Memorandum de Planeacion 2011

5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com

http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 1/44

[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas

AUDITORIA DE SISTEMAS

Ciudad Universitaria | Ciclo II 2011

UNIVERSIDAD DE EL SALVADOR

FACULTAD DE CIENCIAS ECONÓMICAS ESCUELA DE CONTADURÍA PUBLICA

TEMA: “DISTRIBUIDORA SAN ANDRES” MEMORANDUM DE PLANEACION AUDITORIADE SISTEMAS.

GRUPO TEORICO: 03

INTEGRANTES:

MARIO ERNESTO PONCE PERALTA PP05033IRENE MABEL HUEZO MELARA HM03033




I. TERMINOS Y COMPROMISOS DE LA AUDITORIA ................................................................................. 1

1) OBJETIVO GENERAL. ............................................................................................................................. 1

II. INFORMACIÓN GENERAL DE LA ENTIDAD. .......................................................................................... 2

1) ANTECEDENTES: ................................................................................................................................... 2 2) ESTRUCTURA ORGANIZACIONAL: ......................................................................................................... 3 3) POLITICAS Y PROCEDIMIENTOS: ........................................................................................................... 4

III. INFORMACIÓN PRELIMINAR DEL SISTEMA ......................................................................................... 4

1) MARCO LEGAL: ..................................................................................................................................... 5 2) PANORAMA TECNICO: .......................................................................................................................... 6

IV. NIVELES DE SEGURIDAD DEL SISTEMA ................................................................................................ 8

V. VALORES PARAMETRIZABLES DEL SISTEMA ........................................................................................ 9

VI. ORIGEN Y ENTRADA DE DATOS. ........................................................................................................ 10

VII. PROCESAMIENTO DE DATOS. ....................................................................................................... 10

VIII. PISTAS DE AUDITORIA. ................................................................................................................. 11

IX. DETERMINACION DE AREAS DE RIESGO ............................................................................................ 11

X. ADMINISTRACION DE LA AUDITORIA ................................................................................................ 19

1) ASIGNACION DEL PERSONAL. ............................................................................................................. 19 2) CRONOGRAMA DE ACTIVIDADES, FECHAS CLAVE Y PRESUPUESTOS DE TIEMPO. .............................. 19

XI. ANEXOS ............................................................................................................................................ 22

1) CUESTIONARIOS DE CONTROL INTERNO UTILIZADOS PARA EVALUAR EL RIESGO. ............................. 22 2) PROGRAMAS DE AUDITORIA. ............................................................................................................. 34 3) CEDULA DE MARCAS DE AUDITORIA. ................................................................................................. 41

IINNDDIICCEE GGEENNEER R AALL




II.. TTEER R MMIINNOOSS Y Y CCOOMMPPR R OOMMIISSOOSS DDEE LL A A A AUUDDIITTOOR R II A A

1) OBJETIVO GENERAL.

Emitir una opinión sobre la efectividad y razonabilidad de las cifras e información

generadas por el sistema de Control de Inventarios y Facturación Trey Fact, con base a

procedimientos de auditoria determinados, considerando el control interno y la aplicación

de las normas legales y profesionales.

2) OBJETIVOS ESPECIFICOS.

Evaluar los niveles de seguridad y sus controles a fin de determinar las áreas

susceptibles de riesgo.

Evaluar la seguridad lógica y física para determinar si se establecen controles

apropiados para salvaguardar la integridad, oportunidad y fiabilidad de la

información procesada y contenida en el sistema.

Emitir un informe a fin de señalar los hallazgos encontrados respecto a las

debilidades en los controles internos y la fiabilidad de la información generada por

el sistema.

3) ALCANCE:

El alcance del trabajo incluirá la revisión de los procesos, medios de acceso y entrada de

datos, niveles de seguridad e información generada por el sistema.

a) Las áreas de las que se ocupará la Auditoria de Sistemas serán:

Evaluacion de Niveles de Seguridad

Revisión de Controles Generales

Evaluación de parámetros




Evaluación de Planes de Contingencias

Revisión del Sistema Operativo

Revisión del ciclo de vida de las operaciones

4) RESPONSABILIDAD DE LA FIRMA

Hemos sido contratados por la Junta General de Accionistas de la Sociedad

“DISTRIBUIDORA SAN ANDRES, S.A. DE C.V.” para llevar a cabo la auditoria de Sistemas

Informático, para el periodo del 01 de enero al 30 de Noviembre de 2011, para expresar

una opinión sobre la Seguridad lógica del sistema, la efectividad del funcionamiento, la

generación de Estados Financieros, y la razonabilidad y presentación de los mismos.

Se efectuara el trabajo basado en las Normas Internacionales de Auditoria, las cuales

requieren la planeación y ejecución de la auditoria para obtener una seguridad razonable y

evidencia suficiente que provean una base para expresar nuestra opinión.

5) CONTENIDO DE LOS INFORMES

a) Informar a las partes interesadas sobre la Eficiencia y seguridad del sistema a

Auditar.

b) Emitir informes con los resultados de la auditoria conteniendo observaciones,

criterios, causas, efectos, y recomendaciones de las evaluaciones preliminares de Control

Interno, y acerca de los hallazgos encontrados.

c) Emitir informe final el cual contendrá:

Informe de auditoria con los resultados de esta y las conclusiones del examen.

IIII.. IINNFFOOR R MM A ACCIIÓÓNN GGEENNEER R A ALL DDEE LL A A EENNTTIIDD A ADD..

1) ANTECEDENTES:

Distribuidora San Andrés, surge como una Sociedad Anónima inscrita en el registro deComercio 15 de Junio de 2005 con un capital Constitutivo de $ 12,000 Dólares de LosEstados Unidos de América.




La finalidad de la empresa es la compra y venta de Mobiliario para Oficinas.

La empresa es administrada por Oscar René López, Accionista Mayoritario quien cuentacon personal administrativo de apoyo como sigue:

Asistente administrativa Encargada de Ventas y Cobros 4 Vendedores, 1 quien es el gerente de Ventas y 3 que Gestionan ventas por

medio de la atención directa a los posibles clientes que visitan el local.

Proveedores de equipos Informático y accesorios:

STB El Salvador, S.A. de C.V. Equipos Electrónicos Valdés, S.A. de C.V.

Mantenimiento del software:

Asistencia remota por medio del Desarrollador del Sistema.

Soporte técnico:

STB El Salvador, S.A. de C.V.

2) ESTRUCTURA ORGANIZACIONAL:

Organización de la Administración y Operatividad:

La Entidad será gobernada por medio de una Junta Directiva, cuyo presidente y a su vezGerente General es el Sr. Oscar René López. En total la empresa cuenta con 17 personasempleadas.

Organigrama:




3) POLITICAS Y PROCEDIMIENTOS:

POLITICAS RELATIVAS AL SISTEMAS

1. Asignar un perfil de usuario y una contraseña única de acceso según el nivel que

ocupe el usuario2. Restringir el acceso a áreas que no competen según el rol de cada usuario.3. Sellar de procesado todos los documentos después de complementar el proceso de

trascripción de datos para evitar duplicidad de entradas.2. Que los archivos dañados que contienen información confidencial se destruyan de

manera apropiada.3. Se tiene un mantenimiento preventivo cada 3 meses para los equipos de computo.4. Los equipos de Informática se incluyen entre los bienes asegurados por la entidad para

mitigar riesgos.5. Realizar Copias de Seguridad de información procesada al final de cada Periodo

mensual.

IIIIII.. IINNFFOOR R MM A ACCIIÓÓNN PPR R EELLIIMMIINN A AR R DDEELL SSIISSTTEEMM A A

NOMBRE DEL SISTEMA: TREY-FACT.

UTILIDADES: Gestión Comercial (Ventas, Compras, Inventarios)

Junta General deAccionistas

Gerente General

Grente de Ventas

Vendedores

Gestor de Cobros

Despacho yBodegas

Bodeguero

Transportistas

Contabilidad yAdministracion.

Recepcion

Contador

Encargado deCompras eInventario




VERSION: 4.76.00 R6

DESARROLLADOR: Treyder Informatica, S.L.

El sistema TREY-Fact, es una aplicación de distribución gratuita y diseñada para lasPymes, “Distribuidora San Andrés”, decidió adoptar este sistema como una herramienta dela mejora en la eficiencia del manejo de la información operativa de la entidad.

1) MARCO LEGAL:

En lo concerniente al cumplimiento de normas y regulaciones legales, al utilizar un sistema

informático para procesar la información relativa a la facturación y control de inventarios

observamos que principalmente se aplican las siguientes regulaciones:

Leyes Fiscales:

Con el objeto de un buen cumplimiento en lo relativo a la parte fiscal, tanto formal como

sustantiva se hace necesario que una entidad cumpla con la obligación de declarar y pagar

los diferentes impuestos estipulados, tanto como la ley de la renta, ley de IVA, por lo que

un sistema informático deberá garantizar el interés fiscal brindando información

compatible con tal objetivo. El código tributario establecen las distintas disposiciones que

garantizan los fines económicos del estado. Por lo que, como el sistema se encarga de

ingresar información relativa a la emisión de facturas y documentos legales en lasoperaciones de transferencia de bienes y prestación de servicios, el código tributario

establece los requerimientos mínimos de información que deberá contener los documentos

de ventas (comprobantes de Crédito Fiscal, Facturas Consumidor Final, Notas de Crédito y

Debito, Comprobantes de Retención, etc.) y los reportes de control de inventario.

Ley Del Impuesto a La Transferencia de Bienes Muebles y a la

Prestación de Servicios:

Esta ley establece los distintos tipos de impuesto aplicables a las circunstancias o bienesparticularmente descritos en la misma, ante lo cual, el sistema deberá ser capaz de

armonizar adecuadamente las operaciones y procesamiento de datos que realiza con las

diferentes formas que la ley describe como tipos de aplicación de la tasa impositiva.




Leyes y Reglamentos Específicos:

Ley de Fomento y Protección a la Propiedad Intelectual.

Esta ley explica y establece los lineamientos de la protección, uso y difusión de bienes con

propiedad intelectual.

2) PANORAMA TECNICO:

a) Lenguaje de Programación y Base de Datos.

Debido a que el sistema es de distribución gratuita y difundida por internet, no nos fue

posible tener contacto directo con el personal encargado del desarrollo; no obstante a

través de una breve descripción del sistema pudimos obtener información técnica relativa

a esta aplicación:

Trey-Fact es una aplicación de gestión comercial desarrollada bajo un lenguaje de

programación de 32 bits bajo la plataforma de VISUAL DBase PLUS, diseñada para

sistemas Windows desde la edición 2000 hasta el actual Window 7, posee una resolución

predeterminada del área de trabajo de 1024x768 pixeles.

b) Forma de Operación del Sistema

El objetivo a conseguir es el de que la empresa, a través de esta aplicación, les ofrezca asus clientes un mejor servicio, y por consiguiente sea más competitiva en el mercado,optimizando los procesos de gestión comercial en ventas, compras y control deinventarios.

Esta aplicación, está preparada para crecer en función de las necesidades de la entidad,partiendo de un sistema Stand Alone y llegando a sistemas de RED LOCAL óMULTIPUESTO.

El formato de Facturas, Albaranes, Tickets, Recibos, Presupuestos y Etiquetas, se puedepersonalizar para cada caso concreto, según las necesidades. Los formatos que incluye debase esta aplicación están estructurados en función de unos modelos estándar. Si en dadocaso el usuario tiene necesidades específicas en los formatos de estos documentos podrámodificar dichos modelos poniéndose en contacto con el Departamento de Soporte deldesarrollador del sistema.




PRINCIPALES CARACTERISTICAS DEL SISTEMA:

Gestión e informes en Dólares, Euros, Pesetas y en cualquier tipo de moneda.

Copias de seguridad. (Compresión automática)

Múltiples formas de búsqueda en todos los ficheros de introducción de datos. Salvaguardar la confidencialidad de los datos, se puede restringir el acceso a la

aplicación mediante claves de seguridad por el usuario y por empresas.

Permite acceder a otros ficheros mientras se realiza otra tarea (Multitarea).

Compatibilidad para el Uso del teclado y Ratón.

Interfaz con Sistema de Contabilidad (distribuido por el mismo desarrollador).

Mantenimientos.

Gestión de Compras

Gestión de Ventas. Generación de informes.

Utilidades

Ayuda y manuales de usuario.

Orden predefinido en búsquedas.

Comisiones de Agentes y liquidaciones de las mismas.

Control, generación e impresión de códigos de barras.

Precios y descuentos específicos sobre Clientes, Zonas.

Configuración de series para facturas exentas de IVA.

Liberación de pedidos (Compra) albaranes o facturas.

Liberación de presupuestos (Venta) en pedidos, albaranes, facturas o tickets.

Liberación de pedidos (Venta) en albaranes, facturas o tickets.

Generación de facturas sobre albaranes.

Entrada manual de vencimientos.

Listados por pantalla, impresora y generación de archivos en PDF y otros formatos.

Filtros en búsquedas. Organización y configuración empresa mediante series.

c) Manuales Técnicos y de Usuario




El sistema cuenta con manuales de Instalación y Usuario, no obstante el manual técnico

no está a disposición de los usuarios y no es de libre distribución a efectos de Derechos de

autor.

II V V .. NNII V V EELLEESS DDEE SSEEGGUUR R IIDD A ADD DDEELL SSIISSTTEEMM A A

El sistema TREY-FACT, es un sistema informático diseñado con el fin de contribuir a la

eficiencia operativa de las Micro y Pequeñas empresas, por lo que su uso está enfocado al

uso de entidades con una organización no compleja y con cierto grupo de actividades

Relacionadas o vinculadas. En virtud de esta situación el sistema está diseñado para un

usuario Supervisor que se encarga de operar y configurar todos los elementos del mismo

quien ingresa desde la aplicación instalada en el Sistema Operativo, a través de este

usuario se pueden crear nuevos perfiles enfocándolos a la función que este realizara y los

accesos y restricciones que el Administrador considere. El usuario podrá crear una

contraseña de acceso para proteger la manipulación de la información por parte de

personas ajenas a la entidad y asignar a los demás usuarios claves para el ingreso del

sistema.

Como el sistema es de distribución gratuita, solamente es posible obtener los archivos

ejecutables y no los fuente.

Distribuidora San Andrés en función de la naturaleza de las funciones ha creado tres

distintos usuarios que se encargan respectivamente de los siguientes roles:

Administrador-Supervisor (asignado al Gerente Administrativo quien se encarga de

dar mantenimiento del sistema y asignar los roles de los usuarios con menor nivel

de acceso)

Vendedor (quien se le asigna las actividades y los accesos solamente a lasfunciones de venta y facturación)

Compras e Inventario (usuario encargado de ingresar pedidos, recibir e ingresar

artículos al inventario y dar mantenimiento a este).




V V .. V V A ALLOOR R EESS PP A AR R A AMMEETTR R IIZZ A ABBLLEESS DDEELL SSIISSTTEEMM A A

Durante la Ejecución de la Auditoria deberá verificarse la existencia de alguna opinión de

parametrización del sistema, considerando lo siguiente:

a) Quienes están autorizados a parametrizar el sistema.

Según Las especificaciones e indicaciones expresadas en el manual de usuario, los

parámetros serán autorizados por el administrador del sistema.

b) Como se restringe dicho acceso.

La única forma restrictiva del acceso es a través del establecimiento de contraseña

de acceso asignada por el administrador.

c) Que elementos están parametrizados.

Ente los Valores parametrizados identificados según nivel de Acceso:

ADMINISTRADOR

Código de Usuario.

Información General de Empresas.

Configuración de Códigos identificativos de clientes proveedores y

productos.

Moneda y Formato de las cifras.

Tipos de impuestos y regímenes fiscales aplicables.

Cuentas vinculantes a Contabilidad.

Rutas de series para Interfaz de contabilidad.

Información Deseada en los informes.

Opciones de búsqueda.

Información presentada en pantalla en las consultas.

VENDEDOR y ENCARGADO DE COMPRAS E INVENTARIO

Información de usuario.

Acceso restringido a las aplicaciones.

Información de consultas.




Formato de informes.

V V II.. OOR R IIGGEENN Y Y EENNTTR R A ADD A A DDEE DD A ATTOOSS..

Se deberá verificar el origen y proceso que se realizan en el sistema para la toma e

ingreso de datos. A lo cual TREY-FACTU, está diseñado para obtener datos

documentalmente, en el caso de los pedidos, facturas, albaranes y ticket y por medios

mixtos los datos relativos a clientes, productos y proveedores.

La entrada de estos, es de forma manual y permite la asignación de códigos de barra para

lectura electrónica.

V V IIII.. PPR R OOCCEESS A AMMIIEENNTTOO DDEE DD A ATTOOSS..

Verificar el proceso que se realizan en el sistema fuera de las pantallas de captura (cierres,

actualizaciones o cargas de datos), a fin de determinar si se le da seguimiento al

procesamiento establecido a evaluar lo siguiente:

a) Verificar los cálculos de mayor importancia, con base a los datos con que fue

alimentado.

Los cálculos que mayor importancia desempeña el sistema, son los de información de

ventas, pedidos, ingresos y salidas de inventario, así como el reporte de existencias.

Los procesos clave que intervienen en el sistema son: Proceso de Ventas.

Compras.

Facturación y Cobro.




V V IIIIII.. PPIISSTT A ASS DDEE A AUUDDIITTOOR R II A A..

Determinar que controles de registro de pistas de auditoría se han implementado en la

aplicación.

a) Evaluar los registros de auditoria de seguridad identificando usuario, fecha, hora,

Terminal y tipo de evento para lo siguiente:

Intentos de acceso fallidos al sistema

Accesos exitosos al sistema

Salidas del sistema

b) Verificar la existencia de registros de eventos para las distintas opciones demantenimiento de datos en la aplicación, que muestren el usuario, fecha, hora,

Terminal, pantalla u opción utilizada, identificación del registro involucrado y

campos modificados, para lo siguiente:

Proceso de adición de registros

Modificación de registros

Eliminación de registros

II X X.. DDEETTEER R MMIINN A ACCIIOONN DDEE A AR R EE A ASS DDEE R R IIEESSGGOO

La valoración de los riesgos se basa en procedimientos para obtener la información

necesaria para tal propósito y la evidencia obtenida durante la auditoría. Es importante en

toda organización contar con una herramienta, que garantice la correcta evaluación de los

riesgos a los cuales están sometidos los procesos y actividades de una entidad y por

medio de procedimientos de control se pueda evaluar el desempeño de la misma. Por

consiguiente, la Auditoría debe funcionar como una actividad para agregar valor y mejorarlas operaciones de una organización, así como contribuir al cumplimiento de sus objetivos

y metas; aportando un enfoque sistemático y disciplinado para evaluar y mejorar la

eficacia de los procesos de gestión de riesgos, control y dirección.

Viendo la necesidad en el entorno empresarial y teniendo en cuenta que, una de las

principales causas de los problemas dentro de los subprocesos es la inadecuada previsión




de riesgos informáticos se hace necesario entonces estudiar los Riesgos que pudieran

aparece en cada subproceso de Auditoría, esto servirá de apoyo para prevenir una

adecuada realización de los mismos.

Del proceso de análisis y valoración del riesgo en el sistema, podemos identificar los

siguientes:

MATRIZ DE RIESGO

ÁREARIESGO CLASIFICACION

ESTRATEGIA o

CONTROL

IDENTIFICADO

CRITERIO

HARDWARE

Amenazas al

sistema por:

Seguridad

Física

Falta de

Dispositivos para

minimizar daños

al equipo

Alto

No existen

dispositivos

para la

prevención de

daños al

equipo

Es necesario el

uso de

dispositivos

que

prevengan los

daños en el

equipo.

Comunicacione

s

La transmisión de

la comunicación

no segura Alto

Para

comunicarse se

utiliza el

Internet y no

se usan

procedimientos

especiales de

transmisión de

información

Es importante

que la entidad

cuente con

procedimien-

tos de

transmisión de

información

seguros y

confiables.

Acceso lógico

No se cuente con

acceso restringido Medio

No se da

seguimiento al

acceso al

Es de vital

importancia

que se de





ESTRATEGIA o

CONTROL

IDENTIFICADO

CRITERIO

de los empleados

al sistema

sistema, pero

el acceso es

dependiendo el

cargo del

empleado con

su respectiva

clave de

acceso.

seguimiento al

histórico de

accesos al

sistemas asi

como si lo

hacen a horas

no laborales

aunque estos

tengan clavesde acceso

parametriza-

das con

acceso

restringido de

la información.

Accesos Físicos

Que no secuenten con

planes de

señalización de

áreas sensibles o

la debida

asignación de

responsabilidades

del personal que

manipulara el

sistema

Alto

No se cuenta

con un plan, nipolíticas que

relacionen

estos aspectos.

La entidad

debe deformular

normas y

políticas que

contribuyan a

la seguridad y

a la respectiva

responsabili-

dad del

personal

Planes de

Desastres Medio

No cuentan

son ningún

Que la

entidad cuente





ESTRATEGIA o

CONTROL

IDENTIFICADO

CRITERIO

Que la entidad no

cuente con planes

contra desastres

plan o

estrategia

contra

desastres,

únicamente

seguro contra

daños.

con un plan de

contingencias

como

mantenimiento

preventivo

además del

Seguros

contra

desastres.

SOFTWARE Amenazas al

sistema por:

Utilidades y

Software

Que no existan

controles en la

utilización desoftware y

aprobación del

sistema

Medio

A pesar que no

existe control

en la utilización

de programas

utilitarios

sensibles, la

aprobación delsistema y sus

actualizacio-

nes son

realizadas por

autorización de

la Gerencia

Es importante

que se limite

el acceso de

programas

que se puedan

prestar a la

modificaciónde los datos

del sistema sin

dejar rastro

alguno.

Copias de

Respaldo

Falta de

Respaldos de la

información

Bajo

Aunque no se

encuentran

plasmadas

normas que

obliguen al

personal

La entidad

debe tener

documentado

los

procedimiento

s del personal.





ESTRATEGIA o

CONTROL

IDENTIFICADO

CRITERIO

involucrado de

realizar

respaldos ,

estos se hacen

semanalmente

Base de Datos

Que no se cuenta

con una

integridad en laBase de Datos

Medio

Se realizan

actualizaciones

de la base de

datosperiódicamente

, pero no se

cheque o se

audita

Es de benefio

para la

entidad y los

usuarios de lainformación

que cuente

con una

integridad

POLITICAS Y

PROCEDIMI-

ENTOS

Amenazas en el

control interno

en :

Mala selección

de personal que

manipulara el

sistema

informático.

Medio Al contratar al

personal se le

exige

conocimien-tos

fundamenta-

les de

computación,

las que

requiera el

cargo.

La entidad

debe poseer

perfiles de los

puestos.

Que los

informes que

produce el

sistema no sean

los requeridos

Bajo Son de

satisfacción de

los usuarios.

El formato de

los informes

debe estar

actualizado





ESTRATEGIA o

CONTROL

IDENTIFICADO

CRITERIO

según la

exigencia del

usuario.

No exista una

organización de

funciones de los

miembros de la

entidad

Bajo

Las funciones

del personal

esta definida y

estructurada

por medio de

unorganigrama

La

organización

contribuye al

orden lógico

de las

funciones delos miembros

Que no se

cuente con

manuales de

usuario, técnicos

y operativos.

Bajo

El Sistema

cuenta con su

respectivo

manual de

funciones.

Es necesario

que los

manuales sean

proporciona-

dos a los

usuarios para

que facilite la

Manipularaci-

on del sistema

y evaluar lo ya

ejecutado. Si

hay personal

nuevo es

importante

que se le

brinden los

manuales.

SEGURIDAD

EN EL

Que la

administraci-ón Medio

Solo

generación de

Es

indispensable





ESTRATEGIA o

CONTROL

IDENTIFICADO

CRITERIO

SISTEMA no cuente con

medidas para

salvaguardar

los datos y

archivos

respaldos en

zip.

que la

administra-

ción cuente

con medidas

de

salvaguarda

como el

guardar

archivos enmedios

extraíbles y

guardados en

cajas de

seguridad y

fuera del lugar

de trabajo.

Que no setenga certeza

de integridad

de los datos

procesados en

el sistema

AltoSe realizan

actualizacio-

nes pero no se

le ha

practicado una

auditoria al

sistema desde

su

implantación

La entidaddebe aplicarle

auditorias al

sistema actual

para mayor

seguridad en

la información

que se

procesa y

extrae.




Para la evaluación de los riesgos se tomaron las siguientes escalas para categorizarlos en

alto, medio o bajo.




X X.. A ADDMMIINNIISSTTR R A ACCIIOONN DDEE LL A A A AUUDDIITTOOR R II A A

1) ASIGNACION DEL PERSONAL.

El personal que se asigna a la actividad de la ejecución de la auditoria y supervisión del

trabajo, es el siguiente:

Nombre Cargo

Irene Mabel Huezo Melara Auditor Junior.

Mario Ernesto Ponce Auditor Senior.

A continuación se presenta una descripción de las funciones interrelacionadas, que el

equipo profesional llevará a cabo durante la ejecución de la auditoria en lo que respecta al

Estudio y Evaluación del Control Interno y al proceso de Planeación de la auditoria.

El Br. Mario Ponce, Coordinador y Ejecutor, tendrá el compromiso de coordinar los

servicios y de mantener una adecuada comunicación con la administración de la

institución, asuntos como evaluación sobre la suficiencia y oportunidad de la información y

calidad de los informes; observación y recomendaciones diseñadas para mejorar reportesoperacionales, así como informar asuntos de sobre importancia a la Junta Directiva.

La Br. Irene Huezo se encargara de la evaluación del control interno, ejecución de las

pruebas, redacción de los hallazgos y observaciones de la auditoria.

2) CRONOGRAMA DE ACTIVIDADES, FECHAS CLAVE Y PRESUPUESTOS

DE TIEMPO.

Las fechas en las cuales serán entregadas las cartas y los informes son las que a

continuación se detallan; las cuales han sido establecidas tomando en consideración el

tiempo para realizar la auditoria del sistema SIC CONTA correspondiente en el año 2011.




FECHAS CLAVES-Semanas

ACTIVIDADES PRINCIPALES Oct-11 Nov-11 Dic-11

1a 2a. 3a. 4a. 1a 2a. 3a. 4a. 1a 2ª. 3a. 4a.

Conocimiento del Negocio y sistema

Memorando de Planeación

Evaluacion de Control Interno

Ejecucion de la Auditoria

Informe de Hallazgos y Recomendaciones.

Discusión del informe con la Gerencia.

Informe de la Auditoria

El siguiente detalle refleja el número de horas/hombre que estarán a cargo de laejecución del trabajo.




PRESUPUESTO DE HONORARIOS

CARGO

TOTAL DE

HORAS PRESUPUESTADAS COSTO POR HORA TOTAL

AUDITOR 83 HORAS 5 $ 440.00

SUPERVISOR 48 HORAS 10 510.00

Total de horas 139 HORAS

Costos indirectos 150.00

Costo total $1,045.00

ACTIVIDADES A u d i t o r

S u p e r v i s o r

Total de

Horas

PLANEACION Y ORGANIZACIÓN DE LA AUDITORIA 39

Conocimiento del negocio 4 4 8

Identificación de Procesos. 2 2 4

Evaluación del Control Interno 10 8 18

Determinación del Alcance 6 3 9

EJECUCION 71

Ejecución de Programas de Auditoria 35 4 39

Elaboración y Referencia de Papeles de Trabajo 5 2 7

Control de Calidad y Revision de los Papeles de Trabajo 10 15 25

INFORMES 21

Control interno y procesos claves 3 1 4

Evaluación de Sistemas 5 3 8

Opinión de auditoria 3 6 9

TOTAL HORAS 83 48 131




X XII.. A ANNEE X XOOSS

1) CUESTIONARIOS DE CONTROL INTERNO UTILIZADOS PARA EVALUAR

EL RIESGO.

Área: NIVELES DE SEGURIDAD

Objetivo: Conocer los controles existentes sobre la seguridad física delhardware, transmisión de datos, accesos físicos y seguridad en casos deemergencia.

NoPregunta SI NO N/A Observaciones

1.

2.

3.

4.

5.

6.

7.

8.

A. Seguridad Física

¿Existe un buen nivel de seguridad en elalmacenamiento de datos?

¿Con cuantas computadoras cuenta laempresa?

¿Cuántas de las computadoras seocupan específicamente para el sistema?

¿Existe un buen nivel de seguridad en elalmacenamiento de datos?

¿Se dispone con dispositivos deprotección de CPU y memoria central?

¿Se tiene sistema contra incendios?

¿Existen dispositivos para minimizarefectos de daños al equipo de cómputo?

Se cuentan con medidas adecuadas deacondicionamiento de aireacondicionado, ventilación, etc.

X

X

X

X

X

X

6 Computadoras

3 Computadoras




9.

10.

11.

12.

13.

14.

15.

16.

17.

18.

19.

20.

El equipo cuenta con seguro específicocontra daños por causa de accidentes odesastres naturales.

¿Se ha detectado algún elemento deorigen natural que pueda afectar elcentro de Procesamiento de Datos?

B. Comunicaciones

¿Cómo se efectúa la transmisión dedatos?

¿Son detectados automáticamente loserrores?

¿Existe integridad en la comunicación delos datos?

¿Se emplea comunicación VPN?

C. Accesos lógicos

¿Existen perfiles de usuarios para elacceso a terminales?

¿Se comparten los perfiles entre gruposde usuarios?

¿Se actualizan regularmente (perfiles)?

¿Se conoce en forma precisa una listaautentica de usuario autorizado con susderechos y asignaciones a cada funcióndel programa?

¿Se da seguimiento a los intentos deviolación de accesos a las terminales?

¿Se utilizan programas especiales deprotección de terminales (bloquea anteintentos de acceso fallido,desconexiones, etc.)?

X

X

X

X

X

X

X

X

X

X

X

Por Internet




21.

22.

23.

25.

26.

27.

28.

29.

D. Accesos Físicos

¿Existe acceso restringido al centro decómputo?

¿Existen mecanismos de identificacióndel personal de informática?

¿Existen localización y señalizaciónadecuada de áreas sensibles.

¿La ubicación del departamento deInformática es independiente del restode departamentos?

E. Plan de Desastres

¿Se cuenta con un plan de desastres?

¿Existen planes y manuales sobrenormas de actuación en caso deemergencia?

¿Se realizan simulacros de emergenciacon el reconocimiento y práctica de lasnormas establecidas?

¿Se cubre con este plan, todos loselementos necesarios para garantizar lacontinuidad del servicio, tras unacontingencia. Se le da mantenimiento yactualización al plan?

X

X

X

X

X

X

X

X




Elaborado por: Irene Mabel Huezo

FECHA:

Autorizado por: Mario Ponce

FECHA:

Cuestionario de Control Interno

Área: Software

Objetivo: Conocer los controles establecidos sobre el uso de programas y

software, copias de respaldo, adquisición de paquetes y base de datos.

No.Pregunta SI NO N/A Observaciones

1.

2.

A. Utilidades y Software

¿Existen controles sobre la utilizaciónde utilitarios?

a) Existe limitación en el número

de usuarios b) Autorización del uso c) Queda registrado su uso

¿Está separado el departamento desistemas, del departamento deprocesamiento de datos?

X

X

X

X




3.

4.

5.

6.

7.

8.

9.

10.

¿Se controlan las modificaciones delsoftware del sistema?

¿Están documentadas esasmodificaciones?

¿Se pueden detectar modificaciones noautorizadas?

¿Existe un procedimiento formal que sedebe seguir antes de que un sistema oprograma sea aceptado y puesto enmarcha?

¿Cuántas personas trabajan

directamente con el sistemaInformático?

¿Cuál es el trabajo que realizan estaspersonas dentro del sistema?

¿Cuáles son las principales funcionesque realiza el sistema?

¿Cuál es el principal objetivo de tenerel sistema dentro de laEmpresa?

X

X

X

X

X

Solo se controlanlas actualizaciones

Administra losmódulos de:clientes,proveedores,presupuestos,pedidos,albaranes,facturas,almacenes, CRM,bancos, cajas(TPV), pagos,cobros, etc.

Llevar un control delas transaccionesdiarias y larespectivaarchivacionautomatizadaoptimizando tiempopara obtener lainformación de




11.

12.

13.

14.

15.

16.

¿Qué informes proporciona el sistemadespués de procesada laInformación?

¿Qué área o departamento de laempresa, dependen directamente delsistema?

B. Copias de Respaldo (Back-up)

¿Existen normas debidamentedocumentadas respecto de laobtención de copias de seguridad?

¿Existe y se mantiene actualizado un Back-up?

¿Se hacen copias de soporte de losprocedimientos y programas?

¿Con qué periodicidad?

C. Adquisición de Paquetes

¿Se efectúa un estudio detallado ydocumentado antes de la adquisiciónde un paquete o del desarrollo de unsoftware internamente?

X X

X

X

X

forma precisa.

Listado deClientes Listado deproveedores Existencias deInventario Estado de cuentade clientes yproveedores Estadístico deventas y compras Cierre de Caja,etc.

El área de compras,ventas e inventario.

Semanalmente.




17.

18.

19.

20.

21.

22.

23.

El Procedimiento de selección incluye: a) Visitas a usuarios b) Demostraciones c) Informe de varios proveedores

d) Pruebase) Aprobación del Usuario

¿El software cubre los aspectos legalesnecesarios para su utilización o uso?

D. Base de Datos

¿Se obtiene regularmente copia de la

base de Datos? ¿Se chequea regularmente la base dedatos para garantizar su integridad?

¿Se obtiene un registro de lasterminaciones anormales de losprocesos que acceden a la base dedatos?

¿Existe documentación y pruebaperiódica de los procedimientos dealteración de la base de datos?

¿Se han definido correctamente lasfunciones del administrador de la basede datos?

X

X

X

X

X

X

X

Solo cuando lorequiere laadministración





FECHA:

Autorizado por: Mario Ponce

FECHA:


Área: Políticas y Procedimientos

Objetivo: Conocer y evaluar que tipos de políticas y procedimientos de utilizan

para determinar como influyen en el control interno.


1.

2.

3.

4.

5.

6.

7.

¿Existe una persona responsable deevaluar y dictaminar normas en lo querespecta a metodologías de trabajo en elsistema?

¿Se han definido funciones deladministrador de base de datos?

¿Se han definido normas para larealización de la prueba de programas?

¿Es adecuado el procedimiento deselección del personal informático?

¿Hay relación entre los métodos deevaluación de rendimientos del sistema

y las posibilidades de mejora a éste? ¿Existen planes para incentivar alpersonal de informática por su trabajorealizado?

¿Son efectivos los informes que procesay produce el sistema? X

X

X

X

X

X

X

Para el volumen dedatos que maneja la




8.

9.

10.

11.

12.

13.

14.

15.

16.

17.

¿Están distribuidas las responsabilidadesdentro del Área de informática?

Se ha evaluado el grado deconocimiento del personal en las áreas:

Sistemas operativos Nuevos equipos y programas Comunicaciones y metodologías

de análisis y programación.

¿La Administración General considera laimportancia que tiene el estudio de lossistemas de información?

¿Se ha establecido requerimientos deinformación por departamento yusuarios?

¿Existen cambios en los sistemasinformáticos como consecuencia de laplanificación más que por la necesidadoperativa?

¿Están planificados los serviciosexternos tanto de hardware como

software?

¿Existe revisión del trabajo de procesode operación de captura de datos por elresponsable de informática?

¿Existen definidas las dependenciasfuncionales en un organigrama?

¿Existen manuales de funciones paracada puesto del departamento, consuficiente nivel de comprensión?

¿Existen políticas establecidas para eluso del equipo de Cómputo?

¿El manual del usuario esta definido de

X

X

X X X

X

X

X

X

X

X

X

empresa es útil.

Se requieren losconocimientosbásicos decomputación




18

19.

20.

21.

22.

23.

24.

25.

26.

27.

28.

manera clara y objetiva?

¿Existen controles internos para el áreade informática?

¿Existen procedimientos formales parala operación del sistema de cómputo.

Se actualizan periódicamente losprocedimientos?

¿Existen procedimientos escritos para larecuperación del sistema en caso defallas?

¿Se cuenta con políticas de seguridad enrelación a sistemas y programas?

¿En que basa el control del sistema?

Existen políticas administrativas queproporcionen la seguridad de que losobjetivos de implementación desistemas están claros y están siendo

alcanzados?

¿Existen normas para el uso del área deinformática?

¿La empresa utiliza políticas para lacontratación del personal?

¿Existe un adecuado control en cuanto ala seguridad del Departamento y

recursos informáticos en la empresa?

¿Cuáles son las medidas para garantizarla seguridad de la información?

X

X

X

X

X

X

X

X

X

X

X

Accesorestringido

Claves deacceso

No Existen controles

No por falta deinformación o falta deinterés al tema. Las condiciones quese exigen son lasrequiere el puesto.

No existedepartamentoinformático pero secuenta como medidade seguridad elBack up.




29.

30.

31.

32.

¿Qué medidas de seguridad aplica laadministración para salvaguardar losdatos y archivos que se procesan en elsistema? Planes de Contingencias que seponen en práctica. Cuentan con un área de auditoria deinformática? Si no ¿por qué?

¿Si cuentan con un área de auditoria deinformática, es beneficiosa esta áreapara la entidad?

¿Tienen niveles de materialidadestablecidos en la empresa y cual es elmargen de error tolerable con cuentan?

X

X

El cambio de los Pasword cada mespor parte del

Administrador delSistema.

La generación derespaldos en winrar. No, existen planes decontingencias ytampoco cuentan conun área de AuditoriaInformática debido a

que la área deutilización espequeña.


FECHA:

Autorizado por: Mario Ponce FECHA:





Área: Seguridad en el Sistema

Objetivo: Conocer y evaluar que tipos de seguridad que la institución aplica enel ambiente informático y en el sistema actual.


1.

2.

3.

4.

5.

6.

7.

¿Existen controles internos para el

acceso al sistema operativo?

¿Se cuenta con políticas de seguridaden relación a sistemas y programas?

¿Existe un adecuado control encuanto a la seguridad delDepartamento y recursosinformáticos en la empresa?

¿Cuáles son las medidas paragarantizar la seguridad de lainformación?

¿Qué medidas de seguridad aplica laadministración para salvaguardar losdatos y archivos que se procesan enel sistema? Planes de Contingenciasque se ponen en práctica.

¿Existe y se mantiene actualizado un Back-up?

¿Se obtiene regularmente copia de labase de Datos?

X

X

X

`

X

X

X

a) Acceso

restringido b) Claves deacceso

Password

Resguardo en Winrar




8.

9.

10.

¿Se cuenta con un plan de desastres?

¿Existe acceso restringido al centrode cómputo?

¿Existen mecanismos deidentificación del personal deinformática?

X

X

X

Elaborado por: Irene Mabel Huezo FECHA:

Autorizado por: Mario Ponce FECHA:

2) PROGRAMAS DE AUDITORIA.

Programa de Auditoria: NIVELES DE SEGURIDAD

Cliente: Distribuidora San Andres, S.A. de C.V. Archivo dePT´SPeríodo de Auditoria: Del 01 de Enero al 30 de noviembre de 2011

Objetivo General:Evaluar y determinar, si en el sistema se llevan acabo las medidas deseguridad apropiadas y permitentes que este exige y debe tener, tantofísicas como lógicas.

Niveles de Seguridad: La evaluación de los niveles de seguridad implica verificar que se

tengan los controles y restricciones apropiadas según el rol de losusuarios y el ambiente de el área de trabajo.La evaluación en este componente comprende:

Seguridad Fisica. Seguridad Logica. Panorama Tecnico. Valores Parametrizados. Pistas de auditoria.




No. Procedimiento Hecho por:

Referencia Pt´s

SEGURIDAD FISICA1 Verificar que el equipo este asegurado por cualquier

contingencia que ocurra.

2 Verificar si existe un contrato de mantenimiento de los equipos yasegurarse que cubra todos los equipos de cómputo y si dichomantenimiento es efectuado a tiempo.

3 Comprobar si existen baterías y realizar una prueba para verificarel funcionamiento de las baterías.

4 Verificación de custodia de medios extraíbles que son ingresadosal sistema.

5

SEGURIDAD LÓGICA

6 Verificar los niveles de seguridad que utiliza la empresa paratener acceso a todos los módulos. Y Solicite una lista autenticade los usuarios autorizados del sistema.

7 Observe los procedimientos de acceso al sistema y realice

pruebas de acceso.Verificar si tienen mecanismos de seguridad para evitar lareproducción de Información confidencial.

Conclusión

5 Concluya sobre el trabajo realizado y Redacte las observacionesy hallazgos encontrados.

Observaciones:




Preparado: Fecha: Hoja:

Supervisado: Fecha:Índice:

Aprobado: Fecha:

Programa de Auditoria: FUNCIONAMIENTO DEL SISTEMA

Cliente: Distribuidora San Andres, S.A. de C.V. Archivo dePT´SPeríodo de Auditoria: Del 01 de Enero al 30 de noviembre de 2011

Objetivo General:Realizar examen del funcionamiento general del sistema en función

de las necesidades del usuario, la eficiencia y la eficacia.

Funcionamiento: La evaluación del funcionamiento del sistema consiste en determinarsi este cumple satisfactoriamente los objetivos para lo que ha sidoimplementado o adquirido y si este se adapta a las necesidades de losusuarios y si posee la capacidad de brindar información confiable yde manera eficiente.La evaluación en este componente comprende:

Origen de datos. Entrada de datos. Proceso de datos. Salida de información.


Referencia Pt´s

1 Elabore una narrativa detallando el proceso de alimentación delos datos de las terminales y la manera en cómo se valida lainformación, detallando los niveles de autorización y laspersonas que intervienen en el proceso.

2 De un reporte de al menos 5 transacciones, verifique que en estosse documente apropiadamente el origen y entrada de los datospara los siguientes procesos.

Pedidos a proveedores, Autorización del pedido. Que los datos del pedido coincidan con los valores

autorizados. Existencia de enmiendas.




No. Procedimiento Hecho

por:

Referencia

Pt´s

Cotizaciones para pedidos.

Recepción de Inventarios (entradas de Stock) y . Que el ingreso del inventario coincida con los valores delpedido respectivo.

Que la fecha de la transacción coincida con la fecha delos documentos.

Que la documentación del ingreso a inventario estedebidamente autorizada.

Facturas: Que si se efectuaron cotizaciones estas se documenten. Monto de las operaciones.

Cantidades. Condiciones de crédito según los criterios de la

administración.3 Compruebe mediante pruebas de adición de datos si el sistema

efectúa los cálculos apropiados, para las ventas, compras ycontrol de Existencias de Inventario.

4 Verifique que los reportes generados, sean íntegros eninformación según los requerimientos del usuario así como quela información no se pierda en la exportación de los reportes alos distintos tipos de archivos disponibles.

5 Verifique si el sistema emite reportes vinculados con la captura

de datos fuente y con qué periodicidad se emiten.6 Corrobore que el sistema no permita duplicar transacciones de

ventas o compras.7 Verifique si la empresa posee un Software de antivirus y si este

se encuentra debidamente actualizado.

Conclusión


Observaciones:





Supervisado: Fecha:

Índice:Aprobado: Fecha:

Programa de Auditoria: MARCO LEGAL Y POLITICAS

Cliente: Distribuidora San Andrés, S.A. de C.V. Archivo dePT´SPeríodo de Auditoria: Del 01 de Enero al 30 de noviembre de 2011

Objetivo General:

Realizar examen del cumplimiento apropiado de las leyes yregulaciones que incidan en el uso apropiado del sistema.Documentar la existencias de políticas y procedimientos, así como elcumplimiento de estas.

Marco Legal ,Cumplimiento DePolíticas yProcedimientos:

La evaluación de este componente permite establecer si la entidadcuenta con un ámbito legal adecuado, así como verificar que tanefectivo es el sistema de control en su aplicación.Incluye el examen de:

Leyes y reglamentos aplicables. Controles administrativos. Normas y procedimientos. Manual de usuarios.


Referencia Pt´s

1 Elabore una narrativa describiendo el proceso de laadministración y aplicación de políticas en el uso y manipulacióndel sistema y los equipos de computo.

2 Elaborar una cédula en la cual se resuman el total de las Políticasy Procedimientos a evaluar dentro de la entidad.

3 Verificar que exista una segregación de funciones del personalque interviene el sistema, como prevención de fraudes y errores.

4 Obtenga un reporte del registro y listado de inventario yverifique que este cumpla con los siguientes requisitos (segúnaplique):

1. Un encabezado que identifique el título del registro; nombre




No. Procedimiento Hecho

por:

Referencia

Pt´sdel contribuyente, período que abarca, NIT y NRC;

2. Correlativo de la operación;3. Fecha de la operación;

4. Número de Comprobante de Crédito Fiscal, Nota de Crédito,Nota de Débito, Factura de Consumidor Final, documento desujeto excluido a que se refiere el artículo 119 de éste Código,Declaración de Mercancía o Formulario Aduanerocorrespondiente, según el caso;

5. Nombre, razón social o denominación del proveedor;6. Nacionalidad del proveedor;7. Descripción del producto comprado, especificando las

características que permitan individualizarlo e identificarlosplenamente;

8. Fuente o referencia del libro de costos de retaceos o decompras locales de donde ha sido tomado el costo

correspondiente, o en su caso la referencia de la hoja de costoso informe de donde se ha tomado el costo de producción de lasunidades producidas;

9. Número de unidades que ingresan;10. Número de unidades que salen;11. Saldo en unidades;12. Importe monetario o precio de costo de las unidades que

ingresan;13. Importe monetario o precio de costo o venta, según el caso de

las unidades que salen; y,14. Saldo monetario del importe de las unidades existentes, a

precio de costo.

Adicionalmente verifique si el sistema es capaz de aceptarajustes a los inventarios por descuentos, rebajas o incrementos enlos precios.

5 Verifique la existencia de manuales de Usuario, Instalación yManual Técnico para el Sistema.

Conclusión


Observaciones:






Aprobado: Fecha:

Programa de Auditoria: PLANES DE CONTINGENCIA

Cliente: Distribuidora San Andrés, S.A. de C.V.

Archivo dePT´SPeríodo de Auditoria: Del 01 de Enero al 30 de noviembre de 2011

Objetivo General:Comprobar que los planes de contingencias sean apropiados y que segarantice la seguridad y confidencialidad de la información.

Planes de Contingencia: Consiste en planes implementados por la entidad parasalvaguardar la seguridad y confidencialidad de la información ylos equipos. En este componente se verifica que se posean planesde respaldo de información y Custodia de los mismos.


Referencia Pt´s

1 Verifique que se defina una política apropiada de planes decontingencia y evalué si esta se adhiere a las necesidades de laentidad.

2 Compruebe si se cumplen los periodos de creación de las copiasde seguridad obteniendo un listado del ultimo año de los backupsrealizados y las fechas en las que se efectuo.

3 Verifique el tipo de información sujeta a backup, considerando sies apropiada e integra.

4 Elabore una narrativa del proceso de las copias de seguridad eindentifique quien esta a cargo de la custodia de la información ysi existen restricciones apropiadas de acceso.Conclusión





Observaciones:



Aprobado: Fecha:

3) CEDULA DE MARCAS DE AUDITORIA.

AUDITORES DE SISTEMAS IP S.A. DE C.V.REF:

DISTRIBUIDORA SAN ANDRES.

AUDITORIA DE SISTEMA INFORMÁTICO DE FACTURACIÓN E INVENTARIOS

& = Obtenido de Comprobación física de los equipos y ubicaciones

£ = Áreas según organigrama

C/G = Carta de Gerencia

A/G = Archivo General

µ = Cumplimiento Verificado

∫= Verificación física.

Φ = Datos Obtenidos de Reportes del Sistema

Ç= Verificado con el Sistema

£ = Verificado contra documento

β = Cálculos Verificados




∮= Documentación no apropiada.

Š = Comentario del personal

¬ = Verificado contra Software

~ = Verificar contra documento adjunto.

Memorandum de Planeacion 2011

Documents

Transcript of Memorandum de Planeacion 2011