Memorandum de Planeacion de Auditoria Sistemas

UNIVERSIDAD DE EL SALVADOR FACULTAD DE CIENCIAS ECONÓMICAS ESCUELA DE CONTADURÍA PÚBLICA

Trabajo: “Memorándum de planeación de Auditoria de Sistemas de Moldes Hidráulicos, S.A. de C.V.” Asignatura: Auditoria de Sistemas Grupo Teórico: 03 Profesor: Lic. Mario Hernán Cornejo Pérez Presentado por: Nombre

Carnet

Reina Isabel Belloso

BB03042

Mirna Judith Baires García

BG03011

Elías Romero Gómez

RG05083

Julia Elizabeth Rivas Hernández

RH94015

Ciudad Universitaria, 12 de Octubre de 2010.

AUDITORES Y CONSULTORES, S.A. DE C.V. Servicios integrales de auditoría

2

Memorándum de Planeación “Moldes Hidráulicos, S.A. DE C.V.”


INDICE


Contenido

Pagina

ALEX.. PARTE 1 Y 2 1. Requerimientos del negocio.......................................................................................... 4-6

...

1.2. Entidad que

contrata...................................................................................................... ...

...4

1.3. Términos de contratación................................................................................................ ...4 1.4. Compromiso de la auditoria...........................................................................................

...

4 1.4.1. Objetivos de la auditoria..................................................................................................45 1.4.2. Alcance de la auditoria..................................................................................................... 5-6 1.4.3. Responsabilidad de la firma...........................................................................................6 1.4.4. Contenido y plazo para la distribución de los informes.....................................6 2. Conocimiento de la entidad...........................................................................................

...

7-10 3. Conocimiento del sistema.................................................................................................10 -18 3


3.1.


Nombre....................................................................................................... ...............

.................10

3.2. Utilidad....................................................................................................... .................................10-11 3.3. Usuarios...................................................................................................... ................................11 3.4. Lenguaje de programación............................................................................................. ....11 3.5. Sistema operativo.................................................................................................... ............

...11

3.6. Base de datos........................................................................................................... .................12 3.7. Tipo de instalación.................................................................................................. ............

...12

3.8. Sistema de comunicación.............................................................................................. ...

...12

3.9. Marco legal............................................................................................................ ................. ...12

3.10. Estructura organizativa del centro de cómputo.................................................. .....13 4


3.11. Manual


técnico........................................................................................................ ...........

...13

3.12. Manual de usuario........................................................................................................ .......13 3.13. Soporte Técnico....................................................................................................... .............13 3.14. Finalidad del centro de cómputo...............................................................................

...13-14

3.15. Funciones................................................................................................... .............................14-17 3.16. Ubicación geográfica................................................................................................... ....

...18

3.17. Cantidad de empleados que utilizan el sistema................................................... ...18 3.18. Dependencias relacionadas.......................................................................................... ... 18 4. Evaluación de riesgos...................................................................................................... .....19-21 4.1. Identificación de riesgos y determinación de áreas críticas.............................

...20

4.2. Matriz de riesgo.......................................................................................................... .............21 5


5. Evaluación del control


interno.....................................................................................

...22-25

5.1. Políticas y procedimientos empleadas por la entidad........................................

...22-25

6. Administración del trabajo de auditoría................................................................

...26-28

6.1. Personal asignado..................................................................................................... .............26 6.2. Fechas claves......................................................................................................... ...................26 6.3. Presupuestos.............................................................................................. ........................... ...26-27 6.4. Cronograma de actividades............................................................................................ ... 28 7. Programas de auditoría................................................................................................... ...29-37 Marco Legal………………………………………………………………………………………… ………29-30 Percepción de Usuario…………………………………………………………………………………31 Niveles de seguridad del sistema………………………………………………………………….32-34 Funcionamiento del Sistema………………………………………………………………………..35-36 6


Planes de


Contingencia……………………………………………………………………………… ..37

7


1. Requerimientos del negocio


1.2. Entidad que contrata: Moldes Hidráulicos, S.A. de C.V. 1.3. Términos de contratación De acuerdo al contrato No 20/2010 suscrito entre Moldes Hidráulicos, S.A. De C.V. y Auditores y Consultores, S.A. DE C.V. firmado en la ciudad de San Salvador, a los veinte días del mes de Septiembre del año dos mil diez; ésta última tiene como responsabilidad realizar con la mejor calidad técnica y con los más altos estándares de competencia, ética e integridad profesional, los servicios de Auditoría de los Sistemas Contables Computarizados, de conformidad con Normas para auditar sistemas y Normativa COBIT. 1.4. Compromiso de la auditoria Realizar una auditoría al Sistema de Información Computarizado SENIOR TPV PRO sistema de facturación de la Empresa Moldes Hidráulicos, S.A. DE C.V.

Con base a las Normas Generales para la

Auditoria de Los Sistemas de Información y a la normativa Técnica adoptada de COBIT,

permitiéndonos así

formarnos una conclusión

acerca del funcionamiento, capacidad y desempeño del sistema; para emitir un informe final que sirva de base a la administración, para que evalué

las

deficiencias

encontradas

y

tome

las

medidas

correspondientes, en base a las sugerencia realizadas. 1.4.1. Objetivos de la auditoria  Evaluar la integridad, confiabilidad y desempeño del sistema de facturacion computarizado a través de

los controles y

los

procedimientos implementados por la empresa Moldes Hidráulicos, 8


Memorándum de Planeación “Moldes Hidráulicos, S.A. DE C.V.” S.A. DE C.V. así como la utilización y seguridad en el procesamiento de la información, evaluando la seguridad física y lógica con que cuenta actualmente dicho sistema.

 Evaluar el cumplimiento de las disposiciones legales aplicables a los sistemas de información computarizados  Evaluar la efectividad de los controles implementados por la administración  Verificar el funcionamiento de los niveles de acceso al SIC  Verificar la existencia de manual técnico del sistema y la accesibilidad que tienen los usuarios al documento. 1.4.2. Alcance de la auditoria La auditoria la realizaremos al sistema en operación, en el que evaluaremos

la

suficiencia

y

cumplimiento

de

controles

para

administrar, operar y utilizar el sistema, con el objeto de garantizar la seguridad, confiabilidad y utilidad de la información que genera.  Procedimientos y Marco Legal Leyes y Reglamentos Controles Administrativos Normas y procedimientos Manual de usuario del Sistema  Percepción de Usuario  Niveles de Seguridad del Sistema Seguridad Física Seguridad Lógica Panorama técnico Valores Parametrizables 9


Memorándum de Planeación “Moldes Hidráulicos, S.A. DE C.V.” Pistas de Auditoria (bitácora de registros de eventos)  Funcionamiento del Sistema

Origen de Datos Entrada de Datos Procesamiento de datos (uso de técnicas de auditoría con ayuda de computadora – TAAC) Salida de información  Plan de Contingencias (plan de Continuidad) Back up Lugares de resguardo 1.4.3. Responsabilidad de la firma Nuestra firma es

responsable de

llevar a cabo una adecuada

conducción de la auditoria de acuerdo a Normas de Auditoria de Sistemas de Información y a la normativa Técnica adoptada de COBIT, y reportar los hallazgos que muestren las irregularidades que afectan a la empresa durante la ejecución de la Auditoria, junto con las respectivas sugerencias para mejorar la condición actual. 1.4.4. Contenido y plazo para la distribución de los informes Los informes a presentar son: Carta a la gerencia. Contendrán los hallazgos de auditoría, en donde se reflejara la condición actual, criterio, causa, efecto y

posibles mejoras a

través de las respectivas sugerencias, fecha de entrega a la administración el 24/10/2010. Informe del auditor independiente. 10


Memorándum de Planeación “Moldes Hidráulicos, S.A. DE C.V.” Este contendrá la opinión final del auditor, con respecto al trabajo de auditoría realizado, fecha de entrega a la administración 12/12/2010.

2. Conocimiento de la entidad 2.1. Información del negocio DENOMINACIÓN: Moldes Hidráulicos, S.A. De C.V. NIT:

0614-110498-003-5

NRC:

1254-8

NUMERO PATRONAL: 401780511 GIRO: Elaboración de moldes hidráulicos DOMICILIO: su domicilio es en el departamento de san salvador, 95 Av. Norte #

632, colonia Escalón, San Salvador.

2.2. Descripción del Negocio La sociedad Moldes Hidráulicos, S.A. De C.V. Se dedica a las siguientes actividades de servicios. a) Elaboración de moldes hidráulicos. b) Ensambles de piezas para vehículos. Siendo la actividad principal los trabajos de elaboración de moldes hidráulicos, ya que son la mayor fuente de ingresos para la empresa. 2.3. Objetivos de la entidad Convertirnos en el mayor productor de moldes hidráulicos en la región Centroamericana, ofreciendo la mejor calidad a los precios más competitivos del mercado. 11


2.4. Ubicación geográfica


La empresa se encuentra ubicada en la Zona metropolitana de San Salvador en la 95 Av. Norte #

632, colonia Escalón

2.5. Principales clientes  Grupo Q, S.A. de C.V.  Taller Didea, S.A. de C.V.  Toyo Tires, S.A. de C.V.  Ferreterías Freund, S.A. de C.V.  Ferretería la Fortuna S.A. de C.V. 2.6. Estructura organizativa Moldes Hidráulicos, S.A. de C.V.

12



2.7. Personal clave de la entidad  Gerente General  Gerente Financiero  Gerente de Informática  Gerente de Ventas  Gerente de Recursos Humanos 2.8. Leyes y reglamentos aplicables La empresa Moldes Hidráulicos, S.A. de C.V. por ser una empresa legalmente establecida cumple con las disposiciones legales que rigen a las empresas en nuestro país, en sus diferentes áreas e instituciones que cuentan con leyes especiales entre las cuales tenemos: Leyes Mercantiles •

Código de comercio

Leyes Tributarias Según el Ministerio de Hacienda, Moldes Hidráulicos, SA. de CV. está clasificada como una empresa mediana, por lo tanto debe cumplir con todos los requisitos formales como lo exigen las siguientes leyes: • El Código Tributario • Ley de Impuesto a la transferencia de bienes muebles y a la prestación de servicios (Ley de IVA) •

Ley de Impuesto sobre la Renta.

• Reglamento de Aplicación del Código Tributario. 13



• Código Civil • Superintendencia de Obligaciones Mercantiles • Código de Comercio • Ley Reguladora del Ejercicio de la Contaduría Pública y Auditoría Art. 17 numerales a),b),e). • Ley de Fomento y Protección a la Propiedad Intelectual. • Ley del Registro de Comercio Leyes Civiles y Laborales •

Código de trabajo.

•

Ley del AFP

•

Ley del Instituto Salvadoreño del Seguro Social

Leyes Municipales •

Código municipal

•

Ley general tributaria municipal

Leyes y Reglamentos Específicos •

Leyes Ambientales

3. Conocimiento del sistema 3.1. Nombre: SENIOR TPV PRO 3.2. Utilidad: Sistema de Facturación Senior TPV es el programa de gestión idóneo para la administración de un negocio. Su potencia es equiparable a su comodidad y facilidad de uso, algo poco habitual en otros programas. Aparte de llevar el control de artículos, clientes, proveedores, facturas, albaranes, etc… también 14


Memorándum de Planeación “Moldes Hidráulicos, S.A. DE C.V.” permite la generación de listados, estadísticas, etiquetas y muchas cosas más, con la nueva posibilidad de enviar las previsualizaciones de documentos e informes por correo electrónico.

Abarca no solo las tareas comerciales, sino también una amplia gama de tareas administrativas como mailings, etiquetas, correo electrónico, control

de

cobros

y

pagos,

previsiones

de

tesorería,

informes

estadísticos, etc… y las demás tareas administrativas de la empresa. Su arquitectura ofrece una insuperable eficacia práctica, a la que adiciona las múltiples facilidades de los poderosos recursos Windows: operación

intuitiva,

sencillez,

ventanas

múltiples

para

consulta

simultánea, etc. Perfectamente

integrado

con

el

sistema

operativo

Windows,

aprovechando todas las características avanzadas que éste proporciona: impresoras, correo electrónico, navegadores de Internet, imágenes 3.3. Usuarios  Gerente de Ventas  Contador  Auxiliar contable  Ejecutivos de venta  Encargada de caja  Tesorería 3.4. Lenguaje de programación TYPE, help: “or /h, “.” /cmysql 3.5. Sistema operativo 15


Memorándum de Planeación “Moldes Hidráulicos, S.A. DE C.V.” Este sistema es funcional en los siguientes sistemas operativos:  Windows 2000  Windows 2003  Windows XP  Windows vista 3.6. Base de datos La base de datos con la que opera el sistema es MYSQL version 3.23.38nt 3.7. Tipo de instalación Para la ejecución del programa se requiere un ordenador con procesador Pentium

II

(mínimo)

ejecutando

Windows

95

o

superior

(no

recomendable Windows Millenium) con al menos 64 Mb. de RAM y 17 Mb. de espacio libre en el disco duro, tarjeta gráfica VGA (256 colores) con área de pantalla de 800x600 pixeles, Conexión a Internet y cuenta de correo electrónico (sin límite de capacidad) para la recepción automatizada de actualizaciones, Una unidad de gran capacidad para hacer las copias de seguridad con el programa (zip, magneto óptico, regrabadora, etc...). Redes aceptadas: cualquier red compatible con Windows 95, 98, NT 4.0 o superior, 2000 o XP. 3.8. Sistema de comunicación  SQL SERVICE 3.9. Marco legal

16


Memorándum de Planeación “Moldes Hidráulicos, S.A. DE C.V.”  Ley de Fomento y Protección de la Propiedad Intelectual (Art. 12, 13, 43, 45, 86)  Código Tributario (Art. 156-A, 158)  Ley del Impuesto sobre la Renta Art. 30-A  Ley de Impuesto a la transferencia de bienes muebles y a la prestación de servicios (Ley de IVA)

3.10. Estructura organizativa del centro de cómputo

Gerente de informática

Mantenimien to y desarrollo de software

Mantenimien to de hardware

Soporte técnico del sistema

3.11. Manual técnico La empresa no cuenta con manual técnico para el funcionamiento del sistema, se auxilian en el menú de ayuda en el modulo contenido, en este se encuentra detallado cada uno de los menús y sus modulo con la descripción especifica de cada una de las funciones que realizan. 3.12. Manual de usuario El manual de usuario se encuentra dentro del menú ayuda en el sistema. 3.13. Soporte Técnico 17


Memorándum de Planeación “Moldes Hidráulicos, S.A. DE C.V.” El soporte técnico es brindado por el Departamento de informática, atendiendo cada una de las necesidades de funcionamiento del sistema. 3.14. Finalidad del centro de cómputo El Departamento de Informática es el encargado de elaborar un plan estratégico de información que contribuya al desarrollo negocio, logrando una ventaja competitiva a través de las tecnologías de información. Este departamento es el responsable del mantenimiento de Hardware y software así como del suministro

de insumos varios

(cintas, papel,

pantallas protectoras, etc.) Además se encarga del cuido y manejo del equipo de computación y es responsabilidad del usuario bajo la supervisión del departamento de informática. La información manejada por este departamento es

estrictamente

confidencial, y evalúa los métodos y procedimientos adecuados para la protección y acceso de la misma. Periódicamente

se

realizarán

completas para garantizar

copias

de

respaldo

diferenciales

y

la seguridad de los sistemas en caso de

pérdida de información. Implementa controles y procedimientos orientados a prevenir y detectar cualquier error en el acceso, almacenamiento, proceso y salida de la información que genera el sistema, así como mejorar continuamente la seguridad lógica y física del sistema de información. 3.15. Funciones El sistema cuenta con 13 opciones de menú las cuales se detallan a continuación: 18


Menú de aplicación


 Empresas Módulos •

Recordar empresa

•

Cambiar empresa

•

Generar ejercicio

•

Borrar Ejercicio

•

Cambiar usuario

•

Cambiar fecha

 Maestros •

Clientes

•

Tipos de Unidades

•

Proveedores

•

Promociones

•

Agentes

•

Series

•

Tipos de Clientes

•

Bancos

•

Imprimir tipos de

•

Divisas

agentes

•

Formas de pago

•

Artículos

•

Aseguradoras

•

Familias

•

Entidades bancarias

•

Tipos de Artículos

•

Tipos de IVA

•

Grupos de atributos

•

Zonas

•

Partidas arancelarias

•

Agencias

•

Almacenes

 Almacén •

Movimientos

•

Traspaso entres almacenes

•

Regularizaciones

•

Inventario 19


•

Números de series

•

Envíos

•

Gráficos

 Ventas •

Presupuestos

•

Pedidos

•

Albaranes

•

Depósitos

•

Facturas

•

Recibos

 TPV •

Punto de ventas

•

Tiquets diarios

•

Encargos

•

Arqueo de caja

•

Ingresar/retirar

•

Dudas/prestamos/anticipos

•

Vales

 Servicios •

Facturas

 Compras •

Pedidos 20



•

Albaranes

•

Facturas


 IVA •

Facturas emitidas

•

Facturas recibidas

 Efectos •

Efectos a cobrar

•

Extracto de cliente

•

Cobro y devolución

•

Remesas

•

Efectos a pagar

•

Extracto de proveedor

•

Pago y devolución

•

Órdenes de pago

•

Emisión de cheques

•

Previsión de tesorería

 Utilidades •

Configurar

•

Importar ficheros

•

Copia de seguridad

•

Recuperar senior 3.3

•

Optimizar ficheros

•

Borrar serie de

•

Borrar ficheros

•

Tareas y mensajes

•

Registro de tareas

•

Exportar ficheros

documentos •

Cambiar serie de documentos

21

•

Usuarios

•

Modificar instalación


•

Registro de errores

 Ventana •

Ventana

22


3.16. Ubicación geográfica 95 Av. Norte #

632, colonia Escalón, San Salvador

3.17. Cantidad de empleados que utilizan el sistema La cantidad de empleados que utilizan el sistema aproximadamente son 20 personas cada una cuenta con su ID y clave de acceso al nivel adecuado de acuerdo a sus funciones, para lograr una efectiva desagregación de funciones y evitar errores involuntarios que pueden dañar el procesamiento de la información. N o 1 2 3 4 5 6 7 8 9 10 11 12

Nombre

Función

Lic. Adán Ramón Díaz Ing. José Alfredo Duran Ing. Walter Alberto Martínez

Gerente de Ventas Gerente de Informática Mantenimiento y desarrollo de

Tec. Samuel Elías Ramírez Tec. José Luis Hernández Lic. Alonso Martínez Cesar Armando Reyes María Elizabeth Ramos Nohemi del Carmen Ramos Carlos Alberto Escobar Varios (9) Tomas Antonio Rodríguez

software Mantenimiento de Hardware Soporte técnico del sistema Contador Auxiliar Contable Encargada de facturación Cajera Encargado de créditos y cobro Ejecutivos de ventas Tesorero

3.18. Dependencias relacionadas Las dependencias relacionadas del sistema de información son:  Departamento de Informática  Departamento Contabilidad  Departamento Tesorería  Departamento Ventas

4. Evaluación de riesgos Según el examen realizado al sistema en base a la matriz de riesgo se elabora para identificar aquellas áreas que tienen un alto grado de riesgo como las siguientes: 

Marco Legal



Percepción de Usuarios



Niveles de Seguridad



Funcionamiento del Sistema



Plan de Contingencia

4.1. Identificación de riesgos y determinación de áreas criticas

No

COMPONEN TE

AREA

1 Leyes y Reglamentos

2

3

4

Marco Legal

Controles Administrativ os

5 Normas y procedimient os

6

7

Manual de Usuario

8

9

Percepción de usuario


10

11

Seguridad Física

Niveles de Seguridad

Seguridad Lógica Valores Parametrizad os

14

Pistas de auditoria

15

Datos de origen

16 17

Funcionamie nto del sistema

Entrada de datos

18

Proceso de datos

19

Salida de información

20 21 22

Los usuarios no tienen conocimiento del marco legal Las mismas personas que administran el sistema ingresan los datos Falta de licencia de sistema en operación Verificar que cada usuario utilice su clave de acceso Niveles de acceso de adecuada a las funciones del usuario Carencia de manual de procedimientos del sistema Manual de procedimientos desactualizado Difícil accesibilidad al manual de usuario El sistema no procesa la información de acuerdo a las necesidades de los usuarios Carencia de capacitación para actualizaciones del sistema Robo de los equipos informáticos

Planes de contingenci a

Back Up Sitios de resguardo

CLASIFICACIO N

INTERNO

Bajo

X

Alto

X

Medio

X

El sistema adquirido no esta registrado legalmente

Bajo

X

Las claves de acceso no sean personales

Bajo

X

Los usuarios tienen nivel de accesos innecesarios al sistema

Medio

X

El proveedor del sistema no proporciona manual del sistema

Medio

X

El manual no es adecuado de acuerdo a las actualizaciones del sistema

Alto

X

El manual de usuario tiene difícil accesibilidad

Medio

X

La información generada por el sistema no satisface las necesidades de los usuarios

Bajo

X

Medio

EXTERN O

DESCRIPCION La empresa no brinda capacitación continua a los usuarios sobre cumplimientos legales Los datos parametrizados de han colocado erróneamente

X

Falta de capacitación de los usuarios La ubicación del centro de computo no tiene las medidas de seguridad necesarias

Bajo

X

El ambiente de lugar donde se encuentra el centro de computo no cumple los requisitos mínimos

La clave de acceso no es confidencial Personal no autorizado modifique los parámetros legales establecidos en el sistema

Alto

X

Los usuarios brindan la la clave de acceso a otro personal de la empresa

Alto

X

Carencia de registro de bitácora de usuarios Carencia de documentación de el ingreso de un dato Probabilidad de que un campo numérico procese letras

Alto

X

Medio

X

Bajo

X

Bajo

X

Bajo

X

Medio

X

Medio

X

Medio

x

Inadecuado ambiente del equipo informático

12

13

FACTORES DE RIESGO

Proceso de datos incompleta Los reportes generados no están bien identificados No se realizan respaldo a diario de la información Lugares inadecuados para resguardar la información El servidor esta en un

Los usuarios modifiquen los parámetros sin autorización alguna El sistema no guarda el historial de los accesos de cada usuario al sistema El usuario realice registros sin tener documentación de respaldo de la operación Un campo numérico procesa caracteres de letras La información generada no incluye todas operaciones registradas Los reportes no posean el nombre adecuado a la información que contiene No se realiza respaldo de la información al finalizar el día La información guardada no posee las medidas de control necesarias El equipo informático no se

encuentra en un lugar restringido

lugar accesible

4.2. Matriz de riesgo

No

COMPONEN TE

1

AREA

Leyes y Reglamentos

2 3

Marco Legal

Normas y procedimiento s

4 Manual de Usuario

5

6



7

Seguridad Física

8

Seguridad Lógica Niveles de Seguridad

9

Valores Parametrizado s

10

Pistas de auditoria

11

Funcionamien to del sistema

Datos de origen

12 Back Up 13 14

Planes de contingencia

Sitios de resguardo

FACTORES DE RIESGO

EVALUACION DE RIESGOS INHEREN DETECCIÓ TE CONTROL N

Las mismas personas que administran el sistema ingresan los datos

X

PROCEDIMIENTO SEGÚN FACTOR DE RIESGO Realizar una adecuada desagregación de funciones

Falta de licencia de sistema en operación

X

Solicitar la licencia del sistema

Carencia de manual de procedimientos del sistema

X

Solicitar el Manual de procedimientos

Manual de procedimientos desactualizado

X

Solicitar el manual de usuario

Difícil accesibilidad al manual de usuario El sistema no procesa la información de acuerdo a las necesidades de los usuarios

X

Solicitar el manual de Usuario

Robo de los equipos informáticos

X

X

X La clave de acceso no es confidencial Personal no autorizado modifique los parámetros legales establecidos en el sistema

X

X

Carencia de registro de bitácora de usuarios Carencia de Documentación de el ingreso de un dato

X

No se realizan respaldo a diario de la información

X

Lugares inadecuados para resguardar la información

X

El servidor esta en un lugar accesible

X

Efectuar pruebas en el sistema Verificar las medidas de seguridad del centro de computo Verificar con el administrador del sistema cuantos usuarios tiene el sistema Indagar quien es la persona autorizada para efectuar los cambios Consultar al administrado sobre las pistas de auditoria Evaluar un periodo y consultar la documentación de respaldo Solicitar los respaldos de la información Examinar el área donde es guardad la información Ver la ubicación del equipo

ALCANCE DE LOS PROCEDIMIENTOS Verificar los niveles de acceso y la funciones de cada usuario Verificar que la licencia este resguardada Indagar con los usuarios sobre la existencia del manual Cotejar el manual contra las capturas de pantalla del sistema Investigar con los empleados la accesibilidad de este Imprimir la información generada y hacer los cálculos manualmente Verificar que la ubicación cumpla las medidas de seguridad mínimas Investigar son los usuarios por que razones se podría compartir la clave con otro personal Ingresar al sistema y verificar si existe bitácora de que usuario realizo el ultimo cambio Contactar al proveedor del sistema y analizar por que carece de esta opción el sistema Cotejar documentos contra registros Verificar la secuencia de los respaldos de la información Verificar las medidas de seguridad implementadas Evaluar quienes tienen acceso al lugar

5. Evaluación del control interno 5.1. Políticas y procedimientos empleadas por la entidad Cuestionario de evaluación del control interno PREGUNTAS

1.

ASPECTOS RELACIONADOS AL ÁREA DE INFORMÁTICA. Existe dentro de la empresa un área de informática?

2.

SI LA RESPUESTA FUE SI: Ante quien rinden cuentas de su gestión?

3.

Se ha nombrado un gerente para esta área?

SI

NO





4. Está identificada dicha área dentro del organigrama general de la empresa?



5.

Se tiene un organigrama específico de dicha área?



6. Hay un manual de organización y funciones aplicables a dicha área?



7. Están delimitadas las funciones de cada integrante del área de informática?



8. Cada empleado del área de informática conoce la persona ante la que tiene que rendir cuentas de su labor?



9. Los gerentes y otros funcionarios de nivel superior pueden dar órdenes directas a cualquier empleado del área de informática? 10. Cada empleado del área de informática es especialista en aspectos distintos de programación?

N/A





ASPECTOS RELACIONADOS AL HARDWARE 11. En alguna ocasión se ha extraviado alguna laptop o algún proyector de cañón propiedad de la empresa? 12. En alguna ocasión se ha extraviado algún periférico (bocinas, audífonos, teclado, mouse, teclado numérico, etc.) de una computadora?





13. Si hay vigilante, ¿Revisa éste que los empleados no lleven artículos que no son de su propiedad?



14. En alguna ocasión le han quemado discos o guardado información en los equipos de la entidad?



15. Cada componente de su computadora y periféricos tiene la numeración respectiva del inventario?



ASPECTOS RELACIONADOS AL SOFTWARE 16. Se utilizan programas como el Office de Microsoft u otros programas para los que la empresa haya comprado las licencias correspondientes?



17. Los empleados pueden utilizar el equipo informático de la entidad para elaborar documentos o diseños para uso personal?



18. Hay una persona nombrada como responsable de resguardar el software comprado por la empresa?

19.

Para el resguardo de los diversos discos de programas, se tiene un archivo adecuado? 20.



El software comprado por la entidad le facilita su trabajo?



21.

El software antes mencionado es justo lo que necesita para sus actividades laborales?



22. Existen programas diseñados y elaborados por el área de informática, con los procedimientos específicos para las actividades que la entidad desarrolla?



23. Los programas fueron creados bajo estricta normas de seguridad para evitar que puedan ser revendidos a otras empresas que se dediquen a la misma actividad económica? 24. Los diversos softwares se guardan en un lugar libre de humedad o con calor excesivo? 25. Los programas creados por los empleados del área de informática son funcionales y responden a las necesidades de la organización?









ASPECTOS RELACIONADOS AL PERSONAL

(Será conveniente que algunas preguntas sean resueltas por los empleados del área de informática) 26. Cuántos años tiene de laborar para la empresa? ____________ 27.

Se siente satisfecho de laborar para la empresa?

28. En el último año, ha renunciado algún empleado de este departamento?

29.

Cuáles considera que fueron las razones de la renuncia? ______________________________________ 30. casa?

Se permite que el personal lleve trabajo y accesorios a su

31.

Han recibido capacitaciones en el último año?

32.

Las capacitaciones recibidas, a que aspectos han sido enfocadas?_____________________________________



 

33. Los usuarios de los diferentes departamentos manejan con eficiencia los programas utilizados. 34. Se ha capacitado en su momento a los usuarios de los sistemas informáticos? 35. En alguna ocasión ha visto que algún empleado de la empresa esté haciendo algun trabajo muy personal en el equipo provisto por la empresa y en horas laborales?

 



INSTALACIONES ELECTRICAS

36.

Se cuenta con personal idóneo para revisar las instalaciones eléctricas?

 

37. En el último año se han revisado todas las instalaciones eléctricas? 38. En alguna ocasión se ha generado algún corto circuito dentro de las instalaciones? 39. Los tomas en los que conectan los equipos están polarizados? 40.

Tiene la empresa contratado un electricista? ASPECTOS RELACIONADOS A LA SEGURIDAD







41. Considera usted que hay demasiada humedad o excesivo calor, lo cual pueda deteriorar los computadores? 42. En alguna ocasión usted ha estado trabajando en una aplicación y de pronto cuando la está ejecutando se ha cambiado y le ha generado una cosa diferente a lo que esperaba?



43. En alguna ocasión un empleado se ha enfermado y le ha dicho el médico que es resultado del uso de algún aparato eléctrico?



44. Tiene la empresa en algún lugar diferente al negocio, copias de seguridad de los software y documentación importante que al darse un siniestro pueda afectar a la organización? 45.

Le han dado clave para ingresar al sistema?

46. La clave que ha recibido le da acceso a documentos y archivos con base en la autoridad que tiene dentro de la empresa? 47. Alguna vez su equipo no ha funcionado y al verificar algún accesorio ha estado desconectado? 48.







El acceso a internet es para todos los empleados?

49. Alguna vez por casualidad ha abierto algún documento que solo debió ser abierto por funcionarios de nivel superior?

50.



Alguna vez al insertar su contraseña el sistema le ha dado mensaje de error y aun cuando lo escribe correctamente, el mensaje se ha repetido?









 

6. Administración del trabajo de auditoria 6.1. Personal asignado El trabajo completo se desarrollará asignando al personal siguiente para efectuarlo: Socio

:

Licda. Mirna Judith Baires García

Supervisor de Auditoría

:

Licda. Julia Elizabeth Rivas Hernández

Asistente de Auditoría

:

Elías Romero Gómez

Asistente de Auditoría

:

Reina Isabel Belloso

Programador Analista

:

Ing. José Luis Hernández Molina

6.2. Fechas claves Durante el desarrollo de la auditoria se pueden tener como fechas de entrega de reporte mensual y entrega de informes las presentes fecha

COMPROMISO Entrega de Carta de Gerencia de Entrega de Carta de Gerencia de final Entrega de informe Final Ejercicio 2010

FECHA DE ENTREGA ESTABLECIDAS 24/10/2010 26/11/2010 12/12/2010

6.3. Presupuestos

No . Nombre del Empleado Mirna Judith Baires 1 García 2 Julia Elizabeth Rivas 3 Elías Romero Gómez 4 Reina Isabel Belloso José Luis Hernández 5 Molina TOTALES

PRESUPUESTO DE RECURSOS HUMANOS Honorari Horas os Valor Hombre Costo Total Cargo Mensuale Valor x Prestac x Costo Hrs a Hrs Funcional s Hrs Hora ** Hombre Utilizar Hombre Socio Superviso r Asistente Asistente Especialis ta

2,000.00

8.33

12.51

20.84

36.00

750.41

1,300.00 475.00 475.00

9.42 4.23 4.23

14.84 6.21 6.21

68.00 56.00 56.00

1,009.15 347.60 347.60

1,200.00

5.42 1.98 1.98 5 ,00

8.98

13.98

40.00

559.14

5,450.0

22.71

39.37

62.08

256.00

3,013.90

0

CALCULO DE VALOR PRESTACIONES POR HORA

No.

Nombre del Empleado Mirna Judith Baires 1 García

Honorarios Mensuales

VACACIONE S

AGUINALD O

INDEMNIZACIO N

20.00

1,300.00

666.67

830.40

3,003.50

12.51

2,000.00

51.43

AFP 135.0 0

1,300.00

51.43

87.75

13.00

845.00

433.33

830.40

2,260.91

9.42

3 Elías Romero Gómez

475.00

35.63

32.06

4.75

308.75

158.33

475.00

1,014.52

4.23

4 Reina Isabel Belloso José Luis Hernández 5 Molina

475.00

35.63

32.06

4.75

308.75

158.33

475.00

1,014.52

4.23

1,200.00

51.43

81.00

12.00

780.00

400.00

830.40

2,154.83

8.98

9,448.28

39.37

2 Julia Elizabeth Rivas

ISSS

TOTAL PRESTACIONE PREST X S HORA

INSAFOR P

5,450.00 225.55

PRESUPUESTO DE MATERIALES 1 Folders

$5.00

2 Papel bond

$5.00

3 Combustibles 4 Lapiceros

$300.00 $2.00

5 Computadoras

$250.00

6 Materiales informáticos

$200.00

TOTAL GENERAL Costo Total Horas Hombre Materiales

$762.00 3,013.90 762.00

Costo Total

3,775.90

Margen de Utilidad (40%) COSTO TOTAL DE LA AUDITORIA

1,510.36 5,286.26

367.8 7

54.50

3,542.50

1,816.66

3,441.20

6.4. Cronograma de actividades Cronograma de actividades Auditoria del sistema "SENIOR TPV PRO" N o 1

Conocimiento del negocio

2

Conocimiento del sistema

3

Evaluación de riesgos

4 6

Evaluación del Control Interno Elaboración de carta de gerencia 1° informe Elaboración del Memorándum de Planeación

7

Elaboración de programa de auditoria

8 8. 1. 8. 2. 8. 3. 8. 4. 8. 5. 9

Ejecución de programas Marco legal Percepción de Usuario Niveles de seguridad del Sistema Funcionamiento del sistema Plan de Contingencia Entrega de carta de gerencia final

10

Entrega de informe final borrador

11

Entrega de informe final definitivo Comunicación continua con la administración

12

NOVIEMBRE

DICIEMBRE

2010

2010

2010

SEMANAS

SEMANAS

SEMANAS

ACTIVIDAD 1

5

OCTUBRE

2

3

4

1

2

3

4

1

2

3

4

7. Programas de auditoria

EMPRESA: MOLDES HIDRAUL PERIODO: DEL 01DE ENERO

12 Solicitar e claramente

13 Solicitar inf al sistema.

14 Entrevistar perfiles de

15 Realizar un instalados

EMPRESA: MOLDES HIDRAU PERIODO: DEL 01DE ENERO

EMPRESA: MOLDES HIDRAU PERIODO: DEL 01DE ENERO

5 Verifique que el Password cumpla con los siguientes condiciones: a) Se utilice 6 caracteres; b) Que sea alfanuméricoy en mayúscula; c) Que el Password debe ser almacenado en forma encriptado; d) Al permanecerinactiva la Terminal durante10 minutos o más, el usuario deberá reingresar el Password. 6 Compruebe que la información generada por el Sistema sea dirigida a usuarios que tienen relación con el área ó que es útil para la toma de decisiones. 7 Valide la informacióngenerada por el sistemacontenga la integridad de datos para ello, considerelo siguiente: a) Genere una impresión del reporte del Sistema de Bancos; b) Solicitela documentación soporte; c) Coteje los datos reflejados en este, y de existir diferencia elabore el hallazgo respectivo; d) Concluyasobre si las diferencias del sistemase debe a la introducción incorrecta del sistema ó mal funcionamientodel software. 8 Verifique que el usuario utilice el sistema posea los siguientes atributos: a) Lealtad al trabajo que realiza; b) Que haya recibido la inducción necesaria para lautilización del equipo 9 Con la cuenta de usuario creada realice pruebas al sistema mediante la digitación de la contraseña incorrectas y compruebe que después de 3 intentos fallidos el sistema se bloquee. 10 Solicite a la empresa los nombres del recurso humano con sus correspondientescargosy funcionesy realice un análisis, delos accesos al Sistema ya cuales opciones a las que tienenacceso. 11 Con la informaciónanterior realice pruebasde tal maneraque compruebe que la información proporcionada sea aplicableen lapráctica 12 Verifiqueque existacontrolenel accesoalrecursoinformáticode talmanera que, sean controladas las visitas ajenas a la entidad. 13 Compruebe que exista restricciones al acceso a los programas y a los archivos 14 Compruebe que exista condiciones necesarios para controlar situaciones anormales como: robo, extravíos, etc. De hardware enla entidad 15 Compruebesi el hardwarepresentafalla recurrenteeidentifiquelas causas considerando los siguientes aspectos: a) Fallas enel C.P.U.; b) Fallas enlos dispositivas periféricos; c) Error del operados; d) Error en el software; e) Errores enlos datos. 16 Verifique que el sistema posea los siguientes atributos: a) Que el diseño ylenguaje de programación utilizadosea el adecuado para organizar ycontrolar de manera eficaz y oportuna proporcione mayor seguridad en la forma más económica posible; b) Que el sistema sea susceptibles de modificaciones; c) Que el sistema se encuentre integrado quesea capaz de interrelacionarse; d) Que puedan ser comprensible, es decir que contenga todos los atributos; e) Que sean oportunos f) Queexista jerarquía en los niveles funcionales

17 Entrevis consider a) Lengu •En que aplicació •Que ba •Es una •Si es u remoto a •La inst •Que co usuarias

L O S A U D I T O R E S , S .A . D E C .V . F IR MA E MP R E SA : MO L D E S H IDR A U L IC O S , S .A . D E C .V. P E R IO DO : D E L 0 1 D E E N E R O A L 3 0 D E O C T U B E D E 2 010

PT No. F E C HA

E L A B O R A D O PO R R E V IS A D O PO R FEC HA

P R O G R A M A D E A U D ITO R IA D E P A R TA M E N TO D E IN F O R M A TIC A

C O M P O N E N T E : F U N C IO N A M IE N T O D E L S IS T E M A O B J E T IVO S : 1 2 3 4 5

E v a lu ar las fu nc io ne s re aliz a das p ara el pro ce s am ie nto de la info rma c io n E v a lu ar c ad a u na de la s fas e s o e tap as d elfun cion am ie nto de l sis tem a E v a lu ar los c alcu lo s aritm etico s rea liza do s po r el s is tem a V e rific ar q ue no s e re alic en c alcu lo s ma nu ales pre viam e nte a s e r in gres a dos a l sis tem a V e rific ar q ue tod as las o pera c ion es re aliz ad as p or e l s istem a s ea n a utom atic as

T E C N IC A S : C on firma ción V e rific ac ió n O bs erv ac ión R E F. P /T

No. 1

2

P R OC E D IM IE N T O S

A S E VE R A C IO NC O M E NT A R IO SH E C H O PO R

Ide ntific ar c ua l e s el orige n d e d ato s y la s ec ue nc ia s eg uida pa ra el in gre so de d ato s al s is tem a co ns idera nd o lo s igu ie nte : a) D oc um en tal S i s e hac e us o de do cu me nto s pre im pres o s o fo rmu la rio s c om pleta dos a m an o d e los c ua le s s e h ac e u s o p ara alim en tar el s is te ma . • Q ue es té n ela bo rad os de ac u erdo a la s ec ue nc ia de ingre so a l s is tem a . • Q ue es té n bie n id entific ad os o num era do s. • Q ue pre s enten títu lo s en ca be za do s des c rip tivo s . • C o n e s pac io s u fic iente p ara co rrec c io nes y e s pac ios pa ra firm as d e re s pon s ables . b) D irec to S i e l ing res o d e d atos s e re aliz a en el in s tan te e n que eve nto oc urre , po r c om un ic ac ión ve rba l o te le fón ic a, alim en ta ndo la ap lica c ió n e n e se m om en to. c ) H ib rid o. C ua nd o s e c om bina el mé to do doc u me nta l y el direc to, ha cien do us o de do cu me nto s y c om un ic ac ión ve rba l, a p artir de lo c ua l s e realiza el ingre s o d e d ato s al s is te m a . V e rifiqusei pa rain gre saar la b as ede d ato sh ayunap ers on a au toriza da y s i e s tacu en tac o ne l co no cim iensto uficien te de l s is tem a .

3 E v a luar e l ing res do e d ato sen la aplica ció dn ete , rmina ndo qu ev a lidac io n ex es iste ne n la s p a nta lla sd e c a pturay v erif ic a n doq u e ca da elem en tod e es ta s es te c o nf ig urad o c o rre cta m ente. a ) E v a lualos r ca m p o ns u m é ric os pro ba n do q uen o s e p u ed a ning res ava r lo re sn e ga tiv o s d o nd e no co rre s p o nda n. b )V e rificaqueno r se rea lic e cná lcu lo ma s nua leprev s ia m ente a s e ring re s a d oa sl s iste m a, c ua nd o d ic ho s v alo res p ue da n op era rse a u tom á tic a m e nte . c ) R ea lizacrom p ro ba ciond eesv alo resp o rc á lc uloas uto m á tico e ns la a p lic a c ión n o pu eda n s er m o dific ad o s m an u a lm en te po r lo s u s ua rio s . d ) E v alua qr u e los v a lore spo r ca m p osa uto m á ticoen s la a p lic ac iónno p ue da ns er m od ific a d o s m an u a lm en te p o r los u su a rio s . e ) E va lu arlo s c a m po ds etip om o n ed aen , lo s cu a lese x is talí m ite sd e m on to sa ing res a r re sp ec to a o tro s v a lo re s ta m bién a lm ac en ad o s en el s iste m a . f) R ev is alor sc a m p os c o nd a to stipof ec had, o nd es ef ac ilites u dig ita c ió va n, lida ndaodem á s lo s ra n go s de fec h a s pe rm itido s p o r e s to s . • V e rifica r la v a lid a c ió n de fec h a s fu tura s d o n de a m e rite hac e rse . • V erif ic ar qu eno s ea c ep ten fec h a isnc o ngru en ctes o nd ía s m , es eso a ño sin v á lid os a tra v és d e m a s c a ra s de entra da b ien d e finida s. g ) Ind a g ar y p ro ba r c a m po s pa ra lo s c uales e x is te un fo rm ato p rede finido de in gres o de da to s . • R e vis ar la sm a s c a rade s e ntra dap a rac ó digoos nú me roqsuetie ne un nfo rma to es ta b lec id o d es de el o rige n d e s u em is ió n (N IT , N U P , e ntre otro s ) • P rob a qr u e en c a m po cs o n fo rm a ton u mé ricno o s e a c ep ta nc a rac teredifere s nte ys v ic e ve rsa . h )V e rif ic aquen r o se p erm ita d eja rc a m povsa cí o scu , a n doe s to ss ea nd e gra nim p o rta n cia p a ra co ntro le s o c á lc u lo s e n e sa m is m a p an talla o en o tra s de es a a p lic a ció n . i) D e te rm in a r e l n iv e l d e a c tu a ció n o de s fa s e e n e l in gres o de da to s d el s is te m a

4 In da gasir e lp ers o n qu a l eu tilizae l s is te ma y qu ep roc es la a in form a c iórenc ib ec a p a c ita c ió n a dec u a d a , a nte s de us a r el s is te m a . 5 V erific a r lo s pro c e so s qu e s e rea liz a n e n e l sis tem a fu e ra d e la s p a nta lla s d e ca ptu ra (c ierres a ctua liza cio n es o c a rga s de da to s ), a fin d e de term in a r s i se d a e l s eg u im ien to de p ro c ed im ie nto es ta ble c id o y ev a lua r lo s ig uie nte: a . v erific a r lo s cá lc u lo s d e m a yo r im p o rta n c ia , c on ba se a lo s d a to s c o n q u e f u e a lim en ta d o . b . D e s er n ec es a rio so lic ita r s e n o s m ue stre e l c ó d ig o f ue nte pa ra p roc es o s d elic a d os q ue no s a tis fa ce n n ue stra c o n fia nz a .

6 C o m prue la bee s truc tura de in fo rm a c iócn, o m ose de fin e nel s is te m da e m a ne jo d ela b a s e d ed a to sq ued a inmp la n ta da d es m a ne ra a pro pia dyafun cionde a a c u erdo c o nlosinte res e s d e la g ere nc ia . 7

E v alualar fo rm aen qu ela inf o rm a c ióe snpro p orc io napo darel sis tem ya la ma nerae n qu e e sta e s distrib u id a a lo s us u a rio s : a ) D eterminas irla info rma c ióp nro po rcion aes d as u fic iente p a rael us u a riofin a lo se v e la n ec es idad de rep ro c es a rla fue ra d el s is tem a . b ) V e rific aqu r e lo s rep o rte qs u ese g en erane s ténbienide ntific a docso n n om brede s l p ro gra m a qu e lo g e ne ra n, títu lo s, fec h as , p erio do c ub ie rto, N o d e pá g in a , entre o tro s . c ) S o lic ita r e l lis ta do de d is trib uc ió n de rep o rtes g en era d os p or la a p lic a c ión . d ) E n e l c a soqu e la a p lic a c ióes n ta in sta la d ea n dife ren telus ga re sv, erific aqu r e lo s p ro gra m a s utiliz a d o s s ea n la m ism a ve rsión . • H a yquev e rificalar fec hade a ctua liza c ió d enla a p lic a c ióen n, losd is tintolus ga reqs ues e e va lu é . • S ep ued ec o n s ultar c o nlo su su a riopa s rad ete rm ina c ur alesfue roslo sú ltim ocs am bioqu s e le h ic ieron a lo s p rog ra m a s . e )V erif ic aquelosre r po rtes g ene ra d yo sg ua rda d eo sna rc h ivonsopu ed en s ere dita d opso re l u su a rio. N o ta E: s toe s po rq uea plic a c io ne pus ed eg en erarep r o rteys gu a rda rloens u n lug a r e sp ec ífic o d e la T erm in a l pa ra p o s teriorm e n te se r im p re s os .

EMPRESA: MOLDES HIDRA PERIODO: DEL 01DE ENER

Memorandum de Planeacion de Auditoria Sistemas

Recommend Documents