AUDITORÍA INFORMÁTICA

CONTROLES INFORMÁTICOS
JAIME RADICH VASQUEZ
IACC
 27/08/2018

DESARROLLO

1) Considere la siguiente definición de alcance y objetivos de una auditoría:

El alcance de la auditoría consistirá en la revisión de controles y procesos

relacionados con los proveedores de servicios de TI. Los controles, actividades y
documentos para nuestra revisión se detallan a continuación:

 Políticas y procedimientos de proveedores de servicios de TI.

 Levantamiento de todos los proveedores de servicios de TI.

 Revisión de contratos de proveedores de servicios de TI.

 Revisión de los procedimientos de evaluación de los proveedores de servicios
de TI.

 Evaluación de los controles sobre los proveedores de servicios de TI.

(seguridad de la información y continuidad de operaciones).
 Revisión de reportes enviados por los proveedores de servicios de TI a la
Administración respecto al cumplimiento de sus SLA (Service Level
Agreements*).

De acuerdo a lo indicado anteriormente, indique qué tipo de auditoría informática

se está aplicando. Justifique su respuesta.

En mi opinión y según lo estudiado esta semana, se esta aplicando una auditoria de

gestión ya que por ejemplo se evalúan los aspectos de gestión como el objetivo
organizasional las políticas y procedimientos de proveedores, el sistema de control
que nos permite comprobar lo eficacia o rendimiento de la gestión de actividades al
interior de la organización, también se realiza una revisión sistemática de las
decisiones y acciones de la administración en relación con el rendimiento. La
auditoria de gestión informática se enfoca en la revisión de las funciones y
actividades de tipo administrativo que se realizan dentro de un centro de computo,
tales como la planeación, organización, dirección y control de dicho centro. Se realiza
con el objetivo de verificar el cumplimiento de las funciones y actividades asignadas
a los funcionarios y usuarios de las reas de sistematización, y también la evaluación y
revisión de las operaciones del sistema, el uso y protección de los sistemas de
procesamiento, de los programas y de la información.

2. A través de un cuadro explicativo, señale 2 semejanzas y 2 diferencias entre la

auditoría informática y la auditoría general (financiera, operativa).
 AUDITORIA AUDITORIA GENERAL
INFORMATICA (FINANCIERA OPERATIVA)

DIFERENCIA Es una parte importante Revisa y controla la

de la seguridad veracidad de la
informática, controla y información contenida en
mide riesgos informáticos los estados financieros, se
con el objetivo de evitar basa en los principios
que personas o programas contables y financieros
no autorizados tengan aceptados por consenso o
acceso a los datos. por ley.

DIFERENCIA El objetivo es evaluar el En este caso el auditor no

total de de los elementos presenta una opinión de la
involucrados: Hardware y gestión empresarial, no
software, la organización por lo menos en este tipo
de los centros de de informe.
información.

SEMEJANSA  Ambos tipos de auditoria requieren

de un sistema informático acorde a
las necesidades de la institución o
empresa, esto permite mantener un
control adecuado de la gestión
informática y financiera.
 Tanto la auditoria informática como
la auditoria financiera deben ser
eficientes en el uso de los recursos
informáticos, para de este modo
establecer un control y evaluación
adecuados para la empresa.
3. Considere los siguientes enunciados:

 “La política definida por la dirección de informática establece que todo usuario
de la empresa, que tenga acceso a los sistemas informáticos que son
explotados por la misma, deberán realizar cambios periódicos de sus claves de
acceso”.

 “La política de seguridad de la compañía establece la utilización de software de

control de acceso que permita que solo el personal autorizado tenga acceso a
archivos con información crítica”.

 “El instructivo de funcionamiento de la empresa Compus Limitada determina

que el administrador de base de datos es el encargado de realizar los respaldos
de todas las bases en el ambiente productivo, del tipo incremental una vez por
día, y del tipo full una vez a la semana”.
De acuerdo a lo estudiado, indique a qué tipo de control corresponden (predictivo,
detectivo, correctivo) los procesos descritos en los puntos a, b y c. Reconozca las
características presentes en cada párrafo que justifiquen su elección.

a) “La política definida por la dirección de informática establece que todo usuario de
la empresa, que tenga acceso a los sistemas informáticos que son explotados por la
misma, deberán realizar cambios periódicos de sus claves de acceso”.

Correspondería a control PREVENTIVO ya que la renovación de las claves de acceso

impiden el acceso de personas no autorizadas, el control preventivo anticipa eventos
no deseados, así se hace mas rentable la actividad informática y la gestión general de
la empresa, evita costos de corrección o re-proceso (entre otros).
b) “La política de seguridad de la compañía establece la utilización de software de
control de acceso que permita que solo el personal autorizado tenga acceso a
archivos con información crítica”
En esta caso seria un control DETECTIVO, el control de acceso evita el acceso de
persona s no autorizadas a los sistemas, impidiendo actos de fraude o robo de
información. Este tipo de control identifican un evento en el momento en que se
produce. Son mas costosos que los controles preventivos, miden la efectividad de los
controles preventivos.
c) “El instructivo de funcionamiento de la empresa Compus Limitada determina que
el administrador de base de datos es el encargado de realizar los respaldos de todas
las bases en el ambiente productivo, del tipo incremental una vez por día, y del tipo
full una vez a la semana”
Control CORRECTIVO, este tipo de control minimiza el impacto de una amenaza y
facilita la vuelta a la normalidad después de producida la incidencia. El control
correctivo asegura que las acciones correctivas sean tomadas para revertir un evento
no deseado. Activan acciones y procedimientos de corrección, se documenta y se
realizan reportes para informar a gerencia supervisando las incidencias hasta que se
produzca su corrección o solución.

4. Considere el siguiente hallazgo de auditoría: “Se observan cuentas activas de

usuarios en el sistema SAP pertenecientes a personal desvinculado de la
compañía”. ¿Qué medidas de control interno deberían aplicarse para corregir la
situación planteada? Fundamente su respuesta.

En primer lugar se debe proceder a la eliminación de las cuentas de usuario de

personal desvinculado de la organización, también seria recomendable realizar una
auditoria de seguridad para verificar la disponibilidad, integridad, confidencialidad
de la información y una auditoria de seguridad lógica para autenticacion de los
sistemas de información. Estas acciones no ayudaran a prevenir inconvenientes
como el mencionado en este caso.
BIBLIOGRAFIA
DOCUMENTOS IACC (2018).
https://es.wikipedia.org/wiki/Auditor%C3%ADa_de_seguridad_de_sistemas_de_info
rmaci%C3%B3n
http://fcasua.contad.unam.mx/apuntes/interiores/docs/98/8/audi_infor.pdf