AUDITORIA DE SISTEMAS
TEMA: DISTRIBUIDORA SAN ANDRES MEMORANDUM DE PLANEACION AUDITORIA DE SISTEMAS. GRUPO TEORICO: 03 INTEGRANTES: MARIO ERNESTO PONCE PERALTA IRENE MABEL HUEZO MELARA PP05033 HM03033
INDICE GENERAL
I. 1) II. 1) 2) 3) III. 1) 2) IV. V. VI. VII. VIII. IX. X. 1) 2) XI. 1) 2) 3) TERMINOS Y COMPROMISOS DE LA AUDITORIA ................................................................................. 1 OBJETIVO GENERAL. ............................................................................................................................. 1 INFORMACIN GENERAL DE LA ENTIDAD. .......................................................................................... 2 ANTECEDENTES: ................................................................................................................................... 2 ESTRUCTURA ORGANIZACIONAL: ......................................................................................................... 3 POLITICAS Y PROCEDIMIENTOS: ........................................................................................................... 4 INFORMACIN PRELIMINAR DEL SISTEMA ......................................................................................... 4 MARCO LEGAL: ..................................................................................................................................... 5 PANORAMA TECNICO: .......................................................................................................................... 6 NIVELES DE SEGURIDAD DEL SISTEMA ................................................................................................ 8 VALORES PARAMETRIZABLES DEL SISTEMA ........................................................................................ 9 ORIGEN Y ENTRADA DE DATOS. ........................................................................................................ 10 PROCESAMIENTO DE DATOS. ....................................................................................................... 10 PISTAS DE AUDITORIA. ................................................................................................................. 11 DETERMINACION DE AREAS DE RIESGO ............................................................................................ 11 ADMINISTRACION DE LA AUDITORIA ................................................................................................ 19 ASIGNACION DEL PERSONAL. ............................................................................................................. 19 CRONOGRAMA DE ACTIVIDADES, FECHAS CLAVE Y PRESUPUESTOS DE TIEMPO. .............................. 19 ANEXOS ............................................................................................................................................ 22 CUESTIONARIOS DE CONTROL INTERNO UTILIZADOS PARA EVALUAR EL RIESGO. ............................. 22 PROGRAMAS DE AUDITORIA. ............................................................................................................. 34 CEDULA DE MARCAS DE AUDITORIA. ................................................................................................. 41
2) OBJETIVOS ESPECIFICOS.
Evaluar los niveles de seguridad y sus controles a fin de determinar las reas susceptibles de riesgo. Evaluar la seguridad lgica y fsica para determinar si se establecen controles apropiados para salvaguardar Emitir la integridad, oportunidad y fiabilidad de la informacin procesada y contenida en el sistema. un informe a fin de sealar los hallazgos encontrados respecto a las debilidades en los controles internos y la fiabilidad de la informacin generada por el sistema.
3) ALCANCE:
El alcance del trabajo incluir la revisin de los procesos, medios de acceso y entrada de datos, niveles de seguridad e informacin generada por el sistema. a) Las reas de las que se ocupar la Auditoria de Sistemas sern: Evaluacion de Niveles de Seguridad Revisin de Controles Generales Evaluacin de parmetros
4) RESPONSABILIDAD DE LA FIRMA
Hemos sido contratados por la Junta General de Accionistas de la Sociedad DISTRIBUIDORA SAN ANDRES, S.A. DE C.V. para llevar a cabo la auditoria de Sistemas Informtico, para el periodo del 01 de enero al 30 de Noviembre de 2011, para expresar una opinin sobre la Seguridad lgica del sistema, la efectividad del funcionamiento, la generacin de Estados Financieros, y la razonabilidad y presentacin de los mismos. Se efectuara el trabajo basado en las Normas Internacionales de Auditoria, las cuales requieren la planeacin y ejecucin de la auditoria para obtener una seguridad razonable y evidencia suficiente que provean una base para expresar nuestra opinin.
criterios, causas, efectos, y recomendaciones de las evaluaciones preliminares de Control Interno, y acerca de los hallazgos encontrados. c)
Emitir informe final el cual contendr: Informe de auditoria con los resultados de esta y las conclusiones del examen.
La finalidad de la empresa es la compra y venta de Mobiliario para Oficinas. La empresa es administrada por Oscar Ren Lpez, Accionista Mayoritario quien cuenta con personal administrativo de apoyo como sigue: Asistente administrativa Encargada de Ventas y Cobros 4 Vendedores, 1 quien es el gerente de Ventas y 3 que Gestionan ventas por medio de la atencin directa a los posibles clientes que visitan el local. Proveedores de equipos Informtico y accesorios: STB El Salvador, S.A. de C.V. Equipos Electrnicos Valds, S.A. de C.V.
Mantenimiento del software: Asistencia remota por medio del Desarrollador del Sistema.
2) ESTRUCTURA ORGANIZACIONAL:
Organizacin de la Administracin y Operatividad: La Entidad ser gobernada por medio de una Junta Directiva, cuyo presidente y a su vez Gerente General es el Sr. Oscar Ren Lpez. En total la empresa cuenta con 17 personas empleadas. Organigrama:
Gerente General
Grente de Ventas
Despacho y Bodegas
Contabilidad y Administracion.
Vendedores
Bodeguero
Recepcion
Gestor de Cobros
Transportistas
Contador
3) POLITICAS Y PROCEDIMIENTOS:
POLITICAS RELATIVAS AL SISTEMAS 1. Asignar un perfil de usuario y una contrasea nica de acceso segn el nivel que ocupe el usuario 2. Restringir el acceso a reas que no competen segn el rol de cada usuario. 3. Sellar de procesado todos los documentos despus de complementar el proceso de trascripcin de datos para evitar duplicidad de entradas. 2. Que los archivos daados que contienen informacin confidencial se destruyan de manera apropiada. 3. Se tiene un mantenimiento preventivo cada 3 meses para los equipos de computo. 4. Los equipos de Informtica se incluyen entre los bienes asegurados por la entidad para mitigar riesgos. 5. Realizar Copias de Seguridad de informacin procesada al final de cada Periodo mensual.
1) MARCO LEGAL:
En lo concerniente al cumplimiento de normas y regulaciones legales, al utilizar un sistema informtico para procesar la informacin relativa a la facturacin y control de inventarios observamos que principalmente se aplican las siguientes regulaciones:
Leyes Fiscales:
Con el objeto de un buen cumplimiento en lo relativo a la parte fiscal, tanto formal como sustantiva se hace necesario que una entidad cumpla con la obligacin de declarar y pagar los diferentes impuestos estipulados, tanto como la ley de la renta, ley de IVA, por lo que un sistema informtico deber garantizar el inters fiscal brindando informacin compatible con tal objetivo. El cdigo tributario establecen las distintas disposiciones que garantizan los fines econmicos del estado. Por lo que, como el sistema se encarga de ingresar informacin relativa a la emisin de facturas y documentos legales en las operaciones de transferencia de bienes y prestacin de servicios, el cdigo tributario establece los requerimientos mnimos de informacin que deber contener los documentos de ventas (comprobantes de Crdito Fiscal, Facturas Consumidor Final, Notas de Crdito y Debito, Comprobantes de Retencin, etc.) y los reportes de control de inventario.
[AUDITORES IP, S.A. DE C.V.] Memorndum de Planeacin Auditoria de Sistemas Leyes y Reglamentos Especficos:
Ley de Fomento y Proteccin a la Propiedad Intelectual. Esta ley explica y establece los lineamientos de la proteccin, uso y difusin de bienes con propiedad intelectual.
2) PANORAMA TECNICO:
a) Lenguaje de Programacin y Base de Datos. Debido a que el sistema es de distribucin gratuita y difundida por internet, no nos fue posible tener contacto directo con el personal encargado del desarrollo; no obstante a travs de una breve descripcin del sistema pudimos obtener informacin tcnica relativa a esta aplicacin: Trey-Fact es una aplicacin de gestin comercial desarrollada bajo un lenguaje de programacin de 32 bits bajo la plataforma de VISUAL DBase PLUS, diseada para sistemas Windows desde la edicin 2000 hasta el actual Window 7, posee una resolucin predeterminada del rea de trabajo de 1024x768 pixeles. b) Forma de Operacin del Sistema El objetivo a conseguir es el de que la empresa, a travs de esta aplicacin, les ofrezca a sus clientes un mejor servicio, y por consiguiente sea ms competitiva en el mercado, optimizando los procesos de gestin comercial en ventas, compras y control de inventarios. Esta aplicacin, est preparada para crecer en funcin de las necesidades de la entidad, partiendo de un sistema Stand Alone y llegando a sistemas de RED LOCAL MULTIPUESTO. El formato de Facturas, Albaranes, Tickets, Recibos, Presupuestos y Etiquetas, se puede personalizar para cada caso concreto, segn las necesidades. Los formatos que incluye de base esta aplicacin estn estructurados en funcin de unos modelos estndar. Si en dado caso el usuario tiene necesidades especficas en los formatos de estos documentos podr modificar dichos modelos ponindose en contacto con el Departamento de Soporte del desarrollador del sistema.
Gestin e informes en Dlares, Euros, Pesetas y en cualquier tipo de moneda. Copias de seguridad. (Compresin automtica) Mltiples formas de bsqueda en todos los ficheros de introduccin de datos. Salvaguardar la confidencialidad de los datos, se puede restringir el acceso a la aplicacin mediante claves de seguridad por el usuario y por empresas. Permite acceder a otros ficheros mientras se realiza otra tarea (Multitarea). Compatibilidad para el Uso del teclado y Ratn. Interfaz con Sistema de Contabilidad (distribuido por el mismo desarrollador). Mantenimientos. Gestin de Compras Gestin de Ventas. Generacin de informes. Utilidades Ayuda y manuales de usuario. Orden predefinido en bsquedas. Comisiones de Agentes y liquidaciones de las mismas. Control, generacin e impresin de cdigos de barras. Precios y descuentos especficos sobre Clientes, Zonas. Configuracin de series para facturas exentas de IVA. Liberacin de pedidos (Compra) albaranes o facturas. Liberacin de presupuestos (Venta) en pedidos, albaranes, facturas o tickets. Liberacin de pedidos (Venta) en albaranes, facturas o tickets. Generacin de facturas sobre albaranes. Entrada manual de vencimientos. Listados por pantalla, impresora y generacin de archivos en PDF y otros formatos. Filtros en bsquedas. Organizacin y configuracin empresa mediante series.
VENDEDOR y ENCARGADO DE COMPRAS E INVENTARIO Informacin de usuario. Acceso restringido a las aplicaciones. Informacin de consultas.
10
b) Verificar la existencia de registros de eventos para las distintas opciones de mantenimiento de datos en la aplicacin, que muestren el usuario, fecha, hora, Terminal, pantalla u opcin utilizada, identificacin del registro involucrado y campos modificados, para lo siguiente: Proceso de adicin de registros Modificacin de registros Eliminacin de registros
11
MATRIZ DE RIESGO
ESTRATEGIA o RIESGO CLASIFICACION CONTROL IDENTIFICADO CRITERIO
REA
al por: No existen dispositivos para la de daos Alto prevencin de daos al equipo Para
Es necesario el uso de dispositivos que prevengan los daos en el equipo. Es importante el cuente con de
Dispositivos para
comunicarse se que la entidad utiliza se especiales informacin Internet y no procedimienusan tos de informacin y vital de confiables. da Es al que de se procedimientos transmisin de
transmisin de seguros Acceso lgico No se cuente con acceso restringido Medio No acceso se
seguimiento al importancia
12
REA
sistema, el acceso
respectiva hacen a horas laborales estos acceso con aunque de das acceso restringido de la informacin.
entidad de y que
contribuyan a la seguridad y a la respectiva responsabilidad personal No Medio son cuentan Que la del
13
REA
o con un plan de contingencias como mantenimiento preventivo del Seguros contra desastres.
contra adems
SOFTWARE
al Medio y
A pesar que no Es importante existe de control que se limite en la utilizacin el acceso de programas programas que se puedan la prestar a la utilitarios sensibles,
existan en la de y del
aprobacin del modificacin sistema y sus de los datos actualizaciones realizadas la Gerencia del sistema sin rastro son dejar por alguno.
autorizacin de Copias Respaldo Falta informacin de Respaldos de la de Bajo Aunque no se La encuentran plasmadas normas obliguen personal debe que los al procedimiento s del personal. entidad tener
documentado
14
REA
involucrado de realizar respaldos semanalmente Base de Datos Que no se cuenta Medio con Base de Datos una integridad en la Se realizan Es de benefio para la actualizaciones datos peridicamente cheque audita POLITICAS Y Amenazas en el PROCEDIMIENTOS control interno Medio en : Mala seleccin de personal que manipulara sistema informtico. el Al contratar al La personal se le debe exige conocimien-tos fundamentales las requiera cargo. Que informes produce los requeridos los que Bajo el Son los usuarios. de El formato de informes estar debe satisfaccin de los de que el computacin, entidad poseer o , estos se hacen
integridad
sistema no sean
actualizado
15
REA
segn exigencia usuario. No exista una organizacin de Bajo funciones de los miembros de la entidad Las del funciones La personal organizacin
la del
esta definida y contribuye estructurada un organigrama orden por medio de de funciones Sistema Es
al las de
lgico
no
se con Bajo de
El
manuales sean de proporcionados a los usuarios para que facilite la Manipularacion del sistema y evaluar lo ya ejecutado. hay nuevo importante que se le los brinden manuales. Si es personal
SEGURIDAD EN EL
Que
la Medio
Solo
Es
administraci-n
generacin de indispensable
16
REA
SISTEMA
respaldos zip.
en que administracin con de salvaguarda como guardar archivos medios extrables cajas seguridad de trabajo.
la cuente medidas
el en y de y
guardados en
integridad
procesados el sistema
17
18
X. ADMINISTRACION DE LA AUDITORIA
1) ASIGNACION DEL PERSONAL.
El personal que se asigna a la actividad de la ejecucin de la auditoria y supervisin del trabajo, es el siguiente:
A continuacin se presenta una descripcin de las funciones interrelacionadas, que el equipo profesional llevar a cabo durante la ejecucin de la auditoria en lo que respecta al Estudio y Evaluacin del Control Interno y al proceso de Planeacin de la auditoria. El Br. Mario Ponce, Coordinador y Ejecutor, tendr el compromiso de coordinar los servicios y de mantener una adecuada comunicacin con la administracin de la institucin, asuntos como evaluacin sobre la suficiencia y oportunidad de la informacin y calidad de los informes; observacin y recomendaciones diseadas para mejorar reportes operacionales, as como informar asuntos de sobre importancia a la Junta Directiva. La Br. Irene Huezo se encargara de la evaluacin del control interno, ejecucin de las pruebas, redaccin de los hallazgos y observaciones de la auditoria.
19
Oct-11
2a. 3a. 4a. 1a
Nov-11
2a. 3a. 4a. 1a
Dic-11
2. 3a. 4a.
Conocimiento del Negocio y sistema Memorando de Planeacin Evaluacion de Control Interno Ejecucion de la Auditoria Informe de Hallazgos y Recomendaciones. Discusin del informe con la Gerencia. Informe de la Auditoria
El siguiente detalle refleja el nmero de horas/hombre que estarn a cargo de la ejecucin del trabajo.
20
ACTIVIDADES
PLANEACION Y ORGANIZACIN DE LA AUDITORIA
Supervisor
Auditor
39 4 2 10 6 4 2 8 3 8 4 18 9 71 35 5 10 4 2 15 39 7 25 21 3 5 3 83 1 3 6 48 4 8 9 131
Conocimiento del negocio Identificacin de Procesos. Evaluacin del Control Interno Determinacin del Alcance EJECUCION Ejecucin de Programas de Auditoria Elaboracin y Referencia de Papeles de Trabajo Control de Calidad y Revision de los Papeles de Trabajo INFORMES Control interno y procesos claves Evaluacin de Sistemas Opinin de auditoria TOTAL HORAS
PRESUPUESTO DE HONORARIOS
TOTAL DE CARGO AUDITOR SUPERVISOR Total de horas Costos indirectos HORAS PRESUPUESTADAS 83 HORAS 48 HORAS 139 HORAS 150.00 COSTO POR HORA 5 10 TOTAL $ 440.00 510.00
Costo total
$1,045.00
21
XI. ANEXOS
1) CUESTIONARIOS DE CONTROL INTERNO UTILIZADOS PARA EVALUAR EL RIESGO.
rea:
NIVELES DE SEGURIDAD
Objetivo: Conocer los controles existentes sobre la seguridad fsica del hardware, transmisin de datos, accesos fsicos y seguridad en casos de emergencia.
No
Pregunta
A. Seguridad Fsica
SI NO N/A
Observaciones
1.
Existe un buen nivel de seguridad en el X almacenamiento de datos? Con cuantas computadoras cuenta la empresa? Cuntas de las computadoras se ocupan especficamente para el sistema? 6 Computadoras
2.
3.
3 Computadoras
4.
Existe un buen nivel de seguridad en el X almacenamiento de datos? Se dispone con dispositivos de proteccin de CPU y memoria central? Se tiene sistema contra incendios? Existen dispositivos para minimizar efectos de daos al equipo de cmputo? Se cuentan con medidas adecuadas de acondicionamiento de aire acondicionado, ventilacin, etc.
5.
X X
6.
7.
8.
22
9.
El equipo cuenta con seguro especfico contra daos por causa de accidentes o desastres naturales. X
Se ha detectado algn elemento de 10. origen natural que pueda afectar el centro de Procesamiento de Datos? X
B. Comunicaciones
Cmo se efecta la transmisin de datos? Son detectados automticamente los X errores? Existe integridad en la comunicacin de X los datos? Se emplea comunicacin VPN? 14. C. Accesos lgicos X
11.
Por Internet
12.
13.
15.
Existen perfiles de usuarios para el acceso a terminales? Se comparten los perfiles entre grupos de usuarios? Se actualizan regularmente (perfiles)?
16.
17. Se conoce en forma precisa una lista autentica de usuario autorizado con sus 18. derechos y asignaciones a cada funcin X del programa? Se da seguimiento a los intentos de violacin de accesos a las terminales? 19. Se utilizan programas especiales de proteccin de terminales (bloquea ante de acceso fallido, 20. intentos desconexiones, etc.)?
23
D. Accesos Fsicos
Existe acceso restringido al centro de cmputo? 21. Existen mecanismos de identificacin del personal de informtica? Existen localizacin y sealizacin adecuada de reas sensibles. La ubicacin del departamento de Informtica es independiente del resto de departamentos? E. Plan de Desastres X X
22.
23.
25.
Se cuenta con un plan de desastres? Existen planes y manuales sobre 26. normas de actuacin en caso de emergencia? 27. Se realizan simulacros de emergencia con el reconocimiento y prctica de las normas establecidas? 28. Se cubre con este plan, todos los elementos necesarios para garantizar la continuidad del servicio, tras una 29. contingencia. Se le da mantenimiento y actualizacin al plan? X
24
Elaborado por:
FECHA:
Autorizado por:
Mario Ponce
FECHA:
Objetivo: Conocer los controles establecidos sobre el uso de programas y software, copias de respaldo, adquisicin de paquetes y base de datos. No.
Pregunta
A. Utilidades y Software
SI
NO
N/A Observaciones
1.
Existen controles sobre la utilizacin de utilitarios? a) Existe limitacin en el nmero de usuarios b) Autorizacin del uso X c) Queda registrado su uso Est separado el departamento de sistemas, del departamento de procesamiento de datos?
2.
25
3.
4.
5.
Se pueden detectar modificaciones no autorizadas? Existe un procedimiento formal que se debe seguir antes de que un sistema o programa sea aceptado y puesto en marcha? Cuntas directamente Informtico? personas con el trabajan sistema
6.
7.
8.
9.
Administra los mdulos de: clientes, proveedores, presupuestos, pedidos, albaranes, facturas, almacenes, CRM, bancos, cajas (TPV), pagos, cobros, etc.
Llevar un control de las transacciones diarias y la respectiva archivacion automatizada optimizando tiempo para obtener la informacin de
10.
26
11.
Listado
Clientes Listado de proveedores Existencias de Inventario Estado de cuenta de clientes y proveedores Estadstico de ventas y compras Cierre de Caja, etc. X
de
12.
14.
15.
Con qu periodicidad? C. Adquisicin de Paquetes Se efecta un estudio detallado y documentado antes de la adquisicin de un paquete o del desarrollo de un software internamente? Semanalmente. X
16.
27
17.
20.
21.
22.
23.
28
Elaborado por:
FECHA:
Autorizado por:
Mario Ponce
FECHA:
Objetivo: Conocer y evaluar que tipos de polticas y procedimientos de utilizan para determinar como influyen en el control interno. No.
Pregunta
Existe una persona responsable de evaluar y dictaminar normas en lo que respecta a metodologas de trabajo en el sistema? Se han definido funciones administrador de base de datos? del
SI
NO N/A Observaciones
X
1.
2.
3.
Se han definido normas para la realizacin de la prueba de programas? Es adecuado el procedimiento seleccin del personal informtico? de
4.
X X
5.
Hay relacin entre los mtodos de evaluacin de rendimientos del sistema y las posibilidades de mejora a ste? Existen planes para incentivar al personal de informtica por su trabajo realizado? Son efectivos los informes que procesa y produce el sistema?
6.
7.
29
8.
9.
X X X
10.
11.
12.
13.
14.
16.
30
19. Existen procedimientos formales para la operacin del sistema de cmputo. 20. Se actualizan procedimientos? peridicamente los
Acceso
21.
Existen procedimientos escritos para la recuperacin del sistema en caso de fallas? Se cuenta con polticas de seguridad en relacin a sistemas y programas? En que basa el control del sistema?
22.
23.
24.
25.
Existen polticas administrativas que proporcionen la seguridad de que los objetivos de implementacin de sistemas estn claros y estn siendo alcanzados? Existen normas para el uso del rea de informtica? La empresa utiliza polticas para la contratacin del personal?
No Existen controles
26.
27.
Existe un adecuado control en cuanto a la seguridad del Departamento y X recursos informticos en la empresa?
No por falta de informacin o falta de inters al tema. Las condiciones que se exigen son las requiere el puesto.
No existe departamento informtico pero se cuenta como medida de seguridad el Back up.
31
29.
30.
Qu medidas de seguridad aplica la administracin para salvaguardar los datos y archivos que se procesan en el sistema? Planes de Contingencias que se ponen en prctica. Cuentan con un rea de auditoria de informtica? Si no por qu?
El cambio de los Pasword cada mes por parte del Administrador del Sistema.
Si cuentan con un rea de auditoria de informtica, es beneficiosa esta rea para la entidad? 31.
La generacin de respaldos en winrar. No, existen planes de contingencias y tampoco cuentan con un rea de Auditoria Informtica debido a que la rea de utilizacin es pequea.
Tienen niveles de materialidad establecidos en la empresa y cual es el margen de error tolerable con cuentan?
32. X
Elaborado por:
FECHA:
Autorizado por:
Mario Ponce
FECHA:
32
Objetivo: Conocer y evaluar que tipos de seguridad que la institucin aplica en el ambiente informtico y en el sistema actual.
No.
Pregunta
Existen controles internos para el acceso al sistema operativo?
SI
X
NO
`
N/A Observaciones
a) Acceso b) Claves
acceso
1.
restringido de
2.
Se cuenta con polticas de seguridad en relacin a sistemas y programas? Existe un adecuado control en cuanto a la seguridad del Departamento y recursos informticos en la empresa? Cules son garantizar la informacin? las medidas para seguridad de la
3.
4.
5.
Qu medidas de seguridad aplica la administracin para salvaguardar los datos y archivos que se procesan en el sistema? Planes de Contingencias que se ponen en prctica.
Password
6.
Resguardo en Winrar
7.
33
Se cuenta con un plan de desastres? 8. Existe acceso restringido al centro de cmputo? Existen identificacin informtica? mecanismos del personal de de X X X
9.
10.
Elaborado por:
FECHA:
Autorizado por:
Mario Ponce
FECHA:
2) PROGRAMAS DE AUDITORIA.
NIVELES DE SEGURIDAD Distribuidora San Andres, S.A. de C.V. Del 01 de Enero al 30 de noviembre de 2011 Archivo de PTS
Evaluar y determinar, si en el sistema se llevan acabo las medidas de seguridad apropiadas y permitentes que este exige y debe tener, tanto fsicas como lgicas. La evaluacin de los niveles de seguridad implica verificar que se tengan los controles y restricciones apropiadas segn el rol de los usuarios y el ambiente de el rea de trabajo. La evaluacin en este componente comprende: Seguridad Fisica. Seguridad Logica. Panorama Tecnico. Valores Parametrizados. Pistas de auditoria.
34
No.
Referencia Pts
este
asegurado
Verificar si existe un contrato de mantenimiento de los equipos y asegurarse que cubra todos los equipos de cmputo y si dicho mantenimiento es efectuado a tiempo. Comprobar si existen bateras y realizar una prueba para verificar el funcionamiento de las bateras. Verificacin de custodia de medios extrables que son ingresados al sistema.
4 5
SEGURIDAD LGICA 6 Verificar los niveles de seguridad que utiliza la empresa para tener acceso a todos los mdulos. Y Solicite una lista autentica de los usuarios autorizados del sistema. Observe los procedimientos de acceso al sistema y realice pruebas de acceso. Verificar si tienen mecanismos de seguridad para evitar la reproduccin de Informacin confidencial.
Conclusin Concluya sobre el trabajo realizado y Redacte las observaciones y hallazgos encontrados.
Observaciones:
35
Hoja: ndice:
FUNCIONAMIENTO DEL SISTEMA Distribuidora San Andres, S.A. de C.V. Del 01 de Enero al 30 de noviembre de 2011 Archivo de PTS
Realizar examen del funcionamiento general del sistema en funcin de las necesidades del usuario, la eficiencia y la eficacia. La evaluacin del funcionamiento del sistema consiste en determinar si este cumple satisfactoriamente los objetivos para lo que ha sido implementado o adquirido y si este se adapta a las necesidades de los usuarios y si posee la capacidad de brindar informacin confiable y de manera eficiente. La evaluacin en este componente comprende: Origen de datos. Entrada de datos. Proceso de datos. Salida de informacin.
No. 1
Procedimiento Elabore una narrativa detallando el proceso de alimentacin de los datos de las terminales y la manera en cmo se valida la informacin, detallando los niveles de autorizacin y las personas que intervienen en el proceso. De un reporte de al menos 5 transacciones, verifique que en estos se documente apropiadamente el origen y entrada de los datos para los siguientes procesos. Pedidos a proveedores, Autorizacin del pedido. Que los datos del pedido coincidan con los valores autorizados. Existencia de enmiendas.
Hecho por:
Referencia Pts
36
No.
Hecho por:
Referencia Pts
Recepcin de Inventarios (entradas de Stock) y . Que el ingreso del inventario coincida con los valores del pedido respectivo. Que la fecha de la transaccin coincida con la fecha de los documentos. Que la documentacin del ingreso a inventario este debidamente autorizada. Facturas: Que si se efectuaron cotizaciones estas se documenten. Monto de las operaciones. Cantidades. Condiciones de crdito segn los criterios de la administracin. Compruebe mediante pruebas de adicin de datos si el sistema efecta los clculos apropiados, para las ventas, compras y control de Existencias de Inventario. Verifique que los reportes generados, sean ntegros en informacin segn los requerimientos del usuario as como que la informacin no se pierda en la exportacin de los reportes a los distintos tipos de archivos disponibles. Verifique si el sistema emite reportes vinculados con la captura de datos fuente y con qu periodicidad se emiten. Corrobore que el sistema no permita duplicar transacciones de ventas o compras. Verifique si la empresa posee un Software de antivirus y si este se encuentra debidamente actualizado.
5 6 7
Conclusin Concluya sobre el trabajo realizado y Redacte las observaciones y hallazgos encontrados.
Observaciones:
37
Hoja: ndice:
MARCO LEGAL Y POLITICAS Distribuidora San Andrs, S.A. de C.V. Del 01 de Enero al 30 de noviembre de 2011 Archivo de PTS
Realizar examen del cumplimiento apropiado de las leyes y regulaciones que incidan en el uso apropiado del sistema. Documentar la existencias de polticas y procedimientos, as como el cumplimiento de estas. La evaluacin de este componente permite establecer si la entidad cuenta con un mbito legal adecuado, as como verificar que tan efectivo es el sistema de control en su aplicacin. Incluye el examen de: Leyes y reglamentos aplicables. Controles administrativos. Normas y procedimientos. Manual de usuarios.
No. 1
Procedimiento Elabore una narrativa describiendo el proceso de la administracin y aplicacin de polticas en el uso y manipulacin del sistema y los equipos de computo. Elaborar una cdula en la cual se resuman el total de las Polticas y Procedimientos a evaluar dentro de la entidad. Verificar que exista una segregacin de funciones del personal que interviene el sistema, como prevencin de fraudes y errores. Obtenga un reporte del registro y listado de inventario y verifique que este cumpla con los siguientes requisitos (segn aplique):
1. Un encabezado que identifique el ttulo del registro; nombre
Hecho por:
Referencia Pts
2 3
38
No.
Procedimiento
del contribuyente, perodo que abarca, NIT y NRC; 2. Correlativo de la operacin; 3. Fecha de la operacin; 4. Nmero de Comprobante de Crdito Fiscal, Nota de Crdito, Nota de Dbito, Factura de Consumidor Final, documento de sujeto excluido a que se refiere el artculo 119 de ste Cdigo, Declaracin de Mercanca o Formulario Aduanero correspondiente, segn el caso; 5. Nombre, razn social o denominacin del proveedor; 6. Nacionalidad del proveedor; 7. Descripcin del producto comprado, especificando las caractersticas que permitan individualizarlo e identificarlos plenamente; 8. Fuente o referencia del libro de costos de retaceos o de compras locales de donde ha sido tomado el costo correspondiente, o en su caso la referencia de la hoja de costos o informe de donde se ha tomado el costo de produccin de las unidades producidas; 9. Nmero de unidades que ingresan; 10. Nmero de unidades que salen; 11. Saldo en unidades; 12. Importe monetario o precio de costo de las unidades que ingresan; 13. Importe monetario o precio de costo o venta, segn el caso de las unidades que salen; y, 14. Saldo monetario del importe de las unidades existentes, a precio de costo.
Hecho por:
Referencia Pts
Adicionalmente verifique si el sistema es capaz de aceptar ajustes a los inventarios por descuentos, rebajas o incrementos en los precios. Verifique la existencia de manuales de Usuario, Instalacin y Manual Tcnico para el Sistema.
Conclusin Concluya sobre el trabajo realizado y Redacte las observaciones y hallazgos encontrados.
Observaciones:
39
Hoja: ndice:
PLANES DE CONTINGENCIA Distribuidora San Andrs, S.A. de C.V. Del 01 de Enero al 30 de noviembre de 2011 Archivo de PTS
Comprobar que los planes de contingencias sean apropiados y que se garantice la seguridad y confidencialidad de la informacin. Consiste en planes implementados por la entidad para salvaguardar la seguridad y confidencialidad de la informacin y los equipos. En este componente se verifica que se posean planes de respaldo de informacin y Custodia de los mismos.
No. 1
Procedimiento Verifique que se defina una poltica apropiada de planes de contingencia y evalu si esta se adhiere a las necesidades de la entidad. Compruebe si se cumplen los periodos de creacin de las copias de seguridad obteniendo un listado del ultimo ao de los backups realizados y las fechas en las que se efectuo. Verifique el tipo de informacin sujeta a backup, considerando si es apropiada e integra. Elabore una narrativa del proceso de las copias de seguridad e indentifique quien esta a cargo de la custodia de la informacin y si existen restricciones apropiadas de acceso. Conclusin Concluya sobre el trabajo realizado y Redacte las observaciones y hallazgos encontrados.
Hecho por:
Referencia Pts
3 4
40
Observaciones:
Hoja: ndice:
REF:
AUDITORIA DE SISTEMA INFORMTICO DE FACTURACIN E INVENTARIOS & = Obtenido de Comprobacin fsica de los equipos y ubicaciones = reas segn organigrama C/G = Carta de Gerencia A/G = Archivo General = Cumplimiento Verificado = Verificacin fsica. = Datos Obtenidos de Reportes del Sistema = Verificado con el Sistema = Verificado contra documento = Clculos Verificados
41
= Documentacin no apropiada. = Comentario del personal = Verificado contra Software ~ = Verificar contra documento adjunto.
42