FACULTAD DE SISTEMAS MERCANTILES CARRERA DE...

i

FACULTAD DE SISTEMAS MERCANTILES

CARRERA DE CONTABILIDAD Y AUDITORÍA

TESIS DE GRADO PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN

CONTABILIDAD SUPERIOR, AUDITORÍA Y FINANZAS, CPA

AUDITORÍA DE SISTEMAS PARA EL ÁREA DE PROCESAMIENTO

AUTOMÁTICO DE DATOS DE LA DISTRIBUIDORA MARCECI DE LA CIUDAD

DE AMBATO.

AUTOR: RICARDO SANTIAGO BALLADARES QUISPE

TUTOR: Dra. JEANNETTE URRUTIA MSc.

Ambato – Ecuador

2013

ii

CERTIFICACIÓN

Ambato, Abril del 2013

En calidad de asesores del presente trabajo de investigación, certifico que la tesis cuyo

título es “AUDITORÍA DE SISTEMAS PARA EL ÁREA DE PROCESAMIENTO

AUTOMÁTICO DE DATOS DE LA DISTRIBUIDORA MARCECI DE LA

CIUDAD DE AMBATO.” fue elaborado por los Sr. Ricardo Santiago Balladares

Quispe y cumple con los requisitos metodología y científicos que la Universidad

Regional Autónoma de los Andes “UNIANDES” exige, por lo tanto, autorizo su

presentación para los trámites pertinentes.

Atentamente,

iii

DECLARATORIA DE AUTORÍA

Ante las autoridades de la Universidad Regional Autónoma de los Andes

“UNIANDES”. Declaro que el contenido de la tesis cuyo tema es “AUDITORÍA DE

SISTEMAS PARA EL ÁREA DE PROCESAMIENTO AUTOMÁTICO DE

DATOS DE LA DISTRIBUIDORA MARCECI DE LA CIUDAD DE AMBATO”.

Presentada como requisito para la obtención del título en Ingeniería en Contabilidad

Superior, Auditoría y Finanzas CPA es original, de mi autoría y responsabilidad, y nos

compromete a la política de la UNIANDES.

Atentamente,

Santiago Balladares

180459627-6

AUTOR

iv

Dedicatoria

El presente trabajo va dedicado a Dios que me ha dado fortaleza

para afrontar los obstáculos que se han presentado en

esta etapa de mi vida, a mis padres que con su apoyo y

entendimiento han sabido aconsejarme, y se que ellos

siempre estarán ahí cuando más los necesite, por último

lo dedico a mi amiga que con sus palabras de aliento

me animaron a culminar mi trabajo.

Santiago

v

AGRADECIMIENTO

A la Universidad Autónoma de los Andes por abrirnos sus

aulas para que aprendiéramos en ella, a mis profesores

que con su paciencia y conocimiento han sabido guiarme.

A la distribuidora “MARCECI” por permitirme

desarrollar la presente investigación.

Santiago

vi

ÍNDICE

PORTADA ……………………………………………...………..………...……………… I

CERTIFICACIÓN………………………………………………………………………….. II

DECLARACIÓN DE AUTORÍA……………………….……………………..……...……

III

DEDICATORIA……………………...…………………..…………………………………

IV

AGRADECIMIENTO………………….…………………………….…….……………….

V

RESUMEN EJECUTIVO…………………………………………..………………………

XI

EXECUTIVE SUMMARY………………………………..……..………………………… XII

INTRODUCCIÓN…………………..…………………………….………….……….……

1

CAPÍTULO I …………………………………………………………………….……… 6

1. MARCO TEÓRICO………………………………………………………………..….. 6

1.1 Antecedentes de la Auditoría De Sistemas……………………………………...……. 6

Fases de la Auditoría De Sistemas ………………...…………………………………….. 10

Toma de Contacto…………………………………..……..………………………………. 11

Planificación de la Operación. ………………………..…………….……………………. 11

Desarrollo de la Auditoría ……………………………………….…..…………….…….. 12

Fase de Diagnóstico. ……………………….……………………………………….…….. 12

Presentación de Conclusiones……………………..……………………...………….……. 13

1.2 POSICIONES TEÓRICAS SOBRE LA AUDITORÍA DE SISTEMA…………… 13

Objetivos Generales del Área de Procesamiento de Datos………………………. ……… 16

Objetivos Específicos del Área Procesamiento Automático de Datos …………………… 17

Perfil del Auditor de Sistemas…………………………………………………………….. 18

Auditoría Alrededor del Computador……………………………………………………… 18

Auditoría a Través del Computador……………………………………………………… 20

Auditoría con el Computador……………………………………………………………... 21

Funciones de la Auditoría de Sistemas. …………………………………………………. 22

1.3 VALORACIÓN CRÍTICA SOBRE LA AUDITORÍA DE SISTEMAS…………... 23

CONCLUSIONES…………………………………………………………………………. 24

CAPÍTULO II……………………………………………………………………………... 25

2. MARCO METODOLÓGICO Y PLANTEAMIENTO DE LA PROPUESTA……. 25

2.1CARACTERIZACIÓN DE SECTOR…………………………………………….….. 25

2.2 DESCRIPCIÓN DEL PROCEDIMIENTO METODOLÓGICO PARA EL

DESARROLLO……………………………………………………………………………. 26

Investigación Bibliográfica ………………………………………..……………….………. 28

Inductivo- Deductivo………………….…………………………………………….……… 28

Analítico-Sintético………………………………….………………………….…………… 28

Histórico- lógico…………………………………..…………………….………………….. 28

La entrevista………………………………………….………………..……………………. 28

Observación……………………………………………..………………………………….. 29

Entrevista……………………………………………………….………………………….. 30

vii

Análisis de la encuesta dirigida al área administrativa, financiera, y el área del

PAD…………………………………………………………………………………..….….. 33

Comprobación de Hipótesis…………………………………………….………………….. 43

Validación de la Hipótesis …………………………………………..…………………..…. 44

Variables de la Investigación………………………………………..………………….…... 44

Procedencia …………………………………………………………...……………………. 45

Propuesta para el Desarrollo de la Auditoría De Sistemas …………….………..…….…… 47

Fases de la Auditoría de Sistemas ……………………………………………………….….. 48

Fase I ………………………………………………………….………………………..…… 49

Fase II……………………………………………………………………………………….. 44

Fase III…………………………………………………………..…………………….…….. 50

Estructura del Informe……………………………………………...………………….…… 51

CONCLUSIONES………………………………………………………………………… 52

CAPÍTULO III…………………………………………………………………………….. 53

3. DESARROLLO DE LA PROPUESTA Y APLICACIÓN …………………….…….. 53

3.1. Desarrollo……………………………………………………………………………… 53

Objetivos del Auditor en la Auditoría la Auditoría de Sistemas………………………... 53

Fase I De La Auditoría De Sistemas Visita Previa………………………………………. 54

Visita Previa………………………………………………………………………………… 55

Fase II De La Auditoría De Sistemas Planificación……………………………………… 56

Planificación de Auditoría De Sistemas……………………………………………………. 57

Plazo para La Elaboración De La Auditoría……………………………………………….. 59

Modelo de Entrevista Dirigida Al Área PAD ……………………………………………... 60

Modelo de Entrevista al Personal ………………………………………………………... 61

Modelo de Entrevista Dirigida al Área PAD Sobre la Topología de Red…………………………………………………………………………………..………. 62

Modelo de Informe Sobre los Equipos que Maneja el Área PAD…………………………………………………………………………………………..

63

Modelo de Entrevista en el Área PAD Sobre Técnicas de seguridad en la Información…… 64

Plantilla de Marcas de Auditoría…………………………………………………………… 65

Fase III Ejecución De La Auditoría De Sistemas ……………………………………..… 66

Antecedentes de la Distribuidora…………………………………………………………... 67

Organigrama Estructural ……………………………………………………………………. 70

Memorándum………………………………………………………………………………... 71

Ubicación del Área del PAD..……………………………………………………………… 72

Entrevista Dirigida Al Área PAD Para Determinar La Existencia De Un Manual De

Funciones y sus Responsables. …………………………………………………………….. 74

viii

Procediditos o Manual De Funciones del PAD…………………………………………….. 75

Responsable del Área Del PAD …………………………..………………...……………… 76

Sistema que se Utiliza …………………………………………….………………………. 77

Entrevista Aplicada Al Personal ……………………………………………………………. 78

Sistema Fenix Dentro del PAD ………………………………………………..………...…. 73

Topología de Red ………………………………………………….………………………. 80

Entrevista Dirigida al Área PAD Sobre la Topología de

Red………………………………………………………………………...………………… 81

Dispositivos Y Técnicas De Seguridad Dentro Del Área PAD …………………………….. 82

Entrevista Aplicada En El Área PAD Sobre Técnicas De Seguridad en la

Información……………………………………………………………………….…………. 83

Informe Sobre Los Equipos Que Maneja El Área PAD……………………………….……. 84

Hallazgos ……………………………………………………………………………………. 86

Borrador Del Informe De Auditoría De Sistemas……………………………………..……. 90

Informe De Auditoría ……………………………………………………………………….. 91

Índice De Contenidos …………………………….………………………………………… 92

Capítulo I…………………………………………………………………………………… 93

Capítulo II……………………………………………………………….………………….. 93

Capítulo III………………………………………………………………….……………….. 97

Informe Final ……………………………………………………………………………….. 97

Conclusiones………………………………………………………………………………… 97

Recomendación ………………………………………………………………………….…. 98

CONCLUSIONES GENERALES ……………………………………………………….. 99

RECOMENDACIONES…………………………………………………………………… 100

BIBLIOGRAFÍA

ANEXOS

ix

ÍNDICE DE TABLAS

Tabla No 1………………………………………………………………………….. 33

Tabla No 2………………………………………………………………………….. 34

Tabla No 3………………………………………………………………………….. 35

Tabla No 4………………………………………………………………………….. 36

Tabla No 5………………………………………………………………………….. 37

Tabla No 6…………………………………………………………………………. 38

Tabla No 7………………………………………………………………………….. 39

Tabla No 8………………………………………………………………………….. 40

Tabla No 9……………………………………………………………………….…. 41

Tabla No 10………………………………………………………………………… 42

Tabla No 11………………………………………………………………………… 45

Tabla No 12……………………………………………………………………….... 45

x

ÍNDICE DE FIGURAS

Figura 1: Retos Dentro de la Auditoría de Sistemas……………...……………...….… 9

Figura 2: Auditoría Informática……………………………………………………..…. 14

Figura 3: Objetivos de la Auditoría de Sistemas………………………………………. 16

Figura 4: Auditoría Alrededor del Computador…………………………..………….... 19

Figura 5: Auditoría a Través del

Computador…………………………………………………………….……...….…… 20

Figura 6: Auditoría con el Computador………………………………………………... 22

Figura N°7: Distribuidora “MARCECI”………………………………………….…… 33

Figura N°8: Distribuidora “MARCECI”………………………………………………. 34

Figura N°9: Distribuidora “MARCECI”………………………………………………. 35

Figura N°10: Distribuidora “MARCECI”……………………………………...……… 36

Figura N°11: Distribuidora “MARCECI”………………………………………..……. 37

Figura N°12 Distribuidora “MARCECI”……………………………………………… 38

Figura N°13: Distribuidora “MARCECI”………………………………………...…… 39

Figura N°14: Distribuidora “MARCECI”…………………………………..…………. 40

Figura N°15: Distribuidora “MARCECI”………………………………..……………. 41

Figura N°16: Distribuidora “MARCECI”……………………………...……………… 42

Figura 17: Propuesta Auditoría de

sistemas…………………………….……………………………………..…………… 47

Figura 18: PLANIFICACIÓN…………………………………………………………. 49

Figura 19: EJECUCIÓN………………………………………….……………………. 50

Figura 20: ESTRUCTURA DEL INFORME…………………..……………………… 51

xi

RESUMEN EJECUTIVO

El proyecto de tesis titulado “AUDITORÍA DE SISTEMAS PARA EL ÁREA DE

PROCESAMIENTO AUTOMÁTICO DE DATOS DE LA DISTRIBUIDORA

MARCECI DE LA CIUDAD DE AMBATO”. Se presta la auditoría de sistemas

enfocada al área de procesamiento automático de datos (PAD) desde el punto de vista

del auditor, en la presente investigación se presenta los contenidos que involucra a la

auditoría de sistemas es decir las distintas posiciones teóricas, de diferentes autores que

complementa el entendimiento y el trabajo que se realizó. Contenido: primera parte,

comprende la introducción de la auditoría de sistemas. A su vez, se plantea: la situación

problemática, el problema científico, el objetivo general, los objetivos específicos que

se pretende lograr en la investigación, la hipótesis. Asimismo, se específica la novedad

del tema y los métodos, técnicas y herramientas empleados en la investigación y

desarrollo del tema. La segunda parte, está formada por el Capítulo I, corresponde a la

parte conceptual y teórica de la auditoría de sistemas, lo que permite un mejor

entendimiento y compresión del alcance y objetivos de la misma. Estudio que ayuda

analizar los componentes a utilizar determinando elementos que rodeen la

conceptualización del área de procesamiento automático de datos (PAD). La tercera

parte, está formada por el Capítulo II, corresponde al marco propositivo de la

evaluación del área de procesamiento automático de datos, identificando procesos de

auditoría de sistemas. La cuarta parte, está formada por el Capítulo III, corresponde a

los procedimientos y resultados de la investigación en base a la propuesta sobre el área

de procesamiento automático de datos. La investigación en el presente trabajo hace uso

del razonamiento para explicar algo, partiendo de lo general a lo particular, o a su vez

iniciar de un estudio individual de los hechos para formar conclusiones universales, que

permita establecer una mejor compresión del área de procesamiento automático de

datos. Utilizando técnicas y herramientas de investigación basada en la auditoría de

sistemas, análisis documental, recolección de datos, observación directa, entrevistas,

cuestionarios y análisis de datos, para desarrollar y establecer estrategias que faciliten

estudio del objeto de investigación y los distintos obstáculos que pueden presentarse. El

estudio se concreta con una estructura lógica de investigación en la cual se profundiza

todos los contenidos que necesita la empresa para realizar una auditoría de sistemas

para el área de procesamiento automático de datos en la Distribuidora “MARCECI”

xii

EXECUTIVE SUMMARY

The thesis entitled "SYSTEMS MANAGEMENT AUDIT AREA FOR AUTOMATIC

DATA PROCESSING ENTERPRISE CITY MARCECI AMBATO". It provides systems

audit focused to the area of automatic data processing (PAD) from the point of view of

the auditor, in this investigation is presented content involving systems audit is different

theoretical positions, from different authors understanding and complementing the work

that was performed. Contents: Part I, comprising introducing systems auditing. In turn,

arises: the problem situation, the scientific problem, the general objective, specific

objectives to be achieved in the research, the hypothesis. Additional specific novelty of

the topic and the methods, techniques and tools used in the research and development of

the subject. The second part consists of Chapter I, corresponds to the conceptual and

theoretical systems audit, which allows a better understanding and understanding of the

scope and objectives of the same. Study to help analyze the components to use elements

determining the conceptualization surround the area of automatic data processing

(PAD). The third part consists of Chapter II, purposing framework corresponds to the

evaluation of the area of automatic data processing, identifying systems audit

processes. The fourth part consists of Chapter III, corresponds to the procedures and

results of research based on the proposal on the area of automatic data processing. The

research in this paper makes use of reasoning to explain something, starting from the

general to the particular, or in turn initiate an individual examination of the facts to

form universal conclusions, in order to establish a better understanding of automatic

processing area data. Using research techniques and tools based on systems audit,

document analysis, data collection, direct observation, interviews, questionnaires and

data analysis, to develop and establish strategies to facilitate study of the research

object and the various obstacles that may arise . The study is carried out with a logical

structure of research in which we examine all the content you need the company to

audit management systems to the area of automatic data processing in the Distributor

"MARCECI".

1

INTRODUCCIÓN

Antecedentes de la investigación

En la primera época de la informática, los sistemas automatizados se limitaban a

reproducir los sistemas de contabilidad manuales. Mantenían controles

e informes similares, es decir, repetían el mismo procedimiento pero con el ordenador.

El entorno de trabajo era poco amigable y la aplicación poco flexible pero, aun así, se

dio un avance adecuado a la posibilidad de obtener los estados contables a partir de

los datos del diario.

Al principio el problema para los auditores, el computador se había convertido en un

obstáculo que representaba a una máquina compleja y desconocida manipulada por

operadores que empleaban un lenguaje no menos conocido.

La situación se complica aún más con la aparición del teleproceso y de las técnicas de

acercamiento de la informática al usuario. Se llega así a una etapa que exige otra clase

de auditor más especializado y con mayores conocimientos técnicos en materia de

informática, alguien que sea capaz de comunicarse con el personal de proceso de datos.

Para el logro de esto se requerirá ya sea formar a personas seleccionadas de la unidad de

proceso de datos en técnicas de auditoría, o bien, que el personal de auditoría financiera

se adiestre en técnicas de proceso de datos.

De esta manera aparece una nueva relación entre los auditores y la unidad de procesos

de datos, según la definición de Eurípides Rojas (1989), la auditoría de sistemas es la

parte de la auditoría interna que se encarga de llevar acabo la evaluación de normas,

controles, técnicas y procedimientos que se tiene establecido en una empresa para lograr

confiabilidad, oportunidades, seguridad y confidencialidad de la información que se

procesa a través de computadores.

Echenique (2001), coincide con este autor en su definición, pero añade que servirá para

una mejor toma de decisiones.

1. Rojas, Eurípides. Funciones De La Auditoría De Sistemas: Marzo De 1989. I Simposio Internacional

Y VI Colombia De Controles, Seguridad y Auditoría De Sistemas.1991

2. Echenique, José Antonio. Auditoría En Informática. Pág. 16

http://www.monografias.com/trabajos11/curinfa/curinfa.shtml

http://www.monografias.com/trabajos11/teosis/teosis.shtml

http://www.monografias.com/trabajos6/maca/maca.shtml

http://www.monografias.com/trabajos14/informeauditoria/informeauditoria.shtml

http://www.monografias.com/trabajos13/mapro/mapro.shtml

http://www.monografias.com/trabajos34/el-trabajo/el-trabajo.shtml

http://www.monografias.com/trabajos11/basda/basda.shtml

2

Motivo por el cual las empresas ecuatorianas deberían considerar a la auditoría de

sistemas como una herramienta que permite evaluar todos los aspectos relacionados

con los recursos informáticos de la organización, como son el procesamiento automático

de datos, talento humano, funciones y procedimientos, enfocados todos ello desde el

punto de vista administrativo, técnico, y de seguridad; y propende por prevenir a la

empresa de aquellos riesgos originados por omisiones, errores, violaciones, actos mal

intencionados, desastres naturales, etc.., asesorando y proporcionado recomendaciones y

sugerencias a nivel directivo para lograr un adecuado control interno en la empresa.

En la actualidad la empresa ecuatoriana cuenta con sistemas informáticos contables y

administrativo financiero que no le permite obtener resultados adecuados, e

instalaciones apropiadas que generen información oportuna sin ocasionar daños, fallas,

desviaciones, falsificaciones, alteraciones, en los resultados que la empresa requiere del

área del procesamiento automático de datos (PAD).

A partir de lo anteriormente expuesto, se plantea como problema científico:

¿Cómo contribuir al perfeccionamiento del área de procesamiento automático de datos

(PAD) de la Distribuidora “MARCECI”?

Con lo cual el objeto de investigación se centra en el procesamiento automático de

datos, y el campo de acción está relacionado con los procesos de auditoría de sistemas,

así mismo, la línea de investigación para este estudio es la auditoría.

El objetivo general que responde a la investigación es:

Diseñar procesos de auditoría de sistemas para el área de procesamiento automático de

datos (PAD) en la Distribuidora “MARCECI”.

Los objetivos específicos que se derivan son:

1.-Fundamentar los referentes teóricos de la auditoría de sistemas, como punto de

partida conociendo el alcance y la responsabilidad que implica la misma.

2.-Establecer las principales causas que amenazan al área de procesamiento automático

de datos (PAD).

3

3.-Estructurar procesos de auditoría de sistemas para el área de procesamiento

automático de datos (PAD).

La hipótesis que se comprende con el problema planteado, y que debe cumplirse

con los objetivos establecidos, es

Con el diseño de un sistema de auditoría para el área de procesamiento automático de

datos se mejora la seguridad y eficiencia de la información para una mejor toma de

decisiones en la Distribuidora “MARCECI”.

Variables de la investigación

Independientes auditoría de sistemas.

Dependientes seguridad y eficiencia del área de procesamiento automático de

datos.

El estudio de las variables dependientes e independientes en los últimos años, denomina

a la variable dependiente como el efecto y a la variable independiente como la causa,

fundamentos teóricos que permiten analizar la relación causa efecto dentro de la

auditoría de sistemas para desarrollar procedimientos para el área de procesamiento


La teoría de la investigación cualitativa según Ruíz (2012); pretende captar el

significado de las cosas (procesos, comportamientos, actos), su objetivo es la captación

y reconstrucción del significado, así en base a esta investigación permite el

entendimiento del área de proceso automático de datos (PAD).

A través del estudio de la investigación cualitativa y cuantitativa, se puede lograr:

Cualitativa

1.-Un enfoque amplio del pensamiento que se desee,

2.-Planes de trabajos flexibles y reactivos. y,

3.-La definición de un significado o problema.

Ruiz (2012). Metodología de la investigación Cualitativa. España. Deusto

4

Cuantitativa

1.-Partir de un problema bien definido por el investigador,

2.-Objetivos definidos, y,

3.-Utilizar medios de recolección de información y medición.

Al hacer uso de este tipo de investigación se puede profundizar en los distintos casos y

obstáculos que puede afrontar la auditoría de sistemas.

La investigación en el presente trabajo hace uso del razonamiento para explicar algo,

partiendo de lo general a lo particular, o a su vez iniciar de un estudio individual de los

hechos para formar conclusiones universales, que permita establecer una mejor

compresión del área de procesamiento automático de datos.

Utilizando técnicas y herramientas de investigación basada en la auditoría de sistemas,

análisis documental, recolección de datos, observación directa, entrevistas, cuestionarios

y análisis de datos, para desarrollar y establecer estrategias que faciliten estudio del

objeto de investigación y los distintos obstáculos que pueden presentarse.

El estudio se concreta con una estructura lógica de investigación en la cual se

profundiza todos los contenidos que necesita la empresa para realizar una auditoría de

sistemas para el área de procesamiento automático de datos en la Distribuidora

“MARCECI”.

Con los métodos, técnicas y herramientas de investigación planteadas podemos realizar

y sustentar la investigación metodológica.

5

La primera parte, comprende la introducción de la auditoría de sistemas. A su vez, se

plantea: la situación problemática, el problema científico, el objetivo general, los

objetivos específicos que se pretende lograr en la investigación, la hipótesis. Asimismo,

se específica la novedad del tema y los métodos, técnicas y herramientas empleados en

la investigación y desarrollo del tema.

La segunda parte, está formada por el Capítulo I, corresponde a la parte conceptual y

teórica de la auditoría de sistemas, lo que permite un mejor entendimiento y

compresión del alcance y objetivos de la misma. Estudio que ayuda analizar los

componentes a utilizar determinando elementos que rodeen la conceptualización del

área de procesamiento automático de datos (PAD).

La tercera parte, está formada por el Capítulo II, corresponde al marco propositivo de la

evaluación del área de procesamiento automático de datos, identificando procesos de

auditoría de sistemas.

La cuarta parte, está formada por el Capítulo III, corresponde a los procedimientos y

resultados de la investigación en base a la propuesta sobre el área de procesamiento

automático de datos.

La quinta parte, corresponde a las conclusiones y recomendaciones, determinadas en el

objeto de estudio, luego del respectivo análisis e interpretación de los datos obtenidos.

Aporte teórico, significación práctica, novedad científica:

Teórico: con la fundamentación teórica a los epígrafes relacionados con la auditoría de

sistemas, se corrobora con las distintas posiciones teóricas de autores nacionales e

internacionales que validan los conceptos principales y las distintos conceptos que se

enmarcan en el objeto de investigación y el estudio de las variables que permiten

diseñar procesos de auditoría para el área de procesamiento automático de datos.

Práctico: de igual forma se aportará formativamente e investigativa a la práctica de la

auditoría de sistemas y los procesos tecnológicos que llevaba a cabo el área de

procesamiento automático de datos (PAD).

Novedad científica: diseño de un sistema de auditoría para el área de procesamiento de

datos (PAD) en la Distribuidora “MARCECI.

6

CAPÍTULO I

1. MARCO TEÓRICO

1.1 ANTECEDENTES DE LA AUDITORÍA DE SISTEMAS.

"En tiempos históricos, auditor era aquella persona a quien le leían los ingresos y gas-

tos producidos por un establecimiento (de ahí su raíz latina del verbo audire, oir,

escuchar), práctica muy utilizada por civilizaciones muy antiguas /.../"

La auditoría: con frecuencia la palabra auditoría se ha empleado incorrectamente y se

ha considerado como una evaluación cuyo único fin es detectar errores y señalar

fallas. El concepto de auditoría es más amplio: no solo detecta errores, sino que es un

examen crítico que se realiza con objeto de avaluar la eficiencia y eficacia de una

sección o de un organismo.

La palabra auditoría viene del latin auditorius, y de esta provine auditor, y el

diccionario lo define como “revisor colegiado”. El auditor tiene la virtud de oír y

revisar cuentas, pero debe estar encaminado a un objetivo específico que es el de

evaluar y corregir errores en caso de que existan o mejorar la situación actual.

Informática: el concepto de informática es más amplio que el simple uso de equipos

de cómputo o bien de procesos electrónicos. En la convención de 1983 en el centro

de informática de la facultad de contaduría y administración (CIFCA) de la

universidad autónoma de México se mencionó:

“No existe una sola concepción acerca de que es informática; etimológicamente la

palabra informática, deriva del francés informatique. Este neologismo proviene de la

conjunción de información, y automatique (automática). Su creación fue estimulada

por la intención de dar una alternativa menos tecnocrática y menos mecanicista al

concepto de “proceso de datos”.

El concepto de auditoría informática ha estado ligado al de auditoría en general y al

de auditoría interna en particular, y este ha estado unido desde tiempos históricos al

de contabilidad, control, veracidad de operaciones. En tiempo de los egipcios ya se

hablaba de contabilidad y de control de los riesgos y de las operaciones.

Aun algunos historiadores fijan el nacimiento de la escritura como la necesidad de

registrar y controlar operaciones (Dale Flesher, 50 Years of Progress). Se hace esta

7

referencia a fin de explicar la evolución corta pero intensa historia de la auditoría de

sistemas, para que posteriormente nos sirva de referencia al objeto de entender las

diferentes tendencias que existen en la actualidad.

La informática ha experimentado un desarrollo espectacular desde que comenzara a

implantarse en las empresas, allá por los años sesenta. Este crecimiento ha influido,

en la mayoría de las organizaciones, de un modo notable, tanto en su estructura como

en sus funciones, alterando los tradicionales métodos de verificación y control de los

procedimientos y de los datos de la organización.

Originalmente la informática se orientó al apoyo de áreas tales como contabilidad,

nóminas, entre otros., lo que originó la necesidad de conocer y medir el apoyo que la

misma realizaba en las áreas antes mencionadas, y a la empresa en general, dando

paso al proceso conocido como auditoría a sistemas de información o auditoría de

sistemas. Posteriormente, cubrió las áreas de negocio en todos los niveles por

medio de productos y servicios variados; proliferaron el uso de computadoras

personales e irrumpieron de lleno las redes locales, la integración empresarial a

través de las telecomunicaciones y un sinnúmero de componentes de tecnología. De

este modo la tarea de los responsables de informática y los auditores de sistemas

tradicionales se vio desbordada por estos acontecimientos y les imposibilitó

continuar con los métodos utilizados hasta ese entonces Así surgió la necesidad del

replanteamiento de fondo y forma de la auditoría en informática, conocida también

como auditoría de sistemas, si bien esta abarca solamente la revisión de los sistemas

de información en desarrollo, operación y mantenimiento, siendo éste concepto

inadecuado para la auditoría de sistemas, ya que los elementos de informática

susceptibles de revisión y control son muchos y manifiestan diversas complejidades,

el computador es utilizado cada vez más como instrumento de proceso de

información, planteando un problema nuevo a los auditores tradicionales, ya que el

flujo de datos que había que analizar contaba con un obstáculo, hasta entonces

inexistente: una máquina, compleja y desconocida para ellos, manipulada por

operadores que empleaban un lenguaje no menos desconocido.

Al principio este problema se solucionaba tajantemente ignorándolo. El auditor

verificaba los datos de salida de la máquina teniendo en cuenta tan sólo los que

habían entrado, sin analizar los tratamientos que hubieran podido sufrir en el interior

de la máquina, o sin saber si esos datos de entrada habrían servido para obtener unos

8

datos de salida distintos de los que se enseñaban al auditor. Este es el motivo para

que aparezca una nueva relación entre los auditores y la unidad de proceso de datos,

la que trata de analizar el control interno del centro de cómputo con el criterio de

seguir los flujos de documentos, conciliando datos; sin embargo esto tampoco dio

resultado en vista de que se pierden pistas auditables al llegar al interior del

computador.

La labor de las Auditorías en una empresa mecanizada, se basa muchas veces en la

revisión de informes emitidos por el computador, ya sean periódicos (como los

balances) o a petición: movimientos de una determinada cuenta. El fin perseguido es

verificar la exactitud y corrección de los datos procesados y las posibilidades de ser

contrastados con la documentación fuente para estos controles se pueden utilizar los

listados o informes de cuadre de lotes procesados, informes con la composición de

los saldos de una cuenta o de un grupo de cuentas emitidos a la fecha de la Auditoría.

Para este fin, el sistema mecanizado debe preveer que las transacciones lleven los

datos para posibilitar estas pistas de Auditoría. Por ejemplo, número y fecha de

factura (ya sea de compra o de venta); o referencia de contratos (en su caso); número

de cheque y fecha, etc. Con estas referencias se podrá acceder a la documentación

que originó la transacción, y, aparte de verificarse si se procesó correctamente,

constatar, cuando sea aplicable, si se aprobó por personal autorizado para hacerlo. La

situación se complica aún más con la aparición del teleproceso y de las técnicas de

acercamiento de la informática al usuario. Se llega así a una etapa que exige otra

clase de auditor más especializado y con mayores conocimientos técnicos en materia

de informática, alguien que sea capaz de comunicarse con el personal de proceso de

datos. Para el logro de esto se requerirá ya sea formar a personas seleccionadas de la

unidad de proceso de datos en técnicas de Auditoría, o bien, que el personal de

Auditoría financiera se adiestre en técnicas de proceso de datos. Cuando se trata de

verificar controles generales, podría hacerse con personas que tuvieran el segundo

perfil; sin embargo, si el análisis ha de ser más profundo, es preferible emplear

personal que haya tenido experiencia previa en programación.

El auditor tiende a acercarse más al ordenador, así lo puede emplear como

herramienta de Auditoría, actualmente el auditor dispone de programas para analizar

la información, datos contables, verificar cuadres, analizar archivos, sumar campos

9

de totales, surgiendo los paquetes de Auditoría, que dan origen a la especialidad de

Auditoría por Ordenador como parte de la Auditoría Informática.

La Auditoría necesitó evolucionar paralelamente con el desarrollo de nuevos

enfoques administrativos y principalmente con el creciente avance y uso de la

tecnología de información en el manejo de los negocios de las empresas, implicó

nuevos retos para el auditor como los siguientes:

Examinar y evaluar la suficiencia de las pistas de las transacciones

en medios magnéticos

Obtener evidencia de la segregación electrónica de funciones entre las

terminales y personas que puedan acceder a los recursos de cómputo

Obtener evidencia del funcionamiento de los controles implantados dentro

del software de las aplicaciones y evaluar su efectividad y suficiencia

Verificar que únicamente se efectúan cambios autorizados a los

archivos de datos y programas de computador

Verificar que los recursos de computador únicamente se utilizan para

trabajos de la empresa

Entender conceptos de la tecnología de información, base de

datos, programas objetos, sistemas multiusuarios, etc.

Utilizar los computadores como herramientas para hacer

auditorías más eficientes y efectivas.

Asesorar el diseño de controles en los sistemas de

información computarizada

Figura 1: Retos Dentro De La Auditoría De Sistemas

Fuente: Acha José (1994).

10

Entonces la auditoría en sistemas se encarga de evaluar y verificar políticas, controles,

procedimientos y seguridad en los recursos dedicados al manejo de la información,

mediante la aplicación de una metodología que debe de ejecutarse con formalidad y

oportunidad. La función del auditor en sistemas es el de funcionar como un punto de

control y confianza para la alta dirección o los dueños de la empresa, además debe ser el

facilitador de soluciones. Una de las tareas principales del auditor es la de conducir

siempre a la empresa a optimizar el uso de los recursos informáticos, por otro lado es

incorrecto pensar que la auditoría en sistemas producirá un cambio instantáneo en la

cultura organizacional, en los métodos de trabajo, o en la mala calidad o

improductividad, se debe pensar que la auditoría en sistemas es un elemento estratégico

directo que apoya o promueve la eliminación o corrección de cada una de las

debilidades antes mencionadas. Se espera que un auditor en sistemas sea un profesional,

un experto, pero sobre todo que sea un ser sensible, humano, que entienda el contexto

real del negocio que está auditando. Su principal objetivo es darle a cada problema la

dimensión justa y convertirlo en una solución para la empresa. En las últimas décadas,

la informática se ha extendido a todas las ramas de la sociedad, es decir, es posible

desde controlar un vuelo espacial por medio de computadoras hasta armar una receta de

cocina en una computadora o llevar los gastos personales. De lo anterior se desprende la

idea de que se han obtenido importantes beneficios tangibles (reducción de costos,

incremento en ventas), y otros con aspectos intangibles (mejoría en la imagen o

satisfacción del cliente) pero ambos con la misma importancia para seguir impulsando

la investigación y actualización constante de la tecnología y el avance continuo de la

auditoría de sistemas.

Fases de la Auditoría de Sistemas

Rivas (1989), se presentará en este apartado una pequeña guía a seguir en la realización

de una auditoría de sistemas, con independencia, claro está, de que luego en una

aplicación real puedan obviarse algunos elementos, en función de las características del

problema a auditar.

Rivas. (1989). Auditoría Informática. Madrid: Días de santos.

11

Se presentará, pues, las fases que puede comprender una auditoría, con una parada en

cada una de ellas comentando brevemente los aspectos a cubrir.

Toma de contacto.

Planificación de la operación.

Desarrollo de la auditoría

Fase de diagnostico

Presentación de conclusiones.

Toma de Contacto.

Esta etapa tendrá lógicamente mucho más sentido si el equipo auditor es externo a la

organización, ya que en ella se recaba toda la información, relativa a la empresa a

auditar, en puntos tales como:

- Organización.

- Organigrama.

- Volumen, líneas de producto, planes.

- Situación en el mercado.

Esto en cuanto a la organización en general. Y por lo que respecta ya al servicio

informático es conveniente, mediante la oportuna documentación y entrevistas, llegar a

conocer.

- Estructura del departamento.

- Relaciones funcionales y jerárquicas.

- Recursos: humanos= número, experiencia, formación, funciones.

Materiales= configuraciones, hardware, herramientas, software,

comunicaciones.

En definitiva una larga lista que permitirá la auditor adquirir el suficiente grado de

conocimiento del servicio donde se ubicará para realizar su examen.

Planificación de la Operación.

Una vez que el auditor ha completado la etapa anterior y conoce, está en condiciones de

comentar y exponer si ha habido problemas en la etapa anterior, así como definir los

resultados esperados en la operación, para lo que tendrá que fijar, entre otros:


12

- Concentración de los objetivos.

- Las áreas que cubrirá.

- Personas de la organización que habrán de colaborar y en que momento de la

auditoría.

- Plan de trabajo: tareas, calendario, resultados parciales, presupuesto, equipo

auditor necesario.

Concluidas estas dos primeras etapas, el equipo auditor debe disponer de toda la

información necesaria: manuales, conocimiento de personas, movilidad en la

organización, para estar en condiciones de abordar la siguiente fase.

Desarrollo de la Auditoría

Es el momento de ejecutar las tareas que se enunciaron en la fase anterior; es ésta

una fase de observación, de recogida de datos, situaciones, deficiencias. En resumen

es un período en el que:

- Se efectuaran las entrevistas previstas en la planificación.

- Se completaran los cuestionarios que conlleva el auditar.

- Se observaran las situaciones deficientes no solo las aparentes.

- Se observaran los procedimientos, tanto en los informáticos como en los

usuarios.

- Se ejecutara por tanto todas las previsiones efectuadas en la fase anterior.

Fase de Diagnóstico.

Cuando ya se han efectuado todas las revisiones, el equipo auditor debe <<encerrarse>>

ya sin la intervención de la empresa auditada, para poder analizar e interpretar todos los

datos obtenidos en el punto anterior y ser capaces de concluir con un diagnóstico de la

situación real encontrada.

Para ello se servirán de su propia experiencia en situaciones anteriores, así como de los

modelos que tengan establecidos, contra los que poder contrastar los resultados de

observaciones, pudiendo comparar cantidades cuantificables.

Como resultado de esta etapa, han de quedar claramente definidos los puntos débiles y

por contrapunto los fuertes, los riesgos eventuales, y en una primera instancia, unos

posibles tipos de solución o mejora.

Rivas. (1989). Auditoría Informática. Madrid: Días de Santos.

13

Presentación de Conclusiones

Es el momento que los responsables comprometidos conozcan las conclusiones

obtenidas por los auditores en la realización de la fase anterior.

Estas conclusiones por supuesto que se discutirán con las personas afectadas, por lo que

han de ir lo suficientemente argumentadas, probadas y documentales como para que no

puedan ser efectuadas en las primeras discusiones.

Esta fase es claramente delicada por cuanto es el momento en el que se presentan

deficiencias, situaciones anómalas o cuanto menos mejorables. Es por ello

recomendable que los auditores tengan el suficiente tacto como para presentar estas

conclusiones como un plan de mejoras en beneficio de todos.

1.2 POSICIONES TEÓRICAS SOBRE LA AUDITORÍA DE SISTEMAS

La auditoría de sistemas es un examen metodológico realizado al área de procesamiento

automático de datos, realizado de una forma puntual y de modo discontinuo, a

instancias de la dirección, con la intención de ayudar a mejorar conceptos como la segu-

ridad, la eficacia, y la rentabilidad del servicio, o del sistema, que resultan auditados.

En esta definición hay cuatro palabras que destacan sobremanera: examen, metódico,

puntual, discontinuo. Esta relevancia podría justificarse diciendo que la auditoría

informática es un examen, pues debe partir de una situación dada; que éste es metódico,

puesto que seguirá un plan de trabajo perfectamente sistematizado que permite llegar a

conclusiones suficientemente fundamentadas (conclusión ésta exigible a cualquier

auditoría); que es puntual, ya que se da un corte en el calendario para llevarla a cabo, y

que es discontinua, extraña al servicio de informática, en aras de buscar la objetividad

requerida, por lo que será ejecutada por personas ajenas al departamento independientes

de las funciones a auditar.


14

Figura 2: Auditoría Informática

Auditoría Control Control De Gestión

¿Qué hace? Examina, determina y recomienda

Establece Dispositivos de seguridad

Evalúa el coeficiente objetivos/realización

¿Cuándo hace? Dando un corte en el

calendario

Permanentemente Permanentemente

¿Cómo se hace? Desmonta los mecanismos

Vigila Acciones correctiva

Fuente: López Vélez (1986)

Galán Quiroz (1996) define, Auditoría de Sistemas: Es la revisión y evaluación de los

controles, sistemas y procedimientos de informática; de los equipos de cómputo, su

utilización, eficiencia y seguridad, de la organización que participa en el procesamiento

de la información, a fin de que por medio del señalamiento de cursos alternativos se

logre una utilización más eficiente y segura de la información, de los equipos, del

recurso humano, se mejoren los procesos y se logre de manera integrada una

organización ágil, dinámica, controlada y segura.

La auditoría en Informática comprende:

evaluación de los centros de cómputo

evaluación de las aplicaciones

evaluación de los procedimientos específicos

evaluación de los sistemas de información, entradas, procedimientos, controles,

archivos, seguridad y obtención de información.

Galán Quiroz (1996). Informática y Auditoría para las Ciencias Empresariales .Bucaramanga

15

Según la definición de Rojas(1989), "La auditoría de sistemas es la parte de la auditoría

interna que se encarga de llevar a cabo la evaluación de normas, controles, técnicas y

procedimientos que se tienen establecidos en una empresa para lograr con habilidad,

oportunidad, seguridad y confidencialidad de la información que se procesa a través de

computadores; es decir, en estas evaluaciones se está involucrando tanto los elementos

técnicos como humanos que intervienen en el proceso de la información". También es

conveniente conocer el concepto de Echenique (2001), que al respecto expone lo

siguiente: "La auditoría en informática es la revisión y evaluación de los controles,

sistemas, procedimientos de informática; de los equipos de cómputo, su utilización,

eficiencia y seguridad, de la organización que participa en el procesamiento de la

información, a fin de que por medio del señalamiento de cursos alternativos se logre una

utilización más eficiente y segura de la información que servirá para una adecuada toma

de decisiones. La auditoría en sistemas deberá comprender no sólo la evaluación de los

equipos de cómputo o de un sistema o procedimiento específico, sino que además habrá

de evaluar los sistemas de información en general desde sus entradas, procedimientos,

controles, archivos, seguridad y obtención de información. Ello debe incluir los equipos

de cómputo como la herramienta que permite obtener la información adecuada y la

organización especifica (departamento de cómputo, departamento de informática,

gerencia de procesos electrónicos, etc.) que hará posible el uso de los equipos de

cómputo".

Con base en las definiciones anteriores, se puede concluir que la auditoría de sistemas se

encarga de la evaluación de todos aquellos aspectos relacionados con el área de

procesamiento automático de datos de la organización como son software, hardware,

talento humano, funciones y procedimientos, enfocados todos ellos desde el punto de

vista administrativo, técnico y de seguridad; y propende por prevenir a la empresa de

aquellos riesgos originados por omisiones, errores, violaciones, actos mal

intencionados, desastres naturales, etc., asesorando y proporcionando recomendaciones

y sugerencias a nivel directivo para lograr un adecuado control interno en la empresa.

Rojas. Funciones de la Auditoría de Sistemas: Marzo de 1989. I Simposio Internacional Y VI Colombia

de Controles, Seguridad y Auditoría de Sistemas.1991

Echenique, José Antonio. Auditoría en Informática. Pág. 16

16

Fuente: Elaboración Propia

Objetivos Generales del Área de Procesamiento de Datos

Evaluar las políticas generales sobre planeación, ambiente laboral entrenamiento

y capacitación, desempeño, supervisión, motivación y remuneración del talento

humano.

Evaluar las políticas generales de orden técnico con respecto al software,

hardware, desarrollo, implantación, operación y mantenimiento de sistemas de

información.

Evaluar las políticas generales sobre seguridad física con respecto a

instalaciones, personal, equipos, documentación, y planes de contingencias.

Evaluar los recursos informáticos de la empresa con énfasis en su nivel

tecnológico, producción de software y aplicaciones más comúnmente utilizadas.

Asesorar a la gerencia y altos directivos de la empresa en lo relacionado con los

sistemas de información, de tal forma que el proceso de toma de decisiones se

efectúe lo más acertadamente posible.

Sistemas de

información

Funciones

Procedentitos

Software

Hardware

Talento humano

Confiabilidad

Oportunidad

Seguridad

Confidencialidad

Eficiencia

Toma de decisiones

Asesoría

Recomendaciones

Auditoría

De

Sistemas

Figura 3: Objetivos de la Auditoría de Sistemas

17

Conocer las políticas generales y actitudes de los directivos frente a la auditoría

y seguridad de los sistemas de información y proceder a hacer las

recomendaciones pertinentes.

Efectuar un análisis sobre la concepción, implementación y funcionalidad de la

seguridad aplicada a los sistemas de información.

Analizar los componentes del costo involucrado en la sistematización de los

diferentes procesos, así como evaluar los beneficios derivados de la misma.

Objetivos Específicos del área procesamiento automático de datos

Evaluar el grado de intervención de la auditoría de sistemas en las etapas de

desarrollo, implementación y mantenimiento de las aplicaciones.

Evaluar las políticas y criterios para la adquisición y/o desarrollo del software.

Evaluar los riesgos y fraudes de mayor incidencia al interior de la empresa.

Examinar la documentación existente con respecto a los manuales de sistemas,

usuario, operación, auditoría, funciones y procedimientos, para determinar su

actualización y efectividad.

Revisar los procedimientos existentes sobre planeación, ambiente laboral,

entrenamiento y capacitación, desempeño, supervisión, motivación y

remuneración del talento humano.

Examinar los procedimientos existentes con respecto al software, hardware,

desarrollo, implementación, operación y mantenimiento de los sistemas de

información.

Revisar los procedimientos existentes sobre seguridades físicas con respecto a

instalaciones, personal, equipos, documentación, back-ups. pólizas y planes de

contingencias.

Constatar si el personal se encuentra capacitado para aplicar controles y

procedimientos de seguridad.

Comprobar si los planes de seguridad son evaluados periódicamente.

Comprobar la participación de los usuarios durante las etapas de análisis, diseño

y puesta en marcha de las diferentes aplicaciones.

Comprobar si existe una adecuada segregación de funciones y su cabal

aplicación.

Evaluar la funcionalidad de la estructura orgánica del centro de informática.

Revisar las políticas de ascensos, promociones y vacaciones del personal.

18

Evaluar los procedimientos para captura, verificación y almacenamiento de los

datos.

Evaluar los procedimientos para asignación de claves de acceso, modificaciones,

cancelaciones, etc.

Perfil del Auditor de Sistemas

Para poder desempeñar adecuadamente la función de auditoría de sistemas, el auditor

debe ser un profesional integro, poseedor de excelentes capacidades académicas, éticas

y morales, tener conocimiento suficiente y experiencia en aspectos informáticos a nivel

de hardware, software, comunicaciones, en análisis, diseño, puesta en marcha y

mantenimiento de sistemas de información.

Cuando se audita , el auditor debe tener conocimiento suficiente sobre hardware,

software y sistemas de procesamiento en computador, para planear el trabajo y entender

cómo afecta al PAD, el estudio y evaluación del control interno y la aplicación de los

procedimientos de auditoría, incluyendo técnicas de auditoría con ayuda del

computador".

Desde otro punto de vista podríamos decir que la Auditoría Informática para

aplicaciones en funcionamiento ha tenido la evolución sintetizada en:

Auditoría alrededor del computador

Auditoría a través del computador

Auditoría con el computador

Auditoría alrededor del Computador

Se consideran al programa y a los archivos como caja negra, esto es, que no se auditan.

La auditoría alrededor del computador concentra sus esfuerzos en la entrada de datos y

en la salida de la información.

19

Fuente: Dra. Teresita Gómez. Módulo de Auditoría de Sistemas

En resumen se grafica la forma como se concibe a la Auditoría alrededor del

computador.

Es el enfoque más cómodo para los auditores de sistemas, por cuanto únicamente se

verifica la efectividad del sistema de control interno en el ambiente externo de la

máquina. Naturalmente que se examinan los controles desde el origen de los datos para

protegerlos de cualquier tipo de riesgo que atente contra su integridad, completitud,

exactitud y legalidad. La auditoría alrededor del computador tuvo inicialmente

aceptación generalizada, pero en la medida que la tecnología informática se fue

haciendo cada vez más sofisticada, las técnicas de fraude por computador también se

incrementaron.

Esto obligó a los auditores a modificar su metodología y procedimientos, de manera que

pudieran examinarse los archivos y los programas aplicativos y operativos, esto es, la

fase de procesamiento de datos.

Entrada Salida

Mesa de Control Usuario

Camino de Auditaje

Figura 4: Auditoría Alrededor del Computador

20

Figura 5: Auditoría A Través Del Computador

AUDITORÍA A TRAVÉS DEL COMPUTADOR

AUDITORÍA A TRAVÉS DEL

COMPUTADOR

Sin embargo la auditoría alrededor del computador, no es tan simple como

aparentemente puede pensarse, ella tiene objetivos muy importantes, tales como:

Verificar la existencia de una adecuada segregación funcional en el área de

procesamiento electrónico de datos, y en todos los puntos de su influencia.

Comprobar la eficiencia de los controles sobre seguridades físicas de los datos.

Asegurarse de que todos los datos enviados a proceso estén debidamente

autorizados.

Asegurarse de que todos los datos autorizados sean procesados.

Cerciorarse de que los procesos se hacen con exactitud.

Comprobar que los datos sean sometidos a validación antes de ordenar su proceso.

Verificar la validez del procedimiento utilizado para corregir inconsistencias y la

posterior realimentación de los datos corregidos, al proceso.

Verificar la existencia de suficientes pistas de auditoría.

Examinar la situación de legalidad de los datos

Auditoría a Través del Computador

Este enfoque está constituido por una serie de técnicas orientadas a examinar y evaluar

los recursos de software. La Auditoría a través del computador podríamos

esquematizarlo de la siguiente manera:


Programas y Datos

Entrada Salida


Camino de Auditaje

21

Es complementario del enfoque de auditoría alrededor del computador, en el sentido de

que su acción va dirigida a evaluar el sistema de controles diseñados para minimizar los

fraudes y los errores que normalmente tienen origen en los programas. Como podrá

notarse, este enfoque es mucho más exigente que el de alrededor del computador, por

cuanto es necesario saber con cierta profundidad lógica los lenguajes de programación,

sólo así será posible entender a cabalidad el enfoque y ejecutar las pruebas de auditoría

con el alcance técnico de cada una.

Este enfoque de auditoría de sistemas, tiene entre otros, los siguientes objetivos:

Asegurar que los programas procesen los datos, de acuerdo con las necesidades del

usuario y dentro de los parámetros de precisión previstos.

Cerciorarse la no existencia de rutinas fraudulentas al interior de los programas.

Verificar que los programadores modifiquen los programas solamente en los

aspectos autorizados.

Comprobar que los programas utilizados en producción son los debidamente

autorizados por la administración

Verificar la existencia de controles eficientes para evitar que los programas sean

modificados con fines ilícitos o que se utilicen programas no autorizados para los

procesos corrientes.

Cerciorarse de que todos los datos son sometidos a validación antes de ordenar su

proceso correspondiente.

Auditoría con el Computador

En el área de computación la evolución ha sido significativa que a la fecha está

disponible la Auditoría con el computador, que va dirigido especialmente, al examen y

evaluación de los archivos de datos en medios magnéticos, con el auxilio del

computador y de software de auditoría generalizado y/o a la medida. Este enfoque es

muy completo para verificar la existencia de los datos y la exactitud de las operaciones,

en grandes volúmenes de transacciones.

22

Figura 6: Auditoría con el Computador



La auditoría con el computador, es bastante fácil de desarrollar porque los programas de

auditoría vienen documentados de tal manera que se convierten en instrumentos de

sencilla aplicación.

Normalmente, son paquetes que se aprenden a manejar en cursos cortos y sin avanzados

conocimientos de Informática.

Los paquetes de auditoría permiten desarrollar operaciones y pruebas, tales como:

Recálculos y verificación de información, como por ejemplo: retenciones sobre

nómina, montos de depreciación y acumulaciones de intereses, entre otros.

Demostración gráfica de datos seleccionados.

Selección de muestras estadísticas.

Preparación de análisis de cartera por antigüedad.

En el siguiente esquema se sintetiza la forma como se considera la Auditoría con el

computado.


Entrada Salida


Camino de Auditaje Progr. y

Datos

23

Funciones de la Auditoría de Sistemas.

1.- Asesorar al nivel directivo, gerencia y más departamentos en materia de control

interno, compra de Hardware, software, contratación de bienes y servicios

informáticos.

2.- Evaluar la eficiencia y efectividad de los controles físicos y lógicos implantados en

los sistemas de información automatizada a fin de sugerir la acción correctiva según

los casos.

3.- Evaluar los sistemas automáticos de información tanto en desarrollo como en

funcionamiento con el propósito de determinar si contribuyen con los fines de la

empresa.

4.- Verificar los manuales y más documentos utilizados por el centro de cómputo,

como por los usuarios de los sistemas automatizados y determinar si se encuentran

actualizados conforme a los fines de la empresa.

5.- Revisar permanentemente los reportes y más salidas de los sistemas de información

a fin de verificar si satisfacen las necesidades de los usuarios.

6.- Evaluar los objetivos, políticas y lineamientos establecidos por el nivel directivo.

7.- Evaluar los controles administrativos implantados por la empresa.

8.- Realizar auditoría de sistemas de información y presentar los informes respectivos

1.3 VALORACIÓN CRÍTICA SOBRE LA AUDITORÍA DE SISTEMAS.

La auditoría de sistemas de acuerdo a sus antecedentes históricos, nace con el avance

tecnológico del manejo de sistemas de información y la ventaja que ofrecía de poder

manejar datos diarios de la empresa, para remitirlos en informes a sus directivos.

De ahí surge la necesidad de controlar, verificar, analizar dichos procesos

automatizados de información es decir auditar el entorno en sí que rodea el área de

procesamiento automático de datos.

Cuando se inició con los primeros pasos en este campo de auditoría, se fueron

manifestando ciertas habilidades y conocimientos que se requerían para poder ejecutar

la auditoría, de esas experiencias, estudios realizados y pruebas de ensayo y error, es

24

como se crea una nueva rama de auditoría, que se llama auditoría de sistemas o

informática.

Esto dio inicio a crear nuevo conocimiento que defina y proponga objetivos en la

auditoría de sistemas, mismo conocimiento que facilite a las empresas o llevar a cabo la

evaluación de normas, controles, técnicas y procedimientos que se tienen establecidos

en una empresa para lograr con habilidad, oportunidad, seguridad y confidencialidad de

la información que se procesa a través de computadores; es decir, en estas evaluaciones

se está involucrando tanto los elementos técnicos como humanos que intervienen en el

proceso de la información para una adecuada toma de decisiones.

La auditoría de sistemas nos permite evaluar, analizar, sintetizar y emitir criterios sobre

el área de proceso automático de datos de una empresa o negocio, para poder

salvaguardar la información y mantener un entorno a adecuado de dicha área, esto

implica determinar procesos internos como externos, establecer normas, controles,

reglas, responsables, sanciones, en otros.

Todo esto nos permite un adecuado funcionamiento del área de proceso automático de

datos (PAD).

CONCLUSIONES

De acuerdo a la investigación realizada se ha determinado que la auditoria de sistemas

nace con el avance tecnológico, mismo que inicio cuando la información financiera

procesada de una empresa dejo de ser manual para convertirse en automática, es así

como se da la necesidad de implantar una auditoría especializada que cuente con los

conocimientos y técnicas adecuadas para el buen funcionamiento del área de

procesamiento automático de datos (PAD) y así poder cumplir sus objetivos y

propósitos al momento de iniciar una auditoría de sistemas.

25

CAPÍTULO II.

2. MARCO METODOLÓGICO Y PLANTEAMIENTO DE LA PROPUESTA.

2.1CARACTERIZACIÓN DE SECTOR

Ambato capital de la provincia de Tungurahua, se encuentra situada en el centro del

país, su provincialización fue el 29 de mayo de 1861, conocida como la “Tierra de las

Flores y las Frutas” y “De los Tres Juanes”, Juan Montalvo, Juan León Mera, Juan

Benigno Vela, ha sido uno de los principales centros comerciales andinos.

Según datos oficiales del INEC, censo del 28 de noviembre de 2010, la población es de

329 856 habitantes. Su clima es templado seco, se encuentra a 2500 metros sobre el

nivel del mar, su temperatura media es de 20°C. Está asentada en la rivera del río

homónimo. En Ambato se concentra el mayor movimiento comercial del centro del

país, por tanto genera grandes créditos para la región y para el país.

Ambato, cuarta ciudad en importancia del Ecuador, es poseedora de un gran motor

industrial y comercial de gran importancia para la economía del centro del país y del

Ecuador, gracias a las industrias predominantes que se encuentran en la ciudad.

Ambato cuenta con el principal centro de acopio en el centro del país en lo que se

refiere a alimentos de los diferentes puntos del país, ya que cuenta con el Mercado

Mayorista, con un área útil actual de 118.383 m2, de este centro se distribuye al resto de

mercados minoristas de la ciudad, provincia, y en casi su totalidad a la Amazonia.

Aquí se encuentra el CEPIA, Corporación de Empresas del Parque Industrial Ambato,

con un área total de 659.389,49 m2. Con un sector industrial principalmente enfocado a:

textiles - alimentos - construcción - curtiembres - carrocerías - plantas de caucho -

poliuretano - madera - plásticos - confección - químicos - botas de caucho - balanceados

- reencauche - comercializadoras, etc.

Se dedican primordialmente a la curtiduría, es así como en la ciudad se encuentra la

fábrica de calzado más grande del país y una de las más importantes de la región. Otro

sector industrial que tiene su sede en Ambato es el de la industria metal-mecánica

dedicada a la manufactura de vehículos de transporte masivo. Otras industrias que son

vitales para el desarrollo industrial de la ciudad son la industria textil, alimenticia, del

vidrio, automotriz, entre otras. La banca también considera a Ambato una zona clave

26

para abrir sucursales y agencias debido al comercio de la ciudad: la gran mayoría de

bancos y aseguradoras del Ecuador tienen su sede en Ambato, además las cooperativas

de ahorro y crédito más grandes del país tienen su matriz en la ciudad, así como las más

grandes financieras y bancos; todos estos entes manejan información a través el


Con estos antecedentes se afirma que Ambato es tierra de emprendedores y

oportunidades, que ha contribuyen al desarrollo económico de la provincia y el país.

Es así como nace la DISTRIBUIDORA MARCECI, ubicada en Ingahurco Bajo,

Calle Noruega y Polonia, es una empresa cuya actividad principal es la venta al por

mayor de papelería, suministros de oficina y útiles escolares representada por la

Licenciada Martha Cecilia Hidalgo Cabrera con RUC 1800865998001 está obligada a

llevar contabilidad, su principal fortaleza es tener 25 años en el mercado local, el mismo

está compuesto por provincias de la zona centro del país como son: Tungurahua,

Pastaza, Napo, Cotopaxi, Chimborazo, Orellana y Bolívar, para lo cual dispone de la

infraestructura adecuada, para realizar sus actividades y personal idóneo para el buen

funcionamiento de la misma. Además cuenta con la DISTRIBUIDORA COMPAPEL

representada por el Licenciado Marco Antonio Solís Acosta con RUC 1801091875001

cuya actividad principal es la venta de papel para copiadora.

Pero pese a este desarrollo comercial que está alcanzando la industria, el sector

comercial y financiero en Ambato existen muchas falencias en el campo de la

informática donde muchas empresas aun no tienen presencia en Internet, su software es

antiguo y no se ha planteado planificar una auditoría de sistemas para el área de

procesamiento automático de datos (PAD) . Problema que se puede apreciar en algunas

Cooperativas y Empresas de la ciudad. No se invierte en tecnologías de la información y

el buen funcionamiento le área de procesamiento automático de datos , como lo hacen

empresas de otros sectores del país como Cuenca, Quito y Guayaquil.

Es así como la investigación del presente proyecto hace referencia a la validación de

una auditoría de sistemas para el área de procesamiento automático de datos (PAD).

27

2.2 DESCRIPCIÓN DEL PROCEDIMIENTO METODOLÓGICO PARA EL

DESARROLLO

Se detalla y explica los procedimientos metodológicos utilizados para esta

investigación:

El estudio de las variables dependientes e independientes en los últimos años, denomina

a la variable dependiente como el efecto y a la variable independiente como la causa,

fundamentos teóricos que permiten analizar la relación causa efecto dentro de la

auditoría de sistemas para desarrollar procedimientos para el área de procesamiento


La teoría de la investigación cualitativa según Ruíz (2012); pretende captar el

significado de las cosas (procesos, comportamientos, actos), su objetivo es la captación

y reconstrucción del significado, así en base a esta investigación permite el

entendimiento del área de proceso automático de datos (PAD).

A través del estudio de la investigación cualitativa y cuantitativa, se puede lograr:

Cualitativa

1.-Un enfoque amplio del pensamiento que se desee,

2.-Planes de trabajos flexibles y reactivos. y,

3.-La definición de un significado o problema.

Cuantitativa

1.-Partir de un problema bien definido por el investigador,

2.-Objetivos definidos, y,

3.-Utilizar medios de recolección de información y medición.

Al hacer uso de este tipo de investigación se puede profundizar en los distintos casos y

obstáculos que puede afrontar la auditoría de sistemas.

La investigación en el presente trabajo hace uso del razonamiento para explicar algo,

partiendo de lo general a lo particular, o a su vez iniciar de un estudio individual de los

Ruiz (2012). Metodología de la investigación Cualitativa. España. Deusto

28

hechos para formar conclusiones universales, que permita establecer una mejor

compresión del área de procesamiento automático de datos.

Utilizando técnicas y herramientas de investigación basada en la auditoría de sistemas,

análisis documental, recolección de datos, observación directa, entrevistas, cuestionarios

y análisis de datos, para desarrollar y establecer estrategias que faciliten estudio del

objeto de investigación y los distintos obstáculos que pueden presentarse.

Investigación Bibliográfica

Es aquella etapa de la investigación científica donde se explora qué se ha escrito en la

comunidad científica sobre un determinado tema o problema. La investigación científica

empírica tiene básicamente cinco etapas:

Primero, se definen algunas cuestiones generales como el tema, el problema, el

marco teórico a utilizar, etc.

Segundo, se procede a hacer una investigación bibliográfica, básicamente para

ver qué se ha escrito sobre la cuestión.

Tercero, se traza un proyecto.

Cuarto, se ejecuta lo proyectado.

Quinto, se exponen los resultados, usualmente por escrito.

Inductivo- Deductivo.- Conducirá a la conclusión a partir de cada una de las

propiedades o característica de la auditoría de sistemas.

Analítico-Sintético.- Analizaremos la situación actual de la distribuidora, dentro de

procesamiento de información automática de datos (PAD).

Histórico- lógico.- Revisaremos la trayectoria de la empresa y su evolución.

La entrevista

La entrevista es una técnica de recopilación de información mediante una conversación

profesional, con la que además de adquirirse información acerca de lo que se investiga,

29

tiene importancia desde el punto de vista educativo; los resultados a lograr en la misión

dependen en gran medida del nivel de comunicación entre el investigador y los

participantes en la misma.

Observación

La observación hace posible investigar el fenómeno directamente, en su manifestación

más externa, en su desarrollo, sin que llegue a la esencia del mismo, a sus causas, de ahí

que, en la práctica, junto con la observación, se trabaje sistemáticamente con otros

métodos o procedimientos como son: la medición y el experimento. Por supuesto, para

llegar a la esencia profunda del objeto se hace necesario el uso de los métodos teóricos.

El estudio se concreta con una estructura lógica de investigación en la cual se

profundiza todos los contenidos que necesita la empresa para realizar una auditoría de

sistemas para el área de procesamiento automático de datos en la Distribuidora

“MARCECI”.

Con los métodos, técnicas y herramientas de investigación planteadas podemos realizar

y sustentar la investigación metodológica.

30

Entrevista:

Dirigida al jefe del Área de Procesamiento Automático de Datos

Preguntas.

1.- Considera importante, el control, las seguridades, la tecnología para el buen

funcionamiento de la información en el área de procesamiento automático de datos

(PAD).

2.- Están definidos los roles y responsabilidades por parte del personal que se encuentra

en el área del PAD.

3.- El software administrativo, contable y financiero controlado por el área de

procesamiento automático de datos (PAD), es eficiente y contribuye con la información

oportuna y tiempos de entrega para los respectivos informes.

4.- De que seguridades dispone el área de procesamiento de datos (PAD), para

salvaguardar la información de la empresa en caso de contingencias.

5.- Para la adquisición, actualización de nuevos equipos software que controlara el área

del PAD cuenta con responsables, políticas normativas que regulen esto.

6.- Para salvaguardar la información del área del PAD se cuenta un plan o cronograma

que establezca cuando y cada que tiempo se debe respaldar en medios magnéticos

externos, internos u otros medios la información que dispone la empresa.

7.- Conoce usted de la existencia de un manual de funciones para el área de

procesamiento automático de datos (PAD).

8.- Existe cronogramas, planes de mantenimiento correctivo, preventivo y posterior para

los equipos, software que se encuentran bajo el custodio del área de procesamiento

automático de datos.

9.- Conoce usted si se ha realizado auditorias ala área de procesamiento de datos, a

través del computador, alrededor del computador y con el computador.

31

10.- El área de procesamiento automático de datos dispone de una red LAN, MAN o

WAN.

Encuesta dirigida al área administrativa, financiera, y el área del PAD.

1.- Se ha retrasado un informe por alguna complicación del funcionamiento del software

por parte del área de procesamiento automático d datos (PAD).

Si No Nunca A veces

2.- Los computadores del área de procesamiento automático de datos han sufrido

complicaciones técnicas.

Si No Nunca A veces

3.- Existe una persona responsable del área de procesamiento automático de datos.

Si No

4.- Los informes entregados por parte del área de procesamiento de datos son

indispensables para la toma de decisiones.

Si No

5.- Los computadores del área de procesamiento automático de datos tiene seguridades

físicas ante siniestros.

Si No

6.- Existen respaldos de la información del área de procesamiento automático de datos

si en algún momento se pierde dicha información.

Si Ninguno

7.- Cada que tiempo se realiza mantenimiento preventivo y correctivo al área de


Cada mes Cada Tres Meses Cada Año Nunca

8.- Cree usted que una auditoría de sistemas permite incrementar la seguridad y

eficiencia del área de procesamiento automático de datos y permite la toma de

decisiones acertadas.

32

Sí No

9.-De qué forma esta funcionado el are de procesamiento automático de datos.

A Toda Capacidad A Media Capacidad Baja Capacidad

10.-El área de procesamiento automático de datos dentro de la empresa es:

Importante Poco Importante No Importa

33

Análisis de la encuesta dirigida al área administrativa, financiera, y el área del

PAD.

De acuerdo a los datos obtenidos se puede determinar lo siguiente:

Pregunta N°1: ¿Se ha retrasado un informe por alguna complicación del funcionamiento

del software por parte del área de procesamiento automático d datos (PAD)?

Tabla N°1: Distribuidora “MARCECI”

Si No Nunca A veces

4 0 0 2

Figura N°7: Distribuidora “MARCECI”

Elaborado por: Santiago Balladares

De acuerdo al gráfico se puede establecer que existen debilidades dentro del área de

procesamiento automático de datos mismos que afectan a los informes necesarios para

la Distribuidora.

67%

0%

0%

33%

Si No Nunca A veces

34

Pregunta N°2: ¿Los computadores del área de procesamiento automático de datos han

sufrido complicaciones técnicas?


Si No Nunca A veces

4 1 0 1



Se ha determinado que el área de procesamiento automático de datos es susceptible a

daños en sus ordenadores, complicaciones que pueden poner en riesgo la información

que se procesa en dicha área.

67%

16%

0% 17%

Si No Nunca A veces

35

Pregunta N°3: ¿Existe una persona responsable del área de procesamiento automático

de datos?


Si No

2 4



Dentro del área de procesamiento automático de datos no se ha establecido un

responsable por los actos y acciones que puedan darse, esto puede ser por la falta de

políticas o un manual que lo determine.

33%

67%

Si No

36

Pregunta N°4: ¿Los informes entregados por parte del área de procesamiento de datos

son indispensables para la toma de decisiones?


Si No

6 0



Se ha determinado que la información que se ha procesado dentro del área del

procesamiento automático de datos es indispensable para la Distribuidora, ya que todos

sus datos representan al final informes que permiten tomar decisiones acertadas.

100%

0%

Si No

37

Pregunta N°5: ¿Los computadores del área de procesamiento automático de datos tiene

seguridades físicas ante siniestros?


Si No

0 6



El área de procesamiento automático de datos es vulnerable en situaciones de riesgo

para los ordenadores mismos que pueden ser como: incendios, inundaciones, cortes de

energía eléctrica entre otros. Es necesario tomar medias que beneficien la seguridad

dentro de dicha área.

0%

100%

Si No

38

Pregunta N°6: ¿Existen respaldos de la información del área de procesamiento

automático de datos si en algún momento se pierde dicha información?


Si Ninguno

0 6

Figura N°12 Distribuidora “MARCECI”


Dentro del área de procesamiento automático de datos no se ha establecido un sistema

que le permita respaldar su información procesada, parámetro que es muy importante y

necesario dentro de la Distribuidora en caso de existir fallos, daños, robos, alteraciones

entre otros.

Si

Ninguno

39

Pregunta N°7: ¿Cada que tiempo se realiza mantenimiento preventivo y correctivo al

área de procesamiento automático de datos?


Cada Mes 0

Cada Año 1

Cada Tres Meses 0

Nunca 5



El área de procesamiento automático de datos carece de un control constante en sus

ordenadores es decir no tiene un cronograma que les permita dar mantenimiento a sus

ordenadores para poder prevenir futuros daños dentro de la Distribuidora.

0%

17% 0%

83%

Cada Mes

Cada Año

Cada Tres Meses

Nunca

40

Pregunta N°8: ¿Cree usted qué una auditoría de sistemas permite incrementar la

seguridad y eficiencia del área de procesamiento automático de datos y permite la toma

de decisiones acertadas?


Si No

2 4



El área de procesamiento automático de datos tiene la necesidad de implementar la

auditoria de sistemas para corregir y mejorar sus falencias, también se determinó que la

resistencia al cambio dentro de dicha área podría traer complicaciones al implantar la

auditoría.

67%

33%

Si No

41

Pregunta N°9: ¿De qué forma esta funcionado el are de procesamiento automático de

datos?


Toda Capacidad 1

Media

Capacidad 1

Baja capacidad 4



Se ha determinado que el área de procesamiento automático de datos no está

funcionando con toda la capacidad que tiene dicho problema puede ser corregido si el

área implementa la auditoría de sistemas en el PAD, y de esta forma mejorar su

rendimiento dentro de la Distribuidora.

16%

17%

67%

Toda Capacidad Media Capacidad Baja capacidad

42

Pregunta N°10: ¿El área de procesamiento automático de datos dentro de la empresa

es:?


Importante 6

Poco Importante 0

No Importa 0



El área de procesamiento automático de datos dentro de la empresa es muy necesaria y

por ende no debería descuidarse en lo que se refiere a su funcionamiento, sino estar

dispuesto al cambio continuo para beneficiar su trabajo que realiza dentro de la

Distribuidora.

100%

0% 0%

importante Poco Importante no importa

43

Comprobación de Hipótesis

Método utilizado

Con el objeto de comprobar las hipótesis establecidas en la presente investigación se

empleó la prueba estadística del Chi-cuadrado el cual es un método útil para probar las

hipótesis relacionadas con la diferencia entre el conjunto de frecuencias observadas en

una muestra y el conjunto de frecuencias teóricas y esperadas de la misma muestra.

En este tipo de problemas el estadístico de prueba es:

En donde:

X2 = Chi-cuadrado

Ƹ = Sumatoria

Fo = Frecuencia observada de realización de un acontecimiento

determinado.

Fe = Frecuencia esperada o teórica.

La aplicación de esta ecuación requiere lo siguiente:

1- Encontrar la diferencia entre cada frecuencia observada y la correspondiente

frecuencia esperada.

2- Elevar al cuadrado estas diferencias.

3- Dividir cada diferencia elevada al cuadrado entre la correspondiente frecuencia

esperada.

4- Sumar los cocientes restantes.

Además se hizo uso de un margen de error del 5% el cual se convierte en un nivel de

confianza de 0.05 con el que se buscan los datos en la tabla chi-cuadrado.

44

El grado de libertad se obtendrá a través de la formula.

G1=(f-1) (c-1)

Donde:

G1= Grado de libertad

F=Filas

C= Columnas.

Validación de la hipótesis




Variables de la investigación

Independientes auditoría de sistemas.

Dependientes seguridad y eficiencia del área de procesamiento automático de

datos

1.Hipótesis Viable




2.Hipótesis Nula


datos no se mejora la seguridad y eficiencia de la información para una mejor toma de


45

Procedencia

Pregunta.

11.- ¿Cree usted qué una auditoría de sistemas permite incrementar la seguridad y

eficiencia del área de procesamiento automático de datos y permite la toma de

decisiones acertadas?

Tabla N°11

Auditoria de Sistemas SI NO Total

Seguridad/Eficiencia

Área Administrativa 4 1 5

Área PAD 1 6 7

TOTAL 5 7 12


Para obtener las frecuencias esperadas multiplicamos el total de cada columna de cada

fila entre el total de fila y columna. Tabla N°12

ALTERNATIVA FO FE FO-FE (FO-FE)ᶺ2

(FO-

FE)ᶺ2/FE

la Auditoria de sistemas si mejora la

seguridad y

eficiencia 4 2,08 1,917 3,674 1,763

la Auditoria de

sistemas no mejora la seguridad y

eficiencia 1 2,917 -1,917 3,674 1,260

la Auditoria de

sistemas si mejora la seguridad y

eficiencia 1 2,917 -1,917 3,674 1,260

la Auditoria de

sistemas no mejora la seguridad y

eficiencia 6 4,083 1,917 3,674 0,900

Chi X2

5,182


46

Grado de Libertad

GL= (f-1)(c-1)

(2-1)(2-1)

(1)(1)

GL=1

Nivel de confianza=0.05

Chi-Cuadrado Tabla

X2 t=3.84

X2

c= 5.18 > X2 t=3.84

De acuerdo a este resultado se obtuvo que X2c es mayor que X

2t lo cual nos lleva a

aceptar la hipótesis de trabajo número uno y rechazar la hipótesis nula; es decir la

auditoría si permite mejorar la seguridad y eficiencia del área de procesamiento

automático de datos (PAD) para una mejor toma de decisiones.

47

Figura 17: Propuesta Auditoría de Sistemas



COMPUTADOR


Propuesta para el desarrollo de la auditoría de sistemas para el área de

procesamiento de datos (PAD)

Determinar y ubicar el

área PAD.

Establecer los

responsables del área

PAD.

Investigar sobre la

existencia del manual

de funciones del PAD.

Determinar el sistema

que utiliza con sus

respectivas ventajas y

desventajas.

Establecer la topología

de red.

Determinar los

dispositivos y técnicas de

seguridad de seguridad.

Evaluar el software como

el hardware.

Informe final con sus

respectivas conclusiones y

recomendaciones.

PROCESAMIENTO

AUTOMÁTICO DE

DATOS (PAD) D

E

48

FASES DE LA AUDITORÍA DE SISTEMAS

Fase I

Conocimiento preliminar de la entidad.

Consiste en obtener un conociendo integral del objeto de la entidad, esto permitirá una

adecuada planificación, ejecución y consecución de resultados en un tiempo razonable.

A CONTINUACIÓN SE PRESENTA LA FASE II

49

Figura 18: Planificación



COMPUTADOR



FASE II.- PLANIFICACIÓN

OBJETIVOS ACTIVIDADES PRODUCTOS FORMATOS Y

MODELOS DE

APLICACIÓN

Consiste en orientar la

revisión hacia los

objetivos establecidos

para los cuales debe

establecerse los pasos

a seguir en la presente

y siguientes fases y las

actividades a

desarrollar.

1. Revisión y análisis

de la información

y documentación

obtenida en la fase

anterior.

- Memorando de

Planificación.

- Programas de

Auditoría para

cada

componente.

1. Memorando de

Planificación

.

2. Programas de

Trabajo

PLANIFICACIÓN

50

Figura 19: Ejecución



COMPUTADOR



COMPUTADOR

EJECUCIÓN

FACE III EJECUCIÓN

En esta etapa se desarrolla propiamente la auditoría pues en esta instancia se desarrolla los hallazgos y se obtiene toda la evidencia necesaria en cantidad y calidad apropiada esta debe ser suficiente, competente y relevante.

Actividades:

Se aplica técnicas de auditoría tradicionales como: inspección física, observación, cálculo, indagación y análisis.

Preparación de papeles de trabajo.

Elaboración de hojas de resumen de hallazgos significativos estos deben ser comunicados oportunamente a los funcionarios y a terceros relacionados.

Definir la estructura del informe de auditoría.

En esta face es muy importante tener presente que el trabajo de los especialistas no auditores debe realizarse conforme a los objetivos de planeación.

51


Figura 20: Estructura Del Informe



COMPUTADOR

ESTRUCTURA DEL INFORME:

ESTRUCTURA DEL INFORME

CAPÍTILO I

Enfoque de la auditoría

CAPÍTULO II

Información de la

entidad

CAPÍTULO III

Resultados Generales

Carátula

Indice

Carta de presentación

52

Conclusiones.

En el presente capítulo se ha establecido las técnicas y métodos que se aplicarán en la

investigación, todo esto contribuye al buen funcionamiento del área de procesamiento

automático de datos (PAD) de la Distribuidora “MARCECI”, la investigación estará

centrada en el área del PAD por tanto todo lo determinado y la metodología aplicada

en base a la auditoría de sistemas es de uso exclusivo de dicha área.

Que será aplicada con las fases de la auditoría anteriormente presentadas

53

CAPÍTULO III

3. DESARROLLO DE LA PROPUESTA Y APLICACIÓN

3.1. Desarrollo.

La auditoría de sistemas es necesaria dentro de cualquier empresa u organización para

evaluar el diseño de los controles internos y su efectividad. Estos controles incluyen los

procedimientos de seguridad y eficiencia, en el área de procesamiento automático de

datos (PAD) a continuación se presenta el desarrollo del diagrama propuesto en el

capítulo anterior.

Objetivos del Auditor en la Auditoría la Auditoría de Sistemas.

• Evaluar la eficiencia y eficacia con que se está operando en el área de

procesamiento de datos (PAD) para que se tomen decisiones que permitan

corregir los errores.

• La auditoría debe ser más amplia que la simple detección de errores, debe

evaluar para mejorar lo existente, y proponer alternativas de solución.

• El examen que conforma una auditoría de sistemas abarca una serie de controles,

verificaciones, y juicios, etc. que concluyen en un conjunto de recomendaciones

y un plan de acción.

• En la auditoría e sistemas, no se trata de ingresar al centro de cómputos para

realizar una labor de espionaje por cuanto se duda de sus integrantes, sino de

llevar a cabo una tarea profesional tendiente a la obtención de elementos de

juicio que permitan emitir una dictamen sobre la razonabilidad de la información

procesada en le PAD.

55

APLICACIÓN AUDITORÍA

VISITA PREVIA.

La distribuidora MARCECI está bajo la figura de una persona natural su representan

legal es la Licenciada Martha Cecilia Hidalgo Cabrera con RUC 180086599800-1, su

Gerente es el Sr. Marco Soliz, la empresa tiene 25 años de funcionamiento en la

actividad de venta al por mayor de papelería, suministros de oficina y útiles escolares.

Su mercado está compuesto por provincias de la zona centro del país como son:

Tungurahua, Pastaza, Napo, Cotopaxi, Chimborazo, Orellana y Bolívar. Su dirección:

Tungurahua, Ambato, Ingahurco Bajo, calle Noruega y Polonia.

El área de procesamiento automático de datos (PAD) no cuenta con un departamento de

informática o persona en cargada del funcionamiento de los computadores, dentro del

área las personas que procesan la información contable en los ordenadores son el

auditor, sus dos asistentes y un facturador , cada uno posee un computador para su

respectivo trabajo, no se conoce que topología de red que se está utilizando.

No posee un manual de funcionamiento, y no existen cronogramas de manteamiento y

revisión preventiva hacia los ordenadores que procesan la información. El sistema

utilizado para procesar la información (software) es Fenix, dicho sistema esta con la

empresa casi 4 años, no se ha implantado o a propuesto ningún modelo de seguridad

para salvaguarda la información.


57

PLANIFICACIÓN DE AUDITORÍA DE SISTEMAS

ACTIVIDADES RESPONSABLE CARGO MARCA DE HOJA

1

RECOPILACIÓN DE LOS ANTECEDENTES DE LA

DISTRIBUIDORA, DISEÑE UN ORGANIGRAMA DE LA EMPRESA ESTRUCTURAL Y ELABORE EL

MEMORANDO PARA NOTIFICAR EL INICIO DEL

AUDITORÍA.

Santiago

Balladares Auditor S

2

DETERMINE LA UBICACIÓN DEL PAD REALICE UN

DIAGRMA

Santiago

Balladares Auditor A

3

DETERMINAR LOS PROCEDIMIENTOS O MANUAL DE

FUNCIONES QUE TENGA EL PAD

Santiago

Balladares Auditor N

4 PREPARE UN INFORMA SOBRE LOS RESPONSABLES DE LA ÁREA DEL PAD

Santiago

Balladares Auditor T

5

DETERMINACIÓN DEL SISTEMA QUE UTILIZA LA

DISTRIBUIDORA Y ANÁLISIS DE LAS DISTINTAS

VENTAJAS QUE OFRECE DICHO SISTEMA PREPARE UN INFORME

Santiago

Balladares Auditor I

6

DETERMINAR EL NÚMERO DE TERMINALES Y

CAPACIDADES DE LOS EQUIPOS PREPARE UN INFORME Y UN DIAGRAMA DE RED DE TODOS LOS

EQUIPOS DEL PAD

Santiago

Balladares Auditor Z

7

ESTABLECER LA TOPOLOGÍA DE RED PREPARE UN

INFORME DEL ÁREA PAD

Santiago

Balladares Auditor X


58

8 DETERMINE LOS DISPOSITIVOS Y TÉCNICAS DE SEGURIDAD

Santiago

Balladares Auditor F

9 ANALICE EL SOFTWARE COMO EL HARDWARE DEL CPU

Santiago

Balladares Auditor M

10

ELABORE UNA PLANTILLA CON LAS MARCAS DE

AUDITORÍA A UTILIZAR.

Santiago

Balladares Auditor D


59

PLAZO PARA LA ELABORACIÓN DE LA AUITORÍA

ACTIVIDADES Febrero Marzo

27 28 29 30 1 4 5 6 7 8 10 11 12 13 18 19 20 21 22

CONOCIMIENTO

PRELIMINAR

PLANIFICACIÓN

EJECUCIÓN

CONOCIMIENTO DE

RESULTADOS

SEGUIMIENTO


60

MODELO DE ENTREVISTA DIRIGIDA AL ÁREA PAD PARA DETERMINAR

LA EXISTENCIA DE UN MANUAL DE FUNCIONES Y SUS RESPONSABLES.

Pregunta SI NO

¿EXISTEN PROCEDIMIENTOS ESTABLECIDOS DENTRO DEL ÁREA DEL PAD?

¿SABE CUÁLES SON SUS FUNCIONES DE

ACUERDO A SU CARGO?

¿EXISTE UN MANUAL DE FUNCIONES DE LA

DISTRIBUIDORA?

¿LAS FUNCIONES DENTRO DEL ÁREA PAD SON

EMPÍRICAS?

¿CREE QUE SE DEBERÍA ESTABLECER UN

MANUAL QUE DETALLE CÓMO PROCEDER

DENTRO DEL ÁREA?

¿EXISTE UN RESPONSABLE DEL

FUNCIONAMIENTO DE LOS COMPUTADORES?

¿EXISTE UN RESPONSABLE DIRECTO SOBRE LA

INFORMACIÓN PROCESADA Y ENTREGADA POR

EL PAD A LA GERENCIA?

¿CREE QUE SE DEBERÍA ESTABLECER EL

RESPONSABLES DE ACUERDO A SU PROCEDIMIENTOS Y FUNCIONES QUE REALIZA

EN EL ÁREA DEL PAD?


61

MODELO DE ENTREVISTA AL PERSONAL QUE MANEJA EL SISTEMA

FENIX DENTRO DEL PAD

Pregunta Si No

¿EL SISTEMA ES DE FÁCIL MANEJO?

¿EL SISTEMA PUEDE TRABAJAR EN RED ?

¿CUENTA CON UN MÓDULO DE FACTURACIÓN EN LÍNEA?

¿ES MULTI-USUARIOS?

¿EL SISTEMA SE PUEDE ACTUALIZAR?

¿POSEE TODOS LOS MÓDULOS DE CONTABILIDAD?

¿PUEDE REALIZAR FLUJOS DE CAJA?

¿PREPARA ARCHIVOS PARA EL SRI?

¿PERMITE ANÁLISIS FINANCIEROS ?

¿CUENTA CON N MÓDULO DE PRESUPUESTOS?

¿PERMITE HACER CONCILIACIONES BANCARIAS ?

¿PERMITE VISUALIZAR EL BALANCE GENERAL ?

¿PERMITE EXPORTA SUS INFORMES A EXCEL O

WORD?

¿PERMITE MODIFICAR SU CONTENIDO EN CASO DE ERRORES EN LA INFORMACIÓN?

¿SE PUEDE VISUALIZAR GRÁFICOS ESTADÍSTICOS?

¿EL SISTEMA ES BIEN GRÁFICO Y DINÁMICO ?

¿EL SISTEMA TARDA MUCHO EN PROCESAR

CIERTOS INFORMES?

¿EL SISTEMA PERMITE VISUALIZAR GRÁFICOS

ESTADÍSTICOS ?

¿IMPRIME CÓDIGOS DE BARRAS?


62

MODELO DE ENTREVISTA DIRIGIDA AL ÁREA PAD SOBRE LA

TOPOLOGÍA DE RED

PREGUNTAS SI NO

¿CONOCE QUÉ ES UNA RED LAN?

¿COMPARTE INFORMACIÓN COMO

DOCUMENTOS O INFORMES A TRAVÉS DE LA

RED LAN DENTRO DEL ÁREA PAD?

¿ACUDE A MEDIOS MAGNÉTICOS PARA

INTERCAMBIAR INFORMACIÓN DENTRO DEL

ÁREA PAD?

¿UTILIZA SU CORREO PARA ENVIAR

INFORMACIÓN DENTRO DEL ARE PAD?


63

MODELO DE INFORME SOBRE LOS EQUIPOS QUE MANEJA EL ÁREA PAD.

Número Procesador Dispositivos

De Entrada

Y Salida

Sistema

Operativo

Estado

1

Facturación

2

Contador

3

Asistente

4

Asistente


64

MODELO DE ENTREVISTA EN EL ÁREA PAD SOBRE TÉCNICAS

DESEGURIDAD EN LA INFORMACIÓN.

PREGUNTA SI NO

¿LA INFORMACIÓN ES RESPALDA CADA CIERTO

TIEMPO?

¿EXISTE CONTRASEÑAS DE SEGURIDAD DENTRO

DEL ÁREA?

¿EXISTE UN CRONOGRAMA QUE ESPECIFIQUE EL

TIEMPO PARA RESPALDAR LA INFORMACIÓN EN EL

ÁREA PAD?

¿MANEJA DISPOSITIVOS COMO DISCOS EXTERNOS

PARA SALVAGUARDAR A INFORMACIÓN?

¿EL ÁREA TIENE DEPÓSITOS DE ALMACENAMIENTO

EXCLUSIVOS PARA LA INFORMACIÓN?


65

PLANTILLA DE MARCAS DE AUDITORÍA

MARCA FUNCIÓN

CPU completo se refiere a todos los

dispositivos de salida y entrada.

Falta uno o varios dispositivos de salida.

Falta uno o varios entrada de salida.

Problema en la red o falla de configuración

Revisado, aprobado, comprobado.

No revisado no comprobado.

Verificar con el informe o análisis

presentado.


67

ANTECEDENTES DE LA DISTRIBUIDORA

La distribuidora MARCECI tiene 25 años en la venta al por mayor de papelería,

suministros de oficina y útiles escolares, su Gerente es Sr. Marco Soliz. Su mercado está

compuesto por provincias de la zona centro del país como son: Tungurahua, Pastaza, Napo,

Cotopaxi, Chimborazo, Orellana y Bolívar.

Su dirección: Tungurahua, Ambato, Ingahurco Bajo, calle Noruega y Polonia. La empresa

es una persona natural que está representada por la Licenciada Martha Cecilia Hidalgo

Cabrera con RUC 180086599800-1.

MISIÓN

Dotar de productos a las librerías de buena calidad y a precios competitivos, y así

contribuir con el desarrollo del país.

VISIÓN

Ser el mayor distribuidor de material de papelería en el centro del país dentro de cinco

años.

PRICIPALES MARCAS DE DISTRIBUCIÓN

• Estilo

• Norma

• Pelikan

• Passola

• Artesco

• Carioca

• Bic

• Staedtler


S/1

68

• Fantape

• Sanford

• Imation

• Maxell

• Lancer

• Boss

• Casio

• Ideal

PRINCIPALES PROVEEDORES

NOMBRE RUC DIRECCION TELEFONO

ADHEPLAST S.A. 0190099725001 VIA DAULE KM 10 072862018

ALESSA 0992124857001 SUCRE 828 LORENZO DE GARAYCOA 042322090

AMG 1792169682001 SAN ALFONSO LOTE 7B Y SAN CAMILO 022020294

BIC ECUADOR

(ECUABIC) S.A. 0990371458001 KM 5 VIA DAULE 042354562

BICO

INTERNACIONAL S.

A.

1791260635001 ISAAC ALBENIZ E3 154 Y WOLFGAN

MOZART 022886619

CIA IMPORTADORA

REGALADO S.A.

(COMIRSA)

0992231467001 CHILE 730 Y COLON 042534197

COMERCIAL E

INDUSTRIAL

SUCRE S. A.

COMSUCRE

0991393757001 PIO MONTUFAR 109 Y AGUIRRE 042534018

EXPOCSA 0990954232001 AV. JUAN TANCA MARENGO SOLAR 12 042254844

IMPO CIA. LTDA. 0990579385001 PARQUE INDUSTRIAL LOTIZACION EL

SAUCE SOLAR 8-9 042100777

INDUSTRIAL

PAPELERA

CAICEDO MIÑO

CIA. LTDA.

1890064562001 AVENIDA PASTEUR 10-26 Y GRECIA 032421936

INDUSTRIAS

UNIDAS CIA. LTDA. 0990021066001 KM. 4.5 AV. JUAN TANCA MARENGO S/N 042329213

ORGANIZACION

COMERCIAL

VICTOR H.

CAICEDO CIA.

LTDA.


PAPELESA CIA. 0990179085001 PARQUE INDUSTRIAL EL SAUCE 042101780

S/2

69

LTDA.

PLASTICOS

TROPICALES S.A. 0990832765001 VIA DAULE PARQUE INDUSTRIAL 042101616

PROVEEDORA DE

PAPELES ANDINA

S. A.

1791768264001 CALLE DE LOS ARUPOS E3-199 Y AV.

ELOY ALFARO 022807152

QUIFATEX S. A. 1790371506001 AV. 10 DE AGOSTO 10640 Y M.

ZAMBRANO 022477400

PLASTIUNIVERSAL

S. A. 0990615462001

VIA DAULE KM 11,5 MANGO SOLAR Y

PECHICHES 042103715


70

ORGANIGRAMA ESTRUCTURAL

GERENTE

MARCO A.

SOLIZ A.

SUB-GERENTE

MARTHA

HIDALGO

DEPARTAMENT

O DE

CONTABILIDAD

DEPARTAMENT

O DE

FACTURACION

DEPARTAMENT

O DE

BODEGA

CONTADOR

JHONNY

CHAVEZ

AYUDANTE DE

BODEGA 1

HERNAN CHISAG

AYUDANTE DE

BODEGA 2

RAUL PAREDES

DEPARTAMENT

O DE

DESPACHOS

JEFE DE

DESPACHO

PATRICIO

MOREY

DEPARTAMENT

O DE

VENTAS

VENDEDOR 1

MARITZA SOLIZ

VENDEDOR 2

MARCO A. SOLIZ

H.

VENDEDOR 3

WILMER GARCIA

FACTURADOR

DARWIN FREIRE

ASISTENTE DE

CONTABILIDAD

VERONICA

CASTRO

BODEGUERO

MARCO GARCIA

CHOFER DE

REPARTO

JORGE

YACHATIPAN

ASISTENTE DE

CONTABILIDAD

ALEJANDRO

GUALPA

S/3


71

MEMORÁNDUM

Ambato 25 de Febrero del 2013

De: Santiago Balladares

Auditor

Para: Marco Soliz

GERENTE DE LA DISTRIBUIDORA MARCECI

Asunto: Inicio de la auditoría

La misma que se llevara a cabo en el área de procesamiento automático de datos el día 27

de Marzo del 2013a las 9:00 am de la mañana; en la que dará a conocer el inicio de la

auditoría y los parámetros a evaluar en la empresa que usted gerencia.

Es muy importante contar con su presencia.

Atentamente:

…………………….

Santiago Balladares

Auditor

S/4


72

UBICACIÓN DEL ÁREA DEL PAD

El área PAD está formada por las siguientes personas

Contador Johnny Chávez

Asistente de Contabilidad Verónica Castro

Asistente de Contabilidad Alejandro Gualpa

Facturador Darwin Freire

BODEGA

ENTRADA PRINCIPAL

OFICINAS

PAD

Contabilidad

GERENCIA PAD

Facturación

A/1


73

El área de procesamiento automático de datos está dividida en dos partes, ya que el facturar

esta enlazado con el sistema contable Fenix y por lo tanto genera nueva información al

procesar facturas todos los días a los clientes, el resto del área PAD está formado por las

tres personas restantes anteriormente nombradas , que se encargan de analizar, verificar la

información y procesar informes como balances, declaraciones, listado de cuentas por

cobrar, listado de cuantas por pagar , entre otros. Con ayuda del sistema fénix y la

información que se ha generado dentro del PAD.

Dicha área cuenta con reguladores de energía para los computadores que almacena hasta

una hora de energía en caso de apagones, cada persona tiene su computador para poder

trabajar.

Nota:

No existe un departamento de cómputo que apoye al área PAD.

El área no presenta orden exacto de sus documentos


A/2

74

ENTREVISTA DIRIGIDA AL ÁREA PAD PARA DETERMINAR LA

EXISTENCIA DE UN MANUAL DE FUNCIONES Y SUS RESPONSABLES.

Pregunta SI NO

¿EXISTEN PROCEDIMIENTOS ESTABLECIDOS

DENTRO DEL ÁREA DEL PAD?

X4

¿SABE CUÁLES SON SUS FUNCIONES DE

ACUERDO A SU CARGO?

X4

¿EXISTE UN MANUAL DE FUNCIONES DE LA

EMPRESA?

X4

¿LAS FUNCIONES DENTRO DEL ÁREA PAD SON

EMPÍRICAS?

X4

¿CREE QUE SE DEBERÍA ESTABLECER UN

MANUAL QUE DETALLE CÓMO PROCEDER

DENTRO DEL ÁREA?

X4

¿EXISTE UN RESPONSABLE DEL FUNCIONAMIENTO DE LOS COMPUTADORES?

X4

¿EXISTE UN RESPONSABLE DIRECTO SOBRE LA

INFORMACIÓN PROCESADA Y ENTREGADA POR

EL PAD A LA GERENCIA?

X4

¿CREE QUE SE DEBERÍA ESTABLECER EL

RESPONSABLES DE ACUERDO A SU

PROCEDIMIENTOS Y FUNCIONES QUE REALIZA

EN EL ÁREA DEL PAD?

X4

N/1


75

PROCEDIDITOS O MANUAL DE FUNCIONES DEL PAD

Le área de procesamiento automático de datos carece de un manual de funciones propio

que especifique como se debe proceder en dicha área, por el momento las personas

encargadas se apegan al manual de funciones general de la empresa que detalla la actividad

que tiene cada empleado de acuerdo a su cargo, y se aplican procedimientos empíricos

dentro del área PAD.

Nota: no cuenta con manual propio para el PAD.

Entrevista dirigida al contador


N/2

76

RESPONSABLE DEL ÁREA DEL PAD

No existe un responsable sobre el buen funcionamiento de los computadores ya que no se

cuenta con departamento de informática, pero en lo que es información procesada dentro

del área se podría mencionar de forma empírica al contador, ya que a su cargo tiene la

responsabilidad del manejo del programa contable eso incluye a sus asistentes y facturador,

sin un manual de funciones especifico del área no es posible determinar un responsable

directo.

Nota: No existe un responsable exacto que lo detalle en un, manual de funciones.

T


77

SISTEMA QUE SE UTILIZA

El sistema utilizado es Fenix fue adquirido por el 2008 a la empresa Fenix dedica a

desarrollar software a través un grupo multidisciplinario, el sistema presenta las siguientes

características:

Fácil manejo, dinámico e intuitivo

Ambiente totalmente gráfico

Funcionamiento en red e internet.

Facturación en línea y punto de venta

Actualizaciones del sistema por internet.

Integración total y automática a Contabilidad en todos sus módulos.

Impresión de etiquetas de códigos de barras

Reportes de selección múltiple exportables a Excel, Word, Pdf, Html, Xml, Txt

Generación de consultas y modificación de reportes por parte del mismo usuario

Balance General y de Resultados comparativos

Sistema multiusuario

Gráficos estadísticos configurados por el usuario.

Análisis Financieros, Presupuestos

Flujo de caja—conciliación bancaria.

Anexos transaccionales con validadores y generación de archivos .xml listos para

subirlos al DIMM del SRI.

Nota: el sistema fénix es lento en procesar ciertos informes como balances y listados.

I/1


78

ENTREVISTA APLICADA AL PERSONAL

QUE MANEJA EL SISTEMA FENIX DENTRO DEL PAD

Pregunta Si No

¿EL SISTEMA ES DE FÁCIL MANEJO? X 4

¿EL SISTEMA PUEDE TRABAJAR EN RED ? X4

¿CUENTA CON UN MÓDULO DE FACTURACIÓN EN

LÍNEA? X4

¿ES MULTI-USUARIOS? X4

¿EL SISTEMA SE PUEDE ACTUALIZAR? X4

¿POSEE TODOS LOS MÓDULOS DE CONTABILIDAD? X4

¿PUEDE REALIZAR FLUJOS DE CAJA? X4

¿PREPARA ARCHIVOS PARA EL SRI? X4

¿PERMITE ANÁLISIS FINANCIEROS ? X4

¿CUENTA CON N MÓDULO DE PRESUPUESTOS? X4

¿PERMITE HACER CONCILIACIONES BANCARIAS ? X4

¿PERMITE VISUALIZAR EL BALANCE GENERAL ? X4

¿PERMITE EXPORTA SUS INFORMES A EXCEL O

WORD? X4

¿PERMITE MODIFICAR SU CONTENIDO EN CASO DE

ERRORES EN LA INFORMACIÓN? X4

¿SE PUEDE VISUALIZAR GRÁFICOS ESTADÍSTICOS? X4

I/2

79

¿EL SISTEMA ES BIEN GRÁFICO Y DINÁMICO ? X4

¿EL SISTEMA TARDA MUCHO EN PROCESAR

CIERTOS INFORMES? X4

¿EL SISTEMA PERMITE VISUALIZAR GRÁFICOS

ESTADÍSTICOS ? X4

¿IMPRIME CÓDIGOS DE BARRAS? X4

Las siguientes preguntas fueron aplicadas al personal del área de procesamiento automático

de datos , misma que son 4 personas de acuerdo al a investigación realizada y presentada en

papeles de trabajo anteriores.

I/3


80

TOPOLOGÍA DE RED

El área de procesamiento automático de datos posee un topología de red LAN son las siglas

de Local Área Network, Red de área local. Una LAN es una red que conecta los

ordenadores en un área relativamente pequeña y predeterminada (como una habitación, un

edificio, o un conjunto de edificios). Las redes LAN se pueden conectar entre ellas a través

de líneas telefónicas y ondas de radio.

Este tipo de red por el tamaño del área y al no existir sucursales fuera de la ciudad y

provincia es ideal para mantener la comunicación entre el sistema que procesa la

información y sus operadores.

Nota: Los operadores desconocen las ventajas de una red LAN

XZ/1


81

ENTREVISTA DIRIGIDA AL ÁREA PAD SOBRE LA TOPOLOGÍA DE RED

PREGUNTAS SI NO

¿CONOCE QUÉ ES UNA RED LAN? X4

¿COMPARTE INFORMACIÓN COMO

DOCUMENTOS O INFORMES A TRAVÉS DE LA

RED LAN DENTRO DEL ÁREA PAD?

X4

¿ACUDE A MEDIOS MAGNÉTICOS PARA

INTERCAMBIAR INFORMACIÓN DENTRO DEL

ÁREA PAD?

X4

¿UTILIZA SU CORREO PARA ENVIAR

INFORMACIÓN DENTRO DEL ARE PAD?

X4

XZ/2


82

DISPOSITIVOS Y TÉCNICAS DE SEGURIDAD DENTRO DEL ÁREA PAD

No se ha establecido ningún tipo de seguridad para salvaguardar la información procesada

dentro del área, no poseen técnicas o conocimientos de como poder respaldar la

información, la única seguridad detectada es la contraseña que maneja el contador sobre el

Software que no la posee el resto del equipo del área de procesamiento automático de datos.

La información no tiene discos exclusivos de almacenamiento y los dispositivos usados

como memorias externas son susceptibles de contaminarse con virus.

Nota: No se ha implantado normas de seguridad dentro del área PAD.

F/1


83

ENTREVISTA APLICADA EN EL ÁREA PAD SOBRE TÉCNICAS DE

SEGURIDAD EN LA INFORMACIÓN.

PREGUNTA SI NO

¿LA INFORMACIÓN ES RESPALDA CADA CIERTO

TIEMPO?

X4

¿EXISTE CONTRASEÑAS DE SEGURIDAD DENTRO

DEL ÁREA?

X1 X3

¿EXISTE UN CRONOGRAMA QUE ESPECIFIQUE QUE

TIEMPO RESPALDAR LA INFORMACIÓN EN EL ÁREA

PAD ?

X4

¿MANEJA DISPOSITIVOS COMO DISCOS EXTERNOS

PARA SALVAGUARDAR A INFORMACIÓN?

X4

¿EL ÁREA TIENE DEPÓSITOS DE ALMACENAMIENTO

EXCLUSIVOS PARA LA INFORMACIÓN?

X4

F/2


84

INFORME SOBRE LOS EQUIPOS QUE MANEJA EL ÁREA PAD.

Número Procesador Dispositivos

De Entrada

Y Salida

Sistema

Operativo

Estado

1

Facturación

Dual core completo Windows xp Cpu regular

2

Contador


3

Asistente


4

Asistente


Los equipos de acuerdo al cuadro de capacidades son obsoletos, el área de procesamiento

automático de datos podría trabajar más eficientemente con nueva tecnología, o por lo

menos debería considerar en mejor las capacidades de los existentes.

Nota: se debe considerar actualizar los equipos,

M


85

PLANTILLA DE MARCAS DE AUDITORÍA

MARCA FUNCIÓN

CPU completo se refiere a todos los

dispositivos de salida y entrada.

Falta uno o varios dispositivos de salida.

Falta uno o varios entrada de salida.

Problema en la red o falla de configuración

Revisado, aprobado, comprobado.

No revisado no comprobado.

Verificar con el informe o análisis

presentado.


D

86

HALLAZGOS

Se debe considerar actualizar los equipos

No se ha implantado normas de seguridad dentro del área PAD

Los operadores desconocen las ventajas de una red LAN

El sistema fénix es lento en procesar ciertos informes como balances y listados.

No cuenta con manual propio para el PAD.

No existe un departamento de cómputo que apoye al área PAD.


87

DISTRIBUIDORA MARCECI

HOJA DE HALLAZGOS

Condición:

La empresa no cuenta con un manual para el área de PAD

Criterio

Según las normas del control interno del Sector Publico en el literal 400 - 01 TÍTULO:

ORGANIZACIÓN DEL ÁREA INFORMÁTICA dice lo siguiente: “Cada entidad establecerá

los lineamientos que orienten el proceso de organización del área de informática, aspecto que

implica la definición de actividades a cumplir, las funciones y responsabilidades del personal, al

igual que las interrelaciones de los elementos comprendidos en este sector con las áreas operativas

de la entidad. Estos elementos formarán parte del Manual de Organización y Funciones,

correspondiente.

La estructura básica del área de Informática estará constituida por áreas que son importantes para

el funcionamiento, de acuerdo a las necesidades de cada entidad.

Corresponde a la máxima autoridad de la entidad aprobar las políticas que permitan organizar

apropiadamente al área de informática y asignar los recursos humanos calificados y equipos de

computación necesarios.

Causa:

No permite el manejo adecuado del área PAD y asignar las funciones del personal

Efecto:

Desconocimiento del manejo del área PAD y determinación de responsabilidades.


88

Convocatoria

Ambato 20 de Marzo del 2013

Señor:

Marco Soliz

GERENTE

Presente.

El presente documento es para notificar que se dará lectura al informe de auditoría respecto

al área de procesamiento automático de datos de la distribuidora MARCECI el día 22 de

marzo a las 10 : 00 am de la mañana.

Es importante contar con su presencia.

Atentamente:

…………………………… …………………………..

Santiago Balladares Marco Soliz

Auditor Gerente

89

Convocatoria

Ambato 20 de Marzo del 2013

Ing.

Johnny Chávez

Contador

Presente.

El presente documento es para notificar que se dará lectura al informe de auditoría respecto

al área de procesamiento automático de datos de la distribuidora MARCECI el día 22 de

marzo a las 10 : 00 am de la mañana.

Es importante contar con su presencia.

Atentamente:

…………………………… …………………………..

Santiago Balladares Johnny Chávez

Auditor Contador

90

BORRADOR DEL INFORME DE AUDITORÍA DE SISTEMAS

Áreas examinadas

De acuerdo con la auditoría realiza al área de procesamiento automático de datos PAD en el

tiempo establecido, en la Distribuidora MARCECI se determinado que el área no cuenta

con un manual de funciones específico donde se detalle los procedimientos y pasos que

debería seguir el personal por ende no existe un responsable directo o responsables dentro

del PAD que justifique su proceder, no se implantado técnicas de seguridad que permitan

salvaguarda la información, la unidad necesita un departamento de informática que apoye a

su buen funcionamiento, por eso se da el desconocimiento y trabajo con equipos obsoletos

y una topología de red no aprovechada a su máxima capacidad.

CONCLUSIONES

Dentro del área de procesamiento automático de datos se concluye:

Equipos obsoletos

No posee normas de seguridad para salvaguardar la información

El personal no está capacitado para trabajar en el área sin un departamento de apoyo

informático

Carece de un departamento de informática.

RECOMENDACIÓN

AL GERENTE

Considere actualizar los equipos de trabajo del PAD.

Crear cronogramas y técnicas para salvaguardar la información que se procesa, e

decir establecer medidas y tiempos para respaldar en discos externos la información.

Capacite a su personal que trabaja en le PAD.

Implante un manual de funciones exclusivo para dicha área.

Incorpore un informático para el área del PAD o cree un departamento de

computación .

92

ÍNDICE DE CONTENIDOS

ANTECEDENTES DE LA EMPRESA S/1

MARCAS DE DISTRIBUCIÓN S/1

PROVEEDORES S/2

ORGANIGRAMA ESTRUCTURAL S/3

MEMORÁNDUM S/4

UBICACIÓN DEL ÁREA PAD A/1

UBICACIÓN DEL ÁREA PAD A/2

ENTREVISTA DIRIGIDA AL ÁREA PAD PARA DETERMINAR LA

EXISTENCIA DE UN MANUAL DE FUNCIONES Y SUS RESPONSABLES.

N/1

PROCEDIDITOS O MANUAL DE FUNCIONES DEL PAD N/2

RESPONSABLE DEL ÁREA DEL PAD T

SISTEMA QUE SE UTILIZA I/1

ENTREVISTA APLICADA AL PERSONAL QUE MANEJA SISTEMA FENIX

DENTRO DEL PAD

I/2

ENTREVISTA APLICADA AL PERSONAL QUE MANEJA SISTEMA FENIX

DENTRO DEL PAD

I/3

TOPOLOGÍA DE RED XZ/1

ENTREVISTA DIRIGIDA AL ÁREA PAD SOBRE LA TOPOLOGÍA DE RED XZ/2

DISPOSITIVOS Y TÉCNICAS DE SEGURIDAD DENTRO DEL ÁREA PAD F/1

ENTREVISTA APLICADA EN EL ÁREA PAD SOBRE TÉCNICAS DE

SEGURIDAD EN LA INFORMACIÓN.

F/2

INFORME SOBRE LOS EQUIPOS QUE MANEJA EL ÁREA PAD. M

PLANTILLA DE MARCAS DE AUDITORÍA D

93

PAD = ÁREA DE PROCESAMIENTO AUTOMÁTICO DE DATOS

CAPÍTULO I

Enfoque de la Auditoría

Motivo: Evaluar la eficiencia, seguridad del área de procesamiento automático de datos

Objetivo: Determinar cómo está funcionando el área PAD a través de la auditoría de

sistemas

Alcance: Examinar toda el área PAD

Enfoque: todos los procesos y políticas e la empresa en el área PAD

Componentes Auditados: Área de procesamiento automático de datos

CAPÍTULO II

INFORMACION DE ENTIDAD

ANTECEDENTES DE LA DISTRIBUIDORA

La distribuidora MARCECI tiene 25 años en la venta al por mayor de papelería,

suministros de oficina y útiles escolares, su Gerente es Sr. Marco Soliz. Su mercado está

compuesto por provincias de la zona centro del país como son: Tungurahua, Pastaza, Napo,

Cotopaxi, Chimborazo, Orellana y Bolívar.

Su dirección: Tungurahua, Ambato, Ingahurco Bajo, calle Noruega y Polonia. La empresa

es una persona natural que está representada por la Licenciada Martha Cecilia Hidalgo

Cabrera con RUC 180086599800-1.

94

MISIÓN

Dotar de productos a las librerías de buena calidad y a precios competitivos, y así contribuir

con el desarrollo del país.

VISIÓN

Ser el mayor distribuidor de material de papelería en el centro del país dentro de cinco

años.

PRICIPALES MARCAS DE DISTRIBUCION

• Estilo

• Norma

• Pelikan

• Passola

• Artesco

• Carioca

• Bic

• Staedtler

• Fantape

• Sanford

• Imation

• Maxell

• Lancer

• Boss

• Casio

• Ideal

95

PRINCIPALES PROVEEDORES

NOMBRE RUC DIRECCIÓN TELÉFONO

ADHEPLAST S.A. 0190099725001 VIA DAULE KM 10 072862018

ALESSA 0992124857001 SUCRE 828 LORENZO DE GARAYCOA 042322090

AMG 1792169682001 SAN ALFONSO LOTE 7B Y SAN CAMILO 022020294

BIC ECUADOR


BICO

INTERNACIONAL S.

A.


MOZART 022886619

CIA IMPORTADORA

REGALADO S.A.

(COMIRSA)

0992231467001 CHILE 730 Y COLON 042534197

COMERCIAL E

INDUSTRIAL

SUCRE S. A.

COMSUCRE

0991393757001 PIO MONTUFAR 109 Y AGUIRRE 042534018

EXPOCSA 0990954232001 AV. JUAN TANCA MARENGO SOLAR 12 042254844



INDUSTRIAL

PAPELERA

CAICEDO MIÑO

CIA. LTDA.


INDUSTRIAS

UNIDAS CIA. LTDA. 0990021066001 KM. 4.5 AV. JUAN TANCA MARENGO S/N 042329213

ORGANIZACION

COMERCIAL

VICTOR H.

CAICEDO CIA.

LTDA.


PAPELESA CIA.

LTDA. 0990179085001 PARQUE INDUSTRIAL EL SAUCE 042101780

PLASTICOS


PROVEEDORA DE

PAPELES ANDINA

S. A.

1791768264001 CALLE DE LOS ARUPOS E3-199 Y AV.

ELOY ALFARO 022807152

QUIFATEX S. A. 1790371506001 AV. 10 DE AGOSTO 10640 Y M.

ZAMBRANO 022477400

PLASTIUNIVERSAL

S. A. 0990615462001


PECHICHES 042103715

96

ORGANIGRAMA ESTRUCTURAL

GERENTE

MARCO A.

SOLIZ A.

SUB-GERENTE

MARTHA

HIDALGO

DEPARTAMENT

O DE

CONTABILIDAD

DEPARTAMENT

O DE

FACTURACION

DEPARTAMENT

O DE

BODEGA

CONTADOR

JHONNY

CHAVEZ

AYUDANTE DE

BODEGA 1

HERNAN CHISAG

AYUDANTE DE

BODEGA 2

RAUL PAREDES

DEPARTAMENT

O DE

DESPACHOS

JEFE DE

DESPACHO

PATRICIO

MOREY

DEPARTAMENT

O DE

VENTAS

VENDEDOR 1

MARITZA SOLIZ

VENDEDOR 2

MARCO A. SOLIZ

H.

VENDEDOR 3

WILMER GARCIA

FACTURADOR

DARWIN FREIRE

ASISTENTE DE

CONTABILIDAD

VERONICA

CASTRO

BODEGUERO

MARCO GARCIA

CHOFER DE

REPARTO

JORGE

YACHATIPAN

ASISTENTE DE

CONTABILIDAD

ALEJANDRO

GUALPA

97

CAPÍTULO III

INFORME FINAL

Áreas examinadas

De acuerdo con la auditoría realiza al área de procesamiento automático de datos PAD en el

tiempo establecido, en la Distribuidora MARCECI se ha determinado que el área no cuenta

con un manual de funciones específico donde se detalle los procedimientos y pasos que

debería seguir el personal, por ende no existe un responsable directo o responsables dentro

del PAD que justifique su proceder dentro de dicha área.

No se ha implantado técnicas de seguridad que permitan salvaguarda la información en

caso de que esta pudiera sufrir daños, siniestros, fallas o alteraciones. La unidad de

procesamiento automático de datos PAD necesita un departamento de informática que

apoye sus procesos, es decir el departamento de informática es el encargado del

funcionamiento del CPU el software, hardware, la red, el mantenimiento preventivo y

correctivo entre otros, por ende se da el desconocimiento y trabajo con equipos obsoletos y

una topología de red no aprovechada a su máxima capacidad por parte del área PAD.

CONCLUSIONES

Dentro del área de procesamiento automático de datos se concluye:

Equipos obsoletos.

No posee normas de seguridad para salvaguardar la información

El personal no está capacitado para trabajar en el área sin un departamento de apoyo

informático.

Carece de un departamento de informática.

98

RECOMENDACIÓN

AL GERENTE

Considere actualizar los equipos de trabajo del PAD.

Crear cronogramas y técnicas para salvaguardar la información que se procesa, e

decir establecer medidas y tiempos para respaldar en discos externos la información.

Capacite a su personal que trabaja en el PAD.

Implante u manual de funciones exclusivo para dicha área.

Incorpore un informático para el área del PAD o cree un departamento de

computación.

……………………………

Santiago Balladares

Auditor

99

CONCLUSIONES GENERALES

Luego de haber efectuado este proyecto investigativo y de haber puesto en práctica mis

conocimientos a lo largo de mi carrera profesional, he concluido lo siguiente:

De acuerdo la investigación realizada se ha establecido como desarrollar una auditoría de

sistemas dentro del área de procesamiento automático de datos , los parámetros que hay que

tomar en cuenta, para realizarla desde el punto de vista del auditor estableciendo el alcance

y las limitaciones que se puede afrontar en el transcurso de la auditoría , si es necesario

evaluar o analizar ciertos puntos del PAD en donde nuestro conocimiento o especialidad no

son suficientes se debe incluir un especialista dentro del grupo de trabajo, el modelo

presentado no solo es aplicable en la distribuidora MARCECI , la propuesta abarca áreas

necesarias e indispensables en lo que se refiere al área de procesamiento automático de

datos (PAD), por ende esta se puede implantar en otras empresas que tengan la necesidad

de adicionar o auditar el área de procesamiento automático de datos par mejor su eficacia y

seguridad para una mejor toma de decisiones.

Con la auditoría de sistemas enfocada al área de procesamiento automático de datos se

pudo determinar que el PAD no cuenta con un manual de funciones que detalle el

procediendo y la responsabilidad que tiene cada persona que labora en el mismo, el área es

susceptible de sufrir fallas en sus ordenadores y su topología de red sin un departamento de

computación que apoye su funcionalidad.

100

RECOMENDACIONES

Implementar un manual de funciones para el área de procesamiento automático de

datos que permita determinar lo pasos y funciones que debe seguir su personal

estableciendo sus responsabilidades.

Crear un cronograma de mantenimiento preventivo y correctivo para a los

ordenadores y así evitar daños en el futuro .

Implementar un departamento de cómputo o a su vez incluir dentro del área de

procesamiento automático de datos PAD un informático que apoye al área y este

constantemente evaluando el funcionamiento de los ordenadores.

101

BIBLIOGRAFÍA

• ACHA, J 1994, Auditoría de Sistemas en Funcionamiento.

• ALAN. F (1994). Auditoría Informática. New York: Perason

• ÁLZATE, A. T. (2001). Auditoría de Sistemas Una Visión Práctica. Bogotá:

Centro de Publicaciones Universidad Nacional de Colombia.

• BECERRA, G ; 1997 Informática en Contabilidad.

• CONTRALOR!A General del Estado -1996.Guía para realizar Auditoría en

Ambiente Computarizado.

• DERRIEN, Y; 1995 Auditoría de Sistemas en el PAD.

• ECHENIQUE., G; (2001) Auditoría En Informática. Pag. 16.

• FASSIO, L. F. (2006). Introducción a la Metodología de la Investigación.

Buenos Aires: Ediciones Machi.

• FREEDMAN, A; 1994Auditoría Informática.

• GALÁN QUIROZ, L(l 996). Informática y Auditoría para las Ciencias

Empresariales. Bucaramanga: UNA .

• HERNÁNDEZ, E ; 1996, Auditoría Informática en la Empresa.

• INTERNACIONAL Y VI Colombia De Controles, Seguridad y Auditoría de

Sistemas.1991

• MANZANILLA, L;1994 Diccionario de Computación.

• PINILLA, José ;1992 Auditoría Informática. Un enfoque operacional.

• RAZO, C. M. (2002). Auditoría en Sistemas Computacionales. México: Pearson.

102

• RÍOS. \V ; 1994. Auditoría Informática - Guía para su aplicación.

• RIVAS, G. A. (1989). Auditoría Informática. Madrid: Díaz de Santos.

• ROJAS DELGADO, X (1987), Auditoría Informática. San Juan de Tibás: EUNED.

• ROJAS, E. Funciones de la Auditoría De Sistemas: Marzo De 1989.Simposio.

• RUÍZ, J;(2012). Metodología de la Investigación Cualitativa. España: Deusto.

• SANDOVAL. F. (2011). Investigación Fundamentos y Metodología Segunda

….Edición México: Pearson.

• TAMAYO, A. Auditoría De Sistemas Una Visión Práctica: Febrero del (2003).

• Universidad Nacional De Colombia Sede Manizales.

• UNI ANDES, D (2012). Manual de Investigación. Ambato: Mendieta.

104


Ambato, 12 de Noviembre del 2012

Ing. Mg

Gabriel Saltos

DIRECTOR DE LA CARRERA DE CONTABILIDAD Y AUDITORÍA

UNIVERSIDAD AUTÓNOMA DE LOS ANDES

Ambato.

Señor Director:

En atención a su pedido referente a la autorización para que el estudiante señor Ricardo Santiago

Balladares Quispe, con cédula de ciudadanía N°. 180459627-6, acceda a recabar información para

que realice la tesis de pregrado titulada " AUDITORÍA DE SISTEMAS PARA EL ÁREA DE

PROCESAMIENTO AUTOMÁTICO DE DATOS DE LA DISTRIBUIDORA MARCECI",

me permito informar que ha sido aceptado, por tanto, el señor estudiante debe acercarse a nuestra

oficina Operativa en la ciudad de , Ambato- Ingahurco Bajo, Calle Noruega y Polonia.

Cordialmente.

…………………………………..

ING. JHONNY CHÁVEZ CONTADOR DE LA DISTRIBUIDORA MARCECI

105

DISTRIBUIDORA “MARCECI”

ANTECEDENTES

DISTRIBUIDORA MARCECI, es una empresa cuya actividad principal es la venta al por

mayor de papelería, suministros de oficina y útiles escolares representada por la Licenciada

Martha Cecilia Hidalgo Cabrera con RUC 1800865998001 nuestra principal fortaleza es

tener 25 años en el mercado local, el mismo está compuesto por provincias de la zona

centro del país como son: Tungurahua, Pastaza, Napo, Cotopaxi, Chimborazo, Orellana y

Bolívar, para lo cual dispone de la infraestructura adecuada, para realizar sus actividades y

personal idóneo para el buen funcionamiento de la misma. Además contamos con la

DISTRIBUIDORA COMPAPEL representada por el Licenciado Marco Antonio Soliz

Acosta con RUC 1801091875001 cuya actividad principal es la venta de papel para

copiadora.

106

NOMBRE RUC DIRECCIÓN TELÉFONO COMPRA 2011

ADHEPLAST S.A. 0190099725001 VIA DAULE KM 10 072862018 $ 11,371.28

ALESSA 0992124857001 SUCRE 828 LORENZO DE GARAYCOA 042322090 $

27,930.52

AMG 1792169682001 SAN ALFONSO LOTE 7B Y SAN CAMILO 022020294 $

40,404.06

BIC ECUADOR


$

211,877.97

BICO

INTERNACIONAL S.

A.


MOZART 022886619 $

76,380.08

CIA IMPORTADORA REGALADO S.A.

(COMIRSA)

0992231467001 CHILE 730 Y COLON 042534197 $

170,667.43

COMERCIAL E

INDUSTRIAL SUCRE S. A. COMSUCRE

0991393757001 PIO MONTUFAR 109 Y AGUIRRE 042534018 $ 142,681.99

EXPOCSA 0990954232001 AV. JUAN TANCA MARENGO SOLAR 12 042254844 $

55,093.15



$

253,042.82

INDUSTRIAL

PAPELERA CAICEDO

MIÑO CIA. LTDA.

1890064562001 AVENIDA PASTEUR 10-26 Y GRECIA 032421936 $

67,986.33

INDUSTRIAS UNIDAS

CIA. LTDA. 0990021066001 KM. 4.5 AV. JUAN TANCA MARENGO S/N 042329213

$

87,834.23

ORGANIZACION COMERCIAL VICTOR

1890064562001 AVENIDA PASTEUR 10-26 Y GRECIA 032421936 $ 8,769.96

107

H. CAICEDO CIA.

LTDA.

PAPELESA CIA.

LTDA. 0990179085001 PARQUE INDUSTRIAL EL SAUCE 042101780

$

251,672.82

PLASTICOS


$

16,959.70

PROVEEDORA DE

PAPELES ANDINA S.

A.

1791768264001 CALLE DE LOS ARUPOS E3-199 Y AV. ELOY

ALFARO 022807152 $

60,858.57

QUIFATEX S. A. 1790371506001 AV. 10 DE AGOSTO 10640 Y M. ZAMBRANO 022477400 $ 33,459.00

PLASTIUNIVERSAL

S. A. 0990615462001


PECHICHES 042103715

$

116,458.33

108


FACULTAD DE SISTEMAS MERCANTILES CARRERA DE...

Documents

Transcript of FACULTAD DE SISTEMAS MERCANTILES CARRERA DE...