Controles Informáticos

Eduardo Andrés Flores Sepúlveda

Auditoria Informática
Instituto IACC
03 Febrero 2019
 Desarrollo
1) Considere la siguiente definición de alcance y objetivos de una auditoría:
El alcance de la auditoría consistirá en la revisión de controles y procesos relacionados con los
proveedores de servicios de TI. Los controles, actividades y documentos para nuestra revisión se
detallan a continuación:
- Políticas y procedimientos de proveedores de servicios de TI.
- Levantamiento de todos los proveedores de servicios de TI.
- Revisión de contratos de proveedores de servicios de TI.
- Revisión de los procedimientos de evaluación de los proveedores de servicios de TI.
- Evaluación de los controles sobre los proveedores de servicios de TI (seguridad de la
información y continuidad de operaciones).
- Revisión de reportes enviados por los proveedores de servicios de TI a la Administración
respecto al cumplimiento de sus SLA (Service Level Agreements*).

De acuerdo a lo indicado anteriormente, indique qué tipo de auditoría informática se está

aplicando. Justifique su respuesta.

Respuesta:
El tipo de auditoria que se está aplicando en el presente ejemplo establecido, sería la de
Auditoria de gestión, puesto que, está establecido en los contenidos de esta semana, esta
auditoria es la que analiza los datos relacionados con la contratación de los bienes y servicios,
respecto de la documentación de los programas y sistemas que se manejen en la empresa.

2) A través de un cuadro explicativo, señale 2 semejanzas y 2 diferencias entre la auditoría

informática y la auditoría general (financiera, operativa).

Respuesta:
En cuanto a las semejanzas podemos decir que:
a-. En ambas se puede ver que son procesos de revisión, lo que implica que están diseñados o se
relacionan con procesos del área negocios y procesos financieros
b-. Ambos requieren procesos informáticos para realizar sus tareas.
En cuanto a sus diferencias podemos destacar que:
a-. En Auditoria Informática, se requiere establecer tiempos definidos, a diferencia de Auditoria
General.
b-. Se requiere diferentes coberturas sobre todos los equipos de sistemas de información de la
empresa auditada.

3) Considere los siguientes enunciados:

- “La política definida por la dirección de informática establece que todo usuario de la empresa,
que tenga acceso a los sistemas informáticos que son explotados por la misma, deberán realizar
cambios periódicos de sus claves de acceso”.
- “La política de seguridad de la compañía establece la utilización de software de control de
acceso que permita que solo el personal autorizado tenga acceso a archivos con información
crítica”.
- “El instructivo de funcionamiento de la empresa Compus Limitada determina que el
administrador de base de datos es el encargado de realizar los respaldos de todas las bases en el
ambiente productivo, del tipo incremental una vez por día, y del tipo full una vez a la semana”.

De acuerdo a lo estudiado, indique a qué tipo de control corresponden (predictivo, detectivo,

correctivo) los procesos descritos en los puntos a, b y c. Reconozca las características presentes
en cada párrafo que justifiquen su elección.

Respuesta:
1-. En cuanto al punto a, este corresponde al tipo de control Preventivo, puesto que, esta hecho
para realizar cambios de clave, para prevenir fallas y/o clonaciones, y está enfocado más a un
tema de seguridad.
2-. El punto b, también corresponde al tipo de control Preventivo, puesto que, está enfocado a la
forma de prevenir posibles fallos, manteniendo un control sobre los accesos, principalmente a
datos de índole crítico.
3-. Y por último, el punto c, corresponde al tipo de control Correctivo, puesto que, está hecho
para realizar respaldos prevenimos, respecto la perdida de datos y posibles fallos futuros
4) Considere el siguiente hallazgo de auditoría: “Se observan cuentas activas de usuarios en el
sistema SAP pertenecientes a personal desvinculado de la compañía”.
¿Qué medidas de control interno deberían aplicarse para corregir la situación planteada?
Fundamente su respuesta.

Respuesta:
Consideraría aplicar como medida el control Detectivo específicamente a las cuentas
mencionadas de usuarios, para así asegurar lo sucedido, y de esta manera continuar con un
control Correctivo, de manera de poder eliminar estas cuentas del sistema, y de esta manera
evitar los ingresos de personas desvinculadas a la organización.
 Bibliografía

IACC 2018. Auditoría Informática. Controles informáticos. Contenidos de la Semana 1