Académique Documents
Professionnel Documents
Culture Documents
Memorandum de Planeacin de Auditoria de Sistemas para la Empresa LABORATORIOS FARMACUTICOS, S.A. de C.V. al Sistema SAIF
Contenido
1 1.1 1.2 1.3 1.4 1.5 2 COMPROMISO DE LA FIRMA DE AUDITORA ................................................................................ 5 Objetivos de la Auditora .................................................................................................................... 5 Alcance de la Auditora........................................................................................................................ 5 Responsabilidad de la Firma de Auditora ......................................................................................6 Tipos de Informe a Presentar ............................................................................................................. 7 Plazos y destinatarios para la presentacin y discusin de los informes. ................................ 7
CONOCIMIENTO DEL NEGOCIO (S5 Prrafo 9 y G15 Prrafo 3.2)............................................... 7 2.1 2.2 Antecedentes Histricos de la Sociedad .......................................................................................... 7 Naturaleza:La Sociedad es salvadorea de naturaleza annima de Capital Variable con la
Denominacin Social: LABORATORIOS FARMACUTICOS, S.A. DE C.V. de acuerdo a la Escritura de Constitucin inscrita en el Registro de Sociedades (Registro de Comercio) el 03 de julio del 1992, con el Nmero 51, Libro No. 1522, desde el Folio 394 hasta el Folio 409. .................... 8 2.3 Estructura Legal: La sociedad se rige y es administrada por la Junta General de
Accionistas y por la Junta Directiva. .............................................................................................................. 8 2.4 2.4.1 2.4.2 2.4.3 2.4.4 2.5 2.6 2.6.1 2.6.2 2.6.3 2.7 3 Aspectos Generales del Cliente .........................................................................................................9 Misin y visin de la Compaa ...............................................................................................9 Objetivos y Planes Estratgicos: ...............................................................................................9 Valores.......................................................................................................................................... 10 Informacin General y Ubicacin. ......................................................................................... 10 Informacin Tributaria ....................................................................................................................... 11 Estructura Organizacional................................................................................................................. 11 Estructura Operativa ................................................................................................................. 11 Estructura Administrativa....................................................................................................... 12 Organigrama ............................................................................................................................... 13 Puestos Claves ..................................................................................................................................... 14
INFORMACIN DEL REA DE INFORMTICA Y DEL SISTEMA SAIF ................................ 15 3.1 3.2 Generalidades del Sistema ................................................................................................................ 15 Estructura Organizativa del rea de Informtica ....................................................................... 17
Caractersticas del Sistema SAIF ................................................................................................... 17 Finalidad ...................................................................................................................................... 17 Requerimientos Tcnicos ........................................................................................................ 17 Descripcin ................................................................................................................................. 18 Ubicacin Geogrfica ............................................................................................................... 21 Cantidad de Empleados ........................................................................................................... 21
EVALUACION DE RIESGOS .................................................................................................................. 22 4.1 4.2 4.3 4.4 4.5 Evaluacin del Control Interno ...................................................................................................... 23 Materialidad........................................................................................................................................ 24 Cuestionarios de Anlisis de Riesgos: ........................................................................................... 25 Matriz de Riegos por Componente ............................................................................................... 30 Proceso de Evaluacin de los Riesgos ........................................................................................... 30 Ponderacin de Probabilidad y de Impacto de Riesgos .................................................... 31 Ponderacin a la Criticidad del Riesgo en forma Grfica:Error! Marcador no
Determinacin de la Matriz Criticidad del Riesgo ............... Error! Marcador no definido. Grfica de Criticidad.................................................................... Error! Marcador no definido.
ADMINISTRACIN DEL TRABAJO DE AUDITORA ................................................................... 34 5.1 5.2 5.3 5.4 5.5 5.6 Personal de Auditora........................................................................................................................ 34 Personal Auditado ............................................................................................................................. 34 Fechas Claves.......................................................................................................................................35 Informes a Emitir ................................................................................................................................35 Presupuesto de Recursos para la Auditora ..................................................................................36 Cronograma de Actividades ............................................................................................................. 37
PROGRAMAS DE AUDITORIA DE TI ................................................................................................ 39 6.1 6.2 Marco Legal .................................................................................... Error! Marcador no definido. Percepcin de Usuarios ............................................................... Error! Marcador no definido.
Niveles de Seguridad .................................................................... Error! Marcador no definido. Funcionamiento ............................................................................ Error! Marcador no definido. Planes de Contingencia. .............................................................. Error! Marcador no definido.
1 1.1
Emitir una opinin de carcter independiente a la administracin de LABORATORIOS FARMACUTICOS, S.A. DE C.V. sobre el funcionamiento y seguridad del Sistema de Administracin Empresarial (SAIF) con relacin a los usuarios de TI, en base a
procedimientos de auditora determinados con el fin del mejoramiento del control interno.
Especficos
Evaluar el funcionamiento del Sistema SAIF y los mdulos que lo integran. Identificar y sealar las polticas actuales de la empresa respecto al sistema SAIF Verificar que los mdulos cumplan con las normativas y requisitos legales establecidos para la actividad que se controla en las mismas. Evaluar el procesamiento de los datos y la generacin de informacin con el fin de verificar la integridad de su almacenamiento. Verificar el grado de cumplimiento de los controles y los niveles de seguridad establecidos para el acceso y el uso del sistema.
1.2
Alcance de la Auditora
El alcance del trabajo incluir t revisin selectiva de la informacin que respalda las operaciones generada por el sistema con el fin de determinar la La razonabilidad de las operaciones del sistema, el uso efectivo de los recursos del equipo de computo y la gestin administrativa del rea de informtica.
Incluir la revisin selectiva de la informacin que respalda las operaciones generadas por el sistema computarizado con el fin de determinar la fiabilidad de las operaciones, el uso efectivo de los recursos del equipo de cmputo y la gestin administrativa del rea de informtica. El trabajo se realizar de acuerdo con Normas Internacionales emitidas por ISACA.
Las reas a ser auditadas sern: a) Hardware b) Software c) Procesamiento de datos d) Seguridad lgica e) Recursos Humanos
1.3
ACN Auditores y asociados Ltda. fue sido contratada por la Junta General de Accionistas de la sociedad LABORATORIOS FARMACUTICOS, S.A. de C.V. para llevar a cabo la Auditora al Sistema de Administracin de Informacin Financiera ( SAIF) por el periodo del 01 de enero al 31 de diciembre de 2012, para expresar nuestra opinin sobre el funcionamiento del sistema en el origen, entrada, proceso y salida de informacin orientado a verificar la integridad de los datos que ah se almacenan.
Se efectuar el trabajo basado en las Normas Internacionales de Auditora de Sistemas emitidas por ISACA, las cuales requieren la planeacin y ejecucin de la auditora para obtener una seguridad razonable y evidencia suficiente y apropiada que provean una base para expresar nuestra opinin.
1.4
Tipos de Informe a Presentar a) Se informar a la Junta General de Accionistas sobre la seguridad y funcionamiento del sistema SAIF, el deber estar de acuerdo a Normas Internacionales de ISACA. b) Emitir Cartas a la Gerencia conteniendo observaciones, criterios, causas, efectos, y recomendaciones de las evaluaciones preliminares de Control Interno, y acerca de los hallazgos encontrados en el sistema SAIF c) Emitir informe final el cual contendr el informe de auditora y el dictamen con nuestra opinin.
1.5
El plazo a considerar ser de 10 das posterior a la conclusin del trabajo de campo, notificndose a la Junta General de Accionistas la discusin del borrador con 5 das de anticipacin.
2 2.1
En el pas existen alrededor de 70 laboratorios farmacuticos de nacionalidad Salvadorea registrados en el Consejo Superior de Salud Pblica (CSSP). Sin embargo, segn las cifras de la asociacin de Industriales Qumicos Farmacuticos de El Salvador (Inquinar), existen 54 laboratorios calificados, los dems elaboran productos farmacuticos baratos destinado al publico general o medicamento que no necesita prescripcin mdica o productos de marca blanca que compiten en el mercado contra marcas importadas. Laboratorios Farmacuticos se encuentra calificado y tambin produce ese tipo de medicamentos pero los desarrolla con mayor calidad y con marca propia; esto permite que pueda proveer a las instituciones pblicas del pas gracias a su calificacin
El 60% de la cuota del mercado est representado por las importaciones siendo las principales de Estados Unidos, Alemania, Suiza y Espaa los cuales compiten en el segmento de medicamento caro con necesidad de prescripcin mdica para su compra. Una caracterstica importante del mercado de medicamentos es la gran competencia lo cual hace que los precios mantengan una tendencia constante a la baja, llegando en muchos casos a representar prcticamente el costo de produccin lo cual no les permite a las empresas obtener utilidad como lo es el caso de Laboratorios Farmacuticos que en el 2009 presento perdida en su Estado de Resultados. Para este ao la tendencia de los resultados est dirigida al mismo camino debido a la saturacin que existe en el mercado por el estancamiento econmico que se est viviendo. 2.2 Naturaleza:La Sociedad es salvadorea de naturaleza annima de Capital Variable con la Denominacin Social: LABORATORIOS FARMACUTICOS, S.A. DE C.V. de acuerdo a la Escritura de Constitucin inscrita en el Registro de Sociedades (Registro de Comercio) el 03 de julio del 1992, con el Nmero 51, Libro No. 1522, desde el Folio 394 hasta el Folio 409. 2.3 Estructura Legal: La sociedad se rige y es administrada por la Junta General de Accionistas y por la Junta Directiva. A. Fecha de Fundacin: 04 de Julio de 1992 B. Actividad Econmica Principal: La actividad econmica principal de la empresa son actividades industriales y comerciales relacionadas con especialidades farmacuticas. C. Otras Actividades Productivas: Solamente su actividad principal
2.4
2.4.1 Misin y visin de la Compaa Misin: Contribuir con el desarrollo de El Salvador y Centroamrica mejorando la salud de sus habitantes, mediante la elaboracin de medicamentos de alta calidad de acuerdo a las normas establecidas por las Farmacopeas Internacionales y satisfaciendo las expectativas econmicas de los accionistas. Visin: Convertirse en artfice de la nueva generacin de Laboratorios
Centroamericanos capaces de ofrecer productos de primera calidad a precios accesibles contribuyendo de esa forma a mejorar el posicionamiento de la Industria Farmacutica Salvadorea en el contexto Regional e Internacional.
2.4.2 Objetivos y Planes Estratgicos: 1. Objetivos: Alcanzar un volumen de ventas en unidades del 3% con relacin al ao 2009. Aumentar la notoriedad de la marca del 15 al 30 por ciento en el perodo planificado Expandir el nmero de puntos de distribucin en un 10 por ciento. 2. Planes Estratgicos Disminuir los costos de produccin con el fin de vender a un precio razonable. Anlisis de los clientes para la distribucin de vendedores con el fin de incrementar la atencin al cliente y el mercado de la industria Mejorar la disponibilidad y el servicio rpido al cliente
2.4.3 Valores Calidad La calidad que nos respalda no se logr en poco tiempo, la calidad es un proceso permanente en el que no existe margen de error. En Farmacutica Rodim nos comprometemos a vender medicamentos que cumplen con los ms altos estndares de calidad. Responsabilidad Nuestra responsabilidad como empresa nacional, es la contribuir con la Salud, al fabricar medicamentos de buena calidad, manteniendo precios accesibles. Servicio El servicio que prestamos no puede ser excluyente ni elitista. Nuestros precios accesibles ayudan a que le demos el servicio de salud a los que menos tienen, sin sacrificar la buena calidad. Lealtad El Valor agregado que le ponemos a cada producto es la lealtad que le ofrecemos a nuestros consumidores, nunca ponemos a la venta un producto no apto para su consumo humano o que no cumpla con los estndares de calidad ellos esperan de nosotros. Respeto El respeto a nuestros consumidores, y a nosotros mismos como empresa, nos lleva a respetar y valorar por sobre todas las cosas al ser humano como individuo. Haciendo nuestras instalaciones cmodas, atractivas y seguras para nuestro personal, creamos un ambiente de trabajo positivo, que se refleja en la satisfaccin total de nuestros consumidores con nuestros medicamentos.
2.4.4 Informacin General y Ubicacin. Nombre de la Empresa: LABORATORIOS FARMACUTICOS, S.A de C.V Ubicacin: Calle principal Antiguo Cuscatln Urbanizacin Industrial Plan de La Laguna lote 20 y 21. Telfonos: (503) 2525-2400 Fax: (503) 2525-2450 Correo Electrnico: servicli@laboratoriosfarmaceuticos.com
Clasificacin de la empresa en el sector econmico: LABORATORIOS FARMACUTICOS, S.A de C.V se clasifica dentro de la actividad del sector Industrial.
2.5
Informacin Tributaria
Nmero de Identificacin Tributaria (NIT): 0614-040792-102-1 Nmero de Registro de Contribuyente (NRC IVA): 26920-4 Representante Legal: Lic. Leonel Fernando Rodrguez Cruz
2.6
Estructura Organizacional
2.6.1 Estructura Operativa Se considera independiente dentro de la estructura organizativa ya que se encuentra sujeto a la Direccin, el alcance es revisin de la efectividad del control interno y su eficacia en la informacin financiera y las operaciones.
Las unidades operativas segn las principales reas son: rea Operativa -Produccin rea de Ventas rea Financiera Entre los principales departamentos del rea administrativa estn: Ventas-facturacin Contabilidad rea Financiera Crditos y cobros Informtica
El equipo de trabajo del rea de Informtica se encuentra conformada por: Gerente en Administracin de Sistemas Programador Soporte Tcnico
La representacin legal de la sociedad recae la Junta Directiva e, vigente e inscrita en el Registro de Comercio, se encuentra conformada de la siguiente manera:
NOMBRE Lic. Leonel Fernando Rodrguez Cruz Lic. Jos Daniel Deneke Arvalo
2.6.3
Organigrama
AUDITOR EXTERNO
DEPARTAMENTO DE PRODUCCION
DEPARTAMENTO DE INFORMATICA
DEPARTAMENTO DE EXPORTACIO
DEPARTAMENTO DE CONTABILIDAD
JEFE DE PRODUCCION
GEFENCIA FARMACEUTICA
PROGRAMADOR
DEPARTAMENTO DE ADMINISTRACION
DEPARTAMENTO DE GMP
SOPORTE TECNICO
CARGO
NOMBRE
Gerente de Ventas Gerente Financiero Gerente de Produccin Gerente de Informtica Contador General Contador de Costos Jefe de visita Medica Jefe de Crditos Jefe de Produccin Jefe de control de Calidad Encargada de Facturacin Jefe de Bodega
Lic Abraham A. Rivera Lic. Andrs M. Cubias Lic. Oscar Lpez Ing. Ana Elizabeth Gutirrez Lic. Ricardo Marvin Gonzales Lic. lvaro Antonio Lizama Lic. Marco tulio Hernndez Ins del Carmen Vaquero Lic. Miguel Orellana Licda. Silvia Elizabeth de Vega Norma Araceli Quijada Manuel Antonio Gutirrez
3.1
El Sistema Administrativo de Informacin Financiera SAIF es un software integral que est diseado para controlar el ciclo de todas las operaciones de la empresa en forma segura y confiable de acuerdo con la legislacin vigente. La integracin de sus mdulos (Cuentas por Cobrar, Facturacin, inventarios, Produccin, Proveedores, y Recursos Humanos) asegura que la informacin se encuentre actualizada en todo momento.
Proporciona todo tipo de facilidades para el completo aprovechamiento de la informacin que se genera en l: reportes, estadsticas, exportacin a diversos formatos, enlaces dinmicos con hojas de clculo y base de datos abierta.
De tal forma que SAIF es un sistema de cmputo que permite lograr una ptima automatizacin del proceso administrativo, facilitando la realizacin de las principales operaciones de compraventa de la empresa. A travs de diferentes procesos la informacin se actualiza en lnea, es decir, la informacin de los catlogos se mantiene al da en todo momento, evitndose la duplicidad en la captura de informacin.
Por ejemplo: El encargado de bodega realiza el ingreso de compra de Materia prima al ingresar dicho documentos afecta automticamente el inventario, las cuentas por pagar. El sistema toma la informacin del ingreso para promediar el costo del inventario de materia prima, generar Kardex y reportes de existencias. Adems puede generar la cuenta por pagar; esta informacin encuentra disponible en el momento que se necesite.
3.2
Gerente de Informtica
Programador
Soporte
Tcnico
3.3
3.3.1 Finalidad
Administrar todas las operaciones del ciclo de las operaciones de gestin administrativa y permite el control total sobre la informacin atreves de diversas formas de explotacin.
Procesador Intel de 32 Bits (x86) a 1.0 GHz o superior* 512 MB. de RAM, recomendado 1GB.*
350 MB. de espacio libre en disco duro. Monitor Sper VGA (800 x 600) o superior. Microsoft Windows XP, 2003, Vista, 2008 7.
Considerar que los requerimientos del sistema operativo pueden ser mayores, por lo que es importante tener en cuenta las recomendaciones propias del Sistema Operativo instalado. Para una instalacin en Servidor es recomendable una configuracin mayor, dependiendo del nmero de usuarios y el nmero de empresas a operar en el mismo servidor.
3.3.3 Descripcin -SAIF est formado por las siguientes Mdulos: Contabilidad El modulo de contabilidad es uno de los ms importantes y necesarios para el control de las transacciones de la empresa ya que integra todas las transacciones delos dems mdulos hacindolas parte de la contabilidad de la compaa, con susasientos contables generados por cada transaccin, para realizar la actividad de afectarlas cuentas contables ms dinmicas y fcil. Cada transaccin en los distintos mdulos genera, de forma automtica, sus asientos contables y se registran de inmediato en el presente mdulo, afectando los balances del catlogo contable.
Concentra la informacin y operaciones relacionadas con los Clientes y las Cuentas por cobrar de la empresa. Cuentas por cobrar. Facturacin Principales Funciones: Se maneja un Maestro de clientes Aplicacin de pagos Contabilizacin de partidas por las operaciones efectuadas Reportes de antigedad de Saldos Reportes de ingresos por concepto Reporte de transacciones por documento
Este mdulo est directamente relacionado con el mdulo de inventarios, de donde toma informacin sobre productos y existencias; se enlaza con el mdulo de cuentas por cobrar donde se administra el estado de cuenta de cada cliente, con el mdulo de produccin donde se puede consultar el status de los pedidos (pendientes por fabricar, en proceso, etc.) y con el mdulo de nmina donde refleja los incentivos a los vendedores.
Es el modulo que se encarga del registro de los compromisos de pagos contrados con los proveedores y acreedores de productos o servicios recibidos, adems permite el seguimiento a los cargos y abonos efectuados a los proveedores. As mismo se relaciona con el modulo de Bancos, para la programacin de los cheques desde dicho sistema.
Bancos
El sistema permite, ingresar cantidad ilimitada de cuentas bancarias que tenga la compaa,realizacin de todas sus transacciones como cheques, depsitos, notas de crdito y
notas
de
dbito
bancarias,
solicitudes
de
pago;
mantenindose separadas en base a la cuenta bancaria halas que pertenecen. La realizacin de las transacciones conlleva detalles de fechas, valores, notas y asientos contables, para as mantener actualizados a la vez, los balances del catlogo contable en Mdulo Contabilidad. Inventarios Controla todas las transacciones de Entrada y Salida registrando los respectivos movimientos de materiales y productos manejados, con sus respectivos costos; para ello dispone de varias tablas en las que se almacenan los datos para ser consultados, procesados e impresos de acuerdo a las necesidades del usuario. Produccin Maneja funciones que permiten el control del proceso productivo o de transformacin de materiales en la Organizacin. Control de produccin: Definicin y registro de frmulas o maestras de produccin. Explosin de materiales. Simulacin de materiales requeridos para un lote de produccin, as como costos proyectados. Emisin y control de rdenes de produccin. Traslado automtico tanto de materiales como de productos a las respectivas bodegas. Valorizacin o costeo de productos acabados.
Planillas
Bajo este mdulo se realizan las nminas de todo el personal que labora en la compaa, teniendo la facilidad de realizar cuntos tipos de nmina necesite, y separarlas por sucursales o por departamentos. Adems permite realizar todo tipo de deducciones e ingresos al personal, permitiendo colocar lacantidad de columnas necesarias para brindar mayor claridad y detalles a su nmina. Las nminas son generadas de forma automatizada, teniendo previamente definidas las transacciones de cada empleado. La misma puede ser impresa en el formato que ms convenga, segn la cantidad de columnas que la compongan, pueden ser generados los cheques de pago denomina a cada empleado, como tambin, imprimirse volantes como acuse de recibo y datos delo pagado al empleado. Puede generarse archivos para pago de nmina por transferencia bancaria de forma electrnica adaptadas al formato de cada banco comercial.
3.3.4 Ubicacin Geogrfica El sistema se encuentra dentro de la misma compaa y se encuentra instalado de 25 maquinas de la empresa. 3.3.5 Cantidad de Empleados 1. Gerente de Informtica 1. Programador 1. Soporte Tcnico
EVALUACION DE RIESGOS
Se puede definir los riesgos de auditora como aquellos riesgos de que la informacin pueda tener errores materiales o que el auditor de sistemas no pueda detectar un error que ha ocurrido. Los riesgos en auditora pueden clasificarse de la siguiente manera: -
Riesgo inherente: Cuando un error material no se puede evitar que suceda por que no existen controles compensatorios relacionados que se puedan establecer.
Riesgo de Control: Cuando un error material no puede ser evitado o detectado en forma oportuna por el sistema de control interno. Riesgo de deteccin: Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado. El auditor puede llegar a la conclusin de que no existen errores materiales cuando en realidad los hay.
La palabra "material" utilizada con cada uno de estos componentes o riesgos, se refiere a un error que debe considerarse significativo cuando se lleva a cabo una auditora. En una auditora de sistemas de informacin, la definicin de riesgos materiales depende del tamao o importancia del ente auditado as como de otros factores. El auditor de sistemas debe tener una cabal comprensin de estos riesgos de auditora al planificar. Una auditora tal vez no detecte cada uno de los potenciales errores en un universo. Pero, si el tamao de la muestra es lo suficientemente grande, o se utiliza procedimientos estadsticos adecuados se llega a minimizar la probabilidad del riesgo de deteccin.
De manera similar al evaluar los controles internos, el auditor de sistemas debe percibir que en un sistema dado se puede detectar un error mnimo, pero ese error combinado con otros, puede convertir en un error material para todo el sistema.
Cuando se realiza una auditoria de sistemas resulta de vital importancia poder evaluar el control interno para luego poder identificar los riesgos. La etapa del estudio y evaluacin del control interno conlleva tres momentos importantes que son: 1. La obtencin del Conocimiento del Ambiente SIC 2. La comprensin del Ambiente SIC 3. Anlisis del mismo. Por lo antes mencionado, se expresa que el estudio del control interno ser desarrollado con base en el Enfoque de Control Interno COSO, a travs de los componentes de Control Interno que conforman este enfoque:
Los cuestionarios de anlisis de riesgos son la herramienta clave en la identificacin de riesgos, estn diseados para guiar al auditor de informtica a descubrir amenazas a travs de una serie de preguntas y en algunas instancias, este instrumento esta diseado para incluir riesgos asegurables e inasegurables. El cuestionario de anlisis de riesgos esta diseado para servir como un repositorio de la informacin acumulada de documentos, entrevistas e
inspecciones. Su propsito es guiar a la persona que intenta identificar exposiciones a riesgo a travs del proceso de la identificacin en un modelo lgico y consistente.
4.2 Materialidad
La materialidad en la auditora de sistemas debe ser considerada en trminos del impacto potencial total para el ente en lugar de alguna medida basado en lo monetario.
AREAS
SI
NO
N/A
COMENTARIOS
HARDWARE
1
Posee la entidad un inventario del equipo informtico La infraestructura de la entidad es adecuada, proporciona seguridad apropiada para uso del equipo Existe seguridad en el cableado de las instalaciones elctricas de la entidad Existe un plan de mantenimiento para el equipo informtico. El personal que proveer el mantenimiento es interno o externo Se cuenta con el equipo apropiado para proteccin de las computadora Se cuenta con vectores (direcciones) de errores para verificar el funcionamiento del hardware. Indique cual es la frecuencia con la que se efecta el mantenimiento de equipo informtico.
x x x x
Interno x
Una vez al ao
SOFTWARE
1 2 3
El software instalado posee la licencia. Facturas pagos licencias certificados Se efecta pruebas a los sistemas antes de instalarlos y operarlos Cuando se disean sistemas se documentan esos diseos Estos documentos de diagramas del sistema. Estn actualizados Se documentan pruebas efectuadas a los sistemas Existen software de seguridad para los sistemas Instalados
x x x x
algunas veces
algunos
4 5
N 7
AREAS
SI
NO
N/A
COMENTARIOS
Se verifica que los usuarios posean los software necesarios para la realizacin de sus actividades Se Bloquen las descargas automticas de software desde internet Se monitorea que los usuarios cumplan con la ley de propiedad intelectual Se verifican la existencias de las licencias del software que instala para cada usuario.
x x x x
Algunas veces
10
PROCESAMIENTO DE DATOS
1 2
x algunas veces
4 5
Se evala la totalidad de los datos Existen controles para evitar la redundancia de los datos x
regularmente
8 9
El sistema genera informe de excepciones Se transfiere la informacin de forma oportuna entre los diversos mdulos x
10
Con que frecuencia se le da mantenimiento a los ductos de aire acondicionado de las instalaciones? Se han adoptado medidas de seguridad en el departamento de sistemas de informacin?
Cada 6 meses
N 3 4
AREAS
SI
NO
N/A
COMENTARIOS
Existe una persona encargada de la seguridad? Se ha dividido la responsabilidad para tener un mejor control de la seguridad? Existe personal de vigilancia en la institucin? Existe vigilancia en el depto de sistemas las 24 horas? Las condiciones del local donde se encuentran los equipos se encuentra a salvo de: inundacin, terremoto, fuego, sabotaje? Son controladas las visitas y demostraciones en el centro de cmputo? Existen colocaciones de alarmas en las instalaciones del centro de cmputo? Existen extintores de fuego? Cuenta con licencias de los equipos de informtica en uso?
x x
5 6 7
x x x
8 9 10 11
x x x
X
SEGURIDAD LOGICA
1 2 3
Existen controles de acceso para cada usuario. El acceso a la informacin est controlado por niveles de acceso. Hay diversas modalidades para trabajar con el sistema informtico: Solo digitacin, lectura, escritura, borrado. Hay una lista depurada de control de accesos de los usuarios Hay controles de acceso externo (firewalls) para usuarios Los servidores se encuentran fuera de la empresa, en caso de siniestro pueden resguardar la informacin de forma segura. Existe acceso limitado al sistema por parte de los programadores, analistas y operadores, tanto en horas hbiles y no hbiles? Se efectan los respaldos de informacin en los medios de almacenamientos removibles? Los respaldos de la informacin se tienen en sitios virtuales o resguardados en lugares externos de las instalaciones con el fin de proteccin en caso de accidentes?
x x x
4
5 6
x x
AREAS
SI
NO
N/A
COMENTARIOS
Se efectan respaldos peridicamente de la informacin? Con qu frecuencia? 1) Diario 2) Semanal 3) Mensual 4) Trimestral 5) Anual No se efecta Se cuenta con programas antivirus para el sistema de informacin? Se efecta algn tipo de mantenimiento del sistema en las terminales o redes donde est establecido el software?
Se realizan Semanalmente
x x
RECURSOS HUMANOS
1 2 3
Existen polticas y procedimientos para elegir los perfiles de los empleados. Tiene identificadas reclutamiento las fuentes de
La organizacin cuenta con manuales e instructivos de induccin y orientacin para el personal recin contratado. Cuenta con criterios de evaluacin intelectual, abstracta y psicolgica para ver como los empleados responden a situaciones anormales. Se dan constantemente capacitaciones al personal en reas crticas de la entidad. La empresa realiza evaluaciones peridicas del desempeo de los empleados. otorga premios e incentivos al personal destacado regularmente. La empresa presenta cambios constantes de personal. Se una adecuada difusin de las polticas, reglas y normas de la entidad al personal. Promueve la entidad a los empleados sobresalientes al crecimiento laboral y profesional.
5 6
7 8 9 10
4.6.1 Ponderacin de Probabilidad y de Impacto de Riesgos Ponderacin Probabilidad Probabilidad Baja Media Alta Ponderacin 1 2 3 Impacto Bajo Medio Alto Ponderacin 1 2 3 de Ponderacin del Impacto
5 5.1
El personal asignado para la auditora del perodo comprendido entre el 01/01/2012 y el 31/12/2012 en LABORATORIOS FARMACUTICOS, S.A. DE C.V. estar formado por un equipo multidisciplinario y tcnicamente capacitado con la responsabilidad de prestar un servicio integrado orientado a satisfacer ampliamente las necesidades de la compaa. A continuacin lo detallamos:
3 Auxiliares de Auditoria de Lic. Carlos Arguello Sistemas Lic. Sandra Gomez Lic. Fernando Guzmn
5.2
Personal Auditado
La auditoria que se realizar se basa en verificar el funcionamiento y la seguridad del sistema SAIF, as mismo evaluar los controles que se estn desarrollando en el rea de sistema. Se realizar una entrevista con el personal involucrado directa e indirectamente del sistema.
5.3
Fechas Claves
La programacin de las fechas claves en las cuales se realizara el Proceso de Auditoria de Sistemas se detalla a continuacin, no sin antes mencionar que se han establecido en tiempo estimado.
Fechas semanales ACITIVIDADES
1 Oct-12 2 3 4 1 Nov-12 2 3 4 1 Dic-12 2 3 4
Planeacin de la Auditoria Ejecucin de la Auditoria Cierre de la Auditoria Elaboracin de Informe Entrega de informes
5.4
Informes a Emitir
Cartas de Gerencia
Se comunicar a la Junta General de Accionistas por medio de Cartas a la Gerencia de los hallazgos importantes en el desarrollo de la auditora sobre el funcionamiento y seguridad del sistema SAIF: Carta de Compromiso. Cartas de Requerimiento de informacin sobre el sistema. Cartas a la Gerencia reportando el avance del trabajo Cartas a la Gerencia detallando los hallazgos encontrados
Informe de Auditora Se emitir un informe de auditora sobre el funcionamiento y seguridad del sistema SAIF,el cual se emitir el 05 de diciembre de 2012.
5.5
Personal Asignado (Tiempo y Costos) Hemos estimado que para este trabajo, los gastos estimados a aplicarse por: Papelera Impresiones Otros $100.00
Actividades Planeacin Ejecucin Informe Total Horas Costo General de Horas Costo en Valores
5.6
Cronograma de Actividades
Conocimiento del negocio Entrega de carta de Gerencia Elaboracin de Memorando de Planeacin Elaboracin de programa de Auditoria Fase de Ejecucin Estudio y anlisis de Hardware Estudio y anlisis de Software Estudio al Procesamiento de Datos Estudio a la Seguridad Fsica Estudio a la seguridad Lgica Estudio del Recurso Humano Fase de cierre de Auditoria Elaboracin de informe
Entrega de Informe
PROGRAMAS DE AUDITORIA DE TI
Programa
6.1 Hardware 6.2 Software 6.3 Procesamiento de Datos 6.4 Seguridad fsica 6.5 Seguridad Lgica 6.6 Recurso Humano