TALLER DE AUDITORIA DE SISTEMAS

1. Realizar el Entendimiento de TI de la Entidad.

2. Identificar los riesgos relacionados con el entendimiento de TI
3. Realizar la documentación de uno de los procesos productivos de la Entidad (Compras,
Ingresos, Gestión Humana)
 Identificar y documentar los riesgos relacionados con el proceso seleccionado
 Identificar y documentar los controles de aplicación ejecutados por la Entidad para
mitigar los riesgos identificados.
4. Realice la matriz de relación entre los riesgos identificados, los controles de aplicación
seleccionados y los controles generales de TI.

1.

Cliente: Dismatco del caribe SAS. Periodo: 31-dic-2017

Preparado por: Sindy Castillo, Mary Cruz Duran,

Martha Lafaurie, yerileth Camargo, Alanyeser Revisado por: Jorge Isaac Jarava Hernández
Torres

La empresa Dismatco del caribe SAS. Da soporte a los procesos de TI a través del departamento
de sistemas, el cual se encuentra conformado por dos funcionarios, segregando las funciones en
entre los dos. Los funcionarios responsables del área son el Sr. Alexander Zabaleta- Jefe de
sistemas, cuyas principales funciones son:

 Planear, organizar, Dirigir y Controlar, el funcionamiento del Área de Sistemas.

 Determina normas y procedimientos del uso de HW y SW.
 Propone, elabora e implanta nuevos sistemas necesarios en la Institución.
 Supervisa y revisa la elaboración de proyectos de organización, métodos y procedimientos,
organigramas estructurales, funcionales y de niveles jerárquicos.
 Realiza flujogramas de procesos, normas y procedimientos de Sistemas.
  Coordina y supervisa la elaboración de manuales, instructivos y formularios para HW y
SW.
 Mantener al día las copias de Seguridad y la Seguridad de la Información en la Institución.
 Elabora informes periódicos de las actividades realizadas.
 Proveer soporte a los usuarios en el manejo técnico y operativo de los datos y aplicativos,
con el fin de brindarle al cliente interno las facilidades en el desarrollo de sus labores.

Y el Sr. Fernando Henríquez- Jefe Mantenimiento y Soporte Técnico, cuyas funciones principales
funciones son:

 Recibe y revisa diariamente las solicitudes de trabajo de las diferentes unidades y

administrativas para el mantenimiento o reparación de equipos informáticos.
 Distribuye diariamente las asignaciones de trabajo y supervisa el resultado de los mismos.
 Diseña y supervisa diariamente la instalación de nuevos segmentos de la Red.
 Propone las medidas correctivas a las debilidades que plantean los sistemas informáticos y
supervisar el monitoreo de las mismas.
 Supervisar la instalación y actualización del software de antivirus en todas las terminales
dispuestas en la Dirección en coordinación con la Dirección General de Informática y
Comunicaciones.

La empresa Dismatco del caribe SAS. utiliza el sistema de información CONTAYA para
administración del flujo de información contable que generan las operaciones de la Entidad. Así
mismo por medio de este sistema se administra la información de los procesos de Tesorería,
Cartera, Inventarios y Facturación. El proceso de compra se hace por medio del sistema de
información SAMCOL, el cual no cuenta con una interface automática para alimentar el modulo
contable del sistema CONTAYA

La información generada en los procesos de compra es transferida al módulo contable del sistema
CONTAYA de forma manual, debido a que no se cuenta con una interface automática para el
traslado de la información de un sistema a otro.

El sistema de información CONTAYA se encuentra instalado en su versión (2.0), operando en una

base de datos IBM DB2. El sistema de información se encuentra instalado en el sistema operativo
Microsoft Windows XP. Mientras que el sistema de información SAMCOL se encuentra instalado
en su versión (1.1), operando en una base de datos de Microsoft SQL Server en su última versión
(12.0) La administración funcional y seguridad de los sistemas de información, se encuentra a
cargo del Jefe de Sistemas y su mantenimiento a cargo del Jefe Mantenimiento y Soporte Técnico.

Los servidores en los cuales se encuentra instalados los sistemas de información se encuentran
ubicados entre las oficinas del área de gestión humana y el departamento de cartera de la entidad,
no existe un espacio dedicado y con las especificaciones mínimas de seguridad ambiental para
almacenar y proteger los equipos.

La entidad no posee un procedimiento o política de seguridad donde se defina el procedimiento de

administración del número de usuarios que tienen acceso a la información del sistema, las
contraseñas de los correos de correo electrónicos no cumplen con las mejores prácticas sugeridas
por la industria, para la administración de contraseñas seguras, como longitud mínima,
complejidad, histórico, entre otros. La asignación de las cuentas de usuarios se realiza de modo
informal, los jefes de departamentos solicitan al jefe de sistema de manera verbal por vía telefónica
la creación de las cuentas de usuarios, no se lleva registros de dichas solicitudes. Se conoció que
de los 19 usuarios activos que tiene la entidad, 2 de ellos los maneja un solo usuario, encargado del
módulo de inventario y facturación. 4 cuentas de usuarios pertenecen a empleados retirados de la
empresa.

Por otra parte, se evidencio que la entidad no cuenta con una estructura funcional en su política de
seguridad de la información, en la cual, no se definen bien los lineamientos que los usuarios deben
de cumplir para evitar los riesgos en la utilización de los recursos informáticos de la entidad. El
jefe de mantenimiento tiene a cargo el manejo la base de datos de las contraseñas de los usuarios,
los cuales no pueden modificarlas.

Las modificaciones realizadas en los sistemas de información, como el mantenimiento en el manejo

de las aplicaciones de los módulos, soportes técnicos que se le brindan a los usuarios internos
cuando presentan inconvenientes correspondientes a los procesos de Tesorería, Cartera, Inventarios
y Facturación. No se evidenciaron registros como como formatos de solicitud y aprobación de
requerimientos, en los cuales se describan los cambios que se realizaron en los sistemas. Si se
necesita realizar alguna modificación el jefe de sistema en conjunto con el jefe de mantenimiento
y soporte técnico la llevan a cabo.

Las copias de seguridad de la información administrada en los sistemas de información, son

realizadas semanalmente de manera manual por medio de rutinas programadas por el jefe de
mantenimiento y soporte técnico. Las copias de seguridad son almacenadas en el disco duro del
servidor y en servicios de alojamiento en la nube (Dropbox).

En la entidad de acuerdo al entendimiento de los procesos administrados en el área de sistemas,

mantenimiento y soporte técnico, y las aplicaciones que se utilizan, se puede concluir que la
empresa no cuenta con un ambiente de TI favorable, debido a que no se evidenciaron procesos
formales y políticas de seguridad informática que soporten el funcionamiento efectivo de las
actividades relacionadas con TI.

2.

 La Entidad se ve afectada negativamente en su reputación debido al hurto de información

confidencial de los procesos administrativos ejecutados para su funcionamiento, por parte
de exempleados que aún tienen cuentas de usuario activas en el sistema de información,
debido a que la Entidad no cuenta con procedimientos formales para la debida desactivación
de las cuentas de usuarios en los sistemas de información de los empleados retirados.

 Pérdida económica por la alteración en los porcentajes de los descuentos otorgados a los
clientes, que fue aprobado por la junta en cabeza del gerente general, debido a las
modificaciones realizados no autorizadas en el módulo de cartera, mediante las
actualizaciones realizadas a los sistemas de información, generando la pérdida económica
y consecuencias en los estados financieros al momento de ser presentados a gerencia para
la toma de decisiones

 Pérdida económica por ventas de mercancía a bajo costo, de los establecidos por la gerencia
general, debido a la modificación de las listas de precios en el sistema comercial, por
usuarios no autorizados que poseen acceso a los sistemas de información y pueden realizar
modificaciones a las listas de precios.

 se presenta error al momento de descargar la copia de seguridad almacenada en la nube,

debido que la transferencia de información no se completó en su momento, debido que la
compañía no cuenta con un sistema de red que permita cargar copias de seguridad a los
servidores. Ocasionando atrasos en las operaciones diarias de la entidad y perdidas
 económicas, ya que no se cuenta con un respaldo de la información necesaria para el giro
ordinario de la compañía.

3.

Periodo Terminado: 31 de
Cliente: Dismatco del Caribe SAS
dic 2017
Fecha de Inicio: 1 Fecha de Finalización: 7 de
Preparado Por: Alanyeser Torres
de ago. 2017 ago. 2017

Revisado Por: Fecha de Revisión:

Prueba: Revisión del proceso de Ingresos.

Objetivo De La Prueba: identificar los controles automáticos y manuales con componentes

automáticos sobre los ingresos que la entidad devenga por la venta de productos (gaseosas, agua,
energizantes, jugos, chocolate etc.).

Personal Involucrado: Tesorero, Jefe de Contabilidad, ventas y Asistente Administrativo.

Sistema De Información: CONTAYA, SAMCOL.

Procedimientos.

 Indague con el tesorero y jefe de ventas acerca de proceso de ventas y recaudo.

 Documente el proceso de ventas y recaudo, como el proceso de registro de los ingresos en
el área contable teniendo en cuenta el componente tecnológico
 Identifique los riesgos relacionados con el proceso.
  Identifique los controles automáticos y manuales con componente automático, que cubran
los riesgos relacionados con el proceso evaluado

Descripción del Proceso

La empresa Dismatco del Caribe SAS, realiza la distribución de sus productos mediante los canales
de venta al por mayor y menor preventa TAT y grandes superficies en la ciudad de barranquilla.
Realiza ventas de bodega esporádicamente.

Pregunté al Jefe de ventas, acerca del proceso de ventas. El empleado reveló que para la venta al
por mayor la empresa otorga cupos de descuentos a los clientes mayoristas los cuales son asignados
en el departamento de tesorería. Los cupos de descuentos en las ventas al por mayor son
administrados de forma manual a través de un base de datos de Excel. El sistema CONTAYA no
está configurado para dar porcentajes tan altos en descuentos.

Acerca del proceso de toma de pedidos. El funcionario manifestó que los pedidos de venta al por
mayor y al por menor son realizados por los preventistas por medio del sistema SAMCOL a través
del módulo pedido en línea. Sistema utilizado para realizar los pedidos de venta es línea a través
de una dirección IP, los pedidos pueden ser eliminados de la base de datos del sistema.

Al realizar el pedido se crea una nota de pedido. Los consecutivos de los pedidos de venta son
generados automáticamente por el sistema y se pueden modificar.

El módulo de pedido en línea tiene opciones que le permitan al preventistas realizar el pedido de
venta basado en las existencias del inventario, el cual es modificable para el ingreso de mercancía
El inventario de productos de existencias no puede ser consultado por los preventistas, por lo los
pedidos son realizados teniendo en cuenta un estimado entregado por el supervisor de Venta. De
acuerdo a indagaciones con jefe de Venta, este estimado no es confiable para llevar a cabo el
proceso de venta y toma de pedidos debido a que se presentan muchos faltantes, por demora en el
despacho de la planta del proveedor principal.

La facturación de las ventas es a pago contra entrega y es realizada por medio del sistema
SAMCOL, módulo venta, opción Facturación. Las ventas esporádicas de bodega son registradas
en el sistema, por la misma ruta que los demás ingresos, estas son realizadas por el asistente
administrativo de la empresa, se registran en el sistema a un mismo usuario.
La información de ventas generada en el sistema SAMCOL es trasmitida al sistema contable
CONTAYA, mediante un archivo plano, que es descargado por el jefe de sistema semanalmente.

Mensualmente los Asistentes de contabilidad en conjunto con el jefe de departamento validan que
la información transferida desde SAMCOL de las ventas al sistema contable CONTAYA
verificando que los datos sean íntegros. Para lo cual, un Asistente gestiona cada dato de venta y
genera un reporte llamado cuadre de Facturas de ventas. Este mismo reporte se realiza en un archivo
de Excel para ser ingresado al sistema contable. si no se encuentran diferencias entre los datos
arrojados por de sistema de ventas y él reporte generado por el dpto. contable se da por sentado
que la información fue transmitida de forma íntegra. En caso de encontrar diferencias estas deben
de ser conciliadas por el equipo contable y realizar su debido ajuste.