Control 1

Jorge Olguín Leiva

Auditoría Informática

Instituto IACC

21/04/2018
 Desarrollo

1) Considere la siguiente definición de alcance y objetivos de una auditoría:

El alcance de la auditoría consistirá en la revisión de controles y procesos relacionados con los
proveedores de servicios de TI. Los controles, actividades y documentos para nuestra revisión
se detallan a continuación:
 Políticas y procedimientos de proveedores de servicios de TI.
 Levantamiento de todos los proveedores de servicios de TI.
 Revisión de contratos de proveedores de servicios de TI.
 Revisión de los procedimientos de evaluación de los proveedores de servicios de TI.
 Evaluación de los controles sobre los proveedores de servicios de TI (seguridad de la
información y continuidad de operaciones).
 Revisión de reportes enviados por los proveedores de servicios de TI a la Administración
respecto al cumplimiento de sus SLA (Service Level Agreements*).
De acuerdo a lo indicado anteriormente, indique qué tipo de auditoría informática se está
aplicando. Justifique su respuesta.
Auditoria de la Gestión ya que este tipo de auditorías es la que tiene relación con la contratación de
bienes y servicios. Este tipo de auditorías mejoran apreciablemente el desempeño de la organización.
La denominación Auditoría de Gestión funde en una, dos clasificaciones que tradicionalmente se
tenían, Auditoría Administrativa y Auditoría Operacional.
Por otro lado, todos los puntos detallados hacen referencia al proveedor de servicio, por lo que este
tipo de auditoría es el indicado acá.

2) A través de un cuadro explicativo, señale 2 semejanzas y 2 diferencias entre la auditoría

informática y la auditoría general (financiera, operativa).
AUDITORIAS
INFORMATICA GENERAL
Se emiten informes
Semejanzas
Recomendaciones para mejorar eficiencia
Se refiere a la revisión práctica que se Representa el examen de los estados
realiza sobre los recursos informáticos financieros de una entidad
Diferencias Se divide en diferentes tipos de Se basa en la revisión de sistemas
auditoría dependiendo el sector financieros y contables.
informático afectado
3) Considere los siguientes enunciados:
a) “La política definida por la dirección de informática establece que todo usuario de la
empresa, que tenga acceso a los sistemas informáticos que son explotados por la misma,
deberán realizar cambios periódicos de sus claves de acceso”.
Preventivo porque al renovar claves se evita el acceso de personal no autorizado a los sistemas
informáticos, por robo o simplemente por compartir esta clave.

b) “La política de seguridad de la compañía establece la utilización de software de control de

acceso que permita que solo el personal autorizado tenga acceso a archivos con información
crítica”.
Detectivo ya que el control de acceso evita se produzcan actos fraudulentos por acceso de
personal no autorizado a archivos de carácter críticos..

c) “El instructivo de funcionamiento de la empresa Compus Limitada determina que el

administrador de base de datos es el encargado de realizar los respaldos de todas las bases
en el ambiente productivo, del tipo incremental una vez por día, y del tipo full una vez a la
semana”.
Correctivo ya que este minimiza el impacto de una amenaza y facilita la vuelta a la normalidad al
producirse una incidencia.

De acuerdo a lo estudiado, indique a qué tipo de control corresponden (predictivo, detectivo,

correctivo) los procesos descritos en los puntos a, b y c. Reconozca las características presentes
en cada párrafo que justifiquen su elección.

4) Considere el siguiente hallazgo de auditoría: “Se observan cuentas activas de usuarios en el

sistema SAP pertenecientes a personal desvinculado de la compañía”.
¿Qué medidas de control interno deberían aplicarse para corregir la situación planteada?.
Fundamente su respuesta.
Antes que todo, la desactivación inmediata de las cuentas de usuarios que ya están desvinculados. Y
para evitar y corregir esta situación se debe realizar una auditoría de seguridad ya que esta busca
verificar la disponibilidad, integridad, confidencialidad de la información. Además de una auditoria
de la seguridad lógica que implica la autentificación a los sistemas de la información.
Con estas dos auditorías, se puede prevenir una situación de cuentas de usuarios desvinculados,
queden activas.
 Bibliografía

1.- Link 1

2.- Link 2