UNIVERSIDAD DE EL SALVADOR FACULTAD DE CIENCIAS ECONMICAS ESCUELA DE CONTADURA PBLICA

Trabajo: Memorndum de planeacin de Auditoria de Sistemas de Moldes Hidrulicos, S.A. de C.V. Asignatura: Auditoria de Sistemas Grupo Terico: 03 Profesor: Lic. Mario Hernn Cornejo Prez Presentado por: Nombre Reina Isabel Belloso Mirna Judith Baires Garca Elas Romero Gmez Julia Elizabeth Rivas Hernndez Carnet BB03042 BG03011 RG05083 RH94015

Ciudad Universitaria, 12 de Octubre de 2010.

AUDITORES Y CONSULTORES, S.A. DE C.V. Servicios integrales de auditora

Memorndum de Planeacin Moldes Hidrulicos, S.A. DE C.V.

AUDITORES Y CONSULTORES, S.A. DE C.V. Servicios integrales de auditora

INDICE Contenido ALEX.. PARTE 1 Y 2 1. Requerimientos del

Memorndum de Planeacin Moldes Hidrulicos, S.A. DE C.V.

Pagina

negocio.......................................................................................... 4-6 ... ...4 1.2. Entidad que

...

contrata...................................................................................................... 1.3. Trminos de contratacin................................................................................................ ...4 1.4. Compromiso de la auditoria........................................................................................... 4 1.4.1. Objetivos de la auditoria..................................................................................................45 1.4.2. Alcance de la auditoria..................................................................................................... 5-6 1.4.3. Responsabilidad de la firma...........................................................................................6 1.4.4. Contenido y plazo para la distribucin de los informes.....................................6 2. Conocimiento de la entidad........................................................................................... 7-10 3. Conocimiento del sistema.................................................................................................10 -18 3 ... ...

AUDITORES Y CONSULTORES, S.A. DE C.V. Servicios integrales de auditora

3.1. ............... 3.2. .................10

Memorndum de Planeacin Moldes Hidrulicos, S.A. DE C.V.

Nombre.......................................................................................................

Utilidad....................................................................................................... .................................10-11 3.3. Usuarios...................................................................................................... ................................11 3.4. Lenguaje de programacin............................................................................................. ....11 3.5. Sistema operativo.................................................................................................... ............ ...11 3.6. Base de datos........................................................................................................... .................12 3.7. Tipo de instalacin.................................................................................................. ............ ...12 3.8. Sistema de comunicacin.............................................................................................. ... ...12 3.9. Marco legal............................................................................................................ ................. ...12

3.10. Estructura organizativa del centro de cmputo.................................................. .....13 4

AUDITORES Y CONSULTORES, S.A. DE C.V. Servicios integrales de auditora

3.11. Manual ........... ...13

Memorndum de Planeacin Moldes Hidrulicos, S.A. DE C.V.

tcnico........................................................................................................ 3.12. Manual de usuario........................................................................................................ .......13 3.13. Soporte Tcnico....................................................................................................... .............13 3.14. Finalidad del centro de cmputo............................................................................... 3.15. Funciones................................................................................................... .............................14-17 3.16. Ubicacin geogrfica................................................................................................... .... ...18 3.17. Cantidad de empleados que utilizan el sistema................................................... ...18 3.18. Dependencias relacionadas.......................................................................................... ... 18 4. Evaluacin de riesgos...................................................................................................... .....19-21 4.1. Identificacin de riesgos y determinacin de reas crticas............................. 4.2. Matriz de riesgo.......................................................................................................... .............21 5 ...20 ...13-14

AUDITORES Y CONSULTORES, S.A. DE C.V. Servicios integrales de auditora

5. Evaluacin del control

Memorndum de Planeacin Moldes Hidrulicos, S.A. DE C.V. ...22-25

interno..................................................................................... 5.1. Polticas y procedimientos empleadas por la entidad........................................ ...22-25 ...26-28 6. Administracin del trabajo de auditora................................................................ 6.1. Personal

asignado..................................................................................................... .............26 6.2. Fechas claves......................................................................................................... ...................26 6.3. Presupuestos.............................................................................................. ........................... ...26-27 6.4. Cronograma de actividades............................................................................................ ... 28 7. Programas de auditora................................................................................................... ...29-37 Marco Legal 29-30 Percepcin de Usuario31 Niveles de seguridad del sistema.32-34 Funcionamiento del Sistema..35-36 6

AUDITORES Y CONSULTORES, S.A. DE C.V. Servicios integrales de auditora

Planes de ..37

Memorndum de Planeacin Moldes Hidrulicos, S.A. DE C.V.

Contingencia

AUDITORES Y CONSULTORES, S.A. DE C.V. Servicios integrales de auditora

1. Requerimientos del negocio

Memorndum de Planeacin Moldes Hidrulicos, S.A. DE C.V.

1.2. Entidad que contrata: Moldes Hidrulicos, S.A. de C.V. 1.3. Trminos de contratacin De acuerdo al contrato No 20/2010 suscrito entre Moldes Hidrulicos, S.A. De C.V. y Auditores y Consultores, S.A. DE C.V. firmado en la ciudad de San Salvador, a los veinte das del mes de Septiembre del ao dos mil diez; sta ltima tiene como responsabilidad realizar con la mejor calidad tcnica y con los ms altos estndares de competencia, tica e integridad profesional, los servicios de Auditora de los Sistemas Contables Computarizados, de conformidad con Normas para auditar sistemas y Normativa COBIT. 1.4. Compromiso de la auditoria Realizar una auditora al Sistema de Informacin Computarizado SENIOR TPV PRO sistema de facturacin de la Empresa Moldes Hidrulicos, S.A. DE C.V. adoptada de COBIT, Con base a las Normas Generales para la formarnos una conclusin Auditoria de Los Sistemas de Informacin y a la normativa Tcnica permitindonos as acerca del funcionamiento, capacidad y desempeo del sistema; para emitir un informe final que sirva de base a la administracin, para que evalu las deficiencias encontradas y tome las medidas correspondientes, en base a las sugerencia realizadas. 1.4.1. Objetivos de la auditoria Evaluar la integridad, confiabilidad y desempeo del sistema de facturacion computarizado a travs de los controles y los procedimientos implementados por la empresa Moldes Hidrulicos, 8

AUDITORES Y CONSULTORES, S.A. DE C.V. Servicios integrales de auditora

Memorndum de Planeacin Moldes Hidrulicos, S.A. DE C.V. S.A. DE C.V. as como la utilizacin y seguridad en el procesamiento de la informacin, evaluando la seguridad fsica y lgica con que cuenta actualmente dicho sistema.

Evaluar el cumplimiento de las disposiciones legales aplicables a los sistemas de informacin computarizados Evaluar la efectividad de los controles implementados por la administracin Verificar el funcionamiento de los niveles de acceso al SIC Verificar la existencia de manual tcnico del sistema y la accesibilidad que tienen los usuarios al documento. 1.4.2. Alcance de la auditoria La auditoria la realizaremos al sistema en operacin, en el que evaluaremos la suficiencia y cumplimiento de controles para administrar, operar y utilizar el sistema, con el objeto de garantizar la seguridad, confiabilidad y utilidad de la informacin que genera. Procedimientos y Marco Legal Leyes y Reglamentos Controles Administrativos Normas y procedimientos Manual de usuario del Sistema Percepcin de Usuario Niveles de Seguridad del Sistema Seguridad Fsica Seguridad Lgica Panorama tcnico Valores Parametrizables 9

AUDITORES Y CONSULTORES, S.A. DE C.V. Servicios integrales de auditora

Memorndum de Planeacin Moldes Hidrulicos, S.A. DE C.V. Pistas de Auditoria (bitcora de registros de eventos) Funcionamiento del Sistema

Origen de Datos Entrada de Datos Procesamiento de datos (uso de tcnicas de auditora con ayuda de computadora TAAC) Salida de informacin Plan de Contingencias (plan de Continuidad) Back up Lugares de resguardo 1.4.3. Responsabilidad de la firma Nuestra firma es responsable de llevar a cabo una adecuada conduccin de la auditoria de acuerdo a Normas de Auditoria de Sistemas de Informacin y a la normativa Tcnica adoptada de COBIT, y reportar los hallazgos que muestren las irregularidades que afectan a la empresa durante la ejecucin de la Auditoria, junto con las respectivas sugerencias para mejorar la condicin actual. 1.4.4. Contenido y plazo para la distribucin de los informes Los informes a presentar son: Carta a la gerencia. Contendrn los hallazgos de auditora, en donde se reflejara la condicin actual, criterio, causa, efecto y administracin el 24/10/2010. Informe del auditor independiente. 10 posibles mejoras a travs de las respectivas sugerencias, fecha de entrega a la

AUDITORES Y CONSULTORES, S.A. DE C.V. Servicios integrales de auditora

Memorndum de Planeacin Moldes Hidrulicos, S.A. DE C.V. Este contendr la opinin final del auditor, con respecto al trabajo de auditora realizado, fecha de entrega a la administracin 12/12/2010.

2. Conocimiento de la entidad 2.1. Informacin del negocio DENOMINACIN: Moldes Hidrulicos, S.A. De C.V. NIT: NRC: 0614-110498-003-5 1254-8

NUMERO PATRONAL: 401780511 GIRO: Elaboracin de moldes hidrulicos DOMICILIO: su domicilio es en el departamento de san salvador, 95 Av. Norte # 632, colonia Escaln, San Salvador.

2.2. Descripcin del Negocio La sociedad Moldes Hidrulicos, S.A. De C.V. Se dedica a las siguientes actividades de servicios. a) Elaboracin de moldes hidrulicos. b) Ensambles de piezas para vehculos. Siendo la actividad principal los trabajos de elaboracin de moldes hidrulicos, ya que son la mayor fuente de ingresos para la empresa. 2.3. Objetivos de la entidad Convertirnos en el mayor productor de moldes hidrulicos en la regin Centroamericana, ofreciendo la mejor calidad a los precios ms competitivos del mercado. 11

AUDITORES Y CONSULTORES, S.A. DE C.V. Servicios integrales de auditora

2.4. Ubicacin geogrfica Salvador en la 95 Av. Norte #

Memorndum de Planeacin Moldes Hidrulicos, S.A. DE C.V.

La empresa se encuentra ubicada en la Zona metropolitana de San 632, colonia Escaln

2.5. Principales clientes Grupo Q, S.A. de C.V. Taller Didea, S.A. de C.V. Toyo Tires, S.A. de C.V. Ferreteras Freund, S.A. de C.V. Ferretera la Fortuna S.A. de C.V. 2.6. Estructura organizativa Moldes Hidrulicos, S.A. de C.V.

12

AUDITORES Y CONSULTORES, S.A. DE C.V. Servicios integrales de auditora

Memorndum de Planeacin Moldes Hidrulicos, S.A. DE C.V.

2.7. Personal clave de la entidad Gerente General Gerente Financiero Gerente de Informtica Gerente de Ventas Gerente de Recursos Humanos 2.8. Leyes y reglamentos aplicables La empresa Moldes Hidrulicos, S.A. de C.V. por ser una empresa legalmente establecida cumple con las disposiciones legales que rigen a las empresas en nuestro pas, en sus diferentes reas e instituciones que cuentan con leyes especiales entre las cuales tenemos: Leyes Mercantiles Cdigo de comercio

Leyes Tributarias Segn el Ministerio de Hacienda, Moldes Hidrulicos, SA. de CV. est clasificada como una empresa mediana, por lo tanto debe cumplir con todos los requisitos formales como lo exigen las siguientes leyes: El Cdigo Tributario Ley de Impuesto a la transferencia de bienes muebles y a la prestacin de servicios (Ley de IVA) Ley de Impuesto sobre la Renta.

Reglamento de Aplicacin del Cdigo Tributario. 13

AUDITORES Y CONSULTORES, S.A. DE C.V. Servicios integrales de auditora

Memorndum de Planeacin Moldes Hidrulicos, S.A. DE C.V.

Cdigo Civil Superintendencia de Obligaciones Mercantiles Cdigo de Comercio Ley Reguladora del Ejercicio de la Contadura Pblica y Auditora Art. 17 numerales a),b),e). Ley de Fomento y Proteccin a la Propiedad Intelectual. Ley del Registro de Comercio Leyes Civiles y Laborales Cdigo de trabajo. Ley del AFP Ley del Instituto Salvadoreo del Seguro Social

Leyes Municipales Cdigo municipal Ley general tributaria municipal

Leyes y Reglamentos Especficos Leyes Ambientales

3. Conocimiento del sistema 3.1. Nombre: SENIOR TPV PRO 3.2. Utilidad: Sistema de Facturacin Senior TPV es el programa de gestin idneo para la administracin de un negocio. Su potencia es equiparable a su comodidad y facilidad de uso, algo poco habitual en otros programas. Aparte de llevar el control de artculos, clientes, proveedores, facturas, albaranes, etc tambin 14

AUDITORES Y CONSULTORES, S.A. DE C.V. Servicios integrales de auditora

Memorndum de Planeacin Moldes Hidrulicos, S.A. DE C.V. permite la generacin de listados, estadsticas, etiquetas y muchas cosas ms, con la nueva posibilidad de enviar las previsualizaciones de documentos e informes por correo electrnico.

Abarca no solo las tareas comerciales, sino tambin una amplia gama de tareas administrativas como mailings, etiquetas, correo electrnico, control de cobros y pagos, previsiones de tesorera, informes estadsticos, etc y las dems tareas administrativas de la empresa. Su arquitectura ofrece una insuperable eficacia prctica, a la que adiciona las mltiples facilidades de los poderosos recursos Windows: operacin intuitiva, sencillez, ventanas mltiples para consulta simultnea, etc. Perfectamente integrado con el sistema operativo Windows,

aprovechando todas las caractersticas avanzadas que ste proporciona: impresoras, correo electrnico, navegadores de Internet, imgenes 3.3. Usuarios Gerente de Ventas Contador Auxiliar contable Ejecutivos de venta Encargada de caja Tesorera 3.4. Lenguaje de programacin TYPE, help: or /h, . /cmysql 3.5. Sistema operativo 15

AUDITORES Y CONSULTORES, S.A. DE C.V. Servicios integrales de auditora

Memorndum de Planeacin Moldes Hidrulicos, S.A. DE C.V. Este sistema es funcional en los siguientes sistemas operativos: Windows 2000 Windows 2003 Windows XP Windows vista 3.6. Base de datos La base de datos con la que opera el sistema es MYSQL version 3.23.38nt 3.7. Tipo de instalacin Para la ejecucin del programa se requiere un ordenador con procesador Pentium II (mnimo) ejecutando Windows 95 o superior (no recomendable Windows Millenium) con al menos 64 Mb. de RAM y 17 Mb. de espacio libre en el disco duro, tarjeta grfica VGA (256 colores) con rea de pantalla de 800x600 pixeles, Conexin a Internet y cuenta de correo electrnico (sin lmite de capacidad) para la recepcin automatizada de actualizaciones, Una unidad de gran capacidad para hacer las copias de seguridad con el programa (zip, magneto ptico, regrabadora, etc...). Redes aceptadas: cualquier red compatible con Windows 95, 98, NT 4.0 o superior, 2000 o XP. 3.8. Sistema de comunicacin SQL SERVICE 3.9. Marco legal

16

AUDITORES Y CONSULTORES, S.A. DE C.V. Servicios integrales de auditora

Memorndum de Planeacin Moldes Hidrulicos, S.A. DE C.V. Ley de Fomento y Proteccin de la Propiedad Intelectual (Art. 12, 13, 43, 45, 86) Cdigo Tributario (Art. 156-A, 158) Ley del Impuesto sobre la Renta Art. 30-A Ley de Impuesto a la transferencia de bienes muebles y a la prestacin de servicios (Ley de IVA)

3.10. Estructura organizativa del centro de cmputo

Gerente de informtica

Mantenimien to y desarrollo de software

Mantenimien to de hardware

Soporte tcnico del sistema

3.11. Manual tcnico La empresa no cuenta con manual tcnico para el funcionamiento del sistema, se auxilian en el men de ayuda en el modulo contenido, en este se encuentra detallado cada uno de los mens y sus modulo con la descripcin especifica de cada una de las funciones que realizan. 3.12. Manual de usuario El manual de usuario se encuentra dentro del men ayuda en el sistema. 3.13. Soporte Tcnico 17

AUDITORES Y CONSULTORES, S.A. DE C.V. Servicios integrales de auditora

Memorndum de Planeacin Moldes Hidrulicos, S.A. DE C.V. El soporte tcnico es brindado por el Departamento de informtica, atendiendo cada una de las necesidades de funcionamiento del sistema. 3.14. Finalidad del centro de cmputo El Departamento de Informtica es el encargado de elaborar un plan estratgico de informacin que contribuya al desarrollo negocio, logrando una ventaja competitiva a travs de las tecnologas de informacin. Este departamento es el responsable del mantenimiento de Hardware y software as como del suministro pantallas protectoras, etc.) Adems se encarga del cuido y manejo del equipo de computacin y es responsabilidad del usuario bajo la supervisin del departamento de informtica. La informacin manejada por este departamento es proteccin y acceso de la misma. Peridicamente se realizarn copias de respaldo diferenciales y estrictamente confidencial, y evala los mtodos y procedimientos adecuados para la de insumos varios (cintas, papel,

completas para garantizar prdida de informacin.

la seguridad de los sistemas en caso de

Implementa controles y procedimientos orientados a prevenir y detectar cualquier error en el acceso, almacenamiento, proceso y salida de la informacin que genera el sistema, as como mejorar continuamente la seguridad lgica y fsica del sistema de informacin. 3.15. Funciones El sistema cuenta con 13 opciones de men las cuales se detallan a continuacin: 18

AUDITORES Y CONSULTORES, S.A. DE C.V. Servicios integrales de auditora

Men de aplicacin Empresas Mdulos Recordar empresa Cambiar empresa Generar ejercicio Borrar Ejercicio Cambiar usuario Cambiar fecha

Memorndum de Planeacin Moldes Hidrulicos, S.A. DE C.V.

Maestros Clientes Proveedores Agentes Tipos de Clientes Imprimir tipos de agentes Artculos Familias Tipos de Artculos Grupos de atributos Partidas arancelarias Almacenes Tipos de Unidades Promociones Series Bancos Divisas Formas de pago Aseguradoras Entidades bancarias Tipos de IVA Zonas Agencias

Almacn Movimientos Traspaso entres almacenes Regularizaciones Inventario 19

AUDITORES Y CONSULTORES, S.A. DE C.V. Servicios integrales de auditora

Memorndum de Planeacin Moldes Hidrulicos, S.A. DE C.V.

Nmeros de series Envos Grficos

Ventas Presupuestos Pedidos Albaranes Depsitos Facturas Recibos

TPV Punto de ventas Tiquets diarios Encargos Arqueo de caja Ingresar/retirar Dudas/prestamos/anticipos Vales

Servicios Facturas

Compras Pedidos 20

AUDITORES Y CONSULTORES, S.A. DE C.V. Servicios integrales de auditora

Memorndum de Planeacin Moldes Hidrulicos, S.A. DE C.V.

IVA

Albaranes Facturas

Facturas emitidas Facturas recibidas

Efectos Efectos a cobrar Extracto de cliente Cobro y devolucin Remesas Efectos a pagar Extracto de proveedor Pago y devolucin rdenes de pago Emisin de cheques Previsin de tesorera

Utilidades Configurar Copia de seguridad Optimizar ficheros Borrar ficheros Tareas y mensajes Registro de tareas Exportar ficheros 21 Importar ficheros Recuperar senior 3.3 Borrar serie de documentos Cambiar serie de documentos Usuarios Modificar instalacin

AUDITORES Y CONSULTORES, S.A. DE C.V. Servicios integrales de auditora

Memorndum de Planeacin Moldes Hidrulicos, S.A. DE C.V.

Registro de errores

Ventana Ventana

22

3.16. Ubicacin geogrfica 95 Av. Norte # 632, colonia Escaln, San Salvador

3.17. Cantidad de empleados que utilizan el sistema La cantidad de empleados que utilizan el sistema aproximadamente son 20 personas cada una cuenta con su ID y clave de acceso al nivel adecuado de acuerdo a sus funciones, para lograr una efectiva desagregacin de funciones y evitar errores involuntarios que pueden daar el procesamiento de la informacin. N o 1 2 3 4 5 6 7 8 9 10 11 12 Nombre Lic. Adn Ramn Daz Ing. Jos Alfredo Duran Ing. Walter Alberto Martnez Tec. Samuel Elas Ramrez Tec. Jos Luis Hernndez Lic. Alonso Martnez Cesar Armando Reyes Mara Elizabeth Ramos Nohemi del Carmen Ramos Carlos Alberto Escobar Varios (9) Tomas Antonio Rodrguez Funcin Gerente de Ventas Gerente de Informtica Mantenimiento y desarrollo de software Mantenimiento de Hardware Soporte tcnico del sistema Contador Auxiliar Contable Encargada de facturacin Cajera Encargado de crditos y cobro Ejecutivos de ventas Tesorero

3.18. Dependencias relacionadas Las dependencias relacionadas del sistema de informacin son: Departamento de Informtica Departamento Contabilidad Departamento Tesorera Departamento Ventas

4. Evaluacin de riesgos Segn el examen realizado al sistema en base a la matriz de riesgo se elabora para identificar aquellas reas que tienen un alto grado de riesgo como las siguientes:

Marco Legal Percepcin de Usuarios Niveles de Seguridad Funcionamiento del Sistema Plan de Contingencia

4.1. Identificacin de riesgos y determinacin de reas criticas

No 1

COMPONEN TE

AREA

FACTORES DE RIESGO Los usuarios no tienen conocimiento del marco legal Las mismas personas que administran el sistema ingresan los datos Falta de licencia de sistema en operacin Verificar que cada usuario utilice su clave de acceso Niveles de acceso de adecuada a las funciones del usuario Carencia de manual de procedimientos del sistema Manual de procedimientos desactualizado Difcil accesibilidad al manual de usuario El sistema no procesa la informacin de acuerdo a las necesidades de los usuarios Carencia de capacitacin para actualizaciones del sistema Robo de los equipos informticos

CLASIFICACIO N Bajo

INTERNO X

EXTERN O

DESCRIPCION La empresa no brinda capacitacin continua a los usuarios sobre cumplimientos legales Los datos parametrizados de han colocado errneamente El sistema adquirido no esta registrado legalmente Las claves de acceso no sean personales Los usuarios tienen nivel de accesos innecesarios al sistema El proveedor del sistema no proporciona manual del sistema El manual no es adecuado de acuerdo a las actualizaciones del sistema El manual de usuario tiene difcil accesibilidad La informacin generada por el sistema no satisface las necesidades de los usuarios Falta de capacitacin de los usuarios La ubicacin del centro de computo no tiene las medidas de seguridad necesarias El ambiente de lugar donde se encuentra el centro de computo no cumple los requisitos mnimos Los usuarios brindan la la clave de acceso a otro personal de la empresa Los usuarios modifiquen los parmetros sin autorizacin alguna El sistema no guarda el historial de los accesos de cada usuario al sistema El usuario realice registros sin tener documentacin de respaldo de la operacin Un campo numrico procesa caracteres de letras La informacin generada no incluye todas operaciones registradas Los reportes no posean el nombre adecuado a la informacin que contiene No se realiza respaldo de la informacin al finalizar el da La informacin guardada no posee las medidas de control necesarias El equipo informtico no se

Leyes y Reglamentos

Alto

Medio Bajo Bajo Medio

X X X X

4 5 6

Marco Legal

Controles Administrativ os Normas y procedimient os

Medio Alto

X X

7 8

Manual de Usuario

Medio

Percepcin de usuario

Percepcin de usuario

Bajo

10

Medio

11

Seguridad Fsica

12 Niveles de Seguridad Seguridad Lgica Valores Parametrizad os Pistas de auditoria Datos de origen
Funcionamie nto del sistema

Inadecuado ambiente del equipo informtico La clave de acceso no es confidencial Personal no autorizado modifique los parmetros legales establecidos en el sistema Carencia de registro de bitcora de usuarios Carencia de documentacin de el ingreso de un dato Probabilidad de que un campo numrico procese letras Proceso de datos incompleta Los reportes generados no estn bien identificados No se realizan respaldo a diario de la informacin Lugares inadecuados para resguardar la informacin El servidor esta en un

Bajo

Alto

13

Alto

14 15 16 17 18 19 20 21 22 Planes de contingenci a

Alto Medio Bajo Bajo Bajo Medio Medio Medio

X X X X X X X x

Entrada de datos Proceso de datos Salida de informacin Back Up Sitios de resguardo

lugar accesible

encuentra en un lugar restringido

4.2. Matriz de riesgo

No 1

COMPONEN TE

AREA

FACTORES DE RIESGO Las mismas personas que administran el sistema ingresan los datos Falta de licencia de sistema en operacin

EVALUACION DE RIESGOS INHEREN DETECCI TE CONTROL N X

Leyes y Reglamentos

PROCEDIMIENTO SEGN FACTOR DE RIESGO Realizar una adecuada desagregacin de funciones Solicitar la licencia del sistema Solicitar el Manual de procedimientos Solicitar el manual de usuario Solicitar el manual de Usuario Efectuar pruebas en el sistema Verificar las medidas de seguridad del centro de computo Verificar con el administrador del sistema cuantos usuarios tiene el sistema Indagar quien es la persona autorizada para efectuar los cambios Consultar al administrado sobre las pistas de auditoria Evaluar un periodo y consultar la documentacin de respaldo Solicitar los respaldos de la informacin Examinar el rea donde es guardad la informacin Ver la ubicacin del equipo

ALCANCE DE LOS PROCEDIMIENTOS Verificar los niveles de acceso y la funciones de cada usuario Verificar que la licencia este resguardada Indagar con los usuarios sobre la existencia del manual Cotejar el manual contra las capturas de pantalla del sistema Investigar con los empleados la accesibilidad de este Imprimir la informacin generada y hacer los clculos manualmente Verificar que la ubicacin cumpla las medidas de seguridad mnimas Investigar son los usuarios por que razones se podra compartir la clave con otro personal Ingresar al sistema y verificar si existe bitcora de que usuario realizo el ultimo cambio Contactar al proveedor del sistema y analizar por que carece de esta opcin el sistema Cotejar documentos contra registros Verificar la secuencia de los respaldos de la informacin Verificar las medidas de seguridad implementadas Evaluar quienes tienen acceso al lugar

2 3 4 5 Percepcin de usuario Manual de Usuario Marco Legal Normas y procedimiento s

X X X X

Carencia de manual de procedimientos del sistema Manual de procedimientos desactualizado Difcil accesibilidad al manual de usuario El sistema no procesa la informacin de acuerdo a las necesidades de los usuarios Robo de los equipos informticos

Percepcin de usuario Seguridad Fsica

8 Niveles de Seguridad 9

Seguridad Lgica Valores Parametrizado s Pistas de auditoria

Funcionamien to del sistema

X La clave de acceso no es confidencial Personal no autorizado modifique los parmetros legales establecidos en el sistema Carencia de registro de bitcora de usuarios Carencia de Documentacin de el ingreso de un dato No se realizan respaldo a diario de la informacin Lugares inadecuados para resguardar la informacin El servidor esta en un lugar accesible X

10

11

Datos de origen Back Up

12 13 14
Planes de contingencia

X X X

Sitios de resguardo

5. Evaluacin del control interno 5.1. Polticas y procedimientos empleadas por la entidad Cuestionario de evaluacin del control interno
PREGUNTAS ASPECTOS RELACIONADOS AL REA DE INFORMTICA. Existe dentro de la empresa un rea de informtica? SI LA RESPUESTA FUE SI: Ante quien rinden cuentas de su gestin? Se ha nombrado un gerente para esta rea? SI NO N/A

1. 2. 3.

4. Est identificada dicha rea dentro del organigrama general de la empresa? 5. Se tiene un organigrama especfico de dicha rea?

6. Hay un manual de organizacin y funciones aplicables a dicha rea? 7. Estn delimitadas las funciones de cada integrante del rea de informtica? 8. Cada empleado del rea de informtica conoce la persona ante la que tiene que rendir cuentas de su labor? 9. Los gerentes y otros funcionarios de nivel superior pueden dar rdenes directas a cualquier empleado del rea de informtica? 10. Cada empleado del rea de informtica es especialista en aspectos distintos de programacin? ASPECTOS RELACIONADOS AL HARDWARE 11. En alguna ocasin se ha extraviado alguna laptop o algn proyector de can propiedad de la empresa? 12. En alguna ocasin se ha extraviado algn perifrico (bocinas, audfonos, teclado, mouse, teclado numrico, etc.) de una computadora?

13. Si hay vigilante, Revisa ste que los empleados no lleven artculos que no son de su propiedad? 14. En alguna ocasin le han quemado discos o guardado informacin en los equipos de la entidad? 15. Cada componente de su computadora y perifricos tiene la numeracin respectiva del inventario? ASPECTOS RELACIONADOS AL SOFTWARE 16. Se utilizan programas como el Office de Microsoft u otros programas para los que la empresa haya comprado las licencias correspondientes? 17. Los empleados pueden utilizar el equipo informtico de la entidad para elaborar documentos o diseos para uso personal? 18. Hay una persona nombrada como responsable de resguardar el software comprado por la empresa?

19.
20.

Para el resguardo de los diversos discos de programas, se tiene un archivo adecuado? El software comprado por la entidad le facilita su trabajo?

21.

El software antes mencionado es justo lo que necesita para sus actividades laborales? 22. Existen programas diseados y elaborados por el rea de informtica, con los procedimientos especficos para las actividades que la entidad desarrolla? 23. Los programas fueron creados bajo estricta normas de seguridad para evitar que puedan ser revendidos a otras empresas que se dediquen a la misma actividad econmica? 24. Los diversos softwares se guardan en un lugar libre de humedad o con calor excesivo? 25. Los programas creados por los empleados del rea de informtica son funcionales y responden a las necesidades de la organizacin?

ASPECTOS RELACIONADOS AL PERSONAL

(Ser conveniente que algunas preguntas sean resueltas por los empleados del rea de informtica) 26. Cuntos aos tiene de laborar para la empresa? ____________ 27. Se siente satisfecho de laborar para la empresa?

28. En el ltimo ao, ha renunciado algn empleado de este departamento?

29.

Cules considera que fueron las razones de la renuncia? ______________________________________ 30. casa? 31. Se permite que el personal lleve trabajo y accesorios a su Han recibido capacitaciones en el ltimo ao?

32.

Las capacitaciones recibidas, a que aspectos han sido enfocadas?_____________________________________ 33. Los usuarios de los diferentes departamentos manejan con eficiencia los programas utilizados. 34. Se ha capacitado en su momento a los usuarios de los sistemas informticos? 35. En alguna ocasin ha visto que algn empleado de la empresa est haciendo algun trabajo muy personal en el equipo provisto por la empresa y en horas laborales? INSTALACIONES ELECTRICAS

36.

Se cuenta con personal idneo para revisar las instalaciones elctricas? 37. En el ltimo ao se han revisado todas las instalaciones elctricas? 38. En alguna ocasin se ha generado algn corto circuito dentro de las instalaciones? 39. Los tomas en los que conectan los equipos estn polarizados? 40. Tiene la empresa contratado un electricista? ASPECTOS RELACIONADOS A LA SEGURIDAD

41. Considera usted que hay demasiada humedad o excesivo calor, lo cual pueda deteriorar los computadores? 42. En alguna ocasin usted ha estado trabajando en una aplicacin y de pronto cuando la est ejecutando se ha cambiado y le ha generado una cosa diferente a lo que esperaba? 43. En alguna ocasin un empleado se ha enfermado y le ha dicho el mdico que es resultado del uso de algn aparato elctrico? 44. Tiene la empresa en algn lugar diferente al negocio, copias de seguridad de los software y documentacin importante que al darse un siniestro pueda afectar a la organizacin? 45. Le han dado clave para ingresar al sistema?

46. La clave que ha recibido le da acceso a documentos y archivos con base en la autoridad que tiene dentro de la empresa? 47. Alguna vez su equipo no ha funcionado y al verificar algn accesorio ha estado desconectado? 48. El acceso a internet es para todos los empleados?

49. Alguna vez por casualidad ha abierto algn documento que solo debi ser abierto por funcionarios de nivel superior?

50.

Alguna vez al insertar su contrasea el sistema le ha dado mensaje de error y aun cuando lo escribe correctamente, el mensaje se ha repetido?

6. Administracin del trabajo de auditoria 6.1. Personal asignado

El trabajo completo se desarrollar asignando al personal siguiente para efectuarlo: Socio Supervisor de Auditora Asistente de Auditora Asistente de Auditora Programador Analista : : : Licda. Mirna Judith Baires Garca Licda. Julia Elizabeth Rivas Hernndez Elas Romero Gmez : : Reina Isabel Belloso Ing. Jos Luis Hernndez Molina

6.2. Fechas claves

Durante el desarrollo de la auditoria se pueden tener como fechas de entrega de reporte mensual y entrega de informes las presentes fecha

COMPROMISO Entrega de Carta de Gerencia de Entrega de Carta de Gerencia de final Entrega de informe Final Ejercicio 2010

FECHA DE ENTREGA ESTABLECIDAS 24/10/2010 26/11/2010 12/12/2010

6.3. Presupuestos
PRESUPUESTO DE RECURSOS HUMANOS Honorari Horas os Valor Hombre Costo Total Cargo Mensuale Valor x Prestac x Costo Hrs a Hrs Funcional s Hrs Hora ** Hombre Utilizar Hombre Socio Superviso r Asistente Asistente Especialis ta 2,000.00 1,300.00 475.00 475.00 1,200.00 5,450.0 8.33 5.42 1.98 1.98 5 ,00 22.71 12.51 9.42 4.23 4.23 8.98 39.37 20.84 14.84 6.21 6.21 13.98 62.08 36.00 68.00 56.00 56.00 40.00 256.00 750.41 1,009.15 347.60 347.60 559.14 3,013.90

No . Nombre del Empleado Mirna Judith Baires 1 Garca 2 Julia Elizabeth Rivas 3 Elas Romero Gmez 4 Reina Isabel Belloso Jos Luis Hernndez 5 Molina TOTALES

CALCULO DE VALOR PRESTACIONES POR HORA Honorarios Mensuales 2,000.00 1,300.00 475.00 475.00 1,200.00 INSAFOR P 20.00 13.00 4.75 4.75 12.00 VACACIONE S 1,300.00 845.00 308.75 308.75 780.00 AGUINALD O 666.67 433.33 158.33 158.33 400.00 INDEMNIZACIO N 830.40 830.40 475.00 475.00 830.40 TOTAL PRESTACIONE PREST X S HORA 3,003.50 2,260.91 1,014.52 1,014.52 2,154.83 12.51 9.42 4.23 4.23 8.98

No.

Nombre del Empleado Mirna Judith Baires 1 Garca 2 Julia Elizabeth Rivas 3 Elas Romero Gmez 4 Reina Isabel Belloso Jos Luis Hernndez 5 Molina

ISSS 51.43 51.43 35.63 35.63 51.43

AFP 135.0 0 87.75 32.06 32.06 81.00

367.8 7

5,450.00 225.55

54.50

3,542.50

1,816.66

3,441.20

9,448.28

39.37

PRESUPUESTO DE MATERIALES 1 Folders 2 Papel bond 3 Combustibles 4 Lapiceros 5 Computadoras 6 Materiales informticos TOTAL GENERAL Costo Total Horas Hombre Materiales Costo Total Margen de Utilidad (40%) COSTO TOTAL DE LA AUDITORIA $5.00 $5.00 $300.00 $2.00 $250.00 $200.00 $762.00 3,013.90 762.00 3,775.90 1,510.36 5,286.26

6.4. Cronograma de actividades Cronograma de actividades Auditoria del sistema "SENIOR TPV PRO"
OCTUBRE NOVIEMBRE 2010 SEMANAS 4 1 2 3 4 1 DICIEMBRE 2010 SEMANAS 2 3 4

N o 1 2 3 4 5 6 7 8 8. 1. 8. 2. 8. 3. 8. 4. 8. 5. 9 10 11 12

ACTIVIDAD 1 Conocimiento del negocio Conocimiento del sistema Evaluacin de riesgos Evaluacin del Control Interno Elaboracin de carta de gerencia 1 informe Elaboracin del Memorndum de Planeacin Elaboracin de programa de auditoria Ejecucin de programas Marco legal Percepcin de Usuario Niveles de seguridad del Sistema Funcionamiento del sistema Plan de Contingencia Entrega de carta de gerencia final Entrega de informe final borrador Entrega de informe final definitivo Comunicacin continua con la administracin 2

2010 SEMANAS 3

7. Programas de auditoria

EM PRESA: M ES H RAU OLD ID L PERIO O D 0 D EN D : EL 1 E ERO

12 Solicitar e claram ente

13 Solicitar inf al sistem a.

14 Entrevistar perfiles de

15 Realizar un instalados

EM PRESA: M LD H RAU O ES ID PERIO O D 0 D EN D : EL 1 E ERO

EM PRESA: M LD H RAU O ES ID PERIO O D 0 D EN D : EL 1 E ERO

5 Verifiq q el Passw cu pla con los siguien s cond es: ue ue ord m te icion a) Se utilice 6 caracteres; b) Que sea alfanu ricoy en m scula; m ay c) Qu el Password debe se alm ad en form e e r acen o a ncrip tado; d) Al perm ece an rinactiva la Term al d in urante1 m utos o m el usu 0 in s, ario deber reingresar el Passw ord. 6 Com ru p ebe q la infor acin generad por el Sistem sea dirig a a ue m a a id usu arios qu tienen relacin con el r que es til p a la tom d e ea ar a e decision es. 7 Valid la inform e acingenerada por el sistem acon a la integridad d teng e datos p ello, consid lo sigu ara ere iente: a) Gen u im ere na presin de r orte d Sistem d Bancos; l ep el a e b) Solicitela docum entacin sop ; orte c) Coteje los d atos reflejados en este, y d existir d e iferencia elabore el hallazgo respectivo; d) Con cluyasobre si las d ncias de sistem ifere l ase debe a la in troduccin incorre d sistem m fu cta el a al ncionam todel software. ien 8 Verifiq q el usuario u ue ue tilice el sistem posea los sigu tes atrib a ien utos: a) Lealtad al trabajo qu realiza; e b) Que h recib la ind aya ido uccin necesar para lautilizacin d equ ia el ipo 9 Con la cu enta de u suario cre ada realice pru as al sistem m ian la eb a ed te dig itacin de la contrase incor a rectas y com ru p ebe que de spus de 3 inte ntos fallidos el sistem se bloqu a ee. 1 Solicite a la em esa los nom 0 pr bres del recurso hu an con sus m o correspond tescarg ien osy fu ncionesy realice u an sis, delos accesos al n li Siste a ya cuales op es a las q tienenacceso. m cion ue 1 Con la in 1 form nan aci terior realice pruebasde tal m aneraque com eb pru e qu la in e form acin p ropor ada sea aplicableen laprctica cion 1 Verifiq 2 uequ e e xistacon trolenel accesoalrecursoin form ticod talm e anera qu sean controlad las visitas ajen a la e e, as as ntidad. 1 Com ru 3 p ebe qu exista restriccione al acce a los program y a los e s so as arch ivos 1 Com ru 4 p ebe qu exista cond e iciones n sarios para con ece trolar situacion es an ale com rob extravos, etc. De h dware enla en orm s o: o, ar tidad 1 Com ru 5 p ebesi el har dwarepr esen tafalla recurren teeidentifiqu elas cau sas con ran los siguien aspectos: side do tes a) Fallas enel C.P.U.; b) Fallas enlos dispositivas p fricos; eri c) Error d op el erados; d) Error en el software; e) Errores enlos datos. 1 Verifiq q el sistem posea los sigu tes atrib 6 ue ue a ien utos: a) Que el diseo yle aje de p ram ngu rog acin utilizadosea el adecuad p o ara org izar ycon an trolar de m ra eficaz y oportu propor ane na cione m ayor seg ad en la form m e urid a s conm p ica osible; b) Que el sistem se suscep s de m a a tible odificacion es; c) Qu el sistem se en e a cuentre in grado q sea cap de inter te ue az relacion se; ar d) Que p dan ser com nsib es decir qu con a todos los atrib ue pre le, e teng utos; e) Que sean oportunos f) Queexista jerar qua e los n s fu n ivele ncionales

17 Entrevis consider a) Lengu En que aplicaci Que ba Es una Si es u rem a oto La inst Que co usuarias

L O S A U D I T O R E S , S .A . D E C .V .
F IR MA E MP R E SA : MO L D E S H IDR A U L IC O S , S .A . D E C .V. P E R IO DO : D E L 0 1 D E E N E R O A L 3 0 D E O C T U B E D E 2 010 E L A B O R A D O PO R R E V IS A D O PO R FEC HA PT No. F E C HA

P R O G R A M A D E A U D ITO R IA
D E P A R TA M E N TO D E IN F O R M A TIC A

C O M P O N E N T E : F U N C IO N A M IE N T O D E L S IS T E M A
O B J E T IVO S : 1 2 3 4 5 T E C N IC A S : C on firma cin V e rific ac i n O bs erv ac in R E F. P /T No. 1 P R OC E D IM IE N T O S A S E VE R A C IO N O M E NT A R IO S E C H O PO R C H E v a lu ar las fu nc io ne s re aliz a das p ara el pro ce s am ie nto de la info rma c io n E v a lu ar c ad a u na de la s fas e s o e tap as d elfun cion am ie nto de l sis tem a E v a lu ar los c alcu lo s aritm etico s rea liza do s po r el s is tem a V e rific ar q ue no s e re alic en c alcu lo s ma nu ales pre viam e nte a s e r in gres a dos a l sis tem a V e rific ar q ue tod as las o pera c ion es re aliz ad as p or e l s istem a s ea n a utom atic as

Ide ntific ar c ua l e s el orige n d e d ato s y la s ec ue nc ia s eg uida pa ra el in gre so de d ato s al s is tem a co ns idera nd o lo s igu ie nte : a) D oc um en tal S i s e hac e us o de do cu me nto s pre im pres o s o fo rmu la rio s c om pleta dos a m an o d e los c ua le s s e h ac e u s o p ara alim en tar el s is te ma . Q ue es t n ela bo rad os de ac u erdo a la s ec ue nc ia de ingre so a l s is tem a . Q ue es t n bie n id entific ad os o num era do s. Q ue pre s enten ttu lo s en ca be za do s des c rip tivo s . C o n e s pac io s u fic iente p ara co rrec c io nes y e s pac ios pa ra firm as d e re s pon s ables . b) D irec to S i e l ing res o d e d atos s e re aliz a en el in s tan te e n que eve nto oc urre , po r c om un ic ac in ve rba l o te le fn ic a, alim en ta ndo la ap lica c i n e n e se m om en to. c ) H ib rid o. C ua nd o s e c om bina el m to do doc u me nta l y el direc to, ha cien do us o de do cu me nto s y c om un ic ac in ve rba l, a p artir de lo c ua l s e realiza el ingre s o d e d ato s al s is te m a . V e rifiqus i pa rain gre saar la b as ede d ato s ayunap ers on a e h au toriza da s i e s tacu en ta o ne l co no cim iensto y c uficien te l de s is tem a .

3 E v a luar l ing res d e d ato s la aplica ci d ete rmina ndoev a lidac io n ex iste n n la s e o en n, qu es e p a nta lla s e c a pturay v erif ic a n do u e ca da elem en to e es ta s es te c o nf ig urad o d q d c o rre cta m ente. a ) E v a lualos ca m p o n u m ric os ba n douen o s e p u ed a nng res ava lo re s e ga tiv o s r s pro q i r n d o nd e no co rre s p o nda n. b )V e rificaqueno se rea lic e c lcu lo ma nua leprev ia m ente e ring re s a d o ss iste m a, r n s s as al c ua nd o d ic ho s v alo res p ue da n op era rse a u tom tic a m e nte . c ) R ea liza rom p ro ba cion e v alo res o rc lc uloa uto m tico n la a p lic a c ino pu eda n c d es p s es n s er m o dific ad o s m an u a lm en te po r lo s u s ua rio s . d ) E v alua q u e los v a lore s r ca m p os uto m tico s la a p lic ac in o p ue da n er r po a en n s m od ific a d o s m an u a lm en te p o r los u su a rio s . e ) E va lu ar s c a m po d etip om o n ed a , lo s cu a les x is ta m ite s e m on to s ing res a r lo s en e l d a re sp ec to a o tro s v a lo re s ta m bin a lm ac en ad o s en el s iste m a . f) R ev is alo sc a m p oso nd a to s r c tipof ec had o nd e ef ac ilite u dig ita c i va lida nd odem s , s s n, a lo s ra n go s de fec h a s pe rm itido s p o r e s to s . V e rifica r la v a lid a c i n de fec h a s fu tura s d o n de a m e rite hac e rse . V erif ic ar eno s ea c ep ten h a isnc o ngru en c o nd a s m es es a o sin v lid ostra v s qu fec tes , o a d e m a s c a ra s de entra da b ien d e finida s. g ) Ind a g ar y p ro ba r c a m po s pa ra lo s c uales e x is te un fo rm ato p rede finido de in gres o de da to s . R e vis ar sm a s c a ra s e ntra da a rac digoo n me ro suetie ne u nfo rma to ta b lec id o la de p s q n es d es de el o rige n d e s u em is i n (N IT , N U P , e ntre otro s ) P rob a q u e en c a m po c o n fo rm a to u m ricn o s e a c ep ta n a rac teredifere nte y r s n o c s s v ic e ve rsa . h )V e rif ic a r quen o se p erm ita eja r a m pova c o scu a n do s to s ea nd e gra nim p o rta n cia d c s , e s p a ra co ntro le s o c lc u lo s e n e sa m is m a p an talla o en o tra s de es a a p lic a ci n . i) D e te rm in a r e l n iv e l d e a c tu a ci n o de s fa s e e n e l in gres o de da to s d el s is te m a

4 In da gasi e lp ers o n qu eu tiliza l s is te ma qu ep roc es la in form a c i nc ib e a p a c ita c i n r al e y a re c a dec u a d a , a nte s de us a r el s is te m a . 5 V erific a r lo s pro c e so s qu e s e rea liz a n e n e l sis tem a fu e ra d e la s p a nta lla s d e ca ptu ra (c ierres a ctua liza cio n es o c a rga s de da to s ), a fin d e de term in a r s i se d a e l s eg u im ien to de p ro c ed im ie nto es ta ble c id o y ev a lua r lo s ig uie nte: a . v erific a r lo s c lc u lo s d e m a yo r im p o rta n c ia , c on ba se a lo s d a to s c o n q u e f u e a lim en ta d o . b . D e s er n ec es a rio so lic ita r s e n o s m ue stre e l c d ig o f ue nte pa ra p roc es o s d elic a d os q ue no s a tis fa ce n n ue stra c o n fia nz a .

6 C o m prue la e s truc tura in fo rm a c i n,m o de fin e nel s is te m d e m a ne jo ela b a s e be de c o se a d d ed a to s ued a in la n ta da e m a ne ra pro pia d afun cionde a c u erdoo nlosinte res e s q mp ds a y a c d e la g ere nc ia . 7 E v aluala fo rm a qu ela inf o rm a c i s pro p orc io napo rel sis tem y la ma nera n qu e r en en da a e e sta e s distrib u id a a lo s us u a rio s : a ) D etermina irla info rma c i n po rcion aesa u fic ientea rael us u a rioin a lo se v e la s p ro ds p f n ec es idad de rep ro c es a rla fue ra d el s is tem a . b ) V e rific aqu e lo s rep o rte q u ese g en eran s tnbienide ntific a do s n n om brede l r s e co s p ro gra m a qu e lo g e ne ra n, ttu lo s, fec h as , p erio do c ub ie rto, N o d e p g in a , entre o tro s . c ) S o lic ita r e l lis ta do de d is trib uc i n de rep o rtes g en era d os p or la a p lic a c in . d ) E n e l c a soqu e la a p lic a c ies ta in sta la d e n dife ren telu ga re sv, erific aqu e lo s n a s r p ro gra m a s utiliz a d o s s ea n la m ism a ve rsin . H a yquev e rificala fec ha a ctua liza c ie la a p lic a c ien losd is tintolu ga req ues e r de dn n, s s e va lu . S ep ued e o n s ultar nlo su su a riopa rad ete rm inau alesue roso s ltim oc am bioqu e c co s c r f l s s le h ic ieron a lo s p rog ra m a s . e )V erif ic a r quelosre po rtesene ra d y s ua rda d e s rc h ivonsopu ed enere dita d o so re l g og o na s p u su a rio. o ta E s toe s po rq ue plic a c io ne s ed e en erarep o rtey gu a rda rlo s u n lug a r N : a pu g r s en e sp ec fic o d e la T erm in a l pa ra p o s teriorm e n te se r im p re s os .

EM PRESA: M LD H RA O ES ID PERIO O D 0 D EN D : EL 1 E ER