Está en la página 1de 5

CIN - 4 Pg. 1/ 5 UNIVERSIDAD DE BUENOS AIRES FACULTAD DE CIENCIAS ECONMICAS PRIMERA CTEDRA DE AUDITORA Prof.

. Hugo Bottino 1 Cuatrimestre 2008

CIN-4
CONTROL INTERNO EN UN AMBIENTE INFORMATIZADO Ud. se encuentra realizando la auditora de Todo por dos pesos S.A., empresa dedicada a la comercializacin de artculos para el hogar. La empresa tiene ya varios aos de trayectoria en el Pas habiendo obtenido una posicin de liderazgo en el mercado. Actualmente tiene cinco locales de venta al pblico en los cuales se realizan el 50% de las ventas. El otro 50% consisten en envos directos a domicilio desde el edificio central, en donde opera el depsito principal y la administracin. Tales ventas son realizadas a travs de Internet por medio de la pgina Web de la empresa www.todopordospesos.com.ar. A los fines de realizar una evaluacin del control interno de la empresa, Ud. ha requerido los servicios de una asistente especialista en ambientes informatizados. El mismo, luego de haber efectuado los relevamientos necesarios, su asistente especialista le prepar este memorndum en el cual se detalla el relevamiento efectuado de los controles departamento de Sistemas de la Empresa. I Memorndum de controles generales El departamento de Sistemas est organizado como se detalla a continuacin:

Gerente de Sistemas

Anlisis y Programacin

Control

Tecnologa

Operaciones

En este departamento no tiene lugar el inicio de transacciones, su autorizacin y la preparacin de los documentos de entrada. Los sistemas llevan ya en uso, alrededor de 10 aos. Se observ que los analistas y programadores tienen una sobrecarga por este motivo. Los usuarios tienen muchas quejas. Si bien la documentacin inicial de los sistemas existe, la cual incluye flujogramas del sistema, copias de los programas, formatos de las entradas y salidas, etc., no se efectu la documentacin de las modificaciones posteriores. Esto dificulta an ms la tarea de mantenimiento de los sistemas.

104
Versin revisada en Marzo/08

CIN - 4 Pg. 2/ 5 UNIVERSIDAD DE BUENOS AIRES FACULTAD DE CIENCIAS ECONMICAS PRIMERA CTEDRA DE AUDITORA Prof. Hugo Bottino 1 Cuatrimestre 2008

CIN-4 Las tareas de operacin no estn documentadas. El operador tiene 10 aos en su puesto y
particip en el desarrollo de los sistemas. Por eso, se considera no necesario la documentacin de dichas tareas. La empresa adquiri hace cinco aos las licencias correspondientes para los sistemas operativos de todas las estaciones de trabajo. Posteriormente a ello, conjuntamente con el crecimiento de la empresa, fueron incorporndose nuevas estaciones de trabajo con distintas versiones de los sistemas operativos originales. No se verific la existencia de licencias para estos ltimos. En ausencia del operador, un programador lo reemplaza. Los usuarios tienen manuales de procedimientos del sistema original. Le han efectuado a mano las modificaciones posteriores que le han informado verbalmente los analistas. Existe por escrito una poltica de back - up de datos y documentacin. Para los datos se utiliza el sistema abuelo - padre - hijo. Este ltimo est en la sala de operaciones, el padre y el abuelo en la caja fuerte en la oficina del Gerente General. Los Back Ups son realizados sobre los servidores centrales de la empresa. Nunca se han realizado back ups sobre las estaciones de trabajo de los usuarios. Tampoco la poltica dice nada al respecto.

Los datos de los sistemas transaccionales se encuentran almacenados en una base de datos
Portacle, de gran confiabilidad en el mercado. No obstante ello se observ que la versin de la misma es de hace siete aos, existiendo en la actualidad nuevas versiones de dicha base de datos. Portacle anunci que ha dejado de dar soporte tcnico a dicha versin. No existe un plan por escrito de recuperacin en caso de desastre. Tienen un convenio verbal con un service - bureau cercano que tiene el mismo hardware. Nunca han efectuado un simulacro. No han ocurrido siniestros que hicieran necesario hacer uso del convenio. No existe una poltica escrita respecto de las normas de seguridad a ser seguidas por los Usuarios. De una recorrida realizada por la Administracin Central se han observado estaciones de trabajo encendidas en ausencia del usuario sin su correspondiente proteccin de pantalla. Tambin se observaron estaciones de trabajo, las cuales tenan instalados programas de chat y programas de bajada de archivos por internet. No tienen sistema contra incendio. Hay un matafuego de agua en la sala de operaciones. El acceso fsico a la sala de operaciones est restringido con tarjeta magntica. Los programadores tienen tarjeta de acceso.

Los Servidores centrales de la Empresa se encuentran protegidos por un programa antivirus.


Este programa protege los datos almacenados en el servidor, pero no controla los accesos a travs del correo electrnico. Se verific que la licencia de uso de este programa expir hace dos meses, no habindose contratado la actualizacin de la misma, por lo que la informacin de virus no haba sido actualizada desde esa fecha.

105

Tampoco se verific la existencia de un antivirus actualizado en las estaciones de trabajo.


Versin revisada en Marzo/08

CIN - 4 Pg. 3/ 5 UNIVERSIDAD DE BUENOS AIRES FACULTAD DE CIENCIAS ECONMICAS PRIMERA CTEDRA DE AUDITORA Prof. Hugo Bottino 1 Cuatrimestre 2008

CIN-4
Todos los sistemas en lnea tienen clave de acceso y clave de acceso restringido a aquellos menes que permiten alterar archivos maestros. El rea de tecnologa tiene instalado un Firewall en los servidores de comunicaciones, cuya versin se encuentra actualizada. Los programadores utilizan bibliotecas de prueba para el desarrollo de las modificaciones, pero no tienen limitado el acceso a la biblioteca de produccin. Para realizar las pruebas utilizan copias realizadas sobre los datos reales de produccin. Las comunicaciones de las sucursales con la Casa Central se realizan mediante lneas punto a punto contratadas a la compaa telefnica. De acuerdo con el Subgerente de Tecnologa, dichas lneas tienen serios problemas, producindose cadas frecuentes del servicio. No obstante ello, el Subgerente de operaciones minimiz el problema, argumentando que para ello, la base de datos tiene un control de rollback de operaciones en caso de cadas en las comunicaciones.

II

Controles de aplicacin

Su asistente realiz el siguiente relevamiento relacionado con los procesos de ventas de la empresa: A) Ventas Directas en Locales

Al realizarse una venta en uno de los locales, el vendedor ingresa los datos de la misma en el
sistema a travs de una terminal existente en el centro del local, la cual es utilizada por todos los vendedores. El ingreso al sistema es realizado mediante una contrasea que es ingresada por el gerente del local. Luego, cada vendedor ingresa su nombre en cada venta, a los fines de que la misma sea computada a los efectos de su liquidacin de comisiones por ventas. No existe una clave de usuario ni contrasea para cada vendedor. Una vez cargada la venta, de manera automtica se emite en la caja una factura, a la vez que en el depsito del local se imprime un remito. La cajera del local, verifica los datos de la venta y realiza la cobranza de la misma. Los pagos son realizados en efectivo o mediante tarjeta de crdito. En caso de pago con tarjeta, el sistema verifica el crdito del cliente por medio de las comunicaciones con la Casa Central. De ser esta exitosa, se procede a entregar el original de la factura al cliente, anotando en esta manualmente que el cliente ha pagado. El duplicado queda en poder de la cajera. En caso de no poder realizarse la cobranza, La cajera aparta la factura impresa a los fines de proceder a la anulacin de la misma al finalizar el da. Para todas las cobranzas realizadas, el sistema emite un recibo que se imprime sobre formulario prenumerado. Internamente el sistema numera los recibos con una numeracin independiente. Tanto las facturas como los remitos de la empresa son numerados por el Sistema de Ventas, habiendo sido la empresa autorizada por la DGI para operar como autoimpresor.

106 Una vez realizada la cobranza, el cliente retira la mercadera comprada del depsito con el original de la factura. All el empleado de depsito entrega la mercadera al cliente, hacindole
Versin revisada en Marzo/08

CIN - 4 Pg. 4/ 5 UNIVERSIDAD DE BUENOS AIRES FACULTAD DE CIENCIAS ECONMICAS PRIMERA CTEDRA DE AUDITORA Prof. Hugo Bottino 1 Cuatrimestre 2008

CIN-4
entrega del duplicado del remito, firmando el original, el cual es archivado en forma secuencial. Al realizarse la facturacin de la venta, el sistema descarga de manera automtica del stock los artculos vendidos, valorizando el costo de dicha venta a precio promedio ponderado.

Al finalizar el da, la cajera procede a anular todas aquellas facturas que no se hayan
concretado por haberse rechazado el pago con tarjeta de crdito. El proceso de anulacin de facturas consiste en borrar de los registros de ventas las facturas en cuestin, restituyendo al stock las unidades vendidas. Luego de realizar esta operacin, la cajera emite a travs del sistema un resumen de las ventas del da, controlando que la sumatoria de los cupones de tarjetas mas el efectivo en caja coincida con el total vendido. Hecho este control de manera satisfactoria, se procede al cierre de la caja y a la destruccin de los comprobantes anulados. b) Ventas por Internet

La compaa posee una pgina Web (www.todopordospesos.com.ar) a travs de la cual los clientes pueden realizar pedidos a ser entregados a domicilio. La empresa ha publicado un compromiso de entrega dentro de las 48 horas, bajo la consigna de que en caso de no cumplirse dicho plazo, se reintegrar el monto abonado por la compra. Para poder realizar compras por internet, el cliente deber primero registrarse en la empresa, para lo cual, deber completar un formulario electrnico con todos sus datos personales. Estos datos son ingresados al sistema de clientes, sin realizarse validacin alguna sobre los datos ingresados. Una vez ingresados los datos personales, el sistema otorga al cliente un nmero de identificacin, al cual el cliente debe adicionar una clave personal. Dichos datos servirn como identificacin para futuros ingresos. Estas claves servirn para toda la vida del cliente, sin requerirse cambio de password alguno. El cliente, desde la pgina Web, selecciona los artculos que desea adquirir desde la lista de artculos generales de la empresa. Al seleccionarse la cantidad, el sistema no realiza control alguno con las cantidades en stock del depsito central. Esta funcin, segn nos explic el Gerente de Sistemas, fue desactivada debido a que haca demasiado lento el proceso y provocaba cadas en las comunicaciones. Una vez seleccionadas las cantidades, el sistema obtiene los precios unitarios desde el maestro de precios y calcula los impuestos aplicables al cliente, acto seguido, el cliente debe ingresar los datos de su tarjeta de crdito, la cual es validada contra el sistema de tarjetas. Para realizar esta validacin, no se realiza encripcin de datos a los fines de evitar que la informacin del cliente sea vulnerada. Aprobada la transaccin, al finalizar el da, un operador de depsito imprime las facturasremito correspondientes a las ventas por internet, con dicha informacin, se preparan los embarques y al da siguiente se despachan en camionetas de la empresa, asignando veinte pedidos a cada una por da segn la numeracin de las facturas.

107

Al entregarse la mercadera, el cliente debe firmar la copia de la factura, dando conformidad al pedido y colocando fecha y hora de recepcin.

Versin revisada en Marzo/08

CIN - 4 Pg. 5/ 5 UNIVERSIDAD DE BUENOS AIRES FACULTAD DE CIENCIAS ECONMICAS PRIMERA CTEDRA DE AUDITORA Prof. Hugo Bottino 1 Cuatrimestre 2008

CIN-4
Cada quince das, un empleado de depsito revisa las copias de las facturas-remito y compara la fecha y hora del remito con la fecha y hora del pedido. De haber transcurrido ms de 48 horas entre ambas fechas, ingresa en el sistema una marca en la factura a travs de la cual se dispara un proceso que efecta la acreditacin en la tarjeta del cliente del importe originalmente facturado. Administracin realiza un vuelco mensual de la informacin de ventas por internet desde el sistema de ventas al sistema de contabilidad general. En ese momento, se controlan a nivel de totales el monto facturado con la sumatoria de las facturas que son remitidas a fin de mes desde depsito. No existen estadsticas de ventas no cobradas por entrega fuera de trmino. Ante esta situacin Usted deber:

1-

Describir las deficiencias de control detectadas, tanto a nivel de controles deficientes o faltantes. 2- Identificar el riesgo de control existente ante cada deficiencia 3- Realizar a la compaa las recomendaciones necesarias a los fines de mitigar los riesgos detectados

108

Versin revisada en Marzo/08