Título de la tarea Elias. Araya. A Auditoria informática Instituto IACC 06.11.2017
Desarrollo
1) considere los siguientes enunciados: a) “La política definida por la dirección de la informática establece que todo usuario de la empresa, te tenga acceso a los sistemas informáticos que son explotados por la misma, deberán realizar cambios periódicos de sus claves de acceso”. b) “La política de seguridad de la compañía establece la utilización de software de control de acceso que permita que solo el personal autorizado tenga acceso a archivos con información crítica”. c) “El instructivo de funcionamiento de la empresa Compus limitada determina q ue el administrador de base de datos es el encargado de realizar los respaldos de todas las base en el ambiente productivo, el tipo incremental una vez por día, y del tipo full una vez a la semana” De acuerdo a lo estudiado, indique a qué tipo de control corresponden (preventivo, detectivo, correctivo) los procesos descritos en los puntos a, b y c. Reconozca las características presentes en cada párrafo que justifiquen su elección. 1. Controles preventivos: el instructivo de funcionamiento de la empresa Compus limitada determina que el administrador de base de datos es el encargado de realizar los respaldos de todas las base en el ambiente productivo, el tipo de incremental una vez por día, y del tipo full una vez a la semana. Detectan los problemas antes que aparezcan, por ende realizan respaldo de la información diariamente y semanalmente, para así no perder información por cualquier problema a nivel software y /o Hardware, esto intentan predecir problemas potenciales antes que ocurran.
2. Controles detectivo: la política de seguridad de la compañía establece la utilización de software de control de acceso que permita que solo el personal autorizado tenga acceso a archivos con información crítica. Con esto se pueden realizar un seguimiento completo al personal autorizado para manejar información confidencial de la empresa ya que pueden ver a qué hora ingresa y cuantas veces realiza movimientos de documentación, con esto detectan además o informan de un error, omisión o también un acto fraudulento. 3. Controles correctivo: la política definida por la dirección de informática establece que todos los usuarios de la empresa, te tengan a cceso a los sistemas informáticos que son explotados por la misma, deberán realizar cambios periódicos de sus claves de acceso. Con esta acción minimiza el impacto de una amenaza. Facilita la vuelta a la normalidad cuando ha producido una incidencia, además podemos evitar que otros usuarios externos ingresen a nuestra información por medio de clave acceso de un trabajador. Acciones y procedimiento rectificatorio en recurrencia, comprende documentación y reportes, sobre supervisión a los asuntos, hasta su reformulación o solución
2) Considere el hallazgo de auditoria: “Se observan cuentas activas de usuarios en el sistema SAP pertenecientes a personal desvinculado de la compañía”. ¿Qué medida de control interno deberían aplicarse para corregir la situación planteada? Debemos tener en claro que es un hallazgo de auditoria, son hechos o situaciones que denotan importancia por la forma como se repercuten en la administración, estos hallazgos pueden ser tanto positivo como también negativo. Los hallazgos positivos, son hechos, aspectos buenos, útiles, convenientes o destacables de la organización, en cambio los hallazgos negativos, son errores, deficiencias o hechos irregulares,
inconvenientes, perjudiciales, nocivos en el funcionamiento de la organización, contrarios a los principios de la empresa. Partes del hallazgo son evidencia que encuentra el auditor sobre un hallazgo el cual debe ser organizada de manera que contenga los cuatros atributos del hallazgo de a uditoria, los cuales son: condición criterio, causa y efecto.
Condición: es lo que es, lo que sucedió, esto quiere decir que comunica los hechos que el auditor encontró e indica que se cumplió con las normas requeridas. El objeto es determinar el tipo de evidencia que se recogerá de manera que esta pueda servir de base para afirmar cualquier hecho.
Criterio: Se refiere a las normas estandarizadas con la cual se evalúa la situación, tales como los reglamentos, procedimientos, contratos, convenios, instructivo, normas de control, etc.
Causa: Se describe la razón fundamental por la cual ocurrió la situación, como porque sucedió, como sucedió, es lo que motiva el cumplimiento del criterio. La determinación de la causa ayuda al auditor a desarrollar las recomendaciones de manera que sean efectivas para las faltas y no se vuelvan a repetir.
Efecto: Se refiere al resultado observable o la consecuencia de no haber cumplido con uno o más criterio y lo que a ello ha significado para la institución. Si la situación examinada no tiene efecto negativo reales o potenciales sobre los objetivos programados, no hay hallazgos. En ocasiones no se puede corroborar os efectos pasados, pero se puede identificar futuros efectos potenciales. Si se identifica algún efecto potencial, el auditor realizara los procedimientos necesarios para determinar s se inc urrió en errores, irregularidades o actos ilegales. Los efectos sirven también para convencer a la entidad
auditada de la necesidad de tomar medidas para implantar las recomendaciones formuladas al respecto. Lo Primero que se debería realizar es, bloquear al usuario andes de desvincular a la persona de la empresa, después de realizar la desvinculación se deberá eliminar la cuenta, si ninguna de estas etapas fueron realizadas por las personas pertinentes, se deberá realizar una revisión tanto a la proceso de desvinculación de las personas, como el proceso de informar oportunamente a las personas encargadas de estas cuentas, además se deberá realizar una inspección de los procedimientos aplicados a este tema, de encontrar desviaciones en la auditoria a realizar se deberá realizar modificaciones, capacitaciones e implementar una política para las desvinculaciones futuras en la empresa.
Bibliografía Iacc, (2017) auditoria informática, contenidos de la semana 01. Academia. Edu (2010) Alexandra Almeida, Hallazgos de auditoria