Facultad de Ingeniería de Sistemas e Informática

GRUPO 4
TRABAJO

“AUDITORÍA AL ÁREA DE CAJAS PARA LOS PROCESOS DE COMPRAS DE LA EMPRESA

PLAZA VEA DE PRO”

DOCENTE

IVAN VLADIMIR MARTINEZ MORAN

ALUMNOS

ENZO VILLANUEVA MENDEZ

CRISTIAN ALEXSANDER NIETO MARTINEZ

HUGO MURILLO PULIDO

ROBBYN PAUCAR MEDINA

2022
 Índice
Capítulo 1.....................................................................................................................................4
1. Introducción:....................................................................................................................4
2. Definición del Problema:..................................................................................................4
3. Selección de Empresa Para Auditar:.................................................................................4
4. Introducción al caso de Auditoria (proceso/área):...........................................................4
Capítulo 2.....................................................................................................................................4
5. Definición del Problema...................................................................................................4
5.1. Planteamiento del Problema....................................................................................4
5.2. Formulación del Problema (sin pregunta y enfocado al problema)..........................5
5.3. Definición del proceso a auditar...............................................................................5
Capítulo 3.....................................................................................................................................5
6. Marco de Referencia........................................................................................................5
6.1. Marco Contextual.....................................................................................................5
6.1.1. Datos de la Empresa.........................................................................................5
6.1.2. Misión...............................................................................................................5
6.1.3. Visión................................................................................................................6
6.1.4. Organigrama.....................................................................................................6
6.1.5. Topología de la red...........................................................................................6
6.1.6. Descripción Aplicativo......................................................................................7
6.1.7. Seguridad del área............................................................................................7
6.1.8. Procedimientos.................................................................................................7
Capítulo 4.....................................................................................................................................8
7. Desarrollo de la Auditoría.................................................................................................8
7.1. Fase 1 – Elaboración del Plan de Auditoría...............................................................8
7.1.1. Objetivo............................................................................................................8
7.1.1.1. Objetivo General...........................................................................................8
7.1.1.2. Objetivos Específicos....................................................................................8
7.1.1.3. Alcance.........................................................................................................9
Capítulo 5.....................................................................................................................................9
7.1.2. Plan de Auditoria..............................................................................................9
7.1.2.1. Investigación Preliminar...............................................................................9
7.1.2.2. Recolección de Información.......................................................................10
7.1.2.3. Aplicación de Instrumentos........................................................................10
Capítulo 6...................................................................................................................................12
 7.1.3. Ejecución de Pruebas......................................................................................12
7.1.3.1. Proceso de Análisis y Evaluación de Riesgos...............................................12
7.1.3.2. Tratamiento de Riesgo................................................................................12
Capítulo 7...................................................................................................................................14
7.1.3.3. Dictamen de Auditoria................................................................................14
7.1.3.4. Informe Final de la Auditoria......................................................................15
Capítulo 8...................................................................................................................................15
7.1.4. Recursos.........................................................................................................15
7.1.4.1. Materiales...................................................................................................15
7.1.4.2. Tecnológicos...............................................................................................16
7.1.4.3. Financieros.................................................................................................16
7.1.4.4. Cronograma................................................................................................17
Capítulo 9...................................................................................................................................18
7.2. Fase 2 – Ejecución del Plan de Auditoria................................................................18
7.2.1. Proceso de Recolección de Información y Planteamiento de Actividades......18
7.2.2. Cuestionario Cuantitativo...............................................................................18
7.2.3. Entrevistas......................................................................................................19
Capítulo 10.................................................................................................................................20
7.2.4. Técnicas y Herramientas Utilizadas................................................................20
7.2.5. Valoración del Riesgo......................................................................................24
Capítulo 11.................................................................................................................................25
7.2.6. Matriz de Probabilidad e Impacto..................................................................25
7.2.7. Herramientas de Evaluación...........................................................................25
7.2.8. Hallazgos Producidos por Efecto de la Auditoria............................................26
Capítulo 12.................................................................................................................................26
7.3. Fase 3 – Informe de la Auditoria.................................................................................26
7.3.1. Introducción al informe......................................................................................26
7.3.2. Principales Observaciones..................................................................................27
7.3.3. Recomendaciones y Plan de Acción / Mejoras...................................................28
Capítulo 1
1. Introducción:
Actualmente una empresa debe tener sus sistemas funcionando al 100% todo el tiempo, de
caso contrario estaría perdiendo mucho dinero en cuestión de minutos u horas. Por ello, es
importante contar con la correcta gestión de dichos sistemas.

La empresa Plaza Vea procesa miles de ventas en cuestión de minutos en unos de los muchos
sistemas que maneja. El sistema cuenta con errores en las conexiones con la base de datos,
evitando que se pueda procesar la compra, lo que causa perdida de dinero y tiempo.

Nuestro trabajo de auditoria se basará en analizar todo el proceso de ventas que tiene la
empresa Plaza Vea, para que, de esa manera, se pueda encontrar el error que no permite
concretar el proceso. Permitiendo que el sistema continue con el flujo de venta, evitando la
pérdida de dinero.

2. Definición del Problema:

Actualmente, el área de cajas de la empresa Plaza Vea está teniendo problemas para culminar
con el proceso de ventas. El problema se centra en el sistema que usan los cajeros para realizar
las transacciones, estos sufren caídas, fallos y reinicios, que no permiten al cliente completar
su compra. El sistema es un activo esencial para el proceso de ventas, por lo que su
funcionamiento debe de ser optimo. Por ello, se ha tomado la decisión de realizar una.

3. Selección de Empresa Para Auditar:

 Razón Social: SUPERMERCADOS PERUANOS SOCIEDAD ANONIMA 'O ' S.P.S.A.
 Ruc: 20100070970
 Nombre Comercial: Hipermercado Plaza Vea Pro, Comas
 Dirección: Av. Alfredo Mendiola KM 21.5

4. Introducción al caso de Auditoria (proceso/área):

Actualmente, la empresa Plaza Vea cuenta con un sistema para el registro de ventas de
productos, por donde los colaboradores realizan las transacciones cuando el cliente realiza el
pago. Este sistema presenta algunos fallos e inconvenientes durante la ejecución del proceso
de ventas, lo que no permite que el cliente complete su compra.

Por esta razón, se va a realizar la auditoria al PROCESO DE VENTA, que pertenece al área de
cajas para identificar las razones y situaciones de estos problemas.

Capítulo 2
5. Definición del Problema
5.1. Planteamiento del Problema
El sistema NCR es el que se usa actualmente en la gestión de procesos de ventas del área de
cajas de Plaza Vea. El área de cajas ingresa los datos del cliente y esto es almacenado en una
base de datos. Al momento en que los clientes proceden a realizar los pagos de los productos a
comprar, los encargados del área de cajas reportan la caída constante de los sistemas usados,
lo que provocaba retenciones de compras, sistemas colgados e inconvenientes con las bases
de datos. Estos problemas generan que no se garantizan un crecimiento sostenido en el
tiempo para Supermercados Peruanos S.A, además de que provocan un grado de insatisfacción
del cliente, por consiguiente, la posterior pérdida de clientes donde migran a los
supermercados de la competencia. Es en base a esta situación, la alta dirección de
Supermercados Peruanos S.A decidió implementar una mejora en el sistema usado por el
personal interno de cada caja a la hora de realizar la atención.

5.2. Formulación del Problema (sin pregunta y enfocado al problema)

Para tener una idea clara del problema que afecta al proceso de ventas del área de cajas de
Plaza Vea, se hará hincapié en la influencia del sistema y hardware pues estas son lo que
garantiza en funcionamiento óptico, además de interferir con el proceso de ventas de los
clientes, pues se detectara en que punto está enfocado el contratiempo

5.3. Definición del proceso a auditar

El proceso de ventas tiene como objetivo registrar cada transacción que realiza cada cliente al
momento de comprar uno o más productos. Este proceso inicia cuando el cliente se acerca con
los productos que desea adquirir. Luego, el trabajador registra los datos del cliente y ofrece las
ventas activas como tinkas y productos en promociones. Después, el cajero hace el registro de
cada producto y se le indica el cliente el monto a pagar. Finalmente, el cliente realiza el pago y
el sistema lo registra en la base de datos.

Capítulo 3
6. Marco de Referencia
6.1. Marco Contextual
6.1.1.Datos de la Empresa
Hipermercado Plaza Vea Pro, Comas ubicado en Av. Alfredo Mendiola KM 21.5.

 Numero de RUC: 20100070970 - SUPERMERCADOS PERUANOS SOCIEDAD ANONIMA ó

S.P.S.A.
 Tipo Contribuyente: Sociedad Anónima
 Nombre Comercial: Plaza Vea
 Fecha de Inscripción en la SUNAT: 09/10/1992
 Fecha de Inicio de Actividades: 01/06/1979
 Actividades económicas que realiza: venta al por menor en comercios no
especializados con predominio de la venta de alimentos, bebidas o tabaco, venta de
partes, piezas, accesorios para vehículos automotores, actividades de restaurantes y
de servicio móvil de comidas
 Tipo de comprobante de pago que emite: boletas, facturas, liquidación de compra,
nota de crédito, nota de débito, guía de remisión y comprobante de retención.

Actualmente se cuenta con más de 100 oficinas a nivel nacional, teniendo una red de agencias
que abarca todas las regiones del Perú.

6.1.2.Misión
Mejorar la calidad de vida de nuestros colaboradores, clientes y proveedores, minimizando el
impacto ambiental, a través del desarrollo de actividades desde un enfoque de sostenibilidad,
transversal a todas las áreas de la compañía, que, a su vez, creen una cultura de sostenibilidad
en todos nuestros grupos de interés.
 6.1.3.Visión
Ser la cadena peruana de supermercados líder en el desarrollo e implementación de prácticas
innovadoras de alto impacto en la eficiencia y sostenibilidad del negocio.

6.1.4.Organigrama

6.1.5.Topología de la red
En esta parte se puede observar la topología de red de la empresa Plaza Vea.
 6.1.6.Descripción Aplicativo
El sistema NCR tiene como objetivo principal automatizar el proceso de ventas de la empresa
Plaza Vea, de modo que permita registrar los datos del cliente y su compra respectiva,
generando un comprobante de pago y registrándolo en la base de datos.

Objetivos específicos del aplicativo:

 El sistema permite el registro de un nuevo cliente.

 El sistema permite el registro de uno o más productos.
 El sistema genera el comprobante de pago de la compra del cliente.
 El sistema registra las transacciones de las ventas en la base de datos.

6.1.7.Seguridad del área

En el área de cajas de Plaza Vea, se garantiza la seguridad de esta área implementándose
normas y políticas tales como:

 Asegurarse todas las noches que no quede dinero en las cajas registradoras, caja
retardo y en todas las áreas de caja.
 Los Cajones de las Cajas Registradoras deben quedar totalmente abiertos para así no
levantar ningún tipo de sospechas que exista dinero dentro de ellas.
 Los encargados/as deben ir a la bóveda o caja fuerte acompañados de un cajero/a, el
cual no debe conocer la clave, pero si verificar la entrada y salida de lo que contenga la
caja.
 Está prohibido la presencia de familiares, amigos u otras personas ajenas a la Empresa
al momento del cierre de Caja.
 Se encuentra prohibido la ENTRADA DE EMPLEADOS FUERA DE SU JORNADA DE
TRABAJO EN EL CIERRE DE CAJA.
 No deben quedar colocadas las llaves en las cerraduras de las cajas de Plaza Vea.
 Solo los cajeros/as y encargados/as deben manipular las llaves pertenecientes a las
cajas de la tienda.

6.1.8.Procedimientos.
 Diagrama de Flujo

En la siguiente imagen se puede observar el diagrama de flujo del proceso de ventas de la

empresa retail de Plaza Vea – Comas.
Capítulo 4
7. Desarrollo de la Auditoría
7.1. Fase 1 – Elaboración del Plan de Auditoría

7.1.1.Objetivo
7.1.1.1. Objetivo General
Realizar una auditoría informática de sistemas en el área de Ventas de la empresa Plaza Vea
Pro-Comas, con la finalidad de asegurar el funcionamiento óptimo de los procesos y sistemas
que manejan en la compañía.

7.1.1.2. Objetivos Específicos

 Comprobar si los planes de seguridad son evaluados periódicamente.
 Verificar la programación de los mantenimientos a las aplicaciones.
 Evaluar los procedimientos de verificación y almacenamiento de los datos.
 Evaluar los procedimientos de asignación de claves de acceso, modificaciones,
cancelaciones, etc.
 Comprobar la calidad de la información producida.
 Diseñar un plan de auditoria para el sistema usados por los trabajadores en la caja de
Supermercados Peruanos Plaza Vea, implementado en la empresa la mejora del
aplicativo usado por el sistema.
  Evaluar la seguridad física con respecto a instalaciones, equipos, documentación, back-
ups, pólizas y planes de contingencias.
 Evaluar los recursos informáticos de la empresa a nivel tecnológico, producción de
software y aplicaciones más comúnmente utilizadas.
 Efectuar un análisis sobre la concepción, implementación y fiabilidad de la seguridad
aplicada a los sistemas de información.
 Analizar los componentes del costo involucrado en la sistematización de los diferentes
procesos, así como evaluar los beneficios derivados de la misma.

7.1.1.3. Alcance
El alcance a realizar consiste en revisar y evaluar la validez, calidad y aplicación de los controles
contables, financieros y operativos de la Plaza Vea Pro, promoviendo un control efectivo a un
coste rentable, también de asegurarnos de que las políticas, programas y procedimientos
establecidos por la organización se cumplan asesorando sobre mejoras operativas dentro de la
organización y ayudando a identificar ahorros potenciales, en cuanto al impacto que puedan
producir en los resultados financieros.

Para ello se revisará y buscará la correcta y efectiva implantación de las recomendaciones y

sugerencias de auditoría planteadas.

Capítulo 5
7.1.2.Plan de Auditoria
7.1.2.1. Investigación Preliminar
En esta parte del proyecto de auditoría, se realizará un levantamiento de información de los
recursos tecnológicos, sistemas de información, software de terceros y políticas de seguridad
que implementa la empresa. A continuación, se detallarán los puntos mencionados.

A. Recursos tecnológicos
Los recursos tecnológicos que implementa Plaza Vea son los siguientes:

 Servidores de archivos
 Servidores de base de datos
 Servidores de transacciones
 Servidores web
 Computadoras
 Cajeros automáticos

B. Sistema de información
Los sistemas de información que utiliza Plaza Vea son los siguientes:

 Un sistema de gestión de contenido (CMS): Este sistema lo usa la empresa para

gestionar su página web, intranet, el portal de proveedores y mesa de soporte
técnico.
 Un gestor de relaciones con los clientes (CRM): Este sistema lo usa la empresa
para administrar y analizar las interacciones con los clientes, anticipar sus
necesidades y optimizar la rentabilidad.
 Un sistema de planificación de recursos empresariales (ERP): Este sistema lo usa
la empresa para gestionar todo el negocio, donde se puede gestionar sus procesos,
recursos humanos y más.
 C. Políticas de seguridad
Las políticas de seguridad actuales que implementa Plaza Vea son las siguientes:

 Asegurarse todas las noches que no quede dinero en las cajas registradoras, caja
retardo y en todas las áreas de caja.
 Los Cajones de las Cajas Registradoras deben quedar totalmente abiertos para así
no levantar ningún tipo de sospechas que exista dinero dentro de ellas.
 Los encargados/as deben ir a la bóveda o caja fuerte acompañados de un
cajero/a , el cual no debe conocer la clave, pero si verificar la entrada y salida de lo
q contenga la caja.
 Está prohibido la presencia de familiares, amigos u otras personas ajenas a la
Empresa al momento del cierre de Caja.

7.1.2.2. Recolección de Información

En esta parte del proyecto se detallarán los métodos de información utilizados para la
recolección de información clave para realizar la auditoria. A continuación, se mencionarán los
puntos mencionados.

A. Cuestionario
Se implementa este método de recolección de información para que el auditor pueda obtener
información del supervisor del área de ventas, con la finalidad de saber el funcionamiento del
sistema, que luego será usado para el análisis y realizar una comparación.

B. Entrevistas
Se implementa este método de recolección de información para que el auditor pueda revisar
el proceso de cada caso de uso que tiene el sistema NCR. De esa manera, pueda identificar en
que caso de uso está ocurriendo el problema.

C. Encuestas
Se implementa este método de recolección de información para que el auditor pueda saber a
través de los empleados del área de ventas, cómo funciona el sistema que se usa en los
cajeros, la facilidad de uso, los fallos de conectividad y las caídas constantes del sistema.

7.1.2.3. Aplicación de Instrumentos

Los métodos de recolección de datos que se han planteado como propuesta por parte de la
auditoría, tienen sus ventajas y desventajas, por lo que en este punto se comentará cada una
de ellas.

A. Cuestionario
En primer lugar, contamos con el cuestionario el cual es uno de los instrumentos de
recolección de datos que se ha dado como opción para esta auditoría, la idea para poder
realizar este método comenzaba con la elaboración de un cuestionario, haciendo énfasis con
algunas preguntas bien elaboradas a los problemas con más reportes así entregándonos el
detalle de como surgen estos, los supervisores y jefe del área serán designados para responder
estos cuestionarios. Dicho método culminaba con la recolección de datos y el manejo de estás.

B. Entrevista
Cómo segunda alternativa contábamos con el método de entrevista, está trata de recopilar
información de primera mano el cual tiene la ventaja de no quedar con ideas vacías, la
 elaboración de esta entrevista incluiría las mismas preguntas del cuestionario que se han
planteado con respecto a los problemas más concurrentes que han notificado como reportes.
Estás entrevista va dirigido a los colaboradores que interactúan diariamente con el sistema
NCR en plaza vea PRO, finalmente se empleaba la recolección de apuntes de cada entrevista
que se ha hecho.

C. Encuesta
Las encuestas también forman parte de esas opciones para la recolección de datos, está se iba
a llevar a cabo en base de una planilla de preguntas con respuesta midiendo el nivel de
satisfacción con el uso del sistema de NCR, estás contarían con la colaboración de los
trabajadores que interactúan constantemente con el sistema y finalmente con la recolección
de datos de manera más ordenada e interactiva.

Finalmente, se ha tomado la decisión de trabajar con el instrumento de entrevista, pues esta

ayudará a tener robustez en las ideas que van a ir comentando los colaboradores, además de
profundizar en las respuestas con las repreguntas hacia cada uno de los colaboradores,
además hoy en día interactuar con las personas es mucho más sencillo, pues está entrevista se
dará mediante una plataforma de videoconferencia, por último, estas ideas van a ser
recolectadas y analizadas por el grupo auditor.

Capítulo 6
7.1.3.Ejecución de Pruebas
7.1.3.1. Proceso de Análisis y Evaluación de Riesgos
En esta parte del proyecto se mostrarán la matriz de riesgos que ha sido realizado por la
empresa a auditar, donde se muestran las amenazas y riesgos más frecuentes.
Lider de proceso

Matriz de riesgos

Tipo de Riesgo
Suceso Amenaza Tipo de Amenaza Riesgo Tipo de Impacto Probabilidad Impacto
Amenaza Inherente

Sistemas operativos con problemas Tecnológico

Probabilidad de perder Servidor no se encuentra en Linea Tecnológico

Inoperatividad de las
la conectividad con el Tecnológico Operativo / Paro total del proceso Posible Mayor Alto
bases de datos
servidor
Aplicativo fuera de servicio
Tecnológico

Falta de cortafuegos en las oficinas Tecnológico

Probabilidad de la Detención del proceso

Tecnológico Demora en soporte del proveedor Tecnológico Operativo / Intermitencia en el servicio Posible Moderado Alto
caida del sistema de ventas

Actualización dañina del sistema Tecnológico

Antigüedad de los equipos Tecnológico

El hardware obsoleto
Software sin soporte por antigüedad Tecnológico puede detener las
Falla en el hardware Operativo Operativo / Intermitencia en el servicio Posible Menor Moderado
aplicaciones en el
servdor
Incompatibilidad de las aplicaciones con nuevas
Tecnológico
tecnologías

Falta de cortafuegos en las oficinas Tecnológico

Probabilidad de caida No tener personal capacitado para la gestion de los Inoperatividad de los
Tecnológico Cultural Operativo / Paro total del proceso Posible Mayor Alto
de los servidores servidores servidores

Falta de politicas de seguridad Tecnológico

Empleados no
Usuarios que usan el perfil de otros empleados Social
permitidos podrian
Accesos no
Operativo hacer uso de las cajas Operativo / Mal uso de las cajas Posible Moderado Moderado
controlados
No cambiar credenciales Tecnológico y realizar las
transacciones.
 7.1.3.2. Tratamiento de Riesgo
A continuación, se mostrará el tratamiento de riesgos identificados para la matriz de riesgos
que previamente se ha visualizado.

NIVEL DE
RIESGO AMENAZA ACCION DE PREVENCIÓN
IMPACTO
Encontrar el Sistema Operativo (OS)
que funciona bien con las bases de
Falla en el
datos es crucial.
sistema
Por ejemplo, Oracle está disponible
Operativo
para Linux, así como Windows.
Inoperatividad
de la base de 4 La base de datos distribuida debe ser
Servicio no se
datos restaurada
encuentra en
o reparada de tal manera que no
línea
exista la corrupción
La base de datos debe tener su
Aplicativo fuera
correcto BackUp y su mantenimiento
de servicio
cada 15 días.
Se deberá instalar el cortafuegos en la
Falta de
empresa y realizar una verificación de
cortafuegos en
esta cada 3 meses
la oficina
Se deberá realizar coordinaciones en
forma inmediata con el proveedor a
Detención del Demora en fin de que brinde un soporte
proceso de soporte del 3 adecuado
ventas proveedor El área de TI deberá evaluar si es
necesario la actualización del sistema
Actualización
operativo y determinar si es necesario
dañina del
la instalación en los equipos de la
sistema
empresa
Se deberá adquirir nuevos equipos
Antigüedad de anualmente
los equipos Solicitar la revisión a TI la renovación
de softwares en cada equipo.
El hardware Software sin
obsoleto puede soporte por
detener las antigüedad 2
Realizar mantenimiento cada 15 dias,
aplicaciones en Incompatibilida
validando el uso y el manejo de las
el servidor d de las
aplicaciones usada por cada
aplicaciones con
nuevas
tecnologías
Inoperatividad No tener 4 Se deberá brindar constante
de los personal capacitación al personal encargado de
servidores capacitado para la gestión de servidores
la gestión de los
servidores
 Realizar una reunión con los
ejecutivos de la empresa y/o
Falta de gestión
responsables de área a fin de
de políticas de
establecer las políticas de seguridad
seguridad
de la empresa
Se establecerá disposiciones a los
Usuarios que usuarios de caja que se encuentra
Empleados no usan el perfil de prohibido compartir la ID y contraseña
permitidos otros ya que son personal, bajo sanción de
podrían hacer empleados acuerdo con políticas de la empresa.
3
uso de las cajas Se renovará cada 3 meses la
y realizar No cambiar contraseña de cada usuario de caja y
transacciones credenciales se establecerá que la nueva
contraseña debe contener caracteres
alfanuméricos
IMPACTO
1 Insignificante
2 Menor
3 Moderado
4 Mayor
5 Catastrófico

Para elegir el tratamiento de los riesgos se tomará en cuenta la matriz de riesgos que se vaya a
realizar, proponiendo controles para los mismos, logrando soluciones que permitan beneficios
en el sistema de cajas de Plaza Vea.

Se tomará en cuenta lo siguiente:

- Que el tratamiento de los riesgos debe poseer diferentes soluciones.

- Tener en cuenta la eficiencia y eficacia que generan las soluciones.
- Si posee algún riesgo residual y si es aceptable.
- De ser necesario no optar por un tratamiento.

Capítulo 7
7.1.3.3. Dictamen de Auditoria
Se ha realizado la auditoria de la empresa retail Plaza Vea, que se encuentra ubicada en Pro-
Comas y tiene la fecha del 18 de mayo de 2022. Hemos permitido remitir el dictamen de
auditoría de sistemas que se enfoca en auditar el software y cajeros que utiliza el área de
ventas de la empresa Plaza Vea, con el fin de asegurar el funcionamiento óptimo del registro
de transacciones.

Nuestros exámenes fueron realizados de acuerdo con las normas de auditoria generalmente
aceptadas en el Perú tales como las Normas Internacionales de Auditoria de la INTOSAI, que se
enfocan en realizar la auditoria basándose en los principios fundamentales de las Normas
Profesionales de Auditoría del Sistema Nacional de Fiscalización. El equipo auditor es
independiente de la compañía Plaza Vea Pro-Comas, cumpliendo con el Código de ética
establecido por la empresa a auditar, agregándole los requerimientos de ética que son
aplicados al proceso de ventas que se está auditando.
La entidad auditada es responsable a través de su área de ventas, en realizar los procesos de
venta de productos, como lo es registrar las transacciones que se ejecutan por minuto y poder
verificar el precio de cada producto. Asimismo, la entidad se encuentra en la obligación de
cumplir con los procesos según lo demandan los procedimientos y políticas de seguridad
establecidas.

En nuestra opinión, el sistema del área de cajas antes mencionado presenta razonablemente
problemas en varios aspectos importantes tanto en lo que respecta a hardware y la red local.
Nuestra responsabilidad como auditores es brindar una opinión sobre el estado actual del
proceso de ventas. Asimismo, se debe de planear y ejecutar una auditoria con el fin de obtener
la información que verifique que los procesos se están ejecutando de la manera correcta por el
área encargada. La evidencia obtenida del proceso de auditoria se tomará como respaldo para
las opiniones del equipo auditor.

7.1.3.4. Informe Final de la Auditoria

Se verificó la constante caída de la base de datos local y también la caída general del sistema
de los cajeros, generando así perdidas al momento de realizar el proceso de venta.

Se sugiere poner a disposición hardware redundante para garantizar la alta disponibilidad de la

información. Así mismo, para evitar apagones del servidor por causas físicas tales como
incendios, inundaciones, fluctuaciones en la alimentación eléctrica o sabotajes del hardware,
las salas de los servidores deben mantenerse entre los 20 y los 22°C y una humedad del aire
del 40 por ciento.

Se aprecia que las restricciones con acceso a internet a nivel jerárquico no están controladas,
esto genera la distracción de cada personal y también podría aplicar a la perdida de datos de
clientes, vía correo electrónico debido a la libre navegación.

Hay que tener en cuenta la jerarquía dentro de la empresa auditada, por tal razón se sugiere
restricción de internet para el área operativa, y acceso únicamente local.

Capítulo 8
7.1.4.Recursos
7.1.4.1. Materiales
En esta parte se listarán los recursos materiales que va a usar el equipo auditor para realizar la
auditoria en el área correspondiente. A continuación, se mencionará cada uno de ellos:

Recursos Materiales Propósito

Cuestionarios al personal de cajeros acerca Permitirá determinar cuál es el principal
de las fallas en el sistema de cajas de Plaza problema en las fallas que presenta el sistema
Vea de cajas

Permitirá tener una idea más clara acerca de la

Resultados de la entrevista a los cajeros
falla del sistema de cajas.

Documentos legales y normas que emplea
Plaza Vea
Informe Final de la Auditoria anterior
realizada a Plaza Vea
Cuadros Estadísticos de numero de fallas
Evitar problemas tanto para la empresa y para
los clientes.
Sirva de guía para determinar el problema en
el sistema de cajas.
Para que el Equipo Auditor tenga

del sistema de cajas en el mes
Cuadros Estadísticos de pérdidas
generadas por las fallas producidas en
cajas en el mes
conocimiento del total de fallas en el sistema
de cajas tanto mensual como de años
anteriores.
Para que el Equipo Auditor tenga
conocimiento de las pérdidas económicas
generadas a Plaza Vea por meses.

Cuadro de organización de la empresa Para ver de qué forma está organizada la

Plaza Vea empresa.

Diagrama del proceso de ventas que
emplea el sistema de cajas
Documentación acerca de los
procedimientos que se realiza al
presentarse un problema en el sistema de
cajas.
Para ver como inicia y como finaliza el proceso
de ventas que abarca el sistema de cajas en sí.
Determinar los procedimientos a seguir en
caso de problemas que ocurran en el sistema
de cajas de Plaza Vea

7.1.4.2. Tecnológicos
En esta parte se listarán los recursos tecnológicos que va a usar el equipo auditor para realizar
la auditoria en el área correspondiente. A continuación, se mencionará cada uno de ellos:

Recursos Tecnológicos Propósito

Recuperar información de la empresa a
Computadoras
auditar.
Recolectar las respuestas de las entrevistas
Tablet que se realizara a los empleados del área
correspondiente.
Coordinar y realizar llamadas entre los
Celulares
miembros del equipo auditor.
Usar la intranet de la empresa auditora cuando
Laptops
el equipo auditor se encuentre en Plaza Vea.
Comunicar y notificar cualquier tipo de
Correo información entre los miembros del equipo
auditor.
Medio de comunicación que ayudara al equipo
Servicio de Internet
a conectarse con los servicios.
Permitirá analizar la base de datos, generar
Software Especializado para auditorias reportes e informar al equipo auditor sobre
posibles errores.
Repositorio donde se almacenará cualquier
Servidor de almacenamiento
observación o reporte realizado.
Validar la autorización del uso de software de
Licencias de software
terceros.
Imprimir los reportes que se realizaran en la
Impresoras
auditoria.
Utilizar todas las herramientas que nos ofrecen
Microsoft Office
durante la auditoria.
 7.1.4.3. Financieros
De acuerdo con la revisión efectuada por el equipo de auditoría, informar a Gerencia lo
siguiente:

 El valor del presupuesto con corte al 01/05/2022, el valor de los gastos asciende a la
cantidad de S/12050.00

Se recomienda a Gerencia, desarrollar estrategias de crecimiento organizacional. Donde se

pueda captar mayor inversión y reducir los gastos; Para que la auditoria en el área de ventas
empiece a ser operativa.

Área contable tiene que cumplir con los requisitos para cumplir con la correcta auditoria:

RECURSOS PRIORIDAD MONTO

Computadoras alta S/3000.00

Tablet alta S/1500.00
Celulares medio S/2000.00
Laptops alta S/3000.00
Correo alta S/150.00
REPORTE Servicio de Internet alta S/300.00
FINANCIERO Software
Especializado para alta S/500.00
auditorias
Servidor de
medio S/1000.00
almacenamiento
Licencias de
medio S/200.00
software
Impresoras medio S/200.00
Microsoft Office alta S/200.00

S/12050.00
 7.1.4.4. Cronograma
El siguiente cronograma mostrará las fases con las cuales la auditoria tendrá un curso o
dirección para poder ser realizado, en el siguiente cuadro se puede visualizar como es que han
sido distribuidas las fases con las respectivas actividades y el tiempo donde se llevará a cabo.

Capítulo 9
7.2. Fase 2 – Ejecución del Plan de Auditoria
7.2.1.Proceso de Recolección de Información y Planteamiento de Actividades
Proceso 1: Recolección de la documentación del área de cajas

1. Solicitar la documentación al área correspondiente.

2. Recepcionar y almacenar la documentación en un servidor para la auditoria.
3. Categorizar todos los documentos recibidos.
4. Verificar que los procesos del área de cajas correspondan a lo documentado.

Proceso 2: Recolección de información de los empleados que pertenecen al área de cajas

1. Elaborar un cuestionario cuantitativo y una entrevista electrónica para la recolección

de información.
2. Enviar el cuestionario y entrevista por medio del correo a todos los empleados del área
correspondiente.
3. Recepcionar toda la información de los instrumentos de recolección creados.
4. Analizar toda la información recepcionada para encontrar patrones y realizar cuadros
estadísticos.

7.2.2.Cuestionario Cuantitativo
Leyenda de puntuación

1. Pésimo
2. Malo
 3. Normal
4. Bueno
5. Excelente

Preguntas:

1. De acuerdo con el sistema que se usa actualmente en el área de cajas ¿Cómo

calificaría su desempeño?

○1○2○3○4○5

2. En base a su experiencia con el sistema ¿Cómo calificaría la estabilidad del sistema en

el día a día?

○1○2○3○4○5

3. ¿Cómo calificarías el mantenimiento brindado por TI a los softwares?

○1○2○3○4○5

4. ¿Qué nota le darías al estado de las máquinas de la empresa?

○1○2○3○4○5

5. ¿Qué tan bueno es la eficacia en la solución que dan los encargados ante algún
problema con el hardware?

○1○2○3○4○5

6. ¿Como calificarías el uso de los recursos materiales de la empresa por parte del
personal?

○1○2○3○4○5

7. ¿Qué tan bueno es el tiempo de respuesta ante los reportes emitidos por algún
problema con la aplicación o hardware?

○1○2○3○4○5

8. ¿Cómo calificarías las políticas de seguridad en la empresa?

○1○2○3○4○5

9. ¿Qué nota le darías a la empresa en lo que respecta a capacitación al personal que

emplea el área de cajas?

○1○2○3○4○5

10. ¿Qué tan bueno es el control que realiza los supervisores a los encargados de cajas en
lo que respecta a la prohibición del uso del sistema de cajas por parte de personal
ajena a esta?

○1○2○3○4○5

7.2.3.Entrevistas
Pregunta 1: ¿Has sido testigo de algun otro fallo que ha presentado el sistema de ventas?

…………………………………………………………………………………………………………………………………………………..
Pregunta 2: ¿Algún trabajador ha realizado una mala práctica con el software y hardware que
se utiliza en el área de cajas?

…………………………………………………………………………………………………………………………………………………..

Pregunta 3: ¿Cómo manejas los inconvenientes con el sistema?

…………………………………………………………………………………………………………………………………………………..

Pregunta 4: ¿Conoces algún método de contingencia ante una incidencia con el sistema?

…………………………………………………………………………………………………………………………………………………..

Pregunta 5: ¿Se te enseño o indico como manipular el hardware ante un problema típico?

…………………………………………………………………………………………………………………………………………………..

Pregunta 6: Coméntanos, ¿Qué mejoras crees que debería implementar la empresa para el
mejor uso de los softwares?

…………………………………………………………………………………………………………………………………………………..

Pregunta 7: Sí al momento de procesar una venta se produce la caída del sistema, ¿qué
solución brindarías?

…………………………………………………………………………………………………………………………………………………..

Pregunta 8: ¿Considera Ud. que sus jefes inmediatos tienen conocimiento acerca de que otro
personal ajeno al área de cajas hace uso de estas?

…………………………………………………………………………………………………………………………………………………..

Pregunta 9: ¿Crees que se encuentran bien implementadas las políticas de seguridad en

relación con los problemas en el sistema de caja?

………………………………………………………………………………………………………………………………………………….

Pregunta 10: ¿Consideras que los problemas generados en el sistema de cajas afectan la
imagen de la empresa?

………………………………………………………………………………………………………………………………………………….

Capítulo 10
7.2.4.Técnicas y Herramientas Utilizadas
Las técnicas que han sido utilizadas para la recolección de información fueron las siguientes:

 Cuestionario cuantitativo: El equipo auditor implemento este método de recolección

de información para obtener información sobre el funcionamiento óptimo de los
sistemas, los mantenimientos que se realizan, el tiempo de respuesta del área frente a
un error, capacitación del personal y demás.
 Entrevistas: El equipo auditor implemento este método de recolección de información
para obtener información sobre el conocimiento de otro fallo, trabajadores que usa
mal los equipos, medidas de contingencia y mejoras que se pueden implementar.

Las herramientas que han sido utilizadas para realizar el cuestionario y entrevistas fueron las
siguientes:
  Google Forms: Esta herramienta fue utilizada para recolectar las respuestas de los
cuestionarios cuantitativos.
 Google Sheets: Esta herramienta fue utilizada para realizar los gráficos
correspondientes a las respuestas recolectadas.

Los resultados obtenidos de las herramientas utilizadas fueron las siguientes:

 Resultados del cuestionario cuantitativo

  Resultados de las entrevistas

Muestra 1

Pregunta 1: No, solo he sido testigo de los fallos ya mencionados, como la constante caída del
sistema, la mala conexión con los servidores y apagado repentino del cajero.

Pregunta 2: Si, he visto algunos compañeros de mi área que no realiza un buen uso del
software y hardware. No siguen las políticas y la capacitación indicadas.

Pregunta 3: Si es un problema con el sistema, llamo a mi supervisor para que me ayude a

solucionar.

Pregunta 4: No, en ningún momento he recibido indicaciones de que yo deba ser el que
solucione, sin embargo, ante el momento trato de arreglar, si es que el problema es uno
común.

Pregunta 5: Primero deberían mejorar la fluides de la aplicación pues este es el principal

problema que tengo yo, ya que hay tiempo de retraso después de marcar alguna opción.

Pregunta 6: Las mejoras que implementaría para la mejora de los programas seria, dar un
mantenimiento al sistema al menos 3 veces cada 15 días, y mejorar el tiempo de respuesta.

Pregunta 7: Como solución inmediata procedería a un reinicio de máquina, luego llamar a TI

para solucionar la caída del sistema y evitar que vuelva a ocurrir

Pregunta 8: Si, la mayoría de las veces se le informa al encargado, pero este hace caso omiso a
nuestras advertencias ya que este personal es muchas veces “amigo” de los jefes.

Pregunta 9: Si, pero en la mayoría de los casos el personal de área de cajas no cumple con las
políticas de seguridad por diversos motivos

Pregunta 10: Si, afectan la imagen y la reputación de la empresa y esto a la vez conlleva a la
pérdida de clientes.

7.2.5.Valoración del Riesgo

Para el punto de valoración de riesgos se tendrá en cuenta la información recolectada y
evaluada para darle una valoración cuantitativa a los riesgos clasificados en cinco categorías
según su nivel de impacto presentado por las encuestas realizadas a todo el personal que
conforma y labora en el área de cajas el cual nos dará la posibilidad de ocurrencia en el modo
de alto, medio y bajo riesgo mostrándose según su nivel de impacto:

Tabla de Valoración del Riesgo

Categoría Valor Descripción

Riesgo que tiene un impacto muy grave a la
Catastrófico 5 organización cuya materialización puede
dejar de funcionar los servicios del sistema
Riesgo grave que requerirá una cantidad
Mayor 4 importante de tiempo en investigar y corregir
los daños
Riesgo que genera una pérdida importante a
Moderado 3
la organización
 Riesgo menor que puede ser corregido en
Menor 2 corto tiempo y no afecta las funciones de la
organización
Riesgo que puede tener un pequeño o nulo
Insignificante 1 efecto en la organización

Capítulo 11
7.2.6.Matriz de Probabilidad e Impacto

MATRIZ DE PROBABILIDAD E IMPACTO

Casi Seguro

Probable

PROBABILIDAD Posible R3 R2, R5 R1, R4

Improbable

Raro

Insignificante Menor Moderado Mayor Catastrófico

IMPACTO

R1 Inoperatividad de la base de datos

R2 Detención del proceso de ventas
R3 El hardware obsoleto puede detener las aplicaciones en el servidor
R4 Inoperatividad de los servidores
R5 Empleados no permitidos podrían hacer uso de las cajas y realizar transacciones

7.2.7.Herramientas de Evaluación
Para esta auditoría a PLAZA VEA Pro, una de las herramientas de evaluación que se debe tomar
primero en cuenta es la de revisión documental de esta empresa con respecto a los procesos
de ventas, pues esta influirá en gran medida a la auditoria que se llevara a cabo, debido a que
esta técnica avalara los registros de operaciones y reportes previos de auditoría , el cual
compone la información de estos procesos, además nos permitirá estimar el desarrollo de las
operaciones así como del funcionamiento del sistema, es decir la conformidad del sistema
documentado.

Como segunda herramienta de evaluación se tomaría en cuenta la matriz de evaluación. Pues

esta técnica es la apropiada cuando hablamos de recolectar información, Ya que esta abarca
en relación con las actividades que se están dando en el área de cajas o mejor dicho en el
proceso de venta, además de que será mucho más sencillo de interpretar al momento de
recurrir nuevamente a ello ya que al ser una matriz esta excelentemente distribuida.
 7.2.8.Hallazgos Producidos por Efecto de la Auditoria
Los hallazgos encontrados nos ayudarán a encontrar las zonas más vulnerables que tiene el
área, o los procesos auditados, para que luego de esta se emita un comunicado informando
sobre los hallazgos encontrados y que sean corregidos. El equipo auditor encontró estos
hallazgos que se detallan a continuación:

1. Se evidencio que la conexión del sistema de ventas con la base de datos de la empresa
no está configurada correctamente, causando que el sistema a veces no registre una
transacción satisfactoriamente.
2. Se identifico que el hardware que se emplea en el área de caja está obsoleto,
ocasionando que los equipos se apaguen sin aviso alguno.
3. Se evidencio que el ambiente donde se localizan los servidores no se encuentra en la
temperatura (20 - 22°C) y humedad del aire (40%) recomendados, provocando que los
servidores fallen o se apaguen.
4. Se identifico que no se realiza el mantenimiento necesario al sistema de ventas que se
emplea en el área de cajas, originando que el sistema se congele durante la ejecución
de una transacción.
5. Se identifico que no existe restricciones para bloquear paginas no autorizadas al
momento de conectarse a internet, lo que permite a los empleados acceder y
descargar contenido que puede afectar al sistema.
6. Se evidencio que el personal de TI ejecuta los procedimientos según las directivas
establecidas por la empresa, pero falta implementar los manuales del administrador
para asegurar la claridad y transparencia de dicha actividad.

Capítulo 12
7.3. Fase 3 – Informe de la Auditoria
7.3.1.Introducción al informe
Plaza vea pro es uno de esos mercados que recurren una gran cantidad de
gente, por lo cual lo convierte en una de las sucursales más importantes para
plaza vea. Actualmente, se ha evidenciado problemas que afecta la fluides de
las compras o transacciones, lo cual generan críticas al servicio que ofrece,
estos problemas generalmente son en el área de cajas, donde ocurre ciertos
problemas atípicos a ojos de plaza vea, pero que se convirtió algo concurrente
en la tienda de plaza vea pro. Los reportes de incidencias por parte de esta
tienda son notables, pues abarcan un gran porcentaje de las solicitudes
generadas, estos reportes son problemas con el hardware y con el sistema, ya
sea que se haya quedado congelado la pantalla, un apago del equipo repentino
o problemas con la base de datos. Finalmente, por todas estas incidencias la
alta dirección de plaza vea ha recurrido a una auditoría externa para que
evalúen el proceso de ventas de esta tienda y tener un informe donde puedan
deducir donde atacar el problema, pues bien sabemos el objetivo del proceso
de ventas es registrar cada transacción y si habitualmente impide este proceso
hay un gran problema en esta área que se debe solucionar.

7.3.2.Principales Observaciones
Hallazgos Principales Observaciones
 Se evidencio que la conexión del sistema de ventas con la base de datos
de la empresa está fallando. Esto causa que el sistema a veces no
registre una transacción satisfactoriamente. Dicha falla ocurre debido a
H001
que la conexión no está configurada correctamente. Por lo que, un
especialista debería de revisar el error y realizar la configuración
correcta.

Se identifico que el hardware que se emplea en el área de cajas está

obsoleto. Esto ocasiona que los equipos se apaguen sin aviso alguno.
Dicho evento sucede porque el equipo es muy antiguo y no tiene la
H002
capacidad suficiente para soportar los sistemas que se utilizan en la
empresa. Por lo que, se debería de adquirir equipos más recientes para
evitar dichos inconvenientes.

Se evidencio que el ambiente donde se localizan los servidores no se

encuentra en la temperatura (20 - 22°C) y humedad del aire (40%)
recomendados. Esto provoca que los servidores fallen o se apaguen.
H003
Dicho evento ocurre debido a que los servidores se pueden
sobrecalentar. Por lo que, se debería de acondicionar el ambiente a los
estándares esperados.

Se identifico que no se realiza el mantenimiento necesario al sistema de

ventas que se emplea en el área de cajas. Esto origina que el sistema se
congele durante la ejecución de una transacción. Dicha falla ocurre
H004
debido a que el sistema no cuenta con las actualizaciones necesarias
para poder concretar una venta. Por lo que, se debería de realizar
mantenimientos mensuales a los equipos.

Se identifico que no existe restricciones para bloquear paginas no

autorizadas al momento de conectarse a internet. Esto ocasiona que los
empleados accedan y descarguen contenido que puede afectar
H005 directamente al sistema. Dicha falla ocurre debido a que no existe un
control adecuado para evitar que software malicioso infecte a los
dispositivos. Por lo que, se debería de implementar firewalls y políticas
de seguridad para evitar incidentes.

Se evidencio que el personal de TI ejecuta los procedimientos según las

directivas establecidas por la empresa, pero falta implementar los
manuales del administrador. Esto provoca que no exista claridad y
H006
transparencia al momento de realizar dichas actividades. Dicho evento
ocurre, ya que no sigue los lineamientos esperados. Por lo que, se
debería de implementar el manual para evitar confusiones.

7.3.3.Recomendaciones y Plan de Acción / Mejoras

Código
de Descripción Implicancia Recomendación Beneficio
Hallazgo
 Un especialista Ayuda a evitar
Falla en la
Dicha falla ocurre debido debería de errores en la
conexión del
a que la conexión no está revisar el error y conexión
H001 sistema de
configurada realizar la entre el
ventas con la
correctamente. configuración sistema y la
base de datos
correcta. base de datos
Ocasiona que los equipos
Se debería de
El hardware que se apaguen sin aviso Evitaría la
adquirir equipos
se emplea en la alguno. El equipo es muy perdida y el
más recientes
H002 empresa se antiguo y no tiene la daño de
para evitar
encuentra capacidad suficiente para información
dichos
obsoleto soportar los sistemas que en los equipos
inconvenientes
se utilizan en la empresa.
Ambientes
Esto provoca que los
donde se Se debería de
servidores fallen o se Buen
localizan los acondicionar el
apaguen. Dicho evento funcionamient
H003 servidores no se ambiente a los
ocurre debido a que los o de
encuentran en estándares
servidores se pueden servidores.
la temperatura esperados
sobrecalentar
recomendada
Esto origina que el
Funcionamien
sistema se congele
to adecuado
Falta de durante la ejecución de Se debería de
del sistema de
mantenimiento una transacción. Dicha realizar
ventas del
H004 al sistema de falla ocurre debido a que mantenimientos
area de cajas
ventas del área el sistema no cuenta con mensuales a los
concretando
de cajas las actualizaciones equipos
las ventas de
necesarias para poder
la empresa
concretar una venta.
Esto ocasiona que los
No hay empleados accedan y
restricciones descarguen contenido Se debería de Personal de
para bloquear que puede afectar implementar ventas
paginas no directamente al sistema. firewalls y concentrado
H005
autorizadas al Dicha falla ocurre debido políticas de en su trabajo
personal en a que no existe un control seguridad para y clientes
horario de adecuado para evitar que evitar incidentes satisfechos.
trabajo software malicioso infecte
a los dispositivos
Esto provoca que no
Conocimiento
exista claridad y
se debería de adecuado de
Falta transparencia al
implementar el las funciones
implementar los momento de realizar
H006 manual para del
manuales del dichas actividades. Dicho
evitar administrador
administrador evento ocurre, ya que no
confusiones. y sus
sigue los lineamientos
trabajadores
esperados.