TALLER Nº 2

AUDITORIA DE SISTEMAS

Elaborado por:

Wiljaner Guzmán Gallego

Yady Liliana Murcia Pérez

Jehimy Lorena Vargas Gil

Mónica Paola Velásquez Salinas

Presentado a:

Tutora. Lida Astrid Mejía

Corporación Universitaria Minuto de Dios

Auditoria de sistemas

Contaduría Pública VIII

Bogotá, marzo 21 de 2020

 TALLER Nº 2

AUDITORIA DE SISTEMAS

1. Diseñe un instrumento de recolección sobre los controles que existen en la empresa en

los sistemas informáticos.

ALUMINIOS Y ACCESORIOS DEL PAIS U.J.M S.A.S

CONTROLES AL SOFTWARE
AUDITORIA SISTEMAS

AUDITORÍ
FECHA: 7 DE MARZO DE 2020 A
NÚMERO:
DILIGENCIO WILJANER GALLEGO
ÁREA: DEPARTAMENTO DE SISTEMAS

ITEM DESCRIPCIÓN HALLAZGOS

1.0 HARDWARE
Se considera el criterio de los usuarios durante la
1.1
utilizaciòn del sistema
Los cambios y mejoras al software del sistema
1.2
están debidamente justificadas
Las personas que realizan el mantenimiento al
1.3
sistema de información son de confianza
Los programas utilizados cuentan con las
1.4
licencias correspondientes
Existe una persona encargada de resguardar el
1.5
software adquirido por la empresa
El software utilizado es el adecuado para la
1.6
organización

1.7 Se cuenta con software antivirus en cada equipo

1.8 Se realiza mantenimiento preventivo al software

 Se tiene permitido instalar software a los
1.9
funcionarios
Existe algun control para evitar la instalación de
2.0
software no autorizados

2. Realice un poster sobre el modelo COBITO.

 3. Implemente el modelo COBITO en su auditoría.
Implementaremos modelos que evaluarán principalmente:

- Seguridad y calidad.

Debemos tener dentro de la organización seguridad y calidad en los procesos tanto para
usuarios internos como externos, de esta manera llegará una información clara y concisa a
cada uno de los interesados.
- Tecnología de la información (Recurso humano e instalaciones)

Contamos con unas instalaciones acordes a nuestra capacidad en sistemas de información

brindando 100% segura y confiable, además nuestro recurso humano, posee una amplia
experiencia de conocimiento en los productos y servicios que ofrecemos, de igual manera
conocen el sistema de informático para ofrecer información en tiempo real y oportuna

- Procesos involucrados en toda la organización.

La empresa actualmente no cuenta con un manual de procedimientos parametrizados que le

permitan llevar a cabo las actividades acorde a esto, pero si se empezara a diseñar dicho
manual, lo cual permitirá a la empresa consolidarse y tener un respaldo por si mismo por su
buen nombre, destacándose frente a otras compañías que tiene la misma actividad económica,
siendo altamente competitiva y teniendo una participación importante en el mercado.

- La gerencia la cual apoya las decisiones que hay que tomar sobre nuevas inversiones
en tecnologías de información y el control que ejerce sobre el rendimiento de las
mismas, analizando la relación costo - beneficio.
Como habíamos expuesto anteriormente al ser una pequeña empresa todas las
personas que laboran tienen acceso al sistema con el mismo usuario y sin ningún tipo
de control, por tal motivo se está evaluando seriamente la posibilidad de:
1. Asignar equipos de cómputo a cada uno de los miembros de la compañía para
su acceso al sistema, lo cual puede ser contraproducente de alguna manera, ya
que se incrementarían notablemente los costos, además del equipo de cómputo
la licencia que debe tener cada usuario para acceder al sistema.
Ademas la mayoria de personas no trabajan de tiempo completo frente al
computador, si no que se dedican a otro tipo de actividades operativas.
2. Comprar licencias de uso y consulta en el actual sistema, para que cada
miembro pueda ingresar, hacer consultas y registros de los movimientos
contables y de inventarios que se presenten diariamente.
3. Delegar funciones estrictamente a los miembros de la compañía lo cual no
sería viables, ya que las personas no siempre estarán disponibles para realizar
sus actividades, más bien debemos procurar que sean polifuncionales o
supernumerarios, de tal manera que puedan realizar cualquier tipo de actividad
y cubrir cualquier puesto de trabajo.

- Los usuarios finales, quienes obtienen una garantía que respalda la seguridad y el
control de los productos que adquieren interna y externamente.
Ya que mediante un buen sistema de información que lleve un control de inventarios,
le damos a nuestros productos la rentabilidad adecuada para brindar a nuestros
clientes productos en óptimas condiciones, lo cual les garantiza que la mercancía que
adquieren en nuestras instalaciones poseen el respaldo de una buena marca y una
comercializadora con amplia experiencia.

4. Los auditores quienes soportan sus decisiones sobre los controles de los proyectos de
tecnologías de información, su impacto en la organización y les ayuda a determinar
cuál es el grado mínimo de control que se requiere para ejecutar de manera eficiente
los procesos necesarios para el cumplimiento de los objetivos organizacionales.
Al ser una empresa pequeña, debemos tener claro que un empleado puede cumplir
diferentes funciones, por tal motivo, no estamos en la capacidad de nombrar un
auditor y mucho menos una persona que se dedique única y exclusivamente a esa
actividad, por tal motivo el dueño de la empresa, que tiene diferentes funciones como:
gerente, administrador, jefe de compras, jefe de despachos, conductor, mensajero y un
sin número de actividades de acuerdo a las necesidades del dia a dia, claro esta
 teniendo en cuenta que está en un proceso de formación académica, será la persona
más adecuada para asumir el cargo de Auditor, teniendo en cuenta que conoce el
sistema de información, todas las áreas de la entidad y además conoce todo el proceso
y las actividades de la compañía hasta en lo más mínimo, desde el principio hasta el
fin.
5. Diligencie la siguiente matriz de riesgos.

RIESGO CAUSA IMPORTANCIA RELATIVA

Entrada a los - Fallas técnicas o eventos
sistemas de naturales.
información Instalación del sistema en un
lugar seguro.
- Personal no autorizado
para el ingreso de la
información.
- Falta de asignación de
contraseñas.
- Bloqueo en las contraseñas.
- Información no protegida.
Procesos a los - El mal uso de las
sistemas de herramientas.
información - Capacidad del sistema de
información.
- Aplicación inadecuada de
los controles del proceso y
procedimientos.
- Falta de herramientas,
según el rol de trabajadores
que deben ingresar la
información.
- Ataques informáticos
externos.
P​roceso​ en el cual el sistema toma
los datos que requiere para procesar
la información, por medio de
estaciones de ​trabajo​, ​teclado​,
diskettes, cintas magnéticas, ​código
de barras, etc.
esta característica de los sistemas
permite la transformación de los
datos fuente en información que
puede ser utilizada para la ​toma de
decisiones​, lo que hace posible,
entre otras cosas, que un tomador
de decisiones genere una
proyección financiera a partir de
los datos que contiene un ​estado​ de
resultados o un balance general en
un año base.esta característica de
los sistemas permite la
transformación de los datos fuente
en información que puede ser
 - Falta de mantenimiento o
de actualizaciones al
sistema.
- Capacitación del personal
para el uso del sistema de
información.
Salida de - Información incompleta.
información a los - Bloqueos a descargar
sistemas de informes.
información - Pérdida de la información.
- Falta de políticas para la
protección de la
información.
- Incumplimiento de los
Roles
y Responsabilidades para la
seguridad de la Información.
- Falla en el análisis de la
información.
utilizada para la ​toma de
decisiones​, lo que hace posible,
entre otras cosas, que un tomador
de decisiones genere una
proyección financiera a partir de
los datos que contiene un ​estado​ de
resultados o un balance general en
un año base.
- Es la capacidad de un SI para
sacar la información procesada o
bien datos de entrada al exterior.
Las unidades típicas de salida son
las ​impresoras​, graficadores, cintas
magnéticas, diskettes, la voz, etc.
- Identificar el impacto que podría
suponer una pérdida de
confidencialidad,
integridad y disponibilidad.
5. Diseñe un plan de acción para mitigar los riesgos anteriormente mencionados.

PLAN DE MITIGACIÓN

-La empresa debe parametrizar y realizar sistemas de control dentro del área de
sistemas.
-Actualizar las licencias y los contratos de todos los programas de protección de la
información.
-Implementación de procedimientos en el área de sistemas para la asignación
controlada de contraseñas.

-Desarrollar un plan de seguridad y privacidad de la información de la empresa.

-Realizar programas de sensibilización dentro de los trabajadores de la empresa para la
correcta utilización de los sistemas de información.
-Limitar el ingreso de los trabajadores a algunas páginas de internet que de alguna
manera pueden traer un riesgo para la información de la empresa.

-Aplicación de acciones de mejora y correctivas dentro de la empresa.

-Aplicación de políticas, normas y procedimientos dentro del área de sistemas
- Realizar un plan de seguridad de información, hacer el correspondiente seguimiento
para ver su resultado.
-Realizar políticas de control de acceso a redes ya que cada uno de estos accesos deben
estar justificados.
 BIBLIOGRAFÍA

Isotools.​ (18 de Octubre de 2019). Obtenido de

https://www.isotools.org/2019/10/18/analisis-y-evaluacion-de-riesgos-de-segu
ridad-de-la-informacion-identificacion-de-amenazas-consecuencias-y-criticida
d/

Monografias.com​. (2020). Obtenido de

https://www.monografias.com/trabajos93/cobit-objetivo-contro-tecnologia-inf
ormacion-y-relacionadas/cobit-objetivo-contro-tecnologia-informacion-y-relac
ionadas.shtml

Monografias.com​. (Marzo de 2020). Obtenido de

https://www.monografias.com/trabajos24/tics-empresas/tics-empresas.shtml