica. Con esto se pueden realizar un seguimiento completo al

personal autorizado para manejar información confidencial de la empresa ya que pueden ver a

qué hora ingresa y cuantas veces realiza movimientos de documentación, con esto detectan

además o informan de un error, omisión o también un acto fraudulento.

3. Controles correctivo: la política definida por la dirección de informática establece que todos

los usuarios de la empresa, te tengan acceso a los sistemas informáticos que son explotados por

la misma, deberán realizar cambios periódicos de sus claves de acceso. Con esta acción minimiza

el impacto de una amenaza. Facilita la vuelta a la normalidad cuando ha producido una

incidencia, además podemos evitar que otros usuarios externos ingresen a nuestra información

por medio de clave acceso de un trabajador. Acciones y procedimiento rectificatorio en

recurrencia, comprende documentación y reportes, sobre supervisión a los asuntos, hasta su

reformulación o solución

4) Considere el siguiente hallazgo de auditoría: “Se observan cuentas activas de usuarios en

el sistema SAP pertenecientes a personal desvinculado de la compañía”. ¿Qué medidas de

control interno deberían aplicarse para corregir la situación planteada? Fundamente su

respuesta.

Debemos tener en claro que es un hallazgo de auditoria, son hechos o situaciones que denotan

importancia por la forma como se repercuten en la administración, estos hallazgos pueden ser

tanto positivo como también negativo. Los hallazgos positivos, son hechos, aspectos buenos,

útiles, convenientes o destacables de la organización, en cambio los hallazgos negativos, son

errores, deficiencias o hechos irregulares, inconvenientes, perjudiciales, nocivos en el

funcionamiento de la organización, contrarios a los principios de la empresa. Partes del hallazgo

son evidencia que encuentra el auditor sobre un hallazgo el cual debe ser organizada de manera

que contenga los cuatros atributos del hallazgo de auditoria, los cuales son: condición criterio,

causa y efecto.

 Condición: es lo que es, lo que sucedió, esto quiere decir que comunica los hechos que el

auditor encontró e indica que se cumplió con las normas requeridas. El objeto es determinar el

tipo de evidencia que se recogerá de manera que esta pueda servir de base para afirmar cualquier

hecho.

 Criterio: Se refiere a las normas estandarizadas con la cual se evalúa la situación, tales como

los reglamentos, procedimientos, contratos, convenios, instructivo, normas de control, etc.

 Causa: Se describe la razón fundamental por la cual ocurrió la situación, como porque sucedió,

como sucedió, es lo que motiva el cumplimiento del criterio. La determinación de la causa ayuda

al auditor a desarrollar las recomendaciones de manera que sean efectivas para las faltas y no se

vuelvan a repetir.

 Efecto: Se refiere al resultado observable o la consecuencia de no haber cumplido con uno o

más criterio y lo que a ello ha significado para la institución. Si la situación examinada no tiene
efecto negativo reales o potenciales sobre los objetivos programados, no hay hallazgos. En

ocasiones no se puede corroborar os efectos pasados, pero se puede identificar futuros efectos

potenciales. Si se identifica algún efecto potencial, el auditor realizara los procedimientos

necesarios para determinar s se incurrió en errores, irregularidades o actos ilegales. Los efectos

sirven también para convencer a la entidad auditada de la necesidad de tomar medidas para

implantar las recomendaciones formuladas al respecto.

Lo Primero que se debería realizar es, bloquear al usuario andes de desvincular a la persona de la

empresa, después de realizar la desvinculación se deberá eliminar la cuenta, si ninguna de estas

etapas fueron realizadas por las personas pertinentes, se deberá realizar una revisión tanto a la

proceso de desvinculación de las personas, como el proceso de informar oportunamente a las

personas encargadas de estas cuentas, además se deberá realizar una inspección de los

procedimientos aplicados a este tema, de encontrar desviaciones en la auditoria a realizar se

deberá realizar modificaciones, capacitaciones e implementar una política para las

desvinculaciones futuras en la empresa.

Bibliografía

- CONTENIDOS SEMANA 1 PALATAFORMA VIRTUAL

- Wikipedia. Auditoría Informática. Disponible en
- [Link]