universidad dr. josé matías delgado facultad de economía ... virtual/tes… · lo anterior,...
TRANSCRIPT
Universidad Dr. José Matías Delgado Facultad de Economía “Santiago I. Barberena”
“EL ROL DE LA AUDITORIA DE SISTEMAS COMPUTARIZADOS COMO HERRAMIENTA DE CONFIABILIDAD EN LA INFORMACIÓN CONTABLE”
Tesis presentada por: Br. Leticia Esmeralda Serrano Cedillos
Asesorada por: Licda. Jenny Manzano
Para obtener el título de: Licenciada en Contaduría Pública
Antiguo Cuscatlán, El Salvador, Centroamérica. Noviembre, 2006
2
INDICE
Pagina
Introducción 8
CAPITULO I
ANTECEDENTES Y SITUACIÓN ACTUAL
1.1 Antecedentes de la Auditoría 9
1.2 Antecedentes de los sistemas computarizados 11
1.2.1 Generación de las computadoras 12
1.2.2. Componentes del computador 15
1.3 Uso de la tecnología 17
1.3.1 La tecnología y la contabilidad 18
1.4 Situación actual de la auditoría de sistemas computarizados 20
CAPITULO II
MARCO TEÓRICO
2.1 Introducción 24
2.2 Auditoría 25
2.2.1 Concepto de auditoría 25
2.2.2 Clasificación de la auditoría 26
2.2.3 Importancia de la auditoría en la confiabilidad de la información
Contable 27
2.3 Auditoría de sistemas 28
2.3.1 Concepto de la auditoría de sistemas 28
3
2.3.2 Objetivos de la Auditoría de Sistemas 30
2.3.3 Enfoque de la auditoría de sistemas 31
2.3.4 Planeación de la auditoría de sistemas 33
2.3.5 Revisión y evaluación de controles y seguridad. 34
2.3.5.1 Revisión preliminar 34
2.3.5.2 Revisión detallada 34
2.3.5.3 Controles 35
2.3.5.4 Clasificación de los Controles 35
2.3.5.5 Seguridad 38
2.3.6 Norma Internacional de Auditoría 401 40
2.4 Control Interno 45
2.4.1 Definición de control interno. Enfoque contemporáneo del
Control Interno. Informe COSO. 45
2.4.2 Componentes del Control Interno 46
2.5 Estándares de seguridad 50
2.5.1. Políticas 51
2.5.1.1 Política de protección de documentación y su diseminación 51
2.5.2. Protección de la información institucional 51
2.5.2.1 Infraestructura organizacional 51
2.5.2.2 Controles de acceso de terceros 52
2.5.3 Control y sensitividad de activos 53
2.5.3.1 Responsabilidad 53
2.5.3.2 Clasificación de la información 54
4
2.5.4 Personal 54
2.5.4.1 Protección en especificaciones y decisiones del personal 54
2.5.4.2 Entrenamiento sobre seguridad 55
2.5.4.3 Reporte de incidentes 56
2.5.5 Protección física 57
2.5.5.1 Protección física de instalaciones 57
2.5.5.2 Seguridad de Hardware 59
2.5.6. Administración de sistemas e infraestructura 60
2.5.6.1 Roles y responsabilidades 60
2.5.6.2 Planificación y aceptación de sistemas 61
2.5.6.3 Protección de software malicioso 62
2.5.6.4 Administración de servicios IT 63
2.5.7. Sistemas de control de acceso 63
2.5.7.1 Requerimientos de negocio para accesos a los sistemas 63
2.5.7.2 Administración de acceso de usuarios 64
2.5.7.3 Responsabilidades de usuario 65
2.5.7.4 Control de acceso a redes 65
2.5.7.5 Control de acceso al computador 67
2.5.7.6 Control de acceso de aplicaciones 69
2.5.7.7 Monitoreando accesos al sistema y su uso 70
2.5.8 Desarrollo y mantenimiento de sistemas 71
2.5.8.1 Requerimientos de seguridad de sistemas 71
2.5.8.2 Seguridad en sistemas aplicativos 71
5
2.5.8.3 Seguridad de archivos de sistemas aplicativos 72
2.5.8.4 Seguridad en ambientes de desarrollo y soporte 73
2.5.9 Plan de continuidad del negocio 74
2.5.9.1 Aspectos de un plan de continuidad del negocio 74
2.5.10 Cumplimiento 75
2.5.10.1 Cumplimiento con requerimientos legales 75
2.5.10.2 Revisiones de seguridad de sistemas de IT 76
2.6 Cuadro sinóptico 77
CAPITULO III
METODOLOGÍA DE LA INVESTIGACIÓN
3.1 Objetivos del Trabajo 80
3.1.1 Objetivo General 80
3.1.2 Objetivos Específicos 80
3.2 Objetivos de Investigación 81
3.2.1 Objetivo General 81
3.2.2 Objetivos Específicos 81
3.3 Hipótesis 82
3.3.1 Hipótesis General 82
3.3.2 Hipótesis Específicas 82
3.4. Metodología de la investigación. 83
3.4.1 Población a investigar. 83
3.4.2 La muestra. 83
6
3.4.3 El muestreo. 86
3.4.4 Metodología utilizada. 86
3.4.5 Resultados de la investigación. 86
CAPITULO IV
CONCLUSIONES Y RECOMENDACIONES
4.1 Conclusiones 104
4.2 Recomendaciones 107
CAPITULO V
5.1. Guía de aspectos de una auditoría de sistemas a ser
revisados en una auditoría financiera. 108
5.1.1 Introducción. 108
5.1.2 Objetivos 109
5.1.2.1 Objetivo general 109
5.1.2.2 Objetivos específicos 109
5.1.3 Alcance 110
5.1.4 Aspectos de una auditoría de sistemas a ser evaluados
según BS 7779. 111
5.1.4.1 Políticas. 112
5.1.4.2 Protección de la información institucional. 112
5.1.4.3 Control y sensitividad de activos. 112
5.1.4.4 Personal. 112
7
5.1.4.5 Protección física. 112
5.1.4.6 Administración de sistemas e infraestructura. 112
5.1.4.7 Sistemas de control de acceso. 113
5.1.4.8 Desarrollo y mantenimiento de sistemas. 113
5.1.4.9 Plan de continuidad del negocio. 113
5.1.4.10 Cumplimiento. 114
5.2 Cuestionario base para la revisión de los estándares
de seguridad. 115
5.3 Secuencia en la aplicación de procedimientos de auditoría
Bajo un sistema de procesamiento de datos computarizado 126
CASO PRACTICO 129
ANEXOS
Anexo 1 137
Anexo 2 176
GLOSARIO 194
BIBLIOGRAFÍA 198
8
INTRODUCCION
El presente trabajo pone en evidencia la importancia que la auditoría
tradicional tiene dentro de las empresas como soporte a las decisiones
gerenciales, así como los retos que, a través del tiempo, se le han presentado a
consecuencia de la incorporación de sistemas computarizados al
procesamiento de información contable, y es que si bien la tecnología utilizada
en las empresas proporciona mayor eficiencia en su operatividad deja abiertas
una gama de posibilidades para incurrir en errores, ya sean voluntarios o
involuntarios.
Lo anterior, requiere del profesional en contaduría pública un
conocimiento básico del funcionamiento de la Tecnología de Información, de
manera que pueda hacer una planificación eficaz de la revisión a realizar y
disminuir situaciones irregulares que se presentan, como consecuencia del uso
y aplicación de la misma.
Es por esto que la parte final del documento ofrece al contador público
una guía, basada en Estándares de Seguridad Británicos, de los aspectos
relevantes de los sistemas computarizados, que deben se evaluados durante
una auditoría, esto con el propósito de contribuir en la capacitación de las
personas encargadas de la revisión de los sistemas.
9
CAPITULO I
ANTECEDENTES Y SITUACIÓN ACTUAL
1.1 Antecedentes de la Auditoría
La palabra auditoría viene del latín auditorius y de ésta proviene auditor,
quien tiene la virtud de oír y revisar cuentas.
Se tiene conocimiento que en tiempos remotos los Soberanos
designaban a dos escribanos independientes para el mantenimiento de las
cuentas de su residencia, lo que pone de manifiesto que se tomaron algunas
medidas para evitar desfalcos. A medida que el comercio se fue incrementando,
nace la necesidad de que los registros contables mantenidos por las empresas
comerciales fueran supervisados por personal independiente para asegurar la
fiabilidad de éstos.
La auditoría como profesión fue reconocida por primera vez bajo la Ley
Británica de Sociedades Anónimas de 1862: “Un sistema metódico y
normalizado de contabilidad era deseable para una adecuada información y
para la prevención del fraude”1.
1 R. Gene Brown, <<Changing Audit Objectives and Techniques>>, The Accounting Review, Octubre 1962, p.697.
10
Desde 1862 hasta 1905, la profesión de la auditoría creció y floreció en
Inglaterra, y se introdujo en los Estados Unidos hacia 1900. Mientras que en
Inglaterra se seguía prestando mayor atención a la detección del fraude, en
Estados Unidos se orientó la auditoría a cerciorarse de la condición financiera y
de las ganancias de una empresa dejando la detección y prevención de fraudes
como un objetivo menor.
La auditoría, tradicionalmente hasta 1960 estuvo orientada
fundamentalmente al examen de los estados financieros. A medida que los
auditores se apercibieron de la importancia de un buen sistema de control
interno y su relación con el alcance de las pruebas a efectuar en una auditoría,
se mostraron partidarios de la necesidad del desarrollo y mantenimiento de
unos buenos procedimientos de control interno.
Las empresas crecieron, la cantidad y complejidad de sus operaciones
exigieron que los auditores realizaran revisiones en los procedimientos
utilizados en las diferentes áreas de operación, para generar confianza en sus
actividades y las decisiones tomadas fueran acertadas.
Hoy en día, la auditoría hace revisiones de todas las fases de las
corporaciones de las que las operaciones financieras forman parte, una de ellas
es la de los sistemas computarizados, donde se procesa toda la información
financiera de la entidad.
11
1.2 Antecedentes de los sistemas computarizados
La invención de la computadora no se puede asignar a una sola persona,
sin embargo, en el antiguo edificio de Física de la Universidad de Iowa se
encuentra una placa con la siguiente leyenda:
“La primera computadora digital electrónica de operación automática del
mundo, fue construida en este edificio en 1939 por John Vincent Atanasoff,
matemático y físico de la Facultad de la Universidad, quien concibió la idea, y
por Clifford Edward Berry, estudiante graduado de física."2
Con ésta base el Dr. John W. Mauchly colaboró con J.Presper Eckert, Jr.
para desarrollar una máquina que calculara tablas de trayectoria para el ejército
estadounidense. El producto final, una computadora electrónica completamente
operacional a gran escala, se terminó en 1946 y se llamó ENIAC (Electronic
Numerical Integrator And Computer), ó Integrador numérico y calculador
electrónico.
La ENIAC construida para aplicaciones de la Segunda Guerra mundial,
se terminó en 30 meses por un equipo de científicos que trabajan bajo reloj. La
2 http://www.monografias.com/trabajos14/antecedentescompu/antecedentescompu.shtml
12
ENIAC, mil veces más veloz que sus predecesoras electromecánicas, irrumpió
como un importante descubrimiento en la tecnología de la computación.
En 1945, John von Neumann, que había trabajado con Eckert y Mauchly
en la Universidad de Pennsylvania, publicó un artículo acerca del
almacenamiento de programas. El concepto de programa almacenado permitió
la lectura de un programa dentro de la memoria de la computadora, y después
la ejecución de las instrucciones del mismo sin tener que volverlas a escribir.
Los programas almacenados dieron a las computadoras una flexibilidad y
confiabilidad tremendas, haciéndolas más rápidas y menos sujetas a errores
que los programas mecánicos. Una computadora con capacidad de programa
almacenado podría ser utilizada para varias aplicaciones cargando y
ejecutando el programa apropiado. Hasta este punto, los programas y datos
podían ser ingresados en la computadora sólo con la anotación binaria, que es
el único código que las computadoras entienden.
1.2.1 Generación de las computadoras3
Primera generación (de 1951 a 1958)
Las computadoras de la primera Generación emplearon bulbos para
procesar información. Los operadores ingresaban los datos y programas en
3 http://sipan.inictel.gob.pe/users/hherrera/hcomputadora.htm
13
código especial por medio de tarjetas perforadas. El almacenamiento interno se
lograba con un tambor que giraba rápida mente, sobre el cual un dispositivo de
lectura/escritura colocaba marcas magnéticas. Esas computadoras de bulbos
eran mucho más grandes y generaban más calor que los modelos
contemporáneos.
Segunda Generación (1959-1964)
El invento del transistor hizo posible una nueva generación de
computadoras, más rápidas, más pequeñas y con menores necesidades de
ventilación. Sin embargo el costo seguía siendo una porción significativa del
presupuesto de una compañía. Las computadoras de la segunda generación
también utilizaban redes de núcleos magnéticos en lugar de tambores giratorios
para el almacenamiento primario. Estos núcleos contenían pequeños anillos de
material magnético, enlazados entre sí, en los cuales podían almacenarse datos
e instrucciones.
Los programas de computadoras también mejoraron. El COBOL
desarrollado durante la primera generación estaba ya disponible
comercialmente.
Los programas escritos para una computadora podían transferirse a otra
con un mínimo esfuerzo. El escribir un programa ya no requería entender
14
plenamente el hardware. Las computadoras de la segunda generación eran
substancialmente más pequeñas y rápidas que las de bulbos, y se usaban para
nuevas aplicaciones, como en los sistemas para reservación en líneas aéreas,
control de tráfico aéreo y simulaciones para uso general.
Tercera Generación (1964-1971)
Las computadoras de la tercera generación emergieron con el desarrollo
de los circuitos integrados (pastillas de silicio) en las cuales se colocan miles de
componentes electrónicos, en una integración en miniatura. Las computadoras
nuevamente se hicieron más pequeñas, más rápidas, desprendían menos calor
y eran energéticamente más eficientes. Antes del advenimiento de los circuitos
integrados, las computadoras estaban diseñadas para aplicaciones
matemáticas o de negocios, pero no para las dos cosas.
La Cuarta Generación (1971 a la fecha)
Dos mejoras en la tecnología de las computadoras marcan el inicio de la
cuarta generación: el reemplazo de las memorias con núcleos magnéticos, por
las de Chips de silicio y la colocación de muchos más componentes en los
mismos. El tamaño reducido del microprocesador de Chips hizo posible la
creación de las computadoras personales (PC). Hoy en día las tecnologías LSI
(Integración a gran escala) y VLSI (integración a muy gran escala) permiten que
15
cientos de miles de componentes electrónicos se almacén en un Chip. Usando
VLSI, un fabricante puede hacer que una computadora pequeña rivalice con
una computadora de la primera generación que ocupara un cuarto completo.
Aunque caras y de uso limitado las computadoras fueron aceptadas
rápidamente por las compañías privadas y el Gobierno. Las empresas
comenzaron a aplicar las computadoras a tareas de almacenamiento de
registros, como manejo de inventarios, nómina y contabilidad.
1.2.2. Componentes del computador4
Hardware
Hardware son todos aquellos componentes físicos de una computadora,
todo lo visible y tangible. El Hardware realiza las 4 actividades fundamentales:
entrada, procesamiento, salida y almacenamiento secundario. El hardware por
si solo no puede hacer nada, pues es necesario que exista el software, que es
el conjunto de instrucciones que hacen funcionar al hardware.
Software
El software es el conjunto de instrucciones que las computadoras
emplean para manipular datos. Sin el software, la computadora sería un
conjunto de medios sin utilizar. Al cargar los programas en una computadora, la
4 http://sipan.inictel.gob.pe/users/hherrera/hcomputadora.htm
16
máquina actuará como si recibiera una educación instantánea; de pronto "sabe"
cómo pensar y cómo operar.
El software es un conjunto de programas, documentos, procedimientos, y
rutinas asociados con la operación de un sistema de cómputo. Distinguiéndose
de los componentes físicos llamados hardware.
El software se clasifica en 3 diferentes categorías: Sistemas Operativos,
Software de uso general, Software de Aplicación.
El sistema operativo es el gestor y organizador de todas las actividades
que realiza la computadora. Marca las pautas según las cuales se intercambia
información entre la memoria central y la externa, y determina las operaciones
elementales que puede realizar el procesador.
El software para uso general ofrece la estructura para un gran número de
aplicaciones empresariales, científicas y personales. El software de hoja de
cálculo, de diseño asistido por computadoras (CAD), de procesamiento de
texto, de manejo de s de Datos, pertenece a esta categoría.
El software de aplicación esta diseñado y escrito para realizar tareas
específicas personales, empresariales o científicas como el procesamiento de
nóminas, la administración de los recursos humanos o el control de inventarios.
17
Todas estas aplicaciones procesan datos (recepción de materiales) y generan
información (registros de nómina) para el usuario.
1.3 Uso de la tecnología
Las computadoras se han apoderado casi en su totalidad del mundo
contemporáneo, y hoy en día resulta casi imposible imaginar la vida cotidiana
sin su presencia, mas aún, se han hecho tan indispensables que a veces es
inadvertible su presencia.
Las tecnologías de información operan como motor de cambio que
permiten dar respuestas a las nuevas necesidades de información y han creado
movimientos importantes dentro de las empresas gracias a los avances que se
tienen y la implantación de nuevos sistemas.
Sin embargo, aun lo sofisticado y el enorme alcance que posee la
tecnología se requiere de la intervención del hombre para que opere. En la
mayoría de los casos, la tecnología es subutilizada por las organizaciones que
las adquieren, limitando su uso a los procesadores de palabras, presentaciones
digitales, hojas de cálculo y la presencia del correo electrónico interno, aunque
ampliamente difundido no necesariamente es utilizado por todos los entes
involucrados.
18
El valor concreto que aportan las tecnologías de la información es la
eficacia, siempre que se asuma el reto de adiestrar, capacitar y desarrollar al
usuario, en cuanto a tecnología se refiere. Asimilar la tecnología no es tarea
fácil, en la mayoría de los casos solo se termina por aceptarla como un
requisito, algo que conociendo estrictamente lo básico resulta suficiente para
enfrentar las empresas contemporáneas.
1.3.1 La tecnología y la contabilidad
La contabilidad es una de las áreas que más a evolucionado en el correr
de los años debido a la implantación de nueva tecnología. En cada período
histórico la contabilidad, como sistemas de información, se ha adaptado a las
necesidades informáticas de sus usuarios, pero su desarrollo ha estado limitado
por los recursos tecnológicos.
En la siguiente tabla se muestra la evolución de las tecnologías en el
apoyo del área contable.5
5 http://www.gestiopolis.com/canales2/finanzas/1/tecinfocontable.htm
19
PERIODO HISTORICO
NECESIDADES INFORMATIVAS
POSIBILIDADES TECNOLÓGICAS
RESPUESTA DE LA CONTABILIDAD
Las Grandes Civilizaciones
Conocer los Ingresos y gastos
Papiro, escritura cuneiforme
Utilizar la partida simple
El inicio del comercio
Registrar cada movimiento Papel
Surge la partida doble. Primeros libros contables
La Revolución Industrial
Importancia de los activos y conocer el beneficio
Papel, ImprentaSe perfecciona la partida doble. Estados Financieros
1960Manejar más información y con más rapidez
Los primeros ordenadores: muchos usuarios para un equipo
Se automatizan los sistemas contables manuales
1981Obtener información financiera útil para la toma de decisiones
Ordenador personal: la informática se populariza
Sistemas de información contables integrados en bases de datos, informes, ratios, gráficos
Siglo XXI
Información en tiempo real. Comercio electrónico. Medir activos intangibles para gestionar el conocimiento
Ordenadores en red: Internet y tecnologías de la comunicación
Automatizar la captura de datos. Intercambio electrónico de documentos. Desaparece el papel
Antes, la contabilidad se realizaba completamente a mano y con muchos
papeles de trabajo y la preparación de Balances resultaba muy costosa.
Actualmente, existen paquetes contables que ayudan al contador a eficientizar
su trabajo y el tiempo que antes se utilizaba en la preparación de Estados
Financieros, ahora se emplea en el análisis de los mismos y para la toma de
decisiones dentro de la empresa.
20
1.4 Situación actual de la auditoría de sistemas computarizados
La mayoría de las empresas salvadoreñas utilizan la informática para
gestionar sus "negocios" de forma rápida y eficiente con el fin de obtener
beneficios económicos y reducción de costos. Por eso, al igual que los demás
órganos de la empresa, los Sistemas Informáticos están sometidos al control
correspondiente, o al menos debería estarlo.
La importancia de llevar un control de esta herramienta se puede deducir
de varios aspectos.
1. Las computadoras y los centros de proceso de datos se
convirtieron en blancos apetecibles no solo para el espionaje, sino
para la delincuencia y el terrorismo. En este caso interviene la
auditoría informática de seguridad.
2. Las computadoras creadas para procesar y difundir resultados o
información elaborada pueden producir resultados o información
errónea si dichos datos son, a su vez, erróneos. Este concepto
obvio es a veces olvidado por las mismas empresas que terminan
perdiendo de vista la naturaleza y calidad de los datos de entrada
a sus sistemas informáticos, con la posibilidad de que se provoque
21
un efecto cascada y afecte a aplicaciones independientes. En este
caso interviene la auditoría informática de datos.
3. Un Sistema Informático mal diseñado puede convertirse en una
herramienta muy peligrosa para la empresa: como las máquinas
obedecen ciegamente a las órdenes recibidas y el modelo de la
empresa está determinado por las computadoras que materializan
los sistemas de información, la gestión y la organización de la
empresa no puede depender de un software y hardware mal
diseñados. Estos son solo algunos de los varios inconvenientes
que puede presentar un sistema informático, por eso, la necesidad
de la auditoría de sistemas.
Hasta hace ya algunos años se han utilizado productos software
llamados genéricamente <paquetes de auditoría>, capaces de generar
programas para auditores escasamente cualificados desde el punto de vista
informático.
Más tarde, dichos productos evolucionaron hacia la obtención de
muestreos estadísticos que permitieran la obtención de consecuencias e
hipótesis de la situación real de una instalación.
22
En la actualidad, los productos Software especiales para la auditoría
informática se orientan principalmente hacia lenguajes que permiten la
interrogación de ficheros y bases de datos de la empresa auditada. Estos
productos son utilizados solamente por los auditores externos, por cuanto los
internos disponen del software nativo propio de la instalación.
El nivel técnico del auditor es a veces insuficiente, dada la gran
complejidad de los sistemas, unidos a los plazos demasiado breves de los que
suelen disponer para realizar su tarea. Además del chequeo de los sistemas, el
auditor somete al auditado a una serie de cuestionarios. Dichos cuestionarios,
llamados Check List, son guardados celosamente por las empresas auditoras,
ya que son activos importantes de su actividad.
Las Check List tienen que ser comprendidas por el auditor al pie de la
letra, ya que si son mal aplicadas o mal recitadas se pueden llegar a obtener
resultados distintos a los esperados por la empresa auditora. La Check List
puede llegar a explicar cómo ocurren los hechos pero no por qué ocurren. El
cuestionario debe estar subordinado a la regla, a la norma, al método.
Sólo una metodología precisa puede desentrañar las causas por las
cuales se realizan actividades teóricamente inadecuadas o se omiten otras
correctas. El auditor sólo puede emitir un juicio global o parcial basado en
23
hechos y situaciones incuestionables, careciendo de poder para modificar la
situación analizada por él mismo.
24
CAPITULO II
MARCO TEÓRICO
2.1 Introducción
Para conocer los conceptos de una auditoría de sistemas y la necesidad
de evaluar el control interno se presenta conceptualmente la auditoría como tal
y su clasificación. Se define la auditoría de sistemas y enumeran sus objetivos,
alcance y consideraciones especiales del entorno de informática. De igual
manera, se ha conceptualizado el control interno enmarcado en el enfoque
contemporáneo del “informe COSO”, y cada una de las áreas a ser revisadas.
Existen varios modelos de evaluación de ambientes informáticos, para
este estudio se consideró necesario incluir un estándar de seguridad
informático: BS 7779. Este estándar de seguridad ha sido emitido por el Instituto
Británico de Estándares para la Práctica de la Administración de Seguridad de
la Información (British Standards Institute Code of Practice for Information
Security Management).
25
2.2 Auditoría
2.2.1 Concepto de auditoría
El término de auditoría se ha empleado incorrectamente con frecuencia,
ya que se ha considerado como una evaluación cuyo único fin es detectar
errores y señalar fallas. A causa de esto, se ha tomado la frase "tiene auditoría"
como sinónimo de que, en dicha entidad, antes de realizarse la auditoría, se
habían detectado fallas con anterioridad.
El concepto de auditoría es mucho más que esto. Hoy en día poseemos
una serie de conceptualizaciones, de las cuales he tenido a bien elegir una, que
abarca todos los aspectos de éste examen.
“Auditar es el proceso de acumular y evaluar evidencia, realizado por una
persona independiente y competente acerca de la información cuantificable de
una entidad económica especifica, con el propósito de determinar e informar
sobre el grado de correspondencia existente entre la información cuantificable y
los criterios establecidos”6.
El contador público, quien es la persona encargada de llevar a cabo éste
proceso, deberá evaluar, no solamente le información presentada por la
6 Alvin A. Arens y James K. Loebbecke, Auditting: An Integrated Approach, 2° ed., Prentice-Hall, Englewood Cliffs, N.J., 1980, p.3.
26
administración en los Estados Financieros, sino también, aquellos
procedimientos dictados por el Control Interno y la eficiencia con que han sido
implementados por la entidad. Esta evaluación es necesaria antes que el
auditor pueda emitir su opinión.
Según las Normas Internacionales de Auditoría, el objetivo de una
auditoría de estados financieros es hacer posible al auditor el expresar una
opinión sobre si los estados financieros están preparados, respecto de todo lo
sustancial, de acuerdo a un marco de referencia para reportes financieros
identificados o a otros criterios.
Como deducción, la auditoría es un examen crítico pero no mecanizado,
que no implica la preexistencia de fallas en la entidad auditada, y persigue
evaluar y mejorar la eficacia de una sección o de un organismo con el fin de
informar a la administración su habilidad para conducir sus negocios hacia el
objetivo para el cual han sido creados.
2.2.2 Clasificación de la auditoría
La auditoría se interesa en la revisión de la adecuacidad y confiabilidad
de los sistemas de información de gerencia y de los procedimientos operativos.
El campo de la auditoría se extiende a todas las funciones de revisión, por lo
27
que puede ser clasificada, de forma general, en dos ramas de acuerdo a
aquellos que realizan la auditoría, así:
a) Auditoría interna.
b) Auditoría independiente o externa.
a) Auditoría interna
La auditoría interna es la realizada con recursos materiales y personas
que pertenecen a la empresa auditada. Los empleados que realizan ésta tarea
son remunerados económicamente.
b) Auditoría externa
La auditoría externa es realizada por personas ajenas a la empresa
auditada; es siempre remunerada. Se supone una mayor objetividad que en la
auditoría interna, debido al mayor distanciamiento entre auditores y auditados.
2.2.3 Importancia de la auditoría en la confiabilidad de la información
contable
Si quisiera resumir en una sola palabra el objetivo primordial de una
auditoría, indistintamente de su orientación, ésta sería: “seguridad”.
28
Los usuarios de la información financiera exigen que los valores
expresados en los Estados Financieros reflejen la posición financiera real de la
empresa, debido a que es sobre esos valores que fundamentarán sus
decisiones; sin embargo, los números por si solos no generan la seguridad que
los usuarios requieren de los mismos.
Son los contadores públicos los encargados de realizar la tarea de
auditoría, y los responsables de elaborar y aplicar normas y técnicas destinadas
a la revisión, tanto de las cifras de los Estados Financieros, como de los
procedimientos de control interno aplicados por la empresa en el procesamiento
de la información financiera.
Los auditores realizan su examen, basándose en dichas normas y
técnicas, para obtener de él una base sobre la cual emitir su opinión de la
razonabilidad de los Estados Financieros. Esta opinión es la que proporciona la
seguridad requerida por los usuarios para la toma de decisiones.
2.3 Auditoría de sistemas
2.3.1 Concepto de la auditoría de sistemas
Como se ha mencionado anteriormente, el enfoque de la auditoría no es
exclusivamente sobre la información financiera, sino que cubre muchas mas
29
áreas dentro de una compañía. Hoy en día, ante el aumento del uso del
computador se ha hecho necesaria la revisión de los sistemas utilizados en el
procesamiento de la información contable.
Al igual que la auditoría financiera hace una revisión del control interno,
es necesario que exista una auditoría dedicada a la revisión de los controles
creados para el procesamiento de datos, es ahí donde nace lo que
denominamos “auditoría de sistemas”.
Auditoría de Sistemas es:
“La verificación de controles en el procesamiento de la información,
desarrollo de sistemas e instalación con el objetivo de evaluar su efectividad y
presentar recomendaciones a la Gerencia”.7
Para efectos de este trabajo definiré auditoría de sistemas como:
El examen o revisión de carácter objetivo (independiente), crítico
(evidencia), sistemático (normas), selectivo (muestras), de las políticas, normas,
prácticas, funciones, procesos, procedimientos e informes relacionados con los
sistemas de información computarizados, con el fin de emitir una opinión
profesional (imparcial) con respecto a:
7 http://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml
30
a) Eficiencia en el uso de los recursos informáticos.
b) Validez de la información.
c) Efectividad de los controles establecidos8.
La auditoría de sistemas debe abordar el análisis y revisión desde que se
originan los datos de entrada, el procesamiento de estos datos hasta que los
usuarios reciben la información de salida.
2.3.2 Objetivos de la Auditoría de Sistemas
1. Buscar una mejor relación costo-beneficio de los sistemas automáticos o
computarizados.
2. Incrementar la satisfacción de los usuarios de los sistemas
computarizados.
3. Asegurar una mayor integridad y confidencialidad de la información
mediante la recomendación de seguridades y controles.
4. Conocer la situación actual del área informática y las actividades y
esfuerzos necesarios para lograr los objetivos propuestos.
5. Asegurar al personal, datos, hardware, software e instalaciones.
8 http://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml
31
6. Apoyar las metas y objetivos de la organización mediante la función
informática.
7. Proporcionar seguridad, utilidad y disponibilidad en el ambiente
informático.
8. Minimizar existencias de riesgos en el uso de Tecnología de información.
9. Ayudar a las decisiones de inversión y evitar gastos innecesarios.
10. Proporcionar capacitación y educación sobre controles en los Sistemas
de Información.
2.3.3 Enfoque de la auditoría de sistemas
El campo de acción de la auditoría de sistemas es:9
a) La evaluación administrativa del área de informática.
b) La evaluación de los sistemas y procedimientos, y de la eficiencia que se
tiene en el uso de la información. La evaluación de la eficiencia y eficacia
con la que se trabaja.
c) La evaluación del proceso de datos, de los sistemas y de los equipos de
cómputo (software, hardware, redes, bases de datos, comunicaciones).
d) Seguridad y confidencialidad de la información.
e) Aspectos legales de los sistemas y de la información.
9 Auditoría en Informática, 2° Edición, José Antonio Echenique García, Mc Graw Hill.
32
Definición
Enfoque PlaneaciónRevisión y Evaluación de
controles y seguridad
Evaluación administrativa
Evaluación de Sistemas Revisión preliminar
Evaluación de Procesamiento de datos Revisión detallada
Seguridad y Confidencialidad Controles y Seguridad
Aspectos legales de los sistemas
Auditoría de SistemasObjetivos
“La verificación de controles en elprocesamiento de la información,desarrollo de sistemas einstalación con el objetivo deevaluar su efectividad y presentarrecomendaciones a la Gerencia”.
Para llevarse a caboeficientemente una auditoríade sistemas, debe serplanificado el programa detrabajo en base a: costo,tiempo, requerimiento depersonal y documentaciónauxiliar necesaria.
1. Buscar una mejor relación costo-beneficio de los sistemas.
2. Incrementar la satisfacción de los usuarios de los sistemas.
3. Asegurar una mayor integridad y confidencialidad de la información.
4. Conocer la situación actual del área informática.
5. Asegura al personal, datos, hardware, software e instalaciones.
6. Apoyar las metas y objetivos de la organización.
7. Proporcionar seguridad, utilidad y disponibilidad en el ambiente informático.8. Minimizar existencia de riesgos en el uso de Tecnología de información. 9. Ayudar a las decisiones de inversión y evitar gastos innecesarios.10. Proporcionar capacitación y educación sobre controles en los Sistemas.
33
2.3.4 Planeación de la auditoría de sistemas
La planeación se caracteriza por el desarrollo de una estrategia global
para obtener la conducta y el alcance esperados de una auditoría. El proceso
de planeación abarca actividades que van desde las disposiciones iniciales
para tener acceso a la información necesaria hasta los procedimientos que se
han de seguir al examinar tal información, e incluye la planificación del número
y capacidad del personal necesario para realizar la auditoría. La naturaleza,
distribución temporal y alcance de los procedimientos de planificación del
auditor varían según el tamaño y complejidad de la entidad bajo auditoría, de su
experiencia en la misma y de su conocimiento del negocio.
Para llevarse a cabo eficientemente una auditoría de sistemas, debe ser
planificado el programa de trabajo en base a: costo, tiempo, requerimiento de
personal y documentación auxiliar necesaria.
La planeación de la auditoría es fundamental, pues habrá que hacerla
considerando varios objetivos:
a) Evaluación administrativa del área de procesos electrónicos.
b) Evaluación de los sistemas y procedimientos.
c) Evaluación de los equipos de cómputo.
34
d) Evaluación del proceso de datos, de los sistemas y de los equipos de
cómputo (software, hardware, redes, bases de datos, comunicaciones).
e) Seguridad y confidencialidad de la información.
f) Aspectos legales de los sistemas y de la información.
2.3.5 Revisión y evaluación de controles y seguridad.
2.3.5.1 Revisión preliminar
Luego de la planeación, el segundo paso a seguir es la revisión
preliminar, la cual tiene por objetivo recopilar la información necesaria, por
medio de entrevistas con el personal y observación de las actividades, que
pueda suministrar al auditor de sistemas un parámetro de medición sobre el
tamaño y características de área dentro del organismo a auditar, sus sistemas,
organización y equipo, y así poder proceder a realizar la auditoría.
2.3.5.2 Revisión detallada
Esta revisión tiene como propósito el obtener entendimiento sobre los
controles usados dentro del área de informática. En base a este conocimiento el
auditor decide sobre las pruebas a seguir realizando, pruebas de
consentimiento, pruebas de control de usuarios o pruebas sustantivas.
35
Las pruebas de consentimiento determinan si los controles internos se
están cumpliendo de conformidad a como fueron diseñados a operar. Las
pruebas de control de usuarios, compensan cualquier debilidad existente en la
operatividad de los controles internos. Las pruebas sustantivas tienen como
objetivo obtener la evidencia necesaria, durante el procesamiento de
información, que permita al auditor emitir juicio sobre cuándo puede ocurrir un
proceso equivocado.
2.3.5.3 Controles
Los controles son un conjunto de disposiciones metódicas, cuyo fin es
vigilar las funciones y actitudes de las empresas, y para ello permite verificar si
todo se realiza conforme a los programas adoptados, órdenes impartidas y
principios admitidos
2.3.5.4 Clasificación de los Controles10
1. Controles de preinstalación.
Hacen referencia a procesos y actividades previas a la adquisición e
instalación de un equipo de computación y obviamente a la automatización de
los sistemas existentes. .
10 http://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml
36
Garantizan que el hardware y software se adquieran siempre y cuando
tengan la seguridad de que los sistemas computarizados proporcionaran
mayores beneficios que cualquier otra alternativa, una adecuada selección de
equipos y sistemas de computación, y la elaboración de un plan de actividades
previo a la instalación
2. Controles de organización y planificación.
Se refiere a la definición clara de funciones, línea de autoridad y
responsabilidad de las diferentes unidades del área de sistemas, en labores
tales como: diseño de un sistema, elaboración de los programas, operación del
sistema y control de calidad.
Se debe evitar que una misma persona tenga el control de toda una
operación.
3. Controles de sistemas en desarrollo y producción
Se debe justificar que los sistemas han sido la mejor opción para la
empresa, bajo una relación costo-beneficio que proporcionen oportuna y
efectiva información, se han desarrollado bajo un proceso planificado y se
encuentren debidamente documentados.
37
4. Controles de procesamiento
Los controles de procesamiento se refieren al ciclo que sigue la
información desde la entrada hasta la salida de la información, lo que conlleva
al establecimiento de una serie de seguridades para asegurar que todos los
datos sean procesados, garantizar la exactitud de los datos procesados, que se
grabe un archivo para uso de la gerencia con fines de auditoría y asegurar que
los resultados sean entregados a los usuarios en forma oportuna y en las
mejores condiciones.
5. Controles de operación
Abarcan todo el ambiente de la operación del equipo central de
computación y dispositivos de almacenamiento, la administración de la
cintoteca y la operación de terminales y equipos de comunicación por parte de
los usuarios de sistemas on line. .
Estos controles tienen como fin:
a) Prevenir o detectar errores accidentales que puedan ocurrir en el centro
de cómputo durante un proceso.
b) Evitar o detectar el manejo de datos con fines fraudulentos por parte de
funcionarios del sistema.
c) Garantizar la integridad de los recursos informáticos.
38
d) Asegurar la utilización adecuada de equipos acorde a planes y objetivos.
6. Controles de uso de microcomputadoras
Es la tarea más difícil pues son equipos más vulnerables, de fácil acceso,
de fácil explotación pero los controles que se implanten ayudarán a garantizar la
integridad y confidencialidad de la información.
2.3.5.5 Seguridad
Durante mucho tiempo se consideró que la seguridad de los sistemas era
responsabilidad de la persona que los elaboraba. Sin embargo, la seguridad es
responsabilidad de la dirección del área de informática en cuanto a la
elaboración de sistemas, del auditor en cuanto a la supervisión de controles y
del usuario respecto de la forma de acceso y uso de la información.
La seguridad de informática tiene como objetivos:
a) Proteger la integridad, exactitud y confidencialidad de la información.
b) Proteger los activos ante desastres provocados por la mano del hombre
y de actos hostiles.
c) Proteger a la organización contra situaciones externas como desastres
naturales y sabotajes.
39
d) En caso de desastre, contar con los planes y políticas de contingencias
para lograr una pronta recuperación.
e) Contar con los seguros necesarios que cubran las pérdidas económicas
en caso de desastre.
La computadora es un instrumento que estructura gran cantidad de
información, la cual puede ser confidencial para individuos, empresas o
instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal
uso de ésta. También pueden ocurrir robos, fraudes o sabotajes que provoquen
la destrucción total o parcial de la actividad computacional. Esta información
puede ser de suma importancia, y el no tenerla en el momento preciso puede
provocar retrasos sumamente costosos. .
La seguridad en la informática abarca los conceptos de seguridad física y
seguridad lógica:
La seguridad física, se refiere a la protección del Hardware y de los
soportes de datos, así como la de los edificios e instalaciones que los albergan.
Contempla las situaciones de incendios, sabotajes, robos, catástrofes naturales,
etc.
40
La seguridad lógica, se refiere a la seguridad de uso del software, a la
protección de los datos, procesos y programas, y acceso autorizado de los
usuarios.
2.3.6 Norma Internacional de Auditoría 401
El Instituto Americano de Contadores Públicos creó las Normas para la
Revisión de los Ambientes de Informática. En Diciembre de 1974 se emitió la
Declaración sobre Normas de Auditoría No.3; ésta fue sustituida por la Norma
No.48 en Julio de 1984.
La Norma Internacional de Auditoría 401 proporciona al auditor
lineamientos sobre los procedimientos a seguir cuando se conduce una
auditoría bajo una ambiente SIC (Sistema de Información Computarizada). Se
denomina una ambiente SIC aquel que involucra una computadora, de
cualquier tipo o tamaño, en el procesamiento de información contable en una
entidad.
El realizar una auditoría bajo un ambiente SIC no cambia el objetivo y
alcance de ésta. Sin embargo, el uso del computador en la entidad auditada
varía los procedimientos de procesamientos, almacenamiento y comunicación
de la información financiera. Por consiguiente, un ambiente SIC puede afectar:
41
a) Los procedimientos seguidos por un auditor para obtener una
comprensión suficiente de los sistemas de contabilidad y control interno.
b) La consideración del riesgo inherente y de control a través de la cual el
auditor llega a la evaluación del riesgo.
c) El diseño y desarrollo de pruebas de control y procedimientos sustantivos
apropiados para cumplir con el objetivo de la auditoría.
Esta normativa exige al auditor el suficiente conocimiento del sistema
computarizado y de los procedimientos de control interno utilizados por la
empresa, de manera que pueda planificar, dirigir, supervisar y revisar el trabajo
de auditoría.
De ser necesario el auditor puede hacer uso del trabajo de un experto
para:
a) Obtener una suficiente comprensión de los sistemas de contabilidad y
de control interno afectados por el ambiente SIC.
b) Determinar el efecto del ambiente SIC sobre la evaluación del riesgo
global y del riesgo al nivel del saldo de cuenta.
42
c) Diseñar y desempeñar pruebas de control y procedimientos sustantivos
apropiados.
Para desarrollar un enfoque de auditoría efectiva, el auditor debe obtener
una comprensión de la complejidad e importancia de las actividades del SIC,
así como la disponibilidad de datos para uso en la auditoría. Esta comprensión
incluye asuntos como:
a) La importancia relativa de las aseveraciones de los estados financieros
afectados por el ambiente SIC.
b) La complejidad del procesamiento por computadora de cada operación
importante de contabilidad. Se puede considerar como compleja una
aplicación cuando:
a. El volumen de transacciones es tal que la identificación y
corrección de errores resulta difícil.
b. Existen transacciones, que son creadas por el computador
automáticamente, y son de importancia relativa.
c. Los registros pueden ser intercambiados entre diferentes
entidades, sin que exista una supervisión manual.
43
c) La estructura organizacional de la entidad, en cuanto a la centralización o
diversificación de funciones del personal en el procesamiento de la
información.
d) La disponibilidad de datos. Los documentos fuentes, ciertos archivos de
computadora, y otro material de evidencia que pueden ser requeridos por
el auditor, pueden existir por un corto período de tiempo o solo en forma
legible por computadora.
La naturaleza de los riesgos y las características del control interno en
ambientes SIC incluyen los siguientes:
a) Falta de rastro de las transacciones.
b) Procesamiento uniforme de transacciones.
c) Falta de segregación de funciones.
d) Potencial para errores e irregularidades.
e) La disminución del involucramiento humano en el manejo de las
transacciones.
f) Iniciación o ejecución de transacciones.
g) Dependencia de otros controles del procesamiento por computadora.
h) Potencial para mayor supervisión de la administración.
i) Potencial para el uso de técnicas de auditoría con ayuda de
computadora.
44
El auditor debería hacer una evaluación de los riesgos inherentes, de
control y de detección para las aseveraciones importantes de los estados
financieros, y poder diseñar los procedimientos de auditoría para reducir el
riesgo de auditoría a un nivel aceptablemente bajo.
El riesgo inherente representa la susceptibilidad de una afirmación a una
declaración incorrecta material, en el supuesto de que no existen
procedimientos y políticas de estructura de control interno relacionados. El
riesgo de control reside en que una declaración incorrecta importante que
pudiera ocurrir, no se evitará ni se detectará oportunamente a través de los
procedimientos y políticas de estructura de control interno de la entidad. El
riesgo de detección es aquel en el que el auditor no detectará una declaración
incorrecta importante que existe en una afirmación.
2.4 Control Interno
2.4.1 Definición de control interno. Enfoque contemporáneo del Control
Interno. Informe COSO.
Para elaborar una auditoría de sistemas se debe obtener,
primordialmente, un completo entendimiento de control interno, especialmente
de aquellos procedimientos destinados al control del procesamiento de datos.
45
Con base al enfoque contemporáneo del control interno, “informe
COSO”11, éste se define como:
“Un proceso, ejecutado por la junta directiva o consejo de administración
de una entidad, por su grupo directivo (gerencia) y por el resto del personal,
diseñado específicamente para proporcionarles seguridad razonable de
conseguir en la empresa las tres categorías de objetivos siguientes:
a) Efectividad y eficiencia de las operaciones.
b) Suficiencia y confiabilidad de la información financiera.
c) Cumplimiento de las leyes y regulaciones aplicables.12
2.4.2 Componentes del Control Interno13
El control interno consta de cinco componentes:
1. Ambiente de control.
Se refiere al establecimiento de un entorno que estimule e influencie las
actividades del personal con respecto al control de sus actividades.
11 Comité of sponsoring organizations of the treadway commission (COSO) quien emitió el documento “International of control integrated”. 12 Control Interno y Fraudes con base en los ciclos transaccionales, 1° Edición, Rodrigo Estupiñán Gaitán, Ecoe Ediciones. 13 Comité of sponsoring organizations of the treadway commission (COSO) quien emitió el documento “International of control integrated”.
46
Es en esencia el principal elemento sobre el que se sustentan o actúan
los otros cuatro componentes e indispensables, a su vez, para la realización de
los propios.
2. Evaluación de riesgos.
El segundo componente del control, involucra la identificación y análisis
de riesgos relevantes para el logro de los objetivos y la base para determinar la
forma en que tales riesgos deben ser manejados. Asimismo, se refiere a los
mecanismos necesarios para identificar y manejar riesgos específicos
asociados con los cambios, tanto los que influyen en el entorno de la
organización como en el interior de la misma.
3. Actividades de control.
Las actividades de control son aquellas que realiza la gerencia y demás
personal de la organización para cumplir diariamente sus actividades
asignadas. Estas actividades están relacionadas con las políticas, sistemas y
procedimientos principalmente. Algunos ejemplos de estas actividades son la
aprobación, autorización, verificación, conciliación, inspección, y revisión de
indicadores de rendimiento.
47
4. Información y comunicación.
La información pertinente debe ser identificada, capturada, procesada y
comunicada al personal en forma y dentro del tiempo indicado, de manera tal
que le permita cumplir con sus responsabilidades. Los sistemas producen
reportes conteniendo información operacional, financiera y de cumplimiento que
hace posible conducir y controlar la organización.
Todo el personal debe recibir un claro mensaje de la Alta Gerencia de
sus responsabilidades sobre el control, así como la forma en que las
actividades individuales se relacionan con el trabajo de otros. Asimismo, debe
contarse con medios para comunicar información relevante hacia los mandos
superiores, y a entidades externas.
5. Supervisión y seguimiento.
La gerencia debe llevar a cabo la revisión y evaluación sistemática de los
componentes y elementos que forman parte de los sistemas. Lo anterior no
significa que tengan que revisarse todos los componentes y elementos, como
tampoco que deba hacerse al mismo tiempo.
48
Ello dependerá de las condiciones específicas de cada organización, de
los distintos niveles de riesgos existentes y del grado de efectividad mostrado
por los distintos componentes y elementos de control.
La evaluación debe conducir a la identificación de los controles débiles,
insuficientes o necesarios, para promover con el apoyo decidido de la gerencia,
su reforzamiento e implantación. Esta evaluación puede llevarse a cabo de tres
formas: durante la realización de las actividades de supervisión diaria en
distintos niveles de organización; de manera independiente por personal que no
es responsable directo de la ejecución de las actividades (incluidas las de
control), y mediante la combinación de las dos formas anteriores.
El auditor utiliza los conocimientos derivados del entendimiento de la
estructura de control interno y del nivel evaluado del riesgo de control para
determinar la naturaleza, oportunidad y alcance de las pruebas substantivas
para afirmaciones de los estados financieros.14
El SAS 55 establece que para lograr una comprensión de la estructura de
control interno de una entidad y emitir un juicio sobre la misma, el auditor debe
de considerar la información obtenida de diferentes fuentes tales como
auditorías anteriores y la comprensión de la industria en donde opera la entidad.
14 Declaración sobre Normas de Auditoría No. 55 “ Evaluación de la estructura del control interno en una auditoría de estados financieros”
49
El auditor considera asimismo, sus evaluaciones de riesgo inherente, sus
juicios sobre la importancia relativa y la complejidad y sofisticación de las
operaciones y los sistemas de la entidad, incluyendo si el método de controlar el
procesamiento de datos, se basa en procedimientos manuales independientes
de la computadora o depende en gran medida de los controles
computarizados.
Tras obtener la comprensión de la estructura de control interno, el auditor
podrá evaluar el riesgo de control al nivel máximo para algunas o todas las
afirmaciones, porque cree que los procedimientos y políticas, probablemente no
se refieren a una afirmación, no sean efectivos, o porque resultaría ineficiente
evaluar su efectividad.
El auditor emplea el nivel evaluado del riesgo de control (junto con el
nivel evaluado del riesgo inherente) para determinar el nivel aceptable de riesgo
de detección, para las afirmaciones de los estados financieros. El auditor usa el
nivel aceptable del riesgo de detección, para determinar la naturaleza,
oportunidad y alcance de los procedimientos de auditoría, que se emplearán
para detectar las declaraciones incorrectas importantes en las afirmaciones de
los estados financieros.
50
2.5 Estándares de seguridad
A continuación se presentan los lineamientos del estándar de seguridad
BS 7779.
El BS 7779 especifica aspectos de un programa efectivo de protección
de información, adaptable a las necesidades de los negocios e industrias. Este
estándar de seguridad busca asegurar la integridad, disponibilidad y
confidencialidad de la información de las empresas.
Se tomarán los elementos de una auditoría de primer nivel, los cuales
ayudarán al auditor a comprender el grado de cumplimiento que se tiene dentro
de una organización.
2.5.1. Políticas
2.5.1.1 Política de protección de documentación y su diseminación
Objetivo: Alcanzar un soporte de alto nivel y control de la protección de la
información.
Método: La Alta Administración debería participar en la creación y
operación de una clara política de protección de la información, la cual incluya
la organización completa.
51
2.5.2. Protección de la información institucional
2.5.2.1 Infraestructura organizacional
Objetivo: Administración efectiva de la protección de la información, a
través de la organización.
Método: Debe crearse una estructura organizacional, con la misión y
poder requerido para definir e implementar controles efectivos para proteger la
información.
Elementos a evaluar:
a) Comité de Informática
Los controles de seguridad deben ser proporcionados por un comité
informática dependiente de la gerencia.
b) Coordinación de esfuerzos
Se deben coordinar los esfuerzos convenientemente de manera que se
puedan eliminar inconsistencia y mal usar los esfuerzos.
c) Responsabilidades
La responsabilidad sobre los activos de un valor sustancial debe ser
asignada individualmente.
52
d) Autorización de instalaciones
Las instalaciones donde se encuentran la tecnología de información
deben ser autorizadas y aprobadas para su uso.
e) Asistencia calificada
Una protección eficaz puede requerir de la intervención de la asistencia
de un experto.
f) Coordinación al interior de la organización
La cooperación entre los grupos que trabajan en el área de seguridad de
la información debe aprovecharse para atenuar amenazas comunes.
g) Revisión independiente
Se debe realizar una revisión de la seguridad de la información de parte
de una persona independiente a la organización.
2.5.2.2 Controles de acceso de terceros
Objetivo: Controlar los efectos potenciales por accesos de terceros a la
tecnología de la información.
Método: Deben utilizarse controles apropiados aplicables a los accesos
de terceros.
53
Elementos a evaluar:
a) Identificación de riesgos asociados a terceros.
Se debe crear una evaluación de los riesgos asociados a terceros para
poder controlarlos apropiadamente y así, reducir el riesgo.
b) Medidas contractuales.
Deben realizarse contratos que deben incluir controles y especificaciones
legales de responsabilidad de los accesos de terceros.
2.5.3 Control y sensitividad de activos
2.5.3.1 Responsabilidad
Objetivo: Apropiado control de los activos de información.
Método: Debería especificar la pertenencia para todos los activos y los
dueños de dichos activos deben ser responsables de su protección.
Elementos a evaluar:
a) Identificación y rastreo del activo
Debe existir un control sobre los activos informáticos para su respectiva
identificación y seguimiento.
54
2.5.3.2 Clasificación de la información
Objetivo: Asegurar que la protección de los activos de información es
adecuada.
Método: Información sensitiva debe asociarse con activos de
información; ésta información debería utilizarse para informar decisiones
relativas a prioridades de protección.
Elementos a evaluar:
a) Lineamientos de sensitividad
Se deben poseer lineamientos para la protección de la información
basados en su sensitividad.
b) Etiqueta de sensitividad
La información debe ser clasificada de acuerdo a su sensitividad.
2.5.4 Personal
2.5.4.1 Protección en especificaciones y decisiones del personal
Objetivo: Controlar los riesgos asociados a personas.
55
Método: Los requerimientos del personal deben incluir adecuadas
medidas de protección, relativas a especificaciones y verificaciones.
Elementos a evaluar:
a) Protección requerida en especificaciones de personal
Las especificaciones al personal deben incluir requisitos de protección a
la información.
b) Revisión previa a contrataciones de personal
A los empleados potenciales que tendrán acceso a información sensible
se les puede pedir una fianza como requisito para su empleo.
c) Acuerdos legales
Se deben usar los acuerdos legales necesarios a las personas que
trabajen en las áreas de acceso a información sensible.
2.5.4.2 Entrenamiento sobre seguridad
Objetivo: Asegurar que el personal con acceso, comprenda la naturaleza
de las amenazas y riesgos asociados a la información y un adecuado
entendimiento de los controles.
56
Método: Políticas, procedimientos y reglas de trabajo, son fundamentales
como parte del entrenamiento sobre seguridad para el personal con acceso.
Elemento a evaluar:
a) Capacitación y educación sobre seguridad
Se debe proporcionar capacitación y educación apropiada al personal
con acceso a la información.
2.5.4.3 Reporte de incidentes
Objetivo: Minimizar posibles daños asociados a incidentes y adaptar la
seguridad de acuerdo a las situaciones presentadas.
Método: Debe utilizarse un sistema de reporte de incidencias, los eventos
reportados deben monitorearse periódicamente.
Elementos a evaluar:
a) Reportando incidencias
Los incidentes deben ser reportados tan pronto como sucedan.
57
b) Reporte de vulnerabilidad
Las vulnerabilidades, potenciales y reales, deben ser reportadas.
c) Reporte de errores de software
Se debe reportar cualquier error de software.
d) Proceso de amonestación para empleados
Se debe poseer un proceso eficaz de penalidades a empleados en la
brecha de seguridad.
2.5.5 Protección física
2.5.5.1 Protección física de instalaciones
Objetivo: Prevenir interacciones inapropiadas entre personal autorizado,
no autorizado y los sistemas.
Método: La información sensitiva y los sistemas que la afectan, deben
mantenerse en instalaciones protegidas.
Elementos a evaluar:
a) Perímetros
58
Se deben utilizar controles para prevenir el paso desautorizado por los
perímetros establecidos para la seguridad.
b) Controles de acceso
Se debe delimitar el lugar físico donde se encuentra la información a
través de parámetros claros.
c) Protección de centros de cómputo
Los centros de cómputo o habitaciones relacionadas deber ser
debidamente protegidos.
d) Separación de áreas con acceso público de las áreas internas
Se deben considerar restricciones de acceso a las área internas de las
áreas de acceso público.
e) Mantener escritorios limpios
Los escritorios deberán mantenerse limpios para proveer protección a al
información.
f) Reubicación autorizada de activos
El retiro o reubicación de los activos relacionados con la información se
debe realizar solamente bajo la debida autorización.
59
2.5.5.2 Seguridad de Hardware
Objetivo: Asegurar la continuidad del negocio y reducir la exposición a
pérdidas o daños.
Método: Proteger físicamente al hardware de la organización, tanto de
amenazas físicas, como ambientales.
Elementos a evaluar:
a) Protección de la ubicación del hardware
El hardware se debe proteger para prevenir posible destrucción, acceso
desautorizado o denegación de accesos.
b) Energía eléctrica
Se debe intervenir para reducir las fallas de energía eléctrica.
c) Protección de cableado
Los cables de conexión se deben proteger para evitar incidentes.
d) Mantenimiento de hardware
Se debe realizar un mantenimiento adecuado del hardware.
60
e) Protección del hardware mantenido en locaciones externas
Deben existir políticas de protección para el hardware que se encuentra
en locaciones externas.
f) Terminación del ciclo de vida del hardware
El contenido del hardware se debe remover o destruir cuando el ciclo de
vida de éste se termine.
2.5.6. Administración de sistemas e infraestructura
2.5.6.1 Roles y responsabilidades
Objetivo: Adecuada administración manejo de destrezas.
Método: Para todos los sistemas e infraestructuras existentes, deben
definirse los roles y responsabilidades, administrativa y operacionalmente.
Elementos a evaluar:
a) Documentación de procedimientos
Los procedimientos para todas las operaciones deben estar debidamente
documentados.
61
b) Manejo de incidentes
Los procedimientos ante los incidentes deben permanecer al alcance de
los usuarios de la información.
c) Separación de funciones
Para minimizar el abuso potencial debe existir una adecuada
segregación de funciones.
d) Separación de ambientes de desarrollo y producción
Deben separarse los sistemas de desarrollo de los sistemas de
producción.
e) Administración de facilidades externas
Deben identificarse todas las implicaciones de seguridad e incluir
controles apropiados al utilizar un servicio externo de administración de
las instalaciones.
2.5.6.2 Planificación y aceptación de sistemas
Objetivo: Minimizar los riesgos por fallas de sistemas.
Elementos a evaluar:
62
a) Planeación de capacidad
Se deben cumplir los requisitos de capacidad de los sistemas con el fin
de minimizar fallas por capacidad inadecuada.
b) Aceptación del sistema
Se deben establecer criterios para la aceptación de nuevos sistemas, así
como pruebas de capacidad antes de su aceptación.
c) Planeación de posibles fallas
Se debe contar con procedimientos ante posibles fallas, los cuales
deberán ser debidamente coordinados y supervisados.
d) Control sobre cambios operacionales
Los cambios en la operatividad deben ser controlados adecuadamente.
2.5.6.3 Protección de software malicioso
Objetivo: Resguardar la integridad del software y data.
Elemento a evaluar:
a) Control de virus
63
Se deben implementar medidas preventivas para la detección de virus,
así como los procedimientos a ser usados.
2.5.6.4 Administración de servicios IT
Objetivo: Mantener la integridad y disponibilidad de los servicios de
tecnología de la información, IT por sus siglas en inglés.
2.5.7. Sistemas de control de acceso
2.5.7.1 Requerimientos de negocio para accesos a los sistemas
Objetivo: Controlar el acceso a la información del negocio.
Los accesos a los servicios del computador y datos, deben controlarse,
de acuerdo a las necesidades del negocio.
Elemento a evaluar:
a) Política documentada de control de acceso
Deben existir políticas documentadas sobre los requisitos de control
de acceso a los sistemas de información.
64
2.5.7.2 Administración de acceso de usuarios
Objetivo: Prevenir acceso no autorizado al computador.
Deben existir procedimientos formales para controlar la distribución de
derechos de acceso a los servicios de tecnología de la información (IT).
Elementos a evaluar:
a) Registro de usuarios.
Debe existir un procedimiento formal para el registro de los accesos de
los usuarios a los servicios de tecnología de información.
b) Administración de privilegios.
Los usuarios con accesos privilegiados deben ser restringidos y
controlas adecuadamente.
c) Administración de contraseñas de usuario. (“passwords”)
La asignación de contraseñas a los usuarios debe ser controlada para
mantener la seguridad.
d) Revisión de los derechos de acceso de usuarios.
65
Los derechos de acceso de usuarios deben ser revisados regularmente
en intervalos de tiempo.
2.5.7.3 Responsabilidades de usuario
Objetivo: Prevenir accesos de usuarios no autorizados.
La cooperación de los usuarios autorizados es esencial para la
efectividad de la seguridad.
Elementos a evaluar:
a) Uso de palabras clave (“passwords”)
Los usuarios deben seguir inteligentes prácticas de seguridad en la
selección y uso de palabras claves.
b) Equipo sin la presencia del usuario
Todo equipo sin la presencia del usuario debe se protegido
apropiadamente.
2.5.7.4 Control de acceso a redes
66
Objetivo: Proteger los servicios de redes.
Las conexiones a servicios de redes deben controlarse.
Elementos a evaluar:
a) Servicios limitados
Los usuarios deben acceder solamente a los servicios que han sido
autorizados a utilizar.
b) Reforzamiento de ruta o “path”
Es necesario controlar la ruta del terminal del usuario al servicio
informático.
c) Autenticación de usuarios
Las conexiones de los usuarios remotos vía redes públicas deber
autorizados.
d) Autenticación de nodos
Las conexiones con los sistemas informáticos remotos deben ser
autenticados.
67
e) Protección de puertos de diagnóstico remotos
El acceso a los puertos de diagnóstico debe ser controlado por
seguridad.
f) Segregación en redes
Las redes grandes pueden ser divididas en dominios separados.
g) Control de conexiones a red
La capacidad de conexiones de usuarios necesita ser controlada para
apoyar los requisitos de la política de acceso de ciertos usos del negocio.
h) Control de ruteo de red
Las redes compartidas deben requerir de controles en el ruteo de red.
i) Seguridad de servicios de red
Se deben establecer los riegos asociados al uso de los servicio de red.
2.5.7.5 Control de acceso al computador
Objetivo: Prevenir accesos no autorizados al computador.
El establecimiento de accesos al computador debe ser controlado
68
Elementos a evaluar:
a) Identificación automática de terminales o estaciones de trabajo
Se debe considerar la identificación automática de terminales o
estaciones de trabajo para autenticar conexiones a localizaciones
específicas.
b) Procedimientos “logon” de terminales
Los accesos a los servicios deben ser mediante un proceso seguro de
“logon”.
c) Identificadores de usuarios
Las actividades de la computadora deben ser rastreadas identificando a
cada usuario.
d) Sistema de administración de contraseñas
Se debe utilizar un sistema eficaz de contraseñas para identificar a los
usuarios.
e) Alarmas de coacción para salvaguardar usuarios
69
Se debe considerar el uso de alarmas de coacción para salvaguardar los
usuarios.
f) In activación de terminales
Se debe determinar la hora de terminación de actividades de las
terminales inactivas en localizaciones de alto riesgo, o los sistemas de
alto riesgo, para prevenir accesos desautorizados.
g) Limitación de tiempo de conexión
Deben poseer restricciones sobre el tiempo de conexión para brindar
seguridad adicional para los usos de riesgo elevado.
2.5.7.6 Control de acceso de aplicaciones
Objetivo: Prevenir accesos no autorizados a información mantenida en
los sistemas computarizados.
Deben utilizarse controles de acceso lógico, con el fin de controlar los
accesos a los sistemas aplicativos y a los datos.
Elementos a evaluar:
70
a) Restricción de acceso a información
Se deben establecer restricciones para el acceso a los datos y servicios
de información en concordancia con las políticas del negocio.
b) Utilización de utilitarios de sistemas
El acceso a las utilidades del sistema debe ser restringido y controlado.
c) Control de acceso a librería de programas fuentes
Se deben restringir y controlar los accesos a programación de bases de
datos.
d) Aislamiento de sistemas sensitivos
Los sistemas sensitivos deben ser aislados para su funcionamiento.
2.5.7.7 Monitoreando accesos al sistema y su uso
Objetivo: Detectar actividades no autorizadas.
Los sistemas deben ser monitoreados para asegurar el cumplimiento de
las políticas y estándares de acceso.
Elementos a evaluar:
71
a) Log de eventos
Por seguridad, se debe mantener un registro de todos los
acontecimientos dentro del sistema.
b) Monitoreando el uso del sistema
Se deben establecer procedimientos para la supervisión del uso de los
sistemas.
c) Sincronización del reloj del computador
Los relojes de los computadores deben ser sincronizados para obtener
una grabación exacta.
2.5.8 Desarrollo y mantenimiento de sistemas
2.5.8.1 Requerimientos de seguridad de sistemas
Objetivo: Asegurar el establecimiento de seguridades en los sistemas de
tecnología de la información.
Previo al desarrollo de sistemas de IT, deben identificarse y acordarse
los requerimientos de seguridad.
Elemento a evaluar:
72
a) Análisis y especificación de requerimientos de seguridad
Para cada proyecto en desarrollo se debe realizar un análisis de los
requerimientos de seguridad.
2.5.8.2 Seguridad en sistemas aplicativos
Objetivo: Prevenir la pérdida, modificación o uso inapropiado de datos de
usuarios en sistemas aplicativos.
En los sistemas de aplicación deben diseñarse controles de seguridad
apropiados, incluyendo pistas de auditoría.
Elementos a evaluar:
a) Validación de datos de entrada
Se deben validar las entradas de datos a los sistemas.
b) Validación de procesamiento interno
Se deben validar los datos generados internamente en los sistemas.
c) Encriptación de datos
Se bebe resguardar los datos altamente sensibles encriptándolos.
73
d) Autenticación de mensajes
Se debe considerar el uso de un mensaje de autenticación al transmitir
datos sensibles.
2.5.8.3 Seguridad de archivos de sistemas aplicativos
Objetivo: Asegurar que los proyectos de IT y actividades de soporte, son
llevadas a cabo de forma segura.
Los accesos a los archivos del sistema deben controlarse.
Elementos a evaluar:
a) Control de software operativo
Se debe ejercer un control determinante sobre la puesta en práctica del
software en sistemas operacionales.
b) Protección de sistemas para prueba de datos
Se deben controlar y proteger los datos de prueba.
2.5.8.4 Seguridad en ambientes de desarrollo y soporte
74
Objetivo: Mantener la seguridad del software de los sistemas aplicativos
datos.
Los proyectos y ambientes de soporte deben ser estrictamente
controlados.
Elementos a evaluar:
a) Procedimientos de control de cambios
Se deben poseer procedimientos formales de control de cambios.
b) Revisiones técnicas de cambios a los sistemas operativos
El impacto de los cambios del sistema operativo debe ser revisado por
seguridad.
c) Restricciones en cambios a paquetes de software
Las modificaciones a los paquetes de software deben ser restringidos.
Cualquier cambio esencialmente debe ser controlado terminantemente.
2.5.9 Plan de continuidad del negocio
2.5.9.1 Aspectos de un plan de continuidad del negocio
75
Objetivo: Disponer de planes para contrarrestar interrupciones en las
actividades del negocio.
Planes de contingencia deben estar disponibles para proteger los
procesos críticos del negocio de fallas mayores y desastres.
Elementos a evaluar:
a) Proceso del plan de contingencia
Debe existir un proceso de mantenimiento y un plan de contingencia
dentro de la organización.
b) Estructura del plan de contingencias
Se debe mantener un estructura consistente del plan de contingencias.
c) Prueba del plan de contingencias
Se deben probar todos los planes de contingencias.
d) Actualización del plan de contingencias
Los planes de contingencias del negocio deben ser adaptados
regularmente.
2.5.10 Cumplimiento
76
2.5.10.1 Cumplimiento con requerimientos legales
Objetivo: Evitar violaciones de obligaciones legales, civiles o criminales y
requerimientos de seguridad.
El diseño, operación y uso de sistemas computarizados, debería estar de
acuerdo a requerimientos legales, contractuales y de seguridad.
Elementos a evaluar:
a) Control de copia de software propietarios
Se debe prestar atención a las restricciones legales sobre el uso de
software registrados.
b) Salvaguardando los registros de la organización
Los registros importantes de una organización deben ser protegidos
contra la pérdida, destrucción y falsificación.
c) Protección de datos
Los datos deben se protegidos aplicando principios y leyes de seguridad.
d) Prevención de uso inapropiado de facilidades de IT
77
Las instalaciones deben ser utilizadas únicamente para los autorizados
por el negocio.
2.5.10.2 Revisiones de seguridad de sistemas de IT
Objetivo: Asegurar que los sistemas cumplen con las políticas y
estándares de seguridad de la organización.
La seguridad de los sistemas de IT debe revisarse regularmente.
Elementos a evaluar:
a) Cumplimiento con política de seguridad
Se debe considerar una revisión regular de todas las áreas dentro de la
organización de conformidad con políticas y estándares de seguridad.
b) Revisiones técnicas de cumplimiento
Se deben revisar las instalaciones regularmente para conocer si se
encuentran de acuerdo a estándares de seguridad.
78
2.6 Cuadro Sinóptico
El siguiente cuadro muestra en síntesis los estándares de seguridad a
revisar.
POLITICA OBJETIVO ELEMENTOS A EVALUAR
Protección física Perímetros Controles de acceso Protección de centros de cómputo Separación de áreas con acceso público de las áreas internas Mantener escritorios limpios
Protección física de instalaciones Prevenir interacciones inapropiadas entre personal autorizado, no autorizado y los sistemas.
Reubicación autorizada de activos Protección de la ubicación del hardware Energía eléctrica Protección de cableado Mantenimiento de hardware Protección del hardware mantenido en locaciones externas
Seguridad de Hardware Asegurar la continuidad del negocio y reducir la exposición a pérdidas o daños.
Terminación del ciclo de vida del hardware Administración de sistemas e infraestructura
Documentación de procedimientos Manejo de incidentes Separación de funciones Separación de ambientes de desarrollo y producción
Roles y responsabilidades Adecuada administración manejo de destrezas.
Administración de facilidades externas Planeación de capacidad Aceptación del sistema Planeación de posibles fallas
Planificación y aceptación de sistemas
Minimizar los riesgos por fallas de sistemas.
Control sobre cambios operacionales
Protección de software malicioso Resguardar la integridad del software y data. Control de virus
Administración de servicios IT Objetivo: Mantener la integridad y disponibilidad de los servicios de tecnología de la información, IT por sus siglas en inglés.
Sistemas de control de acceso Requerimientos de negocio para accesos a los sistemas
Controlar el acceso a la información del negocio. Política documentada de control de acceso
Registro de usuarios. Administración de privilegios. Administración de contraseñas de usuario. (“passwords”)
Administración de acceso de usuarios
Prevenir acceso no autorizado al computador.
Revisión de los derechos de acceso de usuarios . Uso de palabras clave (“passwords”) Responsabilidades de usuario Prevenir accesos de usuarios no
autorizados. Equipo sin la presencia del usuario Servicios limitados Reforzamiento de ruta o “path” Autenticación de usuarios Autenticación de nodos Protección de puertos de diagnóstico remotos Segregación en redes Control de conexiones a red Control de ruteo de red
Control de acceso a redes Proteger los servicios de redes.
Seguridad de servicios de red Identificación automática de terminales o estaciones de trabajo Procedimientos “logon” de terminales Identificadores de usuarios Sistema de administración de contraseñas Alarmas de coacción para salvaguardar usuarios Inactivación de terminales
Control de acceso al computador Prevenir accesos no autorizados al computador.
Limitación de tiempo de conexión Restricción de acceso a información Utilización de utilitarios de sistemas Control de acceso a librería de programas fuentes
Control de acceso de aplicaciones Prevenir accesos no autorizados a información mantenida en los sistemas computarizados.
Aislamiento de sistemas sensitivos Log de eventos Monitoreando el uso del sistema Monitoreando accesos al sistema y
su uso Detectar actividades no autorizadas. Sincronización del reloj del computador
CAPITULO III
METODOLOGÍA DE LA INVESTIGACIÓN
3.1 Objetivos del Trabajo
3.1.1 Objetivo General
Establecer los conceptos básicos de la auditoría de sistemas que el
auditor debe tener en cuenta al planificar una revisión de auditoría, bajo un
ambiente de sistemas computarizados.
3.1.2 Objetivos Específicos
Exponer el campo de acción de una auditoría, los diferentes tipos de
auditoría y como éstas se relacionan entre sí.
Definir los elementos fundamentales de la auditoría de sistemas y su
relación con los procedimientos de auditoría financiera.
Explicar como una adecuada aplicación de los conceptos de auditoría de
sistemas puede proporcionar un parámetro de medición, para determinar
si la información contable es confiable.
82
3.2 Objetivos de Investigación
3.2.1 Objetivo General
Contribuir con los auditores proporcionando una guía de los conceptos
fundamentales de la auditoría de sistemas, los cuales deberán ser
considerados en la planeación de una auditoría a realizarse en un ambiente de
sistemas computarizados, para concluir sobre la racionabilidad de la
información contable.
3.2.2 Objetivos Específicos
Establecer el nivel de conocimiento técnico que los auditores poseen
sobre la auditoría de sistemas, y cómo es utilizado al momento de
efectuar una auditoría bajo un ambiente de sistemas computarizados.
Proponer a los auditores los enfoques de auditoría de sistemas, que
deberán tomarse en cuenta en la ejecución de una auditoría, para
obtener un panorama mas real de la información contable.
Potencializar los beneficios a las medianas empresas usuarias de
sistemas computarizados, al realizar una auditoría a dichos sistemas ya
sus procedimientos de control del procesamiento de datos.
83
3.3 Hipótesis de la investigación
3.3.1 Hipótesis General
HG.: A mayor conocimiento de los conceptos de auditoría de sistemas,
será mejor la consideración de éstos, en la planificación de una auditoría bajo
un ambiente de sistemas de información computarizado.
3.3.2 Hipótesis Específicas
H1.: En la medida que los auditores posean conocimiento técnico de la
auditoría de sistemas, serán mejor empleadas las estrategias y la combinación
de pruebas a utilizar en la ejecución de una auditoría.
H2.: Una adecuada aplicación de estándares de seguridad utilizados en
la auditoría de sistemas proporciona un panorama mas real de la calidad de la
información contable.
H3.: En la medida que las medianas empresas implementen sistemas
computarizados para el procesamiento de datos, será necesario incluir en la
planificación de auditoría, la revisión de éstos y los procedimientos de control
asociados, tomando de referencia los conceptos de una auditoría de sistemas.
84
3.4. Metodología de la investigación.
3.4.1 Población a investigar.
La población que se investigó se divide en dos: 1) Profesionales de la
Contaduría Pública inscritos en el Consejo de Vigilancia de la Profesión de
Contaduría Pública y Auditoría al 31 de diciembre de 2004 (Ver Anexo I); 2)
Medianas Empresas según la Dirección General Estadística y Censos,
Ministerio de Economía 1998 (Ver anexo 2); ambas de la zona metropolitana de
San Salvador, considerando que es donde se encuentra la mayor concentración
de población.
3.4.2 La muestra.
Durante la investigación del universo de profesionales de Contaduría
Pública, no se pudieron encontrar registros actualizados que amparen la
ubicación geográfica de los sujetos a investigar, debido a limitaciones técnicas
del ente encargado de dichos registros, por lo que se estimó a bien tomar como
población en la determinación de la muestra, a las personas naturales y
jurídicas autorizadas a ejercer auditoría en El Salvador al 31 de diciembre de
2004, la cuales asciende a 3,189; y están distribuidos así:
2,985 personas naturales
204 personas jurídicas.
85
Por ser una población menor a 10,000 se utilizó la siguiente fórmula:
QPZEN
QPNZn**)1(
***22
2
Donde:
n = Tamaño de la muestra.
Z = Nivel de confianza igual al 95%, equivalente a 1.96 bajo el área de la
curva normal.
P = Probabilidad de ocurrencia igual a 0.5
Q = Probabilidad de no ocurrencia igual a 0.5
N = Tamaño de la Población.
E = Precisión con que se generalizarán los resultados de la población,
siendo para este caso de 0.15 (15%)
Sustituyendo valores:
n = .?
Z = 1.96 (95%)
P = 0.5
Q = 0.5
N = 3,189
E = 0.15 (15%)
5.0*5.0*96.1)15.0)(1189,3(5.0*5.0*189,3*96.1
22
2
n
1337.42n
42n
86
El universo de las medianas empresas de la zona metropolitana de San
Salvador asciende a 762 según registro al 31 de diciembre de 2003.15
Por ser una población menor a 10,000 se utilizó la siguiente fórmula:
QPZEN
QPNZn**)1(
***22
2
Sustituyendo valores:
n = .?
Z = 1.96 (95%)
P = 0.5
Q = 0.5
N = 762
E = 0.15 (15%)
5.0*5.0*96.1)15.0)(1762(5.0*5.0*762*96.1
22
2
n
10.40n
40n
15 Medianas Empresas según la Dirección General Estadística y Censos, Ministerio de Economía 1998
87
3.4.3 El muestreo.
El muestreo utilizado para la recolección de los datos fue aleatorio de
manera que todos los individuos del universo tuvieron la misma probabilidad de
ser elegidos para nuestro estudio.
3.4.4 Metodología utilizada.
La información fue recopilada utilizando la técnica de encuesta, mediante
cuestionarios, los cuales proporcionaron la información pertinente para ser
procesada, analizada e interpretada, con el fin de crear las conclusiones que
darán paso a las recomendaciones.
3.4.5 Resultados de la investigación.
La información recopilada por las encuestas a los profesionales de
Contaduría Pública se presenta en 12 cuadros numerados del 1 al 12, con su
respectiva interpretación seguida de 12 gráficos numerados del 1 al 12.
Seguidamente se presentan los resultados de las encuestas a las
Medianas Empresas en 5 cuadros numerados del 13 al 17, con sus respectivos
gráficos numerados del 13 al 17 así como su interpretación.
88
Pregunta No. 1:
¿Su personal financiero contable ha recibido capacitación sobre tecnología
informática?
Cuadro No. 1
Respuestas Alternativas # % Si 25 59.52 No 17 40.48
Total 42 100.00
Conclusión:
La mayoría (59.5%) de los encuestados afirman haber recibido
capacitación en materia de tecnología informática.
Gráfico No 1
60%
40%
SiNo
89
Pregunta No. 2:
¿El personal de su empresa ha asistido a capacitaciones, congresos,
seminarios, etc., sobre auditoría de sistemas?
Cuadro No. 2.
Respuestas Alternativas # % Si 26 61.90 No 16 38.10
Total 42 100.00
Conclusión:
De los 42 profesionales encuestados, el 62% afirman que su personal ha
asistido a capacitaciones referentes a auditoría de sistemas, mientras el 38%
restante manifiesta no haberlo hecho.
Gráfico No. 2
62%
38% SiNo
90
Pregunta No. 3:
Del personal de su empresa, ¿Cuántas han asistido?
Cuadro No. 3
Respuestas
Alternativas # % Ninguno 16 38.10 1 – 5 14 33.33 5 – 10 9 21.43 10 - 15 2 4.76 mas de 15 1 2.38
Total 42 100.00
Conclusión:
En un 54.76% de los casos entre una y diez personas han asistido a
capacitaciones sobre auditoría de sistemas.
Gráfico No. 3
39%
33%
21%5% 2% Ninguno
1 – 55 – 1010 - 15mas de 15
91
Pregunta No. 4
De la siguiente lista de temas sobre sistemas, ¿Cuáles ha recibido su personal?
Cuadro No. 4
Respuestas Alternativas # %
Introducción a la auditoria de sistemas 3 7.14 Riesgos tecnológicos 6 14.29 Control de riesgos 7 16.67 Control de accesos 4 9.52 Seguridad lógica y física 3 7.14 Desarrollo de sistemas 2 4.76 Planeación de auditoría de sistemas 2 4.76 Otro 0 0.00 Ninguna 15 35.71
Total 42 100.00
Conclusión:
Del 64.3% de los profesionales que afirman haber recibido capacitación
sobre auditoría de sistemas, los temas predominantes han sido “Control de
Riesgos” con un 16.67% y “Riesgos Tecnológicos” con un 14.29%, mientras
que “Desarrollo de Sistemas” y “Planeación de Auditoría de Sistemas”
representan un 4.76% cada uno.
Gráfico No 4
7%14%
17%
10%7%5%5%0%
35%
Introducción a la auditoria de sistemasRiesgos tecnológicosControl de riesgosControl de accesosSeguridad lógica y f ísica
Desarrollo de sistemasPlaneación de auditoría de sistemasOtroNinguna
92
Pregunta No. 5
De la lista anterior, ¿Cuáles están siendo implementados?
Cuadro No. 5
Respuestas Alternativas # %
Introducción a la auditoria de sistemas 1 2.38 Riesgos tecnológicos 3 7.14 Control de riesgos 9 21.43 Control de accesos 6 14.29 Seguridad lógica y física 2 4.76 Desarrollo de sistemas 1 2.38 Planeación de auditoría de sistemas 3 7.14 Otro 1 2.38 Ninguna 16 38.10
Total 42 100.00
Conclusión:
Los profesionales encuestados implementan sus conocimientos de
auditoría de sistemas, primordialmente sobre los temas: “Control de Riesgos”
en un 21.43% y “Control de Accesos” en un 14.29%.
Gráfico No. 5
2% 7%22%
14%5%2%7%2%
39%
Introducción a la auditoria de sistemasRiesgos tecnológicos
Control de riesgosControl de accesos
Seguridad lógica y físicaDesarrollo de sistemas
Planeación de auditoría de sistemasOtro
Ninguna
93
Pregunta No. 6
¿Conoce alguna de las siguientes metodologías?
Cuadro No. 6
Respuestas Alternativas # %
COBIT 14 33.33 BS 7779 14 33.33 ISO 7779 5 11.90 Otra 0 0.00 Ninguna 9 21.43
Total 42 100.00
Conclusión:
Los profesionales en Contaduría Pública encuestados manifiestan
conocer alguna metodología de auditoría de sistemas, señalando con un
33.33% la Guía BS7779 y COBIT cada una, mientras que un 21.43% dicen no
conocer ninguna.
Gráfico No. 6
34%
33%
12%
0%21% COBIT
BS 7779ISO 7779Otra Ninguna
94
Pregunta No. 7
¿En cual de las siguientes etapas de auditoría ha aplicado sus conocimientos
de auditoría de sistemas?
Cuadro No. 7
Respuestas Alternativas # %
Visita preliminar 6 14.29 Planeación 13 30.95 Desarrollo de pruebas 8 19.05 Presentación de resultados 5 11.90 Opinión 2 4.76 Otra 0 0.00 Ninguna 8 19.05
Total 42 100.00
Conclusión:
Los profesionales que poseen conocimientos sobre auditoría de sistemas
manifiestan aplicarlos en un 30.95% durante la etapa de “Planeación”, sin
embargo, los mismos son aplicados solo en un 19.05% durante el “Desarrollo
de Pruebas” a pesar de las áreas de riesgo consideradas durante la planeación
(ver siguiente pregunta).
Gráfico No. 7
14%
31%
19%
12%
5%0%19%
Visita preliminar
Planeación
Desarrollo de pruebas
Presentación de resultados
Opinión
Otra
Ninguna
95
Pregunta No. 8
De la siguiente lista, ¿qué áreas de riesgo de los sistemas de información toma
en cuenta en la planeación de auditoría?
Cuadro No. 8
Respuestas Alternativas # %
Políticas de protección 6 14.29 Administración de sistemas 6 14.29 Control de acceso de terceros 6 14.29 Responsabilidad de usuarios 6 14.29 Protección física de las instalaciones 6 14.29 Seguridad de archivos aplicativos 4 9.52 Cumplimiento de requerimientos legales 3 7.14 Otro 0 0.00 Ninguno 5 11.90
Total 42 100.00
Conclusión:
Los profesionales encuestados consideran áreas de riesgo en los
sistemas durante la planeación de la auditoría predominando Políticas de
Protección, Administración de Sistemas, Control de Accesos, Responsabilidad
de Usuarios y Protección física de las Instalaciones con un 14.29% cada una.
Gráfico No. 8
15%
14%
14%14%
14%
10%7%0% 12%
Políticas de protección
Administración de sistemas
Control de acceso de terceros
Responsabilidad de usuarios
Protección física de las instalaciones
Seguridad de archivos aplicativos
Cumplimiento de requerimientos legales
Otro
Ninguno
96
Pregunta No. 9
¿Por qué considera la aplicación de los conceptos básicos de auditoría de
sistemas en el desarrollo de la auditoría?
Cuadro No. 9
Respuestas Alternativas # %
Le proporciona un panoramas mas real de la información contable 14 33.33 Se lo requiere su cliente 9 21.43 Se lo requiere su referencia técnica 15 35.71 Otro 0 0.00 Ninguno 4 9.52
Total 42 100.00
Conclusión:
Los profesionales encuestados consideran la aplicación de los conceptos
básicos de auditoría de sistemas en el desarrollo de sus revisiones en un
35.71% por que se lo requiere su referencia técnica y en un 33.33% por el
hecho de que proporciona un panorama mas real de la información contable.
Sin embargo, no se están aplicando los conocimientos en la ejecución del
trabajo, de acuerdo a la respuesta de la pregunta 7
Gráfico No. 9
34%
22%
34%
0%10%
Le proporciona un panoramas masreal de la información contableSe lo requiere su cliente
Se lo requiere su referencia técnica
Otro
Ninguno
97
Pregunta No 10
¿Han tenido cambios sus informes de auditoría desde la aplicación de los
conceptos de auditoría de sistemas?
Cuadro No. 10
Respuestas Alternativas # %
Si 22 52.38 No 20 47.62
Total 42 100.00
Conclusión:
El 52.38% de los profesionales encuestados manifiestan haber tenido
cambios en sus informes de auditoría desde la aplicación de los conceptos de
auditoría de sistemas.
Gráfico No. 10
52%
48% SiNo
98
Pregunta No. 11
De los siguientes procedimientos, ¿cuáles le piden sus clientes sean incluidos
en la revisión del procesamiento de datos?
Cuadro No. 11
Respuestas Alternativas # %
Configuración de sistemas 5 11.90 Uso de contraseñas 10 23.81 Registro de usuarios 9 21.43 Seguridad de la información 9 21.43 Otro 1 2.38 Ninguna 8 19.05
Total 42 100.00
Conclusión:
A los profesionales encuestados, sus clientes les solicitan revisiones al
procesamiento de datos, enfatizando con un 23.81% el Uso de Contraseñas y
con un 21.43% el Registro de Usuarios y la Seguridad de la información,
mientras que un 19.05 manifiestan no recibir estas solicitudes.
Gráfico No. 11
13%
23%
21%22%
2%19%
Configuración de sistemas
Uso de contraseñas
Registro de usuarios
Seguridad de la información
Otro
Ninguna
99
Pregunta No. 12
¿Cuenta su empresa con personal capacitado en el área de sistemas para
realizar auditoría?
Cuadro No. 12
Respuestas
Alternativas # % Si 27 64.29 No 15 35.71
Total 42 100.00
Conclusión:
De los 42 profesionales encuestados el 64.29% afirma que su empresa
cuenta con personal capacitado en el área de sistemas para realizar auditoría.
Gráfico No. 12
64%
36% Si
No
100
Encuesta a Empresas Medianas
Pregunta No. 1
De los siguientes riesgos tecnológicos de los sistemas de información, ¿Cuáles
afectan a su empresa?
Cuadro No. 13
Respuestas Alternativas # %
Infiltración de virus 5 12.50 Accesos no autorizados 6 15.00 Caducidad de licencias 7 17.50 Manipulación de datos 6 15.00 Configuración inadecuada 6 15.00 Procesamiento de datos incorrectos 6 15.00 Continuidad de la operación por fallas en los sistemas 4 10.00 Otro 0 0.00
Total 40 100.00
Conclusión:
Las 40 medianas empresas encuestadas reconocen que los riesgos que
les afectan son: Caducidad de Licencias en un 17.5%, Accesos no autorizados,
Manipulación de Datos, Configuración Inadecuada y Procesamiento de datos
incorrectos en un 15% cada uno.
Gráfico 13
13%15%
17%15%15%
15%10% 0%
Infiltración de virus
Accesos no autorizados
Caducidad de licencias
Manipulación de datos
Configuración inadecuada
Procesamiento de datos incorrectos
Continuidad de la operación por fallas en lossistemasOtro
101
Pregunta No. 2
De los siguientes riesgos tecnológicos de los sistemas de información ¿cuáles
ha identificado que suceden dentro de su empresa?
Cuadro No. 14
Respuestas Alternativas # %
Infiltración de virus 2 5.00 Accesos no autorizados 3 7.50 Caducidad de licencias 5 12.50 Manipulación de datos 7 17.50 Configuración inadecuada 6 15.00 Procesamiento de datos incorrectos 12 30.00 Continuidad de la operación por fallas en los sistemas 5 12.50 Otro 0 0.00
Total 40 100.00
Conclusión:
El riesgo de un procesamiento de datos incorrecto se ha detectado en las
medianas empresas en un 30%, la Manipulación de datos en un 17.50% y la
Infiltración de virus se reconoce en un 5%. Lo anterior indica que las Empresas
identifican riesgos operacionales asociados a los Sistemas de Información.
Gráfico 14
5% 8%13%
17%15%
29%
13% 0%
Infiltración de virus
Accesos no autorizados
Caducidad de licencias
Manipulación de datos
Configuración inadecuada
Procesamiento de datos incorrectos
Continuidad de la operación por fallas en lossistemasOtro
102
Pregunta No. 3
¿Realiza auditoría de sistemas dentro de su organización?
Cuadro No. 15
Respuestas Alternativas # % Si 24 60.00 No 16 40.00
Total 40 100.00
Conclusión:
El 60% de las medianas empresas encuestadas afirma realizar auditoría
de sistemas.
Gráfico 15
60%
40% SiNo
103
Pregunta No. 4
¿Quién es el encargado de realizarla?
Cuadro No. 16
Respuestas Alternativas # %
Auditoria interna 6 15.00 Auditoria externa 13 32.50 Empresa independiente 4 10.00 Otro 0 0.00 Nadie 17 42.50 Total 40 100.00
Conclusión:
De las 40 medianas empresas encuestadas el 32.5% afirma que la
auditoría a los sistemas está a cargo de la auditoría externa, un 10% por
empresas independientes y el 42.5% no realiza auditoría de sistemas.
Gráfico 16
15%
33%10%0%
42%
Auditoria interna
Auditoria externa
Empresaindependiente
Otro
Nadie
104
Pregunta No. 5
¿Solicita al encargado de la auditoría una revisión a los elementos de los
sistemas de información?
Cuadro No. 17
Respuestas Alternativas # %
Si 24 60.00 No 16 40.00 Total 40 100.00
Conclusión:
El 60% de las medianas empresas encuestadas solicitan al encargado de
la auditoría una revisión a los elementos de los sistemas de información.
Gráfico 17
60%
40% SiNo
105
CAPITULO IV
CONCLUSIONES Y RECOMENDACIONES
4.1 Conclusiones
En base a los resultados obtenidos en la investigación se han elaborado
las siguientes conclusiones:
1. El profesional de Contaduría Pública que lleva a cabo auditorías a
empresas cuyo proceso de procesamiento de datos se realiza bajo un
ambiente computarizado y que posee conocimiento de los conceptos
básicos de Auditoría de Sistemas, implementa los mismos en el
desarrollo de sus revisiones, primordialmente durante la etapa de
Planeación, considerando áreas de riesgo de los sistemas de
información tales como: Políticas de Protección, Administración de
Sistemas, Control de Acceso de Terceros y Responsabilidad de
Usuarios. Por tal situación se afirma la hipótesis general que
textualmente dice:
“A mayor conocimiento de los conceptos de Auditoría de Sistemas, será
mejor la consideración de éstos, en la planificación de una auditoría bajo un
ambiente de sistemas de información computarizados”.
106
2. Debido al conocimiento técnico sobre Auditoría de sistemas que posee el
profesional de Contaduría Pública implementa, en el desarrollo de
pruebas, técnicas para comprobar la adecuada implementación de
Controles de Riesgos y Accesos, así como la Seguridad Lógica y Física
de los sistemas de información de las entidades sujetas a revisión, razón
por la que se puede validar la hipótesis específica que cita:
“En la medida que los auditores posean conocimiento técnico de la Auditoría
de Sistemas, serán mejor empleadas las estrategias y la combinación de
pruebas a utilizar en la ejecución de una auditoría”.
3. El interés de los profesionales en Contaduría Pública por aplicar
Estándares de Seguridad utilizados en la Auditoría de Sistemas, se
encuentra fundamentalmente, en la exigencia que su referencia técnica
hace a realizar una revisión detallada a los sistemas de información
utilizados en las empresas, relegando a un segundo lugar la premisa que
su aplicación proporciona un panorama mas real de la información
contable. De esta manera se invalida la hipótesis específica que cita:
“Una adecuada aplicación de estándares de seguridad utilizados en la
auditoría de Sistemas proporciona un panorama mas real de la calidad de la
información contable”.
107
4. Las medianas empresas cuyo procesamiento de información contable lo
realizan bajo un ambiente computarizado, requiere que las revisiones
efectuadas, tanto por auditoría externa, interna y empresas
independientes, cubran los elementos de éstos sistemas de manera que
se puedan minimizar los riesgos previamente identificados tales como:
Procesamiento de datos incorrectos, Manipulación de datos y
Configuración Inadecuada, entre otros. Por esta razón, los auditores
externos que reciben este requerimiento de sus clientes incluyen en sus
revisiones procedimiento como: Uso de contraseñas, Registro de
Usuarios y Seguridad de la Información. Esta conclusión da por válida la
tercera hipótesis específica que cita:
“En la medida que las medianas empresas implementen sistemas
computarizados para el procesamiento de datos, será necesario incluir en la
planificación de auditoría, la revisión de éstos y los procedimientos de
control asociados, tomando de referencia los conceptos de una auditoría de
Sistemas”.
108
4.2 Recomendaciones
1. Mantener una educación constante sobre Auditoría de Sistemas,
utilizando talleres prácticos para agilizar la implementación de sus
conocimientos en la ejecución del trabajo de auditoría.
2. Acceder a programas educativos integrales sobre aspectos tecnológicos
y sistemas computarizados, fundamentalmente sobre aspectos básicos
sobre auditoría de sistemas, de manera que los mismos puedan ser
fácilmente aplicados al momento de planear una auditoría.
3. Preparar, para cada empresa a revisar, un cuestionario guía enfocado a
evaluar los controles de seguridad utilizados en sus sistemas
computarizados, de manera que proporcione al auditor un panorama más
real de la calidad de la información contable.
4. Realizar una evaluación preliminar del ambiente de control de los
sistemas computarizados de la Empresa, a fin de incluir en la
planificación de la auditoría una revisión detallada de los controles clave
utilizados en el procesamiento de datos, basado en los conceptos
básicos de la auditoría de sistemas.
109
CAPITULO V
“EL ROL DE LA AUDITORIA DE SISTEMAS COMPUTARIZADOS COMO
HERRAMIENTA DE CONFIABILIDAD EN LA INFORMACIÓN CONTABLE”.
5.1. Guía de aspectos de una auditoría de sistemas a ser revisados en una
auditoría financiera.
5.1.1 Introducción.
Se puede inferir que el requerimiento primordial de los usuarios de la
información contable es la seguridad que las cifras presentadas en los Estados
Financieros sean confiables, y es el auditor externo el encargado de
proporcionar este requisito, sin embargo, si los Estados Financieros han sido
preparados bajo un sistema computarizado, el auditor no puede dar su opinión
sobre la razonabilidad de las cifras sin la revisión de las diferentes fases en el
procesamiento de la información dentro del sistema, debido al riesgo que
durante este proceso los valores pueden ser manipulados a conveniencia.
Lo anterior nos lleva a cambios en el enfoque tradicional de las
auditorías, orientándolas a conocer cuales han sido los procedimientos
seguidos en el procesamiento de la información, con el objetivo de obtener
seguridad sobre la razonabilidad de la cifras.
110
Para cumplir con este requerimiento de seguridad se deben evaluar
aspectos específicos de los sistemas computarizados, estos aspectos son los
que se presentan y detallan en la siguiente guía.
5.1.2 Objetivos
5.1.2.1 Objetivo general
Proporcionar a los auditores una herramienta versátil para la planificación
de una auditoría financiera, cuando las cifras en los Estados Financieros han
sido procesadas bajo un sistema computarizado.
5.1.2.2 Objetivos específicos
Establecer los aspectos de un sistema computarizado que deben
ser examinados durante el desarrollo de una auditoría financiera.
Enunciar interrogantes bases para el análisis de un sistema
computarizado durante el desarrollo de una auditoría financiera.
111
5.1.3 Alcance
Ésta guía persigue, en primer lugar, enumerar los requerimientos
mínimos que debe cumplir una organización, que aplique en el procesamiento
de su información en un sistema computarizado. En segundo lugar, se plantean
una serie de interrogantes enfocadas a indagar el grado de cumplimiento de
éstos requerimientos.
La base sobre la cual se ha elaborado éste cuestionario es la guía
BS7779, que ofrece los requerimientos básicos a cumplirse en los sistemas
computarizados para su óptimo funcionamiento y la reducción de los riesgos
inherentes a los mismos, adicionalmente, se han tomado los parámetros de
revisión que sugiere el enfoque contemporáneo de control interno (COSO), los
cuales fueron detallados en el capítulo II de este trabajo.
Las interrogantes no deben tomarse como definitivas; sino como una
base para la planificación de una auditoría financiera, que pueden ser
ampliadas, a criterio del auditor, según el nivel de profundidad de su examen.
112
5.1.4 Aspectos de una auditoría de sistemas a ser evaluados según BS
7779.
5.1.4.1 Políticas.
La administración debería incluir dentro de sus políticas internas la
protección de documentación, en las cuales participe todo el personal de la
organización.
5.1.4.2 Protección de la información institucional.
La estructura organizacional debe estar orientada primordialmente a la
implementación de controles efectivos para la protección de la información y del
acceso de terceros a la manipulación de la misma.
5.1.4.3 Control y sensitividad de activos.
Se debe especificar la pertenencia de cada uno de los activos de manera
que se establezca responsabilidad sobre su protección física, así como la
debida clasificación de la información de acuerdo a su sensibilidad.
113
5.1.4.4 Personal.
Los requisitos de contratación del personal deben estar orientados a
proteger las especificaciones y verificaciones previas del personal.
El personal, con acceso a la información, debe recibir capacitación
referente a la seguridad de la misma, así como una adecuada educación sobre
los controles establecidos para su protección.
Debe manejarse un sistema de emisión de reportes sobre cualquier
incidente con el propósito de minimizar posibles daños a los sistemas.
5.1.4.5 Protección física.
Las instalaciones y el hardware deben estar protegidos físicamente ante
cualquier amenaza ambiental o de manipulación no autorizada de manera que
se reduzcan pérdidas o daños en los sistemas.
5.1.4.6 Administración de sistemas e infraestructura.
El software y la información deben ser resguardado de los virus, para ello
es necesario que se definan los roles y responsabilidades administrativas y
114
operacionales, así podrá planificarse adecuadamente los requerimiento de los
sistemas para su aceptación.
5.1.4.7 Sistemas de control de acceso.
Debe existir un sistema de control para los accesos al computador,
redes, sistema y aplicaciones, que permita administrar la distribución de
derechos de acceso y un adecuado monitoreo de su uso dentro del sistema.
5.1.4.8 Desarrollo y mantenimiento de sistemas.
La administración debe establecer requerimientos específicos de
seguridad para los sistemas aplicativos, sus archivos y el ambiente de
desarrollo y soporte técnico de los mismos.
5.1.4.9 Plan de continuidad del negocio.
Se deben tener preparados planes de contingencias ante el riesgo que
las actividades de la compañía se vean interrumpidas.
115
5.1.4.10 Cumplimiento.
La administración debe controlar el cumplimiento de las obligaciones
legales, civiles o criminales y los requerimientos de seguridad que recaen sobre
la tecnología de información a utilizar.
116
5.2. Cuestionario base para la revisión de los estándares de seguridad.
Interrogante Punto de enfoque Observaciones 1 Políticas
1.1 ¿Cuenta con una política formal de seguridad de la información?
1.2
¿Podría mostrarme la política oficial que es distribuida a los empleados y explicar la forma en que se divulga a toda la organización?
La Alta Administración debería participar en la creación y operación de una clara política de protección de la información, la cual incluya la organización completa. Documentación escrita especificando la política oficial de la organización sobre protección de la información y responsabilidades debe proveerse a los empleados.
2 Protección de la información institucional
2.1 ¿Quiénes están a cargo de la seguridad de la información y cómo se contacta con ellos?
2.2 ¿De que forma la Gerencia guía los controles sobre seguridad de la información?
Debe crearse una estructura organizacional, con la misión y poder requerido para definir e implementar controles efectivos para proteger la información. El control debe proveerse a través de un adecuado comité de tecnología.
2.3 ¿Quién es responsable por la protección contra virus?
2.4 ¿A quién se le informa cuando se encuentra un virus?
Se debe especificar individualmente la responsabilidad de protección para cada activo de valor sustancial.
117
Interrogante Punto de enfoque Observaciones
2.5 ¿Se ha revisado la seguridad de las computadoras? ¿Cómo?
Todas las facilidades con tecnología de información deben autorizarse y aprobarse para su uso.
2.6 ¿Utiliza expertos externos para aumentar su experiencia en seguridad interna?
2.7 ¿Quién ejerce la función de auditoria externa de seguridad de la información?.
Se debe realizar una revisión de la seguridad de la información de parte de una persona independiente a la organización.
2.8
¿Cómo permite a proveedores externos (outsourcing) el acceso a sus aplicaciones sin abrir su sistema interno a un daño potencial?
2.9
¿Ha incluido cláusulas contractuales sobre seguridad del computador e información, en los servicios prestados por terceros? ¿En qué contratos se han tomado las provisiones antes mencionadas?.
Deben utilizarse controles apropiados aplicables a los accesos de terceros.
3 Control y sensitividad de activos
3.1 Proporcione una lista de los mayores activos de TI de la organización.
Debe especificarse la pertenencia para todos los activos y los dueños de dichos activos deben ser responsables de su protección.
118
Interrogante Punto de enfoque Observaciones
3.2 ¿Qué porcentaje de todos los activos de información están clasificados de acuerdo al grado de sensitividad?
La Información sensitiva en todas sus formas debe clasificarse y etiquetarse de acuerdo a su sensitividad, a fin de definir prioridades de protección.
4 Personal
4.1 ¿Existen medidas de seguridad para personal de mantenimiento, Gerencia General, personal externo y auditor de IT?
4.2
¿Se encuentran escritas las funciones y responsabilidades de seguridad para personal de mantenimiento, Gerente General, personal de auditoría externa?
4.3 ¿Cómo se determinan los niveles de acceso de este personal a la información sensible?
Requerimientos de protección del personal deben incluirse en las medidas de seguridad de la información.
4.4
¿Existe un acuerdo de confidencialidad firmado por cada uno de estos empleados? (elija, por un sistema estadístico, una muestra significativa de empleados)
Se deben usar los acuerdos legales necesarios a las personas que trabajen en las áreas de acceso a información sensible.
119
Interrogante Punto de enfoque Observaciones
4.5 ¿Cómo se asegura que sus empleados sigan todos los procedimientos de seguridad?
Políticas, procedimientos y reglas de trabajo, son fundamentales como parte del entrenamiento sobre seguridad para el personal con acceso a información.
4.6 ¿La Alta Administración es informada sobre incidentes de seguridad de computadoras?
4.7 ¿Cómo lo divulgan los empleados cuando los detecta?
4.8 Cuando su computadora tiene un problema, ¿A quién se le reporta y que hace al respecto?
Debe utilizarse un sistema de reporte de incidencias de seguridad y fallas en los sistemas; los eventos reportados deben monitorearse periódicamente. Los incidentes de seguridad deben reportarse tan pronto como ocurran.
4.9
¿Cuál es la sanción por divulgar su contraseña a otro empleado, pudiendo él acceder al sistema con ella cuando usted no se encuentra?
4.10 ¿Quién administra la sanción?
Se debe poseer un proceso eficaz de penalidades a empleados para evitar brechas de seguridad.
120
Interrogante Punto de enfoque Observaciones 5 Protección física
5.1
¿Qué clase de dispositivo del control de acceso utiliza para limitar el acceso al área donde se encuentran los computadores principales y los centros de procesamiento de información sensitivos (contabilidad, facturación, etc.)?
Información y sistemas sensitivos deben ubicarse en sitios protegidos. Se deben utilizar controles para prevenir el paso desautorizado por los perímetros establecidos para la seguridad.
5.2 ¿Cómo se comprueba el permiso de sacar la computadora portátil fuera de la institución para trabajar en casa?
El retiro o reubicación de los activos relacionados con la información se debe realizar solamente bajo la debida autorización.
5.3 ¿La computadora en su escritorio tiene una fuente de alimentación ininterrumpida?
Se deben establecer medidas para reducir las fallas de energía eléctrica.
5.4 ¿Hay un contrato de mantenimiento para todo el mobiliario vital de oficina?
Se debe realizar un mantenimiento adecuado del hardware.
5.5
¿Cómo protege los teléfonos portátiles, computadoras portátiles u otro equipo similar cuando usted lo utiliza en casa o en la oficina de un cliente?
Deben existir políticas de protección para el hardware que se encuentra en locaciones externas.
5.6 ¿Cuál es el procedimiento para disponer de un sistema informático, viejas cintas copias de seguridad y diskettes?.
5.7 ¿Existe un procedimiento para manejar estos elementos antes de enviar el equipo a reparación?
El contenido del hardware se debe remover o destruir cuando el ciclo de vida de éste se termine.
121
Interrogante Punto de enfoque Observaciones
6 Administración de sistemas e infraestructura
6.1 ¿Existen procedimientos para la administración y operación de cada computador en su área de trabajo?
Los procedimientos para todas las operaciones deben estar debidamente documentados
6.2 ¿Quién es responsable de manejar los incidentes de seguridad relativos al computador?
6.3
¿Con quién se debe comunicar en caso que el computador deje de operar correctamente y usted no pueda solucionar el problema?
Los procedimientos ante los incidentes deben permanecer al alcance de los usuarios de la información
6.4 ¿Desarrolla o programa en los mismos sistemas utilizados por los usuarios?
Para minimizar el abuso potencial debe existir una adecuada segregación de funciones. Personas diferentes deben ser responsables de distintas funciones del computador. Deben separarse los sistemas de desarrollo de los sistemas de producción.
6.5 ¿Cómo se asegura que los errores de programación u omisiones no causarán fallas en la operación de los sistemas?
6.6 ¿Tiene un control de cambios a los programas?. Por favor descríbalo.
Los cambios a las facilidades y sistemas de TI deben controlarse
122
Interrogante Punto de enfoque Observaciones
6.7
¿Tiene algún estándar para pruebas de compatibilidad de hardware o software dentro de su ambiente?
Se deben establecer criterios para la aceptación de nuevos sistemas, así como pruebas de capacidad antes de su aceptación
6.8
¿Existe un programa procedimiento para control de cambios para verificar que dichos cambios son necesarios, si son apropiados y que podrá implantarse sin problemas?
Los cambios en la operatividad deben ser controlados adecuadamente
6.9
¿Qué tipo de entrenamiento reciben los empleados acerca de virus de computadoras?
6.10
¿Qué medidas de seguridad se han instalado para prevenir los virus informáticos?
Se deben implementar medidas preventivas para la detección de virus, así como los procedimientos a ser usados
6.11
¿Se hacen copias de seguridad de todos los sistemas de forma regular y programada?
Copias de seguridad de los datos sensitivos del negocio deben realizarse regularmente.
123
Interrogante Punto de enfoque Observaciones 7 Sistemas de control de acceso
7.1
¿Existe un procedimiento formal utilizado para otorgar y remover derechos de acceso de los usuarios sobre información almacenada en las computadoras y sobre la red?
Debe existir un procedimiento formal para el registro de los accesos de los usuarios a los servicios de tecnología de información.
7.2 ¿Qué usuarios tienen accesos especiales?
7.3 ¿Cuáles son y de qué forma se restringen y controlan?
Los usuarios con accesos privilegiados deben ser restringidos y controlados adecuadamente.
7.4
¿Cómo se asegura que los passwords son difíciles de descubrir y solo la persona que lo estableció puede tener acceso a través de su uso?
La asignación de contraseñas a los usuarios debe ser controlada para mantener la seguridad.
7.5 ¿Cómo selecciona su contraseña? Los usuarios deben seguir inteligentes prácticas de seguridad en la selección y uso de palabras claves.
7.6 ¿Qué controles especiales se ponen en programas fuente y bibliotecas?
Se deben restringir y controlar los accesos a programación de bases de datos.
124
Interrogante Punto de enfoque Observaciones
8 Desarrollo y mantenimiento de sistemas
8.1 ¿En que fase del desarrollo de los sistemas se definieron y convinieron los requisitos de seguridad?
8.2 ¿Son incluidos en los análisis de costos los costos del ciclo de vida de la seguridad?
8.3 ¿Se incluyen controles de seguridad en todos los diseños del sistema en uso?
Para cada proyecto en desarrollo se debe realizar un análisis de los requerimientos de seguridad
8.4 ¿Cómo se validan los datos de entrada a los sistemas en uso?
Se deben validar las entradas de datos a los sistemas.
8.5
¿Se utilizan diversos elementos de datos correlacionados (Ej. los códigos postales correlacionaron con las ciudades) para verificar consistencia?
Se deben validar los datos generados internamente en los sistemas.
8.6 ¿Cómo es ejercitado el control sobre software en sistemas operativos?
Se debe ejercer un control determinante sobre la puesta en práctica del software en sistemas operacionales.
8.7 ¿Esto se aplica a todo el software?
8.8 ¿Existen procedimientos formales del control de cambios en sistemas operativos?
Se deben poseer procedimientos formales de control de cambios.
8.9 ¿Cómo prueba los cambios del sistema operativo para su seguridad?
El impacto de los cambios del sistema operativo debe ser revisado por seguridad.
125
Interrogante Punto de enfoque Observaciones
8.10 ¿Cómo evita la modificación no autorizada del software?
Las modificaciones a los paquetes de software deben ser restringidos. Cualquier cambio esencialmente debe ser controlado.
9 Plan de continuidad del negocio
9.1 ¿Poseen un plan de continuidad del negocio?
9.2 ¿Que tan a menudo revisa el plan de continuidad del negocio y cuan a menudo se cambia?
Debe existir un proceso de mantenimiento y un plan de contingencia dentro de la organización. Los registros importantes de una organización deben ser protegidos contra la pérdida, destrucción y falsificación.
9.3 ¿Poseen un marco de continuidad del negocio que cubra toda la organización?
9.4 ¿Cómo prueban sus planes de continuidad y que resultados muestran estas pruebas?
Los planes de contingencias del negocio deben ser adaptados regularmente.
10 Cumplimiento
10.1 ¿Conoce todos los requisitos legales para la operación sus sistemas?
Se debe prestar atención a las restricciones legales sobre el uso de software registrados.
126
Interrogante Punto de enfoque Observaciones
10.2 ¿Cómo verifica que los empleados no tengan, ni utilicen copias ilegales del software? Demuéstremelo.
10.3 ¿Existen medidas para asegurar la retención de información por un período de tiempo requerido por la ley?
Los registros importantes de una organización deben ser protegidos contra la pérdida, destrucción y falsificación.
10.4
¿Hay una política que incluya que, por mandato, la tecnología de información de la organización se puede utilizar solamente para los propósitos legítimos de la organización?.
Las facilidades de TI deben ser utilizadas únicamente para los autorizados por el negocio.
10.5 ¿Que tan a menudo se realizan chequeos a los estándares de seguridad corporativos?
Se debe considerar una revisión regular de todas las áreas dentro de la organización de conformidad con políticas y estándares de seguridad.
127
5.3 Secuencia en la aplicación de procedimientos de auditoría bajo un
sistema de procesamiento de datos computarizados.
Según las Normas y Procedimientos de Auditoría existe una secuencia a
seguir en al momento de realizar una auditoría bajo un sistema de
procesamiento de datos computarizados el cual se ejemplifica en el siguiente
flujo grama.
128
Técnicas de Auditoría16
Es posible diseñar procedimientos de auditoría para introducir la utilización
de diversas técnicas que investiguen un objetivo específico. El diseño o
modificación de los diferentes procedimientos para ajustarse a objetivos y
16 Enciclopedia de la auditoría. Mac Graw Hill Inc. Versión española.
Hay computador Hacer auditoria tradicional
Estudio Preliminar
La no aplicación de pruebas de cumplimiento limita el alcance de la auditoria?
Hay aplicaciones de importancia, hay grado importante de transformación y hay necesidad de confiar en el control interno.
Pruebas de control PED
Aplicación del control interno
Se obtendrá evidencia suficiente y competente por pruebas sustantivas, pero probara controles internos importantes de entrada y salida
Pero se desea usar el computador para realizar pruebas de auditoría más efectivas, extensas, precisas y económicas
Pruebas de los controles PED para incrementar la eficiencia en los resultados de la auditoría
Los resultados obtenidos son tales que garantizan que las cifras de fin de año son razonables, con el alcance minino deseado en las pruebas sustantivas.
Hacer pruebas sustantivas de fin de año o de doble propósito conforme a lo planeado
Resultados Satisfactorios
129
situaciones diversas depende en gran medida de las circunstancias de cada
auditoría y del criterio individual del auditor encargado del trabajo.
Por ejemplo, los procedimientos empleados en la ejecución de una
auditoría independiente, donde el objetivo fundamental es formarse una opinión
sobre la adecuación de los estados financieros que sean diferentes de los
empleados en una auditoría interna, donde el motivo principal es evaluar la
eficacia de ciertos controles administrativos basándose en las verificaciones de
cumplimientos de las normas de la empresa.
En las principales técnicas relacionadas con los procedimientos diseñados
para su utilización es una auditoría de estados financieros se encuentras las
siguientes:
Inspección. Es un examen minucioso de los recursos físicos y
documentos para determinar su existencia y autenticidad.
Observación. La observación de actividades concretas que involucren al
personal, procedimientos y procesos como medio de evaluación de la
propiedad o de las actividades.
Confirmación. Comunicación independiente con una parte ajena para
determinar la exactitud y validez de una cifra o hecho registrado.
Investigación. Obtener las respuestas orales o escritas a preguntas
concretas relacionadas con las áreas de importancia de la auditoría.
130
Confrontación. Seguimiento del registro y traspaso de transacciones
concretas a través del proceso de contabilidad, como medio de
ratificación de la validez de las transacciones y del sistema de
contabilidad.
Realización de nuevos cálculos. Repetición de los cálculos
matemáticos necesarios para establecer su exactitud.
Revisión de documentos comprobantes. Examen de las pruebas
escritas subyacentes, como una factura de compra o una hoja de pedido
recibidos como justificación de una transacción, asiento o saldo de
cuenta.
Recuento. Recuento físico de los recursos individuales y documentos,
de forma secuencial, según sea necesario para justificar una cantidad.
Exploración. Evaluación de determinadas características de la
información como método de identificación de aquellas partidas que
requieren un examen adicional.
Normalmente se suelen combinar procedimientos seleccionados para una
auditoría concreta en un plan escrito denominado “programa de auditoría”.
131
Recapitulación de la auditoría de sistemas en la confiabilidad de la
información contable.
Hoy en día, un alto porcentaje de las empresas tienen toda su
información estructurada en sistemas informáticos, de aquí, la vital importancia
que los sistemas de información funcionen correctamente. Una empresa puede
tener un staff de gente de primera, pero tiene un sistema informático propenso a
errores, lento, vulnerable e inestable; si no hay un balance entre estas dos
cosas, la empresa nunca saldrá a adelante.
El surgimiento de la tecnología de información y de las herramientas
tecnológicas ha modificado los procesos de administración contable de las
empresas y las ha obligado a desarrollar nuevas estrategias, no sólo para
adaptarse a las exigencias de la tecnología, sino también para el logro de los
mejores resultados.
La auditoría de sistemas es de vital importancia para el buen desempeño
de los sistemas de información, ya que proporciona los controles necesarios
para que los sistemas sean confiables y con un buen nivel de seguridad.
Además debe evaluar todo (informática, organización de centros de
información, hardware y software). La auditoría de sistemas deberá comprender
no sólo la evaluación de los equipos de cómputo, de un sistema o
procedimiento específico, sino que además habrá de evaluar los sistemas de
132
información en general desde sus entradas, procedimientos, controles,
archivos, seguridad y obtención de información.
Hago énfasis en la importancia de la auditoria como herramienta
gerencial para la toma de decisiones y para poder verificar los puntos débiles de
las organizaciones con el fin de tomar medidas y precauciones a tiempo.
Principalmente, la conclusión a la que he podido llegar, es que toda
empresa que posea sistemas de información medianamente complejos, debe
de someterse a un control estricto de evaluación de eficacia y eficiencia.
En cuanto al trabajo de la auditoria en sí, debo remarcar que se precisa
de conocimiento de Informática, seriedad, capacidad, minuciosidad y
responsabilidad; si bien la auditoria de Sistemas debe hacerse por gente
altamente capacitada, debido a que un trabajo ejecutado de forma inadecuada
puede acarrear consecuencias drásticas para la empresa auditada,
principalmente económicas, es indispensable que el auditor financiero conozca
y aplique más ampliamente conceptos generales de Auditoría de Sistemas.
133
CASO PRACTICO
134
Cuestionario para la revisión de los estándares de seguridad.
Interrogante Punto de enfoque Observaciones 1 Políticas
1.1 ¿Cuenta con una política formal de seguridad de la información?
Sí
1.2
¿Podría mostrarme la política oficial que es distribuida a los empleados y explicar la forma en que se divulga a toda la organización?
La Alta Administración debería participar en la creación y operación de una clara política de protección de la información, la cual incluya la organización completa. Documentación escrita especificando la política oficial de la organización sobre protección de la información y responsabilidades debe proveerse a los empleados.
Se divulga mediante un manual de inducción a la empresa
2 Protección de la información institucional
2.1 ¿Quiénes están a cargo de la seguridad de la información y cómo se contacta con ellos? El departamento
de informática
2.2 ¿De que forma la Gerencia guía los controles sobre seguridad de la información?
Debe crearse una estructura organizacional, con la misión y poder requerido para definir e implementar controles efectivos para proteger la información. El control debe proveerse a través de un adecuado comité de tecnología.
Es responsabilidad del depto de informática
2.3 ¿Quién es responsable por la protección contra virus?
El departamento de informática
2.4 ¿A quién se le informa cuando se encuentra un virus?
Se debe especificar individualmente la responsabilidad de protección para cada activo de valor sustancial. Al jefe de
informática
135
Interrogante Punto de enfoque Observaciones
2.5 ¿Se ha revisado la seguridad de las computadoras? ¿Cómo?
Todas las facilidades con tecnología de información deben autorizarse y aprobarse para su uso. Si
2.6 ¿Utiliza expertos externos para aumentar su experiencia en seguridad interna?
No
2.7 ¿Quién ejerce la función de auditoria externa de seguridad de la información?.
Se debe realizar una revisión de la seguridad de la información de parte de una persona independiente a la organización.
No se realiza
2.8
¿Cómo permite a proveedores externos (outsourcing) el acceso a sus aplicaciones sin abrir su sistema interno a un daño potencial?
No se utilizan proveedores externos
2.9
¿Ha incluido cláusulas contractuales sobre seguridad del computador e información, en los servicios prestados por terceros? ¿En qué contratos se han tomado las provisiones antes mencionadas?.
Deben utilizarse controles apropiados aplicables a los accesos de terceros.
N/A 3 Control y sensitividad de activos
3.1 Proporcione una lista de los mayores activos de TI de la organización.
Debe especificarse la pertenencia para todos los activos y los dueños de dichos activos deben ser responsables de su protección. Ver PT
136
Interrogante Punto de enfoque Observaciones
3.2 ¿Qué porcentaje de todos los activos de información están clasificados de acuerdo al grado de sensitividad?
La Información sensitiva en todas sus formas debe clasificarse y etiquetarse de acuerdo a su sensitividad, a fin de definir prioridades de protección.
100% 4 Personal
4.1 ¿Existen medidas de seguridad para personal de mantenimiento, Gerencia General, personal externo y auditor de IT?
Sí
4.2
¿Se encuentran escritas las funciones y responsabilidades de seguridad para personal de mantenimiento, Gerente General, personal de auditoría externa? Sí
4.3 ¿Cómo se determinan los niveles de acceso de este personal a la información sensible?
Requerimientos de protección del personal deben incluirse en las medidas de seguridad de la información.
En base al uso de la información
4.4
¿Existe un acuerdo de confidencialidad firmado por cada uno de estos empleados? (elija, por un sistema estadístico, una muestra significativa de empleados)
Se deben usar los acuerdos legales necesarios a las personas que trabajen en las áreas de acceso a información sensible.
No
137
Interrogante Punto de enfoque Observaciones
4.5 ¿Cómo se asegura que sus empleados sigan todos los procedimientos de seguridad?
Políticas, procedimientos y reglas de trabajo, son fundamentales como parte del entrenamiento sobre seguridad para el personal con acceso a información.
Por medio de claves (passwords) que solicita el sistema
4.6 ¿La Alta Administración es informada sobre incidentes de seguridad de computadoras?
Sí
4.7 ¿Cómo lo divulgan los empleados cuando los detecta?
Por medio de memorandums
4.8 Cuando su computadora tiene un problema, ¿A quién se le reporta y que hace al respecto?
Debe utilizarse un sistema de reporte de incidencias de seguridad y fallas en los sistemas; los eventos reportados deben monitorearse periódicamente. Los incidentes de seguridad deben reportarse tan pronto como ocurran.
Al departamento de informática
4.9
¿Cuál es la sanción por divulgar su contraseña a otro empleado, pudiendo él acceder al sistema con ella cuando usted no se encuentra?
No se han determinado sanciones para una situación como esta
4.10 ¿Quién administra la sanción?
Se debe poseer un proceso eficaz de penalidades a empleados para evitar brechas de seguridad.
N/A
138
Interrogante Punto de enfoque Observaciones 5 Protección física
5.1
¿Qué clase de dispositivo del control de acceso utiliza para limitar el acceso al área donde se encuentran los computadores principales y los centros de procesamiento de información sensitivos (contabilidad, facturación, etc.)?
Información y sistemas sensitivos deben ubicarse en sitios protegidos. Se deben utilizar controles para prevenir el paso desautorizado por los perímetros establecidos para la seguridad.
Se mantiene en un salón donde solo tiene acceso personal de informática
5.2 ¿Cómo se comprueba el permiso de sacar la computadora portátil fuera de la institución para trabajar en casa?
El retiro o reubicación de los activos relacionados con la información se debe realizar solamente bajo la debida autorización.
No se permite sacar computadoras de las instalaciones
5.3 ¿La computadora en su escritorio tiene una fuente de alimentación ininterrumpida?
Se deben establecer medidas para reducir las fallas de energía eléctrica.
Sí
5.4 ¿Hay un contrato de mantenimiento para todo el mobiliario vital de oficina?
Se debe realizar un mantenimiento adecuado del hardware. Sí
5.5
¿Cómo protege los teléfonos portátiles, computadoras portátiles u otro equipo similar cuando usted lo utiliza en casa o en la oficina de un cliente?
Deben existir políticas de protección para el hardware que se encuentra en locaciones externas.
Es responsabilidad del empleado el buen mantenimiento del equipo.
5.6 ¿Cuál es el procedimiento para disponer de un sistema informático, viejas cintas copias de seguridad y diskettes?.
El contenido del hardware se debe remover o destruir cuando el ciclo de vida de éste se termine.
Se elabora un Back up de la información el cual queda en poder del departamento de informática.
139
Interrogante Punto de enfoque Observaciones
5.7 ¿Existe un procedimiento para manejar estos elementos antes de enviar el equipo a reparación? Sí
6 Administración de sistemas e infraestructura
6.1 ¿Existen procedimientos para la administración y operación de cada computador en su área de trabajo?
Los procedimientos para todas las operaciones deben estar debidamente documentados Sí
6.2 ¿Quién es responsable de manejar los incidentes de seguridad relativos al computador?
El departamento de informática
6.3
¿Con quién se debe comunicar en caso que el computador deje de operar correctamente y usted no pueda solucionar el problema?
Los procedimientos ante los incidentes deben permanecer al alcance de los usuarios de la información Al jefe del
departamento de informática
6.4 ¿Desarrolla o programa en los mismos sistemas utilizados por los usuarios?
Para minimizar el abuso potencial debe existir una adecuada segregación de funciones. Personas diferentes deben ser responsables de distintas funciones del computador. Deben separarse los sistemas de desarrollo de los sistemas de producción. No
6.5 ¿Cómo se asegura que los errores de programación u omisiones no causarán fallas en la operación de los sistemas?
Los cambios a las facilidades y sistemas de TI deben controlarse
Se realizan pruebas de funcionamiento en
140
Interrogante Punto de enfoque Observaciones
6.6 ¿Tiene un control de cambios a los programas?. Por favor descríbalo.
un simulador del sistema antes de introducir los cambios
6.7
¿Tiene algún estándar para pruebas de compatibilidad de hardware o software dentro de su ambiente?
Se deben establecer criterios para la aceptación de nuevos sistemas, así como pruebas de capacidad antes de su aceptación Sí
6.8
¿Existe un programa procedimiento para control de cambios para verificar que dichos cambios son necesarios, si son apropiados y que podrá implantarse sin problemas?
Los cambios en la operatividad deben ser controlados adecuadamente
Sí
6.9
¿Qué tipo de entrenamiento reciben los empleados acerca de virus de computadoras?
Se informa sobre virus potenciales y la forma de contaminar las maquinas por medio de memorandums
6.10
¿Qué medidas de seguridad se han instalado para prevenir los virus informáticos?
Se deben implementar medidas preventivas para la detección de virus, así como los procedimientos a ser usados
Antivirus instalados en las máquinas
141
Interrogante Punto de enfoque Observaciones
6.11
¿Se hacen copias de seguridad de todos los sistemas de forma regular y programada?
Copias de seguridad de los datos sensitivos del negocio deben realizarse regularmente. Sí
7 Sistemas de control de acceso
7.1
¿Existe un procedimiento formal utilizado para otorgar y remover derechos de acceso de los usuarios sobre información almacenada en las computadoras y sobre la red?
Debe existir un procedimiento formal para el registro de los accesos de los usuarios a los servicios de tecnología de información. Sí.
7.2 ¿Qué usuarios tienen accesos especiales?
7.3 ¿Cuáles son y de qué forma se restringen y controlan?
Los usuarios con accesos privilegiados deben ser restringidos y controlados adecuadamente.
Gerencia General y Técnicos programadores
7.4
¿Cómo se asegura que los passwords son difíciles de descubrir y solo la persona que lo estableció puede tener acceso a través de su uso?
La asignación de contraseñas a los usuarios debe ser controlada para mantener la seguridad.
El sistema encripta esta información y no puede ser vista
7.5 ¿Cómo selecciona su contraseña? Los usuarios deben seguir inteligentes prácticas de seguridad en la selección y uso de palabras claves.
Los usuarios la seleccionan libremente
7.6 ¿Qué controles especiales se ponen en programas fuente y bibliotecas?
Se deben restringir y controlar los accesos a programación de bases de datos. Passwords
142
Interrogante Punto de enfoque Observaciones
8 Desarrollo y mantenimiento de sistemas
8.1 ¿En que fase del desarrollo de los sistemas se definieron y convinieron los requisitos de seguridad?
Durante la programación
8.2 ¿Son incluidos en los análisis de costos los costos del ciclo de vida de la seguridad?
No
8.3 ¿Se incluyen controles de seguridad en todos los diseños del sistema en uso?
Para cada proyecto en desarrollo se debe realizar un análisis de los requerimientos de seguridad
Si
8.4 ¿Cómo se validan los datos de entrada a los sistemas en uso?
Se deben validar las entradas de datos a los sistemas.
Por me dio de cruce de información
8.5
¿Se utilizan diversos elementos de datos correlacionados (Ej. los códigos postales correlacionaron con las ciudades) para verificar consistencia?
Se deben validar los datos generados internamente en los sistemas.
Sí
8.6 ¿Cómo es ejercitado el control sobre software en sistemas operativos?
Se debe ejercer un control determinante sobre la puesta en práctica del software en sistemas operacionales.
Solamente el personal de informática tiene autorización para instalar programas y revisar si se han instalado programas adicionales.
8.7 ¿Esto se aplica a todo el software? Sí
143
Interrogante Punto de enfoque Observaciones
8.8 ¿Existen procedimientos formales del control de cambios en sistemas operativos?
Se deben poseer procedimientos formales de control de cambios. Sí
8.9 ¿Cómo prueba los cambios del sistema operativo para su seguridad?
El impacto de los cambios del sistema operativo debe ser revisado por seguridad.
8.10 ¿Cómo evita la modificación no autorizada del software?
Las modificaciones a los paquetes de software deben ser restringidos. Cualquier cambio esencialmente debe ser controlado.
Por revisión trimestral de los equipos
9 Plan de continuidad del negocio
9.1 ¿Poseen un plan de continuidad del negocio?
No
9.2 ¿Que tan a menudo revisa el plan de continuidad del negocio y cuan a menudo se cambia?
Debe existir un proceso de mantenimiento y un plan de contingencia dentro de la organización. Los registros importantes de una organización deben ser protegidos contra la pérdida, destrucción y falsificación. N/A
9.3 ¿Poseen un marco de continuidad del negocio que cubra toda la organización?
N/A
9.4 ¿Cómo prueban sus planes de continuidad y que resultados muestran estas pruebas?
Los planes de contingencias del negocio deben ser adaptados regularmente.
N/A
144
Interrogante Punto de enfoque Observaciones 10 Cumplimiento
10.1 ¿Conoce todos los requisitos legales para la operación sus sistemas?
Sí
10.2 ¿Cómo verifica que los empleados no tengan, ni utilicen copias ilegales del software? Demuéstremelo.
Se debe prestar atención a las restricciones legales sobre el uso de software registrados.
Cruzando la información del sistema con las respectivas licencias.
10.3 ¿Existen medidas para asegurar la retención de información por un período de tiempo requerido por la ley?
Los registros importantes de una organización deben ser protegidos contra la pérdida, destrucción y falsificación.
Sí
10.4
¿Hay una política que incluya que, por mandato, la tecnología de información de la organización se puede utilizar solamente para los propósitos legítimos de la organización?.
Las facilidades de TI deben ser utilizadas únicamente para los autorizados por el negocio.
Sí
10.5 ¿Que tan a menudo se realizan chequeos a los estándares de seguridad corporativos?
Se debe considerar una revisión regular de todas las áreas dentro de la organización de conformidad con políticas y estándares de seguridad. Trimestralmente
145
ESTABLECIMIENTOS DE LOS OBJETIVOS OBJETIVO BASICO: El objetivo básico expresar opinión profesional independiente, sobre la razonabilidad de los
Estados Financieros de AGRINTER, S.A. DE C. V., de conformidad con los principios de
contabilidad generalmente aceptados y las Normas Internacionales de Contabilidad (NIC). El
examen está basado en normas de auditoria generalmente aceptadas y las Normas
Internacionales de Auditoria.
Ciclos a Considerarse y Objetivos a Cumplir: I. Ciclos de Efectivo, Cuentas por Cobrar e Ingresos Efectivo, saldo en caja, cuentas bancarias (Corrientes y de Ahorro.) Cuentas por Cobrar Clientes (Cuentas Comerciales) y Compañías Relacionadas. Reconocimiento de Ingresos. Objetivos:
Existe efectivo y está disponible para cumplir con obligaciones de la entidad; es apropiado el corte de recaudos, y desembolsos; saldos de bancos concilian con saldos del mayor general; y las partidas de conciliación son adecuadas
Las cuentas por cobrar comerciales son recuperables y son propiedad de la
entidad. Las cuentas por cobrar comerciales representan ventas pendientes de cobro u
otros cargos a clientes y son propiedad de la entidad. Todos los cobros en efectivo se registran apropiadamente.
Valuación apropiada de las cuentas por cobrar comerciales (se han hecho
provisiones para los montos incobrables). Todos los ingresos por comisiones de ventas de boletos y otros servicios se
registran debidamente. Los ingresos registrados están de acuerdo con métodos de reconocimiento de
ingresos adecuados, han sido aplicados consistentemente y están revelados adecuadamente
146
II. Ciclo de Activo Fijo y Gasto por Depreciación a. Activo Fijo, verificación de las Adiciones y Retiros, su forma de registro. b. Reconocimiento de Gasto por la depreciación acumulada. Objetivos:
Se registran todas las partidas que deben ser capitalizadas; todas las ventas, retiros, y otras disposiciones y ganancias y pérdidas relacionadas se registran.
Propiedad, planta y equipo existen y son propiedad de la entidad y se utilizan en las operaciones.
Los montos capitalizados son apropiados y no incluyen montos que se requiere sean gastados.
Valuación apropiada y principios de contabilidad se aplican consistentemente (registro al costo de adquisición; partidas retiradas, para la venta o dañadas reciben un valor apropiado; depreciación es correcta y se basa en estimaciones apropiadas de métodos y vida útiles).
III. Ciclo de Proveedores y Acreedores Varios a. Proveedores de servicios, que se relacionen al giro o la actividad desarrollada por el
cliente. b. Acreedores Varios, obligaciones por pagar por cuenta propia o por retenciones efectuadas. Objetivos:
Todos los montos por pagar a proveedores u otros por bienes o servicios recibidos (Acreedores Varios) antes del fin de año se incluyen o si no, se acumulan.
Todos los desembolsos son válidos y se registran apropiadamente (estos son por bienes y servicios recibidos por la entidad; el monto y clasificación de las cuentas como activos, gastos, pasivos y otras son apropiados.)
Principios de contabilidad son adecuados y se aplican consistentemente (ajustes de interés, si se requieren, son reconocidos).
IV. Ciclo de Patrimonio a. Capital suscrito y pagado. b. Registro del patrimonio en libros de control interno mercantil. c. Aumentos o disminuciones de capital. d. Distribución o ajustes a las utilidades acumuladas.
147
Objetivos: Todas las transacciones del patrimonio, incluyendo dividendos, se reconocen y
son propiedad de la entidad. Los principios de contabilidad aplicados a las transacciones del patrimonio y las
revelaciones relacionadas a la estructura del patrimonio son adecuadas y consistentes.
Registro adecuado en los respectivos libros de control interno.
V. Ciclo de Costos y Gastos por los Servicios Prestados a. Integración de la cuenta de costos. b. Reconocimiento de gastos, tales como honorarios, salarios, seguridad, publicidad, etc. Objetivos:
Se registran los montos no pagados al final del período, los cuales corresponden a costos y gastos devengados y obligaciones reales para la compañía.
Los montos registrados son exactos, representan bienes o servicios recibidos por la entidad, y corresponden a las actividades o al giro que desarrolla la sociedad.
ANTECEDENTES DE LA SOCIEDAD a) FINALIDAD:
AGRINTER, S.A. DE C.V., es una empresa salvadoreña, cuya finalidad es comercializar insumos agropecuarios al por mayor adquiridos principalmente de empresas relacionadas. La estrategia competitiva principal de la compañía es mantener un alto nivel de servicios.
b) EMPLEADOS QUE LABORAN A LA FECHA DE NUESTRA AUDITORIA El personal se distribuye en Ejecutivos, Vendedores y Administrativos, actualmente se cuenta con un total de 33 empleados.
PERSONAL CLAVE:
Ing. Salvador Hernández Director Presidente Ing. Fernando Merino Directora Secretaria Lic. Alejandro Peña Gerente
Administrativo Lic. Gustavo Iraheta Contador General
148
ESTRUCTURA ORGANIZATIVA: La estructura organizativa de la empresa se encuentra según el siguiente detalle: Gerencia General: Área Operativa
Representante Legal Área de Ventas Bodega de Inventarios Área Financiera Contabilidad
Cuentas por Cobrar Cuentas por Pagar Exportaciones
Área de Sistemas
RECONOCIMIENTO DEL ÁREA DE LA AUDITORIA Los Estados Financieros de la Sociedad, al 30 de septiembre de 2006, con las principales cifras y variaciones durante seis meses desde el cierre del ejercicio 2005 y los porcentajes de participación en el monto total del Activo, Pasivo, Patrimonio y Resultados expresados en dólares americanos, se detallan a continuación:
Saldos al % de
Variación 30/09//06 31-12-05
Variaciones
Activo Activo No Corriente Propiedad Planta y Equipo US$ 965,534 966,786 (1,252) (0.13) Cuentas por Cobrar a Largo Plazo 17,552 17,552 - 0 Cargos Diferidos y Otros Activos 7,365 699 6,666 91 Total Activo No Corriente 990,451 985,037 5,414 Activo Corriente Cuentas y Documentos por Cobrar US$ 784,336 568,153 216,183 28 Inventario 15,691 - 15,691 100 Efectivo 132,779 123,831 8,948 7 Total Activo Corriente 932,806 691,984 240,822 Total Activo US$ 1,923,257 1,677,021 246,236 Pasivo y Patrimonio Patrimonio Patrimonio US$ 217,143 217,143 - 0 Utilidades y Reservas 291,244 291,244 - 0 Utilidad del presente ejercicio 91,046 - 91,046 100 Total Patrimonio US$ 599,433 508,387 91,046
Pasivo No Corriente
149
Prestamos Bancarios a Largo Plazo 489,823 510,630 (20,807) (4)
Total Pasivo no Corriente US$
1,089,256
1,019,017 70,239 Pasivo Corriente Cuentas y Gastos por Pagar 380,976 193,373 187,603 49 Prestamos Bancarios a Corto Plazo 452,951 464,631 (11,680) (3) Obligaciones Transitorias 74 - 74 100 Total Patrimonio 834,001 658,004 175,997
Total Pasivo y Patrimonio US$
1,923,257
1,677,021 246,236 Valores expresados en dólares de los Estados Unidos de América.
Resultados Saldos al
30-Sep-06 30//09/05 Variaciones
% de Variación
Ventas
Ventas de Boletos US$ 1,096,817 927,017 169,800 15
Costo de Ventas 364,317 172,191 192,126 53
Utilidad Bruta 732,500 754,826 (22,326)
Otros Gastos
Gastos de Operación 641,454 662,839 (21,385) (3)
Utilidad del Ejercicio US$ 91,046 91,987 941
Valores expresados en dólares de los Estados Unidos de América. El porcentaje es en relación al total de Activo, Pasivo y Capital Vrs. cada rubro que compone el total de costos y gastos.
DETERMINACION DEL RIESGO DE AUDITORIA Y CONFIANZA EN EL CONTROL INTERNO La evaluación del riesgo determinada para el cliente se estima “Medio”, ya que no existe segregación de funciones y controles adecuados en las áreas de mayor riesgo y asimismo no se poseen manuales de procedimiento por escrito. Cuentas en las que se estima resguardar el riesgo de auditoria:
Efectivo, manejo y control Cuentas y Documentos por Cobrar Activo Fijo Proveedores Acreedores Costos y Gastos
150
ENFOQUE DE LA AUDITORIA Y ALCANCE DE LAS PRUEBAS El enfoque será Sustantivo, el enfoque de las pruebas será analítico-transaccionales. El enfoque de la auditoria es sustantivo, debido a que es el medio más efectivo para obtener a satisfacción de la auditoria con respecto a la validez de las aserciones de los Estados Financieros. Por otro lado los procedimientos analíticos y las pruebas de transacciones proporcionando evidencia directa de la validez de las aserciones.
El detalle de las pruebas a realizarse por los componentes más importantes, se presenta a continuación:
a) Efectivo en las cuentas bancarias según conciliaciones bancarias así como confirmaciones con
las instituciones financieras al cierre del ejercicio a dictaminarse, y evaluaciones de liquidaciones de caja por los ingresos diarios de abonos, cancelaciones de clientes y ventas en efectivo y su verificación.
b) Cuentas por cobrar a clientes y Compañías Relacionadas, verificación del control interno, procedimiento para otorgar créditos por venta de boletos en primer visita, arqueo de documentación de soporte al encargado de las cuentas, así como pagos posteriores recibidos con relación del ingreso del efectivo a las cuentas bancarias en segunda visita intermedia y análisis del porcentaje de variación durante la tercer visita interina y visita de cierre.
c) Activo Fijo, verificación de adiciones y retiros, asimismo verificar las cuotas de depreciación en segunda visita y visita de cierre.
d) Prestamos Bancarios, verificación de cuota mensual, mediante la Escritura de Otorgamiento de Crédito, en primer visita y visita de cierre.
e) Cuentas por Pagar, arqueo de documentos y verificación de pagos posteriores en segunda visita y visita de cierre.
f) Costo de Ventas, conciliación según gastos por comisiones por venta de boletos, contabilización, en visita de cierre.
g) Análisis de los gastos generados en los departamentos de Ventas y Administración, evaluación de partidas significativas (importación material) de gastos generados según los diferentes conceptos:
Honorarios Profesionales Comisiones Depreciación Empleados Salarios Administrativos Reparación y Mantenimiento
Las partidas de gastos se evaluarán a través de cálculos generales y documentación de soporte anexa a los cheques de pagos emitidos o notas de abono realizadas en las cuentas bancarias, cuando sean aplicables y a través de partidas específicas por montos significativos. La evaluación del gasto se realizará durante la primera visita interina y con análisis de los porcentajes de variación en la segunda visita y visita de cierre, combinándolo con las evaluaciones de los programas de auditoria fiscal. No se establecerá un monto base para la evaluación los gastos a ser examinados, ya que dependerá del juicio y criterio del auditor así como la materialidad de los gastos que se encuentren sustentados durante el desarrollo de las guías de auditoria estos serán evaluados en la segunda visita y de acuerdo al porcentaje de variación en visita de cierre. i) Conciliación de Ingresos Contables y los reportados para efectos fiscales en las declaraciones de
IVA y Pago a Cuenta, así como los ingresos registrados en los libros de IVA debido a que la empresa aplica dictaminarse fiscalmente por el volumen de ventas, esta área será cubierta y documentada en los papeles de trabajo fiscales legajo corriente.
151
Las guías de auditoria se encuentran documentadas en los papeles de trabajo legajo corriente y anexos a esta planeación.
DETERMINACIÓN DE LOS RECURSOS NECESARIOS PARA EJECUTAR LA AUDITORÍA
El personal asignado para la auditoria, y el total de horas a invertir para el desarrollo de la
misma, es el siguiente:
Actividades Socio Encargado Asistente Total Preparación del memorando de planeación 32 32
Revisión y autorización de la planificación 4 4
Desarrollo de la Auditoria 4 130 134 Elaboración de Cartas de Control Interno 24 24
Revisión de Pt´s 32 32 Elaboración y revisión del borrador del informe 8 16 24
Revisión y firma del Informe Final 8 8
Discusión del informe con el cliente 2 2
Total 14 44 202 260 % 5 17 78 100
El total de horas corresponden a tres visitas a realizarse al cliente, las horas asignadas por cada
visita para el asistente de auditoria son de 32 horas en las primeras tres visitas al cliente, y de 8 horas
para elaborar el informe por visita y 8 horas para la visita de cierre.
COMUNICACIÓN DE LOS RESULTADOS
Al finalizar el examen por cada visita se emitirá un informe de control interno, sobre la auditoria realizada, y al finalizar el cierre del ejercicio por parte de la Sociedad, se emitirá la Opinión Financiera sobre la razonabilidad de las cifras presentadas en los estados financieros. Dichos informes serán enviados en borrador y discutidos con el cliente, antes de presentar los definitivos.
APROBACIÓN DEL MEMORANDO DE PLANEACIÓN DE LA AUDITORIA.
Aprobado por: Fecha:________________________ Supervisado por: Fecha:________________________ Elaborado por: Fecha:________________________
152
"AGRINTER" PROGRAMA DE AUDITORÍA PARA: CUENTAS POR COBRAR
PROCEDIMIENTO SI NO N/A PT REALIZADO
POR
1 Observe e indague sobre la separación de funciones en las transacciones de ventas.
2 Indague sobre los procedimientos del gerente para
aprobar los límites de crédito.
3 Observe como el encargado de cuentas por cobrar ingresa los datos del clientes y determinar si:
a) Ingresa un "password" (Contraseña) para entrar al sistema.
b) El sistema realizar un chequeo de validez para el número del cliente.
c) El sistema determina si el límite de crédito del cliente no se excede.
d) El sistema compara el precio de venta con el costo del producto y exige anulación cuando el costo es superior al precio de venta.
4 Observe si el computador asigna números a las facturas
de ventas
5 Revise el archivo de facturas de ventas con los informes de entrega adjunto y obtenga evidencia de que toda la numeración está completa y que todos las facturas tienen informe de entrega adjunto.
6
Indague sobre los procedimientos del gerente de contabilidad para conciliar el archivo maestro de cuentas por cobrar con el mayor general.
7 Observe el envio por correo de los extractos o estados de
cuentas mensuales.
8 Indague sobre los procedimientos para aprobación de devoluciones y rebajas sobre ventas por parte de la gerencia de ventas.
9
Observe e indague sobre la separación de funciones para entradas de efectivo.
10 Observe el listado y el endoso de cheques por parte del
recepcionista.
153
11 Observe cuando el encargado de cuentas por cobrar ingresa las entradas de efectivo para determinar si:
a) La contraseña es digitada para ingresar entradas de efectivo.
b) El nombre del cliente se muestra en la pantalla cuando se ingresa el número de cliente.
12 Pruebe los procedimientos para conciliar los totales de
control del programa de cuentas por cobrar de la siguiente manera:
a) Indague sobre los procedimientos b) Seleccione una muestra de los listados de totales del
control e inspecciónelos en busca de evidencia de conciliación
13
Pruebe los procedimientos para revisión y seguimiento sobre los informes de excepción del programa de cuentas por cobrar de la siguiente manera:
a) Indague sobre los procedimientos b) Seleccione una muestra de informes de excepcón e
inspecciónelos en busca de evidencia del seguimiento de las excepciones.
14
Pruebe los procedimientos para conciliar el resumen por computador de los cobros de efectivo y de las ventas en efectivo con volantes de depósitos y el listado de las entradas de efectivo de la siguiente manera.
a) Indague sobre los procedimientos b) Seleccione una muestra de los resumenes del
computador e inspecciónelos en busca de evidencia de conciliación.
HECHO POR REVISADO POR AUTORIZADO POR
154
155
156
“AGRINTER" PROGRAMA DE AUDITORÍA PARA: CUENTAS POR PAGAR
PROCEDIMIENTO SI NO N/A PT REALIZADO
POR
1 Observe e indague sobre la separación de funciones en las transacciones de compras
2 Indague sobre los procedimientos del gerente para
aprobar el pago de facturas
3 Observe como el encargado de cuentas por pagar ingresa los datos del las ordenes de compra y determinar si:
a) Ingresa un "password" (Contraseña) para entrar al sistema.
b) El sistema realizar un chequeo de validez para el número del proveedor
4 Observe si el computador asigna números a las
odenes de compra
5 Revise si el computador asocia la información de las facturas de los proveedores con las ordenes de compra y la fecha de recepción.
6 Revise si el computador prueba la precisión
numérica de las facturas de los proveedores
7 Indague sobre los procedimientos del gerente de contabilidad para conciliar el archivo maestro de cuentas por pagar con el mayor general.
8 Indague sobre los procedimientos para aprobación de pago de facturas a los proveedores
9 Observe e indague sobre la separación de funciones
para desembolsos de efectivo
10 Observe cuando el encargado de cuentas por pagar ingresa las salidas de efectivo para determinar si:
a) La contraseña deber ser digitada para ingresar entradas de efectivo.
b) El nombre del proveedor se muestra en la pantalla cuando se ingresa el número de proveedor.
11 Pruebe los procedimientos para conciliar los totales
de control del programa de cuentas por pagar de la
157
siguiente manera:
a) Indague sobre los procedimientos b) Seleccione una muestra de los listados de totales
del control e inspecciónelos en busca de evidencia de conciliación
12 Pruebe los procedimientos para revisión y
seguimiento sobre los informes de excepción del programa de cuentas por pagar de la siguiente manera:
a) Indague sobre los procedimientos b) Seleccione una muestra de informes de
excepcón e inspecciónelos en busca de evidencia del seguimiento de las excepciones.
13 Pruebe los procedimientos para conciliar el resumen
por computador de los pagos de efectivo y de las compras en efectivo con volantes de cheques y el listado de las salidas de efectivo de la siguiente manera.
a) Indague sobre los procedimientos b) Seleccione una muestra de los resumenes del
computador e inspecciónelos en busca de evidencia de conciliación.
HECHO POR REVISADO POR AUTORIZADO POR
158
159
2 de Octubre de 2006 A la Junta Directiva y a los Accionistas de AGRINTER, S. A. de C. V.
Como parte integral de nuestra auditoría a AGRINTER, S.A., por el año que terminará el 31 de diciembre de 2006, hemos concluido la evaluación al ambiente de control de la jefatura de sistemas y las operaciones realizadas en los componentes de Cuentas por Cobrar y Cuentas por Pagar.
Los objetivos al realizar nuestro trabajo estuvieron orientados a evaluar el control interno en las siguientes áreas: Evaluar la organización de la gerencia. Evaluar los controles implementados en actividades de desarrollo y mantenimiento de
sistemas, operaciones y seguridades. Evaluar los controles implementados en las operaciones de los módulos de cuenta s
por Cobrar y Cuentas por pagar. Identificar las características principales de los sistemas y entornos informáticos. Identificar los cambios significativos en los sistemas y entornos informáticos.
Adjunto encontrará nuestras observaciones y recomendaciones correspondientes.
Tendremos mucho gusto en discutir y explicar en más detalle estas recomendaciones, si así se estima conveniente. Atentamente, Socio
160
Condición 1
Observamos que no se cuenta con manuales de puestos y funciones del personal de
sistemas.
Riesgos
a. Confusión de funciones y responsabilidades, careciendo de una visión clara y
precisa de las estrategias y objetivos administrativos del departamento.
b. Falta de claridad y precisión de los perfiles requeridos.
c. Duplicidad de funciones.
d. Pérdida de la segregación de funciones.
Recomendación
Definir y elaborar formalmente por escrito los manuales de puestos del personal de
informática, estos manuales deberían contener al menos la siguiente información.
a. Nombre de la unidad
b. Naturaleza del puesto de trabajo
c. Descripción específica del puesto
d. Definición de funciones periódicas, continuas y eventuales
e. Las relaciones de trabajo internas y externas
f. El manejo de información confidencial
g. Las responsabilidades sobre activos y valores
h. Sus habilidades motrices
161
i. Las características personales
j. Los conocimientos técnicos del puesto
k. Los requisitos de educación y conocimientos especiales
l. La experiencia requerida, interna y/o externa
m. Otros detalles como edad, sexo y estado civil
Condición 2
Se verificó el comunicado que contiene las políticas de seguridad, en el cual se
establecen las actividades que se deben llevar a cabo en cada área pero no se
especifican aspectos tales como: fecha de vigencia, responsables de realizar las
diferentes actividades, revisado por, aprobado por, versión actual, fecha de última
modificación, numeración de páginas, etc.
Riesgo
No contar con la documentación completa podría provocar que en el momento en que
ocurra una eventualidad las responsabilidades para cada puesto no estén claras y las
tareas no se realicen de la forma adecuada.
Recomendación:
Debe evaluarse la posibilidad de desarrollar el manual de políticas de seguridad del
área de IT para que contenga información relevante tal como:
a. Nombre del procedimiento
b. Objetivo
162
c. Alcance
d. Responsabilidades
e. Desarrollo
f. Versión
g. Fecha de última modificación
h. Número de página.
Condición 3
Indagamos que no se cuenta con personal externo que realice la función de auditoría
de seguridad de información, así como impartir capacitación técnica
Riesgos
a. Predisposición a sufrir daños en los activos de información por la falta revisiones
por personal experto.
b. Dificultad para analizar y comprender las políticas de seguridad implementadas
por la gerencia debido a que no se cuenta con suficiente conocimiento técnico.
c. Se incrementa el tiempo y costo empleado para poder realizar mantenimiento
preventivo a los activos de información.
Recomendación
a. Contratar a personal externo para realizar la función de auditoría de seguridad de
la información.
163
b. Es necesario que se contraten a expertos externos para impartir seminarios de
capacitación al personal respecto de la seguridad que debe mantenerse en las
instalaciones y los activos de información.
Condición 4
Observamos que no se han implementado políticas de passwords en la aplicación, tales
como acuerdos de confidencialidad, sanciones por divulgación de claves, longitudes
mínimas y máximas, vencimientos y bloqueos de las claves.
Riesgos
Acceso no autorizado al sistema.
Recomendaciones
Implementar políticas de seguridad de passwords a través de la cuales se implementen
restricciones en las claves de seguridad de los usuarios tales como: acuerdo de
confidencialidad, sanciones por divulgación de claves, vencimientos periódicos,
cantidad de caracteres mínimos a utilizar, complejidad en la definición, entre otros.
Condición 5
Al evaluar las políticas y procedimientos para la elaboración de copias de seguridad,
observamos lo siguiente:
a. No se han elaborado formalmente por escrito procedimientos para efectuar
copias de seguridad sobre los datos y aplicativos de la empresa.
164
b. Las copias de seguridad de la empresa únicamente se almacenan dentro de las
instalaciones de la empresa, junto al servidor.
Riesgos
Pérdida total o parcial de la información en caso de desastre natural o provocado dentro
de las instalaciones de la empresa.
Recomendaciones
a. Definir formalmente y por escrito políticas para la elaboración de copias de
seguridad sobre los datos y aplicativos de la empresa.
b. Almacenar las copias de seguridad efectuadas fuera de las instalaciones de la
empresa, esto garantizará contar una versión actualizada de los datos y programas
que se tienen actualmente en producción.
Condición 6
Observamos que el área de informática no cuenta con un plan de recuperación en
casos de desastres.
Riesgos
En caso de catástrofe, la pérdida de información pone en peligro la operatividad de la
compañía.
165
Recomendación
Elaborar un plan de recuperación en caso de desastres para asegurar el correcto
reestablecimiento de los servicios informáticos, en caso de ocurrir alguna contingencia.
En este plan se deben identificar y documentar los procesos críticos del negocio y las
aplicaciones que las soportan para definir una estrategia de prioridad al momento de un
desastre.
La definición de procesos críticos permitirá definir los recursos mínimos y claves que
deberán estar listos para dar soporte a la empresa tales como: personal de apoyo,
plataformas de sistemas, hardware, software, requerimientos de espacio, equipo de
telecomunicaciones, los cuales deberán estar disponibles dentro del equipo de
recuperación para el plazo de tiempo meta definido.
Para tal efecto deben utilizarse criterios de definición de prioridades, como por ejemplo,
servicio al cliente completo, continuidad de operaciones mínimas.
Dentro de este concepto debe definirse el tiempo máximo para levantar los servicios
críticos de la empresa.
Condición 7
Durante la revisión al módulo de cuenta por cobrar se observaron las siguientes
condiciones:
166
a. El módulo permite la facturación a los clientes sin tomar en cuenta el límite de
crédito autorizado.
b. Al momento de facturar un artículo el sistema no realiza una validación en entre
el costo y el precio de venta del mismo.
Riesgos
a. Conceder créditos superiores al límite autorizado a los clientes generando una
posible irrecuperabilidad del monto adeudado por los mismos.
b. Facturar un artículo a un precio inferior a su costo generando una inconsistencia
en los costos globales de la compañía.
Recomendación
Realizar modificación al módulo de cuentas por cobrar según se detalla a continuación:
a. Que el módulo impida la facturación cuando el saldo adeudado por el cliente sea
igual a su límite de crédito autorizado.
b. Al momento de facturar impida proseguir cuando el precio de venta sea inferior a
su costo, solicitando autorización de un tercero para proseguir.
167
ANEXO 1
168
169
170
171
172
173
174
175
176
ANEXO 2
177
Medianas Empresas según la Dirección General Estadística y Censos, Ministerio de Economía 1998
Establecimiento Dirección 1 "ICIA,S.A.DE C.V." BRUMAS DE LA ESCALON,SENDA # 1,# 11 2 3M DE EL SALVADOR S.A. DE C.V. CALLE CHAPARRASTIQUE #11, URB.IND.STA.ELENA 3 A & A COMERCIAL S.A. DE C.V. CALLE A SAN ANTONIO ABABD Y AV.EL TANQUE #3508 4 ACAVISA DE C.V. 25 AV.SUR #763 5 ACCESO EL SALVADOR S.A. DE C.V. AV.ALBERT EINSTEIN #6, COL.LOMAS DE SAN FCO. 6 ACENTO S.A. DE C.V. AV.ANTIGUO CUSCATLAN E6-8, COL.LA SULTANA 7 ACERO S.A. CIUDAD MERLIOT C.L1 Y C.L2 8 ACES 1RA. C. PTE. NO. 930 9 ACOPAI 2 C. OTE. # 4-7 STA. TECLA
10 ADMINISTRACION EMPRESARIAL, S.A. DE C.V. CONDOMINIO BALAM QUITZE 2° PLANTA LOCAL N° 2 11 AGEMPRESE S.A. DE C.V. 41A. CALLE PTE., PJE.5 #536, BO.BELEN 12 AGENCIA FOREMOST 5ªC.PTE.Nº8 13 AGENCIA GARBO AV.SIERRA NEVADA #942, COL.MIRAMONTE 14 AGESPRI S.A. DE C.V. 43 AV.SUR Y C.EL PROGRESO BIS #318,CON.FLOR BLANCA 15 AGRICOLA EL CORONEL RES.MORIAH SENDA # 23,LOMAS DE SAN FCO. 16 AGROPECUARIA LA CONCORDIA S.A. DE C.V. BLVD. LOS PROCERES,ATRAS GAS.ESSO PALERMO 17 AGROSERVICIO EL SURCO S.A. DE C.V. CALLE DANIEL HERNANDEZ #3-4 18 AGROVALL, S.A DE C.V. Bº SN JANCINTO 10ª AV. SUR C. MARTIN #825 19 AIG UNION Y DESARROLLO S.A. CALLE LOMA LINDA #265, COL.SAN BENITO 20 ALAMACEN OFFICE USA PASEO GRAL. ESCALON # 1323 21 ALCAM S.A. DE C.V. 2A. AV. NTE. Y 39 C. PTE. 22 ALCATEL DE EL SALVADOR S.A. DE C.V. ALAMEDA ROOSEVELT 37 AV.SUR #2017 23 ALERTA EMPRESA C. DEL ADRIATICO # 30 COL. JARDINES DE GUADALUPE 24 ALFASAL S.A. DE C.V. BLVD. MERLIOT Y C. L-2 ANT. CUSCATLAN CDAD. MERLIO 25 ALFATAX EDIF. CARBONEL # 1 2ª PLANTA CARRTE.A SANTA TECLA 26 ALFATEX 31 C.OTE.Nº315 B COL.LA RABIDA 27 ALISAL,S.A. DE C.V. BLVD.PYNSA, CALLE L-2, BODEGA 13-4. 28 ALMACEN CENTRO TEXTIL 2-C PTE Y AV. MORAZAN # 130 29 ALMACEN CLAUDYCAR 7ª AV. SUR # 325 30 ALMACEN LA NUEVA MILAGROSA S.A DE C.V. 5º AV.SUR EDIF.MILAGROSA 31 ALMACEN PACIFICO CALLE LA MASCOTA #320, SAN BENITO 32 ALMACENES FREUND BLVD. LA SULTANA Y BLVD. LOS PROCERES 33 ALMACENES ROLIN Y NEW YORK CALLE RUBEN DARIO CENTRO COMERCIAL PALOMO N 310 34 ALMACENES SCHWART, S.A DE C.V. CENTRO COMERCIAL PLAZA MERLIOT L- # 399 35 ALMACENES SURISA BLVD. DEL EJERCITO KM. 3 1/2 36 ALMACENES TROPIGAS S.A. DE C.V. FINAL C.LA MASCOTA, EDIF. LOTISA #5200 37 ALMACENES VIDRI S.A. DE C.V. 1A. C. PTE. Y AV. ESPAÑA 38 ALMACENES WESTING 1A.CALLE PTE. #134 39 ALMAPAC S.A. DE C.V. 11 CALLE PTE. # 3920 COL. ESCALON 40 ALUMINIOS INTERNACIONALES KM.3½ CARRT.LOS PLANES COL.CALIFORNIA FINAL C.ANG. 41 AMERICAN AIRLINES INC. ALAMEDA ROOSEVELT #3107, EDIF.LA CENTROAMERICANA 42 AMERICATEL EL SALVADOR, S.A. DE C.V. CALLE NUEVA N°1, CASA #3826, COLONIA ESCALON 43 ANGELITOS BLVD. DEL EJERCITO KM. 7½ 44 APPEX PUBLICIDAD 71 AV. SUR # 3660 COL. ESCALON
178
45 AQUAPURA S.A. DE C.V. CTRO. COMERCIAL FERIA ROSA LOCAL 109 C 46 AREVALO PINTO Y CIA. COL.SANTA EUGENIA #109, AV.ARAUJO 47 ARIAS ARIAS Y CIA. 29 AV. NTE. # 1223 ED. SAN JOSE 1A. PLANTA 48 ARTE COMERCIAL S.A. BLVD. DEL EJERCITO KM. 5 1/2 ENTRADA A COL. LAS BR 49 ARTES GRAFICAS PUBLICITARIAS S.A. DE C.V. BLVD. DEL EJERCITO KM. 5 1/2 C. CLOPPER SOYAPANGO 50 ARTISA,S.A.DE C.V. PLAN DE LA LAGUNA CALLE CIRCUNVALACION # 2 51 ASA POSTERS S.A DE C.V KM. 5½ BLVD. DEL EJERCITO CALLE KLAPER 52 ASEGURADORA AGRICOLA COMERCIAL,S.A. ALAMEDA ROOSEVELT # 3104 53 ASEGURADORA POPULAR,S.A. PASEO GENERAL ESCALON # 5338,COL.ESCALON. 54 ASOC.COOP. ACSA BUS AV.PPAL. Y C."C" RPTO.SAN JOSE S/N ESQUINA 55 ASOCIACION JARDIN BOTANICO LA LAGUNA URB. PLAN DE LA LAGUNA ZONA IND. 56 ASOCIACION LICEO FRANCES DE EL SALVADOR KM.10 1/2 CARRETERA SANTA TECLA 57 ATMUI PROLONG. 75 AV. NTE. # 51 RPTO. SANTA LEONOR 58 AUTO AHORRO BLVD. VENEZUELA # 2816 59 AUTO MAX BLVD. LOS PROCERES # 3 URB. LA SULTANA ANT. CUSCAT 60 AUTOFACIL S.A. DE C.V. COL.MIRAMONTE, CALLE CERRO VERDE Y AV.LOS ANDES 61 AUTOMARKET LIMITED KM. 9 ½ C. A LA LIBERTAD 62 AUTOSAL S.A. ALAMEDA ROOSVELT Y 53 AV. NTE. #2736 63 AVE CONSTRUCTORA S.A. DE C.V. COL.Y AV.STA.VICTORIA #24 64 AVELAR HERMANOS S.A. DE C.V. CALLE A STA.TECLA #3528, COL.SAN BENITO 65 AVIGAR S.A. DE C.V. RESID.ALTOS DE VISTA HERMOSA, CALLE A HUIZUCAR #7 66 AVIPRO S.A DE C.V PLAN DE LA LAGUNA 67 BANCASA ALMED.ENRIQUE ARAUJO Nº EDIF. ALMENDROS 68 BANCASA C. GABRIELA MISTRAL 69 BANCO AGRICOLA COMERCIAL S.A. 25 AV. NTE. Y 21 C. PTE. ESQUINA 70 BANCO CAPITAL S.A. 1A. C. PTE. # 3649 COL. ESCALON 71 BANCO CREDISA ALAM. JUAN PABLO II CONT. OFICINA ISSS 72 BANCO CUSCATLAN S.A DE C.V. 3 AV. NTE. Y 1 C. OTE 2-2 STA TECLA 73 BANCO DE COMERCIO DE EL SALVADOR S.A. 25 AV.NTE.Y 21 C.PJE.EDIF.EX-EMBAJADA E.E.U.U. 74 BANCO DE FOMENTO AGROPECUARIO 15 C. PTE. EDIF. PROFESIONAL CTRO. DE GOBIERNO 75 BANCO DESARROLLO SUCURSAL 67 AV SUR # 115 76 BANCO HIPOTECARIO DE EL SALVADOR S.A. PJE. SENDA FLORIDA SUR COL. ESCALON 77 BANCO PROMERICA PASEO GRAL. ESCALON 78 BARACHE, S.A DE C.V. COL. SAN JUAN C.PPAL Nº 220 COL. BELLO SAN JUAN 79 BENEFICIO LA LAGUNA PLAN DE LA LAGUNA 80 BENYANI RST S.A. DE C.V. FINAL CALLE LIBERTAD J-22, JARD. DE MERLIOT 81 BEST PLAST 6A.AV.NTE. #1430 82 BIDECA CART. A LOS PLANES KM 4½ # 4656 83 BIENES Y SERVICIOS PROLONG.JUAN PABLO II CTRO,COMERC.LA SALLE 2ªPLAN. 84 BIGGEST AUTOPISTA SUR
85 BIOKEMICAL S.A. DE C.V. CALLE ALBERTO MASFERRER #160-B BARRIO LAS MERCEDES
86 BLOKITUBOS S.A. DE C.V. KM.30 1/2, CA.TRONCAL DEL NTE. 87 BODEGA 8ª C,OTE # 1-1 88 BODEGA DE ALCALDIA ANT, RASTRO, C. ROOSEVELT PTE. #S/N 89 BODEGA DE GOLDTREE 2ª C.OTE # 7-2
90 BODEPA S.A DE C.V KM.4½CARRET.SAN MARCOS CONT.A DIESEL DE EL SALVAD.
179
91 BOLSA DE VALORES DE EL SALVADOR ALAMEDA ROOSEVELT # 3107.(EDIF.LA CENTROAMERICANA)
92 BONSOL S.A DE C.V C.NUEVA # 5 S/# COL.SANTA LUCIA ILOPANGO 93 BORDADOS DE EXPORTACION C. 5 DE NOVIEMBRE Y 10 AV.NTE # 406 S.S. 94 BORDADOS SUIZOS S.A. DE C.V. 25 AV.NTE. Y 27 C.PTE.#1416,ED.PANAMERICANO, L-106 95 BRASIERES GLORIA S.A. DE C.V. 5ªC.PTE.Nº48 96 BREIN, S.A. DE C.V. C. GUADALUPE Y PJE. SAN ERNESTO # 1320,COL.MEDICA
97 BRITISH AMERICAN TOBACCO CENTRAL AMERICA S.A. SUC. ALAMEDA ROOSEVELT #2115
98 BROOKLING MANOFACTURI MFG S.A DE C.V ENTRADA A V.NUEVO C. EL GUAJE BODEG.1, ZONA FRANCA 99 BYSSA 4A.CALLE ORIENTE # 5-8, BARRIO SAN ANTONIO
100 C.S. PROVINSA S.A. DE C.V. URB.CIMA 1, CALLE A BCK.B, #6 101 C.S.H. S.A. DE C.V. BLVD.ALTAMIRA RESID.VILLA GALERIA #13-A 102 CABLEVISA, S.A DE C.V BLVD.PYNSA #24, CIUDAD MERLIOT 103 CABOGAR S.A. DE C.V. KM.7 1/2, CARRETERA A STO.TOMAS, COL.STA.FE 104 CAFETERIA CARYMAR 2A. C. PTE. Y 16 AV. SUR 105 CAJA DE CREDITO METROPOLITANO 25 AV.NTE.Y 23 C.PTE.EDIF.FEDECREDITO 106 CAL MOTOR S.A. DE C.V. BLVD.LOS HEROES Nº1229 107 CAM MOTORS S.A. DE C.V. BLVD. LOS HEROES #1229 108 CAMPOS PEÑATE ARQUITECTOS COL. AMERICA QINTA FIGUEROA # 101 109 CAN S.A. DE C.V. 6A.C.PTE. #115 110 CARIMAR, S.A DE C.V. 2ª C. PTE. Y 16 AV. SUR SANTA TECLA 111 CARNES Y EMBUTIDOS, S.A DE C.V. COL. ESCANDIA FINAL C. ESTOCOLMO Y AV. COPENHAGUE 112 CAROSA S.A. DE C.V. C. CIRCUNVALACION PLAN DE LA LAGUNA 2 POL. D L- 1 113 CARSA COL. LAS BRISAS C. A ZACAMIL SOYAPANGO 114 CASA AMA S.A. DE C.V. 29 ACALLE PTE. Y 1A.AV.NTE. #118 115 CASA BAZZINI S.A. DE C.V. KM.4.5, CA.A SAN MARCOS 116 CASA OMAR S.A. DE C.V. 10A.CALLE PTE. E/AV.ISIDRO MENENDEZ Y 1A.AV.SUR 117 CASINO COLONIAL C. EL MEDITERRANEO # 1 AV. LAS PALMERAS EX-CINE CO 118 CASTELLANOS CAMPOS CIA. 71 AV. NTE. # 346 COL. ESCALON 119 CAYRO S.A. DE C.V. BLVD.HIPODROMO,ED.GRAN PLAZA,L-#301,COL.SN.BENITO 120 CECILIO DIAZ BUSTAMANTE 2A.AVENIDA SUR Y 4A.CALLE PTE.EDIFICIO DIAZ 121 CECOFESA DE C.V. BLVD. VENEZUELA # 2743 BIS 122 CECOSI S.A. DE C.V. 77 AV.NTE. Y 11 C.PTE.#4006, COL.ESCALON 123 CEDESA DE C.V. CALLE ANTGA. A SAN ANTONIO ABAD #285-A 124 CEFESA S.A 1RA. C. PTE. Y 19 AV. NTE. 125 CEFINCO S.A. DE C.V. 11 CALLE PTE. #3971, COL.ESCALON 126 CEFINSA DE C.V. CARRET.TRONCAL DEL NORTE KM. 12 127 CELO BLOCK S.A. DE C.V. 29 C.PTE. Y 25 AV. NTE. CONTIGUO A BCO.SALVADOREÑO 128 CEMENTO DE EL SALVADOR S.A. DE C.V. 21 C. PTE. Y 29 AV. NTE. # 1127 129 CENTRAL DULCERA S.A. DE C.V. CALLE CIRCUNV.,#21-A, PLAN DE LA LAGUNA 130 CENTRAL MERCANTIL S.A. DE C.V. CALLE LAS MERCEDES, COL.LAS PALMAS, BODEGA #1 131 CENTRO AMERICANA DE EMPAQUES S.A. COL.LAS BRISAS C. AL ZACAMIL SOYAPANGO 132 CERESA BLVD. TUTUNICHAPA # 347 133 CERILLERA LA LUZ C.PPAL FTE ESTATUA DEL INDIO ATLACATL ANTIGUO CUS. 134 CESSA AV. EL ESPINO Y BLVD. SUR EDIF. CESSA URB. MADRE S 135 CHEPAN S.A. DE C.V. CALLE EL BALSAMO J-6, BOSQUES DE STA.TERESA 136 CIA. COMERCIAL CURACAO DE EL SALVADOR S.A. DE C.V. FINAL C. LA MASCOTA EDIF. LOTISA 5200
180
137 CIA.DE SERVICIOS DE SEGURIDAD SALVADOREÑA S.A./C.V EDIF.CARISMA,L-7,2A.PTA.Y AV.SANTA MONICA,URB.B.A. 138 CIA.RAYO-VAC DE EL SALVADOR S.A. DE C.V. BLVD.MERLIOT, CDAD.MERLIOT 139 CITIBANK N.A. ALAMEDA DR.MANUEL E.ARAUJO, CALLE NVA.#1, ED.PALIC 140 CLUB CAMPESTRE CUSCATLAN PASEO GENERAL ESCALON # 5333 COL. ESCALON 141 CLUB TECLEÑO 5A. C. OTE. Y 3A. AV. NTE. C. DON BOSCO # 3-1 142 CO-AMCUSAM DE R.L. COL.SAN LUIS AV.SAN MARTIN #37 143 COCOLIMA S.A DE C.V. 65 AV SUR EDIF. MONTRESOR L- 44 1ºPLANTA 144 CODESA S.A. DE C.V. 41A.AV.SUR #518, COL.FLOR BLANCA 145 CODIFARMA, S.A DE C.V. PJE JULIANA # 4-5 146 CODIPA S.A. DE C.V. PJE.PRIVADO E/C.ANTIGUA AL MATAZANO Y C.VENECIA P. 147 COFASA FINAL AV MELVIN JONES Y 12 C.O NVA SAN SALVADOR 148 COLATINO DE R.L. 23 AVENIDA SUR # 225 149 COLEGIO BETHANIA 4A. C. OTE. STA. TECLA 150 COLEGIO DIVINA PROVIDENCIA C.CONCEPCION Nº426 151 COLEGIO DON BOSCO KM. 1 ½ C. AL PLAN DEL PITO SOYAPANGO 152 COLEGIO EUCARISTICO ALAMEDA JUAN PABLO II # 523 153 COLEGIO FATIMA 4. C. OTE. # 4-4 STA TECLA 154 COLEGIO INTERNACIONAL DE SAN SALVADOR S.A. DE C.V. CALLE LA REFORMA #169, COL.SAN BENITO 155 COLEGIO JERUSALEN RPTO.Y BLVD.SAN BARTOLO POLG.5 LOTE 1 156 COLEGIO LA ASUNCION 1RA. C. PTE. NO. 1148 157 COLEGIO LA SAGRADA FAMILIA PASEO GRAL. ESCALON # 3618 COL. ESCALON 158 COLEGIO LOS ROBLES AV. LAS GARDENIAS #1234, COL. SAN FRANCISCO 159 COLEGIO NUESTRA SEñORA DEL ROSARIO DE FATIMA 4ª CALLE OTE 4-4 STA TECLA 160 COLEGIO SAGRADO CORAZON 11° C. PTE. Y 83° AV. NTE. # 4354 161 COLEGIO SALVADOREÑO ALEMAN C. ANTIGUO CUSCATLAN COL. JARDINES DE GUADALUPE 162 COLEGIO SALVADOREÑO ESPAÑOL FINAL 65 AV. SUR # 257,COLONIA ESCALON 163 COLEGIO SALVADOREÑO INGLES 85 AV. NTE. Y 1A. C. PTE. # 113 COL. ESCALON 164 COLEGIO SAN ANTONIO 2A. C. PTE. # 4 165 COLEGIO SANTA TERESA DE JESUS KM.4 CARRETERA A SAN MARCOS 166 COLEGIO STA. CECILIA 5A. C. PTE. O C. DON BOSCO # 1-1 STA. TECLA 167 COLEGIO STA. INES 3 AV. SUR # 3-2 STA. TECLA 168 COLG. AUGUSTO WALTE C. EMILIANI #3 COL.LA SULTANA ANTG.CUSCATLAN 169 COLG. SALVADOREÑO ALEMAN FINAL SUR DE LA AV.RIO LEMPA COL.JARD.DE GUADALUPE 170 COMAGUI S.A. DE C.V. 49 AV.SUR Y 28 C.PTE.#2523 COL.LUZ 171 COMERCIAL DE PLASTICOS S.A. DE C.V. 1A.C.PTE. Y 9A.AV.NTE. #531 172 COMERCIAL INDUSTRIAL FORMOSA S.A POLIG."J" N°33,JARDINES DE CUSCATLAN 173 COMERCIAL LOTISA S.A DE C.V URB. PLAN DE LA LAGUNA LOTE # 5 POL. "C" 174 COMPAÑIA CAMPOS ROCA S.A. DE C.V. BLVD.DEL HIPODROMO EDIF.SKILIGHT CENTER #308 175 COMPAÑIA FARMACEUTICA S.A. DE C.V. FINAL AV.MELVIN JONES Y 12 C.PTE., COL.UTILA 176 COMPAÑIA RAY O VAC DE EL SALVADOR S.A DE C.V BLVD. MERLIOT EDIFICIO RAY O VAC 177 COMPLEJO EDUCATIVI ANDRES BELLO 49 AV SUR # 737 COL.FLOR BLANCA 178 COMTELSA, S.A. DE C.V. URBANIZACION LA GLORIA, PJE. 3-D, POL. D-3, N° 13 179 CONALI S.A. DE C.V. FINAL AV. SAN MARTIN #4-7 180 CONCRETERA MIXTO LISTO PROTERSA S.A. DE C.V. KM. 9 ½ C. AL PUERTO DE LA LIBERTAD 181 CONFECCIONES JESUSITA S.A. DE C.V. KM.1 1/2, BLVD.DEL EJERCITO NAC., EDIF.PIMAR 182 CONFECCIONES SAMIA COL. MODELO C. EL POLVORIN PJE. HILOHUAPA # 105 183 CONINSERV S.A.DE C.V. 67 AV.SUR, PJE.CARIBE #13, COL.ESCALON
181
184 CONSTRUCTORA BERNARD RC S.A. DE C.V. URB.AIDA, PJE. ROCIO #13 185 CONSTRUCTORA DEL PACIFICO,S.A. DE C.V. FINAL 67 AV.SUR # 5. CENTRO ROMA.COL. ROMA 186 CONSTRUCTORA PLICO S.A. DE C.V. 13 AV.NTE.#1509, COL.LAYCO 187 CONSTRUCTORA SANTOS,S.A.DE C.V. C.DEL BALTICO #2 URB.JARDINES DE GUADALUPE 188 CONSTRUCTORA VILLA R. S.A. DE C.V. FINAL 67 AV.SUR #5, CTRO.ROMA, COL.ROMA 189 CONSTRUMET S.A. DE C.V. COND. ALTAMIRA, EDIF.E, 4A.PLANTA #7 190 CONSULTA S.A. DE C.V. COL.TOLUCA PTE.C.LAS ARBOLEDAS Nº22 191 CONSUMER S.A DE C.V C.SIEMENS LOTE N°1,URB.INDUSTRIAL SANTA ELENA 192 CONTRATOS DIVERSOS PROFESIONALES,S.A. DE C.V. CENTRO URBANO JOSE SIMEON CAÑAS,EDF.52,APTO. 15 193 CONVEST S.A. DE C.V. KM. 11 ½ CARRTERA AL PUERTO LA LIBERTAD 194 COOPERATIVA DE TAXIS ACASTA DE R.L. 3RA. C. PTE. Y 19 AV. NTE. NO. 1107 195 COOPERATIVA SAN MATEO, S.A DE C.V. CENTRO COMERCIAL NOVO CTO.2ª PLANTA L-#54-B STA T. 196 COPRESA S.A. DE C.V. ZONA IND. PLAN DE LA LAGUNA BLOCK 3 # 10 ANT. CUSC 197 CORPAK S.A. DE C.V. KM. 3 ½ BLVD. DEL EJERCITO NAC. 198 CORPOBELO CALLE Y COL.MAQUILISHUAT #24 199 CORPORACION DE CREDITO Y SERVICIOS S.A. DE C.V. 79 AV.SUR Y C.CUSCATLAN,EDIF.PLAZA CRISTAL 3ER.N. 200 CORPORIN S.A.DE C.V. URB.INDUSTRIAL C.ANTG.CUSCATLAN# 21 201 CORSIPRO S.A. DE C.V. RESID.DECAPOLIS PJE. SAN JOSE #2 202 COSA DE C.V. AV. BERNAL #621 203 COSAL COMERCIAL SALVADOREÑA PLAN DE LA LAGUNA C. CIRCUNVALACION POL. D L- 1 Y 204 COSERVISA S.A. DE C.V. CTRO.URB.JOSE SIMEON CAÑAS, EDIF.#92-11 205 COSMETICOS Y PERFUMES, S.A DE C.V. FINAL11 AV. SUR COL. UTILA CARRT AL PUERTO ED.-EMP 206 COSPER S.A. DE C.V. ZONA INDUSTRIAL STA.ELENA, CALLE SIEMENS LOTE #1 207 COURIER INTERNATIONAL, S.A. DE C.V. CALLE EL PROGRESO # 3139 COL. ROMA SAN SALVADOR 208 COURVAN FINAL 67 AV SUR CENTRO ROMA L-5 209 COVAL INDUSTRIES C. LOS POCITOS PJE. BOLAÑOS # 141 COL. DOLORES 210 COVEBIRA S.A. DE C.V. COL.SAN FCO.AV.LOS ABETOS PJE.#2 CASA #21 211 CREACIONES ROXANA C. EL PROGRESO # 2711 COL. FLOR BLANCA 212 CREACIONES VISOL COL. PROVIDENCIA C. SEVILLA # 536 213 CREDENDA S.A. DE C.V. COL.CENTROAMERICA FINAL CALZADA MORAZAN #7 214 CREDISA S.A. 9A. C. OTE. Y 2A. AV. NTE. S/N 215 CRIAVES S.A. DE C.V. BLVD.PYNSA #5, CDAD.MERLIOT 216 CROMEYER PARRAGA S.A. DE C.V. BLVD.DEL HIPODROMO, EDIF.SKILIGHT CENTER #312 217 CTRO. HARVARD 73 AV. NTE. Y 3A. C.PTE. # 252 COL. ESCALON 218 CUEROS ARTIFICIALES S.A. COL.LAS BRISAS C. AL ZACAMIL SOYAPANGO 219 CUEROS Y VINILES DE CENTRO AMERICA S.A. DE C.V. COL.LAS BRISAS C.AL ZACAMIL SOYAPANGO 220 CUN S.A. DE C.V. CALLE FCO.MENENDEZ #38,URB.POMPEYA, BO.STA.ANITA 221 CYBERNET DE EL SALVADOR S.A. DE C.V. AVENIDA OLIMPICA, CTRO.COM.GIGANTE, L-1 222 DADA DADA Y CO. S.A DE C.V. 3RA. C. PTE. Y 21 AV. NTE. EDIF. ERICSON 223 DANIEL CARR & ASSOCIATES,S.A. DE C.V. CALLE LOS SISIMILES # 95, JDNES. DE MIRAMONTE 224 DANY S.A. DE C.V. PJE.BOLAÑOS #136, COL.DOLORES 225 DELTA S.A. DE C.V. PROL.AV.MASFERRER,CALLE A CTON.EL CARMEN, PJE.9 226 DELTEL S.A. DE C.V. AV. WASHINGTON #49 C0L. LIBERTAD 227 DEPOSITO DE TELAS S.A. DE C.V. 1º C.PTE Y 11 AV.NTE 228 DEPROIN S.A. DE C.V. COND.HEROES NTE.,EDIF.D, L 3-20, BLVD.LOS HEROES 229 DESPENSA DE DON JUAN S.A. DE C.V. 2A. C. OTE. # S/N 230 DHL DE EL SALVADOR 47 AV.NTE Y PJE.LAS TERRAZAS # 104
182
231 DIDEA PINTEN S.A. DE C.V. 21 AV.SUR Y 12 C.PTE 232 DIDERI,S.A. DE C.V. CALLE GUADALUPE,URBANIZACION LA ESPERANZA 233 DIESEL DE EL SALVADOR S.A DE C.V KM.4½ CARRETERA A SAN MARCOS 234 DINDEX S.A. DE C.V. FINAL 8A. AV. NTE. Y 25 C. OTE. # 408 235 DINTASA S.A. DE C.V. KM. 9 ½ C. AL PUERTO LA LIBERTAD 236 DIPROEX S.A. DE C.V. KM.4 1/2,CARRETERA A SN.MARCOS,ENT.PQUE.INDUSTRIAL 237 DIPSA DE C.V. URB. IND. PLAN DE LA LAGUNA C. CIRCUNVALACION PJE. 238 DISCOTEQUE SOCIEDAD DE MESEROS 2ªC.OTE. Y 10ª AV.SUR Nº603 239 DISCOVERY PJE.DORDELLY # 4410 / 85 Y 87 AV.NORTE 240 DIST.INTERAMERICANA DE ALIMENTOS S.A.DE C.V. C. L-1 CIUDAD MERLIOT ANT. CUSCATLAN 241 DISTRIBUIDORA BON APETIT S.A. DE C.V. COMPLEJO IND. SANTA ELENA FINAL C. CHAPARRASTIQUE 242 DISTRIBUIDORA CUSCATLAN S.A. DE C.V. 4A.AV.NTE. #1-7 243 DISTRIBUIDORA D C BLVD.TUTUNICHAPA #2057 244 DISTRIBUIDORA DE ELECTRICIDAD DEL SUR S.A. DE C.V. SEXTA DECIMA C. PTE. Y 33 AV. SUR 245 DISTRIBUIDORA DE LICORES S.A C. CIRCUNVALACION BODEGA 4 PLAN DE LA LAGUNA 246 DISTRIBUIDORA ELECTRICA S.A. DE C.V. BLVD. PINSA # 3 ZONA IND. CDAD. MERLIOT ANT. CUSCA 247 DISTRIBUIDORA SHELL DE EL SALVADOR S.A. KM.11 1/2, CA. AL PUERTO DE LA LIBERTAD 248 DIZAC S.A.DE C.V. C.ANTG.A CUSCATLAN # 15 URB.INDUSTRIAL ANTG. 249 DIZUCAR S.A. DE C.V. AV.29 DD AGOSTO SUR #834 Y BLVD.VENEZUELA 250 DNC S.A. DE C.V. COMPLEJO INDUSTRIAL MERLIOT C.2 24 251 DROG. COM. SALVADOREÑA COMPLEJO IND. PLAN DE LA LAGUNA POL G LOTE # 1 252 DROGUERIA ALFARO C.GABRIELA MISTRAL Nº137 S.S 253 DROGUERIA AMERICANA S.A. DE C.V. PLAN DE LA LUGUNA #14 254 DROGUERIA CODIFAMA S.A. DE C.V. COMPLEJO IND. # 30 C. CHAPARRASTIQUE ANT. CUSCATLA 255 DROGUERIA COMERCIAL SALVADORENA, S.A. DE C.V. POLIGONO "G" LOTE #1 256 DROGUERIA INTEGRAL AV.LA PALMERAS, PJE.LOS PINOS #6,COL.FLORIDA0 257 DROGUERIA MEDICAL S.A. DE C.V. PARQUE IND. STA ELENA # 2 C. CHAPARRASTIQUE FTE A 258 DROGUERIA NUEVA SAN CARLOS S.A. DE C.V. POLIG.6, LOTE.1, PLAN DE LA LAGUNA 259 DROGUERIA VIDES 13 AV.SUR #318/324 260 DURMAN ESQUIVEL,S.A. DE C.V. CALLE L-3, POL. C # 32, ZONA INDUSTRIAL MERLIOT 261 E.D.P. SIGMA COMERCIAL S.A. DE C.V. 81 AV. SUR Y PASEO GRAL. ESCALON # 9-31 262 ECOBICI CESTA KM.4½CARRETERA A SAN MARCOS 263 ECONOPARTS 6A.Y 10A. C.PTE. Y 27 AV.SUR #1509 264 ECONOPARTS 6A.10A.C.PTE.Y 27 AV.SUR. #1509 265 EDIBA S.A. DE C.V. COL.MIRAMONTE, AV.MARACAIBO #624 266 EDP/SIGMA COMERCIAL S.A. DE C.V. PASEO GRAL.ESCALON Y 81 AV.SUR #9-31 267 EDP/SIGMA COMERCIAL S.A. DE C.V. CALLE NUEVA #1, PJE.5 #3-124, COL.ESCALON 268 EL ATLETA S.A. DE C.V. BLVD. DEL EJERCITO NAC. KM. 3 ½ SOYAPANGO 269 EL BARBARO,S.A.DE C.V. URB.Y BLVD.STA.ELENA C.CERRO VERDE PONIENTE 270 EL CENTRO TEXTIL S.A. DE C.V. AV.MORAZAN #130Y 2A.CALLE PTE. 271 EL SALVADOR TELECOM S.A. DE C.V. PJE.CARBONELL #11, POLIG.A, COL.ROMA 272 EL SURCO S.A. DE C.V. CALLE DANIEL HERNANDEZ 3-4 273 ELASTICOS MICHELL S.A. DE C.V. C.ANTGA.A SN.ANTONIO ABAD, COMP.IND.SAN JORGE L-#8 274 ELEKTRA CENTRAL CALLE RUBEN DARIO #626 275 EMBOTELLADORA LA CASCADA S.A. 31 C.OTE.Y 6ªAV.NTE.ESQUINA 276 EMBUTIDOS DE EL SALVADOR C. CIRCUNVALACION # 17-A PLAN DE LA LAGUNA 277 EMBUTIDOS DE EL SALVADOR (KREEF) PLAN DE LA LAGUNA C.CIRCUNVALACION # 17A
183
278 EN-FER S.A. DE C.V. 3A.AV.NTE. #1139 BIS 279 ENSUEÑO S.A. DE C.V. KM.14 1/2,CA.TRONAL.DEL NTE.CANTON SN.NICOLAS 280 ENVASES LIQUIDOS DE CENTROAMERICA KM.10 1/2, CA. AL PTO.LA LIBERTAD,CTGO.MUELLE GOYA 281 EQUIPOS DE CONSTRUCCION S.A. DE C.V. 23 AV.SUR #480 282 ERA S.A DE C.V "LLAFRISA" C. ANTIGUO C. LOTE 22 PLAN DE LA LAGUNA 283 ERA S.A.DE C.V. C.CIRCUNVALACION #7 ANTG.CUS.PLAN DE LA LAGUNA 284 ERNESTO MORALES AV.MORELOS #88, RPTO.LOS SANTOS 1 285 ESCUELA ALEMANA DEUTSCHE SCHULF C. DEL MEDITERRANEO Y FINAL AV. RIO AMAZONAS JARDI
286 ESCUELA PANAMERICANA FNL.PJE.UNION CALLE A CANTON EL CARMEN COL.ESCALON
287 ESPITIA CONSULTORES S.A. DE C.V. CALLE EL PROGRESO RPTO. Y PJE. EL ROSAL #133 288 ESSO AUTOMARKET DEPORTIVO ALAMEDA MANUEL E.ARAUJO CA.NUEVA #1 COL.ESCALON 289 ESSO AUTOMARKET LOS HEROES BLVD.LOS HEROES C.GABRIELA MISTRAL 290 ESSO DEPORTIVO AL. E. ARAUJO KM. 4 1/2 A STA. TECLA 291 ESSO SAN ANTONIO ABAD BLVD. CONSTITUCION Y PROLONG. JUAN PABLO II 292 ETCETERA S.A. DE C.V. BLVD.DEL HIPODROMO #2-502 293 ETIQUETAS MIGUEL SAFFI S.A. DE C.V. PROLONG. C. ARCE # 2218 COL. FLOR BLANCA 294 ETIQUETAS Y CINTAS BORDADAS S.A,. DE C.V. C. L-2 Y L-3 # 12-A 295 EUREKA S.A DE C.V CARRET.PANAMERICANA KM.12 ILOPANGO 296 EUROCLASS 73 AV.SUR #339, COL.ESCALON 297 FABRICA DE TEJIDOS EL ATLETA S.A. DE C.V. BLVD. DEL EJECITO NAC.KM. 3 1/2 298 FABRICA LA TOMBOLA PLAN DE LA LAGUNA LOTE PRIVADO E-4 ANTG.CUSCATLAN 299 FABRICA MOLINERA FAMOSSA URB.PLAN DE LA LAGUAN ANTG.CUSCATLAN 300 FABRICA PRADO BOULEVARD DEL EJERCITO KM. 7 ½ SOYAPANGO 301 FABRICA SABONA COL.LAS ROSAS 302 FABRICA SENSACIONES S.A. DE C.V. 41 C. PTE. PJE. 5 # 2216 B° BELEN 303 FACALCA HILTEX S.A. DE C.V. C. EL PROGRESO COL. ROMA # 3430 304 FAJUME S.A. COL.MIRAMONTE BO.STA LUCIA C.LAS OSCUR.FIN.PJE.2 305 FERRETERIA LA ISLA CALLE CONCEPCION Nº747 306 FERROCENTRO S.A. DE C.V. AUTOPISTA SUR 900 M ALA UCA EDIF. FERROCENTRO 307 FERROCONSTRUCTORA S.A. DE C.V. CALLE L-3 #5 CIUDAD MERLIOT 308 FERSA S.A. DE C.V. CA.PANAMERICANA KM.11 Y CALLE 14 DE DICIEMBRE 309 FESSIC S.A. DE C.V. URB. STA.ELENA, CALLE CHAPARRASTIQUE #4 310 FIDEICOMISO WALTER ARTURO SOUNDY AV.HERMANO JULIO GAITAN #1-4 311 FINANCIERA CALPIA-ADMON. PASEO GRAL.ESCALON #5430, COL.ESCALON 312 FINCOMER OFICINA CENTRAL ALAM. ROOSEVETL # 1921 313 FLAMINGO PLAZA MOTEL KM. 10½ CARRETERA AL PUERTO DE LA LIBERTAD 314 FREUND (SUCURSAL) BLVD. VENEZUELA
315 FREYSSINET EL SALV.SISTEMAS DE CONSTRUCCION S.A.CV URB.IND STA ELENA C.CHAPARRASTIQUE # 4 ANT CUSCA.
316 FRUTALETAS S.A. DE C.V. BLVD.VENEZUELA #2230 317 FRUTIMSA SA. DE C.V. COL.JARD.DE GUADALUPE CALLE DEL PACIFICO #4 318 FUNES HARTMAN FERRETERIA. FINAL C.CONSTITUCION PASAJE LEO #5,CIUDAD SATELITE 319 G M T S.A CALLE SIEMENS #64,ZONA INDUSTRIAL STA. ELENA 320 G.V.I. CELLULAR S.A. DE C.V. 65 AV.SUR Y AV.OLIMPICA, EDIF. GALERIAS L-208 321 G+H CONSULTORES S.A. DE C.V. AV.Y URB.LOMA LINDA #14-A, RESID.BUENA VISTA 322 GALAXI BOWLING 75 AV.NTE. #51, COL.ESCALON 323 GAMA AUTO AIRE S.A. DE C.V. 59 AV.NTE. #150
184
324 GAMA SISTEMA FRIO 59 AV NORTE #148 325 GAMMA LABORATORIOS S.A.DE C.V. AV.L-C POLG 3 #3 JARD.DE LA HDA. 326 GBM DE EL SALVADOR S.A. DE C.V. CALLE LOMA LINDA #246, COL.SAN BENITO 327 GENERAL DE USADOS AUTOPISTA SUR FTE. A GEVEZA
328 GLAUCOS S.A.DE C.V. KM.7½BLVD.DEL EJERCITO CONTIGUO A GASOLINERA SHELL
329 GRAFICOLOR COL. FLORENCIA CALLE LAS LILAS # 117 330 GRAFICOS E IMPRESOS S.A.DE C.V. C.L2 CIUDAD MERLIOT 331 GRANJA PANAMA CANTON EL LIMON COL. PANAMA # 1 332 GRUPO INDUSTRIAL DIVERSIFICADO KM. 10 1/2 CARRET. AL PUERTO DE LA LIBERTAD 333 GRUPO SAVIC S.A. DE C.V. AV.MARACAIBO Nº703 COL.MIRAMONTE 334 GUERRERO INGENIEROS ASOCIADOS KM. 4 1/2 CARRETERA A COMALAPA,Z.F. SAN MARCOS 335 HARROUCH INGENIEROS,S.A.DE C.V. 29 AVENIDA SUR # 638 COLONIA FLOR BLANCA 336 HERNANDEZ REYES SEGURIDAD S.A. DE C.V. AV.RIO AMAZONAS Y C.EL EGEO #33,COL.J.DE GUADALUP
337 HERSEG S.A. DE C.V. AV.RIO AMAZONAS Y C.DEL EGEO #33,CO.JARD.GUADALUPE
338 HIBRONSA BLVD. DEL EJERCITO KM. 5 1/2 C. ANTIGUA A CLOPER 339 HIDRAULICA SALVADOREÑA S.A. DE C.V. CENTRO COMERCIAL PLAZA BARRIOS, L-57 340 HOLIDAY INN BLVD. STA. ELENA Y C. EL PITAL OTE. S/N 341 HOSPITAL BAUTISTA DE EL SALVADOR S.A. DE C.V. 23 AV.NTE. #128 342 HOSPITAL CENTRAL COL.MEDICA CALLE GUADALUPE Y BLVD.TUTUNICHAPA 343 HOSPITAL FLOR BLANCA CALLE EL PROGRESO Nº 2627 344 HOSPITAL METROPOLITANO S.A. DE C.V. 23 AV.NTE. #1340, COL.MEDICA 345 HOSPITAL PARA VIDA C.RUBEN DARIO Y 13 AV.SUR EDIF.AVILA 346 HOTEL ALAMEDA ALAMEDA ROOSEVELT #2305 347 HOTEL CONFORT AEROPUERTO BLVD. LOS HEROES Y AV. SISIMILES,COL.MIRAMONTE. 348 HOTEL SIESTA BLVD. LOS PROCERES A 200 MTRS. AL OTE. DE BASILICA 349 IFASAL S.A.DE C.V. POLG.C LOTE #3 ZONA INDUSTRIAL LA LAGUNA 350 IFSAL S.A. DE C.V. POL. C LOTE # 3 C. ANT. CUSCATLAN ZONA IND. PLAN D 351 IGLESIA ELIM C.EL MATAZANO #1 352 ILBASA DE C.V. FABRICA Y OFICINA CENTRAL 53 AV SUR # 121 353 IMPERIO S.A. DE C.V. 1A. C. PTE. # 2024 37 Y 39 AV. NTE. 354 IMPORTACIONES SANTA LUCIA S.A. DE C.V. C. CIRCUNVALACION # 10-C POL. A # 10-C PLAN DE LA 355 IMPORTADORA RAMIREZ 27 C.PTE.#536 Y PJE.SALAMANCA,BO.SAN MIGUELITO 356 IMPORTADORES NACIONALES AV. MELVIN JONES # 5 -8 STA TECLA 357 IMPRENTA CRITERIO 1 C.PTE # 3412 358 IMPRESSA REPUESTOS URB.SANTA ELENA, CALLE ALEGRIA PTE. #7 359 INA DE E.S BLVD. BAYER CALLE L-1 S/N, CIUDAD MERLIOT 360 INCAFE BOULEVARD DEL EJERCITO 7 ½ 361 INCO FINAL 1A. AV. NTE. SOYAPANGO 362 INCOCA,S.A.DE C.V. C.ANTIGUA MONTSERRAT FNAL.COL.LUZ Y AUTOPISTA SUR 363 IND. E INVERSIONES ZAGHINI S.A. DE C.V. 20 C. PTE. # 2419 COL. LUZ 364 IND. FARMACEUTICA SALVADOREÑA "IFASAL" S.A DE C.V URB. PLAN DE LA LAGUNA POL. "C" LOTE 3 365 INDISA S.A DE C.V C.CIRCUNV.COST.OTE.DE LA COL.SANTA LUCIA 366 INDUSKO,S.A. DE C.V. AV. BERNAL, # 73,RESIDENCIAL SANTA TERESA. 367 INDUSOLA S.A.DE C.V. KM.10 CARRET. A LA LIBERTAD 368 INDUSTRIA DE HILOS DE EL SALVADOR S.A. DE C.V. FINAL 4A.AV.NTE. 369 INDUSTRIA DEL VESTIR CALLE SEVILLA 3527, COL.PANAMERICANA
185
370 INDUSTRIA E HIDRAULICA S.A. DE C.V. 6A.Y 10A.CALLE PTE. #2323, COL.FLOR BLANCA 371 INDUSTRIA SALVADORA DEL ALIMENTO S.A. DE C.V. 31 C. PTE. # 534 COL. LAYCO 372 INDUSTRIALPLAST S.A. DE C.V. 6A.CALLE PTE. #922 373 INDUSTRIAS ALPINA S.A. DE C.V. BLVD.ALTAMIRA Y AUTOPISTA SUR #145 374 INDUSTRIAS BIGIT AHUES S.A. DE C.V. 53 AV.SUR #121 375 INDUSTRIAS CRISTAL DE C.A. S.A. 24 AV. NTE. Y ALAMEDA JUAN PABLO II 376 INDUSTRIAS DE HILOS DE EL SALVADOR S.A. FINAL 4A. AVENIDA NORTE 377 INDUSTRIAS DE VESTIR C. SEVILLA # 527 COL. PROVIDENCIA 378 INDUSTRIAS DIVERSAS S.A. DE C.V. CALLE CIRCUNVALCION COSTADO OTE.DE COL.STA.LUCIA 379 INDUSTRIAS E HIDRAULICAS S.A DE C.V 6ª 10ª CALLE PTE Nº 2323 COL. FLOR BLANCA 380 INDUSTRIAS GALO S.A. DE C.V. CALLE ROOSEVELT OTE., COL.GUADALUPE 381 INDUSTRIAS GOLDEN EAGLE. AV.LOS CEDROS, · 1018,URB.UNIVERSITARIA. 382 INDUSTRIAS JORMA,S.A.DE C.V. RES.MONTEBELLO,LOTE H FINAL BLVD.CONSTITUCION 383 INDUSTRIAS LAURENT CALLE LAS OSCURANAS # 640 BARRIO LA VEGA 384 INDUSTRIAS LILA S.A DE C.V COL.LAS PALMAS C.NORMA # 38 ILOPANGO 385 INDUSTRIAS LOS COMPADRES S.A. DE C.V. FINAL C. CHAPARRASTIQUE # 36 COMPLEJO INDUSTRIAL S 386 INDUSTRIAS MINERVA S.A. DE C.V. FINAL AV. IRAZU COL. COSTA RICA 387 INDUSTRIAS MULTIMADERA, S.A DE C.V. 8½ C. GRANJA EL FARO PLANES DE RENDEROS 388 INDUSTRIAS ORION S.A. DE C.V. URB.PLAN INDST.LA LAGUNA C.CIRCV.POL.A BOD.1 389 INDUSTRIAS PINCHIN 9A. C. PTE. # 1-5 390 INDUSTRIAS READI S.A. DE C.V. 12 AV.SUR Nº132 Bº CONCEPCION 391 INDUSTRIAS ROMISAL AV.SAN JOSE #77 SAN MARCOS 392 INDUSTRIAS TABONI S.A. DE C.V. KM.4 Y MEDIO BLVD.DEL EJERCITO 393 INDUSTRIAS TELERIN S.A. DE C.V. PARQUE INDUSTRIAL SAN MARCVOS LOCAL #7 394 INDUSTRIAS TOPAZ BLVD. VENEZUELA # 2028 395 INDUSTRIAS UNISOLA DIVISION HELADOS FINAL AV. PERALTA Y BOULEVARD DEL EJERCITO NAC.#22 396 INDUSTRIAS VIKTOR S.A. DE C.V. PROLONGACION ALAM.JUAN PABLO II #317 397 INDUSTRIAS YAHR 29 AVENIDA NORTE Y 1A. CALLE PONIENTE # 24 398 INDUTEC S.A. DE C.V. CTON. SAN NICOLAS C. A LAS ARENERAS FINCA GALAXIA 399 INGENIO AHUACHAPAN S.A. BLVD.BAYER C.L1 S7N CIUDAD MERLIOT 400 INGRAN S.A DE C.V. 65 AV SUR # 234 EDIF. MONTRESOIR L-9 A 1ºPLANTA 401 INIBANCO OFICINA CENTRAL 47 AV SUR Y ALAM. ROOSEVETL # 2511 402 INLASA S.A. DE C.V. PLAN DE LA LAGUNA, CALLE CIRCUNVALCION 403 INMETSA S.A. DE C.V. 3A.C.PTE. Y 99 AV.NTE.COND.VISTA DEL SOL APTO.#62 404 INMOBILIARIA FLOR BLANCA,S.A. DE C.V. FINAL 67 AV.SUR # 5. CENTRO ROMA, COL. ROMA 405 INMOBILIARIO EL CARMEN S.A DE C.V C. LIBERTAD POL. A Nº 18 -3 JNES DE LA LIBERTAD 406 INMUEBLES PROLOG.JUAN PABLO II CTRO.COMERC.II Nº295-A 407 INPELCA BOULEVARD DEL EJECITO KM. 8½ 408 INPELCA BLVD. DEL EJERCITO KM. 8½ 409 INSACA S.A DE C.V C.L-3 #7 BOULEVARD PYNSA, ZONA INDUSTRIAL MERLIOT 410 INSERILES COL. Y PJE. SAN FRANCISCO # 19 MEJICANOS 411 INSTALA S.A. DE C.V. BLVD.ORDEN DE MALTA,ED.DISNA-D'CORA URB.STA.ELENA 412 INSTITUTO CERVANTES S.A. 2A. AV. NTE. Y 11A. C. OTE. # 642 413 INSTITUTO EMILIANI CARRET. A STA. TECLA LA CEIBA GUADALUPE 414 INSTITUTO HNAS SOMASCAS CEIBA DE GUADALUPE 415 INSTITUTO TECNICO RICALDONE. CENTRO URBANO LIBERTAD, AV.AGUILAR # 218. 416 INTABI S.A. DE C.V. BLVD DEL EJERCITO KM 4½ ATRAS DE RESORTESA
186
417 INTER BRANDS S.A. DE C.V. C. LIVERPOOL COL. ROMA # 113-A 418 INTERNATIONAL BRANDO S.A. DE C.V. C. SIEMENS AV. LAMATEPEC # 57 URB. SANTA ELENA 419 INTRADESA S.A. KM.7 1/2, BLVD.DEL EJERCITO NACIONAL 420 INTRADESA S.A. DE C.V. KM. 7 1/2 BLVD. DEL EJERCITO NACIONAL 421 INVE S.A. DE C.V. CALLE SEVILLA #527, COL.PROVIDENCIA 422 INVENTER,S.A DE C.V CIUDAD MERLIOT, CALLE L-2, EDIF.BORGONOVO 423 INVERSIONES BOLIVAR S.A. DE C.V. BLVD. CONST. # 339 COL. ESCALON 424 INVERSIONES CHAVEZ AV. IZALVO Y PJE. LOS LAGOS # 110 425 INVERSIONES LATINOAMERICANAS S.A. DE C.V. CALLE SIEMENS #43 426 INVERSIONES MONTECARLOS S.A. DE C.V. 8A. C. OTE. FINAL AV. SAN MARTIN # 4-7 STA. TECLA 427 INVERSIONES R & R, S.A. DE C.V. FINAL BLVD. CONSTITUCION #73-D, RESID.MONTEBELLO 428 INVERSIONES SIMCO S.A. DE C.V. PASEO GANERAL ESCALON #3700 429 INVERSIONES TECNICAS S.A. DE C.V. ED.DELCA #31, C.PARALELA NTE.#17,BLVD.LOS PROCERES 430 ISASA DE C.V. BLVD.DEL EJERCITO NAC. Y AV.UNION #2-B 431 ITEM S.A. DE C.V. 29 CALLE PTE. Y PJE.#1 432 ITEM S.A. DE C.V. 29 C. PTE. Y PJE. 1 # 1612 COL. LAYCO 433 J.D. CONSTRUCTORES, S.A. DE C.V. FINAL 15 AVENIDA NORTE N° 1636 COLONIA LAYCO 434 JACABI, S.A. DE C.V. ANT.C.SN.ANTONIO ABAD COMP.IND.SN.JORGE BODEGA #1 435 JAGUAR SPORTIC 75 AV.NTE. Y 9A.CALLE PTE. #3906, COL.ESCALON 436 JESHUA S.A. DE C.V. 45 AV. NTE. # 4 ENTRE ALAM.ROOSEVELT Y PROL.C.ARCE 437 JORDAN S.A. DE C.V. BLVD.Y RESID.SANTA ELENA SUR #12 438 JUBIS INDUSTRIAL FINAL COL.LUZ,PJE.GONZALES S/N 439 KISMET,S.A DE C.V. CENTRO COMERCIAL PLAZA # 301
440 L.K. INVERSIONES S.A. DE C.V. COL.LOMAS DE ALTAMIRA, CALZADA GUARDABARRANCO #15A
441 LA AUXILIADORA 63A AV.SUR Y AV.OLIMPICA, COL.ESCALON 442 LA CANASTILLA - CASA RATTAN COL.LAS PALMAS Y C.LAS MERCEDES BOD.#1 443 LA CANTERA S.A. DE C.V. 23 AV.SUR #480 444 LA CASA DEL REPUESTO S.A. DE C.V. 25 AV.SUR Y 4A.CALLE PTE. #311 445 LA CASA DEL SOLDADOR S.A. DE C.V. 61 AV.NTE. #163, COL.ESCALON 446 LA CENTRO AMERICANA S.A. ALAMEDA ROOSEVELT #3107 447 LA CONSTANTE S.A. CALLE L-1 BLVD. BAYER EDIF.SALAVERRIA CACERES. 448 LA CRIBA S.A.DE C.V. 71 AV.NTE. #346, COL.ESCALON 449 LA DESPENSA DE DON JUAN C. CHILTIUPAN # 8 COL. JARDINES DE LA LIBERTAD MER 450 LA FABRIL DE ACEITES S.A DE C.V BLVD.DEL EJERCITO KM. 5½ 451 LA PRENSA GRAFICA (PROYECTO STA.ELENA) BVLD.S.ELENA ÷ C.IZALCO Y C.CONCHAG.URB.STA.ELENA 452 LA TAPACHULTECA SUCURSAL 59 AV SUR Y AV OLIMPICA # 2093 453 LAB.IFASAL S.A. DE C.V. POLIG.C, LOTE. #3,ZONA IND.PLAN DE LAGUNA 454 LABORATORIO COFASA, S.A DE C.V. FINAL AV. MELVIN JOHN Y 12 C.OTE COL.UTILA 2 455 LABORATORIO DB S.A. DE C.V. 9A.CALLE PTE. #4412 E/ 85 Y 87 AV.NTE.,COL.ESCALON 456 LABORATORIO FARDEL 1A. AV. NTE. PJE. GLORITA # 412 COL. MILITAR 457 LABORATORIO Y DROGUERIA REAL CALLE ESTOCOLMO Y C. NORUEGA APTO 2950 458 LABORATORIOS CAROSA S.A. DE C.V. POLIG.G, LOTE #1, PLAN DE LA LAGUNA 459 LABORATORIOS CATOSA COMPLEJO IND. PLAN DE LA LAGUNA POL. G LOTE # 1 460 LABORATORIOS FARDEL 1A.AV.NTE. PJE. GLAUTA #412, BO.SAN JACINTO 461 LABORATORIOS FERSON 25A V. SUR # 418 S.S. 462 LABORATORIOS LAFAR S.A. DE C.V. BOULEVARD DEL EJERCITO N KM 3½ 463 LABORATORIOS PAILL 8A. AV. SUR # 470
187
464 LABORATORIOS PHARMASIL S.A.DE C.V. KM.7½ ANTIGUA CARR.PANAM.CTRO.IND.COM.D`DESARROLLO
465 LABORATORIOS PHARMEDIC S.A. DE C.V. BOULEVARD DEL EJERCITO KM 4 ½ 466 LABORATORIOS VIJOSA S.A. DE C.V. CALLE L-3 #10, ZONA INDUSTRIAL MERLIOT 467 LACTEOS SAN JULIAN FINAL 51 AV. SUR # 1734 JARD. DE MONSERRAT 468 LANCASCO SALVADOREÑA,S.A.DE C.V. CALLE EL PROGRESO # 2633 COLONIA FLOR BLANCA 469 LANCER S.A. DE C.V. 3A. AV.NTE. #1139 BIS 470 LANIER EL SALVADOR S.A DE C.V. COL.AVILA C.EL PROGRESO # 3214 471 LARIOS GAVIDIA S.A. DE C.V. PROLONG.ALAMEDA JUAN PABLO II,RESID.TAZUMAL #1 472 LE MERCHANDISING S.A. DE C.V. 8A. C. OTE. Y 1A. AV. SUR # 2-2 STA. TECLA 473 LIBRERIA CUSCATLAN 4A.AV.NTE. #224 474 LICEO EVANGELICO AV. CUBA Y CALLE LARA # 919 SAN JACINTO 475 LICEO STANFORD S.A. DE C.V. BOULEVARD DEL EJERCITO NACIONAL KM. 6 1/2 476 LICORES DE CENTRO AMERICA S.A. 10A. AV. SUR # 553 477 LISTONES Y FANTASIAS S.A. DE C.V. C. L-2 Y L-3 # 12-A ZONA IND. MERLIOT 478 LIZA S.A. DE C.V. 8A. C. OTE. FINAL AV. SAN MARTIN # 4-7 479 LOGOS INDUSTRIALES S.A. DE C.V. ZONA FRANCA SAN MARCOS, BODEGA #10 480 LOPEZ DAVISON S.A. DE C.V. BLVD.DEL EJERCITO NAC. KM.4 1/2 481 LOPEZ HURTADO S.A. DE C.V. 55 AV.NTE., CALLE LAS PALMAS, COL.SAN BENITO 482 LOS ABETOS,S.A. DE C.V. BVLD. VENEZUELA #1131 COL.STA. CRISTINA. 483 LUCENT TECHNOLOGIES AV. OLIMPICA # 3742 COL. ESCALON 484 LUIS TORRES Y CIA. C. ASILO SARA # 143 COL. COSTA RICA 485 LUX INGENIEROS S.A. DE C.V. C. Y URB. ESCALONIA # 12 Y 13B 486 M + H INGENIEROS S.A. DE C.V. RESD.SAN LUIS II BLOCK 8-A #4 487 M.C. MATERIALES DE CONSTRUCCION 45 AV.SUR #915 Y BLVD.VENEZUELA 488 MACHADOS S.A.DE C.V. RESIDENCIAL PINARES SN.FCO.C.CIRCUNVALACION # 1 489 MACH'S S.A. DE C.V. RESD.PINARES SAN FCO.#1,LOMAS DE SAN FCO. 490 MADEFA COL.Y AV.VISTA HERMOSA # 108 491 MADERAS Y METALES C.CENTRAL #1615 COL.CUCUMACAYAN 492 MALHER S.A. DE C.V. CARRETERA PANAMERICANA KM.11.5 493 MALHER S.A.DE C.V. CARRETERA PANAMERICANA KM.11½ PJE.A 494 MAN DIESEL DE EL SALVADOR KM.4 1/2, CARRETERA A SN.MARCOS 495 MAQSA, S.A DE C.V. BOULEVARD DEL EJERCITO NAC. KM. 3½ 496 MAQUINSAL S.A. DE C.V. ALAMEDA JUAN PABLO II PTE. #322 497 MARMOLIN S.A. DE C.V. CALLE GERARDO BARRIOS #1045 498 MARYSA S.A. DE C.V. COL. COSTA RICA AV. IRAZU C. EL LIMON 499 MASTER BOOKS S.A. DE C.V. 61 AV. NORTE #186 500 MASTER DE CENTROAMERICA 20 AV.NTE. #2044 501 MAYA COUNTRY CLUB S.A DE C.V KM. 10 CARRETERA A STA TECLA 502 MC ERICKSON S.A. EDIF. TORRE ROBLE METROCENTRO 2A. PTA. 503 MC HENRIQUEZ 45 AV. SUR # 915 Y BLVD. VENEZUELA
504 MCCANN ERICKSON CENTROAMERICANA (EL SALVADOR) S.A. PASEO GRAL.ESCALON #5454
505 MECAFE S.A. DE C.V. KM. 20 1/2, CARR. A QUEZALTEPEQUE 506 MEDI CARD (OFICINA CENTRAL) FINAL ALAMEDA JUAN PABLO II LOC. 563 507 MEDIATEL S.A. DE C.V. EDIF.LA MASCOTA AV.MANUEL E.ARAUJO Y C.LA MASCOTA 508 MEDIDENT C. AMBOROS Y ALAM. MANUEL ENRIQUE ARAUJO # 103 509 MEDISAL CALLE CHAPARRASTIQUE P.INDU.STA.ELENA #2, FTE A 3M
188
510 MEGA TAPACHULTECA C. A TONACATEPEQUE Y C. A PLAN DEL PINO SOYAPANGO 511 MELHER S.A. DE C.V. AV.AYUTUXTEPEQUE Nº1 BIS COL.LAS COLINAS 512 MEMC S.A. DE C.V. URB.UNIVERSITARIA, CALLE LOS PINOS #2224 513 MENA Y MENA INGENIEROS S.A. DE C.V. RESID.SAN ERNESTO SENDA STA.EMILIA BIS #29 514 MERCOSAL S.A C.SIEMENS URB.SANTA ELENA #50 515 MESSER DE EL SALVADOR S.A. DE C.V. 25 AV.NTE. #1080, EDIF.OXGASA 516 MEYFIL, S.A DE C.V. BARRIO SAN JACINTO C.LARA # 220 B 517 MIR S.A. DE C.V. BLVD.DEL EJERCITO NACIONAL Y AV.UNION #2-B 518 MISELCA S.A DE C.V CALLE SIEMENS #65,ZONA INDUSTRIA STA. ELENA 519 MIXTO LISTO PROTERSA S.A. DE C.V. KM.9 1/2, CARRETERA AL PUERTO DE LA LIBERTAD 520 MOBILIA S.A. DE C.V. CTON. SAN NICOLAS CALLE A LA ARENERA FINCA GALAXIA 521 MOBLEX S.A. DE C. V. CTON. SAN NICOLAS C. A LAS ARENERAS FINCA GALAXIA 522 MOLINA HNOS. S.A. DE C.V. 4A. C. OTE. S/N STA. TECLA 523 MONELCA PJE. MONELCA # 5-B URB. LA SULTANA 524 MONTECO S.A. DE C.V. 6A. 10A. C. PTE. # 1425 COL. FLOR BLANCA 525 MUDANZAS INTERNACIONALES S.A. DE C.V. ZONA INDUSTRIAL STA.ELENA, C.CHAPARRASTIQUE #34 526 MUDANZAS ZUAREZ CARRET.AL PUERTO DE LA LIBERTAD KM. 10½ 527 MUDISA BLVD.PINSA LOTE 3 CIUDAD INDUSTRIAL MERLIOT 528 MUDISA C. CHAPARRASTIQUE # 34 COMPLEJO IND. STA. ELENA AN 529 MUEBLES METALICOS PRADO S.A. DE C.V. C. SIEMENS # 41 ZONA IND. STA. ELENA ANT. CUSCATLA 530 MULTICABLE, S.A DE C.V BLVD.PYNSA #24, CIUDAD MERLIOT 531 MULTIMARTS DE CENTRO AMERICA S.A. DE C.V 1A. C. OTE. Y 2A. AV. NTE. EDIF. HISPANOAMERICA 532 MULTIPLAST S.A. DE C.V. KM.10.5, CARRETERA AL PUERTO DE LA LIBERTAD 533 MULTISERVICIOS Y REPRESENTACIONES S.A. BLVD. BAYER LOCAL # 37-C 534 MUNGUIA,S.A. CALLE EL PROGRESO # 3440. COLONIA ROMA 535 MURILLO S.A.DE C.V. PQUE.INDUSTRIAL DE DESARROLLO CARR.PANAM.KM.7½ 536 NESTLE EL SALVADOR S.A. DE C.V. KM. 11 C. AL PUERTO LA LIBERTAD 537 NUEVA SAN CARLOS S.A. DE C.V. PLAN DE LA LAGUNA C. CIRCUNVALACION POL. D L- Y Y 538 NUEVO LICEO CENTROAMERICANO 8A. AV. SUR # 328 539 OFICINA CENTRAL TEXACO CARIBBEAN INC. KM. 10 1/2 CARRET. A STA. TECLA 540 OK. MAGUEY BLVD. LOS PROCERES LOT. LOMAS DE SAN FCO. # 4-A 541 OLINS S.A DE C.V PLAN DE LA LAGUNA LOTE E C. PPAL. 542 OMNIMOTORES S.A. DE C.V. CAR. A SANTA TECLA KM. 4 1/2 EDIF. OMNIMOTORES 543 OMNISPORT S.A DE C.V. C.RUBEN DARIO Y 11 AV.SUR # 634 544 OPTISERVICIOS S.A. DE C.V. PASEO GRAL. ESCALON # 3656 545 OVIDIO J.VIDES S.A. DE C.V. 13 AV.SUR Nº318 -324 546 PALMERA S.A. DE C.V. 1ª CALLE ORIENTE #914 547 PAN EDUVIGES 63 AV.N.Y ALAM.ROOSEVELT,C.COM.GRANADA LS:1,2 Y 3 548 PAN LOURDES S.A. DE C.V. C. PRADO # 128 B° CANDELARIA 549 PAN MIGUELEñO 4ª C. OTE # 740 BARRIO SAN ESTEBAN 550 PAN ROSVILL CALLE GERARDO BARRIOS Nº1311 551 PAN VILL FINAL AV.ISIDRO MENENDEZ #755 552 PANADERIA EL ROSARIO S.A. DE C.V. PJE.#2, COL.ZACAMIL #2 553 PANADERIA LOS GEMELOS S.A. DE C.V. FINAL CALLE LA CAMPIÑA #37, COL.LA CAMPIÑA 554 PANADERIA TECLEÑA S.A. DE C.V. 2A.CALLE OTE. Y 1A.AV.SUR #4 555 PANASONIC S.A. DE C.V. 17 AV. NTE. # 713 556 PANIFICADORA IND. DE CENTROAMERICA S.A.DE C.V. BLVD. BAYER EDIF. SALAVERRIA CACERES 1A. PLANTA
189
557 PANIFICADORA UNICA 11 AV.NTE.Y PJE. LAYCO COL.LAYCO 558 PAPELERA Y LIBRERIAS LATINOAMERICA,S.A. DE C.V. 3A.CALLE PONIENTE Y 9A. AVENIDA NORTE # 532 559 PARQUE INDUSTRIAL EL PROGRESO KM.11 CARRETERA A PTO.LA LIBERTA 560 PARQUE JARDIN LOS OLIVOS S.A. DE C.V. 63 AV.SUR Y AV.OLIMPICA, EDIF.LA AUXILIADORA 561 PARQUE MEMORIAL LAS COLINAS CTRO.COMERCIAL SOYAPANGO PLANTA BAJA L-8 562 PEDRERA PROTERSA S.A. DE C.V. KM. 9 ½ C. AL PUERTO DE LA LIBERTAD 563 PHARMEDIC BLVD.EJERCITO NACIONAL KM.4 Y MEDIO 564 PIASSA DE C.V. AV.SAN LORENZO #363, COL.EL REFUGIO 565 PIMCI,S.A. DE C.V. CALLE FRANCISCO MENENDEZ # 1115 Y 22 C.PTE. 566 PINSAL S.A. DE C.V. BLVD.DEL EJERC.NAC.KM.7.1/2, C. A CTON.EL MATAZANO 567 PINTUSAL S.A. DE C.V. 12 C.PTE.#2526, VILLA GALICIA, COL.FLOR BLANCA 568 PIP'S CARYMAR S.A. DE C.V. 2A.C.PTE. Y 16 AV.SUR 569 PISOS COCINAS Y BAÑOS C. CIRCUNVALACION # 12 570 PIZZA HUT 4ºAV.SUR CENTRO COMERCIAL SOYAPANGO #44 AL 48 571 PLANTA (FABRICA DE PRADO S.A. # 1) BLVD. DEL EJERCITO KM. 7 1/2 SOYAPANGO 572 PLANTA DE TORREFACCION DE CAFE S.A. BLVD.DEL EJERCITO KM.7 573 PLANTEL CENTRAL DE SIMAN S.A. C.AL VOLCAN 574 PLASTICOS EL PANDA S.A. DE C.V. C. EL PEDREGAL POL. A-1 # 16 COL. JARDINES DE LA H 575 PLASTICOS INDUSTRIALES S.A. DE C.V. 18 AVENIDA NORTE Y 1A. CALLE PONIENTE 576 PLATA VISA 43 AV.NTE. Y ALAMEDA ROOSEVELT EDIF.GRANE 3ER.NIV. 577 PODER S.A. DE C.V. 67 AV.SUR #161, COL.ESCALON 578 POLIFIL S.A. DE C.V. BLVD. PINSA C. L-2 # 13 CDAD. MERLIOT 579 POLINIEROS DE EL SALVADOR S.A DE C.V CALLE CIRCUNVALACION COL. SANTA LUCIA 580 POLLO CAMPERO DE EL SALVADOR S.A. DE C.V. 2 CALLE OTE. # 2-3 STA TECLA 581 POLYFIL, S.A. DE C.V. KM 10.5 CARRETERA AL PTO.LA LIBERTAD CONT.FLAM.PL. 582 POLYFIL,S.A.DE C.V. BLVD.PYNSA CALLE L-2 BLOCK "C" #13 CDAD.MERLIOT 583 POP CREATIVO S.A. DE C.V. (POPCRE) BLVD. PINZA C. L-2 # 27 CDAD. MERLIOT ANT. CUSCATL 584 PRADO S.A. DE C.V. C. EL BOQUERON Y BLVD. SUR URB. STA. ELENA # 5 ANT
585 PRIMER BANCO DE LOS TRABAJADORES SOC.COOP.R.L. C.V 25 AV.NTE.Y 23 C.PTE.
586 PRINEL S.A. DE C.V. AV.SAN LORENZO #363, COL. EL REFUGIO 587 PRISMA CONSTRUCTORES S.A. DE C.V. COL.Y AV.STA.VICTORIA #24 588 PROAGRO FINAL CALLE PRINCIPAL, COL. LA CHACRA 589 PROASAL OFICINA CENTRAL 4ºCALLE PTE # 2520 COL. FLOR BLANCA 590 PRODASA S.A. DE C.V. AV.BLOCK 1, #10, COL.SAN LUIS 591 PRODAVI S.A. DE C.V. BOULEVARD CONSTITUCION #21 592 PRODEINSA DE C.V C. CIRCUNVALACION # 9 PLAN DE LA LAGUNA 593 PRODUCTOS ALIMENTICIOS S.A DE C.V 12 AV. SUR 594 PRODUCTOS ALIMENTICIOS SI-HAN C. .-3 # 17 COMPLEJO INDUSTRIAL MERLIOT ANT. CUSCA 595 PRODUCTOS AVON S.A. BLVD. STA. ELENA Y C. CONCHAGUA ANT. CUSCATLAN 596 PRODUCTOS MOLDEADOS DE FIBERGLAS S.A KM. 10½ CARRETERA AL PUERTO DE LA LIBERTAD 597 PRODUCTOS MOLDEADOS S.A. KM.10 CARRET.A LA LIBERTAD 598 PRODUCTOS QUICK FRIST AV. MORELOS # 88 LOS SANTOS I 599 PROFESIONALES EN SEGURIDAD S.A. DE C.V. 479 AV.SUR APTO #1 COL.ESCALON 600 PROMAX S.A. DE C.V. PROLONG. JUAN PABLO II, 50 MTS. AL OCC.DE GAS. 601 PROMEFAR S.A. DE C.V. C. CIRCUNVALACION # 2 POL. D LOTE 1 Y 2 ANT. CUSCA 602 PROMERICA 61 AV. NTE. #151 COL. ESCALON 603 PROVAL,S.A. DE C.V. BLVD. CONSTITUCION Y 1A. CALLE PONIENTE # 169
190
604 PROYECTOS DE URBANIZACION, S.A. DE C.V. CALLE GERARDO BARRIOS #1722 605 PROYECTOS DINAMICOS S.A. 23 CALLE PTE. #1216, PJE.3, COL.LAYCO 606 PUBLICIDAD COMERCIAL,S.A.DE C.V. BLVD.DEL HIPODROMO # 442 COL.SAN BENITO 607 PUBLICIDAD R C M-DDB S.A. DE C.V. 77 AV. NTE. # 626 608 PUBLICOM S.A. DE C.V. ALAM.MANUEL E. ARAUJO Y C.NVA.#1,EDIF.PALIC 4°NL. 609 PUENTYSA S.A. DE C.V. CALLE CIRCUNVALACION EDIF.COPRESA 3A. PLANTA 610 PUPUSERIA PATY KM 10.5 COL.LOMA LARGA #1, LOS PLANES DE RENDEROS 611 PUPUSERIA,CAFETERIA Y SORBETERIA CARIMAR 16 AV. SUR Y 2 C. PTE. #S/N 612 QUIMICA HOECHEST DE EL SALVADOR S.A. KM.9 CARRET. AL PTO. DE LA LIBERTA #S/N 613 QUIMICAS ALIADAS S.A DE C.V PLAN DE LA LAGUNA PJE. E # 2 614 QUIMICOS HOECHST DE EL SALVADOR S.A KM.10½ CARRETERA AL PUERTO DE LA LIBERTAD 615 RADIO CADENA YSKL S.A. 65 AV.SUR Y AV.OLIMPICA #192 616 RADIO PARTS S.A DE C.V. 13 AV.SUR # 321 4 C. Y 6C.PTE 617 RASA KM. 9 1/2, CARRETERA AL PUERTO DE LA LIBERTAD 618 RAYO-VAC BLVD. MERLIOT POL. "D" EDIF. RAY-O-VAC CDAD. MERLI 619 REDI S.A. DE C.V. BLVD. LOS PROCERES Y PJE. LA CEIBA # 10 620 REFINERIA PETROLERA ACAJUTLA S.A. DE C.V. KM. 9 ½ C. AL PUERTO LA LIBERTAD 621 RENA WARE AV.SIERRA NEVADA EDIF.XAYA 2ªPLANTA L-1 622 RENCAUCHADORA LLAFRISA S.A. DE C.V. C. ANT. CUSCATLAN LOTE 21 POL-B PLAN DE LA LAGUNA 623 REPRESENTACIONES DIVERSAS S.A. DE C.V. BLVD. LOS PROCERES PJE. LA CEIBA #10 U.SULTANA III 624 REPUESTOS Y EQUIPOS INDUSTRIALES 2 C. PTE. Y 8 AV. SUR 625 REQUIPSA DE C.V. 2A. C. OTE. Y 17 AV. SUR 626 REST. Y CAFETERIA CARRETERA A STA. CTRO. COMERCIAL EL TREBOL 627 RESTAURANTE PUEBLO VIEJO COND.METROSUR 2° NIVEL 628 RICARFELLI S.A. DE C.V. COL.STA.ALEGRIA, CALLE L-A BLK.C-1 #13 629 RIDI S.A. DE C.V. COMPLEJO INDUSTRIAL SAN JORGE 630 RIVERA HOOVER ASOCIADOS S.A DE C.V. PJE 2 ENTRE 65 Y 67 AV SUR # 6 631 RIZZANI DE ECCHER SPA COL.MAQUILISHUAT , CALLE JACARANDA # 26 632 ROBERTONY 33 C.OTE.Nº326 COL.LA RABIDA 633 ROECA S.A. DE C.V. RESID.CAMPO VERDE, SENDA 13 #19, CDAD.MERLIOT 634 RUA S.A.DE C.V. BOULEVARD DEL EJERCITO AL OTE.DEL RASTRO 635 S.S.A.S.E. 23 AV.NTE.Nº1214 EDIF.ZAVALETA 636 SABESA DE C.V. URB.INDUSTRIAL C.ANTG.CUSCATLAN# 20 637 SABRITAS Y CIA, S. EN C. DE C.V. 10 AV.SUR Y CALLE CISNEROS # 806. BARRIO LA VEGA 638 SAGRISA,S.A. DE C.V. BOULEVARD DEL EJERCITO NACIONAL,KM. 3 639 SALNET PASEO GRAL.ESCALON #6000, COL.ESCALON 640 SALVADOREÑA DE LA CONSTRUCCION S.A. DE C.V. BLVD.MERLIOT, JARD.DE LA LIBERTAD, POLIG.C #4 641 SALVADOREÑA DE TELEVISION URB.Y BLVD. STA. ELENA SUR #12 642 SANCHEZ BATRES CONSTRUCTORES VILLAS DE SN FCO III,AV.LAS AMAPOLAS PJE.C # 45 643 SANTAY S.A. DE C.V. C.COLIMA Nº810 COL.MIRAMONTE 644 SCETT DE R.L. 101 -A-B 12 AV. NTE BARRIO EL CALVARIO 1-1-A SANTA TECLA 645 SECDI,S.A.DE C.V. 59 AV.NTE.# 326 COL. ESCALON 646 SEGURIDAD PRIVADO SALVADOREÑA S.A. DE C.V. URB.LOS NOGALES SENDA 5 #4 C.SN.MARCOS 647 SEGUROS UNIVERSALES S.A. DE C.V. PASEO GRAL.ESCALON Y 81 AV.NTE. #205 648 SERPRISA 5A. C. PTE. # 3712 COL. ESCALON 649 SERTERSA DE C.V. 1A. C. PTE. # 4531 COL. ESCALON 650 SERTESA DE C.V KM. 7 CARRET. PANAMIRICANA ANTIGUO CUSCATLAN
191
651 SERVACAR S.A. DE C.V. KM.9 1/2. CARRETERA AL PUERTO DE LA LIBERTAD 652 SERVI CETECO COMPLEJO IND.SAN JORGE B # 1 653 SERVI ENTREGA COL. SAN MATEO CALLE BRASILIA #10 E 654 SERVIC SEGURITY MIRAGE S.A. DE C.V. JARDINES DE CUSCATLAN. CALLE L-6 #73 655 SERVICAR S.A. DE C.V. KM. 9 ½ C. A LA LIBERTAD 656 SERVICIO AGRICOLA SALVADOREÑO BLVD.DEL EJERCITO NAC. KM.3 1/2 FTE. A MOLSA 657 SERVICIO TECNICO AGRICOLA INDUSTRIAL KM. 7 CARRET.INTEROAMERICANA ANTG.CUSCATLAN 658 SERVICIOS DE ALIMENTOS S.A. DE C.V. KM. 10 1/4 CARRET. AL PTO. DE LA LIBERTAD 659 SERVICIOS SANTA ELENA S.A. DE C.V. KM.9 1/2, CARRETERA AL PUERTO DE LA LIBERTAD 660 SERVIPERSONAL S.A. DE C.V. FINAL C. LA MASCOTA # 5200 EDFI. LOTISA 4A. PTA. 661 SERVYCONSA S.A. DE C.V. COL.LA SULTANA, CALLE LOS LIRIOS #5-A 662 SESPRO S.A. DE C.V. RESID.BOSQUES DE LA PAZ, CALLE PPAL.POL.42 #1 663 SETERS S.A. DE C.V. 77 AV.NTE. Y 7A.CALLE PTE. #422, COL.ESCALON 664 SHELL DE EL SALVADOR S.A. KM. 11 ½ C. AL PUERTO LA LIBERTAD 665 SI HAM CALLE L-3 BOULEVARD SI-HAM, POLIG.17 666 SIGET CENTRO FINANCIERO SISA KM. 10 ½ CARRET. A STA. TEC 667 SIGMA AV. EL BOQUERON Y C. CHILTIUPAN POL. N JARDINES DE 668 SIPROSE S.A. DE C.V. 1A. C. PTE. # 3844 COL. ESCALON 669 SISTEMA DE SEGURIDAD,RAPIDA,OPORT.Y PROF.S.A./C.V. FNAL.PASEO GRAL.ESCALON POL.147-1-B, COL.ESCALON 670 SKY BEEP BLVD. VENEZUELA # 3408 COL. ROMA 671 SOC.COOP. ACOSERVI DE R.L. DE C.V. DIAGONAL SAN CARLOS #822 Y 27 CALLE PTE.,COL.LAYCO 672 SOC.COOP.PROYDESA DE R.L. COL.ESCALON CALLE CUSCATLAN #19 673 SOC.COOPE.ACOSERVI DE R.L. DIAGONAL SAN CARLOS # 822, COL. LAYCO 674 SOCIEDAD DE SERVICIOS C. LOS LIRIOS # 5-A COL. LA SULTANA 675 SODIMAR S.A DE C.V. 12 CALLE PTE Y 49 AV SUR EDIF. VILLA GALICIA 676 SOLAIRE S.A. DE C.V. KM. 2 1/2 CALLE A TONACATEPEQUE, CANTON LIMON 677 SORBETES VIP'S URB,INDUSTRIAL PLAN LA LAGUNA BLOCK B # 14 ANTG. 678 SORTO S.A FINAL 4°C PTE #23 -B 679 STYLES S.A. DE C.V. PASEO G. ESCALON # 4910 680 SUELOS Y MATERIALES S.A. DE C.V. FINAL SENDA B, EDIF. SM #85, JARDINES DE MIRAMONTE 681 SUMINISTRO DE POLLO CAMPERO PARQ. IND. DE DESAROLLO PJE 1 LOTE 4 SOYAP. 682 SUNCHEMICAL DE CENTROAMERICA S.A. DE C.V 10 AV. SUR URB. IND. SAN PABLO # S/N 683 SUPAN S.A. DE C.V. QUINTA IBEBE #35, C.MOTOCROSS, COL.ZANZIBAR,Z-9 684 SUPER MERCADO EL SOL 1A. C. OTE. # 215 685 SUPER MERCADO EUROPA S.A. DE C.V. PLAZA ALCALA AV.BERNAL L.113 Y 114 686 SUPER REPUESTOS CONSTITUCION (MATRIZ) BLVD.CONSTITUCION #504 687 SUPER SELECTOS METROCENTRO 6A. ETAPA LOCAL # 688 SURISSA KM.3 Y MEDIO BLVD.DEL EJERCITO 689 T N T DE EL SALVAVADOR (SUCURSAL) COL. Y PJE. SN BENITO # 2 # 18 690 TACRE S.A. DE C.V. (FINCOMER) PASEO GRAL. ESACALON Y 77 AV. NTE. 691 TALLER DALEX 75 AV.NTE., PJE.CAROLINA,CTGO.A RESID.CLAUDIA 692 TALLER DIDEA S.A. DE C.V. 4ªC.PTE. Y 21 AV.SUR 693 TALLER MOTOR SERVICE 6ªC.PTE.Nº1315 ENTRE 23 Y 25 AV.SUR 694 TALLER Y OFICINAS R.7 KM.8½ CARR. PANAMERICANA S/N 695 TAPACHULTECA 1A. C. OTE. Y 6A. AV. NTE. 696 TARJETA DINERO DEL BCO. SALVADOREÑO ALAMEDA ROOSEVELT Y 47 AV. NTE. 697 TDA NUEVA TAPACHULTECA CALLE RUBEN DARIO 411
192
698 TECHNO SCREEN,S.A.DE C.V. FINAL CALLE CUSCATLAN OTE. # 10 699 TECNICA UNIVERSAL SALVADOREÑA S.A.DE C.V. BLVD. CONSTITUCION Y CALLE SAN FCO. #541 700 TECNO PLASTICOS S.A. DE C.V. BOULEVARD DEL EJERCITO KM 3½ 701 TECUNSAL S.A. DE C.V. BLVD.CONSTITUCION Y CALLE SAN FCO. #541 702 TEJIDOS Y CONFECCIONES DE EL SALVADOR C.SIEMENS URB STA ELENA # 65 703 TELAS SINTETICAS DE CENTROAMERICA S.A DE C.V CALLE L-2 BOUVARD PYNSA, ZONA INDUSTRIAL MERLIOT 704 TELEFERICO SAN JACINTO FINAL AV. GUIJA CIUDAD CREDISA 705 TELEPRENSA DE EL SALVADOR S.A. DE C.V. COL. ESCALON PJE. ISTMANIA # 262 706 TERMINAL DE BUSES NOR-ORIENTE S.A. DE C.V. FINAL AVENIDA PERALTA 707 TERMOFORMADOS MODERNOS S.A. DE C.V. KM. 10 ½ CALLE A LA LIBERTAD 708 TERRACERIAS CENTRO AMERICANAS S.A. DE C.V. C.A CUSCATANCINGO PJE.LAS MARGARITAS 5ªSAN JOSE 709 TERRACERIAS Y PAVIMENTACIONES S.A. DE C.V. CALLE TALAMANCA #12, COL.MIRAMONTE 710 TERRASINA S.A. DE C.V. C. CIRCUNVALACION LOTE 8 Y 9 711 TERRA-TRACTO S.A. DE C.V. COL.SAN FCO.,AV.LOS ABETOS PJE.#2 CASA #21 712 TEXACO CARIBEAN INC. KM. 10 ½ C. PANAMERICANA O A STA. TECLA 713 TEXSAL S.A DE C.V FINAL C. ANT. CUSCATLAN PLAN DE LA LAGUNA 714 TEXTILES FACELA S.A. DE C.V. KM.11, CA. PANAMERICANA 715 TEYCO S.A. DE C.V. BLVD.ALTAMIRA Y AUTOPISTA SUR #145 716 THERMOS REMOBIBLES S.A. DE C.V. POL. C LOTE # 2 C. ANT. CUSCATLAN ZONA IND. PLAN D 717 TIENDA MORENA 8A.C.PTE. #240 718 TIENDA NVA.TAPACHULTECA C.RUBEN DARIO Y 5º AV.SUR #218 719 TIO POLLO S.A.DE C.V. 4A.C.PTE.Y 7A.AV.SUR EDIF.MD 720 TIPOGRAFIA LASER AUTOPISTA SUR Y AV. M. JOSE ARCE S/N 721 TIPOGRAFIA OFFSET LASER S.A. DE C.V. C.CIRC.,BGA.3 Y 4 POL.D URB.IND.PLAN DE LA LAGUNA 722 TITULOS BIENES Y VALORES S.A DE C.V ZONA FRANCA SAN MARCOS OFICINA ADMINISTRATIVA 723 TOROGOZ (OFICINA CENTRAL) C. SAN ANTONIO ABAD # 2105 724 TORRE DEL SOL S.A. DE C.V. BLVD. EL HIPODROMO ED. GRAN PLAZA 1A. PTA. L-105 725 TRANS EXPRESS AV.LAS MERCEDES KM 5.5 C.ANTG.STA.TECLA, S.S. 726 TRANS SEBASTIAN S.A. DE C.V. EDIF. CORPORIN PLAN IND. LA LAGUNA L- # 21 727 TRANS SERVIS S.A. DE C.V. KM.9 1/2, CARRETERA AL PUERTO DE LA LIBERTAD 728 TRANSAR S.A. DE C.V. ZONA IND. PLAN DE LA LAGUNA PJE. A POL. D LOTE # 6 729 TRANSPORTE LIVIANO ARTIGA 3A. C.PTE. N° 3654, COLONIA ESCALON 730 TRANSPORTES 2 R 5 AV. NORTE COL. ALFARO PJE B # 19 MEJICANOS 731 TRANSPORTES DEL ISTMO S.A. DE C.V. CALLE A COL.MONTECARMELO CTGO. A CORLASA 732 TRANSPORTES LOPEZ Y LOPEZ URB.IND.PLAN DE LA LAGUNA PJE.A POL.D 733 TRANSPORTES MACHADO COL.MADRE TIERRA, C.PPAL. POL.F #7 734 TRANSPORTES VILLATORO KM.15 1/2, A OTE. 735 TROPIGAS DE EL SALVADOR C.PPAL A COL.MONTE CARMELO CONTIG.A CORLASA 736 TUBOS Y PERFILES PLASTICOS S.A DE C.V BOULEVARD PYNSA C.L-2,CASA #21 737 TURISTICA DEL PACIFICO S.A. DE C.V. 2A.AV.NTE. Y 15 C.PTE. #902 738 TURISTICA DEL PACIFICO S.A. DE C.V. 25 AV.NTE. Y BLVD.TUTUNICHAPA LOTE #22
739 TWO J. INDUSTRIAS S.A. DE C.V. ZONA FRANCA EL PROGRESO KM 11 ½ CARRET. AL PUERTO
740 UNIFORMES MODERNOS S.A. DE C.V. ZONA IND.PLAN DE LA LAGUNA, C.CIRCUNVALACION 741 UNISOLA S.A. DE C.V. KM. 5 1/2 CARRETERA A SOYAPANGO 742 UNITEL, S.A. DE C.V. 63A.AV.NTE Y ALAMEDA ROOSEVELT PLAZA COM.L. N°1 743 UNIVERSIDAD CRISTIANA 27 C. OTE. # 134 S.S. 744 UNIVERSIDAD NUEVA SAN SALVADOR C.ARCE Y 23 AV SUR
193
745 URBANIZADORA DE EL SALVADOR S.A. DE C.V. AV.MASFERRER NTE.,BLK.M #15, CUMBRES DE LA ESCALON 746 VAN ROUSS'E S.A. DE C.V. C.LOS ABETOS PJE.1 CASA #38, COL.SAN FRANCISCO 747 VAPE S.A. DE C.V. 77 AV. NTE. # 217 COL. ESCALON 748 VICKZA S.A. DE C.V. PARQUE IND. SANTA ELENA FINAL C. CHAPARRASTIQUE # 749 VICTOR INGENIEROS S.A. DE C.V. URB. BUENOS AIRES # 1 C. LOS CEDROS # 105 750 VIDAL'S HAIR DESING BLVD. DE LOS HEROES PJE. SAN CARLOS 157 751 VIDUC CENTRO 2.C. PTE # 217 752 VIFRIO BLVD. VENEZUELA # 3066 753 VILLEDA HERMANOS S.A. PJE.BOLAÑOS #136, COL.DOLORES 754 VILLEDA HERMANOS S.A. DE C.V. PJE. BOLAÑOS #136, COL.DOLORES 755 VINTAZA C. NVA. A SAN ANTONIO ABAD PJE. BALDIVIESO # 9 756 VITALUM S.A. DE C.V. 11 C. OTE. # 135 757 VYPRO S.A. DE C.V. ED. DELCA C. PARALELA NTE. #17 AV. LOS PROCERES 758 WESTERN UNION ALAMEDA ROOSEVELT N° 2419 ENTRE 45 Y 47 AV. SUR 759 XEROX DE EL SALVADOR S.A. DE C.V. URB.SANTA ELENA, FINAL BLVD.SANTA ELENA 760 ZAMI S.A. DE C.V. C. SAN ANTONIO ABAD Y PJE. VALDIVIESO # 5 761 ZARE CONSTRUCTORA FINAL C. CUISNAHUAT LOTE # 14-B COL. JARDINES DE M 762 ZARE S.A. DE C.V. FINAL CALLE CUISNAHUAT, LOTE. 14/ JARD.DE MERLIOT
194
GLOSARIO Binario Condición de validez de dos posibilidades.
- Código binario, usado generalmente los 1 y 0.
Check List Lista de control. Chip Pequeña sección de material
semiconductor, generalmente silicio, que forma el sustrato sobre el que se fabrican uno o varios circuitos integrados.
Cobol Lenguaje de programación (Common
Business-oriented Lenguage) para aplicaciones de negocios grandes.
Dispositivo de Almacenamiento
Como unidad de disco, memoria externa, de acceso directo, discos fijos movibles.
Hardware Parte de computador físico-máquina, es lo
contrario al software. Log Registro Logon Registro de entradas al sistema. Microprocesador Circuito integrado, comunmente llamado
chip, con integración a gran escala; es la unidad central del proceso de una microcomputadora. Es el chip mas importante de una computadora. Su velocidad de mide en MHz.
On Line Control en linea, en producción, control
continuado, sin pérdida del control.
195
Passwords Contraseña Path Corresponde a la ruta de directorios y sub-
directorios para llegar a un archivo determinado.
Riesgo de Control Es el riesgo de que una representación
errónea que pudiera ocurrir en un saldo o clase de transacciones y que pudiera ser importante individualmente o cuando se agrega con otras representaciones erróneas en otros saldos o clases, no sea prevenido o detectado y corregido oportunamente por los sistemas de contabilidad y control interno.
Riesgo Inherente Se refiere a que el saldo de una cuenta o
clase de transacciones sea suceptible a una representación errónea que pudiera ser importante, individualmente o cuando se agrega con representaciones erróneas en otros saldos o clases, asumiendo que no hubo controles internos relacionados.
Ruteo Sistema constituido por hardware y
software para la transmisión de datos en Internet. El emisor y el receptor deben utilizar el mismo protocolo.
Software Generalmente el proveedor del equipo
proporciona los programas documentados que optimiza el Sistema Operativo. Lo contrario al Hardware.
Computador Procesador de datos en forma lógica,
aritmética, sin la intervención humana durante el proceso interno.
196
Paquetes de Software Un conjunto de sub-programas, rutinas diversas de aplicaciones de un mismo sistema. Puede ser realizado en diferentes tipos de lenguajes de programación con características de tendencia a la standarización. Puede detallarse por proveedores de equipos y/o usuarios indistintamente. Ejemplo: Paquete de programas para el Sistema de Contabilidad.
Software de Aplicación Para satisfacer las aplicaciones del
usuario, aplicaciones comunes del sistema. Software de uso general Programas de uso muy frecuente, de
modelo general, a efecto de ser rápidamente modificados con solo cambiar ciertos parámetros necesarios (nombres, longitudes, unidades, etc).
Red Combina hardware y software para
conectar computadoras (2 ó mas) para intercambio rápido de información.
Rutina Secuencia de instrucciones que realiza una
tarea específica dentro de un programa. Software Operativo Conjunto de programas que supervisan la
ejecución de otros. Administran los recursos lógicos y físicos.
Seguridad Prevención de accesos al uso del
computador: datos, programas; sin autorización - Número o código de seguridad.
Base de datos Lugar de almacenamiento de los datos a
efecto de accesarlos en su momento.
197
Auditoría Interna Es una actividad de evaluación establecida
dentro de una entidad como un servicio a la entidad. Sun funciones incluyen, entre otras cosas, examinar, evaluar y monitorear la adecuacicón y efectividad de los sistemas de control contables e internos.
Fraude Se refiere a un acto intencional por uno o
más individuos dentro de la administración, empleados, o terceras partes, el cual da como resultado un representación errónea de los estados financieros.
Sistema de Información por Computadora (SIC)
Cuando está involucrada una computadora de cualquier tipo o tamaño en el procesamiento por parte de la entidad de la información financiera de importancia para el auditor, ya sea que la computadora sea operada por la entidad o por terceras personas.
198
BIBLIOGRAFÍA
LIBROS
Auditoría en informática, 2° Edición, José Antonio Echenique García,
Editorial Mc Graw Hill.
Control Interno y Fraudes, 1° Edición, Rodrigo Estupiñán Gaitán, Ecoe
Ediciones.
Normas Internacionales de Auditoría, Instituto Mexicano de Contadores
Públicos.
Informática Contable y Auditoría de Sistemas, Juan A. Ferreyros Moron,
La Senda.
Enciclopedia de la Auditoría, Océano Grupo Editorial, SA.
Metodología de la Investigación, 2° Edición, Roberto Hernández
Sampieri, Mc Graw Hill.
Diccionario de Sinónimos y Antónimos, Océano Conciso, Océano Grupo
Editorial, SA.
Estándar de Seguridad BS7779, British Standards Institute Code of
Practice for Information Security Management.
199
INTERNET
http://www.monografias.com/trabajos15/auditoria-comunicaciones/auditoria-comunicaciones.shtml
http://www.monografias.com/trabajos11/siste/siste.shtml
http://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml http://www.ilustrados.com/publicaciones/EpVAlyppApUVDpnzgd.php
http://www.universidadabierta.edu.mx/Biblio/Q/Quintanar%20Liliana-
Cuentas.htm