Memorandum de Planeacion 2011

5/11/2018

Me mora ndum de Pla ne a c ion 2011 - slide pdf.c om

[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas AUDITORIA DE SISTEMAS

UNIVERSIDAD DE EL SALVADOR FACULTAD DE CIENCIAS ECONÓMICAS ESCUELA DE CONTADURÍA PUBLICA

TEMA: “DISTRIBUIDORA SAN ANDRES” MEMORANDUM DE PLANEACION AUDITORIA

DE SISTEMAS.

GRUPO TEORICO: 03 INTEGRANTES:

MARIO ERNESTO PONCE PERALTA IRENE MABEL HUEZO MELARA

PP05033 HM03033

Ciudad Universitaria | Ciclo II 2011

http://slide pdf.c om/re a de r/full/me mora ndum-de -pla ne a c ion-2011

1/44

5/11/2018


[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas

INDICE GENER AL I.

TERMINOS Y COMPROMISOS DE LA AUDITORIA ................................................................................. 1

1) II.

OBJETIVO GENERAL. ............................................................................................................................. 1 INFORMACIÓN GENERAL DE LA ENTIDAD. .......................................................................................... 2

1) 2) 3) III.

1) 2)

ANTECEDENTES: ................................................................................................................................... 2 ESTRUCTURA ORGANIZACIONAL:......................................................................................................... 3 POLITICAS Y PROCEDIMIENTOS: ........................................................................................................... 4 INFORMACIÓN PRELIMINAR DEL SISTEMA ......................................................................................... 4

MARCO LEGAL: ..................................................................................................................................... 5 PANORAMA TECNICO: .......................................................................................................................... 6

IV.

NIVELES DE SEGURIDAD DEL SISTEMA ................................................................................................ 8

V.

VALORES PARAMETRIZABLES DEL SISTEMA ........................................................................................ 9

VI.

ORIGEN Y ENTRADA DE DATOS. ........................................................................................................ 10

VII.

PROCESAMIENTO DE DATOS. ....................................................................................................... 10

VIII.

PISTAS DE AUDITORIA. ................................................................................................................. 11

IX.

DETERMINACION DE AREAS DE RIESGO ............................................................................................ 11

X.

ADMINISTRACION DE LA AUDITORIA ................................................................................................ 19

1) 2) XI.

1) 2) 3)

DEL PERSONAL. ............................................................................................................. 19 ASIGNACION CRONOGRAMA DE ACTIVIDADES, FECHAS CLAVE Y PRESUPUESTOS DE TIEMPO. .............................. 19

ANEXOS ............................................................................................................................................ 22

CUESTIONARIOS DE CONTROL INTERNO UTILIZADOS PARA EVALUAR EL RIESGO. ............................. 22 PROGRAMAS DE AUDITORIA. ............................................................................................................. 34 CEDULA DE MARCAS DE AUDITORIA. ................................................................................................. 41


2/44

5/11/2018



I. TER MINOS Y Y COMPR OMISOS DE L A A AUDITOR I A 1) OBJETIVO GENERAL. Emitir una opinión sobre la efectividad y razonabilidad de las cifras e información generadas por el sistema de Control de Inventarios y Facturación Trey Fact, con base a procedimientos de auditoria determinados, considerando el control interno y la aplicación de las normas legales y profesionales.

2) OBJETIVOS ESPECIFICOS. Evaluar los niveles de seguridad y sus controles a fin de determinar las áreas susceptibles de riesgo.  Evaluar la seguridad lógica y física para determinar si se establecen controles apropiados para salvaguardar la integridad, oportunidad y fiabilidad de la información procesada y contenida en el sistema. 



Emitir un informe a fin de señalar los hallazgos encontrados respecto a las debilidades en los controles internos y la fiabilidad de la información generada por el sistema.

3) ALCANCE: El alcance del trabajo incluirá la revisión de los procesos, medios de acceso y entrada de datos, niveles de seguridad e información generada por el sistema. a)   

Las áreas de las que se ocupará la Auditoria de Sistemas serán: Evaluacion de Niveles de Seguridad Revisión de Controles Generales Evaluación de parámetros


3/44

5/11/2018


[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas   

Evaluación de Planes de Contingencias Revisión del Sistema Operativo Revisión del ciclo de vida de las operaciones

4) RESPONSABILIDAD DE LA FIRMA Hemos sido contratados por la Junta General de Accionistas de la Sociedad “DISTRIBUIDORA SAN ANDRES, S.A. DE C.V.” para llevar a cabo la auditoria de Sistemas Informático, para el periodo del 01 de enero al 30 de Noviembre de 2011, para expresar una opinión sobre la Seguridad lógica del sistema, la efectividad del funcionamiento, la generación de Estados Financieros, y la razonabilidad y presentación de los mismos. Se efectuara el trabajo basado en las Normas Internacionales de Auditoria, las cuales requieren la planeación y ejecución de la auditoria para obtener una seguridad razonable y evidencia suficiente que provean una base para expresar nuestra opinión.

5) CONTENIDO DE LOS INFORMES a)

Informar a las partes interesadas sobre la Eficiencia y seguridad del sistema a

Auditar. b) Emitir informes con los resultados de la auditoria conteniendo observaciones, criterios, causas, efectos, y recomendaciones de las evaluaciones preliminares de Control Interno, y acerca de los hallazgos encontrados. c) 

Emitir informe final el cual contendrá: Informe de auditoria con los resultados de esta y las conclusiones del examen.

II. INFOR M ACIÓN GENER AL DE L A ENTID AD. 1) ANTECEDENTES: Distribuidora San Andrés, surge como una Sociedad Anónima inscrita en el registro de Comercio 15 de Junio de 2005 con un capital Constitutivo de $ 12,000 Dólares de Los Estados Unidos de América.


4/44

5/11/2018



La finalidad de la empresa es la compra y venta de Mobiliario para Oficinas. La empresa es administrada por Oscar René López, Accionista Mayoritario quien cuenta con personal administrativo de apoyo como sigue: Asistente administrativa Encargada de Ventas y Cobros 4 Vendedores, 1 quien es el gerente de Ventas y 3 que Gestionan ventas por medio de la atención directa a los posibles clientes que visitan el local.   

Proveedores de equipos Informático y accesorios:

 

STB El Salvador, S.A. de C.V. Equipos Electrónicos Valdés, S.A. de C.V.

Mantenimiento del software:



Asistencia remota por medio del Desarrollador del Sistema.

Soporte técnico:



STB El Salvador, S.A. de C.V.

2) ESTRUCTURA ORGANIZACIONAL: Organización de la Administración y Operatividad: La Entidad será gobernada por medio de una Junta Directiva, cuyo presidente y a su vez Gerente General es el Sr. Oscar René López. En total la empresa cuenta con 17 personas empleadas. Organigrama:


5/44

5/11/2018



Junta General de Accionistas

Gerente General

Grente de Ventas

Despacho y Bodegas

Contabilidad y Administracion.

Vendedores

Bodeguero

Recepcion

Gestor de Cobros

Transportistas

Contador

Encargado de Compras e Inventario

3) POLITICAS Y PROCEDIMIENTOS: POLITICAS RELATIVAS AL SISTEMAS 1. Asignar un perfil de usuario y una contraseña única de acceso según el nivel que el usuario 2. ocupe Restringir el acceso a áreas que no competen según el rol de cada usuario. 3. Sellar de procesado todos los documentos después de complementar el proceso de trascripción de datos para evitar duplicidad de entradas. 2. Que los archivos dañados que contienen información confidencial se destruyan de manera apropiada. 3. Se tiene un mantenimiento preventivo cada 3 meses para los equipos de computo. 4. Los equipos de Informática se incluyen entre los bienes asegurados por la entidad para mitigar riesgos. 5. Realizar Copias de Seguridad de información procesada al final de cada Periodo mensual.

III. INFOR M ACIÓN PR ELIMIN AR DEL SISTEM A NOMBRE DEL SISTEMA: TREY-FACT. UTILIDADES: Gestión Comercial (Ventas, Compras, Inventarios)


6/44

5/11/2018


[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas VERSION: 4.76.00 R6 DESARROLLADOR: Treyder Informatica, S.L. El sistema TREY-Fact, es una aplicación de distribución gratuita y diseñada para las Pymes, “Distribuidora San Andrés”, decidió adoptar este sistema como una herramienta de la mejora en la eficiencia del manejo de la información operativa de la entidad.

1) MARCO LEGAL: En lo concerniente al cumplimiento de normas y regulaciones legales, al utilizar un sistema informático para procesar la información relativa a la facturación y control de inventarios observamos que principalmente se aplican las siguientes regulaciones: 

Leyes Fiscales:

Con el objeto de un buen cumplimiento en lo relativo a la parte fiscal, tanto formal como sustantiva se hace necesario que una entidad cumpla con la obligación de declarar y pagar los diferentes impuestos estipulados, tanto como la ley de la renta, ley de IVA, por lo que un sistema informático deberá garantizar el interés fiscal brindando información compatible con tal objetivo. El código tributario establecen las distintas disposiciones que garantizan los fines económicos del estado. Por lo que, como el sistema se encarga de ingresar información relativa a la emisión de facturas y documentos legales en las operaciones de transferencia de bienes y prestación de servicios, el código tributario establece los requerimientos mínimos de información que deberá contener los documentos de ventas (comprobantes de Crédito Fiscal, Facturas Consumidor Final, Notas de Crédito y Debito, Comprobantes de Retención, etc.) y los reportes de control de inventario. 

Ley Del Impuesto a La Transferencia de Bienes Muebles y a la Prestación de Servicios:

Esta ley establece los distintos tipos de impuesto aplicables a las circunstancias o bienes particularmente descritos en la misma, ante lo cual, el sistema deberá ser capaz de armonizar adecuadamente las operaciones y procesamiento de datos que realiza con las diferentes formas que la ley describe como tipos de aplicación de la tasa impositiva.


7/44

5/11/2018


[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas 

Leyes y Reglamentos Específicos:

Ley

de Fomento y Protección a la Propiedad Intelectual. Esta ley explica y establece los lineamientos de la protección, uso y difusión de bienes con propiedad intelectual.

2) PANORAMA TECNICO: a) Lenguaje de Programación y Base de Datos. Debido a que el sistema es de distribución gratuita y difundida por internet, no nos fue posible tener contacto directo con el personal encargado del desarrollo; no obstante a través de una breve descripción del sistema pudimos obtener información técnica relativa a esta aplicación: Trey-Fact es una aplicación de gestión comercial desarrollada bajo un lenguaje de programación de 32 bits bajo la plataforma de VISUAL DBase PLUS, diseñada para sistemas Windows desde la edición 2000 hasta el actual Window 7, posee una resolución predeterminada del área de trabajo de 1024x768 pixeles. b) Forma de Operación del Sistema El objetivo a conseguir es el de que la empresa, a través de esta aplicación, les ofrezca a sus clientes un mejor servicio, y por consiguiente sea más competitiva en el mercado, optimizando los procesos de gestión comercial en ventas, compras y control de inventarios. Esta aplicación, está preparada para crecer en función de las necesidades de la entidad, partiendo de un sistema Stand Alone y llegando a sistemas de RED LOCAL ó MULTIPUESTO. El formato de Facturas, Albaranes, Tickets, Recibos, Presupuestos y Etiquetas, se puede personalizar para cada caso concreto, según las necesidades. Los formatos que incluye de base esta aplicación están estructurados en función de unos modelos estándar. Si en dado caso el usuario tiene necesidades específicas en los formatos de estos documentos podrá modificar dichos modelos poniéndose en contacto con el Departamento de Soporte del desarrollador del sistema.


8/44

5/11/2018


[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas PRINCIPALES CARACTERISTICAS DEL SISTEMA: Gestión e informes en Dólares, Euros, Pesetas y en cualquier tipo de moneda. Copias de seguridad. (Compresión automática) 



















































Múltiples formas de búsqueda en todos los ficheros de introducción de datos. Salvaguardar la confidencialidad de los datos, se puede restringir el acceso a la aplicación mediante claves de seguridad por el usuario y por empresas. Permite acceder a otros ficheros mientras se realiza otra tarea (Multitarea). Compatibilidad para el Uso del teclado y Ratón. Interfaz con Sistema de Contabilidad (distribuido por el mismo desarrollador). Mantenimientos. Gestión de Compras Gestión de Ventas. Generación de informes. Utilidades Ayuda y manuales de usuario. Orden predefinido en búsquedas. Comisiones de Agentes y liquidaciones de las mismas. Control, generación e impresión de códigos de barras. Precios y descuentos específicos sobre Clientes, Zonas. Configuración de series para facturas exentas de IVA. Liberación de pedidos (Compra) albaranes o facturas. Liberación de presupuestos (Venta) en pedidos, albaranes, facturas o tickets. Liberación de pedidos (Venta) en albaranes, facturas o tickets. Generación de facturas sobre albaranes. Entrada manual de vencimientos. Listados por pantalla, impresora y generación de archivos en PDF y otros formatos. Filtros en búsquedas. Organización y configuración empresa mediante series.

c) Manuales Técnicos y de Usuario


9/44

5/11/2018


[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas El sistema cuenta con manuales de Instalación y Usuario, no obstante el manual técnico no está a disposición de los usuarios y no es de libre distribución a efectos de Derechos de autor.

I V . NI V ELES DE SEGUR ID AD DEL SISTEM A El sistema TREY-FACT, es un sistema informático diseñado con el fin de contribuir a la eficiencia operativa de las Micro y Pequeñas empresas, por lo que su uso está enfocado al uso de entidades con una organización no compleja y con cierto grupo de actividades Relacionadas o vinculadas. En virtud de esta situación el sistema está diseñado para un usuario Supervisor que se encarga de operar y configurar todos los elementos del mismo quien ingresa desde la aplicación instalada en el Sistema Operativo, a través de este usuario se pueden crear nuevos perfiles enfocándolos a la función que este realizara y los accesos y restricciones que el Administrador considere. El usuario podrá crear una contraseña de acceso para proteger la manipulación de la información por parte de personas ajenas a la entidad y asignar a los demás usuarios claves para el ingreso del sistema. Como el sistema es de distribución gratuita, solamente es posible obtener los archivos ejecutables y no los fuente. Distribuidora San Andrés en función de la naturaleza de las funciones ha creado tres distintos usuarios que se encargan respectivamente de los siguientes roles: Administrador-Supervisor (asignado al Gerente Administrativo quien se encarga de dar mantenimiento del sistema y asignar los roles de los usuarios con menor nivel de acceso) 

Vendedor (quien se le asigna las actividades y los accesos solamente a las funciones de venta y facturación) Compras e Inventario (usuario encargado de ingresar pedidos, recibir e ingresar artículos al inventario y dar mantenimiento a este).






10/44

5/11/2018



V . V ALOR ES P AR AMETR IZ ABLES DEL SISTEM A Durante la Ejecución de la Auditoria deberá verificarse la existencia de alguna opinión de parametrización del sistema, considerando lo siguiente: a) Quienes están autorizados a parametrizar el sistema. Según Las especificaciones e indicaciones expresadas en el manual de usuario, los parámetros serán autorizados por el administrador del sistema. b) Como se restringe dicho acceso. La única forma restrictiva del acceso es a través del establecimiento de contraseña de acceso asignada por el administrador. c) Que elementos están parametrizados. Ente los Valores parametrizados identificados según nivel de Acceso: ADMINISTRADOR Código de Usuario. Información General de Empresas. Configuración de Códigos identificativos de clientes proveedores y 



















productos. Moneda y Formato de las cifras. Tipos de impuestos y regímenes fiscales aplicables. Cuentas vinculantes a Contabilidad. Rutas de series para Interfaz de contabilidad. Información Deseada en los informes. Opciones de búsqueda. Información presentada en pantalla en las consultas.

VENDEDOR y ENCARGADO DE COMPRAS E INVENTARIO Información de usuario. Acceso restringido a las aplicaciones. Información de consultas. 






11/44

5/11/2018





Formato de informes.

V I. OR IGEN Y Y ENTR AD A DE D ATOS. Se deberá verificar el origen y proceso que se realizan en el sistema para la toma e ingreso de datos. A lo cual TREY-FACTU, está diseñado para obtener datos documentalmente, en el caso de los pedidos, facturas, albaranes y ticket y por medios mixtos los datos relativos a clientes, productos y proveedores. La entrada de estos, es de forma manual y permite la asignación de códigos de barra para lectura electrónica.

V II. PR OCES AMIENTO DE D ATOS. Verificar el proceso que se realizan en el sistema fuera de las pantallas de captura (cierres, actualizaciones o cargas de datos), a fin de determinar si se le da seguimiento al procesamiento establecido a evaluar lo siguiente: a) Verificar los cálculos de mayor importancia, con base a los datos con que fue alimentado. Los cálculos que mayor importancia desempeña el sistema, son los de información de ventas, pedidos, ingresos y salidas de inventario, así como el reporte de existencias. Los procesos clave que intervienen en el sistema son: Proceso de Ventas. Compras. Facturación y Cobro. 






12/44

5/11/2018



V III. PIST AS DE A AUDITOR I A. Determinar que controles de registro de pistas de auditoría se han implementado en la aplicación. a) Evaluar los registros de auditoria de seguridad identificando usuario, fecha, hora, Terminal y tipo de evento para lo siguiente:  Intentos de acceso fallidos al sistema  Accesos exitosos al sistema  Salidas del sistema

b) Verificar la existencia de registros de eventos para las distintas opciones de mantenimiento de datos en la aplicación, que muestren el usuario, fecha, hora, Terminal, pantalla u opción utilizada, identificación del registro involucrado y campos modificados, para lo siguiente:  Proceso de adición de registros  Modificación de registros  Eliminación de registros

I X. X. DETER MIN AC ACION DE AR AR E AS AS DE R IESGO La valoración de los riesgos se basa en procedimientos para obtener la información necesaria para tal propósito y la evidencia obtenida durante la auditoría. Es importante en toda organización contar con una herramienta, que garantice la correcta evaluación de los riesgos a los cuales están sometidos los procesos y actividades de una entidad y por medio de procedimientos de control se pueda evaluar el desempeño de la misma. Por consiguiente, la Auditoría debe funcionar como una actividad para agregar valor y mejorar las operaciones de una organización, así como contribuir al cumplimiento de sus objetivos y metas; aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y dirección. Viendo la necesidad en el entorno empresarial y teniendo en cuenta que, una de las principales causas de los problemas dentro de los subprocesos es la inadecuada previsión


13/44

5/11/2018


[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas de riesgos informáticos se hace necesario entonces estudiar los Riesgos que pudieran aparece en cada subproceso de Auditoría, esto servirá de apoyo para prevenir una adecuada realización de los mismos. Del proceso de análisis y valoración del riesgo en el sistema, podemos identificar los siguientes:

MATRIZ DE RIESGO ÁREA

HARDWARE

ESTRATEGIA o RIESGO

Amenazas al sistema por: Seguridad Física Falta de Dispositivos para minimizar daños

CLASIFICACION

CONTROL

CRITERIO

IDENTIFICADO

Alto

No existen dispositivos para la prevención de daños al equipo

Es necesario el uso de dispositivos que prevengan los daños en el equipo.

Para comunicarse se utiliza el Internet y no se usan procedimientos especiales de transmisión de información

Es importante que la entidad cuente con procedimientos de transmisión de información seguros y confiables.

al equipo Comunicacione s La transmisión de la comunicación no segura

Acceso lógico No se cuente con acceso restringido


Alto

Medio

No se da Es de vital seguimiento al importancia acceso al que se de

14/44

5/11/2018



ÁREA

ESTRATEGIA o RIESGO

CLASIFICACION

CONTROL

CRITERIO

IDENTIFICADO

de los empleados al sistema

sistema, pero el acceso es dependiendo el cargo del empleado con su respectiva clave de acceso.

seguimiento al histórico de accesos al sistemas asi como si lo hacen a horas no laborales aunque estos tengan claves de acceso parametrizadas con acceso restringido de la información.

Accesos Físicos

No se cuenta La

Que no se cuenten con Alto planes de señalización de áreas sensibles o la debida asignación de responsabilidades del personal que manipulara el sistema

con un plan, ni políticas que relacionen estos aspectos.

Planes Desastres

No son


de Medio

entidad

debe de formular normas y políticas que contribuyan a la seguridad y a la respectiva responsabilidad del personal

cuentan Que la ningún entidad cuente

15/44

5/11/2018



ÁREA

ESTRATEGIA o RIESGO

CLASIFICACION

CONTROL

CRITERIO

IDENTIFICADO

Que la entidad no cuente con planes contra desastres

plan o estrategia contra desastres, únicamente seguro contra daños.

con un plan de contingencias como mantenimiento preventivo además del Seguros contra desastres.

SOFTWARE

Amenazas al sistema por: Medio Utilidades y Software Que no existan controles en la

A pesar que no existe control en la utilización de programas utilitarios sensibles, la

Es importante que se limite el acceso de programas que se puedan prestar a la

utilización software aprobación sistema

aprobación del sistema y sus actualizaciones son realizadas por autorización de la Gerencia

modificación de los datos del sistema sin dejar rastro alguno.

Aunque no se encuentran plasmadas normas que obliguen al personal

La entidad debe tener documentado los procedimiento s del personal.

de y del

Copias de Respaldo Bajo Falta de Respaldos de la información


16/44

5/11/2018


[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas ESTRATEGIA o

ÁREA

RIESGO

CLASIFICACION

CONTROL

CRITERIO

IDENTIFICADO

involucrado de realizar respaldos , estos se hacen semanalmente Base de Datos Que no se cuenta Medio con una

Se realizan Es de benefio actualizaciones para la de la base de entidad y los

integridad en la Base de Datos

datos periódicamente , pero no se cheque o se audita

POLITICAS Y Amenazas en el PROCEDIMI- control interno Medio ENTOS en : Mala selección de personal que manipulara el sistema informático. 

Que los informes que Bajo produce el sistema no sean los requeridos

usuarios de la información que cuente con una integridad

Al contratar al La entidad personal se le debe poseer exige perfiles de los conocimien-tos puestos. fundamentales de computación, las que requiera el cargo.




Son de El formato de satisfacción de los informes los usuarios. debe estar actualizado

17/44

5/11/2018


[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas ESTRATEGIA o

ÁREA

RIESGO

CLASIFICACION

CONTROL

CRITERIO

IDENTIFICADO

según la exigencia del usuario. No exista una organización de Bajo funciones de los miembros de la entidad 

Que no se cuente con Bajo manuales de usuario, técnicos y operativos. 

Las funciones del personal esta definida y estructurada por medio de

La organización contribuye al orden lógico de las

un organigrama

funciones de los miembros

El Sistema cuenta con su respectivo manual de funciones.

Es necesario que los manuales sean proporcionados a los usuarios para que facilite la Manipularacion del sistema y evaluar lo ya ejecutado. Si hay personal nuevo es importante que se le brinden los manuales.

SEGURIDAD EN EL

Que la administraci-ón


Medio

Solo Es generación de indispensable

18/44

5/11/2018



ÁREA

ESTRATEGIA o RIESGO

CLASIFICACION

CONTROL

CRITERIO

IDENTIFICADO

SISTEMA

no cuente con medidas para salvaguardar los datos y archivos

respaldos zip.

en que la administración cuente con medidas de salvaguarda como el guardar archivos en medios extraíbles y guardados en cajas de seguridad y fuera del lugar de trabajo.

Que no se tenga certeza Alto de integridad de los datos procesados en el sistema


Se realizan actualizaciones pero no se le ha practicado una auditoria al sistema desde su implantación

La entidad debe aplicarle auditorias al sistema actual para mayor seguridad en la información que se procesa y extrae.

19/44

5/11/2018


[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas Para la evaluación de los riesgos se tomaron las siguientes escalas para categorizarlos en alto, medio o bajo.


20/44

5/11/2018



X. ADMINISTR ACION DE L A A AUDITOR I A 1) ASIGNACION DEL PERSONAL. El personal que se asigna a la actividad de la ejecución de la auditoria y supervisión del trabajo, es el siguiente:

Nombre Irene Mabel Huezo Melara Mario Ernesto Ponce

Cargo Auditor Junior. Auditor Senior.

A continuación se presenta una descripción de las funciones interrelacionadas, que el equipo profesional llevará a cabo durante la ejecución de la auditoria en lo que respecta al Estudio y Evaluación del Control Interno y al proceso de Planeación de la auditoria. El Br. Mario Ponce, Coordinador y Ejecutor, tendrá el compromiso de coordinar los servicios y de mantener una adecuada comunicación con la administración de la institución, asuntos como evaluación sobre la suficiencia y oportunidad de la información y calidad de los informes; observación y recomendaciones diseñadas para mejorar reportes operacionales, así como informar asuntos de sobre importancia a la Junta Directiva. La Br. Irene Huezo se encargara de la evaluación del control interno, ejecución de las pruebas, redacción de los hallazgos y observaciones de la auditoria.

2) CRONOGRAMA DE ACTIVIDADES, FECHAS CLAVE Y PRESUPUESTOS DE TIEMPO. Las fechas en las cuales serán entregadas las cartas y los informes son las que a continuación se detallan; las cuales han sido establecidas tomando en consideración el tiempo para realizar la auditoria del sistema SIC CONTA correspondiente en el año 2011.


21/44

5/11/2018



FECHAS CLAVES-Semanas ACTIVIDADES PRINCIPALES

Oct-11 1a

2a.

3a.

Nov-11 4a.

1a

2a.

3a.

Dic-11 4a.

1a

2ª.

3a.

Conocimiento del Negocio y sistema Memorando de Planeación Evaluacion de Control Interno Ejecucion de la Auditoria Informe de Hallazgos y Recomendaciones. Discusión del informe con la Gerencia. Informe de la Auditoria

El siguiente detalle refleja el número de horas/hombre que estarán a cargo de la ejecución del trabajo.


22/44

4a.

5/11/2018



ACTIVIDADES

Total de Horas

r o s i v r e p u S

r o t i d u A

PLANEACION Y ORGANIZACIÓN DE LA AUDITORIA Conocimiento del negocio Identificación de Procesos. Evaluación del Control Interno Determinación del Alcance

39 4 2

4 2

8 4

10 6

8 3

18 9 71

EJECUCION

Elaboración y Referencia de Papeles de Trabajo

35 5

4 2

39 7

Control de Calidad y Revision de los Papeles de Trabajo

10

15

25

Evaluación de Sistemas

3 5

1 3

21 4 8

Opinión de auditoria

3

6

9

83

48

131

Ejecución de Programas de Auditoria

INFORMES

Control interno y procesos claves

TOTAL HORAS

PRESUPUESTO DE HONORARIOS

CARGO AUDITOR

TOTAL DE HORAS PRESUPUESTADAS 83 HORAS

SUPERVISOR Total de horas

48 HORAS 139 HORAS

Costos indirectos

Costo total


COSTO POR HORA 5 10

TOTAL $ 440.00 510.00 150.00

$1,045.00

23/44

5/11/2018



XI. ANE XOS 1) CUESTIONARIOS DE CONTROL INTERNO UTILIZADOS PARA EVALUAR EL RIESGO.

Área:

NIVELES DE SEGURIDAD

Objetivo: Conocer los controles existentes sobre la seguridad física del hardware, transmisión de datos, accesos físicos y seguridad en casos de emergencia. No

Pregunta

SI NO N/A

Observaciones

A. Seguridad Física 1. ¿Existe un buen nivel de seguridad en el X almacenamiento de datos? 2. ¿Con cuantas computadoras cuenta la empresa?

6 Computadoras

¿Cuántas de las computadoras se 3. ocupan específicamente para el sistema?

3 Computadoras

4. ¿Existe un buen nivel de seguridad en el X almacenamiento de datos? 5. ¿Se dispone con dispositivos de protección de CPU y memoria central? 6. ¿Se tiene sistema contra incendios? 7.

¿Existen dispositivos para minimizar efectos de daños al equipo de cómputo?

Se cuentan con medidas adecuadas de acondicionamiento de aire 8. acondicionado, ventilación, etc.


X X X X

24/44

5/11/2018



El equipo cuenta con seguro específico contra daños por causa de accidentes o 9. desastres naturales. X ¿Se ha detectado algún elemento de 10. origen natural que pueda afectar el centro de Procesamiento de Datos? X

B. Comunicaciones ¿Cómo se efectúa la transmisión de 11. datos?

Por Internet

¿Son detectados automáticamente los X errores? 12. 13.

¿Existe integridad en la comunicación de X los datos? ¿Se emplea comunicación VPN? X

14. C. Accesos lógicos ¿Existen perfiles de usuarios para el acceso a terminales? 15. 16.

¿Se comparten los perfiles entre grupos de usuarios?

X

¿Se actualizan regularmente (perfiles)?

X

17. ¿Se conoce en forma precisa una lista autentica de usuario autorizado con sus 18. derechos y asignaciones a cada función X del programa? ¿Se da seguimiento a los intentos de violación de accesos a las terminales? 19.

¿Se utilizan programas especiales de protección de terminales (bloquea ante de acceso fallido, 20. intentos desconexiones, etc.)?


X

X X

25/44

5/11/2018



D. Accesos Físicos

¿Existe acceso restringido al centro de cómputo? 21. 22. 23.

25.

¿Existen mecanismos de identificación del personal de informática?

X

¿Existen localización y señalización adecuada de áreas sensibles.

X

¿La ubicación del departamento de Informática es independiente del resto de departamentos? E. Plan de Desastres

X

X

¿Se cuenta con un plan de desastres? ¿Existen planes y manuales sobre 26. normas de actuación en caso de emergencia? 27. ¿Se realizan simulacros de emergencia con el reconocimiento y práctica de las normas establecidas? 28. ¿Se cubre con este plan, todos los elementos necesarios para garantizar la continuidad del servicio, tras una 29. contingencia. Se le da mantenimiento y actualización al plan?

X X X

X


26/44

5/11/2018



Elaborado por:

FECHA:

Irene Mabel Huezo

FECHA: Autorizado por:

Mario Ponce

Cuestionario de Control Interno Área:

Software

Objetivo: Conocer los controles establecidos sobre el uso de programas y software, copias de respaldo, adquisición de paquetes y base de datos. No. Pregunta

SI

NO

N/A Observaciones

A. Utilidades y Software 1. ¿Existen controles sobre la utilización de utilitarios? a) Existe limitación en el número de usuarios del uso b) Autorización c) Queda registrado su uso ¿Está separado el departamento de 2. sistemas, del departamento de procesamiento de datos?


X X

X X

27/44

5/11/2018


[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas ¿Se controlan las modificaciones del X 3. software del sistema? 4.

¿Están documentadas modificaciones?

esas

Solo se controlan las actualizaciones

5. ¿Se pueden detectar modificaciones no autorizadas?

X

6. ¿Existe un procedimiento formal que se debe seguir antes de que un sistema o programa sea aceptado y puesto en marcha?

X

¿Cuántas personas 7. directamente con el Informático?

trabajan sistema

X

¿Cuál es el trabajo que realizan estas 8. personas dentro del sistema?

X

¿Cuáles son las principales funciones 9. que realiza el sistema?

¿Cuál es eldentro principal objetivo de tener 10. el sistema de la Empresa?


Administra los módulos de: clientes, proveedores, presupuestos, pedidos, albaranes, facturas, almacenes, CRM, bancos, cajas (TPV), pagos, cobros, etc. Llevar un control de las transacciones diarias y la respectiva archivacion automatizada optimizando tiempo para obtener la información de

28/44

5/11/2018


[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas forma precisa.  Listado

de Clientes  Listado de proveedores  Existencias de Inventario  Estado de cuenta de clientes y proveedores  Estadístico de ventas y compras  Cierre de Caja, etc.

¿Qué informes proporciona el sistema después de procesada la 11. Información?

¿Qué área o departamento de la empresa, dependen directamente del 12. sistema?

X

B. Copias de Respaldo (Backup)

El área de compras, ventas e inventario.

¿Existen normas debidamente documentadas respecto de la obtención de copias de seguridad? 13. ¿Existe y se mantiene actualizado un Back-up? 14. ¿Se hacen copias de soporte de los procedimientos y programas?

X

X

X

15. ¿Con qué periodicidad? C. Adquisición de Paquetes ¿Se efectúa un estudio detallado y 16. documentado antes de la adquisición de un paquete o del desarrollo de un software internamente?


Semanalmente. X

29/44

5/11/2018


[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas El Procedimiento de selección incluye: a) Visitas a usuarios b) Demostraciones 17. c) Informe de varios proveedores

X

Pruebas del Usuario d) e) Aprobación ¿El software cubre los aspectos legales necesarios para su utilización o uso? 18.

X D. Base de Datos ¿Se obtiene regularmente copia de la

19.

base de Datos? ¿Se chequea regularmente la base de datos para garantizar su integridad?

X

20.

¿Se obtiene un registro de las terminaciones anormales de los procesos que acceden a la base de 21. datos?

X X Solo cuando requiere administración

¿Existe documentación y prueba periódica de los procedimientos de 22. alteración de la base de datos?

lo la

X

¿Se han definido correctamente las 23. funciones del administrador de la base de datos? X


30/44

5/11/2018



Elaborado por:

FECHA:

Irene Mabel Huezo

FECHA: Autorizado por:

Mario Ponce


Políticas y Procedimientos

Objetivo:

Conocer y evaluar que tipos de políticas y procedimientos de utilizan

para determinar como influyen en el control interno. No. Pregunta

SI

NO N/A Observaciones

1. ¿Existe una persona responsable de evaluar y dictaminar normas en lo que respecta a metodologías de trabajo en el sistema?

X

2. ¿Se han definido administrador de base defunciones datos?

del

X

3. ¿Se han definido normas para la realización de la prueba de programas?

X

4. ¿Es adecuado el procedimiento de selección del personal informático?

X

¿Hay relación entre los métodos de 5. evaluación de rendimientos del sistema

X

y las posibilidades de mejora a éste? ¿Existen planes para incentivar al 6. personal de informática por su trabajo realizado? ¿Son efectivos los informes que procesa 7. y produce el sistema?


X

X

Para el volumen de datos que maneja la

31/44

5/11/2018


[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas empresa es útil. ¿Están distribuidas las responsabilidades 8. dentro del Área de informática?

X

Se ha evaluado el grado de 9. conocimiento del personal en las áreas:  Sistemas operativos  Nuevos equipos y programas  Comunicaciones y metodologías de análisis y programación.

X X X

¿La Administración General considera la importancia que tiene el estudio de los 10. sistemas de información?

X

Se requieren los conocimientos básicos de computación

¿Se ha establecido requerimientos de información por departamento y 11. usuarios? ¿Existen cambios en los sistemas informáticos como consecuencia de la 12. planificación más que por la necesidad operativa?

X

X

¿Están planificados los servicios externos tanto de hardware como 13. software? ¿Existe revisión del trabajo de proceso de operación de captura de datos por el 14. responsable de informática?

X

X

¿Existen definidas las dependencias funcionales en un organigrama? 15.

16.

X ¿Existen manuales de funciones para cada puesto del departamento, con suficiente nivel de comprensión? ¿Existen políticas establecidas para el uso del equipo de Cómputo?

17. ¿El manual del usuario esta definido de


X

X

32/44

5/11/2018


[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas manera clara y objetiva? 18 ¿Existen controles internos para el área de informática?

X

19.

X

 Acceso

restringido  Claves de acceso

¿Existen procedimientos formales para la operación del sistema de cómputo. 20. Se actualizan periódicamente procedimientos?

los

X

21. ¿Existen procedimientos escritos para la recuperación del sistema en caso de fallas?

X

22.

23.

¿Se cuenta con políticas de seguridad en relación a sistemas y programas? ¿En que basa el control del sistema?

Existen políticas administrativas que 24. proporcionen la seguridad de que los objetivos de implementación de sistemas están claros y están siendo 25. alcanzados? ¿Existen normas para el uso del área de informática? ¿La empresa utiliza políticas para la 26. contratación del personal?

X X X

X

X

27. ¿Existe un adecuado control en cuanto a la seguridad del Departamento y X recursos informáticos en la empresa? 28.

X ¿Cuáles son las medidas para garantizar la seguridad de la información?


No Existen controles

No por falta de información o falta de interés al tema. Las condiciones que se exigen son las requiere el puesto.

No existe departamento informático pero se cuenta como medida de seguridad el Back up.

33/44

5/11/2018



29.

El cambio de los Pasword cada mes por parte del Administrador del Sistema.

¿Qué medidas de seguridad aplica la administración para salvaguardar los datos y archivos que se procesan en el sistema? Planes de Contingencias que se 30. ponen en práctica. Cuentan con un área de auditoria de informática? Si no ¿por qué?

La generación de respaldos en winrar. No, existen planes de contingencias y tampoco cuentan con un área de Auditoria Informática debido a que la área de utilización es pequeña.

¿Si cuentan con un área de auditoria de informática, es beneficiosa esta área para la entidad? 31. ¿Tienen niveles de materialidad establecidos en la empresa y cual es el margen de error tolerable con cuentan?

X

32. X

Elaborado por: Autorizado por:

Irene Mabel Huezo Mario Ponce


FECHA: FECHA:

34/44

5/11/2018




Seguridad en el Sistema

Objetivo: Conocer y evaluar que tipos de seguridad que la institución aplica en el ambiente informático y en el sistema actual. No. Pregunta

SI

NO

N/A Observaciones

` 1. ¿Existen controles internos para el

X

a) Acceso

acceso al sistema operativo?

de b) restringido Claves acceso

2. ¿Se cuenta con políticas de seguridad en relación a sistemas y programas?

X

3. ¿Existe un adecuado control en cuanto a la seguridad del Departamento y recursos informáticos en la empresa?

X

4. ¿Cuáles son las medidas para garantizar la seguridad de la información?

X

¿Qué medidas de seguridad aplica la 5. administración para salvaguardar los datos y archivos que se procesan en el sistema? Planes de Contingencias que se ponen en práctica.

Password

¿Existe y se mantiene actualizado un 6. Back-up?

X

¿Se obtiene regularmente copia de la 7. base de Datos?

X


Resguardo en Winrar

35/44

5/11/2018



¿Se cuenta con un plan de desastres? 8. ¿Existe acceso restringido al centro 9. de cómputo? ¿Existen mecanismos 10. identificación del personal informática?

Elaborado por:

Irene Mabel Huezo

Autorizado por:

Mario Ponce

X X

de de X

FECHA: FECHA:

2) PROGRAMAS DE AUDITORIA.

Programa de Auditoria:

NIVELES DE SEGURIDAD

Cliente:

Distribuidora San Andres, S.A. de C.V.

Período de Auditoria:

Del 01 de Enero al 30 de noviembre de 2011

Objetivo General: Niveles de Seguridad:

Archivo de PT´S

Evaluar y determinar, si en el sistema se llevan acabo las medidas de seguridad apropiadas y permitentes que este exige y debe tener, tanto físicas como lógicas. La evaluación de los niveles de seguridad implica verificar que se tengan los controles y restricciones apropiadas según el rol de los usuarios y el ambiente de el área de trabajo. La evaluación en este componente comprende: Seguridad Fisica. Seguridad Logica. Panorama Tecnico. Valores Parametrizados. Pistas de auditoria.     


36/44

5/11/2018



No.

Procedimiento

1

SEGURIDAD FISICA Verificar que el equipo este asegurado por cualquier contingencia que ocurra.

2 3 4

Hecho por:

Referencia Pt´s

Verificar si existe un contrato de mantenimiento de los equipos y asegurarse que cubra todos los equipos de cómputo y si dicho mantenimiento es efectuado a tiempo. Comprobar si existen baterías y realizar una prueba para verificar el funcionamiento de las baterías. Verificación de custodia de medios extraíbles que son ingresados al sistema.

5

SEGURIDAD LÓGICA 6 7

Verificar los niveles de seguridad que utiliza la empresa para tener acceso a todos los módulos. Y Solicite una lista autentica de los usuarios autorizados del sistema. Observe los procedimientos de acceso al sistema y realice pruebas Verificardesiacceso. tienen mecanismos de seguridad para evitar la reproducción de Información confidencial. Conclusión

5

Concluya sobre el trabajo realizado y Redacte las observaciones y hallazgos encontrados.

Observaciones:


37/44

5/11/2018


[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas Preparado:

Fecha:

Supervisado:

Fecha:

Aprobado:

Fecha:


FUNCIONAMIENTO DEL SISTEMA

Cliente:

Distribuidora San Andres, S.A. de C.V.



Objetivo General: Funcionamiento:

Hoja: Índice:

Archivo de PT´S

Realizar examen del funcionamiento general del sistema en función de las necesidades del usuario, la eficiencia y la eficacia. La evaluación del funcionamiento del sistema consiste en determinar si este cumple satisfactoriamente los objetivos para lo que ha sido implementado o adquirido y si este se adapta a las necesidades de los usuarios y si posee la capacidad de brindar información confiable y de manera eficiente. La evaluación en este componente comprende: Origen de datos. Entrada de datos. Proceso de datos. Salida de información.    

No.

Procedimiento

1

Elabore una narrativa detallando el proceso de alimentación de los datos de las terminales y la manera en cómo se valida la información, detallando los niveles de autorización y las personas que intervienen en el proceso. De un reporte de al menos 5 transacciones, verifique que en estos se documente apropiadamente el origen y entrada de los datos para los siguientes procesos.

2

Hecho por:

Referencia Pt´s

Pedidos a proveedores, Autorización del pedido. Que los datos del pedido coincidan con los valores autorizados. Existencia de enmiendas.  




38/44

5/11/2018


[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas No.

Procedimiento

Hecho por:

Referencia Pt´s

Cotizaciones para pedidos.



Recepción Stock) ycon . los valores del ingreso del(entradas inventariodecoincida QuedeelInventarios pedido respectivo. Que la fecha de la transacción coincida con la fecha de los documentos. Que la documentación del ingreso a inventario este debidamente autorizada. 





Facturas: Que si se efectuaron cotizaciones estas se documenten. Monto de las operaciones.  

Cantidades. Condiciones de crédito según los criterios de la

 

3 4

5 6 7

administración. Compruebe mediante pruebas de adición de datos si el sistema efectúa los cálculos apropiados, para las ventas, compras y control de Existencias de Inventario. Verifique que los reportes generados, sean íntegros en información según los requerimientos del usuario así como que la información no se pierda en la exportación de los reportes a los distintos tipos de archivos disponibles. Verifique si el sistema emite reportes vinculados con la captura de datos fuente y con qué periodicidad se emiten. Corrobore que el sistema no permita duplicar transacciones de ventas o compras. Verifique si la empresa posee un Software de antivirus y si este se encuentra debidamente actualizado. Conclusión

5


Observaciones:


39/44

5/11/2018



Preparado:

Fecha:

Supervisado:

Fecha:

Aprobado:

Fecha:


MARCO LEGAL Y POLITICAS

Cliente:

Distribuidora San Andrés, S.A. de C.V.



Objetivo General: Marco Legal , Cumplimiento De Políticas y Procedimientos:

Hoja: Índice:

Archivo de PT´S

Realizar examen del cumplimiento apropiado de las leyes y regulaciones que incidan en el uso apropiado del sistema. Documentar la existencias de políticas y procedimientos, así como el cumplimiento de estas. La evaluación de este componente permite establecer si la entidad cuenta con un ámbito legal adecuado, así como verificar que tan efectivo es el sistema de control en su aplicación. Incluye el examen de: Leyes y reglamentos aplicables. Controles administrativos. Normas y procedimientos. Manual de usuarios.    

No.

Procedimiento

1

Elabore una narrativa describiendo el proceso de la administración y aplicación de políticas en el uso y manipulación del sistema y los equipos de computo. Elaborar una cédula en la cual se resuman el total de las Políticas y Procedimientos a evaluar dentro de la entidad. Verificar que exista una segregación de funciones del personal que interviene el sistema, como prevención de fraudes y errores.

2 3 4

Hecho por:

Referencia Pt´s

Obtenga un reporte del registro y listado de inventario y verifique que este cumpla con los siguientes requisitos (según aplique): 1. Un encabezado que identifique el título del registro; nombre


40/44

5/11/2018


[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas No.

Procedimiento

Hecho por:

Referencia Pt´s

del contribuyente, período que abarca, NIT y NRC; 2. Correlativo de la operación; 3. Fecha de la operación; 4. Número de Comprobante de Crédito Fiscal, Nota de Crédito, Nota de Débito, Factura de Consumidor Final, documento de sujeto excluido a que se refiere el artículo 119 de éste Código, Declaración de Mercancía o Formulario Aduanero correspondiente, según el caso; 5. Nombre, razón social o denominación del proveedor; 6. Nacionalidad del proveedor; 7. Descripción del producto comprado, especificando las características que permitan individualizarlo e identificarlos plenamente; 8. Fuente o referencia del libro de costos de retaceos o de compras locales de donde ha sido tomado el costo correspondiente, o en su caso la referencia de la hoja de costos o informe de donde se ha tomado el costo de producción de las unidades producidas; 9. Número de unidades que ingresan; 10. Número de unidades que salen; 11. Saldo en unidades; 12. Importe monetario o precio de costo de las unidades que ingresan; 13. Importe monetario o precio de costo o venta, según el caso de las unidades que salen; y, 14. Saldo monetario del importe de las unidades existentes, a precio de costo.

5

Adicionalmente verifique si el sistema es capaz de aceptar ajustes a los inventarios por descuentos, rebajas o incrementos en los precios. Verifique la existencia de manuales de Usuario, Instalación y Manual Técnico para el Sistema. Conclusión

4


Observaciones:


41/44

5/11/2018



Preparado:

Fecha:

Hoja:

Supervisado: Aprobado:

Fecha: Fecha:

Índice:


PLANES DE CONTINGENCIA

Cliente:

Distribuidora San Andrés, S.A. de C.V.



Objetivo General: Planes de Contingencia:

Comprobar que los planes de contingencias sean apropiados y que se garantice la seguridad y confidencialidad de la información. Consiste en planes implementados por la entidad para salvaguardar la seguridad y confidencialidad de la información y los equipos. En este componente se verifica que se posean planes de respaldo de información y Custodia de los mismos.

No.

Procedimiento

1

Verifique que se defina una política apropiada de planes de contingencia y evalué si esta se adhiere a las necesidades de la entidad. Compruebe si se cumplen los periodos de creación de las copias de seguridad obteniendo un listado del ultimo año de los backups realizados y las fechas en las que se efectuo. Verifique el tipo de información sujeta a backup, considerando si es apropiada e integra.

2 3 4

Archivo PT´S de

Hecho por:

Referencia Pt´s

Elabore una quien narrativa proceso las copias seguridad ye indentifique esta del a cargo de lade custodia de lade información si existen restricciones apropiadas de acceso. Conclusión

5



42/44

5/11/2018



Observaciones:

Preparado:

Fecha:

Supervisado:

Fecha:

Aprobado:

Fecha:

Hoja: Índice:

3) CEDULA DE MARCAS DE AUDITORIA. AUDITORES DE SISTEMAS IP S.A. DE C.V.

REF:

DISTRIBUIDORA SAN ANDRES. AUDITORIA DE SISTEMA INFORMÁTICO DE FACTURACIÓN E INVENTARIOS & = Obtenido de Comprobación física de los equipos y ubicaciones £ = Áreas según organigrama C/G = Carta de Gerencia A/G = Archivo General µ = Cumplimiento Verificado ∫= Verificación física. Φ = Datos Obtenidos de Reportes del Sistema Ç= Verificado con el Sistema £ = Verificado contra documento β = Cálculos Verificados


43/44

5/11/2018



∮= Documentación no apropiada.

Š = Comentario del personal ¬ = Verificado contra Software ~ = Verificar contra documento adjunto.


44/44

Memorandum de Planeacion 2011

Recommend Documents