EVALUACIN DE REAS

CRTICAS
ERP y Direccin Informtica


18 DE OCTUBRE DE 2014
EDWIN ROBERTO ARGUMEDO DURN
GUSTAVO ALEXANDER MENJIVAR
AUDISAL A&M S.A de C.V


Auditoras Informticas
1

ndice

Programas de Auditoria ................................................................................................................... 2
ER 01- Reportes ............................................................................................................................... 5
ER-02 Licencias ................................................................................................................................ 6
ER-03 Mdulos ................................................................................................................................. 7
ER-04 Presupuesto .......................................................................................................................... 9
ER-05 Hosting ................................................................................................................................. 10
ER-06 Actualizaciones ................................................................................................................... 11
ER-07 Capacitaciones ................................................................................................................... 12
ER-08 Seguridad ............................................................................................................................ 13
ER-09 Roles .................................................................................................................................... 14
ER-10 Bitcoras .............................................................................................................................. 15
ER-11 Sistema Operativo.............................................................................................................. 16
Cedula .............................................................................................................................................. 18
Anexos ............................................................................................................................................. 19
Anexo-1 ......................................................................................................................................... 19
Anexo-2 ......................................................................................................................................... 20
Anexo-3 ......................................................................................................................................... 21
Anexo-4 ......................................................................................................................................... 22
Anexo-5 ......................................................................................................................................... 23


AUDISAL A&M S.A de C.V


Auditoras Informticas
2


Programas de Auditoria
Nombre de la empresa: Damasco S.A de C.V
Periodo Auditado: Julio a Diciembre 2014
rea a Evaluar : ERP

Ref
.
Actividad que
ser evaluada
Procedimientos de
auditoria
Herramienta
s utilizadas
Observ
aciones
Fech
a
Hec
ho
por
Ref.
1 Reportes Verificar listado de
reas que tienen
acceso a los
reportes
Observaci
n
25/1
0/20
14
A&
M
ER-
01
Tomar una
muestra de cada
rea para evaluar
si los reportes
contienen la
informacin que
ellos necesitan
Muestreo 25/1
0/20
14
A&
M
2 Licencias Pedir documentos
donde se estipula
la licencias del
ERP
Observaci
n
25/1
0/20
14
A&
M
ER-
02
Verificar vigencia
de las licencia
Observaci
n
3 Presupuesto Verificar si existe
un presupuesto
operativo anual
para la adquisicin
de software y
aplicaciones.
Entrevista e
Inspeccin
25/1
0/20
14
A&
M
ER-
04
Verificar que la
compra de
software y
aplicaciones est
de conformidad al
presupuesto
asignado para tal
efecto.
Entrevista e
Inspeccin


AUDISAL A&M S.A de C.V


Auditoras Informticas
3
Ref
.
Actividad que
ser evaluada
Procedimientos de
auditoria
Herramienta
s utilizadas
Observ
aciones
Fech
a
Hec
ho
por
Ref.
4 Mdulos Investigar la
cantidad, y que
mdulos utiliza la
empresa.

25/1
0/20
14
A&
M
ER-
03
Determinar si
existen
manuales/instructiv
os para cada uno
mdulos
adquiridos.
Pedir el listado de
usuarios que
acceden al
software y verificar
el rol del mismo y
los permisos que
posee
dependiendo del
rol que desempea
5 Hosting Que Servicios y
caractersticas se
contrataron.
Entrevista e
inspeccin
25/1
0/20
14

A&
M

ER-
05
6 Actualizacio
nes
Indagar sobre la
existencia de una
poltica para
actualizaciones
25/1
0/20
14

A&
M

ER-
06
7 Capacitacio
nes
Verificar si existen
planes de
capacitacin para
el uso y manejo
del distinto
software y
aplicaciones. Entrevista
25/1
0/20
14
A&
M
ER-
07
Conocer la
metodologa de
capacitacin para
el uso y manejo
del software y
aplicaciones
AUDISAL A&M S.A de C.V


Auditoras Informticas
4
8 Seguridad Solicitar la
documentacin de
procedimiento que
garanticen la
seguridad y
proteccin de los
datos usados y
generados con las
aplicaciones.
25/1
0/20
14
A&
M
ER-
08
Ref
.
Actividad que
ser evaluada
Procedimientos de
auditoria
Herramienta
s utilizadas
Observ
aciones
Fech
a
Hec
ho
por
Ref.
9 Roles Entrevista al
Gerente de IT a fin
de conocer los
tipos de roles
(usuarios) que se
han definido en el
sistema ERP y las
atribuciones de
cada uno.
Entrevista 25/1
0/20
14
A&
M
ER-
09
10 Bitcora Verificar que
exista un
archivo log o
bitcora que
permita identificar
los errores de
ejecucin de
aplicaciones,
sistemas
operativos, etc.
Entrevista -
Inspeccin
25/1
0/20
14
A&
M
ER-
10
11 Sistema
Operativo
Identificar Sistema
Operativo
Examen-
Entrevista
25/1
0/20
14
A&
M
ER-
11
Verificar que el
sistema operativo
Cuenta con su
licencia respectiva.


AUDISAL A&M S.A de C.V


Auditoras Informticas
5

ER 01- Reportes

















Damasco S.A P.T. No ER-01 1/1
ERP Auditor A&M.
Reportes Fecha

del 1 de agosto al 31 de
Diciembre Revisada por A&M.



Objetivo del Procedimiento:

Verificar el listado de reportes que posee el ERP implementado y evaluar si la informacin de los
mismos es la adecuada para cada rea.





Descripcin:

Se pidi el listado de reportes implementados en Damasco S.A de C.V y se determin una
muestra por cada rea de la empresa, obviamente aquellas reas que hacen uso de ellos, pero
debido a que no se quera interrumpir las labores cotidianas de la empresa se tom a una
persona por rea. Se evaluaron los reportes existentes mediante un cuestionario que se le paso
a cada persona. (Anexo-1)

PREGUNTA SI NO
Conoce de algn empleado
que no tenga acceso a los
reportes que necesitan?


Considera que los reportes
a los cuales su rea tiene
acceso son los adecuados?



Se ha presentado algn
caso en que la informacin
presentada en los reportes no
est actualizada?


Necesita algn reporte
adicional el cual al no tenerlo
le impide realizar con




AUDISAL A&M S.A de C.V


Auditoras Informticas
6
eficiencia sus labores
cotidianas?
Los reportes poseen todas
las funcionalidades que
necesitan?









Hallazgos:

No se encontraron hallazgos





Conclusiones:

Como se pudo observar en los resultados de la encuesta que se le proporciono a cada
empleado de las distintas reas de la empresa los reportes no presentan alguna deficiencia y
cumplen con todas las demandas de los empleados para realizar sus funciones adecuadamente



ER-02 Licencias

















Damasco S.A P.T. No ER-02 1/1
ERP Auditor A&M.
Licencias Fecha
del 1 de agosto al 31 de Diciembre
Revisada
por A&M.



Objetivo del Procedimiento:
Verificar el cumplimiento de las licencias del ERP y la vigencia de la misma.






AUDISAL A&M S.A de C.V


Auditoras Informticas
7

Descripcin:

La empresa Damasco S.A de C.V posee el ERP llamado Open ERP el cual es un software de
cdigo libre, lo cual implica que es tan editable como se quiera sin necesidad de solicitar alguna
licencia (Anexo-2).







Hallazgos:

No se presentaron hallazgos


Recomendaciones:

El software ERP que la empresa tiene implementado no presenta ningn problema con respecto
a las licencias debido a que es un software de cdigo abierto lo cual implica que es
completamente editable por las personas sin esto representar problemas legales.




ER-03 Mdulos

















Damasco S.A P.T. No ER-03 1/1
ERP Auditor A&M.
Mdulos Fecha
del 1 de agosto al 31 de Diciembre
Revisada
por A&M.



Objetivo del Procedimiento:
Verificar los mdulos existentes en el ERP de la empresa Damasco S.A de C.V.





Descripcin:

Se identific la totalidad de mdulos que contiene el ERP de la compaa, con los cuales se
AUDISAL A&M S.A de C.V


Auditoras Informticas
8
pas una pequea encuesta respetando la muestra desarrollada anteriormente y poder as
identificar el sentir de los empleados con respecto a los mdulos, acceso a ellos, alcance de los
mismos y posibles problemas que estos pueden presentar


PREGUNTA SI NO
Conoce la totalidad de
mdulos que posee el ERP?


Tiene acceso a todos los
mdulos del ERP?



Para tener acceso a un
nuevo mdulo de ERP existe
alguna poltica o norma a
seguir?


Los mdulos a los cuales
tiene acceso son los
necesarios que usted
necesita para realizar sus
labores cotidianas?



Existe algn procedimiento
a seguir en caso que se
requiera de una nueva
funcionalidad?



Cundo se agrega un nuevo
mdulo al ERP se les
imparten capacitaciones?








Hallazgos:
No se encontraron Hallazgos











AUDISAL A&M S.A de C.V


Auditoras Informticas
9

ER-04 Presupuesto

















Damasco S.A P.T. No ER-04 1/1
ERP Auditor A&M.
Presupuesto Fecha
del 1 de agosto al 31 de Diciembre
Revisada
por A&M.



Objetivo del Procedimiento:
Evaluar los niveles de acceso de los usuarios que poseen acceso a carpetas compartidas.





Descripcin:

Tras la verificacin de la copia que posee el encargado de IT del presupuesto operativo anual no
se encontr ninguna asignacin monetaria para la compra de nuevas tecnologas de software y
aplicaciones, las nicas asignaciones monetarias eran para el RUNNING o tareas de Diarias a
las cuales debe de brindar soporte la direccin informtica.
Nota:
Por cuestiones de seguridad el gerente de IT se neg a que tomramos una fotografa del
presupuesto general, ya que sostuvo que es informacin crtica y sensible para la empresa, pero
accedi a que verificramos la ausencia de dicho monto.







Hallazgos:

1- No existe asignacin en el presupuesto anual destinado para la compra de nuevas tecnologas
en la empresa.


Recomendaciones:

Se recomienda realizar una reestructuracin del presupuesto operativo de la empresa y realizar
estudios para asignar un monto anual para la compra de nuevas tecnologas que ayuden a
AUDISAL A&M S.A de C.V


Auditoras Informticas
10
facilitar las tareas rutinarias.


ER-05 Hosting

















Damasco S.A P.T. No ER-05 1/1
ERP Auditor A&M.
Hosting Fecha
del 1 de agosto al 31 de Diciembre
Revisada
por A&M.



Objetivo del Procedimiento:

Entrevistar al gerente de IT sobre los servicios de hosting que la empresa contrato y sus
estipulaciones.




Descripcin:

Se entrevist al gerente IT de la direccin informtica para preguntar qu servicios se
contrataron l nos especific lo siguiente:
Se contrat un Hosting compartido con el pago de $ 200 anticipados al uso, luego el plan de
$4.95 Mensual que incluye los siguientes servicios:
- Dominios ilimitados
- Almacenamiento ilimitado
- Sitios web ilimitado
- Cuentas de Correo ilimitados
- 1 nombre de Dominio Registrado
- Backups automatizados
Anexo-3



Hallazgos:
1-No se revisa peridicamente el cumplimiento del manual de red.

AUDISAL A&M S.A de C.V


Auditoras Informticas
11
Recomendaciones:

Verificar peridicamente las condiciones de la red comparada con las condiciones que se
establecen en los manuales, se podra realizar una revisin semestral o anual.

ER-06 Actualizaciones

















Damasco S.A P.T. No ER-06 1/1
ERP Auditor A&M.
Actualizaciones Fecha
del 1 de agosto al 31 de Diciembre
Revisada
por A&M.



Objetivo del Procedimiento:
Evaluar la existencia de una poltica para actualizaciones.




Descripcin:

Se entrevist Gerente de IT a fin de confirmar si la Empresa Damasco, S.A de C.V., cuenta
con una poltica de actualizaciones para las aplicaciones (ERP, Herramientas de Software).
Debido a que se verific que no se cuenta con una poltica de actualizaciones para las
aplicaciones delos Sistemas ERP y otras Herramientas de software, se procedi a levantar un
Acta Testimonial para documentar dicha situacin.
Anexo-4




Hallazgos:


1- La empresa Damasco, S.A de C.V., no cuenta con polticas de actualizacin para sus Sistema
ERP y dems herramientas de Software.


Recomendaciones:


Que el Gerente de IT elabore conjuntamente con el personal de la direccin informtica las
polticas de actualizacin para que cumpla con las especificaciones de los nuevos mdulos o
nuevas funcionalidades y tenga un buen funcionamiento.

AUDISAL A&M S.A de C.V


Auditoras Informticas
12

ER-07 Capacitaciones


















Damasco S.A P.T. No ER-07 1/1
ERP Auditor A&M.
Capacitaciones Fecha
del 1 de agosto al 31 de Diciembre
Revisada
por A&M.



Objetivo del Procedimiento:
Verificar los planes de capacitacin con respecto al ERP y sus mdulos.





Descripcin:

Se entrevist al gerente de IT con el objetivo de conocer si existen planes de capacitacin y
manejo de software, lo cual nos respondi que para las aplicaciones de software no existen
planes.
Cuando se presentan circunstancias en las cuales es necesario brindar capacitaciones de
programas se hace la programacin despus de su implementacin. Y cit el ejemplo Para la
implementacin del software ERP se brindaron 5 capacitaciones, en periodos distintos




Hallazgos:


1- No se cuentan con planes de capacitaciones sobre las herramientas de software.


Recomendaciones:

Crear Planes de Capacitaciones para fortalecer los conocimientos de los empleados en el uso de
las herramientas de software, ya que esto aumentara la eficiencia de los empleados con
respecto a sus actividades diarias.

AUDISAL A&M S.A de C.V


Auditoras Informticas
13
.


ER-08 Seguridad


















Damasco S.A P.T. No ER-08 1/1
ERP Auditor A&M.
Seguridad Fecha
del 1 de agosto al 31 de Diciembre
Revisada
por A&M.



Objetivo del Procedimiento:
Evaluar los componentes de red con que se cuentan.





Descripcin:


Se solicit mediante requerimiento escrito al encargado del rea informtica de la empresa los
manuales o instructivos que describan los procedimientos que garanticen la seguridad y
proteccin de los datos usados y generados con las aplicaciones y se nos indic que la
compaa no cuenta con manuales de procedimiento escrito y debidamente autorizados por el
gerente general de Damasco S.A de C.V y que las medidas adoptadas por la compaa para
garantizar la seguridad y protecciones de datos debido a que las medidas utilizadas fueron
creadas por el personal del rea informtica, sin embargo nunca se han plasmado por escrito.




Hallazgos:

1- Se verifico que la compaa no cuenta con manuales que garanticen la seguridad y
proteccin de datos usados y generados con las aplicaciones.

Recomendaciones:
AUDISAL A&M S.A de C.V


Auditoras Informticas
14

La gerencia general debe girar instrucciones al departamento de Informtica para que se
elaboren dichos manuales a la mayor brevedad posible con la finalidad de mejorar el control
interno de la compaa y proporcionar una base fidedigna para la proteccin de los datos


ER-09 Roles


















Damasco S.A P.T. No ER-09 1/1
ERP Auditor A&M.
Roles Fecha
del 1 de agosto al 31 de Diciembre
Revisada
por A&M.



Objetivo del Procedimiento:

Evaluar si la estructura de red de la empresa es la ptima para la cantidad de quipos que se
poseen.





Descripcin:

Mediante la entrevista realizada pudimos corroborar que el sistema tiene 2 tipos de roles o
usuarios definidos, tal como se detalla a continuacin:

Tipo de Rol
(Usuario)
Funciones
Administrador Tiene acceso a todos los mdulos sin ningn tipo de restriccin,
esta funcin es nica para el Gerente de IT y el Gerente General.
Operativo Tienen acceso limitado, ya que nicamente pueden acceder al
mdulo asignado de acuerdo al departamento en que laboran y no
pueden realizar ningn tipo de modificaciones al sistema.



AUDISAL A&M S.A de C.V


Auditoras Informticas
15



Hallazgos:
1-No se encontraron hallazgos

Conclusiones:

El nivel de los roles es el adecuado para una empresa como esta ya que se diferencia entre
personal administrativo y operativo limitando as el acceso que los empleados tienen sobre los
mdulos y la informacin de los mismos.


ER-10 Bitcoras


















Damasco S.A P.T. No ER-10 1/1
ERP Auditor A&M.
Bitcoras Fecha
del 1 de agosto al 31 de Diciembre
Revisada
por A&M.



Objetivo del Procedimiento:

Evaluar si se actualizan las bitcoras al momento de que una persona de la direccin informtica
realiza cambios en el servidor afectando el comportamiento de red





Descripcin:

Se entrevist al gerente de IT y nos coment que la empresa no lleva un registro de los errores
de las aplicaciones lo cual provoca desconocimiento si estn funcionando correctamente




Hallazgos:
1- La empresa no posee bitcoras para el control de erros de las aplicaciones.

AUDISAL A&M S.A de C.V


Auditoras Informticas
16
Recomendaciones:

. Crear Bitcoras de errores para los diferentes mdulos con que cuenta el ERP ya sea en un .txt
o en la misma base de datos.


ER-11 Sistema Operativo


















Damasco S.A P.T. No ER-11 1/1
ERP Auditor A&M.
Escalabilidad Fecha
del 1 de agosto al 31 de Diciembre
Revisada
por A&M.



Objetivo del Procedimiento:

Determinar si se cuenta con los requerimientos necesario como para satisfacer las necesidades
futuras de la empresa





Descripcin:
Se entrevist al gerente de IT para conocer acerca de que sistemas operativos trabajan las
computadoras de Damasco S.A de C.V y nos coment que todos los equipos usuarios cuentan
con Windows 7 de 32 bits, a excepcin de los equipos servidores que utilizan Windows Server
2008 R2.

Se seleccionaron 2 computadoras al azar de las oficinas centrales de Damasco y verificamos
que contaran con sus licencias respectivas.
Anexo-5



Hallazgos:
AUDISAL A&M S.A de C.V


Auditoras Informticas
17

No se presentaron hallazgos





Conclusiones:

Los computadores con que se cuentan poseen versiones de sistemas operativos debidamente
licenciados.





AUDISAL A&M S.A de C.V


Auditoras Informticas
18

Cedula

Actividad Hallazgo Ref.


Presupuesto
1- No existe asignacin en el
presupuesto anual destinado
para la compra de nuevas
tecnologas en la empresa.


ER-04
Hosting No se revisa peridicamente el
cumplimiento del manual de
red.

ER-05

Actualizaciones
La empresa Damasco, S.A de
C.V., no cuenta con polticas de
actualizacin para sus Sistema
ERP y dems herramientas de
Software.


ER-06

Capacitaciones
No se cuentan con planes de
capacitaciones sobre las
herramientas de software.

Er-07

Seguridad
Se verifico que la compaa no
cuenta con manuales que
garanticen la seguridad y
proteccin de datos usados y
generados con las aplicaciones


ER-08

Bitcoras
La empresa no posee bitcoras
para el control de erros de las
aplicaciones

ER-10

AUDISAL A&M S.A de C.V


Auditoras Informticas
19

Anexos

Anexo-1









AUDISAL A&M S.A de C.V


Auditoras Informticas
20

Anexo-2














AUDISAL A&M S.A de C.V


Auditoras Informticas
21

Anexo-3






AUDISAL A&M S.A de C.V


Auditoras Informticas
22

Anexo-4

ACTA TESTIMONIAL

A los das 09 del mes de octubre de 2014
03:00 p.m.

San Salvador, El Salvador, C.A.

"Se reuni con el Ing. Manuel Escalante, Gerente de IT de Damasco, S.A de C.V.; El Lic.
Edwin Roberto Argumedo Durn, de la Empresa A&M, S.A. de C.V., responsable de
realizar la auditora al rea de Software de le empresa antes mencionada, manifiestan la
falta de polticas de actualizaciones de aplicaciones para los Sistema Open ERP y
Herramientas de software. Despus de realizar las aclaraciones pertinentes, se procedi a
levantar la presente acta administrativa, con el fin de realizar las actividades anteriormente
mencionadas. El Ing. Manuel Escalante declara que no se cuenta con polticas de
actualizaciones de aplicaciones para los Sistemas.
Concluyendo con las Declaraciones de quienes participan en el levantamiento de esta acta,
y no habiendo objecin por parte de ninguno de los presentes, se procede al cierre de los
testimonios.

__________________________ _______________________
Lic. Edwin Argumedo Ing. Manuel Escalante
Auditor Gerente de IT


AUDISAL A&M S.A de C.V


Auditoras Informticas
23


Anexo-5