Título de la Tarea: Auditoría

Nombre Asignatura: Auditoría de Sistemas

Instituto IACC
INSTRUCCIONES:
1) Considere los siguientes enunciados:
De acuerdo a lo estudiado, indique a qué tipo de control corresponden (predictivo, detectivo, correctivo)
los procesos descritos en los puntos a, b y c. Reconozca las características presentes en cada párrafo que
justifiquen su elección.
a) “La política definida por la dirección de informática establece que todo usuario de la empresa,
que tenga acceso a los sistemas informáticos que son explotados por la misma, deberán realizar
cambios periódicos de sus claves de acceso”.
Respuesta:
CONTROL CORRECTIVO: Con esta acción de realizar cambios periódicos de sus claves de acceso, se puede
evitar que otros usuarios externos ingresen a nuestra información por medio de clave acceso de un
trabajador. Con esta acción minimiza el impacto de una amenaza. Facilita la vuelta a la normalidad cuando
ha producido un procedimiento anormal con recurrencia. Esta acción y procedimiento comprende
documentación y reportes sobre supervisión a los asuntos de supervisión hasta que se solucionen.

b) “La política de seguridad de la compañía establece la utilización de software de control de acceso

que permita que solo el personal autorizado tenga acceso a archivos con información crítica”.
Respuesta:
CONTROL DETECTIVO: Con esto se puede detectar a tiempo un error, o informar la omisión o también
acerca de un acto fraudulento que pueda perjudicar la institución. Por otra parte se puede hacer un
seguimiento completo al personal autorizado de manejar información confidencial de la empresa, como
por ejemplo las veces que realiza movimientos en la documentación o las veces que ingresa a los archivos
de información.

c) “El instructivo de funcionamiento de la empresa Compus Limitada determina que el

administrador de base de datos es el encargado de realizar los respaldos de todas las bases en el
ambiente productivo, del tipo incremental una vez por día, y del tipo full una vez a la semana”.
Respuesta:
CONTROL PREVENTIVO: Estos controles ayudan a detectar los problemas antes de que aparezcan, por lo
mismo se realizan respaldos a diario y 1 vez a la semana de la información, para evitar cualquier tipo de
problema, ya sea con el software o hardware, los cuales pueden repercutir en la perdida de información.
2) Considere el siguiente hallazgo de auditoría: “Se observan cuentas activas de usuarios en el sistema SAP
pertenecientes a personal desvinculado de la compañía”.
¿Qué medidas de control interno deberían aplicarse para corregir la situación planteada?
Fundamente su respuesta.
Para comenzar lo primero es saber que es un hallazgo. Los hallazgos de auditoría, se refieren a
debilidades o fortalezas observadas por el auditor dentro de la estructura del Sistema de Control Interno,
en componentes y elementos tales como procedimientos de control, ambiente de control, sistemas de
información, entre otros.
Partes del hallazgo son evidencia que encuentra el auditor sobre un hallazgo el cual debe ser organizada
de manera que contenga los cuatros atributos del hallazgo de auditoria, los cuales son: condición, criterio,
causa, efecto y recomendación.
Condición: es lo que es, lo que sucedió, esto quiere decir que comunica los hechos que el auditor
encontró e indica que se cumplió con las normas requeridas. El objeto es determinar el tipo de evidencia
que se recogerá de manera que esta pueda servir de base para afirmar cualquier hecho.

Criterio: Se refiere a las normas estandarizadas con la cual se evalúa la situación, tales como los
reglamentos, procedimientos, contratos, convenios, instructivo, normas de control, etc.

Causa: Se describe la razón fundamental por la cual ocurrió la situación, como porque sucedió, como
sucedió, es lo que motiva el cumplimiento del criterio. La determinación de la causa ayuda al auditor a
desarrollar las recomendaciones de manera que sean efectivas para las faltas y no se vuelvan a repetir.

Efecto: Se refiere al resultado observable o la consecuencia de no haber cumplido con uno o más criterio
y lo que a ello ha significado para la institución. Si la situación examinada no tiene efecto negativo reales o
potenciales sobre los objetivos programados, no hay hallazgos. En ocasiones no se puede corroborar os
efectos pasados, pero se puede identificar futuros efectos potenciales. Si se identifica algún efecto
potencial, el auditor realizara los procedimientos necesarios para determinar s se incurrió en errores,
irregularidades o actos ilegales. Los efectos sirven también para convencer a la entidad auditada de la
necesidad de tomar medidas para implantar las recomendaciones formuladas al respecto.

Recomendación: Es la sugerencia constructiva y objetiva que se expone con el firme propósito de

erradicar la condición identificada.
Como recomendación al hallazgo de auditoria, lo que se debiera realizar es bloquear al usuario
antes de desvincular a la persona de la empresa, después de realizar la desvinculación se deberá
eliminar la cuenta, si ninguna de estas etapas fueron realizadas por las personas pertinentes, se
deberá realizar una revisión tanto a la proceso de desvinculación de las personas, como el
proceso de informar oportunamente a las personas encargadas de estas cuentas.
Además se deberá realizar una inspección de los procedimientos aplicados a este tema, de
encontrar desviaciones en la auditoria a realizar se deberá realizar modificaciones, capacitaciones
e implementar una política para las desvinculaciones futuras en la empresa.

Bibliografía

 Contenidos y recursos adicionales de la Semana 1 Auditoría de Sistemas IACC

 Universidad Nacional A Distancia, Manual de auditoría de sistemas 2006

 Guía metodológica de Control Interno