AUDITORIA DE SISTEMAS INFORMATICOS I

TRABAJO EVALUATIVO No. 2

ACTIVIDADES DE APRENDIZAJE
ACTIVIDAD 1
Conteste las siguientes interrogantes de acuerdo al anlisis que usted realice
del contenido que se presenta en los tres primeros captulos del libro:
AUDITORA INFORMTICA, UN ENFOQUE PRCTICO; Autor Mario Piattini.
1. Cules son los componentes de una contramedida (pirmide de la
seguridad)?
Los componentes de una contramedida son:

la normativa, la

organizacin,

de

las

metodologas,

los

objetivos

control,

los

procedimientos de control, tecnologas de seguridad, las herramientas

de control.
2. Cules son las diferencias entre la auditora informtica y el
control interno informtico? Ample su respuesta con un ejemplo.
Entre las principales diferencias tenemos que: la auditoria informtica
realiza un seguimiento de los controles en un momento informtico
determinado mientras que el control interno informtico lo realiza
diariamente; la auditoria informtica se encarga de informar los
resultados de las evaluaciones a la direccin general de la organizacin
mientras que el control interno informtico, informa al departamento de
control interno informtico; y por ultimo tenemos que la principal
diferencia es que el control interno informtico monta los controles del
proceso informtico, mientras que la auditoria informtica evala el
grado del control interno informtico.

Para explicar la diferencia entre ambas tenemos por ejemplo que: si en

una empresa el personal no est capacitado debidamente en el manejo
de los sistemas de informacin, el departamento de control interno
informtico se encarga de asesorar al personal e indicar las normas para
su manejo, en cambio el auditor informtico viene a evaluar si dicho
asesoramiento fue eficaz y eficiente. Tambin podra mencionar que el
control interno informtico controla que todas las actividades se realicen
cumpliendo las normas establecidas en cambio la auditoria informtica
recoge, agrupa y evala las evidencias para comprobar si el control
interno informtico cumple con sus funciones.
3. En qu consiste la metodologa MARION?
Este mtodo francs permita valuar el nivel de riesgos de tecnologa de
la informacin de una organizacin. Es un mtodo cuantitativo que no
contempla probabilidades sino esperanzas matemticas que son
aproximaciones numricas. Este mtodo tiene dos productos que son:
MARION AP+, para sistemas individuales y MARION RSX para sistemas
distribuidos y conectividad.
Este mtodo contempla seis etapas:
1) Identificar los incidentes e impactos sobre el SI.
2) Decidir la perdida mxima aceptable y por lo tanto los incidentes a
cubrir.
3) Estimar la calidad de medidas de seguridad existentes (a partir de
una lista cuestionario), identificando vulnerabilidades y contramedidas a implementar.
4) Identificar los factores financieros que dificulten la implementacin
de las contra-medidas.
5) Producir una lista priorizada de contra-medidas.
6) Desarrollar un plan de accin.
MARION, usa cuestionarios y parmetros relacionados entre s y q se
encaminan a representar grficamente las soluciones de contramedidas
en cada una de las siguientes categoras:
-

Seguridad Informtica general

Factores socioeconmicos

Concienciacin sobre la seguridad de software y materiales

Seguridad en explotacin

Seguridad de desarrollo.

Para los cuestionarios que utiliza para valorar la seguridad de las TI, las
preguntas se responden as: SI=4, NO=0, No aplicable=3; y el anlisis
de riesgos lo realiza bajo 10 reas problemas, con el fin de evaluar el
impacto, y estas reas son:
Riesgos materiales
Sabotajes fsicos
Averas
Comunicaciones
Errores de desarrollo
Errores de explotacin
Fraude
Robo de informacin
Robo de software
Problemas de personal.
4. Qu es el Single SignOn? Por qu es necesario un software
especial para el control de acceso en los entornos distribuidos?
El Single SignOn constituye un proceso de autenticacin de sesin que
permite a un usuario, el mismo que debe introducir su nombre y
contrasea, acceder a mltiples aplicaciones, informacin y recursos.
Los entornos o sistemas distribuidos necesitan un software distinto al de
los sistemas centralizados, por esta razn es que este software especial
es necesario ya que permite conseguir el control de acceso, mejora el
nivel de control y permite observar la seguridad lgica total.

ACTIVIDAD 2

1. Escoja una Empresa u Organizacin para desarrollar su trabajo.

2. Realice el diagnostico situacional de la Empresa (ver ANEXO 0, puntos que
apliquen).
2.1. Desarrolle los Procesos de Gobierno, Procesos Principales y Procesos
de Soporte de la Empresa (ver ANEXO 0, diap14, diap15).
3. De acuerdo a las estrategias genricas de valor de Michael Porter, su
empresa a que estrategia le corresponde y porque? Liderazgo de bajo
costo; Diferenciacin del producto; Enfoque en un nicho de mercado;
Fortalecimiento de la intimidad con los clientes y proveedores?. (ver ANEXO
2)
4. Dependiendo del giro de negocio de su Empresa, realice 4 procesos de
Negocio que tengan relacin tecnolgica (ver ANEXO 13 y ANEXO 6,
diap23)
5. De los 4 procesos de negocio, escoja un proceso de negocio y desarrolle el
manual de procedimiento (ver ANEXO 3)
6. Realice una matriz de control interno (filas actividades/procesos de negocio
vs reas internas o entes externos), poner pesoFILA * pesoCOLUMNA,
pinte con color rojo los valores ms altos y explique qu controles pondr
por estos casos (ver ANEXO 4). Si el control corresponde al proceso de
negocio escogido en el punto 5, regstrelo en el manual de procedimiento
(debe existir al menos uno)
7. identifique y registre al menos 10 riesgos tecnolgicos de la Empresa y
procesos de negocio escogidos (ver ANEXO 12, diap17)
8. Registre al menos 2 aspectos ticos que los recursos de la Empresa, deben
tomar en cuenta al momento de usar la TI (ver ANEXO 14)

1. DENOMINACIN (RAZN SOCIAL): DOOPLER DISTRIBUIDORES CIA

LTDA
ACTIVIDAD ECONMICA: PRODUCCION Y COMERCIALIZACION DE
CORTINAS
DIRECCIN: DE LOS GUAYABOS LOTE #7 Y LAS FARZALIAS
TELFONO. : 3269037
RUC: 1792296269001
NOMBRE DEL GERENTE: SR. ANGEL CHICAIZA

2. DIAGNOSTICO DE LA EMPRESA DOOPLER DISTRIBUIDORES CIA

LTDA.
Antecedentes

2005.- se constituye la compaa y se apertura el primer local, en la Av.

Amrica y Rumipamba, donde se distribuyen repuestos para cortinas.

2007.- la empresa es escogida para representar a Amrica Latina en la
Shanghi Expo R+T 2007 donde se adquieren los insumos para la

produccin de la cortina romana semiautomtica.

2008.- comienza la produccin de todos los tipos de persianas

horizontales y verticales.
2010.- se expande el mercado a las distintas provincias del pas
2012.- se apertura la primera oficina en Bogot, Colombia.
2013.- empieza la produccin en masa de las cortinas zebras, dual
Shade, cortinas enrollables, cortinas romanas, paneles deslizantes, ares

Shade y triple Shade.

2014.- se expande la planta de produccin a los 3000m2 y la fbrica

alcanzo los 60 empleados.

2015.- Doopler Distribuidores es una empresa dedicada a la fabricacin
de todos los tipos de Shades y cortinas de vanguardia, ofreciendo un
producto de calidad y garantizando su durabilidad.

Estructura Organizacional
Mediante el siguiente organigrama funcional, se indica las principales funciones
que realizan en cada departamento:

Auditoria Interna
-Controlar el cumplimiento de las normas vigentes.
-Realizar auditoras, etc.

Misin
Satisfacer las necesidades de nuestros clientes, manteniendo un producto
seductor, ofreciendo a nuestro mercado calidad, con excelencia en el servicio al
cliente, laborando con cualidades empresariales de alto contenido humano.
Visin
Convertirse en la empresa lder en la comercializacin de cortinera en el
mercado nacional dentro de los prximos 5 aos, a travs de pilares
fundamentales de competitividad como Innovacin, Eficiencia, Confiabilidad y
Capacidad de Respuesta, para ofrecer productos de excelencia y calidad
desarrollando nuevos productos acordes a los estndares de clase mundial.
Estrategias
Las estrategias son las siguientes:
-

Estrategias de atencin al cliente.- atraccin de clientes por medio de

precios competitivos.
Estrategias del personal.- entrega de bonos adicionales a empleados

segn rendimientos.
Estrategias de Mercadeo (Precio de Venta).- ofrecer descuentos para los

clientes
segn monto
de compra.
PROCESOS
PRINCIPALES
DE GOBIERNO
Estrategias de cobranzas.- llamar al cliente 5 das antes de vencimiento
de factura.

Objetivos
Estratgicos
Gestin
de Ventas
Gestin de Produccin
Gestin de Atencin
Gestinalde
Cliente
Compras de Materia Prima
Promover la Innovacin para la mejora de procesos.
Ampliar la cobertura de nuestros productos con una eficiente atencin al
cliente.
Asegurar una calidad adecuada del sistema operacional cumpliendo los
estndares de calidad.
Gestin
Utilizar de forma racional
los Financiera
recursos materiales humanos y financieros
de la empresa.
Seleccin
de Personal
Incrementar el nivel
de participacin
en el mercado nacional.
2.1 Cadena de valor
Capacitacin y Desarrollo
PROCESOS DE GOBIERNO
Publicidad
Desarrollo y Mantenimiento de Sistemas y Tecnologa
Limpieza y Seguridad

PROCESOS PRINCIPALES CADENA DE VALOR

PROCESOS DE SOPORTE

El CORE de negocio de la empresa es la produccin y comercializacin de

cortinas, ste sigue el siguiente esquema:
Gestin de Ventas: donde su principal fuerte es la emisin de descuentos
especiales segn montos de compras.
Gestin de Produccin: departamento clave, donde se colocan las importantes
mejoras tecnolgicas a fin de alcanzar los objetivos organizaciones.
Gestin de Atencin al Cliente: se brinda un servicio postventa, donde se
cumple con la garanta emitida.
Gestin de Compras de Materia Prima: se traen el mejor producto del
extranjero, a un buen costo y buena calidad.

3. En base a las estrategias genricas de las fuerzas de Michael Porter, a

la empresa DOOPLER DISTRIBUIDORES CIA LTDA., le corresponde la
estrategia Liderazgo de Bajo Costo, porque su principal ventaja son sus
costos accesibles as es que ha mantenido un volumen alto de ventas
adems que sus principales proveedores en China tienen acceso al
inventario de la compaa a fin de proveer de la materia prima necesaria
sin desabastecimientos. Desde que se iniciaron las operaciones la
empresa mantiene relaciones con proveedores en China, porque stos
realizan la entrega de la mercadera en el menor tiempo posible, y otra
razn por la que corresponde a esta estrategia se debe a la
competencia; la competencia tambin se dedica a importar y mediante
los costos bajos es que se ha visto un crecimiento exponencial durante
los ltimos 5 aos. Doopler posee los costos ms eficientes para los
consumidores, adquiere la materia prima a los costos ms econmicos
posibles y esto le permite una alta produccin.

4. Procesos de negocios.
4.1 Departamento de Ventas, Gestin de Atencin al cliente con su proceso
de negocio: Digitacin de orden de produccin.

SI
NO

4.2 Departamento de Finanzas con su proceso de negocio: Facturacin

4.3 Departamento de Finanzas: Ingreso al Programa Kohinor para realizar

registros contables.

4.4 Departamento de Finanzas: Recuperacin de Cartera

5. Proceso de negocio - Recuperacin de Cartera. Elaboracin del

Manual de Procedimientos

MANUAL DE PROCEDIMIENTOS
1. Proceso: Recuperacin de Cartera
2. Departamento: de Finanzas
2.1. Objetivo
Mediante el uso del programa Kohinor se asegura la eficiente
recuperacin de la cartera vencida.
2.2. Alcance
Este proceso se aplica slo a la gestin de cobranzas.
2.3. Participantes
Auxiliar contable
Cliente
Contador
Gerente Financiero
Departamento de Sistemas
2.4. Poltica General
Toda actividad econmica debe ser registrada en el programa Kohinor,
segn el tipo de transaccin, el mismo da en que es llevada a cabo.
3. Grafica del Proceso
3.1. Diagrama de Flujo
Las actividades del proceso de recuperacin de cartera y el manejo del
problema, se presentan en el siguiente flujograma:

3.2. Descripcin del Proceso

El proceso se describe mediante la siguiente matriz RASCI:
ROLES
ACTIVIDADES

Auxiliar
Contable

1. Revisin y Cobro de
Cartera Vencida
2. Emisin del Pago
3. Verificacin del Pago
4. Contabilizacin del Pago
5. Identificar problemas
6. Comunicar problemas al
departamento de Sistemas
7. Verificacin de Problemas
8. Solucin de Problemas
9. Comunicar solucin de
problemas

Gerente
Cliente

Financier
o

I
R

S
S
R

Contador

I
R
R
I
R

Departamento
de Sistemas

I
A

I
I

C
R
R

4. Glosario de Trminos
Kohinor: programa informtico contable que contiene varios mdulos tales
como: Inventarios, Compras, Cuentas por Cobrar, Contabilidad, Importaciones,
etc., para el registro de registro contables y emisin de estados financieros.
Creacin de Modulo, Cartera vencida por das: se cre este nuevo mdulo en
el sistema Kohinor, con el fin de obtener informacin exacta sobre la cartera
vencida; antes se generaba un reporte en el que se sumaba la deuda mensual
lo que ocasion problemas al cobrar ya que no se obtena informacin real por
das.

6. Matriz de Control Interno

PRODUCTOS/
AREAS/

3
NORMAS

4
POLITICA

5
NORMAS DE

IMPUESTOS

CONTABLES

ORGANIZACIONAL
=2*24

SEGURIDAD

=2*25

INTERNAS
=1*40

=1*20
20
=4*20

50
=3*25

40
=5*20

48
=2*17

80

75
=2*40

100
=2*20

34
=1*33

=2*33

80
=3*22

40
=5*20

33
=4*15

66

66

100

60

ACTIVIDADES
1. Ventas
2. Administrativo
3. Produccin
4. Finanzas

Podemos notar claramente que en los departamentos de Finanzas y el

Administrativo se encuentran los valores ms altos, lo que demuestra que
ambos departamentos no estn cumpliendo en su totalidad con las normas
internas. La norma que est incumpliendo el departamento administrativo es la
de capacitar al personal 4 veces al ao como mnimo, se verifico que solo se
han alcanzado ltimamente tres capacitaciones por ao; por lo que recomiendo
efectuar auditoras internas a dicho departamento trimestralmente a fin de
cumplir con dicha norma. Respecto al departamento de Finanzas tenemos que
se estn emitiendo cheques para compras sin previa cotizacin, incluso se
emiten algunos de stos en blanco debido a la prisa con que se requera la
compra de materia prima; esto va totalmente en contra de uno de los objetivos
del control interno que es salvaguardar los activos de la empresa, por lo que
recomiendo la creacin de un listado de proveedores con su respectiva lista de
precios a fin de conocer el monto exacto y as se giren los cheques
debidamente, para esto se realizaran visitas peridicas al departamento a fin
de confirmar el cumplimiento de dicha recomendacin.

7. Identifique y registre al menos 10 riesgos tecnolgicos de la Empresa y procesos de negocio escogidos.

8. Registre al menos 2 aspectos ticos que los recursos de la Empresa

deben tomar en cuenta al momento de usar la TI:
Derechos y obligaciones de la informacin: qu derechos de informacin
posee la empresa respecto de la informacin sobre s misma, cmo la
pueden proteger y qu obligaciones tiene respecto a esta informacin.
Responsabilidad y control: esto se refiere a quin puede y debe rendir
cuentas y hacerse responsable por el dao a los derechos de propiedad
y de informacin individual y colectiva, en este caso la empresa es
totalmente responsable y ejerce un adecuado control sobre el uso de la
TI. En general la empresa demuestra honestidad y respeto hacia las
dems empresas.