CONTROL INTERNO EN AUDITORÍA DE SISTEMAS

Usted es invitado a que haga una propuesta de auditoría de sistemas a una empresa
que se dedica a la comercialización de productos de aseo; para entender el alcance de
la auditoría, usted se entrevista con el representante legal de la empresa, quien le
manifiesta sus preocupaciones de la siguiente forma:

Somos una empresa nueva, llevamos 4 años en el mercado con un excelente resultado
comercial y financiero, iniciamos comercializando productos en una oficina en la que
laborábamos cinco personas, un asistente contable y financiero, dos ejecutivos
comerciales, un almacenista y yo, como gerente. Hoy en día somos un equipo de 18
personas, dos en contabilidad, una dedicada a las actividades administrativas, un
almacenista, cinco ejecutivos comerciales y nueve personas en logística.

Mi preocupación radica en que yo quiero seguir creciendo, pero hay mucho desorden
en los procesos y tengo la dificultad que cuando requiero información, no logro tenerla
a tiempo. En la actualidad, tenemos un sistema contable y cada trabajador
administrativo y el almacenista tienen asignado un equipo de cómputo, pero no se ha
estabilizado el tránsito de la información.

El computador del almacén se ha dañado tres veces en dos años.

Manejamos la información de inventarios en Excel y en varias ocasiones he recibido

archivos con errores. La respuesta de los trabajadores es que alguien debe cambiarles
su archivo.

Hace unos días necesité una orden de compra de diciembre del año pasado, la cual
estaba en el equipo de la asistente administrativa y la respuesta que me dio fue que el
archivo se le perdió.

En dos años he cambiado tres veces de proveedor de Internet, servicio que nunca
funciona; a la red que tiene 20 gigas de velocidad se conectan los 19 equipos de
cómputo y 19 dispositivos móviles, pero parecen insuficiente; todos nos conectamos
por WIFI.
Con esta información, usted se dispone a hacer la visita preliminar para observar e
identificar riesgos; en su visita comprueba las siguientes condiciones:

1. Los equipos de cómputo están ubicado frente a las ventanas por lo que todo el
día están expuestos al sol y, en algunas ocasiones, a salpicaduras de agua.
2. Los trabajadores consumen alimentos sobre sus equipos de cómputo.
3. Los computadores no están configurados con claves de usuario ni de
administrador para acceder, cada usuario es administrador de su equipo y puede
realizar las acciones que desee en él, cualquier usuario puede prender un
computador o tener acceso a la información que se almacena.
4. Ningún computador tiene clave de ingreso, en los cuatro años que lleva la
empresa nunca se ha realizado una copia de seguridad de los archivos
ofimáticos, para el caso del programa de contabilidad, este realiza de manera
automática la copia de seguridad y la almacena en el mismo servidor, pero
ninguna de estas copias reposa fuera de la máquina.
5. En cuanto al uso del Internet se detecta que los usuarios tienen libre acceso a
diversas páginas y a las redes sociales en el horario laboral; a la hora de la
inspección, la mayoría de quienes manejan los equipos se encontraban
navegando en YouTube.
6. Para acceder al software contable, los usuarios se identifican con usuario y
contraseña; sin embargo, se evidencia que existen cuatro usuarios en el sistema
y solo dos trabajadores habilitados para trabajar, no se logra establecer quién
hace uso de los dos usuarios desconocidos.
7. A la hora de la auditoría, se detecta que el asistente contable trabaja con el
usuario contador el cual le fue prestado, los usuarios nunca han cambiado sus
usuarios y contraseñas.
8. No existen restricciones de horas para trabajar y los usuarios pueden imprimir,
reimprimir y extraer archivos planos sin restricción alguna.
 9. En lo referente a los procesos, los dos usuarios pueden modificar borrar y
eliminar archivos sin restricción alguna, pero el computador identifica el tipo de
modificación, la hora y el responsable.

INFORME PARTE 2 “HALLAZGOS DE AUDITORIA DE SISTEMAS”

SEGÚN LOS HALLAZGOS SE ORGANIZAN DE ESTA MANERA:

En el siguiente informe de auditoria se organiza de mayor a menor, deesde los

mayores riesgos hasta los menores riesgos, y en ese orden se numeraran del 1 al 9
donde 1 es el mayor riesgo y 9 el menor.

HALLAZGO No. 1

CONTROL INTERNO EN AUDITORÍA DE SISTEMAS – EMPRESA COMERC-

ASEO

Hallazgos de la Auditoría H1
Proceso SISTEMAS
Objetivo de Control Evaluación de departamento de Sistemas
Riesgos Asociados R1
Descripción

Ningún computador tiene clave de ingreso, en los cuatro años que lleva la
empresa nunca se ha realizado una copia de seguridad de los archivos
ofimáticos, para el caso del programa de contabilidad, este realiza de manera
automática la copia de seguridad y la almacena en el mismo servidor, pero
ninguna de estas copias reposa fuera de la máquina.
Recomendación
El encargado de la administración de los equipos debe incluir clave de acceso a los
equipos de computo y programar copias de seguridad programadas y periódicas al
sistema, y guardar copias en otros computadores, en la nube o en dispositivos
extraíbles.
Causa o conclusión.
 La falta de cuidado y controles a los accesos a la información por parte del encargado
de la administración de los equipos de computo y del departamento de sistemas de la
entidad, tanto en cuanto al acceso a los equipos, como a tener copias de seguridad de
información.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en alto, en cuanto al impacto
es catastrófico, ya que se podría perder la información en forma irreparable.

HALLAZGO No. 2

CONTROL INTERNO EN AUDITORÍA DE SISTEMAS – EMPRESA COMERC-

ASEO

Hallazgos de la Auditoría H2
Proceso SISTEMAS
Objetivo de Control Evaluación de departamento de Sistemas
Riesgos Asociados R2
Descripción
En cuanto al uso del Internet se detecta que los usuarios tienen libre acceso a diversas
páginas y a las redes sociales en el horario laboral; a la hora de la inspección, la
mayoría de quienes manejan los equipos se encontraban navegando en YouTube.
Recomendación
El Administrador del sistema y de la red debe restringir el acceso a paginas diferentes
a las institucionales a las requeridas para el cumplimiento de las obligaciones de los
empleados y restringir el uso de redes sociales en estos computadores
Causa o conclusión.
Falta de filtrar el contenido al que se puede acceder desde la red de la empresa, y de
restringir redes sociales.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en medio alto, en cuanto al
impacto es alto, ya que es muy probable la entrada de virus o de malvare que nos
roben información.
HALLAZGO No. 3

CONTROL INTERNO EN AUDITORÍA DE SISTEMAS – EMPRESA COMERC-

ASEO

Hallazgos de la Auditoría H3
Proceso SISTEMAS
Objetivo de Control Evaluación de departamento de Sistemas
Riesgos Asociados R3
Descripción
Los computadores no están configurados con claves de usuario ni de administrador
para acceder, cada usuario es administrador de su equipo y puede realizar las
acciones que desee en él, cualquier usuario puede prender un computador o tener
acceso a la información que se almacena.
Recomendación
El encargado de la administración de los equipos debe incluir clave de acceso a los
equipos de computo.
Causa o conclusión.
La falta de cuidado y controles a los accesos a la información por parte del encargado
de la administración de los equipos de computo y del departamento de sistemas de la
entidad.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en medio alto, en cuanto al
impacto es moderado.

HALLAZGO No. 4

CONTROL INTERNO EN AUDITORÍA DE SISTEMAS – EMPRESA COMERC-

ASEO

Hallazgos de la Auditoría H4
Proceso SISTEMAS
Objetivo de Control Evaluación de departamento de Sistemas
Riesgos Asociados R4
Descripción
 A la hora de la auditoría, se detecta que el asistente contable trabaja con el usuario
contador el cual le fue prestado, los usuarios nunca han cambiado sus usuarios y
contraseñas.
Recomendación
El Administrador de los sistemas y la oficina de talento humano debe prever que cada
vez que ingrese un un empleado nuevo debe creársele un usuario propio, ya que la
recomendación radica en que los trabajadores, no trabajen con claves de otros
usuarios, ya que esto no permite un control acerca de las modificaciones que se
realicen al sistema.
Causa o conclusión.
El Administrador de los sistemas y la oficina de talento humano debe realizar control al
momento de incorporar o retirar un usuario y hacer auditorias de las claves utilizadas
por los empleados.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en medio, en cuanto al
impacto es moderado.

HALLAZGO No. 5

CONTROL INTERNO EN AUDITORÍA DE SISTEMAS – EMPRESA COMERC-

ASEO

Hallazgos de la Auditoría H5
Proceso SISTEMAS
Objetivo de Control Evaluación de departamento de Sistemas
Riesgos Asociados R5
Descripción
En lo referente a los procesos, los dos usuarios pueden modificar borrar y eliminar
archivos sin restricción alguna, pero el computador identifica el tipo de modificación, la
hora y el responsable.

Recomendación
El Administrador de los sistemas y la oficina de talento humano deben prever que cada
vez que ingrese un un empleado nuevo debe creársele un usuario propio, de igual
 manera prohibir que los usuarios compartan sus claves, ya que de esta manera se
puede controlar por medio del sistema acerca de las modificaciones que se
realicen al sistema, la hora, la fecha y el usuario que lo realizo, lo cual nos puede
evitar que alguien manipule el sistema y no lo podamos identificar.
Causa o conclusión.
El Administrador de los sistemas y la oficina de talento humano debe realizar control al
momento de incorporar o retirar un usuario y hacer auditorias de las claves utilizadas
por los empleados y no ser permisivos en cuanto al trabajar con claves ajenas.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en medio, en cuanto al
impacto es moderado.

HALLAZGO No.6

CONTROL INTERNO EN AUDITORÍA DE SISTEMAS – EMPRESA COMERC-

ASEO

Hallazgos de la Auditoría H6
Proceso SISTEMAS
Objetivo de Control Evaluación de departamento de Sistemas
Riesgos Asociados R6
Descripción
Para acceder al software contable, los usuarios se identifican con usuario y
contraseña; sin embargo, se evidencia que existen cuatro usuarios en el sistema y solo
dos trabajadores habilitados para trabajar, no se logra establecer quién hace uso de
los dos usuarios desconocidos.
Recomendación
El Administrador de los sistemas y la oficina de talento humano deben prever que cada
vez que ingrese un un empleado nuevo debe creársele un usuario propio, de igual
manera prohibir que los usuarios compartan sus claves, ya que de esta manera se
puede controlar por medio del sistema acerca de las modificaciones que se
realicen al sistema, la hora, la fecha y el usuario que lo realizo, lo cual nos puede
evitar que alguien manipule el sistema y no lo podamos identificar.
Causa o conclusión.
El Administrador de los sistemas y la oficina de talento humano debe realizar control al
momento de incorporar o retirar un usuario y hacer auditorias de las claves utilizadas
 por los empleados y no ser permisivos en cuanto al trabajar con claves ajenas.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en medio, en cuanto al
impacto es moderado.

HALLAZGO No.7

CONTROL INTERNO EN AUDITORÍA DE SISTEMAS – EMPRESA COMERC-

ASEO

Hallazgos de la Auditoría H7
Proceso SISTEMAS
Objetivo de Control Evaluación de departamento de Sistemas
Riesgos Asociados R7
Descripción
No existen restricciones de horas para trabajar y los usuarios pueden imprimir,
reimprimir y extraer archivos planos sin restricción alguna.
Recomendación
El Administrador de las aulas de informática debe establecer unos horarios para
imprimir y reimprimir y establecer un control al acceso y extracción de la información
de la información mediante unos usuarios y autenticación por medio de claves para
saber quien y que información extrae del sistema ya información se expone por la
manipulación de un usuario y extracción de bases de datos de un sistema
informático.
Causa o conclusión.
El Administrador de las aulas de informática no realiza seguimiento o mecanismos de
seguridad para tal efecto u horarios para los diferentes procesos de impresión y
fotocopiado.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en medio, en cuanto al
impacto es moderado.

HALLAZGO No. 8
 CONTROL INTERNO EN AUDITORÍA DE SISTEMAS – EMPRESA COMERC-
ASEO

Hallazgos de la Auditoría H8
Proceso SISTEMAS
Objetivo de Control Evaluación de departamento de Sistemas
Riesgos Asociados R8
Descripción

Los equipos de cómputo están ubicado frente a las ventanas por lo que todo el
día están expuestos al sol y, en algunas ocasiones, a salpicaduras de agua.
Recomendación
El encargado de la administración de los equipos deben reubicar los equipos en sitios
con las condiciones de cuidado frente al sol y a agua que estos requieren, para evitar
el daño de los mismos, así como de la información que estos guardan.
Causa o conclusión.
La falta de cuidado y controles a la ubicación y a proteger la vida útil de estos equipos
por parte del encargado de la administración de los equipos de computo y del
departamento de sistemas de la entidad.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en medio, en cuanto al
impacto es leve

HALLAZGO No. 9

CONTROL INTERNO EN AUDITORÍA DE SISTEMAS – EMPRESA COMERC-

ASEO

Hallazgos de la Auditoría H9
Proceso SISTEMAS
Objetivo de Control Evaluación de departamento de Sistemas
Riesgos Asociados R9
Descripción

Los trabajadores consumen alimentos sobre sus equipos de cómputo .

Recomendación
 El Encargado de la administración de las aulas de informática y de la oficina de talento
humano debe establecer en el reglamento interno de trabajo la prohibición de consumir
alimentos sobre los equipos de computo y establecer recesos para que los empleados
lo hagan en un sitio idóneo para tal fin.
Causa o conclusión.
Falta de control por parte de los jefes inmediatos y de la oficina de talento humano.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en medio, en cuanto al
impacto es leve

AUDITORIAS ASELAS Y ASOCIADOS S.A.S.

_______________________________
MIRIAM ROSIO ASELAS SUAREZ
AUDITORA DE SISTEMAS