Memorandum de Planeacion 2011

[AUDITORES IP, S.A. DE C.V.
] Memorndum de Planeacin Auditoria de Sistemas

AUDITORIA DE SISTEMAS

Ciudad Universitaria | Ciclo II 2011

UNIVERSIDAD DE EL SALVADOR
FACULTAD DE CIENCIAS ECONMICAS
ESCUELA DE CONTADURA PUBLICA

TEMA: DISTRIBUIDORA SAN ANDRES MEMORANDUM DE PLANEACION AUDITORIA
DE SISTEMAS.

GRUPO TEORICO: 03

INTEGRANTES:

MARIO ERNESTO PONCE PERALTA PP05033
IRENE MABEL HUEZO MELARA HM03033
[AUDITORES IP, S.A. DE C.V.] Memorndum de Planeacin Auditoria de Sistemas

I. TERMINOS Y COMPROMISOS DE LA AUDITORIA ................................................................................. 1
1) OBJETIVO GENERAL. ............................................................................................................................. 1
II. INFORMACIN GENERAL DE LA ENTIDAD. .......................................................................................... 2
1) ANTECEDENTES: ................................................................................................................................... 2
2) ESTRUCTURA ORGANIZACIONAL: ......................................................................................................... 3
3) POLITICAS Y PROCEDIMIENTOS: ........................................................................................................... 4
III. INFORMACIN PRELIMINAR DEL SISTEMA ......................................................................................... 4
1) MARCO LEGAL: ..................................................................................................................................... 5
2) PANORAMA TECNICO: .......................................................................................................................... 6
IV. NIVELES DE SEGURIDAD DEL SISTEMA ................................................................................................ 8
V. VALORES PARAMETRIZABLES DEL SISTEMA ........................................................................................ 9
VI. ORIGEN Y ENTRADA DE DATOS. ........................................................................................................ 10
VII. PROCESAMIENTO DE DATOS. ....................................................................................................... 10
VIII. PISTAS DE AUDITORIA. ................................................................................................................. 11
IX. DETERMINACION DE AREAS DE RIESGO ............................................................................................ 11
X. ADMINISTRACION DE LA AUDITORIA ................................................................................................ 19
1) ASIGNACION DEL PERSONAL. ............................................................................................................. 19
2) CRONOGRAMA DE ACTIVIDADES, FECHAS CLAVE Y PRESUPUESTOS DE TIEMPO. .............................. 19
XI. ANEXOS ............................................................................................................................................ 22
1) CUESTIONARIOS DE CONTROL INTERNO UTILIZADOS PARA EVALUAR EL RIESGO. ............................. 22
2) PROGRAMAS DE AUDITORIA. ............................................................................................................. 34
3) CEDULA DE MARCAS DE AUDITORIA. ................................................................................................. 41

INDICE GENERAL

1

I. TERMINOS Y COMPROMISOS DE LA AUDITORIA

1) OBJETIVO GENERAL.

Emitir una opinin sobre la efectividad y razonabilidad de las cifras e informacin
generadas por el sistema de Control de Inventarios y Facturacin Trey Fact, con base a
procedimientos de auditoria determinados, considerando el control interno y la aplicacin
de las normas legales y profesionales.

2) OBJETIVOS ESPECIFICOS.

Evaluar los niveles de seguridad y sus controles a fin de determinar las reas
susceptibles de riesgo.
Evaluar la seguridad lgica y fsica para determinar si se establecen controles
apropiados para salvaguardar la integridad, oportunidad y fiabilidad de la
informacin procesada y contenida en el sistema.
Emitir un informe a fin de sealar los hallazgos encontrados respecto a las
debilidades en los controles internos y la fiabilidad de la informacin generada por
el sistema.

3) ALCANCE:

El alcance del trabajo incluir la revisin de los procesos, medios de acceso y entrada de
datos, niveles de seguridad e informacin generada por el sistema.

a) Las reas de las que se ocupar la Auditoria de Sistemas sern:
Evaluacion de Niveles de Seguridad
Revisin de Controles Generales
Evaluacin de parmetros

2
Evaluacin de Planes de Contingencias
Revisin del Sistema Operativo
Revisin del ciclo de vida de las operaciones

4) RESPONSABILIDAD DE LA FIRMA

Hemos sido contratados por la Junta General de Accionistas de la Sociedad
DISTRIBUIDORA SAN ANDRES, S.A. DE C.V. para llevar a cabo la auditoria de Sistemas
Informtico, para el periodo del 01 de enero al 30 de Noviembre de 2011, para expresar
una opinin sobre la Seguridad lgica del sistema, la efectividad del funcionamiento, la
generacin de Estados Financieros, y la razonabilidad y presentacin de los mismos.
Se efectuara el trabajo basado en las Normas Internacionales de Auditoria, las cuales
requieren la planeacin y ejecucin de la auditoria para obtener una seguridad razonable y
evidencia suficiente que provean una base para expresar nuestra opinin.

5) CONTENIDO DE LOS INFORMES

a) Informar a las partes interesadas sobre la Eficiencia y seguridad del sistema a
Auditar.

b) Emitir informes con los resultados de la auditoria conteniendo observaciones,
criterios, causas, efectos, y recomendaciones de las evaluaciones preliminares de Control
Interno, y acerca de los hallazgos encontrados.

c) Emitir informe final el cual contendr:
Informe de auditoria con los resultados de esta y las conclusiones del examen.
II. INFORMACIN GENERAL DE LA ENTIDAD.

1) ANTECEDENTES:
Distribuidora San Andrs, surge como una Sociedad Annima inscrita en el registro de
Comercio 15 de Junio de 2005 con un capital Constitutivo de $ 12,000 Dlares de Los
Estados Unidos de Amrica.

3

La finalidad de la empresa es la compra y venta de Mobiliario para Oficinas.

La empresa es administrada por Oscar Ren Lpez, Accionista Mayoritario quien cuenta
con personal administrativo de apoyo como sigue:
Asistente administrativa
Encargada de Ventas y Cobros
4 Vendedores, 1 quien es el gerente de Ventas y 3 que Gestionan ventas por
medio de la atencin directa a los posibles clientes que visitan el local.

Proveedores de equipos Informtico y accesorios:

STB El Salvador, S.A. de C.V.
Equipos Electrnicos Valds, S.A. de C.V.

Mantenimiento del software:

Asistencia remota por medio del Desarrollador del Sistema.

Soporte tcnico:

STB El Salvador, S.A. de C.V.

2) ESTRUCTURA ORGANIZACIONAL:

Organizacin de la Administracin y Operatividad:

La Entidad ser gobernada por medio de una Junta Directiva, cuyo presidente y a su vez
Gerente General es el Sr. Oscar Ren Lpez. En total la empresa cuenta con 17 personas
empleadas.

Organigrama:

4

3) POLITICAS Y PROCEDIMIENTOS:

POLITICAS RELATIVAS AL SISTEMAS

1. Asignar un perfil de usuario y una contrasea nica de acceso segn el nivel que
ocupe el usuario
2. Restringir el acceso a reas que no competen segn el rol de cada usuario.
3. Sellar de procesado todos los documentos despus de complementar el proceso de
trascripcin de datos para evitar duplicidad de entradas.
2. Que los archivos daados que contienen informacin confidencial se destruyan de
manera apropiada.
3. Se tiene un mantenimiento preventivo cada 3 meses para los equipos de computo.
4. Los equipos de Informtica se incluyen entre los bienes asegurados por la entidad para
mitigar riesgos.
5. Realizar Copias de Seguridad de informacin procesada al final de cada Periodo
mensual.

III. INFORMACIN PRELIMINAR DEL SISTEMA

NOMBRE DEL SISTEMA: TREY-FACT.

UTILIDADES: Gestin Comercial (Ventas, Compras, Inventarios)
Junta General de
Accionistas
Gerente General
Grente de Ventas
Vendedores
Gestor de Cobros
Despacho y
Bodegas
Bodeguero
Transportistas
Contabilidad y
Administracion.
Recepcion
Contador
Encargado de
Compras e
Inventario

5

VERSION: 4.76.00 R6

DESARROLLADOR: Treyder Informatica, S.L.

El sistema TREY-Fact, es una aplicacin de distribucin gratuita y diseada para las
Pymes, Distribuidora San Andrs, decidi adoptar este sistema como una herramienta de
la mejora en la eficiencia del manejo de la informacin operativa de la entidad.

1) MARCO LEGAL:
En lo concerniente al cumplimiento de normas y regulaciones legales, al utilizar un sistema
informtico para procesar la informacin relativa a la facturacin y control de inventarios
observamos que principalmente se aplican las siguientes regulaciones:

Leyes Fiscales:
Con el objeto de un buen cumplimiento en lo relativo a la parte fiscal, tanto formal como
sustantiva se hace necesario que una entidad cumpla con la obligacin de declarar y pagar
los diferentes impuestos estipulados, tanto como la ley de la renta, ley de IVA, por lo que
un sistema informtico deber garantizar el inters fiscal brindando informacin
compatible con tal objetivo. El cdigo tributario establecen las distintas disposiciones que
garantizan los fines econmicos del estado. Por lo que, como el sistema se encarga de
ingresar informacin relativa a la emisin de facturas y documentos legales en las
operaciones de transferencia de bienes y prestacin de servicios, el cdigo tributario
establece los requerimientos mnimos de informacin que deber contener los documentos
de ventas (comprobantes de Crdito Fiscal, Facturas Consumidor Final, Notas de Crdito y
Debito, Comprobantes de Retencin, etc.) y los reportes de control de inventario.

Ley Del Impuesto a La Transferencia de Bienes Muebles y a la
Prestacin de Servicios:
Esta ley establece los distintos tipos de impuesto aplicables a las circunstancias o bienes
particularmente descritos en la misma, ante lo cual, el sistema deber ser capaz de
armonizar adecuadamente las operaciones y procesamiento de datos que realiza con las
diferentes formas que la ley describe como tipos de aplicacin de la tasa impositiva.


6
Leyes y Reglamentos Especficos:
Ley de Fomento y Proteccin a la Propiedad Intelectual.
Esta ley explica y establece los lineamientos de la proteccin, uso y difusin de bienes con
propiedad intelectual.

2) PANORAMA TECNICO:

a) Lenguaje de Programacin y Base de Datos.
Debido a que el sistema es de distribucin gratuita y difundida por internet, no nos fue
posible tener contacto directo con el personal encargado del desarrollo; no obstante a
travs de una breve descripcin del sistema pudimos obtener informacin tcnica relativa
a esta aplicacin:
Trey-Fact es una aplicacin de gestin comercial desarrollada bajo un lenguaje de
programacin de 32 bits bajo la plataforma de VISUAL DBase PLUS, diseada
para sistemas Windows desde la edicin 2000 hasta el actual Window 7, posee una
resolucin predeterminada del rea de trabajo de 1024x768 pixeles.
b) Forma de Operacin del Sistema
El objetivo a conseguir es el de que la empresa, a travs de esta aplicacin, les ofrezca a
sus clientes un mejor servicio, y por consiguiente sea ms competitiva en el mercado,
optimizando los procesos de gestin comercial en ventas, compras y control de
inventarios.
Esta aplicacin, est preparada para crecer en funcin de las necesidades de la entidad,
partiendo de un sistema Stand Alone y llegando a sistemas de RED LOCAL
MULTIPUESTO.
El formato de Facturas, Albaranes, Tickets, Recibos, Presupuestos y Etiquetas, se puede
personalizar para cada caso concreto, segn las necesidades. Los formatos que incluye de
base esta aplicacin estn estructurados en funcin de unos modelos estndar. Si en dado
caso el usuario tiene necesidades especficas en los formatos de estos documentos podr
modificar dichos modelos ponindose en contacto con el Departamento de Soporte del
desarrollador del sistema.


7
PRINCIPALES CARACTERISTICAS DEL SISTEMA:
Gestin e informes en Dlares, Euros, Pesetas y en cualquier tipo de moneda.
Copias de seguridad. (Compresin automtica)
Mltiples formas de bsqueda en todos los ficheros de introduccin de datos.
Salvaguardar la confidencialidad de los datos, se puede restringir el acceso a la
aplicacin mediante claves de seguridad por el usuario y por empresas.
Permite acceder a otros ficheros mientras se realiza otra tarea (Multitarea).
Compatibilidad para el Uso del teclado y Ratn.
Interfaz con Sistema de Contabilidad (distribuido por el mismo desarrollador).
Mantenimientos.
Gestin de Compras
Gestin de Ventas.
Generacin de informes.
Utilidades
Ayuda y manuales de usuario.
Orden predefinido en bsquedas.
Comisiones de Agentes y liquidaciones de las mismas.
Control, generacin e impresin de cdigos de barras.
Precios y descuentos especficos sobre Clientes, Zonas.
Configuracin de series para facturas exentas de IVA.
Liberacin de pedidos (Compra) albaranes o facturas.
Liberacin de presupuestos (Venta) en pedidos, albaranes, facturas o tickets.
Liberacin de pedidos (Venta) en albaranes, facturas o tickets.
Generacin de facturas sobre albaranes.
Entrada manual de vencimientos.
Listados por pantalla, impresora y generacin de archivos en PDF y otros formatos.
Filtros en bsquedas.
Organizacin y configuracin empresa mediante series.

c) Manuales Tcnicos y de Usuario

8
El sistema cuenta con manuales de Instalacin y Usuario, no obstante el manual tcnico
no est a disposicin de los usuarios y no es de libre distribucin a efectos de Derechos de
autor.

IV. NIVELES DE SEGURIDAD DEL SISTEMA

El sistema TREY-FACT, es un sistema informtico diseado con el fin de contribuir a la
eficiencia operativa de las Micro y Pequeas empresas, por lo que su uso est enfocado al
uso de entidades con una organizacin no compleja y con cierto grupo de actividades
Relacionadas o vinculadas. En virtud de esta situacin el sistema est diseado para un
usuario Supervisor que se encarga de operar y configurar todos los elementos del mismo
quien ingresa desde la aplicacin instalada en el Sistema Operativo, a travs de este
usuario se pueden crear nuevos perfiles enfocndolos a la funcin que este realizara y los
accesos y restricciones que el Administrador considere. El usuario podr crear una
contrasea de acceso para proteger la manipulacin de la informacin por parte de
personas ajenas a la entidad y asignar a los dems usuarios claves para el ingreso del
sistema.
Como el sistema es de distribucin gratuita, solamente es posible obtener los archivos
ejecutables y no los fuente.

Distribuidora San Andrs en funcin de la naturaleza de las funciones ha creado tres
distintos usuarios que se encargan respectivamente de los siguientes roles:
Administrador-Supervisor (asignado al Gerente Administrativo quien se encarga de
dar mantenimiento del sistema y asignar los roles de los usuarios con menor nivel
de acceso)
Vendedor (quien se le asigna las actividades y los accesos solamente a las
funciones de venta y facturacin)
Compras e Inventario (usuario encargado de ingresar pedidos, recibir e ingresar
artculos al inventario y dar mantenimiento a este).


9
V. VALORES PARAMETRIZABLES DEL SISTEMA

Durante la Ejecucin de la Auditoria deber verificarse la existencia de alguna opinin de
parametrizacin del sistema, considerando lo siguiente:

a) Quienes estn autorizados a parametrizar el sistema.
Segn Las especificaciones e indicaciones expresadas en el manual de usuario, los
parmetros sern autorizados por el administrador del sistema.
b) Como se restringe dicho acceso.
La nica forma restrictiva del acceso es a travs del establecimiento de contrasea
de acceso asignada por el administrador.
c) Que elementos estn parametrizados.

Ente los Valores parametrizados identificados segn nivel de Acceso:

ADMINISTRADOR
Cdigo de Usuario.
Informacin General de Empresas.
Configuracin de Cdigos identificativos de clientes proveedores y
productos.
Moneda y Formato de las cifras.
Tipos de impuestos y regmenes fiscales aplicables.
Cuentas vinculantes a Contabilidad.
Rutas de series para Interfaz de contabilidad.
Informacin Deseada en los informes.
Opciones de bsqueda.
Informacin presentada en pantalla en las consultas.

VENDEDOR y ENCARGADO DE COMPRAS E INVENTARIO
Informacin de usuario.
Acceso restringido a las aplicaciones.
Informacin de consultas.

10
Formato de informes.

VI. ORIGEN Y ENTRADA DE DATOS.

Se deber verificar el origen y proceso que se realizan en el sistema para la toma e
ingreso de datos. A lo cual TREY-FACTU, est diseado para obtener datos
documentalmente, en el caso de los pedidos, facturas, albaranes y ticket y por medios
mixtos los datos relativos a clientes, productos y proveedores.
La entrada de estos, es de forma manual y permite la asignacin de cdigos de barra para
lectura electrnica.

VII. PROCESAMIENTO DE DATOS.

Verificar el proceso que se realizan en el sistema fuera de las pantallas de captura (cierres,
actualizaciones o cargas de datos), a fin de determinar si se le da seguimiento al
procesamiento establecido a evaluar lo siguiente:

a) Verificar los clculos de mayor importancia, con base a los datos con que fue
alimentado.

Los clculos que mayor importancia desempea el sistema, son los de informacin de
ventas, pedidos, ingresos y salidas de inventario, as como el reporte de existencias.

Los procesos clave que intervienen en el sistema son:
Proceso de Ventas.
Compras.
Facturacin y Cobro.


11

VIII. PISTAS DE AUDITORIA.

Determinar que controles de registro de pistas de auditora se han implementado en la
aplicacin.

a) Evaluar los registros de auditoria de seguridad identificando usuario, fecha, hora,
Terminal y tipo de evento para lo siguiente:
Intentos de acceso fallidos al sistema
Accesos exitosos al sistema
Salidas del sistema

b) Verificar la existencia de registros de eventos para las distintas opciones de
mantenimiento de datos en la aplicacin, que muestren el usuario, fecha, hora,
Terminal, pantalla u opcin utilizada, identificacin del registro involucrado y
campos modificados, para lo siguiente:
Proceso de adicin de registros
Modificacin de registros
Eliminacin de registros

IX. DETERMINACION DE AREAS DE RIESGO

La valoracin de los riesgos se basa en procedimientos para obtener la informacin
necesaria para tal propsito y la evidencia obtenida durante la auditora. Es importante en
toda organizacin contar con una herramienta, que garantice la correcta evaluacin de los
riesgos a los cuales estn sometidos los procesos y actividades de una entidad y por
medio de procedimientos de control se pueda evaluar el desempeo de la misma. Por
consiguiente, la Auditora debe funcionar como una actividad para agregar valor y mejorar
las operaciones de una organizacin, as como contribuir al cumplimiento de sus objetivos
y metas; aportando un enfoque sistemtico y disciplinado para evaluar y mejorar la
eficacia de los procesos de gestin de riesgos, control y direccin.

12
Viendo la necesidad en el entorno empresarial y teniendo en cuenta que, una de las
principales causas de los problemas dentro de los subprocesos es la inadecuada previsin
de riesgos informticos se hace necesario entonces estudiar los Riesgos que pudieran
aparece en cada subproceso de Auditora, esto servir de apoyo para prevenir una
adecuada realizacin de los mismos.

Del proceso de anlisis y valoracin del riesgo en el sistema, podemos identificar los
siguientes:

MATRIZ DE RIESGO

REA

RIESGO CLASIFICACION
ESTRATEGIA o
CONTROL
IDENTIFICADO
CRITERIO
HARDWARE
Amenazas al
sistema por:
Seguridad
Fsica
Falta de
Dispositivos para
minimizar daos
al equipo

Alto
No existen
dispositivos
para la
prevencin de
daos al
equipo
Es necesario el
uso de
dispositivos
que
prevengan los
daos en el
equipo.

Comunicacione
s
La transmisin de
la comunicacin
no segura

Alto
Para
comunicarse se
utiliza el
Internet y no
se usan
procedimientos
especiales de
transmisin de
informacin
Es importante
que la entidad
cuente con
procedimien-
tos de
transmisin de
informacin
seguros y
confiables.
Acceso lgico No se da Es de vital

13
REA

ESTRATEGIA o
CONTROL
IDENTIFICADO
CRITERIO
No se cuente con
acceso restringido
de los empleados
al sistema

Medio
seguimiento al
acceso al
sistema, pero
el acceso es
dependiendo el
cargo del
empleado con
su respectiva
clave de
acceso.
importancia
que se de
seguimiento al
histrico de
accesos al
sistemas asi
como si lo
hacen a horas
no laborales
aunque estos
tengan claves
de acceso
parametriza-
das con
acceso
restringido de
la informacin.
Accesos Fsicos
Que no se
cuenten con
planes de
sealizacin de
reas sensibles o
la debida
asignacin de
responsabilidades
del personal que
manipulara el
sistema

Alto
No se cuenta
con un plan, ni
polticas que
relacionen
estos aspectos.
La entidad
debe de
formular
normas y
polticas que
contribuyan a
la seguridad y
a la respectiva
responsabili-
dad del
personal

14
REA

ESTRATEGIA o
CONTROL
IDENTIFICADO
CRITERIO
Planes de
Desastres
Que la entidad no
cuente con planes
contra desastres

Medio
No cuentan
son ningn
plan o
estrategia
contra
desastres,
nicamente
seguro contra
daos.
Que la
entidad cuente
con un plan de
contingencias
como
mantenimiento
preventivo
adems del
Seguros
contra
desastres.

SOFTWARE

Amenazas al
sistema por:
Utilidades y
Software
Que no existan
controles en la
utilizacin de
software y
aprobacin del
sistema

Medio

A pesar que no
existe control
en la utilizacin
de programas
utilitarios
sensibles, la
aprobacin del
sistema y sus
actualizacio-
nes son
realizadas por
autorizacin de
la Gerencia

Es importante
que se limite
el acceso de
programas
que se puedan
prestar a la
modificacin
de los datos
del sistema sin
dejar rastro
alguno.
Copias de
Respaldo
Falta de
Respaldos de la

Bajo
Aunque no se
encuentran
plasmadas
normas que
La entidad
debe tener
documentado
los

15
REA

ESTRATEGIA o
CONTROL
IDENTIFICADO
CRITERIO
informacin obliguen al
personal
involucrado de
realizar
respaldos ,
estos se hacen
semanalmente
procedimiento
s del personal.
Base de Datos
Que no se cuenta
con una
integridad en la
Base de Datos

Medio
Se realizan
actualizaciones
de la base de
datos
peridicamente
, pero no se
cheque o se
audita
Es de benefio
para la
entidad y los
usuarios de la
informacin
que cuente
con una
integridad
POLITICAS Y
PROCEDIMI-
ENTOS
Amenazas en el
control interno
en :
Mala seleccin
de personal que
manipulara el
sistema
informtico.

Medio

Al contratar al
personal se le
exige
conocimien-tos
fundamenta-
les de
computacin,
las que
requiera el
cargo.

La entidad
debe poseer
perfiles de los
puestos.
Que los
informes que
produce el

Bajo

Son de
satisfaccin de

El formato de
los informes

16
REA

ESTRATEGIA o
CONTROL
IDENTIFICADO
CRITERIO
sistema no sean
los requeridos
los usuarios. debe estar
actualizado
segn la
exigencia del
usuario.
No exista una
organizacin de
funciones de los
miembros de la
entidad

Bajo
Las funciones
del personal
esta definida y
estructurada
por medio de
un
organigrama
La
organizacin
contribuye al
orden lgico
de las
funciones de
los miembros
Que no se
cuente con
manuales de
usuario, tcnicos
y operativos.

Bajo
El Sistema
cuenta con su
respectivo
manual de
funciones.
Es necesario
que los
manuales sean
proporciona-
dos a los
usuarios para
que facilite la
Manipularaci-
on del sistema
y evaluar lo ya
ejecutado. Si
hay personal
nuevo es
importante
que se le
brinden los
manuales.

17
REA

ESTRATEGIA o
CONTROL
IDENTIFICADO
CRITERIO
SEGURIDAD
EN EL
SISTEMA
Que la
administraci-n
no cuente con
medidas para
salvaguardar
los datos y
archivos

Medio
Solo
generacin de
respaldos en
zip.

Es
indispensable
que la
administra-
cin cuente
con medidas
de
salvaguarda
como el
guardar
archivos en
medios
extrables y
guardados en
cajas de
seguridad y
fuera del lugar
de trabajo.
Que no se
tenga certeza
de integridad
de los datos
procesados en
el sistema

Alto
Se realizan
actualizacio-
nes pero no se
le ha
practicado una
auditoria al
sistema desde
su
implantacin
La entidad
debe aplicarle
auditorias al
sistema actual
para mayor
seguridad en
la informacin
que se
procesa y
extrae.


18

Para la evaluacin de los riesgos se tomaron las siguientes escalas para categorizarlos en
alto, medio o bajo.


19
X. ADMINISTRACION DE LA AUDITORIA

1) ASIGNACION DEL PERSONAL.

El personal que se asigna a la actividad de la ejecucin de la auditoria y supervisin del
trabajo, es el siguiente:

Nombre Cargo
Irene Mabel Huezo Melara Auditor Junior.
Mario Ernesto Ponce Auditor Senior.

A continuacin se presenta una descripcin de las funciones interrelacionadas, que el
equipo profesional llevar a cabo durante la ejecucin de la auditoria en lo que respecta al
Estudio y Evaluacin del Control Interno y al proceso de Planeacin de la auditoria.

El Br. Mario Ponce, Coordinador y Ejecutor, tendr el compromiso de coordinar los
servicios y de mantener una adecuada comunicacin con la administracin de la
institucin, asuntos como evaluacin sobre la suficiencia y oportunidad de la informacin y
calidad de los informes; observacin y recomendaciones diseadas para mejorar reportes
operacionales, as como informar asuntos de sobre importancia a la Junta Directiva.
La Br. Irene Huezo se encargara de la evaluacin del control interno, ejecucin de las
pruebas, redaccin de los hallazgos y observaciones de la auditoria.

2) CRONOGRAMA DE ACTIVIDADES, FECHAS CLAVE Y PRESUPUESTOS
DE TIEMPO.

Las fechas en las cuales sern entregadas las cartas y los informes son las que a
continuacin se detallan; las cuales han sido establecidas tomando en consideracin el
tiempo para realizar la auditoria del correspondiente en el ao 2011.

20
sistema SIC CONTA

FECHAS CLAVES-Semanas
ACTIVIDADES PRINCIPALES Oct-11 Nov-11 Dic-11
1a 2a. 3a. 4a. 1a 2a. 3a. 4a. 1a 2. 3a. 4a.
Conocimiento del Negocio y sistema
Memorando de Planeacin
Evaluacion de Control Interno
Ejecucion de la Auditoria
Informe de Hallazgos y Recomendaciones.
Discusin del informe con la Gerencia.
Informe de la Auditoria

El siguiente detalle refleja el nmero de horas/hombre que estarn a cargo de la
ejecucin del trabajo.


21

PRESUPUESTO DE HONORARIOS

CARGO
TOTAL DE
HORAS PRESUPUESTADAS

COSTO POR HORA

TOTAL
AUDITOR 83 HORAS 5 $ 440.00
SUPERVISOR 48 HORAS 10 510.00
Total de horas 139 HORAS
Costos indirectos 150.00
Costo total $1,045.00
ACTIVIDADES
A
u
d
i
t
o
r

S
u
p
e
r
v
i
s
o
r

Total de
Horas
PLANEACION Y ORGANIZACIN DE LA AUDITORIA 39
Conocimiento del negocio 4 4 8
Identificacin de Procesos. 2 2 4
Evaluacin del Control Interno 10 8 18
Determinacin del Alcance 6 3 9

EJECUCION 71
Ejecucin de Programas de Auditoria 35 4 39
Elaboracin y Referencia de Papeles de Trabajo 5 2 7
Control de Calidad y Revision de los Papeles de Trabajo 10 15 25

INFORMES 21
Control interno y procesos claves 3 1 4
Evaluacin de Sistemas 5 3 8
Opinin de auditoria 3 6 9
TOTAL HORAS 83 48 131

22
XI. ANEXOS

1) CUESTIONARIOS DE CONTROL INTERNO UTILIZADOS PARA EVALUAR
EL RIESGO.

rea: NIVELES DE SEGURIDAD

Objetivo: Conocer los controles existentes sobre la seguridad fsica del
hardware, transmisin de datos, accesos fsicos y seguridad en casos de
emergencia.

No
Pregunta SI NO N/A Observaciones

1.

2.

3.

4.

5.

6.

7.

8.

A. Seguridad Fsica

Existe un buen nivel de seguridad en el
almacenamiento de datos?

Con cuantas computadoras cuenta la
empresa?

Cuntas de las computadoras se
ocupan especficamente para el sistema?

Existe un buen nivel de seguridad en el
almacenamiento de datos?

Se dispone con dispositivos de
proteccin de CPU y memoria central?

Se tiene sistema contra incendios?

Existen dispositivos para minimizar
efectos de daos al equipo de cmputo?

Se cuentan con medidas adecuadas de
acondicionamiento de aire
acondicionado, ventilacin, etc.

X

X

X

X

X

X

6 Computadoras

3 Computadoras


23

9.

10.

11.

12.

13.

14.

15.

16.

17.

18.

19.

20.

El equipo cuenta con seguro especfico
contra daos por causa de accidentes o
desastres naturales.

Se ha detectado algn elemento de
origen natural que pueda afectar el
centro de Procesamiento de Datos?

B. Comunicaciones

Cmo se efecta la transmisin de
datos?

Son detectados automticamente los
errores?

Existe integridad en la comunicacin de
los datos?

Se emplea comunicacin VPN?

C. Accesos lgicos

Existen perfiles de usuarios para el
acceso a terminales?

Se comparten los perfiles entre grupos
de usuarios?

Se actualizan regularmente (perfiles)?

Se conoce en forma precisa una lista
autentica de usuario autorizado con sus
derechos y asignaciones a cada funcin
del programa?

Se da seguimiento a los intentos de
violacin de accesos a las terminales?

Se utilizan programas especiales de
proteccin de terminales (bloquea ante
intentos de acceso fallido,
desconexiones, etc.)?

X

X

X

X

X

X

X

X

X

X

X

Por Internet


24

21.

22.

23.

25.

26.

27.

28.

29.

D. Accesos Fsicos

Existe acceso restringido al centro de
cmputo?

Existen mecanismos de identificacin
del personal de informtica?

Existen localizacin y sealizacin
adecuada de reas sensibles.

La ubicacin del departamento de
Informtica es independiente del resto
de departamentos?

E. Plan de Desastres

Se cuenta con un plan de desastres?

Existen planes y manuales sobre
normas de actuacin en caso de
emergencia?

Se realizan simulacros de emergencia
con el reconocimiento y prctica de las
normas establecidas?

Se cubre con este plan, todos los
elementos necesarios para garantizar la
continuidad del servicio, tras una
contingencia. Se le da mantenimiento y
actualizacin al plan?

X

X

X

X

X

X

X

X


25
Elaborado por:

Irene Mabel Huezo
FECHA:
Autorizado por:

Mario Ponce
FECHA:

Cuestionario de Control Interno

rea: Software

Objetivo: Conocer los controles establecidos sobre el uso de programas y
software, copias de respaldo, adquisicin de paquetes y base de datos.

No.

1.

2.

A. Utilidades y Software

Existen controles sobre la utilizacin
de utilitarios?
a) Existe limitacin en el nmero
de usuarios
b) Autorizacin del uso
c) Queda registrado su uso

Est separado el departamento de
sistemas, del departamento de
procesamiento de datos?

X

X

X

X


26

3.

4.

5.

6.

7.

8.

9.

10.

Se controlan las modificaciones del
software del sistema?

Estn documentadas esas
modificaciones?

Se pueden detectar modificaciones no
autorizadas?

Existe un procedimiento formal que se
debe seguir antes de que un sistema o
programa sea aceptado y puesto en
marcha?

Cuntas personas trabajan
directamente con el sistema
Informtico?

Cul es el trabajo que realizan estas
personas dentro del sistema?

Cules son las principales funciones
que realiza el sistema?

Cul es el principal objetivo de tener
el sistema dentro de la
Empresa?

X

X

X

X

X

Solo se controlan
las actualizaciones

Administra los
mdulos de:
clientes,
proveedores,
presupuestos,
pedidos,
albaranes,
facturas,
almacenes, CRM,
bancos, cajas
(TPV), pagos,
cobros, etc.

Llevar un control de
las transacciones
diarias y la
respectiva
archivacion
automatizada
optimizando tiempo
para obtener la
informacin de

27

11.

12.

13.

14.

15.

16.

Qu informes proporciona el sistema
despus de procesada la
Informacin?

Qu rea o departamento de la
empresa, dependen directamente del
sistema?

B. Copias de Respaldo (Back-
up)

Existen normas debidamente
documentadas respecto de la
obtencin de copias de seguridad?

Existe y se mantiene actualizado un
Back-up?

Se hacen copias de soporte de los
procedimientos y programas?

Con qu periodicidad?

C. Adquisicin de Paquetes

Se efecta un estudio detallado y
documentado antes de la adquisicin
de un paquete o del desarrollo de un
software internamente?

X

X

X

X

X

forma precisa.

Listado de
Clientes
Listado de
proveedores
Existencias de
Inventario
Estado de cuenta
de clientes y
proveedores
Estadstico de
ventas y compras
Cierre de Caja,
etc.

El rea de compras,
ventas e inventario.

Semanalmente.


28

17.

18.

19.

20.

21.

22.

23.

El Procedimiento de seleccin incluye:
a) Visitas a usuarios
b) Demostraciones
c) Informe de varios proveedores
d) Pruebas
e) Aprobacin del Usuario

El software cubre los aspectos legales
necesarios para su utilizacin o uso?

D. Base de Datos

Se obtiene regularmente copia de la
base de Datos?

Se chequea regularmente la base de
datos para garantizar su integridad?

Se obtiene un registro de las
terminaciones anormales de los
procesos que acceden a la base de
datos?

Existe documentacin y prueba
peridica de los procedimientos de
alteracin de la base de datos?

Se han definido correctamente las
funciones del administrador de la base
de datos?

X

X

X

X

X

X

X

Solo cuando lo
requiere la
administracin


29
Elaborado por:

Irene Mabel Huezo
FECHA:
Autorizado por:

Mario Ponce
FECHA:


rea: Polticas y Procedimientos

Objetivo: Conocer y evaluar que tipos de polticas y procedimientos de utilizan
para determinar como influyen en el control interno.

No.

1.

2.

3.

4.

5.

6.

7.

Existe una persona responsable de
evaluar y dictaminar normas en lo que
respecta a metodologas de trabajo en el
sistema?

Se han definido funciones del
administrador de base de datos?

Se han definido normas para la
realizacin de la prueba de programas?

Es adecuado el procedimiento de
seleccin del personal informtico?

Hay relacin entre los mtodos de
evaluacin de rendimientos del sistema
y las posibilidades de mejora a ste?

Existen planes para incentivar al
personal de informtica por su trabajo
realizado?

Son efectivos los informes que procesa
y produce el sistema?

X

X

X

X

X

X

X

Para el volumen de
datos que maneja la

30

8.

9.

10.

11.

12.

13.

14.

15.

16.

17.

Estn distribuidas las responsabilidades
dentro del rea de informtica?

Se ha evaluado el grado de
conocimiento del personal en las reas:
Sistemas operativos
Nuevos equipos y programas
Comunicaciones y metodologas
de anlisis y programacin.

La Administracin General considera la
importancia que tiene el estudio de los
sistemas de informacin?

Se ha establecido requerimientos de
informacin por departamento y
usuarios?

Existen cambios en los sistemas
informticos como consecuencia de la
planificacin ms que por la necesidad
operativa?

Estn planificados los servicios
externos tanto de hardware como
software?

Existe revisin del trabajo de proceso
de operacin de captura de datos por el
responsable de informtica?

Existen definidas las dependencias
funcionales en un organigrama?

Existen manuales de funciones para
cada puesto del departamento, con
suficiente nivel de comprensin?

Existen polticas establecidas para el
uso del equipo de Cmputo?

El manual del usuario esta definido de

X

X

X
X
X

X

X

X

X

X

X

X

empresa es til.

Se requieren los
conocimientos
bsicos de
computacin


31

18

19.

20.

21.

22.

23.

24.

25.

26.

27.

28.

manera clara y objetiva?

Existen controles internos para el rea
de informtica?

Existen procedimientos formales para
la operacin del sistema de cmputo.

Se actualizan peridicamente los
procedimientos?

Existen procedimientos escritos para la
recuperacin del sistema en caso de
fallas?

Se cuenta con polticas de seguridad en
relacin a sistemas y programas?

En que basa el control del sistema?

Existen polticas administrativas que
proporcionen la seguridad de que los
objetivos de implementacin de
sistemas estn claros y estn siendo
alcanzados?

Existen normas para el uso del rea de
informtica?

La empresa utiliza polticas para la
contratacin del personal?

Existe un adecuado control en cuanto a
la seguridad del Departamento y
recursos informticos en la empresa?

Cules son las medidas para garantizar
la seguridad de la informacin?

X

X

X

X

X

X

X

X

X

X

X

Acceso
restringido
Claves de
acceso

No Existen controles

No por falta de
informacin o falta de
inters al tema.
Las condiciones que
se exigen son las
requiere el puesto.

No existe
departamento
informtico pero se
cuenta como medida
de seguridad el
Back up.

32

29.

30.

31.

32.

Qu medidas de seguridad aplica la
administracin para salvaguardar los
datos y archivos que se procesan en el
sistema? Planes de Contingencias que se
ponen en prctica.
Cuentan con un rea de auditoria de
informtica? Si no por qu?

Si cuentan con un rea de auditoria de
informtica, es beneficiosa esta rea
para la entidad?

Tienen niveles de materialidad
establecidos en la empresa y cual es el
margen de error tolerable con cuentan?

X

X

El cambio de los
Pasword cada mes
por parte del
Administrador del
Sistema.

La generacin de
respaldos en winrar.
No, existen planes de
contingencias y
tampoco cuentan con
un rea de Auditoria
Informtica debido a
que la rea de
utilizacin es
pequea.

Elaborado por:

Irene Mabel Huezo
FECHA:
Autorizado por:

Mario Ponce
FECHA:


33

rea: Seguridad en el Sistema

Objetivo: Conocer y evaluar que tipos de seguridad que la institucin aplica en
el ambiente informtico y en el sistema actual.

No.

1.

2.

3.

4.

5.

6.

7.

Existen controles internos para el
acceso al sistema operativo?

Se cuenta con polticas de seguridad
en relacin a sistemas y programas?

Existe un adecuado control en
cuanto a la seguridad del
Departamento y recursos
informticos en la empresa?

Cules son las medidas para
garantizar la seguridad de la
informacin?

Qu medidas de seguridad aplica la
administracin para salvaguardar los
datos y archivos que se procesan en
el sistema? Planes de Contingencias
que se ponen en prctica.

Existe y se mantiene actualizado un
Back-up?

Se obtiene regularmente copia de la
base de Datos?

X

X

X
`

X

X

X

a) Acceso
restringido
b) Claves de
acceso

Password

Resguardo en Winrar


34

8.

9.

10.

Se cuenta con un plan de desastres?

Existe acceso restringido al centro
de cmputo?

Existen mecanismos de
identificacin del personal de
informtica?

X

X

X

Elaborado por:

Irene Mabel Huezo
FECHA:
Autorizado por:

Mario Ponce
FECHA:

2) PROGRAMAS DE AUDITORIA.

Programa de Auditoria: NIVELES DE SEGURIDAD
Cliente: Distribuidora San Andres, S.A. de C.V.
Archivo de
PTS
Perodo de Auditoria: Del 01 de Enero al 30 de noviembre de 2011

Objetivo General:
Evaluar y determinar, si en el sistema se llevan acabo las medidas de
seguridad apropiadas y permitentes que este exige y debe tener, tanto
fsicas como lgicas.
Niveles de Seguridad: La evaluacin de los niveles de seguridad implica verificar que se
tengan los controles y restricciones apropiadas segn el rol de los
usuarios y el ambiente de el rea de trabajo.
La evaluacin en este componente comprende:
Seguridad Fisica.
Seguridad Logica.
Panorama Tecnico.
Valores Parametrizados.
Pistas de auditoria.

35

No. Procedimiento Hecho
por:
Referencia
Pts
SEGURIDAD FISICA
1 Verificar que el equipo este asegurado por cualquier
contingencia que ocurra.

2 Verificar si existe un contrato de mantenimiento de los equipos y
asegurarse que cubra todos los equipos de cmputo y si dicho
mantenimiento es efectuado a tiempo.

3 Comprobar si existen bateras y realizar una prueba para verificar
el funcionamiento de las bateras.

4 Verificacin de custodia de medios extrables que son ingresados
al sistema.

5

SEGURIDAD LGICA

6 Verificar los niveles de seguridad que utiliza la empresa para
tener acceso a todos los mdulos. Y Solicite una lista autentica
de los usuarios autorizados del sistema.

7 Observe los procedimientos de acceso al sistema y realice
pruebas de acceso.

Verificar si tienen mecanismos de seguridad para evitar la
reproduccin de Informacin confidencial.

Conclusin
5 Concluya sobre el trabajo realizado y Redacte las observaciones
y hallazgos encontrados.

Observaciones:


36
Preparado: Fecha: Hoja:
Supervisado: Fecha:
ndice:
Aprobado: Fecha:

Programa de Auditoria: FUNCIONAMIENTO DEL SISTEMA
Cliente: Distribuidora San Andres, S.A. de C.V.
Archivo de
PTS

Objetivo General:
Realizar examen del funcionamiento general del sistema en funcin
de las necesidades del usuario, la eficiencia y la eficacia.
Funcionamiento: La evaluacin del funcionamiento del sistema consiste en determinar
si este cumple satisfactoriamente los objetivos para lo que ha sido
implementado o adquirido y si este se adapta a las necesidades de los
usuarios y si posee la capacidad de brindar informacin confiable y
de manera eficiente.
La evaluacin en este componente comprende:
Origen de datos.
Entrada de datos.
Proceso de datos.
Salida de informacin.

por:
Referencia
Pts
1 Elabore una narrativa detallando el proceso de alimentacin de
los datos de las terminales y la manera en cmo se valida la
informacin, detallando los niveles de autorizacin y las
personas que intervienen en el proceso.

2 De un reporte de al menos 5 transacciones, verifique que en estos
se documente apropiadamente el origen y entrada de los datos
para los siguientes procesos.

Pedidos a proveedores,
Autorizacin del pedido.
Que los datos del pedido coincidan con los valores
autorizados.
Existencia de enmiendas.


37
por:
Referencia
Pts
Cotizaciones para pedidos.

Recepcin de Inventarios (entradas de Stock) y .
Que el ingreso del inventario coincida con los valores del
pedido respectivo.
Que la fecha de la transaccin coincida con la fecha de
los documentos.
Que la documentacin del ingreso a inventario este
debidamente autorizada.

Facturas:
Que si se efectuaron cotizaciones estas se documenten.
Monto de las operaciones.
Cantidades.
Condiciones de crdito segn los criterios de la
administracin.
3 Compruebe mediante pruebas de adicin de datos si el sistema
efecta los clculos apropiados, para las ventas, compras y
control de Existencias de Inventario.

4 Verifique que los reportes generados, sean ntegros en
informacin segn los requerimientos del usuario as como que
la informacin no se pierda en la exportacin de los reportes a
los distintos tipos de archivos disponibles.

5 Verifique si el sistema emite reportes vinculados con la captura
de datos fuente y con qu periodicidad se emiten.

6 Corrobore que el sistema no permita duplicar transacciones de
ventas o compras.

7 Verifique si la empresa posee un Software de antivirus y si este
se encuentra debidamente actualizado.

Conclusin

Observaciones:


38

Supervisado: Fecha:
ndice:
Aprobado: Fecha:

Programa de Auditoria: MARCO LEGAL Y POLITICAS
Cliente: Distribuidora San Andrs, S.A. de C.V.
Archivo de
PTS

Objetivo General:
Realizar examen del cumplimiento apropiado de las leyes y
regulaciones que incidan en el uso apropiado del sistema.
Documentar la existencias de polticas y procedimientos, as como el
cumplimiento de estas.
Marco Legal ,
Cumplimiento De
Polticas y
Procedimientos:
La evaluacin de este componente permite establecer si la entidad
cuenta con un mbito legal adecuado, as como verificar que tan
efectivo es el sistema de control en su aplicacin.
Incluye el examen de:
Leyes y reglamentos aplicables.
Controles administrativos.
Normas y procedimientos.
Manual de usuarios.

por:
Referencia
Pts
1 Elabore una narrativa describiendo el proceso de la
administracin y aplicacin de polticas en el uso y manipulacin
del sistema y los equipos de computo.

2 Elaborar una cdula en la cual se resuman el total de las Polticas
y Procedimientos a evaluar dentro de la entidad.

3 Verificar que exista una segregacin de funciones del personal
que interviene el sistema, como prevencin de fraudes y errores.

4 Obtenga un reporte del registro y listado de inventario y
verifique que este cumpla con los siguientes requisitos (segn
aplique):
1. Un encabezado que identifique el ttulo del registro; nombre


39
por:
Referencia
Pts
del contribuyente, perodo que abarca, NIT y NRC;
2. Correlativo de la operacin;
3. Fecha de la operacin;
4. Nmero de Comprobante de Crdito Fiscal, Nota de Crdito,
Nota de Dbito, Factura de Consumidor Final, documento de
sujeto excluido a que se refiere el artculo 119 de ste Cdigo,
Declaracin de Mercanca o Formulario Aduanero
correspondiente, segn el caso;
5. Nombre, razn social o denominacin del proveedor;
6. Nacionalidad del proveedor;
7. Descripcin del producto comprado, especificando las
caractersticas que permitan individualizarlo e identificarlos
plenamente;
8. Fuente o referencia del libro de costos de retaceos o de
compras locales de donde ha sido tomado el costo
correspondiente, o en su caso la referencia de la hoja de costos
o informe de donde se ha tomado el costo de produccin de las
unidades producidas;
9. Nmero de unidades que ingresan;
10. Nmero de unidades que salen;
11. Saldo en unidades;
12. Importe monetario o precio de costo de las unidades que
ingresan;
13. Importe monetario o precio de costo o venta, segn el caso de
las unidades que salen; y,
14. Saldo monetario del importe de las unidades existentes, a
precio de costo.
Adicionalmente verifique si el sistema es capaz de aceptar
ajustes a los inventarios por descuentos, rebajas o incrementos en
los precios.
5 Verifique la existencia de manuales de Usuario, Instalacin y
Manual Tcnico para el Sistema.

Conclusin

Observaciones:


40

Supervisado: Fecha:
ndice:
Aprobado: Fecha:

Programa de Auditoria: PLANES DE CONTINGENCIA
Cliente: Distribuidora San Andrs, S.A. de C.V.
Archivo de
PTS

Objetivo General:
Comprobar que los planes de contingencias sean apropiados y que se
garantice la seguridad y confidencialidad de la informacin.
Planes de Contingencia:
Consiste en planes implementados por la entidad para
salvaguardar la seguridad y confidencialidad de la informacin y
los equipos. En este componente se verifica que se posean planes
de respaldo de informacin y Custodia de los mismos.

por:
Referencia
Pts
1 Verifique que se defina una poltica apropiada de planes de
contingencia y evalu si esta se adhiere a las necesidades de la
entidad.

2 Compruebe si se cumplen los periodos de creacin de las copias
de seguridad obteniendo un listado del ultimo ao de los backups
realizados y las fechas en las que se efectuo.

3 Verifique el tipo de informacin sujeta a backup, considerando si
es apropiada e integra.

4 Elabore una narrativa del proceso de las copias de seguridad e
indentifique quien esta a cargo de la custodia de la informacin y
si existen restricciones apropiadas de acceso.

Conclusin


41
Observaciones:

Supervisado: Fecha:
ndice:
Aprobado: Fecha:

3) CEDULA DE MARCAS DE AUDITORIA.

AUDITORES DE SISTEMAS IP S.A. DE C.V.
REF:
DISTRIBUIDORA SAN ANDRES.
AUDITORIA DE SISTEMA INFORMTICO DE FACTURACIN E INVENTARIOS
& = Obtenido de Comprobacin fsica de los equipos y ubicaciones

= reas segn organigrama

C/G = Carta de Gerencia

A/G = Archivo General

= Cumplimiento Verificado

= Verificacin fsica.

= Datos Obtenidos de Reportes del Sistema

= Verificado con el Sistema

= Verificado contra documento

= Clculos Verificados

42

= Documentacin no apropiada.

= Comentario del personal

= Verificado contra Software

~ = Verificar contra documento adjunto.

Memorandum de Planeacion 2011

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Memorandum de Planeacion 2011

Transféré par

Droits d'auteur :

Formats disponibles

[AUDITORES IP, S.A. DE C.V.

] Memorndum de Planeacin Auditoria de Sistemas

Vous aimerez peut-être aussi