Universidad Dr. José Matías Delgado Facultad de Economía “Santiago I. Barberena” “EL ROL DE LA AUDITORIA DE SISTEMAS COMPUTARIZADOS COMO HERRAMIENTA DE CONFIABILIDAD EN LA INFORMACIÓN CONTABLE” Tesis presentada por: Br. Leticia Esmeralda Serrano Cedillos Asesorada por: Licda. Jenny Manzano Para obtener el título de: Licenciada en Contaduría Pública Antiguo Cuscatlán, El Salvador, Centroamérica. Noviembre, 2006 INDICE Pagina Introducción 8 CAPITULO I ANTECEDENTES Y SITUACIÓN ACTUAL 1.1 Antecedentes de la Auditoría 9 1.2 Antecedentes de los sistemas computarizados 11 1.2.1 Generación de las computadoras 12 1.2.2. Componentes del computador 15 1.3 17 Uso de la tecnología 1.3.1 La tecnología y la contabilidad 18 1.4 20 Situación actual de la auditoría de sistemas computarizados CAPITULO II MARCO TEÓRICO 2.1 Introducción 24 2.2 Auditoría 25 2.2.1 Concepto de auditoría 25 2.2.2 Clasificación de la auditoría 26 2.2.3 Importancia de la auditoría en la confiabilidad de la información 2.3 Contable 27 Auditoría de sistemas 28 2.3.1 Concepto de la auditoría de sistemas 2 28 2.3.2 Objetivos de la Auditoría de Sistemas 30 2.3.3 Enfoque de la auditoría de sistemas 31 2.3.4 Planeación de la auditoría de sistemas 33 2.3.5 Revisión y evaluación de controles y seguridad. 34 2.3.5.1 Revisión preliminar 34 2.3.5.2 Revisión detallada 34 2.3.5.3 Controles 35 2.3.5.4 Clasificación de los Controles 35 2.3.5.5 Seguridad 38 2.3.6 Norma Internacional de Auditoría 401 40 2.4 45 Control Interno 2.4.1 Definición de control interno. Enfoque contemporáneo del Control Interno. Informe COSO. 45 2.4.2 Componentes del Control Interno 46 2.5 50 Estándares de seguridad 2.5.1. Políticas 51 2.5.1.1 Política de protección de documentación y su diseminación 51 2.5.2. Protección de la información institucional 51 2.5.2.1 Infraestructura organizacional 51 2.5.2.2 Controles de acceso de terceros 52 2.5.3 Control y sensitividad de activos 53 2.5.3.1 Responsabilidad 53 2.5.3.2 Clasificación de la información 54 3 2.5.4 Personal 54 2.5.4.1 Protección en especificaciones y decisiones del personal 54 2.5.4.2 Entrenamiento sobre seguridad 55 2.5.4.3 Reporte de incidentes 56 2.5.5 Protección física 57 2.5.5.1 Protección física de instalaciones 57 2.5.5.2 Seguridad de Hardware 59 2.5.6. Administración de sistemas e infraestructura 60 2.5.6.1 Roles y responsabilidades 60 2.5.6.2 Planificación y aceptación de sistemas 61 2.5.6.3 Protección de software malicioso 62 2.5.6.4 Administración de servicios IT 63 2.5.7. Sistemas de control de acceso 63 2.5.7.1 Requerimientos de negocio para accesos a los sistemas 63 2.5.7.2 Administración de acceso de usuarios 64 2.5.7.3 Responsabilidades de usuario 65 2.5.7.4 Control de acceso a redes 65 2.5.7.5 Control de acceso al computador 67 2.5.7.6 Control de acceso de aplicaciones 69 2.5.7.7 Monitoreando accesos al sistema y su uso 70 2.5.8 Desarrollo y mantenimiento de sistemas 71 2.5.8.1 Requerimientos de seguridad de sistemas 71 2.5.8.2 Seguridad en sistemas aplicativos 71 4 2.5.8.3 Seguridad de archivos de sistemas aplicativos 72 2.5.8.4 Seguridad en ambientes de desarrollo y soporte 73 2.5.9 Plan de continuidad del negocio 74 2.5.9.1 Aspectos de un plan de continuidad del negocio 74 2.5.10 Cumplimiento 75 2.5.10.1 Cumplimiento con requerimientos legales 75 2.5.10.2 Revisiones de seguridad de sistemas de IT 76 2.6 Cuadro sinóptico 77 CAPITULO III METODOLOGÍA DE LA INVESTIGACIÓN 3.1 Objetivos del Trabajo 80 3.1.1 Objetivo General 80 3.1.2 Objetivos Específicos 80 3.2 81 Objetivos de Investigación 3.2.1 Objetivo General 81 3.2.2 Objetivos Específicos 81 3.3 82 Hipótesis 3.3.1 Hipótesis General 82 3.3.2 Hipótesis Específicas 82 3.4. 83 Metodología de la investigación. 3.4.1 Población a investigar. 83 3.4.2 La muestra. 83 5 3.4.3 El muestreo. 86 3.4.4 Metodología utilizada. 86 3.4.5 Resultados de la investigación. 86 CAPITULO IV CONCLUSIONES Y RECOMENDACIONES 4.1 Conclusiones 104 4.2 Recomendaciones 107 CAPITULO V 5.1. Guía de aspectos de una auditoría de sistemas a ser revisados en una auditoría financiera. 108 5.1.1 Introducción. 108 5.1.2 Objetivos 109 5.1.2.1 Objetivo general 109 5.1.2.2 Objetivos específicos 109 5.1.3 Alcance 110 5.1.4 Aspectos de una auditoría de sistemas a ser evaluados según BS 7779. 111 5.1.4.1 Políticas. 112 5.1.4.2 Protección de la información institucional. 112 5.1.4.3 Control y sensitividad de activos. 112 5.1.4.4 Personal. 112 6 5.1.4.5 Protección física. 112 5.1.4.6 Administración de sistemas e infraestructura. 112 5.1.4.7 Sistemas de control de acceso. 113 5.1.4.8 Desarrollo y mantenimiento de sistemas. 113 5.1.4.9 Plan de continuidad del negocio. 113 5.1.4.10 Cumplimiento. 114 5.2 Cuestionario base para la revisión de los estándares de seguridad. 5.3 115 Secuencia en la aplicación de procedimientos de auditoría Bajo un sistema de procesamiento de datos computarizado CASO PRACTICO 126 129 ANEXOS Anexo 1 137 Anexo 2 176 GLOSARIO 194 BIBLIOGRAFÍA 198 7 INTRODUCCION El presente trabajo pone en evidencia la importancia que la auditoría tradicional tiene dentro de las empresas como soporte a las decisiones gerenciales, así como los retos que, a través del tiempo, se le han presentado a consecuencia de la incorporación de sistemas computarizados al procesamiento de información contable, y es que si bien la tecnología utilizada en las empresas proporciona mayor eficiencia en su operatividad deja abiertas una gama de posibilidades para incurrir en errores, ya sean voluntarios o involuntarios. Lo anterior, requiere del profesional en contaduría pública un conocimiento básico del funcionamiento de la Tecnología de Información, de manera que pueda hacer una planificación eficaz de la revisión a realizar y disminuir situaciones irregulares que se presentan, como consecuencia del uso y aplicación de la misma. Es por esto que la parte final del documento ofrece al contador público una guía, basada en Estándares de Seguridad Británicos, de los aspectos relevantes de los sistemas computarizados, que deben se evaluados durante una auditoría, esto con el propósito de contribuir en la capacitación de las personas encargadas de la revisión de los sistemas. 8 CAPITULO I ANTECEDENTES Y SITUACIÓN ACTUAL 1.1 Antecedentes de la Auditoría La palabra auditoría viene del latín auditorius y de ésta proviene auditor, quien tiene la virtud de oír y revisar cuentas. Se tiene conocimiento que en tiempos remotos los Soberanos designaban a dos escribanos independientes para el mantenimiento de las cuentas de su residencia, lo que pone de manifiesto que se tomaron algunas medidas para evitar desfalcos. A medida que el comercio se fue incrementando, nace la necesidad de que los registros contables mantenidos por las empresas comerciales fueran supervisados por personal independiente para asegurar la fiabilidad de éstos. La auditoría como profesión fue reconocida por primera vez bajo la Ley Británica de Sociedades Anónimas de 1862: “Un sistema metódico y normalizado de contabilidad era deseable para una adecuada información y para la prevención del fraude”1. 1 R. Gene Brown, <<Changing Audit Objectives and Techniques>>, The Accounting Review, Octubre 1962, p.697. 9 Desde 1862 hasta 1905, la profesión de la auditoría creció y floreció en Inglaterra, y se introdujo en los Estados Unidos hacia 1900. Mientras que en Inglaterra se seguía prestando mayor atención a la detección del fraude, en Estados Unidos se orientó la auditoría a cerciorarse de la condición financiera y de las ganancias de una empresa dejando la detección y prevención de fraudes como un objetivo menor. La auditoría, tradicionalmente hasta 1960 estuvo orientada fundamentalmente al examen de los estados financieros. A medida que los auditores se apercibieron de la importancia de un buen sistema de control interno y su relación con el alcance de las pruebas a efectuar en una auditoría, se mostraron partidarios de la necesidad del desarrollo y mantenimiento de unos buenos procedimientos de control interno. Las empresas crecieron, la cantidad y complejidad de sus operaciones exigieron que los auditores realizaran revisiones en los procedimientos utilizados en las diferentes áreas de operación, para generar confianza en sus actividades y las decisiones tomadas fueran acertadas. Hoy en día, la auditoría hace revisiones de todas las fases de las corporaciones de las que las operaciones financieras forman parte, una de ellas es la de los sistemas computarizados, donde se procesa toda la información financiera de la entidad. 10 1.2 Antecedentes de los sistemas computarizados La invención de la computadora no se puede asignar a una sola persona, sin embargo, en el antiguo edificio de Física de la Universidad de Iowa se encuentra una placa con la siguiente leyenda: “La primera computadora digital electrónica de operación automática del mundo, fue construida en este edificio en 1939 por John Vincent Atanasoff, matemático y físico de la Facultad de la Universidad, quien concibió la idea, y por Clifford Edward Berry, estudiante graduado de física."2 Con ésta base el Dr. John W. Mauchly colaboró con J.Presper Eckert, Jr. para desarrollar una máquina que calculara tablas de trayectoria para el ejército estadounidense. El producto final, una computadora electrónica completamente operacional a gran escala, se terminó en 1946 y se llamó ENIAC (Electronic Numerical Integrator And Computer), ó Integrador numérico y calculador electrónico. La ENIAC construida para aplicaciones de la Segunda Guerra mundial, se terminó en 30 meses por un equipo de científicos que trabajan bajo reloj. La 2 http://www.monografias.com/trabajos14/antecedentescompu/antecedentescompu.shtml 11 ENIAC, mil veces más veloz que sus predecesoras electromecánicas, irrumpió como un importante descubrimiento en la tecnología de la computación. En 1945, John von Neumann, que había trabajado con Eckert y Mauchly en la Universidad de Pennsylvania, publicó un artículo acerca del almacenamiento de programas. El concepto de programa almacenado permitió la lectura de un programa dentro de la memoria de la computadora, y después la ejecución de las instrucciones del mismo sin tener que volverlas a escribir. Los programas almacenados dieron a las computadoras una flexibilidad y confiabilidad tremendas, haciéndolas más rápidas y menos sujetas a errores que los programas mecánicos. Una computadora con capacidad de programa almacenado podría ser utilizada para varias aplicaciones cargando y ejecutando el programa apropiado. Hasta este punto, los programas y datos podían ser ingresados en la computadora sólo con la anotación binaria, que es el único código que las computadoras entienden. 1.2.1 Generación de las computadoras3 Primera generación (de 1951 a 1958) Las computadoras de la primera Generación emplearon bulbos para procesar información. Los operadores ingresaban los datos y programas en 3 http://sipan.inictel.gob.pe/users/hherrera/hcomputadora.htm 12 código especial por medio de tarjetas perforadas. El almacenamiento interno se lograba con un tambor que giraba rápida mente, sobre el cual un dispositivo de lectura/escritura colocaba marcas magnéticas. Esas computadoras de bulbos eran mucho más grandes y generaban más calor que los modelos contemporáneos. Segunda Generación (1959-1964) El invento del transistor hizo posible una nueva generación de computadoras, más rápidas, más pequeñas y con menores necesidades de ventilación. Sin embargo el costo seguía siendo una porción significativa del presupuesto de una compañía. Las computadoras de la segunda generación también utilizaban redes de núcleos magnéticos en lugar de tambores giratorios para el almacenamiento primario. Estos núcleos contenían pequeños anillos de material magnético, enlazados entre sí, en los cuales podían almacenarse datos e instrucciones. Los programas de computadoras también mejoraron. El COBOL desarrollado durante la primera generación estaba ya disponible comercialmente. Los programas escritos para una computadora podían transferirse a otra con un mínimo esfuerzo. El escribir un programa ya no requería entender 13 plenamente el hardware. Las computadoras de la segunda generación eran substancialmente más pequeñas y rápidas que las de bulbos, y se usaban para nuevas aplicaciones, como en los sistemas para reservación en líneas aéreas, control de tráfico aéreo y simulaciones para uso general. Tercera Generación (1964-1971) Las computadoras de la tercera generación emergieron con el desarrollo de los circuitos integrados (pastillas de silicio) en las cuales se colocan miles de componentes electrónicos, en una integración en miniatura. Las computadoras nuevamente se hicieron más pequeñas, más rápidas, desprendían menos calor y eran energéticamente más eficientes. Antes del advenimiento de los circuitos integrados, las computadoras estaban diseñadas para aplicaciones matemáticas o de negocios, pero no para las dos cosas. La Cuarta Generación (1971 a la fecha) Dos mejoras en la tecnología de las computadoras marcan el inicio de la cuarta generación: el reemplazo de las memorias con núcleos magnéticos, por las de Chips de silicio y la colocación de muchos más componentes en los mismos. El tamaño reducido del microprocesador de Chips hizo posible la creación de las computadoras personales (PC). Hoy en día las tecnologías LSI (Integración a gran escala) y VLSI (integración a muy gran escala) permiten que 14 cientos de miles de componentes electrónicos se almacén en un Chip. Usando VLSI, un fabricante puede hacer que una computadora pequeña rivalice con una computadora de la primera generación que ocupara un cuarto completo. Aunque caras y de uso limitado las computadoras fueron aceptadas rápidamente por las compañías privadas y el Gobierno. Las empresas comenzaron a aplicar las computadoras a tareas de almacenamiento de registros, como manejo de inventarios, nómina y contabilidad. 1.2.2. Componentes del computador4 Hardware Hardware son todos aquellos componentes físicos de una computadora, todo lo visible y tangible. El Hardware realiza las 4 actividades fundamentales: entrada, procesamiento, salida y almacenamiento secundario. El hardware por si solo no puede hacer nada, pues es necesario que exista el software, que es el conjunto de instrucciones que hacen funcionar al hardware. Software El software es el conjunto de instrucciones que las computadoras emplean para manipular datos. Sin el software, la computadora sería un conjunto de medios sin utilizar. Al cargar los programas en una computadora, la 4 http://sipan.inictel.gob.pe/users/hherrera/hcomputadora.htm 15 máquina actuará como si recibiera una educación instantánea; de pronto "sabe" cómo pensar y cómo operar. El software es un conjunto de programas, documentos, procedimientos, y rutinas asociados con la operación de un sistema de cómputo. Distinguiéndose de los componentes físicos llamados hardware. El software se clasifica en 3 diferentes categorías: Sistemas Operativos, Software de uso general, Software de Aplicación. El sistema operativo es el gestor y organizador de todas las actividades que realiza la computadora. Marca las pautas según las cuales se intercambia información entre la memoria central y la externa, y determina las operaciones elementales que puede realizar el procesador. El software para uso general ofrece la estructura para un gran número de aplicaciones empresariales, científicas y personales. El software de hoja de cálculo, de diseño asistido por computadoras (CAD), de procesamiento de texto, de manejo de s de Datos, pertenece a esta categoría. El software de aplicación esta diseñado y escrito para realizar tareas específicas personales, empresariales o científicas como el procesamiento de nóminas, la administración de los recursos humanos o el control de inventarios. 16 Todas estas aplicaciones procesan datos (recepción de materiales) y generan información (registros de nómina) para el usuario. 1.3 Uso de la tecnología Las computadoras se han apoderado casi en su totalidad del mundo contemporáneo, y hoy en día resulta casi imposible imaginar la vida cotidiana sin su presencia, mas aún, se han hecho tan indispensables que a veces es inadvertible su presencia. Las tecnologías de información operan como motor de cambio que permiten dar respuestas a las nuevas necesidades de información y han creado movimientos importantes dentro de las empresas gracias a los avances que se tienen y la implantación de nuevos sistemas. Sin embargo, aun lo sofisticado y el enorme alcance que posee la tecnología se requiere de la intervención del hombre para que opere. En la mayoría de los casos, la tecnología es subutilizada por las organizaciones que las adquieren, limitando su uso a los procesadores de palabras, presentaciones digitales, hojas de cálculo y la presencia del correo electrónico interno, aunque ampliamente difundido no necesariamente es utilizado por todos los entes involucrados. 17 El valor concreto que aportan las tecnologías de la información es la eficacia, siempre que se asuma el reto de adiestrar, capacitar y desarrollar al usuario, en cuanto a tecnología se refiere. Asimilar la tecnología no es tarea fácil, en la mayoría de los casos solo se termina por aceptarla como un requisito, algo que conociendo estrictamente lo básico resulta suficiente para enfrentar las empresas contemporáneas. 1.3.1 La tecnología y la contabilidad La contabilidad es una de las áreas que más a evolucionado en el correr de los años debido a la implantación de nueva tecnología. En cada período histórico la contabilidad, como sistemas de información, se ha adaptado a las necesidades informáticas de sus usuarios, pero su desarrollo ha estado limitado por los recursos tecnológicos. En la siguiente tabla se muestra la evolución de las tecnologías en el apoyo del área contable.5 5 http://www.gestiopolis.com/canales2/finanzas/1/tecinfocontable.htm 18 PERIODO HISTORICO Las Grandes Civilizaciones NECESIDADES POSIBILIDADES INFORMATIVAS TECNOLÓGICAS Conocer los Ingresos Papiro, escritura y gastos cuneiforme El inicio del comercio Registrar cada movimiento Papel La Revolución Industrial Importancia de los activos y conocer el beneficio Papel, Imprenta 1960 Los primeros Manejar más Se automatizan los ordenadores: muchos información y con más sistemas contables usuarios para un rapidez manuales equipo 1981 Obtener información financiera útil para la toma de decisiones Siglo XXI Información en tiempo real. Comercio Ordenadores en red: electrónico. Medir Internet y tecnologías activos intangibles de la comunicación para gestionar el conocimiento Ordenador personal: la informática se populariza RESPUESTA DE LA CONTABILIDAD Utilizar la partida simple Surge la partida doble. Primeros libros contables Se perfecciona la partida doble. Estados Financieros Sistemas de información contables integrados en bases de datos, informes, ratios, gráficos Automatizar la captura de datos. Intercambio electrónico de documentos. Desaparece el papel Antes, la contabilidad se realizaba completamente a mano y con muchos papeles de trabajo y la preparación de Balances resultaba muy costosa. Actualmente, existen paquetes contables que ayudan al contador a eficientizar su trabajo y el tiempo que antes se utilizaba en la preparación de Estados Financieros, ahora se emplea en el análisis de los mismos y para la toma de decisiones dentro de la empresa. 19 1.4 Situación actual de la auditoría de sistemas computarizados La mayoría de las empresas salvadoreñas utilizan la informática para gestionar sus "negocios" de forma rápida y eficiente con el fin de obtener beneficios económicos y reducción de costos. Por eso, al igual que los demás órganos de la empresa, los Sistemas Informáticos están sometidos al control correspondiente, o al menos debería estarlo. La importancia de llevar un control de esta herramienta se puede deducir de varios aspectos. 1. Las computadoras y los centros de proceso de datos se convirtieron en blancos apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este caso interviene la auditoría informática de seguridad. 2. Las computadoras creadas para procesar y difundir resultados o información elaborada pueden producir resultados o información errónea si dichos datos son, a su vez, erróneos. Este concepto obvio es a veces olvidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus sistemas informáticos, con la posibilidad de que se provoque 20 un efecto cascada y afecte a aplicaciones independientes. En este caso interviene la auditoría informática de datos. 3. Un Sistema Informático mal diseñado puede convertirse en una herramienta muy peligrosa para la empresa: como las máquinas obedecen ciegamente a las órdenes recibidas y el modelo de la empresa está determinado por las computadoras que materializan los sistemas de información, la gestión y la organización de la empresa no puede depender de un software y hardware mal diseñados. Estos son solo algunos de los varios inconvenientes que puede presentar un sistema informático, por eso, la necesidad de la auditoría de sistemas. Hasta hace ya algunos años se han utilizado productos software llamados genéricamente <paquetes de auditoría>, capaces de generar programas para auditores escasamente cualificados desde el punto de vista informático. Más tarde, dichos productos evolucionaron hacia la obtención de muestreos estadísticos que permitieran la obtención de consecuencias e hipótesis de la situación real de una instalación. 21 En la actualidad, los productos Software especiales para la auditoría informática se orientan principalmente hacia lenguajes que permiten la interrogación de ficheros y bases de datos de la empresa auditada. Estos productos son utilizados solamente por los auditores externos, por cuanto los internos disponen del software nativo propio de la instalación. El nivel técnico del auditor es a veces insuficiente, dada la gran complejidad de los sistemas, unidos a los plazos demasiado breves de los que suelen disponer para realizar su tarea. Además del chequeo de los sistemas, el auditor somete al auditado a una serie de cuestionarios. Dichos cuestionarios, llamados Check List, son guardados celosamente por las empresas auditoras, ya que son activos importantes de su actividad. Las Check List tienen que ser comprendidas por el auditor al pie de la letra, ya que si son mal aplicadas o mal recitadas se pueden llegar a obtener resultados distintos a los esperados por la empresa auditora. La Check List puede llegar a explicar cómo ocurren los hechos pero no por qué ocurren. El cuestionario debe estar subordinado a la regla, a la norma, al método. Sólo una metodología precisa puede desentrañar las causas por las cuales se realizan actividades teóricamente inadecuadas o se omiten otras correctas. El auditor sólo puede emitir un juicio global o parcial basado en 22 hechos y situaciones incuestionables, careciendo de poder para modificar la situación analizada por él mismo. 23 CAPITULO II MARCO TEÓRICO 2.1 Introducción Para conocer los conceptos de una auditoría de sistemas y la necesidad de evaluar el control interno se presenta conceptualmente la auditoría como tal y su clasificación. Se define la auditoría de sistemas y enumeran sus objetivos, alcance y consideraciones especiales del entorno de informática. De igual manera, se ha conceptualizado el control interno enmarcado en el enfoque contemporáneo del “informe COSO”, y cada una de las áreas a ser revisadas. Existen varios modelos de evaluación de ambientes informáticos, para este estudio se consideró necesario incluir un estándar de seguridad informático: BS 7779. Este estándar de seguridad ha sido emitido por el Instituto Británico de Estándares para la Práctica de la Administración de Seguridad de la Información (British Standards Institute Code of Practice for Information Security Management). 24 2.2 Auditoría 2.2.1 Concepto de auditoría El término de auditoría se ha empleado incorrectamente con frecuencia, ya que se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas. A causa de esto, se ha tomado la frase "tiene auditoría" como sinónimo de que, en dicha entidad, antes de realizarse la auditoría, se habían detectado fallas con anterioridad. El concepto de auditoría es mucho más que esto. Hoy en día poseemos una serie de conceptualizaciones, de las cuales he tenido a bien elegir una, que abarca todos los aspectos de éste examen. “Auditar es el proceso de acumular y evaluar evidencia, realizado por una persona independiente y competente acerca de la información cuantificable de una entidad económica especifica, con el propósito de determinar e informar sobre el grado de correspondencia existente entre la información cuantificable y los criterios establecidos”6. El contador público, quien es la persona encargada de llevar a cabo éste proceso, deberá evaluar, no solamente le información presentada por la 6 Alvin A. Arens y James K. Loebbecke, Auditting: An Integrated Approach, 2° ed., Prentice-Hall, Englewood Cliffs, N.J., 1980, p.3. 25 administración en los Estados Financieros, sino también, aquellos procedimientos dictados por el Control Interno y la eficiencia con que han sido implementados por la entidad. Esta evaluación es necesaria antes que el auditor pueda emitir su opinión. Según las Normas Internacionales de Auditoría, el objetivo de una auditoría de estados financieros es hacer posible al auditor el expresar una opinión sobre si los estados financieros están preparados, respecto de todo lo sustancial, de acuerdo a un marco de referencia para reportes financieros identificados o a otros criterios. Como deducción, la auditoría es un examen crítico pero no mecanizado, que no implica la preexistencia de fallas en la entidad auditada, y persigue evaluar y mejorar la eficacia de una sección o de un organismo con el fin de informar a la administración su habilidad para conducir sus negocios hacia el objetivo para el cual han sido creados. 2.2.2 Clasificación de la auditoría La auditoría se interesa en la revisión de la adecuacidad y confiabilidad de los sistemas de información de gerencia y de los procedimientos operativos. El campo de la auditoría se extiende a todas las funciones de revisión, por lo 26 que puede ser clasificada, de forma general, en dos ramas de acuerdo a aquellos que realizan la auditoría, así: a) Auditoría interna. b) Auditoría independiente o externa. a) Auditoría interna La auditoría interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan ésta tarea son remunerados económicamente. b) Auditoría externa La auditoría externa es realizada por personas ajenas a la empresa auditada; es siempre remunerada. Se supone una mayor objetividad que en la auditoría interna, debido al mayor distanciamiento entre auditores y auditados. 2.2.3 Importancia de la auditoría en la confiabilidad de la información contable Si quisiera resumir en una sola palabra el objetivo primordial de una auditoría, indistintamente de su orientación, ésta sería: “seguridad”. 27 Los usuarios de la información financiera exigen que los valores expresados en los Estados Financieros reflejen la posición financiera real de la empresa, debido a que es sobre esos valores que fundamentarán sus decisiones; sin embargo, los números por si solos no generan la seguridad que los usuarios requieren de los mismos. Son los contadores públicos los encargados de realizar la tarea de auditoría, y los responsables de elaborar y aplicar normas y técnicas destinadas a la revisión, tanto de las cifras de los Estados Financieros, como de los procedimientos de control interno aplicados por la empresa en el procesamiento de la información financiera. Los auditores realizan su examen, basándose en dichas normas y técnicas, para obtener de él una base sobre la cual emitir su opinión de la razonabilidad de los Estados Financieros. Esta opinión es la que proporciona la seguridad requerida por los usuarios para la toma de decisiones. 2.3 Auditoría de sistemas 2.3.1 Concepto de la auditoría de sistemas Como se ha mencionado anteriormente, el enfoque de la auditoría no es exclusivamente sobre la información financiera, sino que cubre muchas mas 28 áreas dentro de una compañía. Hoy en día, ante el aumento del uso del computador se ha hecho necesaria la revisión de los sistemas utilizados en el procesamiento de la información contable. Al igual que la auditoría financiera hace una revisión del control interno, es necesario que exista una auditoría dedicada a la revisión de los controles creados para el procesamiento de datos, es ahí donde nace lo que denominamos “auditoría de sistemas”. Auditoría de Sistemas es: “La verificación de controles en el procesamiento de la información, desarrollo de sistemas e instalación con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia”.7 Para efectos de este trabajo definiré auditoría de sistemas como: El examen o revisión de carácter objetivo (independiente), crítico (evidencia), sistemático (normas), selectivo (muestras), de las políticas, normas, prácticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de información computarizados, con el fin de emitir una opinión profesional (imparcial) con respecto a: 7 http://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml 29 a) Eficiencia en el uso de los recursos informáticos. b) Validez de la información. c) Efectividad de los controles establecidos8. La auditoría de sistemas debe abordar el análisis y revisión desde que se originan los datos de entrada, el procesamiento de estos datos hasta que los usuarios reciben la información de salida. 2.3.2 Objetivos de la Auditoría de Sistemas 1. Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados. 2. Incrementar la satisfacción de los usuarios de los sistemas computarizados. 3. Asegurar una mayor integridad y confidencialidad de la información mediante la recomendación de seguridades y controles. 4. Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos. 5. Asegurar al personal, datos, hardware, software e instalaciones. 8 http://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml 30 6. Apoyar las metas y objetivos de la organización mediante la función informática. 7. Proporcionar seguridad, utilidad y disponibilidad en el ambiente informático. 8. Minimizar existencias de riesgos en el uso de Tecnología de información. 9. Ayudar a las decisiones de inversión y evitar gastos innecesarios. 10. Proporcionar capacitación y educación sobre controles en los Sistemas de Información. 2.3.3 Enfoque de la auditoría de sistemas El campo de acción de la auditoría de sistemas es:9 a) La evaluación administrativa del área de informática. b) La evaluación de los sistemas y procedimientos, y de la eficiencia que se tiene en el uso de la información. La evaluación de la eficiencia y eficacia con la que se trabaja. c) La evaluación del proceso de datos, de los sistemas y de los equipos de cómputo (software, hardware, redes, bases de datos, comunicaciones). d) Seguridad y confidencialidad de la información. e) Aspectos legales de los sistemas y de la información. 9 Auditoría en Informática, 2° Edición, José Antonio Echenique García, Mc Graw Hill. 31 Auditoría de Sistemas Objetivos Definición 1. Buscar una mejor relación costo-beneficio de los sistemas. 2. Incrementar la satisfacción de los usuarios de los sistemas. 3. Asegurar una mayor integridad y confidencialidad de la información. 4. Conocer la situación actual del área informática. “La verificación de controles en el procesamiento de la información, 5. Asegura al personal, datos, hardware, software e desarrollo de sistemas e instalaciones. instalación con el objetivo de 6. Apoyar las metas y objetivos de la organización. evaluar su efectividad y presentar recomendaciones a la Gerencia”. 7. Proporcionar seguridad, utilidad y disponibilidad en el ambiente informático. 8. Minimizar existencia de riesgos en el uso de Tecnología de información. 9. Ayudar a las decisiones de inversión y evitar gastos innecesarios. 10. Proporcionar capacitación y educación sobre controles en los Sistemas. Revisión y Evaluación de Enfoque Planeación controles y seguridad Evaluación administrativa Evaluación de Sistemas Evaluación de Procesamiento de datos Seguridad y Confidencialidad Para llevarse a cabo Revisión preliminar eficientemente una auditoría de sistemas, debe ser planificado el programa de Revisión detallada trabajo en base a: costo, tiempo, requerimiento de personal y documentación Controles y Seguridad auxiliar necesaria. Aspectos legales de los sistemas 32 2.3.4 Planeación de la auditoría de sistemas La planeación se caracteriza por el desarrollo de una estrategia global para obtener la conducta y el alcance esperados de una auditoría. El proceso de planeación abarca actividades que van desde las disposiciones iniciales para tener acceso a la información necesaria hasta los procedimientos que se han de seguir al examinar tal información, e incluye la planificación del número y capacidad del personal necesario para realizar la auditoría. La naturaleza, distribución temporal y alcance de los procedimientos de planificación del auditor varían según el tamaño y complejidad de la entidad bajo auditoría, de su experiencia en la misma y de su conocimiento del negocio. Para llevarse a cabo eficientemente una auditoría de sistemas, debe ser planificado el programa de trabajo en base a: costo, tiempo, requerimiento de personal y documentación auxiliar necesaria. La planeación de la auditoría es fundamental, pues habrá que hacerla considerando varios objetivos: a) Evaluación administrativa del área de procesos electrónicos. b) Evaluación de los sistemas y procedimientos. c) Evaluación de los equipos de cómputo. 33 d) Evaluación del proceso de datos, de los sistemas y de los equipos de cómputo (software, hardware, redes, bases de datos, comunicaciones). e) Seguridad y confidencialidad de la información. f) Aspectos legales de los sistemas y de la información. 2.3.5 Revisión y evaluación de controles y seguridad. 2.3.5.1 Revisión preliminar Luego de la planeación, el segundo paso a seguir es la revisión preliminar, la cual tiene por objetivo recopilar la información necesaria, por medio de entrevistas con el personal y observación de las actividades, que pueda suministrar al auditor de sistemas un parámetro de medición sobre el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo, y así poder proceder a realizar la auditoría. 2.3.5.2 Revisión detallada Esta revisión tiene como propósito el obtener entendimiento sobre los controles usados dentro del área de informática. En base a este conocimiento el auditor decide sobre las pruebas a seguir realizando, pruebas consentimiento, pruebas de control de usuarios o pruebas sustantivas. 34 de Las pruebas de consentimiento determinan si los controles internos se están cumpliendo de conformidad a como fueron diseñados a operar. Las pruebas de control de usuarios, compensan cualquier debilidad existente en la operatividad de los controles internos. Las pruebas sustantivas tienen como objetivo obtener la evidencia necesaria, durante el procesamiento de información, que permita al auditor emitir juicio sobre cuándo puede ocurrir un proceso equivocado. 2.3.5.3 Controles Los controles son un conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las empresas, y para ello permite verificar si todo se realiza conforme a los programas adoptados, órdenes impartidas y principios admitidos 2.3.5.4 Clasificación de los Controles10 1. Controles de preinstalación. Hacen referencia a procesos y actividades previas a la adquisición e instalación de un equipo de computación y obviamente a la automatización de los sistemas existentes. 10 . http://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml 35 Garantizan que el hardware y software se adquieran siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa, una adecuada selección de equipos y sistemas de computación, y la elaboración de un plan de actividades previo a la instalación 2. Controles de organización y planificación. Se refiere a la definición clara de funciones, línea de autoridad y responsabilidad de las diferentes unidades del área de sistemas, en labores tales como: diseño de un sistema, elaboración de los programas, operación del sistema y control de calidad. Se debe evitar que una misma persona tenga el control de toda una operación. 3. Controles de sistemas en desarrollo y producción Se debe justificar que los sistemas han sido la mejor opción para la empresa, bajo una relación costo-beneficio que proporcionen oportuna y efectiva información, se han desarrollado bajo un proceso planificado y se encuentren debidamente documentados. 36 4. Controles de procesamiento Los controles de procesamiento se refieren al ciclo que sigue la información desde la entrada hasta la salida de la información, lo que conlleva al establecimiento de una serie de seguridades para asegurar que todos los datos sean procesados, garantizar la exactitud de los datos procesados, que se grabe un archivo para uso de la gerencia con fines de auditoría y asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones. 5. Controles de operación Abarcan todo el ambiente de la operación del equipo central de computación y dispositivos de almacenamiento, la administración de la cintoteca y la operación de terminales y equipos de comunicación por parte de los usuarios de sistemas on line. . Estos controles tienen como fin: a) Prevenir o detectar errores accidentales que puedan ocurrir en el centro de cómputo durante un proceso. b) Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios del sistema. c) Garantizar la integridad de los recursos informáticos. 37 d) Asegurar la utilización adecuada de equipos acorde a planes y objetivos. 6. Controles de uso de microcomputadoras Es la tarea más difícil pues son equipos más vulnerables, de fácil acceso, de fácil explotación pero los controles que se implanten ayudarán a garantizar la integridad y confidencialidad de la información. 2.3.5.5 Seguridad Durante mucho tiempo se consideró que la seguridad de los sistemas era responsabilidad de la persona que los elaboraba. Sin embargo, la seguridad es responsabilidad de la dirección del área de informática en cuanto a la elaboración de sistemas, del auditor en cuanto a la supervisión de controles y del usuario respecto de la forma de acceso y uso de la información. La seguridad de informática tiene como objetivos: a) Proteger la integridad, exactitud y confidencialidad de la información. b) Proteger los activos ante desastres provocados por la mano del hombre y de actos hostiles. c) Proteger a la organización contra situaciones externas como desastres naturales y sabotajes. 38 d) En caso de desastre, contar con los planes y políticas de contingencias para lograr una pronta recuperación. e) Contar con los seguros necesarios que cubran las pérdidas económicas en caso de desastre. La computadora es un instrumento que estructura gran cantidad de información, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de ésta. También pueden ocurrir robos, fraudes o sabotajes que provoquen la destrucción total o parcial de la actividad computacional. Esta información puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos. . La seguridad en la informática abarca los conceptos de seguridad física y seguridad lógica: La seguridad física, se refiere a la protección del Hardware y de los soportes de datos, así como la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc. 39 La seguridad lógica, se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, y acceso autorizado de los usuarios. 2.3.6 Norma Internacional de Auditoría 401 El Instituto Americano de Contadores Públicos creó las Normas para la Revisión de los Ambientes de Informática. En Diciembre de 1974 se emitió la Declaración sobre Normas de Auditoría No.3; ésta fue sustituida por la Norma No.48 en Julio de 1984. La Norma Internacional de Auditoría 401 proporciona al auditor lineamientos sobre los procedimientos a seguir cuando se conduce una auditoría bajo una ambiente SIC (Sistema de Información Computarizada). Se denomina una ambiente SIC aquel que involucra una computadora, de cualquier tipo o tamaño, en el procesamiento de información contable en una entidad. El realizar una auditoría bajo un ambiente SIC no cambia el objetivo y alcance de ésta. Sin embargo, el uso del computador en la entidad auditada varía los procedimientos de procesamientos, almacenamiento y comunicación de la información financiera. Por consiguiente, un ambiente SIC puede afectar: 40 a) Los procedimientos seguidos por un auditor para obtener una comprensión suficiente de los sistemas de contabilidad y control interno. b) La consideración del riesgo inherente y de control a través de la cual el auditor llega a la evaluación del riesgo. c) El diseño y desarrollo de pruebas de control y procedimientos sustantivos apropiados para cumplir con el objetivo de la auditoría. Esta normativa exige al auditor el suficiente conocimiento del sistema computarizado y de los procedimientos de control interno utilizados por la empresa, de manera que pueda planificar, dirigir, supervisar y revisar el trabajo de auditoría. De ser necesario el auditor puede hacer uso del trabajo de un experto para: a) Obtener una suficiente comprensión de los sistemas de contabilidad y de control interno afectados por el ambiente SIC. b) Determinar el efecto del ambiente SIC sobre la evaluación del riesgo global y del riesgo al nivel del saldo de cuenta. 41 c) Diseñar y desempeñar pruebas de control y procedimientos sustantivos apropiados. Para desarrollar un enfoque de auditoría efectiva, el auditor debe obtener una comprensión de la complejidad e importancia de las actividades del SIC, así como la disponibilidad de datos para uso en la auditoría. Esta comprensión incluye asuntos como: a) La importancia relativa de las aseveraciones de los estados financieros afectados por el ambiente SIC. b) La complejidad del procesamiento por computadora de cada operación importante de contabilidad. Se puede considerar como compleja una aplicación cuando: a. El volumen de transacciones es tal que la identificación y corrección de errores resulta difícil. b. Existen transacciones, que son creadas por el computador automáticamente, y son de importancia relativa. c. Los registros pueden ser intercambiados entre entidades, sin que exista una supervisión manual. 42 diferentes c) La estructura organizacional de la entidad, en cuanto a la centralización o diversificación de funciones del personal en el procesamiento de la información. d) La disponibilidad de datos. Los documentos fuentes, ciertos archivos de computadora, y otro material de evidencia que pueden ser requeridos por el auditor, pueden existir por un corto período de tiempo o solo en forma legible por computadora. La naturaleza de los riesgos y las características del control interno en ambientes SIC incluyen los siguientes: a) Falta de rastro de las transacciones. b) Procesamiento uniforme de transacciones. c) Falta de segregación de funciones. d) Potencial para errores e irregularidades. e) La disminución del involucramiento humano en el manejo de las transacciones. f) Iniciación o ejecución de transacciones. g) Dependencia de otros controles del procesamiento por computadora. h) Potencial para mayor supervisión de la administración. i) Potencial para el uso de técnicas de auditoría con ayuda de computadora. 43 El auditor debería hacer una evaluación de los riesgos inherentes, de control y de detección para las aseveraciones importantes de los estados financieros, y poder diseñar los procedimientos de auditoría para reducir el riesgo de auditoría a un nivel aceptablemente bajo. El riesgo inherente representa la susceptibilidad de una afirmación a una declaración incorrecta material, en el supuesto de que no existen procedimientos y políticas de estructura de control interno relacionados. El riesgo de control reside en que una declaración incorrecta importante que pudiera ocurrir, no se evitará ni se detectará oportunamente a través de los procedimientos y políticas de estructura de control interno de la entidad. El riesgo de detección es aquel en el que el auditor no detectará una declaración incorrecta importante que existe en una afirmación. 2.4 Control Interno 2.4.1 Definición de control interno. Enfoque contemporáneo del Control Interno. Informe COSO. Para elaborar una auditoría de sistemas se debe obtener, primordialmente, un completo entendimiento de control interno, especialmente de aquellos procedimientos destinados al control del procesamiento de datos. 44 Con base al enfoque contemporáneo del control interno, “informe COSO”11, éste se define como: “Un proceso, ejecutado por la junta directiva o consejo de administración de una entidad, por su grupo directivo (gerencia) y por el resto del personal, diseñado específicamente para proporcionarles seguridad razonable de conseguir en la empresa las tres categorías de objetivos siguientes: a) Efectividad y eficiencia de las operaciones. b) Suficiencia y confiabilidad de la información financiera. c) Cumplimiento de las leyes y regulaciones aplicables.12 2.4.2 Componentes del Control Interno13 El control interno consta de cinco componentes: 1. Ambiente de control. Se refiere al establecimiento de un entorno que estimule e influencie las actividades del personal con respecto al control de sus actividades. 11 Comité of sponsoring organizations of the treadway commission (COSO) quien emitió el documento “International of control integrated”. 12 Control Interno y Fraudes con base en los ciclos transaccionales, 1° Edición, Rodrigo Estupiñán Gaitán, Ecoe Ediciones. 13 Comité of sponsoring organizations of the treadway commission (COSO) quien emitió el documento “International of control integrated”. 45 Es en esencia el principal elemento sobre el que se sustentan o actúan los otros cuatro componentes e indispensables, a su vez, para la realización de los propios. 2. Evaluación de riesgos. El segundo componente del control, involucra la identificación y análisis de riesgos relevantes para el logro de los objetivos y la base para determinar la forma en que tales riesgos deben ser manejados. Asimismo, se refiere a los mecanismos necesarios para identificar y manejar riesgos específicos asociados con los cambios, tanto los que influyen en el entorno de la organización como en el interior de la misma. 3. Actividades de control. Las actividades de control son aquellas que realiza la gerencia y demás personal de la organización para cumplir diariamente sus actividades asignadas. Estas actividades están relacionadas con las políticas, sistemas y procedimientos principalmente. Algunos ejemplos de estas actividades son la aprobación, autorización, verificación, conciliación, inspección, y revisión de indicadores de rendimiento. 46 4. Información y comunicación. La información pertinente debe ser identificada, capturada, procesada y comunicada al personal en forma y dentro del tiempo indicado, de manera tal que le permita cumplir con sus responsabilidades. Los sistemas producen reportes conteniendo información operacional, financiera y de cumplimiento que hace posible conducir y controlar la organización. Todo el personal debe recibir un claro mensaje de la Alta Gerencia de sus responsabilidades sobre el control, así como la forma en que las actividades individuales se relacionan con el trabajo de otros. Asimismo, debe contarse con medios para comunicar información relevante hacia los mandos superiores, y a entidades externas. 5. Supervisión y seguimiento. La gerencia debe llevar a cabo la revisión y evaluación sistemática de los componentes y elementos que forman parte de los sistemas. Lo anterior no significa que tengan que revisarse todos los componentes y elementos, como tampoco que deba hacerse al mismo tiempo. 47 Ello dependerá de las condiciones específicas de cada organización, de los distintos niveles de riesgos existentes y del grado de efectividad mostrado por los distintos componentes y elementos de control. La evaluación debe conducir a la identificación de los controles débiles, insuficientes o necesarios, para promover con el apoyo decidido de la gerencia, su reforzamiento e implantación. Esta evaluación puede llevarse a cabo de tres formas: durante la realización de las actividades de supervisión diaria en distintos niveles de organización; de manera independiente por personal que no es responsable directo de la ejecución de las actividades (incluidas las de control), y mediante la combinación de las dos formas anteriores. El auditor utiliza los conocimientos derivados del entendimiento de la estructura de control interno y del nivel evaluado del riesgo de control para determinar la naturaleza, oportunidad y alcance de las pruebas substantivas para afirmaciones de los estados financieros.14 El SAS 55 establece que para lograr una comprensión de la estructura de control interno de una entidad y emitir un juicio sobre la misma, el auditor debe de considerar la información obtenida de diferentes fuentes tales como auditorías anteriores y la comprensión de la industria en donde opera la entidad. 14 Declaración sobre Normas de Auditoría No. 55 “ Evaluación de la estructura del control interno en una auditoría de estados financieros” 48 El auditor considera asimismo, sus evaluaciones de riesgo inherente, sus juicios sobre la importancia relativa y la complejidad y sofisticación de las operaciones y los sistemas de la entidad, incluyendo si el método de controlar el procesamiento de datos, se basa en procedimientos manuales independientes de la computadora o depende en gran medida de los controles computarizados. Tras obtener la comprensión de la estructura de control interno, el auditor podrá evaluar el riesgo de control al nivel máximo para algunas o todas las afirmaciones, porque cree que los procedimientos y políticas, probablemente no se refieren a una afirmación, no sean efectivos, o porque resultaría ineficiente evaluar su efectividad. El auditor emplea el nivel evaluado del riesgo de control (junto con el nivel evaluado del riesgo inherente) para determinar el nivel aceptable de riesgo de detección, para las afirmaciones de los estados financieros. El auditor usa el nivel aceptable del riesgo de detección, para determinar la naturaleza, oportunidad y alcance de los procedimientos de auditoría, que se emplearán para detectar las declaraciones incorrectas importantes en las afirmaciones de los estados financieros. 49 2.5 Estándares de seguridad A continuación se presentan los lineamientos del estándar de seguridad BS 7779. El BS 7779 especifica aspectos de un programa efectivo de protección de información, adaptable a las necesidades de los negocios e industrias. Este estándar de seguridad busca asegurar la integridad, disponibilidad y confidencialidad de la información de las empresas. Se tomarán los elementos de una auditoría de primer nivel, los cuales ayudarán al auditor a comprender el grado de cumplimiento que se tiene dentro de una organización. 2.5.1. Políticas 2.5.1.1 Política de protección de documentación y su diseminación Objetivo: Alcanzar un soporte de alto nivel y control de la protección de la información. Método: La Alta Administración debería participar en la creación y operación de una clara política de protección de la información, la cual incluya la organización completa. 50 2.5.2. Protección de la información institucional 2.5.2.1 Infraestructura organizacional Objetivo: Administración efectiva de la protección de la información, a través de la organización. Método: Debe crearse una estructura organizacional, con la misión y poder requerido para definir e implementar controles efectivos para proteger la información. Elementos a evaluar: a) Comité de Informática Los controles de seguridad deben ser proporcionados por un comité informática dependiente de la gerencia. b) Coordinación de esfuerzos Se deben coordinar los esfuerzos convenientemente de manera que se puedan eliminar inconsistencia y mal usar los esfuerzos. c) Responsabilidades La responsabilidad sobre los activos de un valor sustancial debe ser asignada individualmente. 51 d) Autorización de instalaciones Las instalaciones donde se encuentran la tecnología de información deben ser autorizadas y aprobadas para su uso. e) Asistencia calificada Una protección eficaz puede requerir de la intervención de la asistencia de un experto. f) Coordinación al interior de la organización La cooperación entre los grupos que trabajan en el área de seguridad de la información debe aprovecharse para atenuar amenazas comunes. g) Revisión independiente Se debe realizar una revisión de la seguridad de la información de parte de una persona independiente a la organización. 2.5.2.2 Controles de acceso de terceros Objetivo: Controlar los efectos potenciales por accesos de terceros a la tecnología de la información. Método: Deben utilizarse controles apropiados aplicables a los accesos de terceros. 52 Elementos a evaluar: a) Identificación de riesgos asociados a terceros. Se debe crear una evaluación de los riesgos asociados a terceros para poder controlarlos apropiadamente y así, reducir el riesgo. b) Medidas contractuales. Deben realizarse contratos que deben incluir controles y especificaciones legales de responsabilidad de los accesos de terceros. 2.5.3 Control y sensitividad de activos 2.5.3.1 Responsabilidad Objetivo: Apropiado control de los activos de información. Método: Debería especificar la pertenencia para todos los activos y los dueños de dichos activos deben ser responsables de su protección. Elementos a evaluar: a) Identificación y rastreo del activo Debe existir un control sobre los activos informáticos para su respectiva identificación y seguimiento. 53 2.5.3.2 Clasificación de la información Objetivo: Asegurar que la protección de los activos de información es adecuada. Método: Información sensitiva debe asociarse con activos de información; ésta información debería utilizarse para informar decisiones relativas a prioridades de protección. Elementos a evaluar: a) Lineamientos de sensitividad Se deben poseer lineamientos para la protección de la información basados en su sensitividad. b) Etiqueta de sensitividad La información debe ser clasificada de acuerdo a su sensitividad. 2.5.4 Personal 2.5.4.1 Protección en especificaciones y decisiones del personal Objetivo: Controlar los riesgos asociados a personas. 54 Método: Los requerimientos del personal deben incluir adecuadas medidas de protección, relativas a especificaciones y verificaciones. Elementos a evaluar: a) Protección requerida en especificaciones de personal Las especificaciones al personal deben incluir requisitos de protección a la información. b) Revisión previa a contrataciones de personal A los empleados potenciales que tendrán acceso a información sensible se les puede pedir una fianza como requisito para su empleo. c) Acuerdos legales Se deben usar los acuerdos legales necesarios a las personas que trabajen en las áreas de acceso a información sensible. 2.5.4.2 Entrenamiento sobre seguridad Objetivo: Asegurar que el personal con acceso, comprenda la naturaleza de las amenazas y riesgos asociados a la información y un adecuado entendimiento de los controles. 55 Método: Políticas, procedimientos y reglas de trabajo, son fundamentales como parte del entrenamiento sobre seguridad para el personal con acceso. Elemento a evaluar: a) Capacitación y educación sobre seguridad Se debe proporcionar capacitación y educación apropiada al personal con acceso a la información. 2.5.4.3 Reporte de incidentes Objetivo: Minimizar posibles daños asociados a incidentes y adaptar la seguridad de acuerdo a las situaciones presentadas. Método: Debe utilizarse un sistema de reporte de incidencias, los eventos reportados deben monitorearse periódicamente. Elementos a evaluar: a) Reportando incidencias Los incidentes deben ser reportados tan pronto como sucedan. 56 b) Reporte de vulnerabilidad Las vulnerabilidades, potenciales y reales, deben ser reportadas. c) Reporte de errores de software Se debe reportar cualquier error de software. d) Proceso de amonestación para empleados Se debe poseer un proceso eficaz de penalidades a empleados en la brecha de seguridad. 2.5.5 Protección física 2.5.5.1 Protección física de instalaciones Objetivo: Prevenir interacciones inapropiadas entre personal autorizado, no autorizado y los sistemas. Método: La información sensitiva y los sistemas que la afectan, deben mantenerse en instalaciones protegidas. Elementos a evaluar: a) Perímetros 57 Se deben utilizar controles para prevenir el paso desautorizado por los perímetros establecidos para la seguridad. b) Controles de acceso Se debe delimitar el lugar físico donde se encuentra la información a través de parámetros claros. c) Protección de centros de cómputo Los centros de cómputo o habitaciones relacionadas deber ser debidamente protegidos. d) Separación de áreas con acceso público de las áreas internas Se deben considerar restricciones de acceso a las área internas de las áreas de acceso público. e) Mantener escritorios limpios Los escritorios deberán mantenerse limpios para proveer protección a al información. f) Reubicación autorizada de activos El retiro o reubicación de los activos relacionados con la información se debe realizar solamente bajo la debida autorización. 58 2.5.5.2 Seguridad de Hardware Objetivo: Asegurar la continuidad del negocio y reducir la exposición a pérdidas o daños. Método: Proteger físicamente al hardware de la organización, tanto de amenazas físicas, como ambientales. Elementos a evaluar: a) Protección de la ubicación del hardware El hardware se debe proteger para prevenir posible destrucción, acceso desautorizado o denegación de accesos. b) Energía eléctrica Se debe intervenir para reducir las fallas de energía eléctrica. c) Protección de cableado Los cables de conexión se deben proteger para evitar incidentes. d) Mantenimiento de hardware Se debe realizar un mantenimiento adecuado del hardware. 59 e) Protección del hardware mantenido en locaciones externas Deben existir políticas de protección para el hardware que se encuentra en locaciones externas. f) Terminación del ciclo de vida del hardware El contenido del hardware se debe remover o destruir cuando el ciclo de vida de éste se termine. 2.5.6. Administración de sistemas e infraestructura 2.5.6.1 Roles y responsabilidades Objetivo: Adecuada administración manejo de destrezas. Método: Para todos los sistemas e infraestructuras existentes, deben definirse los roles y responsabilidades, administrativa y operacionalmente. Elementos a evaluar: a) Documentación de procedimientos Los procedimientos para todas las operaciones deben estar debidamente documentados. 60 b) Manejo de incidentes Los procedimientos ante los incidentes deben permanecer al alcance de los usuarios de la información. c) Separación de funciones Para minimizar el abuso potencial debe existir una adecuada segregación de funciones. d) Separación de ambientes de desarrollo y producción Deben separarse los sistemas de desarrollo de los sistemas de producción. e) Administración de facilidades externas Deben identificarse todas las implicaciones de seguridad e incluir controles apropiados al utilizar un servicio externo de administración de las instalaciones. 2.5.6.2 Planificación y aceptación de sistemas Objetivo: Minimizar los riesgos por fallas de sistemas. Elementos a evaluar: 61 a) Planeación de capacidad Se deben cumplir los requisitos de capacidad de los sistemas con el fin de minimizar fallas por capacidad inadecuada. b) Aceptación del sistema Se deben establecer criterios para la aceptación de nuevos sistemas, así como pruebas de capacidad antes de su aceptación. c) Planeación de posibles fallas Se debe contar con procedimientos ante posibles fallas, los cuales deberán ser debidamente coordinados y supervisados. d) Control sobre cambios operacionales Los cambios en la operatividad deben ser controlados adecuadamente. 2.5.6.3 Protección de software malicioso Objetivo: Resguardar la integridad del software y data. Elemento a evaluar: a) Control de virus 62 Se deben implementar medidas preventivas para la detección de virus, así como los procedimientos a ser usados. 2.5.6.4 Administración de servicios IT Objetivo: Mantener la integridad y disponibilidad de los servicios de tecnología de la información, IT por sus siglas en inglés. 2.5.7. Sistemas de control de acceso 2.5.7.1 Requerimientos de negocio para accesos a los sistemas Objetivo: Controlar el acceso a la información del negocio. Los accesos a los servicios del computador y datos, deben controlarse, de acuerdo a las necesidades del negocio. Elemento a evaluar: a) Política documentada de control de acceso Deben existir políticas documentadas sobre los requisitos de control de acceso a los sistemas de información. 63 2.5.7.2 Administración de acceso de usuarios Objetivo: Prevenir acceso no autorizado al computador. Deben existir procedimientos formales para controlar la distribución de derechos de acceso a los servicios de tecnología de la información (IT). Elementos a evaluar: a) Registro de usuarios. Debe existir un procedimiento formal para el registro de los accesos de los usuarios a los servicios de tecnología de información. b) Administración de privilegios. Los usuarios con accesos privilegiados deben ser restringidos y controlas adecuadamente. c) Administración de contraseñas de usuario. (“passwords”) La asignación de contraseñas a los usuarios debe ser controlada para mantener la seguridad. d) Revisión de los derechos de acceso de usuarios. 64 Los derechos de acceso de usuarios deben ser revisados regularmente en intervalos de tiempo. 2.5.7.3 Responsabilidades de usuario Objetivo: Prevenir accesos de usuarios no autorizados. La cooperación de los usuarios autorizados es esencial para la efectividad de la seguridad. Elementos a evaluar: a) Uso de palabras clave (“passwords”) Los usuarios deben seguir inteligentes prácticas de seguridad en la selección y uso de palabras claves. b) Equipo sin la presencia del usuario Todo equipo sin la presencia del apropiadamente. 2.5.7.4 Control de acceso a redes 65 usuario debe se protegido Objetivo: Proteger los servicios de redes. Las conexiones a servicios de redes deben controlarse. Elementos a evaluar: a) Servicios limitados Los usuarios deben acceder solamente a los servicios que han sido autorizados a utilizar. b) Reforzamiento de ruta o “path” Es necesario controlar la ruta del terminal del usuario al servicio informático. c) Autenticación de usuarios Las conexiones de los usuarios remotos vía redes públicas deber autorizados. d) Autenticación de nodos Las conexiones con los sistemas informáticos remotos deben ser autenticados. 66 e) Protección de puertos de diagnóstico remotos El acceso a los puertos de diagnóstico debe ser controlado por seguridad. f) Segregación en redes Las redes grandes pueden ser divididas en dominios separados. g) Control de conexiones a red La capacidad de conexiones de usuarios necesita ser controlada para apoyar los requisitos de la política de acceso de ciertos usos del negocio. h) Control de ruteo de red Las redes compartidas deben requerir de controles en el ruteo de red. i) Seguridad de servicios de red Se deben establecer los riegos asociados al uso de los servicio de red. 2.5.7.5 Control de acceso al computador Objetivo: Prevenir accesos no autorizados al computador. El establecimiento de accesos al computador debe ser controlado 67 Elementos a evaluar: a) Identificación automática de terminales o estaciones de trabajo Se debe considerar la identificación automática de terminales o estaciones de trabajo para autenticar conexiones a localizaciones específicas. b) Procedimientos “logon” de terminales Los accesos a los servicios deben ser mediante un proceso seguro de “logon”. c) Identificadores de usuarios Las actividades de la computadora deben ser rastreadas identificando a cada usuario. d) Sistema de administración de contraseñas Se debe utilizar un sistema eficaz de contraseñas para identificar a los usuarios. e) Alarmas de coacción para salvaguardar usuarios 68 Se debe considerar el uso de alarmas de coacción para salvaguardar los usuarios. f) In activación de terminales Se debe determinar la hora de terminación de actividades de las terminales inactivas en localizaciones de alto riesgo, o los sistemas de alto riesgo, para prevenir accesos desautorizados. g) Limitación de tiempo de conexión Deben poseer restricciones sobre el tiempo de conexión para brindar seguridad adicional para los usos de riesgo elevado. 2.5.7.6 Control de acceso de aplicaciones Objetivo: Prevenir accesos no autorizados a información mantenida en los sistemas computarizados. Deben utilizarse controles de acceso lógico, con el fin de controlar los accesos a los sistemas aplicativos y a los datos. Elementos a evaluar: 69 a) Restricción de acceso a información Se deben establecer restricciones para el acceso a los datos y servicios de información en concordancia con las políticas del negocio. b) Utilización de utilitarios de sistemas El acceso a las utilidades del sistema debe ser restringido y controlado. c) Control de acceso a librería de programas fuentes Se deben restringir y controlar los accesos a programación de bases de datos. d) Aislamiento de sistemas sensitivos Los sistemas sensitivos deben ser aislados para su funcionamiento. 2.5.7.7 Monitoreando accesos al sistema y su uso Objetivo: Detectar actividades no autorizadas. Los sistemas deben ser monitoreados para asegurar el cumplimiento de las políticas y estándares de acceso. Elementos a evaluar: 70 a) Log de eventos Por seguridad, se debe mantener un registro de todos los acontecimientos dentro del sistema. b) Monitoreando el uso del sistema Se deben establecer procedimientos para la supervisión del uso de los sistemas. c) Sincronización del reloj del computador Los relojes de los computadores deben ser sincronizados para obtener una grabación exacta. 2.5.8 Desarrollo y mantenimiento de sistemas 2.5.8.1 Requerimientos de seguridad de sistemas Objetivo: Asegurar el establecimiento de seguridades en los sistemas de tecnología de la información. Previo al desarrollo de sistemas de IT, deben identificarse y acordarse los requerimientos de seguridad. Elemento a evaluar: 71 a) Análisis y especificación de requerimientos de seguridad Para cada proyecto en desarrollo se debe realizar un análisis de los requerimientos de seguridad. 2.5.8.2 Seguridad en sistemas aplicativos Objetivo: Prevenir la pérdida, modificación o uso inapropiado de datos de usuarios en sistemas aplicativos. En los sistemas de aplicación deben diseñarse controles de seguridad apropiados, incluyendo pistas de auditoría. Elementos a evaluar: a) Validación de datos de entrada Se deben validar las entradas de datos a los sistemas. b) Validación de procesamiento interno Se deben validar los datos generados internamente en los sistemas. c) Encriptación de datos Se bebe resguardar los datos altamente sensibles encriptándolos. 72 d) Autenticación de mensajes Se debe considerar el uso de un mensaje de autenticación al transmitir datos sensibles. 2.5.8.3 Seguridad de archivos de sistemas aplicativos Objetivo: Asegurar que los proyectos de IT y actividades de soporte, son llevadas a cabo de forma segura. Los accesos a los archivos del sistema deben controlarse. Elementos a evaluar: a) Control de software operativo Se debe ejercer un control determinante sobre la puesta en práctica del software en sistemas operacionales. b) Protección de sistemas para prueba de datos Se deben controlar y proteger los datos de prueba. 2.5.8.4 Seguridad en ambientes de desarrollo y soporte 73 Objetivo: Mantener la seguridad del software de los sistemas aplicativos datos. Los proyectos y ambientes de soporte deben ser estrictamente controlados. Elementos a evaluar: a) Procedimientos de control de cambios Se deben poseer procedimientos formales de control de cambios. b) Revisiones técnicas de cambios a los sistemas operativos El impacto de los cambios del sistema operativo debe ser revisado por seguridad. c) Restricciones en cambios a paquetes de software Las modificaciones a los paquetes de software deben ser restringidos. Cualquier cambio esencialmente debe ser controlado terminantemente. 2.5.9 Plan de continuidad del negocio 2.5.9.1 Aspectos de un plan de continuidad del negocio 74 Objetivo: Disponer de planes para contrarrestar interrupciones en las actividades del negocio. Planes de contingencia deben estar disponibles para proteger los procesos críticos del negocio de fallas mayores y desastres. Elementos a evaluar: a) Proceso del plan de contingencia Debe existir un proceso de mantenimiento y un plan de contingencia dentro de la organización. b) Estructura del plan de contingencias Se debe mantener un estructura consistente del plan de contingencias. c) Prueba del plan de contingencias Se deben probar todos los planes de contingencias. d) Actualización del plan de contingencias Los planes de contingencias del negocio deben ser adaptados regularmente. 2.5.10 Cumplimiento 75 2.5.10.1 Cumplimiento con requerimientos legales Objetivo: Evitar violaciones de obligaciones legales, civiles o criminales y requerimientos de seguridad. El diseño, operación y uso de sistemas computarizados, debería estar de acuerdo a requerimientos legales, contractuales y de seguridad. Elementos a evaluar: a) Control de copia de software propietarios Se debe prestar atención a las restricciones legales sobre el uso de software registrados. b) Salvaguardando los registros de la organización Los registros importantes de una organización deben ser protegidos contra la pérdida, destrucción y falsificación. c) Protección de datos Los datos deben se protegidos aplicando principios y leyes de seguridad. d) Prevención de uso inapropiado de facilidades de IT 76 Las instalaciones deben ser utilizadas únicamente para los autorizados por el negocio. 2.5.10.2 Revisiones de seguridad de sistemas de IT Objetivo: Asegurar que los sistemas cumplen con las políticas y estándares de seguridad de la organización. La seguridad de los sistemas de IT debe revisarse regularmente. Elementos a evaluar: a) Cumplimiento con política de seguridad Se debe considerar una revisión regular de todas las áreas dentro de la organización de conformidad con políticas y estándares de seguridad. b) Revisiones técnicas de cumplimiento Se deben revisar las instalaciones regularmente para conocer si se encuentran de acuerdo a estándares de seguridad. 77 2.6 Cuadro Sinóptico El siguiente cuadro muestra en síntesis los estándares de seguridad a revisar. 78 POLITICA OBJETIVO ELEMENTOS A EVALUAR Protección física Protección física de instalaciones Seguridad de Hardware Perímetros Controles de acceso Prevenir interacciones inapropiadas entre Protección de centros de cómputo personal autorizado, no autorizado y los Separación de áreas con acceso público de las sistemas. áreas internas Mantener escritorios limpios Reubicación autorizada de activos Protección de la ubicación del hardware Energía eléctrica Protección de cableado Asegurar la continuidad del negocio y reducir la exposición a pérdidas o daños. Mantenimiento de hardware Protección del hardware mantenido en locaciones externas Terminación del ciclo de vida del hardware Administración de sistemas e infraestructura Roles y responsabilidades Planificación sistemas y aceptación Protección de software malicioso Administración de servicios IT Documentación de procedimientos Manejo de incidentes Adecuada administración manejo de Separación de funciones destrezas. Separación de ambientes de desarrollo y producción Administración de facilidades externas Planeación de capacidad de Minimizar los riesgos por fallas de Aceptación del sistema sistemas. Planeación de posibles fallas Control sobre cambios operacionales Resguardar la integridad del software y Control de virus data. Objetivo: Mantener la integridad y disponibilidad de los servicios de tecnología de la información, IT por sus siglas en inglés. Sistemas de control de acceso Requerimientos de negocio accesos a los sistemas para Controlar el acceso a la información del Política documentada de control de acceso negocio. Registro de usuarios. Administración de privilegios. Administración de acceso de Prevenir acceso no autorizado al Administración de contraseñas de usuario. usuarios computador. (“passwords”) Revisión de los derechos de acceso de usuarios . Prevenir accesos de usuarios no Uso de palabras clave (“passwords”) Responsabilidades de usuario autorizados. Equipo sin la presencia del usuario Servicios limitados Reforzamiento de ruta o “path” Autenticación de usuarios Autenticación de nodos Control de acceso a redes Proteger los servicios de redes. Protección de puertos de diagnóstico remotos Segregación en redes Control de conexiones a red Control de ruteo de red Seguridad de servicios de red Identificación automática estaciones de trabajo de terminales o Procedimientos “logon” de terminales al Identificadores de usuarios Control de acceso al computador Sistema de administración de contraseñas Alarmas de coacción para salvaguardar usuarios Inactivación de terminales Limitación de tiempo de conexión Restricción de acceso a información Prevenir accesos no autorizados a Utilización de utilitarios de sistemas Control de acceso de aplicaciones información mantenida en los sistemas Control de acceso a librería de programas computarizados. fuentes Aislamiento de sistemas sensitivos Log de eventos Monitoreando accesos al sistema y Detectar actividades no autorizadas. Monitoreando el uso del sistema su uso Sincronización del reloj del computador Prevenir accesos computador. no autorizados CAPITULO III METODOLOGÍA DE LA INVESTIGACIÓN 3.1 Objetivos del Trabajo 3.1.1 Objetivo General Establecer los conceptos básicos de la auditoría de sistemas que el auditor debe tener en cuenta al planificar una revisión de auditoría, bajo un ambiente de sistemas computarizados. 3.1.2 Objetivos Específicos Exponer el campo de acción de una auditoría, los diferentes tipos de auditoría y como éstas se relacionan entre sí. Definir los elementos fundamentales de la auditoría de sistemas y su relación con los procedimientos de auditoría financiera. Explicar como una adecuada aplicación de los conceptos de auditoría de sistemas puede proporcionar un parámetro de medición, para determinar si la información contable es confiable. 3.2 Objetivos de Investigación 3.2.1 Objetivo General Contribuir con los auditores proporcionando una guía de los conceptos fundamentales de la auditoría de sistemas, los cuales deberán ser considerados en la planeación de una auditoría a realizarse en un ambiente de sistemas computarizados, para concluir sobre la racionabilidad de la información contable. 3.2.2 Objetivos Específicos Establecer el nivel de conocimiento técnico que los auditores poseen sobre la auditoría de sistemas, y cómo es utilizado al momento de efectuar una auditoría bajo un ambiente de sistemas computarizados. Proponer a los auditores los enfoques de auditoría de sistemas, que deberán tomarse en cuenta en la ejecución de una auditoría, para obtener un panorama mas real de la información contable. Potencializar los beneficios a las medianas empresas usuarias de sistemas computarizados, al realizar una auditoría a dichos sistemas ya sus procedimientos de control del procesamiento de datos. 82 3.3 Hipótesis de la investigación 3.3.1 Hipótesis General HG.: A mayor conocimiento de los conceptos de auditoría de sistemas, será mejor la consideración de éstos, en la planificación de una auditoría bajo un ambiente de sistemas de información computarizado. 3.3.2 Hipótesis Específicas H1.: En la medida que los auditores posean conocimiento técnico de la auditoría de sistemas, serán mejor empleadas las estrategias y la combinación de pruebas a utilizar en la ejecución de una auditoría. H2.: Una adecuada aplicación de estándares de seguridad utilizados en la auditoría de sistemas proporciona un panorama mas real de la calidad de la información contable. H3.: En la medida que las medianas empresas implementen sistemas computarizados para el procesamiento de datos, será necesario incluir en la planificación de auditoría, la revisión de éstos y los procedimientos de control asociados, tomando de referencia los conceptos de una auditoría de sistemas. 83 3.4. Metodología de la investigación. 3.4.1 Población a investigar. La población que se investigó se divide en dos: 1) Profesionales de la Contaduría Pública inscritos en el Consejo de Vigilancia de la Profesión de Contaduría Pública y Auditoría al 31 de diciembre de 2004 (Ver Anexo I); 2) Medianas Empresas según la Dirección General Estadística y Censos, Ministerio de Economía 1998 (Ver anexo 2); ambas de la zona metropolitana de San Salvador, considerando que es donde se encuentra la mayor concentración de población. 3.4.2 La muestra. Durante la investigación del universo de profesionales de Contaduría Pública, no se pudieron encontrar registros actualizados que amparen la ubicación geográfica de los sujetos a investigar, debido a limitaciones técnicas del ente encargado de dichos registros, por lo que se estimó a bien tomar como población en la determinación de la muestra, a las personas naturales y jurídicas autorizadas a ejercer auditoría en El Salvador al 31 de diciembre de 2004, la cuales asciende a 3,189; y están distribuidos así: 2,985 personas naturales 204 personas jurídicas. 84 Por ser una población menor a 10,000 se utilizó la siguiente fórmula: n Z 2 * N * P *Q ( N 1) E 2 Z 2 * P * Q Donde: n = Tamaño de la muestra. Z = Nivel de confianza igual al 95%, equivalente a 1.96 bajo el área de la curva normal. P = Probabilidad de ocurrencia igual a 0.5 Q = Probabilidad de no ocurrencia igual a 0.5 N = Tamaño de la Población. E = Precisión con que se generalizarán los resultados de la población, siendo para este caso de 0.15 (15%) Sustituyendo valores: n = .? Z = 1.96 (95%) P = 0.5 Q = 0.5 N = 3,189 E = 0.15 (15%) n 1.96 2 * 3,189 * 0.5 * 0.5 (3,189 1)(0.15) 2 1.96 2 * 0.5 * 0.5 n 42.1337 n 42 85 El universo de las medianas empresas de la zona metropolitana de San Salvador asciende a 762 según registro al 31 de diciembre de 2003.15 Por ser una población menor a 10,000 se utilizó la siguiente fórmula: Z 2 * N * P *Q n ( N 1) E 2 Z 2 * P * Q Sustituyendo valores: n = .? Z = 1.96 (95%) P = 0.5 Q = 0.5 N = 762 E = 0.15 (15%) n 1.96 2 * 762 * 0.5 * 0.5 (762 1)(0.15) 2 1.96 2 * 0.5 * 0.5 n 40.10 n 40 15 Medianas Empresas según la Dirección General Estadística y Censos, Ministerio de Economía 1998 86 3.4.3 El muestreo. El muestreo utilizado para la recolección de los datos fue aleatorio de manera que todos los individuos del universo tuvieron la misma probabilidad de ser elegidos para nuestro estudio. 3.4.4 Metodología utilizada. La información fue recopilada utilizando la técnica de encuesta, mediante cuestionarios, los cuales proporcionaron la información pertinente para ser procesada, analizada e interpretada, con el fin de crear las conclusiones que darán paso a las recomendaciones. 3.4.5 Resultados de la investigación. La información recopilada por las encuestas a los profesionales de Contaduría Pública se presenta en 12 cuadros numerados del 1 al 12, con su respectiva interpretación seguida de 12 gráficos numerados del 1 al 12. Seguidamente se presentan los resultados de las encuestas a las Medianas Empresas en 5 cuadros numerados del 13 al 17, con sus respectivos gráficos numerados del 13 al 17 así como su interpretación. 87 Pregunta No. 1: ¿Su personal financiero contable ha recibido capacitación sobre tecnología informática? Cuadro No. 1 Alternativas Si No Total Respuestas # % 25 59.52 17 40.48 42 100.00 Gráfico No 1 40% Si 60% No Conclusión: La mayoría (59.5%) de los encuestados afirman haber recibido capacitación en materia de tecnología informática. 88 Pregunta No. 2: ¿El personal de su empresa ha asistido a capacitaciones, congresos, seminarios, etc., sobre auditoría de sistemas? Cuadro No. 2. Alternativas Si No Total Respuestas # % 26 61.90 16 38.10 42 100.00 Gráfico No. 2 38% Si No 62% Conclusión: De los 42 profesionales encuestados, el 62% afirman que su personal ha asistido a capacitaciones referentes a auditoría de sistemas, mientras el 38% restante manifiesta no haberlo hecho. 89 Pregunta No. 3: Del personal de su empresa, ¿Cuántas han asistido? Cuadro No. 3 Respuestas Alternativas Ninguno 1–5 5 – 10 10 - 15 mas de 15 Total # 16 14 9 2 1 42 % 38.10 33.33 21.43 4.76 2.38 100.00 Gráfico No. 3 5% 2% Ninguno 21% 39% 1–5 5 – 10 10 - 15 mas de 15 33% Conclusión: En un 54.76% de los casos entre una y diez personas han asistido a capacitaciones sobre auditoría de sistemas. 90 Pregunta No. 4 De la siguiente lista de temas sobre sistemas, ¿Cuáles ha recibido su personal? Cuadro No. 4 Respuestas # % Alternativas Introducción a la auditoria de sistemas Riesgos tecnológicos Control de riesgos Control de accesos Seguridad lógica y física Desarrollo de sistemas Planeación de auditoría de sistemas Otro Ninguna Total 3 6 7 4 3 2 2 0 15 42 7.14 14.29 16.67 9.52 7.14 4.76 4.76 0.00 35.71 100.00 Gráfico No 4 Introducción a la auditoria de sistemas Riesgos tecnológicos 7% 14% 35% Control de riesgos Control de accesos Seguridad lógica y física 17% 0% 5% 5% 7% Desarrollo de sistemas Planeación de auditoría de sistemas 10% Otro Ninguna Conclusión: Del 64.3% de los profesionales que afirman haber recibido capacitación sobre auditoría de sistemas, los temas predominantes han sido “Control de Riesgos” con un 16.67% y “Riesgos Tecnológicos” con un 14.29%, mientras que “Desarrollo de Sistemas” y “Planeación de Auditoría de Sistemas” representan un 4.76% cada uno. 91 Pregunta No. 5 De la lista anterior, ¿Cuáles están siendo implementados? Cuadro No. 5 Respuestas # % 1 2.38 3 7.14 9 21.43 6 14.29 2 4.76 1 2.38 3 7.14 1 2.38 16 38.10 42 100.00 Alternativas Introducción a la auditoria de sistemas Riesgos tecnológicos Control de riesgos Control de accesos Seguridad lógica y física Desarrollo de sistemas Planeación de auditoría de sistemas Otro Ninguna Total Gráfico No. 5 Introducción a la auditoria de sistemas Riesgos tecnológicos Control de riesgos 2% 7% 39% Control de accesos 22% Seguridad lógica y física Desarrollo de sistemas 2%7% 2% 5% 14% Planeación de auditoría de sistemas Otro Ninguna Conclusión: Los profesionales encuestados implementan sus conocimientos de auditoría de sistemas, primordialmente sobre los temas: “Control de Riesgos” en un 21.43% y “Control de Accesos” en un 14.29%. 92 Pregunta No. 6 ¿Conoce alguna de las siguientes metodologías? Cuadro No. 6 Respuestas # % 14 33.33 14 33.33 5 11.90 0 0.00 9 21.43 42 100.00 Alternativas COBIT BS 7779 ISO 7779 Otra Ninguna Total Gráfico No. 6 21% 34% 0% 12% 33% COBIT BS 7779 ISO 7779 Otra Ninguna Conclusión: Los profesionales en Contaduría Pública encuestados manifiestan conocer alguna metodología de auditoría de sistemas, señalando con un 33.33% la Guía BS7779 y COBIT cada una, mientras que un 21.43% dicen no conocer ninguna. 93 Pregunta No. 7 ¿En cual de las siguientes etapas de auditoría ha aplicado sus conocimientos de auditoría de sistemas? Cuadro No. 7 Alternativas Visita preliminar Planeación Desarrollo de pruebas Presentación de resultados Opinión Otra Ninguna Total Respuestas # % 6 14.29 13 30.95 8 19.05 5 11.90 2 4.76 0 0.00 8 19.05 42 100.00 Gráfico No. 7 Visita preliminar Planeación 14% 19% Desarrollo de pruebas 0% 5% Presentación de resultados 31% 12% 19% Opinión Otra Ninguna Conclusión: Los profesionales que poseen conocimientos sobre auditoría de sistemas manifiestan aplicarlos en un 30.95% durante la etapa de “Planeación”, sin embargo, los mismos son aplicados solo en un 19.05% durante el “Desarrollo de Pruebas” a pesar de las áreas de riesgo consideradas durante la planeación (ver siguiente pregunta). 94 Pregunta No. 8 De la siguiente lista, ¿qué áreas de riesgo de los sistemas de información toma en cuenta en la planeación de auditoría? Cuadro No. 8 Respuestas # % 6 14.29 6 14.29 6 14.29 6 14.29 6 14.29 4 9.52 Alternativas Políticas de protección Administración de sistemas Control de acceso de terceros Responsabilidad de usuarios Protección física de las instalaciones Seguridad de archivos aplicativos Cumplimiento de requerimientos legales Otro Ninguno Total 3 0 5 42 7.14 0.00 11.90 100.00 Gráfico No. 8 Políticas de protección Administración de sistemas Control de acceso de terceros 0% 12% 7% 10% 15% Responsabilidad de usuarios 14% Protección física de las instalaciones Seguridad de archivos aplicativos 14% 14% 14% Cumplimiento de requerimientos legales Otro Ninguno Conclusión: Los profesionales encuestados consideran áreas de riesgo en los sistemas durante la planeación de la auditoría predominando Políticas de Protección, Administración de Sistemas, Control de Accesos, Responsabilidad de Usuarios y Protección física de las Instalaciones con un 14.29% cada una. 95 Pregunta No. 9 ¿Por qué considera la aplicación de los conceptos básicos de auditoría de sistemas en el desarrollo de la auditoría? Cuadro No. 9 Respuestas # % Alternativas Le proporciona un panoramas mas real de la información contable Se lo requiere su cliente Se lo requiere su referencia técnica Otro Ninguno Total 14 9 15 0 4 42 33.33 21.43 35.71 0.00 9.52 100.00 Gráfico No. 9 Le proporciona un panoramas mas real de la información contable Se lo requiere su cliente 0%10% 34% Se lo requiere su referencia técnica 34% Otro 22% Ninguno Conclusión: Los profesionales encuestados consideran la aplicación de los conceptos básicos de auditoría de sistemas en el desarrollo de sus revisiones en un 35.71% por que se lo requiere su referencia técnica y en un 33.33% por el hecho de que proporciona un panorama mas real de la información contable. Sin embargo, no se están aplicando los conocimientos en la ejecución del trabajo, de acuerdo a la respuesta de la pregunta 7 96 Pregunta No 10 ¿Han tenido cambios sus informes de auditoría desde la aplicación de los conceptos de auditoría de sistemas? Cuadro No. 10 Respuestas # % 22 52.38 20 47.62 42 100.00 Alternativas Si No Total Gráfico No. 10 48% Si 52% No Conclusión: El 52.38% de los profesionales encuestados manifiestan haber tenido cambios en sus informes de auditoría desde la aplicación de los conceptos de auditoría de sistemas. 97 Pregunta No. 11 De los siguientes procedimientos, ¿cuáles le piden sus clientes sean incluidos en la revisión del procesamiento de datos? Cuadro No. 11 Alternativas Configuración de sistemas Uso de contraseñas Registro de usuarios Seguridad de la información Otro Ninguna Total # 5 10 9 9 1 8 42 Respuestas % 11.90 23.81 21.43 21.43 2.38 19.05 100.00 Gráfico No. 11 Configuración de sistemas 19% 13% Uso de contraseñas Registro de usuarios 2% 23% Seguridad de la información Otro 22% Ninguna 21% Conclusión: A los profesionales encuestados, sus clientes les solicitan revisiones al procesamiento de datos, enfatizando con un 23.81% el Uso de Contraseñas y con un 21.43% el Registro de Usuarios y la Seguridad de la información, mientras que un 19.05 manifiestan no recibir estas solicitudes. 98 Pregunta No. 12 ¿Cuenta su empresa con personal capacitado en el área de sistemas para realizar auditoría? Cuadro No. 12 Respuestas Alternativas Si No Total # 27 15 42 % 64.29 35.71 100.00 Gráfico No. 12 36% Si No 64% Conclusión: De los 42 profesionales encuestados el 64.29% afirma que su empresa cuenta con personal capacitado en el área de sistemas para realizar auditoría. 99 Encuesta a Empresas Medianas Pregunta No. 1 De los siguientes riesgos tecnológicos de los sistemas de información, ¿Cuáles afectan a su empresa? Cuadro No. 13 Alternativas Infiltración de virus Accesos no autorizados Caducidad de licencias Manipulación de datos Configuración inadecuada Procesamiento de datos incorrectos Continuidad de la operación por fallas en los sistemas Otro Total Respuestas # % 5 12.50 6 15.00 7 17.50 6 15.00 6 15.00 6 15.00 4 10.00 0 0.00 40 100.00 Gráfico 13 Infiltración de virus Accesos no autorizados 10% 0% Caducidad de licencias 13% 15% 15% Manipulación de datos Configuración inadecuada Procesamiento de datos incorrectos 15% 15% 17% Continuidad de la operación por fallas en los sistemas Otro Conclusión: Las 40 medianas empresas encuestadas reconocen que los riesgos que les afectan son: Caducidad de Licencias en un 17.5%, Accesos no autorizados, Manipulación de Datos, Configuración Inadecuada y Procesamiento de datos incorrectos en un 15% cada uno. 100 Pregunta No. 2 De los siguientes riesgos tecnológicos de los sistemas de información ¿cuáles ha identificado que suceden dentro de su empresa? Cuadro No. 14 Alternativas Infiltración de virus Accesos no autorizados Caducidad de licencias Manipulación de datos Configuración inadecuada Procesamiento de datos incorrectos Continuidad de la operación por fallas en los sistemas Otro Total Respuestas # % 2 5.00 3 7.50 5 12.50 7 17.50 6 15.00 12 30.00 5 0 40 12.50 0.00 100.00 Gráfico 14 Infiltración de virus Accesos no autorizados 13% 0%5% Caducidad de licencias 8% 13% Manipulación de datos Configuración inadecuada 29% 17% 15% Procesamiento de datos incorrectos Continuidad de la operación por fallas en los sistemas Otro Conclusión: El riesgo de un procesamiento de datos incorrecto se ha detectado en las medianas empresas en un 30%, la Manipulación de datos en un 17.50% y la Infiltración de virus se reconoce en un 5%. Lo anterior indica que las Empresas identifican riesgos operacionales asociados a los Sistemas de Información. 101 Pregunta No. 3 ¿Realiza auditoría de sistemas dentro de su organización? Cuadro No. 15 Alternativas Si No Total Respuestas # % 24 60.00 16 40.00 40 100.00 Gráfico 15 40% Si No 60% Conclusión: El 60% de las medianas empresas encuestadas afirma realizar auditoría de sistemas. 102 Pregunta No. 4 ¿Quién es el encargado de realizarla? Cuadro No. 16 Alternativas Auditoria interna Auditoria externa Empresa independiente Otro Nadie Total Respuestas # % 6 15.00 13 32.50 4 10.00 0 0.00 17 42.50 40 100.00 Gráfico 16 Auditoria interna Auditoria externa 15% Empresa independiente 42% 33% Otro 0% 10% Nadie Conclusión: De las 40 medianas empresas encuestadas el 32.5% afirma que la auditoría a los sistemas está a cargo de la auditoría externa, un 10% por empresas independientes y el 42.5% no realiza auditoría de sistemas. 103 Pregunta No. 5 ¿Solicita al encargado de la auditoría una revisión a los elementos de los sistemas de información? Cuadro No. 17 Respuestas Alternativas Si No Total # 24 16 40 % 60.00 40.00 100.00 Gráfico 17 Si 40% No 60% Conclusión: El 60% de las medianas empresas encuestadas solicitan al encargado de la auditoría una revisión a los elementos de los sistemas de información. 104 CAPITULO IV CONCLUSIONES Y RECOMENDACIONES 4.1 Conclusiones En base a los resultados obtenidos en la investigación se han elaborado las siguientes conclusiones: 1. El profesional de Contaduría Pública que lleva a cabo auditorías a empresas cuyo proceso de procesamiento de datos se realiza bajo un ambiente computarizado y que posee conocimiento de los conceptos básicos de Auditoría de Sistemas, implementa los mismos en el desarrollo de sus revisiones, primordialmente durante la etapa de Planeación, considerando áreas de riesgo de los sistemas de información tales como: Políticas de Protección, Administración de Sistemas, Control de Acceso de Terceros y Responsabilidad de Usuarios. Por tal situación se afirma la hipótesis general que textualmente dice: “A mayor conocimiento de los conceptos de Auditoría de Sistemas, será mejor la consideración de éstos, en la planificación de una auditoría bajo un ambiente de sistemas de información computarizados”. 105 2. Debido al conocimiento técnico sobre Auditoría de sistemas que posee el profesional de Contaduría Pública implementa, en el desarrollo de pruebas, técnicas para comprobar la adecuada implementación de Controles de Riesgos y Accesos, así como la Seguridad Lógica y Física de los sistemas de información de las entidades sujetas a revisión, razón por la que se puede validar la hipótesis específica que cita: “En la medida que los auditores posean conocimiento técnico de la Auditoría de Sistemas, serán mejor empleadas las estrategias y la combinación de pruebas a utilizar en la ejecución de una auditoría”. 3. El interés de los profesionales en Contaduría Pública por aplicar Estándares de Seguridad utilizados en la Auditoría de Sistemas, se encuentra fundamentalmente, en la exigencia que su referencia técnica hace a realizar una revisión detallada a los sistemas de información utilizados en las empresas, relegando a un segundo lugar la premisa que su aplicación proporciona un panorama mas real de la información contable. De esta manera se invalida la hipótesis específica que cita: “Una adecuada aplicación de estándares de seguridad utilizados en la auditoría de Sistemas proporciona un panorama mas real de la calidad de la información contable”. 106 4. Las medianas empresas cuyo procesamiento de información contable lo realizan bajo un ambiente computarizado, requiere que las revisiones efectuadas, tanto por auditoría externa, interna y empresas independientes, cubran los elementos de éstos sistemas de manera que se puedan minimizar los riesgos previamente identificados tales como: Procesamiento de datos incorrectos, Manipulación de datos y Configuración Inadecuada, entre otros. Por esta razón, los auditores externos que reciben este requerimiento de sus clientes incluyen en sus revisiones procedimiento como: Uso de contraseñas, Registro de Usuarios y Seguridad de la Información. Esta conclusión da por válida la tercera hipótesis específica que cita: “En la medida que las medianas empresas implementen sistemas computarizados para el procesamiento de datos, será necesario incluir en la planificación de auditoría, la revisión de éstos y los procedimientos de control asociados, tomando de referencia los conceptos de una auditoría de Sistemas”. 107 4.2 Recomendaciones 1. Mantener una educación constante sobre Auditoría de Sistemas, utilizando talleres prácticos para agilizar la implementación de sus conocimientos en la ejecución del trabajo de auditoría. 2. Acceder a programas educativos integrales sobre aspectos tecnológicos y sistemas computarizados, fundamentalmente sobre aspectos básicos sobre auditoría de sistemas, de manera que los mismos puedan ser fácilmente aplicados al momento de planear una auditoría. 3. Preparar, para cada empresa a revisar, un cuestionario guía enfocado a evaluar los controles de seguridad utilizados en sus sistemas computarizados, de manera que proporcione al auditor un panorama más real de la calidad de la información contable. 4. Realizar una evaluación preliminar del ambiente de control de los sistemas computarizados de la Empresa, a fin de incluir en la planificación de la auditoría una revisión detallada de los controles clave utilizados en el procesamiento de datos, basado en los conceptos básicos de la auditoría de sistemas. 108 CAPITULO V “EL ROL DE LA AUDITORIA DE SISTEMAS COMPUTARIZADOS COMO HERRAMIENTA DE CONFIABILIDAD EN LA INFORMACIÓN CONTABLE”. 5.1. Guía de aspectos de una auditoría de sistemas a ser revisados en una auditoría financiera. 5.1.1 Introducción. Se puede inferir que el requerimiento primordial de los usuarios de la información contable es la seguridad que las cifras presentadas en los Estados Financieros sean confiables, y es el auditor externo el encargado de proporcionar este requisito, sin embargo, si los Estados Financieros han sido preparados bajo un sistema computarizado, el auditor no puede dar su opinión sobre la razonabilidad de las cifras sin la revisión de las diferentes fases en el procesamiento de la información dentro del sistema, debido al riesgo que durante este proceso los valores pueden ser manipulados a conveniencia. Lo anterior nos lleva a cambios en el enfoque tradicional de las auditorías, orientándolas a conocer cuales han sido los procedimientos seguidos en el procesamiento de la información, con el objetivo de obtener seguridad sobre la razonabilidad de la cifras. 109 Para cumplir con este requerimiento de seguridad se deben evaluar aspectos específicos de los sistemas computarizados, estos aspectos son los que se presentan y detallan en la siguiente guía. 5.1.2 Objetivos 5.1.2.1 Objetivo general Proporcionar a los auditores una herramienta versátil para la planificación de una auditoría financiera, cuando las cifras en los Estados Financieros han sido procesadas bajo un sistema computarizado. 5.1.2.2 Objetivos específicos Establecer los aspectos de un sistema computarizado que deben ser examinados durante el desarrollo de una auditoría financiera. Enunciar interrogantes bases para el análisis de computarizado durante el desarrollo de una auditoría financiera. 110 un sistema 5.1.3 Alcance Ésta guía persigue, en primer lugar, enumerar los requerimientos mínimos que debe cumplir una organización, que aplique en el procesamiento de su información en un sistema computarizado. En segundo lugar, se plantean una serie de interrogantes enfocadas a indagar el grado de cumplimiento de éstos requerimientos. La base sobre la cual se ha elaborado éste cuestionario es la guía BS7779, que ofrece los requerimientos básicos a cumplirse en los sistemas computarizados para su óptimo funcionamiento y la reducción de los riesgos inherentes a los mismos, adicionalmente, se han tomado los parámetros de revisión que sugiere el enfoque contemporáneo de control interno (COSO), los cuales fueron detallados en el capítulo II de este trabajo. Las interrogantes no deben tomarse como definitivas; sino como una base para la planificación de una auditoría financiera, que pueden ser ampliadas, a criterio del auditor, según el nivel de profundidad de su examen. 111 5.1.4 Aspectos de una auditoría de sistemas a ser evaluados según BS 7779. 5.1.4.1 Políticas. La administración debería incluir dentro de sus políticas internas la protección de documentación, en las cuales participe todo el personal de la organización. 5.1.4.2 Protección de la información institucional. La estructura organizacional debe estar orientada primordialmente a la implementación de controles efectivos para la protección de la información y del acceso de terceros a la manipulación de la misma. 5.1.4.3 Control y sensitividad de activos. Se debe especificar la pertenencia de cada uno de los activos de manera que se establezca responsabilidad sobre su protección física, así como la debida clasificación de la información de acuerdo a su sensibilidad. 112 5.1.4.4 Personal. Los requisitos de contratación del personal deben estar orientados a proteger las especificaciones y verificaciones previas del personal. El personal, con acceso a la información, debe recibir capacitación referente a la seguridad de la misma, así como una adecuada educación sobre los controles establecidos para su protección. Debe manejarse un sistema de emisión de reportes sobre cualquier incidente con el propósito de minimizar posibles daños a los sistemas. 5.1.4.5 Protección física. Las instalaciones y el hardware deben estar protegidos físicamente ante cualquier amenaza ambiental o de manipulación no autorizada de manera que se reduzcan pérdidas o daños en los sistemas. 5.1.4.6 Administración de sistemas e infraestructura. El software y la información deben ser resguardado de los virus, para ello es necesario que se definan los roles y responsabilidades administrativas y 113 operacionales, así podrá planificarse adecuadamente los requerimiento de los sistemas para su aceptación. 5.1.4.7 Sistemas de control de acceso. Debe existir un sistema de control para los accesos al computador, redes, sistema y aplicaciones, que permita administrar la distribución de derechos de acceso y un adecuado monitoreo de su uso dentro del sistema. 5.1.4.8 Desarrollo y mantenimiento de sistemas. La administración debe establecer requerimientos específicos de seguridad para los sistemas aplicativos, sus archivos y el ambiente de desarrollo y soporte técnico de los mismos. 5.1.4.9 Plan de continuidad del negocio. Se deben tener preparados planes de contingencias ante el riesgo que las actividades de la compañía se vean interrumpidas. 114 5.1.4.10 Cumplimiento. La administración debe controlar el cumplimiento de las obligaciones legales, civiles o criminales y los requerimientos de seguridad que recaen sobre la tecnología de información a utilizar. 115 5.2. Cuestionario base para la revisión de los estándares de seguridad. Interrogante 1 Punto de enfoque Políticas 1.1 ¿Cuenta con una política seguridad de la información? 1.2 ¿Podría mostrarme la política oficial que es Documentación escrita especificando la distribuida a los empleados y explicar la política oficial de la organización sobre de la información y forma en que se divulga a toda la protección responsabilidades debe proveerse a los organización? empleados. 2 Protección institucional 2.1 2.2 2.3 2.4 de la formal La Alta Administración debería participar de en la creación y operación de una clara política de protección de la información, la cual incluya la organización completa. información crearse una estructura ¿Quiénes están a cargo de la seguridad de Debe la información y cómo se contacta con organizacional, con la misión y poder requerido para definir e implementar ellos? controles efectivos para proteger la ¿De que forma la Gerencia guía los información. El control debe proveerse a controles sobre seguridad de la través de un adecuado comité de tecnología. información? ¿Quién es responsable por la protección Se debe especificar individualmente la responsabilidad de protección para cada contra virus? ¿A quién se le informa cuando se activo de valor sustancial. encuentra un virus? 116 Observaciones Interrogante 2.5 2.6 2.7 Punto de enfoque Observaciones Todas las facilidades con tecnología de ¿Se ha revisado la seguridad de las información deben autorizarse y computadoras? ¿Cómo? aprobarse para su uso. ¿Utiliza expertos externos para aumentar Se debe realizar una revisión de la su experiencia en seguridad interna? seguridad de la información de parte de una persona independiente a la ¿Quién ejerce la función de auditoria organización. externa de seguridad de la información?. 2.8 ¿Cómo permite a proveedores externos (outsourcing) el acceso a sus aplicaciones sin abrir su sistema interno a un daño potencial? 2.9 Deben utilizarse controles apropiados ¿Ha incluido cláusulas contractuales sobre aplicables a los accesos de terceros. seguridad del computador e información, en los servicios prestados por terceros? ¿En qué contratos se han tomado las provisiones antes mencionadas?. 3 Control y sensitividad de activos 3.1 Debe especificarse la pertenencia para Proporcione una lista de los mayores todos los activos y los dueños de dichos activos de TI de la organización. activos deben ser responsables de su protección. 117 Interrogante Punto de enfoque 3.2 La Información sensitiva en todas sus ¿Qué porcentaje de todos los activos de formas debe clasificarse y etiquetarse de información están clasificados de acuerdo acuerdo a su sensitividad, a fin de definir al grado de sensitividad? prioridades de protección. 4 Personal 4.1 ¿Existen medidas de seguridad para personal de mantenimiento, Gerencia General, personal externo y auditor de IT? 4.2 de protección del ¿Se encuentran escritas las funciones y Requerimientos responsabilidades de seguridad para personal deben incluirse en las medidas personal de mantenimiento, Gerente de seguridad de la información. General, personal de auditoría externa? 4.3 ¿Cómo se determinan los niveles de acceso de este personal a la información sensible? 4.4 ¿Existe un acuerdo de confidencialidad Se deben usar los acuerdos legales firmado por cada uno de estos empleados? necesarios a las personas que trabajen (elija, por un sistema estadístico, una en las áreas de acceso a información muestra significativa de empleados) sensible. 118 Observaciones Interrogante 4.5 4.6 4.7 4.8 Punto de enfoque Políticas, procedimientos y reglas de ¿Cómo se asegura que sus empleados trabajo, son fundamentales como parte sigan todos los procedimientos de del entrenamiento sobre seguridad para seguridad? el personal con acceso a información. ¿La Alta Administración es informada sobre Debe utilizarse un sistema de reporte de incidentes de seguridad de computadoras? incidencias de seguridad y fallas en los sistemas; los eventos reportados deben monitorearse periódicamente. ¿Cómo lo divulgan los empleados cuando Los incidentes de seguridad deben los detecta? reportarse tan pronto como ocurran. Cuando su computadora tiene un problema, ¿A quién se le reporta y que hace al respecto? 4.9 ¿Cuál es la sanción por divulgar su contraseña a otro empleado, pudiendo él Se debe poseer un proceso eficaz de acceder al sistema con ella cuando usted penalidades a empleados para evitar no se encuentra? brechas de seguridad. 4.10 ¿Quién administra la sanción? 119 Observaciones 5 5.1 5.2 Interrogante Punto de enfoque Observaciones Protección física ¿Qué clase de dispositivo del control de Información y sistemas sensitivos deben acceso utiliza para limitar el acceso al área ubicarse en sitios protegidos. donde se encuentran los computadores principales y los centros de procesamiento Se deben utilizar controles para prevenir de información sensitivos (contabilidad, el paso desautorizado por los perímetros facturación, etc.)? establecidos para la seguridad. El retiro o reubicación de los activos ¿Cómo se comprueba el permiso de sacar relacionados con la información se debe la computadora portátil fuera de la realizar solamente bajo la debida institución para trabajar en casa? autorización. 5.3 ¿La computadora en su escritorio tiene una Se deben establecer medidas para fuente de alimentación ininterrumpida? reducir las fallas de energía eléctrica. 5.4 ¿Hay un contrato de mantenimiento para Se debe realizar un todo el mobiliario vital de oficina? adecuado del hardware. 5.5 ¿Cómo protege los teléfonos portátiles, Deben existir políticas de protección para computadoras portátiles u otro equipo el hardware que se encuentra en similar cuando usted lo utiliza en casa o en locaciones externas. la oficina de un cliente? 5.6 5.7 mantenimiento ¿Cuál es el procedimiento para disponer de un sistema informático, viejas cintas copias El contenido del hardware se debe de seguridad y diskettes?. remover o destruir cuando el ciclo de vida ¿Existe un procedimiento para manejar de éste se termine. estos elementos antes de enviar el equipo a reparación? 120 Interrogante 6 6.1 6.2 6.3 6.4 Administración infraestructura de sistemas Punto de enfoque e ¿Existen procedimientos para la Los procedimientos para todas las administración y operación de cada operaciones deben estar debidamente computador en su área de trabajo? documentados ¿Quién es responsable de manejar los incidentes de seguridad relativos al computador? Los procedimientos ante los incidentes ¿Con quién se debe comunicar en caso deben permanecer al alcance de los que el computador deje de operar usuarios de la información correctamente y usted no pueda solucionar el problema? Para minimizar el abuso potencial debe existir una adecuada segregación de funciones. Personas diferentes deben ¿Desarrolla o programa en los mismos ser responsables de distintas funciones sistemas utilizados por los usuarios? del computador. Deben separarse los sistemas de desarrollo de los sistemas de producción. 6.5 6.6 ¿Cómo se asegura que los errores de programación u omisiones no causarán Los cambios a las facilidades y sistemas fallas en la operación de los sistemas? de TI deben controlarse ¿Tiene un control de cambios a los programas?. Por favor descríbalo. 121 Observaciones Interrogante 6.7 6.8 Punto de enfoque Observaciones Se deben establecer criterios para la ¿Tiene algún estándar para pruebas de aceptación de nuevos sistemas, así como compatibilidad de hardware o software pruebas de capacidad antes de su dentro de su ambiente? aceptación ¿Existe un programa procedimiento para control de cambios para verificar que dichos cambios son necesarios, si son Los cambios en la operatividad deben ser apropiados y que podrá implantarse sin controlados adecuadamente problemas? ¿Qué tipo de entrenamiento reciben los empleados acerca de virus de 6.9 computadoras? Se deben implementar medidas preventivas para la detección de virus, ¿Qué medidas de seguridad se han así como los procedimientos a ser instalado para prevenir los virus usados 6.10 informáticos? ¿Se hacen copias de seguridad de todos Copias de seguridad de los datos los sistemas de forma regular y 6.11 sensitivos del negocio deben realizarse programada? regularmente. 122 7 7.1 7.2 7.3 7.4 Interrogante Sistemas de control de acceso Punto de enfoque Debe existir un procedimiento formal para ¿Existe un procedimiento formal utilizado el registro de los accesos de los usuarios para otorgar y remover derechos de acceso a los servicios de tecnología de de los usuarios sobre información información. almacenada en las computadoras y sobre la red? ¿Qué usuarios tienen accesos especiales? Los usuarios con accesos privilegiados deben ser restringidos y controlados ¿Cuáles son y de qué forma se restringen adecuadamente. y controlan? ¿Cómo se asegura que los passwords son difíciles de descubrir y solo la persona que La asignación de contraseñas a los lo estableció puede tener acceso a través usuarios debe ser controlada para de su uso? mantener la seguridad. Los usuarios deben seguir inteligentes prácticas de seguridad en la selección y uso de palabras claves. 7.5 ¿Cómo selecciona su contraseña? 7.6 Se deben restringir y controlar los ¿Qué controles especiales se ponen en accesos a programación de bases de programas fuente y bibliotecas? datos. 123 Observaciones Interrogante 8 Desarrollo y mantenimiento de sistemas 8.1 ¿En que fase del desarrollo de los sistemas se definieron y convinieron los requisitos de seguridad? 8.2 8.3 8.4 8.5 8.6 8.7 8.8 8.9 Punto de enfoque Para cada proyecto en desarrollo se debe ¿Son incluidos en los análisis de costos los realizar un análisis de los requerimientos de seguridad costos del ciclo de vida de la seguridad? ¿Se incluyen controles de seguridad en todos los diseños del sistema en uso? ¿Cómo se validan los datos de entrada a Se deben validar las entradas de datos a los sistemas en uso? los sistemas. ¿Se utilizan diversos elementos de datos correlacionados (Ej. los códigos postales Se deben validar los datos generados correlacionaron con las ciudades) para internamente en los sistemas. verificar consistencia? Se debe ejercer un control determinante ¿Cómo es ejercitado el control sobre sobre la puesta en práctica del software software en sistemas operativos? en sistemas operacionales. ¿Esto se aplica a todo el software? ¿Existen procedimientos formales del Se deben poseer procedimientos control de cambios en sistemas formales de control de cambios. operativos? El impacto de los cambios del sistema ¿Cómo prueba los cambios del sistema operativo debe ser revisado por operativo para su seguridad? seguridad. 124 Observaciones Interrogante Punto de enfoque Las modificaciones a los paquetes de ¿Cómo evita la modificación no autorizada software deben ser restringidos. 8.10 del software? Cualquier cambio esencialmente debe ser controlado. 9 Plan de continuidad del negocio 9.1 Debe existir un proceso de ¿Poseen un plan de continuidad del mantenimiento y un plan de contingencia negocio? dentro de la organización. 9.2 ¿Que tan a menudo revisa el plan de Los registros importantes de una continuidad del negocio y cuan a menudo organización deben ser protegidos contra se cambia? la pérdida, destrucción y falsificación. 9.3 ¿Poseen un marco de continuidad del negocio que cubra toda la organización? 9.4 ¿Cómo prueban sus planes de continuidad y que resultados muestran estas pruebas? 10 Cumplimiento Los planes de contingencias del negocio deben ser adaptados regularmente. Se debe prestar atención a las ¿Conoce todos los requisitos legales para restricciones legales sobre el uso de 10.1 la operación sus sistemas? software registrados. 125 Observaciones Interrogante Punto de enfoque ¿Cómo verifica que los empleados no 10.2 tengan, ni utilicen copias ilegales del software? Demuéstremelo. ¿Existen medidas para asegurar la Los registros importantes de una 10.3 retención de información por un período de organización deben ser protegidos contra tiempo requerido por la ley? la pérdida, destrucción y falsificación. ¿Hay una política que incluya que, por mandato, la tecnología de información de la Las facilidades de TI deben ser utilizadas 10.4 organización se puede utilizar solamente únicamente para los autorizados por el negocio. para los propósitos legítimos de la organización?. Se debe considerar una revisión regular ¿Que tan a menudo se realizan chequeos de todas las áreas dentro de la 10.5 a los estándares de seguridad organización de conformidad con corporativos? políticas y estándares de seguridad. 126 Observaciones 5.3 Secuencia en la aplicación de procedimientos de auditoría bajo un sistema de procesamiento de datos computarizados. Según las Normas y Procedimientos de Auditoría existe una secuencia a seguir en al momento de realizar una auditoría bajo un sistema de procesamiento de datos computarizados el cual se ejemplifica en el siguiente flujo grama. 127 Hay computador Hacer auditoria tradicional Estudio Preliminar Se obtendrá evidencia suficiente y competente por pruebas sustantivas, pero probara controles internos importantes de entrada y salida Hay aplicaciones de importancia, hay grado importante de transformación y hay necesidad de confiar en el control interno. Pero se desea usar el computador para realizar pruebas de auditoría más efectivas, extensas, precisas y económicas Aplicación del control interno La no aplicación de pruebas de cumplimiento limita el alcance de la auditoria? Pruebas de los controles PED para incrementar la eficiencia en los resultados de la auditoría Pruebas de control PED Los resultados obtenidos son tales que garantizan que las cifras de fin de año son razonables, con el alcance minino deseado en las pruebas sustantivas. Hacer pruebas sustantivas de fin de año o de doble propósito conforme a lo planeado Resultados Satisfactorios Técnicas de Auditoría16 Es posible diseñar procedimientos de auditoría para introducir la utilización de diversas técnicas que investiguen un objetivo específico. El diseño o modificación de los diferentes procedimientos para ajustarse a objetivos y 16 Enciclopedia de la auditoría. Mac Graw Hill Inc. Versión española. 128 situaciones diversas depende en gran medida de las circunstancias de cada auditoría y del criterio individual del auditor encargado del trabajo. Por ejemplo, los procedimientos empleados en la ejecución de una auditoría independiente, donde el objetivo fundamental es formarse una opinión sobre la adecuación de los estados financieros que sean diferentes de los empleados en una auditoría interna, donde el motivo principal es evaluar la eficacia de ciertos controles administrativos basándose en las verificaciones de cumplimientos de las normas de la empresa. En las principales técnicas relacionadas con los procedimientos diseñados para su utilización es una auditoría de estados financieros se encuentras las siguientes: Inspección. Es un examen minucioso de los recursos físicos y documentos para determinar su existencia y autenticidad. Observación. La observación de actividades concretas que involucren al personal, procedimientos y procesos como medio de evaluación de la propiedad o de las actividades. Confirmación. Comunicación independiente con una parte ajena para determinar la exactitud y validez de una cifra o hecho registrado. Investigación. Obtener las respuestas orales o escritas a preguntas concretas relacionadas con las áreas de importancia de la auditoría. 129 Confrontación. Seguimiento del registro y traspaso de transacciones concretas a través del proceso de contabilidad, como medio de ratificación de la validez de las transacciones y del sistema de contabilidad. Realización de nuevos cálculos. Repetición de los cálculos matemáticos necesarios para establecer su exactitud. Revisión de documentos comprobantes. Examen de las pruebas escritas subyacentes, como una factura de compra o una hoja de pedido recibidos como justificación de una transacción, asiento o saldo de cuenta. Recuento. Recuento físico de los recursos individuales y documentos, de forma secuencial, según sea necesario para justificar una cantidad. Exploración. Evaluación de determinadas características de la información como método de identificación de aquellas partidas que requieren un examen adicional. Normalmente se suelen combinar procedimientos seleccionados para una auditoría concreta en un plan escrito denominado “programa de auditoría”. 130 Recapitulación de la auditoría de sistemas en la confiabilidad de la información contable. Hoy en día, un alto porcentaje de las empresas tienen toda su información estructurada en sistemas informáticos, de aquí, la vital importancia que los sistemas de información funcionen correctamente. Una empresa puede tener un staff de gente de primera, pero tiene un sistema informático propenso a errores, lento, vulnerable e inestable; si no hay un balance entre estas dos cosas, la empresa nunca saldrá a adelante. El surgimiento de la tecnología de información y de las herramientas tecnológicas ha modificado los procesos de administración contable de las empresas y las ha obligado a desarrollar nuevas estrategias, no sólo para adaptarse a las exigencias de la tecnología, sino también para el logro de los mejores resultados. La auditoría de sistemas es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo (informática, organización de centros de información, hardware y software). La auditoría de sistemas deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de 131 información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información. Hago énfasis en la importancia de la auditoria como herramienta gerencial para la toma de decisiones y para poder verificar los puntos débiles de las organizaciones con el fin de tomar medidas y precauciones a tiempo. Principalmente, la conclusión a la que he podido llegar, es que toda empresa que posea sistemas de información medianamente complejos, debe de someterse a un control estricto de evaluación de eficacia y eficiencia. En cuanto al trabajo de la auditoria en sí, debo remarcar que se precisa de conocimiento de Informática, seriedad, capacidad, minuciosidad y responsabilidad; si bien la auditoria de Sistemas debe hacerse por gente altamente capacitada, debido a que un trabajo ejecutado de forma inadecuada puede acarrear consecuencias drásticas para la empresa auditada, principalmente económicas, es indispensable que el auditor financiero conozca y aplique más ampliamente conceptos generales de Auditoría de Sistemas. 132 CASO PRACTICO 133 Cuestionario para la revisión de los estándares de seguridad. Interrogante 1 Punto de enfoque Observaciones Políticas 1.1 ¿Cuenta con una política seguridad de la información? 1.2 ¿Podría mostrarme la política oficial que es Documentación escrita especificando la Se distribuida a los empleados y explicar la política oficial de la organización sobre mediante de la información y manual forma en que se divulga a toda la protección responsabilidades debe proveerse a los inducción organización? empleados. empresa 2 Protección institucional 2.1 2.2 2.3 2.4 de la formal La Alta Administración debería participar de en la creación y operación de una clara política de protección de la información, la cual incluya la organización completa. Sí divulga un de a la información crearse una estructura ¿Quiénes están a cargo de la seguridad de Debe la información y cómo se contacta con organizacional, con la misión y poder requerido para definir e implementar El departamento ellos? controles efectivos para proteger la de informática ¿De que forma la Gerencia guía los información. El control debe proveerse a Es responsabilidad controles sobre seguridad de la través de un adecuado comité de del depto de tecnología. información? informática ¿Quién es responsable por la protección Se debe especificar individualmente la El departamento responsabilidad de protección para cada de informática contra virus? ¿A quién se le informa cuando se activo de valor sustancial. Al jefe de encuentra un virus? informática 134 Interrogante 2.5 2.6 2.7 2.8 2.9 Punto de enfoque Observaciones Todas las facilidades con tecnología de ¿Se ha revisado la seguridad de las información deben autorizarse y computadoras? ¿Cómo? aprobarse para su uso. Si ¿Utiliza expertos externos para aumentar Se debe realizar una revisión de la su experiencia en seguridad interna? seguridad de la información de parte de No una persona independiente a la ¿Quién ejerce la función de auditoria organización. externa de seguridad de la información?. No se realiza ¿Cómo permite a proveedores externos (outsourcing) el acceso a sus aplicaciones No se utilizan sin abrir su sistema interno a un daño proveedores potencial? externos Deben utilizarse controles apropiados ¿Ha incluido cláusulas contractuales sobre aplicables a los accesos de terceros. seguridad del computador e información, en los servicios prestados por terceros? ¿En qué contratos se han tomado las provisiones antes mencionadas?. N/A 3 Control y sensitividad de activos 3.1 Debe especificarse la pertenencia para Proporcione una lista de los mayores todos los activos y los dueños de dichos activos de TI de la organización. activos deben ser responsables de su protección. Ver PT 135 Interrogante 3.2 La Información sensitiva en todas sus ¿Qué porcentaje de todos los activos de formas debe clasificarse y etiquetarse de información están clasificados de acuerdo acuerdo a su sensitividad, a fin de definir al grado de sensitividad? prioridades de protección. 4 Personal 4.1 ¿Existen medidas de seguridad para personal de mantenimiento, Gerencia General, personal externo y auditor de IT? 4.2 4.3 4.4 Punto de enfoque Observaciones 100% Sí de protección del ¿Se encuentran escritas las funciones y Requerimientos responsabilidades de seguridad para personal deben incluirse en las medidas personal de mantenimiento, Gerente de seguridad de la información. General, personal de auditoría externa? Sí ¿Cómo se determinan los niveles de acceso de este personal a la información En base al uso de sensible? la información ¿Existe un acuerdo de confidencialidad Se deben usar los acuerdos legales firmado por cada uno de estos empleados? necesarios a las personas que trabajen (elija, por un sistema estadístico, una en las áreas de acceso a información muestra significativa de empleados) sensible. 136 No Interrogante 4.5 4.6 4.7 4.8 4.9 4.10 Punto de enfoque Observaciones Políticas, procedimientos y reglas de Por medio de ¿Cómo se asegura que sus empleados trabajo, son fundamentales como parte claves (passwords) sigan todos los procedimientos de del entrenamiento sobre seguridad para que solicita el seguridad? el personal con acceso a información. sistema ¿La Alta Administración es informada sobre Debe utilizarse un sistema de reporte de incidentes de seguridad de computadoras? incidencias de seguridad y fallas en los sistemas; los eventos reportados deben monitorearse periódicamente. Sí ¿Cómo lo divulgan los empleados cuando Por medio de Los incidentes de seguridad deben memorandums los detecta? reportarse tan pronto como ocurran. Cuando su computadora tiene un problema, ¿A quién se le reporta y que Al departamento hace al respecto? de informática ¿Cuál es la sanción por divulgar su No se han contraseña a otro empleado, pudiendo él Se debe poseer un proceso eficaz de determinado acceder al sistema con ella cuando usted penalidades a empleados para evitar sanciones para una no se encuentra? brechas de seguridad. situación como esta ¿Quién administra la sanción? N/A 137 5 5.1 5.2 5.3 5.4 5.5 5.6 Interrogante Punto de enfoque Observaciones Protección física ¿Qué clase de dispositivo del control de Información y sistemas sensitivos deben acceso utiliza para limitar el acceso al área ubicarse en sitios protegidos. Se mantiene en un donde se encuentran los computadores salón donde solo principales y los centros de procesamiento Se deben utilizar controles para prevenir tiene acceso de información sensitivos (contabilidad, el paso desautorizado por los perímetros personal de facturación, etc.)? establecidos para la seguridad. informática El retiro o reubicación de los activos No se permite ¿Cómo se comprueba el permiso de sacar relacionados con la información se debe sacar la computadora portátil fuera de la realizar solamente bajo la debida computadoras de institución para trabajar en casa? autorización. las instalaciones ¿La computadora en su escritorio tiene una Se deben establecer medidas para fuente de alimentación ininterrumpida? reducir las fallas de energía eléctrica. ¿Hay un contrato de mantenimiento para Se debe realizar un todo el mobiliario vital de oficina? adecuado del hardware. Sí mantenimiento Sí Es responsabilidad ¿Cómo protege los teléfonos portátiles, Deben existir políticas de protección para del empleado el computadoras portátiles u otro equipo el hardware que se encuentra en buen similar cuando usted lo utiliza en casa o en locaciones externas. mantenimiento del la oficina de un cliente? equipo. Se elabora un Back up de la ¿Cuál es el procedimiento para disponer de El contenido del hardware se debe información el cual un sistema informático, viejas cintas copias remover o destruir cuando el ciclo de vida queda en poder del de éste se termine. de seguridad y diskettes?. departamento de informática. 138 Interrogante 5.7 6 6.1 6.2 6.3 6.4 6.5 Punto de enfoque ¿Existe un procedimiento para manejar estos elementos antes de enviar el equipo a reparación? Administración infraestructura de sistemas Observaciones Sí e ¿Existen procedimientos para la Los procedimientos para todas las administración y operación de cada operaciones deben estar debidamente computador en su área de trabajo? documentados Sí ¿Quién es responsable de manejar los incidentes de seguridad relativos al El departamento computador? Los procedimientos ante los incidentes de informática ¿Con quién se debe comunicar en caso deben permanecer al alcance de los que el computador deje de operar usuarios de la información Al jefe del correctamente y usted no pueda solucionar departamento de el problema? informática Para minimizar el abuso potencial debe existir una adecuada segregación de funciones. Personas diferentes deben ¿Desarrolla o programa en los mismos ser responsables de distintas funciones sistemas utilizados por los usuarios? del computador. Deben separarse los sistemas de desarrollo de los sistemas de producción. No ¿Cómo se asegura que los errores de Los cambios a las facilidades y sistemas Se realizan programación u omisiones no causarán pruebas de de TI deben controlarse fallas en la operación de los sistemas? funcionamiento en 139 Interrogante 6.6 6.7 Punto de enfoque ¿Tiene un control de cambios a los programas?. Por favor descríbalo. Observaciones un simulador del sistema antes de introducir los cambios Se deben establecer criterios para la ¿Tiene algún estándar para pruebas de aceptación de nuevos sistemas, así como compatibilidad de hardware o software pruebas de capacidad antes de su dentro de su ambiente? aceptación Sí 6.8 ¿Existe un programa procedimiento para control de cambios para verificar que dichos cambios son necesarios, si son Los cambios en la operatividad deben ser apropiados y que podrá implantarse sin controlados adecuadamente problemas? Sí Se informa sobre virus potenciales y ¿Qué tipo de entrenamiento reciben los la forma de empleados acerca de virus de contaminar las 6.9 computadoras? Se deben implementar medidas maquinas por preventivas para la detección de virus, medio de así como los procedimientos a ser memorandums usados ¿Qué medidas de seguridad se han instalado para prevenir los virus Antivirus 6.10 informáticos? instalados en las máquinas 140 Interrogante Punto de enfoque Observaciones ¿Se hacen copias de seguridad de todos Copias de seguridad de los datos los sistemas de forma regular y 6.11 sensitivos del negocio deben realizarse programada? regularmente. Sí Sistemas de control de acceso 7 Debe existir un procedimiento formal para ¿Existe un procedimiento formal utilizado el registro de los accesos de los usuarios para otorgar y remover derechos de acceso a los servicios de tecnología de 7.1 de los usuarios sobre información información. almacenada en las computadoras y sobre la red? Sí. 7.2 7.3 7.4 7.5 7.6 ¿Qué usuarios tienen accesos especiales? Los usuarios con accesos privilegiados deben ser restringidos y controlados Gerencia General y Técnicos ¿Cuáles son y de qué forma se restringen adecuadamente. programadores y controlan? ¿Cómo se asegura que los passwords son difíciles de descubrir y solo la persona que La asignación de contraseñas a los lo estableció puede tener acceso a través usuarios debe ser controlada para El sistema encripta de su uso? mantener la seguridad. esta información y no puede ser vista Los usuarios deben seguir inteligentes Los usuarios la ¿Cómo selecciona su contraseña? prácticas de seguridad en la selección y seleccionan uso de palabras claves. libremente Se deben restringir y controlar los ¿Qué controles especiales se ponen en accesos a programación de bases de programas fuente y bibliotecas? datos. Passwords 141 Interrogante 8 Desarrollo y mantenimiento de sistemas 8.1 ¿En que fase del desarrollo de los sistemas se definieron y convinieron los requisitos de seguridad? 8.2 8.3 8.4 8.5 8.6 8.7 Punto de enfoque Para cada proyecto en desarrollo se debe ¿Son incluidos en los análisis de costos los realizar un análisis de los requerimientos de seguridad costos del ciclo de vida de la seguridad? ¿Se incluyen controles de seguridad en todos los diseños del sistema en uso? Observaciones Durante la programación No Si Por me dio de ¿Cómo se validan los datos de entrada a Se deben validar las entradas de datos a cruce de los sistemas en uso? los sistemas. información ¿Se utilizan diversos elementos de datos correlacionados (Ej. los códigos postales Se deben validar los datos generados correlacionaron con las ciudades) para internamente en los sistemas. verificar consistencia? Sí Solamente el personal de informática tiene Se debe ejercer un control determinante autorización para ¿Cómo es ejercitado el control sobre sobre la puesta en práctica del software instalar programas software en sistemas operativos? en sistemas operacionales. y revisar si se han instalado programas adicionales. ¿Esto se aplica a todo el software? Sí 142 8.8 8.9 Interrogante Punto de enfoque Observaciones ¿Existen procedimientos formales del Se deben poseer procedimientos control de cambios en sistemas formales de control de cambios. operativos? Sí El impacto de los cambios del sistema ¿Cómo prueba los cambios del sistema operativo debe ser revisado por operativo para su seguridad? seguridad. Las modificaciones a los paquetes de Por revisión ¿Cómo evita la modificación no autorizada software deben ser restringidos. trimestral de los 8.10 del software? Cualquier cambio esencialmente debe equipos ser controlado. 9 Plan de continuidad del negocio 9.1 Debe existir un proceso de ¿Poseen un plan de continuidad del mantenimiento y un plan de contingencia negocio? dentro de la organización. No 9.2 ¿Que tan a menudo revisa el plan de Los registros importantes de una continuidad del negocio y cuan a menudo organización deben ser protegidos contra se cambia? la pérdida, destrucción y falsificación. N/A 9.3 ¿Poseen un marco de continuidad del negocio que cubra toda la organización? 9.4 ¿Cómo prueban sus planes de continuidad y que resultados muestran estas pruebas? Los planes de contingencias del negocio N/A deben ser adaptados regularmente. N/A 143 Interrogante 10 10.1 Punto de enfoque Observaciones Cumplimiento ¿Conoce todos los requisitos legales para la operación sus sistemas? ¿Cómo verifica que los empleados no 10.2 tengan, ni utilicen copias ilegales del software? Demuéstremelo. Se debe prestar atención a las restricciones legales sobre el uso de software registrados. ¿Existen medidas para asegurar la Los registros importantes de una 10.3 retención de información por un período de organización deben ser protegidos contra tiempo requerido por la ley? la pérdida, destrucción y falsificación. Sí Cruzando la información del sistema con las respectivas licencias. Sí ¿Hay una política que incluya que, por mandato, la tecnología de información de la Las facilidades de TI deben ser utilizadas 10.4 organización se puede utilizar solamente únicamente para los autorizados por el para los propósitos legítimos de la negocio. organización?. Sí Se debe considerar una revisión regular ¿Que tan a menudo se realizan chequeos de todas las áreas dentro de la 10.5 a los estándares de seguridad organización de conformidad con corporativos? políticas y estándares de seguridad. Trimestralmente 144 ESTABLECIMIENTOS DE LOS OBJETIVOS OBJETIVO BASICO: El objetivo básico expresar opinión profesional independiente, sobre la razonabilidad de los Estados Financieros de AGRINTER, S.A. DE C. V., de conformidad con los principios de contabilidad generalmente aceptados y las Normas Internacionales de Contabilidad (NIC). El examen está basado en normas de auditoria generalmente aceptadas y las Normas Internacionales de Auditoria. Ciclos a Considerarse y Objetivos a Cumplir: I. Ciclos de Efectivo, Cuentas por Cobrar e Ingresos Efectivo, saldo en caja, cuentas bancarias (Corrientes y de Ahorro.) Cuentas por Cobrar Clientes (Cuentas Comerciales) y Compañías Relacionadas. Reconocimiento de Ingresos. Objetivos: Existe efectivo y está disponible para cumplir con obligaciones de la entidad; es apropiado el corte de recaudos, y desembolsos; saldos de bancos concilian con saldos del mayor general; y las partidas de conciliación son adecuadas Las cuentas por cobrar comerciales son recuperables y son propiedad de la entidad. Las cuentas por cobrar comerciales representan ventas pendientes de cobro u otros cargos a clientes y son propiedad de la entidad. Todos los cobros en efectivo se registran apropiadamente. Valuación apropiada de las cuentas por cobrar comerciales (se han hecho provisiones para los montos incobrables). Todos los ingresos por comisiones de ventas de boletos y otros servicios se registran debidamente. Los ingresos registrados están de acuerdo con métodos de reconocimiento de ingresos adecuados, han sido aplicados consistentemente y están revelados adecuadamente 145 II. Ciclo de Activo Fijo y Gasto por Depreciación a. Activo Fijo, verificación de las Adiciones y Retiros, su forma de registro. b. Reconocimiento de Gasto por la depreciación acumulada. Objetivos: III. Se registran todas las partidas que deben ser capitalizadas; todas las ventas, retiros, y otras disposiciones y ganancias y pérdidas relacionadas se registran. Propiedad, planta y equipo existen y son propiedad de la entidad y se utilizan en las operaciones. Los montos capitalizados son apropiados y no incluyen montos que se requiere sean gastados. Valuación apropiada y principios de contabilidad se aplican consistentemente (registro al costo de adquisición; partidas retiradas, para la venta o dañadas reciben un valor apropiado; depreciación es correcta y se basa en estimaciones apropiadas de métodos y vida útiles). Ciclo de Proveedores y Acreedores Varios a. Proveedores de servicios, que se relacionen al giro o la actividad desarrollada por el cliente. b. Acreedores Varios, obligaciones por pagar por cuenta propia o por retenciones efectuadas. Objetivos: Todos los montos por pagar a proveedores u otros por bienes o servicios recibidos (Acreedores Varios) antes del fin de año se incluyen o si no, se acumulan. Todos los desembolsos son válidos y se registran apropiadamente (estos son por bienes y servicios recibidos por la entidad; el monto y clasificación de las cuentas como activos, gastos, pasivos y otras son apropiados.) Principios de contabilidad son adecuados y se aplican consistentemente (ajustes de interés, si se requieren, son reconocidos). IV. Ciclo de Patrimonio a. Capital suscrito y pagado. b. Registro del patrimonio en libros de control interno mercantil. c. Aumentos o disminuciones de capital. d. Distribución o ajustes a las utilidades acumuladas. 146 Objetivos: V. Todas las transacciones del patrimonio, incluyendo dividendos, se reconocen y son propiedad de la entidad. Los principios de contabilidad aplicados a las transacciones del patrimonio y las revelaciones relacionadas a la estructura del patrimonio son adecuadas y consistentes. Registro adecuado en los respectivos libros de control interno. Ciclo de Costos y Gastos por los Servicios Prestados a. Integración de la cuenta de costos. b. Reconocimiento de gastos, tales como honorarios, salarios, seguridad, publicidad, etc. Objetivos: Se registran los montos no pagados al final del período, los cuales corresponden a costos y gastos devengados y obligaciones reales para la compañía. Los montos registrados son exactos, representan bienes o servicios recibidos por la entidad, y corresponden a las actividades o al giro que desarrolla la sociedad. ANTECEDENTES DE LA SOCIEDAD a) FINALIDAD: AGRINTER, S.A. DE C.V., es una empresa salvadoreña, cuya finalidad es comercializar insumos agropecuarios al por mayor adquiridos principalmente de empresas relacionadas. La estrategia competitiva principal de la compañía es mantener un alto nivel de servicios. b) EMPLEADOS QUE LABORAN A LA FECHA DE NUESTRA AUDITORIA El personal se distribuye en Ejecutivos, Vendedores y Administrativos, actualmente se cuenta con un total de 33 empleados. PERSONAL CLAVE: Ing. Salvador Hernández Ing. Fernando Merino Lic. Alejandro Peña Director Presidente Directora Secretaria Gerente Administrativo Contador General Lic. Gustavo Iraheta 147 ESTRUCTURA ORGANIZATIVA: La estructura organizativa de la empresa se encuentra según el siguiente detalle: Gerencia General: Área Operativa Representante Legal Área de Ventas Bodega de Inventarios Área Financiera Contabilidad Cuentas por Cobrar Cuentas por Pagar Exportaciones Área de Sistemas RECONOCIMIENTO DEL ÁREA DE LA AUDITORIA Los Estados Financieros de la Sociedad, al 30 de septiembre de 2006, con las principales cifras y variaciones durante seis meses desde el cierre del ejercicio 2005 y los porcentajes de participación en el monto total del Activo, Pasivo, Patrimonio y Resultados expresados en dólares americanos, se detallan a continuación: Saldos al 30/09//06 31-12-05 Activo Activo No Corriente Propiedad Planta y Equipo Cuentas por Cobrar a Largo Plazo Cargos Diferidos y Otros Activos Total Activo No Corriente Activo Corriente Cuentas y Documentos por Cobrar Inventario Efectivo Total Activo Corriente Total Activo Pasivo y Patrimonio Patrimonio Patrimonio Utilidades y Reservas Utilidad del presente ejercicio Total Patrimonio % de Variación Variaciones US$ 965,534 17,552 7,365 990,451 966,786 17,552 699 985,037 (1,252) 6,666 5,414 (0.13) 0 91 US$ 784,336 15,691 132,779 932,806 1,923,257 568,153 123,831 691,984 1,677,021 216,183 15,691 8,948 240,822 246,236 28 100 7 217,143 291,244 91,046 599,433 217,143 291,244 508,387 91,046 91,046 0 0 100 US$ US$ US$ Pasivo No Corriente 148 Prestamos Bancarios a Largo Plazo 489,823 510,630 (20,807) 1,089,256 1,019,017 70,239 380,976 452,951 74 834,001 193,373 464,631 658,004 187,603 (11,680) 74 175,997 Total Pasivo y Patrimonio US$ 1,923,257 1,677,021 Valores expresados en dólares de los Estados Unidos de América. 246,236 Total Pasivo no Corriente US$ Pasivo Corriente Cuentas y Gastos por Pagar Prestamos Bancarios a Corto Plazo Obligaciones Transitorias Total Patrimonio Resultados Saldos al Variaciones (4) 49 (3) 100 % de Variación 30-Sep-06 30//09/05 1,096,817 927,017 169,800 15 Costo de Ventas 364,317 172,191 192,126 53 Utilidad Bruta 732,500 754,826 (22,326) 641,454 662,839 (21,385) Utilidad del Ejercicio US$ 91,046 91,987 Valores expresados en dólares de los Estados Unidos de América. 941 Ventas Ventas de Boletos US$ Otros Gastos Gastos de Operación (3) El porcentaje es en relación al total de Activo, Pasivo y Capital Vrs. cada rubro que compone el total de costos y gastos. DETERMINACION DEL RIESGO DE AUDITORIA Y CONFIANZA EN EL CONTROL INTERNO La evaluación del riesgo determinada para el cliente se estima “Medio”, ya que no existe segregación de funciones y controles adecuados en las áreas de mayor riesgo y asimismo no se poseen manuales de procedimiento por escrito. Cuentas en las que se estima resguardar el riesgo de auditoria: Efectivo, manejo y control Cuentas y Documentos por Cobrar Activo Fijo Proveedores Acreedores Costos y Gastos 149 ENFOQUE DE LA AUDITORIA Y ALCANCE DE LAS PRUEBAS El enfoque será Sustantivo, el enfoque de las pruebas será analítico-transaccionales. El enfoque de la auditoria es sustantivo, debido a que es el medio más efectivo para obtener a satisfacción de la auditoria con respecto a la validez de las aserciones de los Estados Financieros. Por otro lado los procedimientos analíticos y las pruebas de transacciones proporcionando evidencia directa de la validez de las aserciones. El detalle de las pruebas a realizarse por los componentes más importantes, se presenta a continuación: a) b) c) d) e) f) g) Efectivo en las cuentas bancarias según conciliaciones bancarias así como confirmaciones con las instituciones financieras al cierre del ejercicio a dictaminarse, y evaluaciones de liquidaciones de caja por los ingresos diarios de abonos, cancelaciones de clientes y ventas en efectivo y su verificación. Cuentas por cobrar a clientes y Compañías Relacionadas, verificación del control interno, procedimiento para otorgar créditos por venta de boletos en primer visita, arqueo de documentación de soporte al encargado de las cuentas, así como pagos posteriores recibidos con relación del ingreso del efectivo a las cuentas bancarias en segunda visita intermedia y análisis del porcentaje de variación durante la tercer visita interina y visita de cierre. Activo Fijo, verificación de adiciones y retiros, asimismo verificar las cuotas de depreciación en segunda visita y visita de cierre. Prestamos Bancarios, verificación de cuota mensual, mediante la Escritura de Otorgamiento de Crédito, en primer visita y visita de cierre. Cuentas por Pagar, arqueo de documentos y verificación de pagos posteriores en segunda visita y visita de cierre. Costo de Ventas, conciliación según gastos por comisiones por venta de boletos, contabilización, en visita de cierre. Análisis de los gastos generados en los departamentos de Ventas y Administración, evaluación de partidas significativas (importación material) de gastos generados según los diferentes conceptos: Honorarios Profesionales Comisiones Depreciación Empleados Salarios Administrativos Reparación y Mantenimiento Las partidas de gastos se evaluarán a través de cálculos generales y documentación de soporte anexa a los cheques de pagos emitidos o notas de abono realizadas en las cuentas bancarias, cuando sean aplicables y a través de partidas específicas por montos significativos. La evaluación del gasto se realizará durante la primera visita interina y con análisis de los porcentajes de variación en la segunda visita y visita de cierre, combinándolo con las evaluaciones de los programas de auditoria fiscal. No se establecerá un monto base para la evaluación los gastos a ser examinados, ya que dependerá del juicio y criterio del auditor así como la materialidad de los gastos que se encuentren sustentados durante el desarrollo de las guías de auditoria estos serán evaluados en la segunda visita y de acuerdo al porcentaje de variación en visita de cierre. i) Conciliación de Ingresos Contables y los reportados para efectos fiscales en las declaraciones de IVA y Pago a Cuenta, así como los ingresos registrados en los libros de IVA debido a que la empresa aplica dictaminarse fiscalmente por el volumen de ventas, esta área será cubierta y documentada en los papeles de trabajo fiscales legajo corriente. 150 Las guías de auditoria se encuentran documentadas en los papeles de trabajo legajo corriente y anexos a esta planeación. DETERMINACIÓN DE LOS RECURSOS NECESARIOS PARA EJECUTAR LA AUDITORÍA El personal asignado para la auditoria, y el total de horas a invertir para el desarrollo de la misma, es el siguiente: Actividades Preparación del memorando de planeación Revisión y autorización de la planificación Desarrollo de la Auditoria Elaboración de Cartas de Control Interno Revisión de Pt´s Elaboración y revisión del borrador del informe Revisión y firma del Informe Final Discusión del informe con el cliente Total % Socio Encargado Asistente Total 32 32 4 4 4 130 134 24 24 32 8 32 16 24 8 8 2 2 14 5 44 17 202 78 260 100 El total de horas corresponden a tres visitas a realizarse al cliente, las horas asignadas por cada visita para el asistente de auditoria son de 32 horas en las primeras tres visitas al cliente, y de 8 horas para elaborar el informe por visita y 8 horas para la visita de cierre. COMUNICACIÓN DE LOS RESULTADOS Al finalizar el examen por cada visita se emitirá un informe de control interno, sobre la auditoria realizada, y al finalizar el cierre del ejercicio por parte de la Sociedad, se emitirá la Opinión Financiera sobre la razonabilidad de las cifras presentadas en los estados financieros. Dichos informes serán enviados en borrador y discutidos con el cliente, antes de presentar los definitivos. APROBACIÓN DEL MEMORANDO DE PLANEACIÓN DE LA AUDITORIA. Aprobado por: Fecha:________________________ Supervisado por: Fecha:________________________ Elaborado por: Fecha:________________________ 151 "AGRINTER" PROGRAMA DE AUDITORÍA PARA: CUENTAS POR COBRAR PROCEDIMIENTO 1 2 3 SI NO N/A Observe e indague sobre la separación de funciones en las transacciones de ventas. Indague sobre los procedimientos del gerente para aprobar los límites de crédito. Observe como el encargado de cuentas por cobrar ingresa los datos del clientes y determinar si: a) Ingresa un "password" (Contraseña) para entrar al sistema. b) El sistema realizar un chequeo de validez para el número del cliente. c) El sistema determina si el límite de crédito del cliente no se excede. d) El sistema compara el precio de venta con el costo del producto y exige anulación cuando el costo es superior al precio de venta. 4 5 6 7 8 9 Observe si el computador asigna números a las facturas de ventas Revise el archivo de facturas de ventas con los informes de entrega adjunto y obtenga evidencia de que toda la numeración está completa y que todos las facturas tienen informe de entrega adjunto. Indague sobre los procedimientos del gerente de contabilidad para conciliar el archivo maestro de cuentas por cobrar con el mayor general. Observe el envio por correo de los extractos o estados de cuentas mensuales. Indague sobre los procedimientos para aprobación de devoluciones y rebajas sobre ventas por parte de la gerencia de ventas. Observe e indague sobre la separación de funciones para entradas de efectivo. 10 Observe el listado y el endoso de cheques por parte del recepcionista. 152 PT REALIZADO POR 11 Observe cuando el encargado de cuentas por cobrar ingresa las entradas de efectivo para determinar si: a) La contraseña es digitada para ingresar entradas de efectivo. b) El nombre del cliente se muestra en la pantalla cuando se ingresa el número de cliente. 12 Pruebe los procedimientos para conciliar los totales de control del programa de cuentas por cobrar de la siguiente manera: a) Indague sobre los procedimientos b) 13 Seleccione una muestra de los listados de totales del control e inspecciónelos en busca de evidencia de conciliación Pruebe los procedimientos para revisión y seguimiento sobre los informes de excepción del programa de cuentas por cobrar de la siguiente manera: a) Indague sobre los procedimientos b) Seleccione una muestra de informes de excepcón e inspecciónelos en busca de evidencia del seguimiento de las excepciones. 14 Pruebe los procedimientos para conciliar el resumen por computador de los cobros de efectivo y de las ventas en efectivo con volantes de depósitos y el listado de las entradas de efectivo de la siguiente manera. a) Indague sobre los procedimientos b) Seleccione una muestra de los resumenes del computador e inspecciónelos en busca de evidencia de conciliación. HECHO POR REVISADO POR AUTORIZADO POR 153 154 155 “AGRINTER" PROGRAMA DE AUDITORÍA PARA: CUENTAS POR PAGAR PROCEDIMIENTO SI NO N/A 1 Observe e indague sobre la separación de funciones en las transacciones de compras 2 Indague sobre los procedimientos del gerente para aprobar el pago de facturas 3 Observe como el encargado de cuentas por pagar ingresa los datos del las ordenes de compra y determinar si: a) Ingresa un "password" (Contraseña) para entrar al sistema. b) El sistema realizar un chequeo de validez para el número del proveedor 4 Observe si el computador asigna números a las odenes de compra 5 Revise si el computador asocia la información de las facturas de los proveedores con las ordenes de compra y la fecha de recepción. 6 Revise si el computador prueba la precisión numérica de las facturas de los proveedores 7 Indague sobre los procedimientos del gerente de contabilidad para conciliar el archivo maestro de cuentas por pagar con el mayor general. 8 Indague sobre los procedimientos para aprobación de pago de facturas a los proveedores 9 Observe e indague sobre la separación de funciones para desembolsos de efectivo 10 Observe cuando el encargado de cuentas por pagar ingresa las salidas de efectivo para determinar si: a) La contraseña deber ser digitada para ingresar entradas de efectivo. b) El nombre del proveedor se muestra en la pantalla cuando se ingresa el número de proveedor. 11 Pruebe los procedimientos para conciliar los totales de control del programa de cuentas por pagar de la 156 PT REALIZADO POR siguiente manera: a) Indague sobre los procedimientos b) Seleccione una muestra de los listados de totales del control e inspecciónelos en busca de evidencia de conciliación 12 Pruebe los procedimientos para revisión y seguimiento sobre los informes de excepción del programa de cuentas por pagar de la siguiente manera: a) Indague sobre los procedimientos b) Seleccione una muestra de informes de excepcón e inspecciónelos en busca de evidencia del seguimiento de las excepciones. 13 Pruebe los procedimientos para conciliar el resumen por computador de los pagos de efectivo y de las compras en efectivo con volantes de cheques y el listado de las salidas de efectivo de la siguiente manera. a) Indague sobre los procedimientos b) Seleccione una muestra de los resumenes del computador e inspecciónelos en busca de evidencia de conciliación. HECHO POR REVISADO POR AUTORIZADO POR 157 158 2 de Octubre de 2006 A la Junta Directiva y a los Accionistas de AGRINTER, S. A. de C. V. Como parte integral de nuestra auditoría a AGRINTER, S.A., por el año que terminará el 31 de diciembre de 2006, hemos concluido la evaluación al ambiente de control de la jefatura de sistemas y las operaciones realizadas en los componentes de Cuentas por Cobrar y Cuentas por Pagar. Los objetivos al realizar nuestro trabajo estuvieron orientados a evaluar el control interno en las siguientes áreas: Evaluar la organización de la gerencia. Evaluar los controles implementados en actividades de desarrollo y mantenimiento de sistemas, operaciones y seguridades. Evaluar los controles implementados en las operaciones de los módulos de cuenta s por Cobrar y Cuentas por pagar. Identificar las características principales de los sistemas y entornos informáticos. Identificar los cambios significativos en los sistemas y entornos informáticos. Adjunto encontrará nuestras observaciones y recomendaciones correspondientes. Tendremos mucho gusto en discutir y explicar en más detalle estas recomendaciones, si así se estima conveniente. Atentamente, Socio 159 Condición 1 Observamos que no se cuenta con manuales de puestos y funciones del personal de sistemas. Riesgos a. Confusión de funciones y responsabilidades, careciendo de una visión clara y precisa de las estrategias y objetivos administrativos del departamento. b. Falta de claridad y precisión de los perfiles requeridos. c. Duplicidad de funciones. d. Pérdida de la segregación de funciones. Recomendación Definir y elaborar formalmente por escrito los manuales de puestos del personal de informática, estos manuales deberían contener al menos la siguiente información. a. Nombre de la unidad b. Naturaleza del puesto de trabajo c. Descripción específica del puesto d. Definición de funciones periódicas, continuas y eventuales e. Las relaciones de trabajo internas y externas f. El manejo de información confidencial g. Las responsabilidades sobre activos y valores h. Sus habilidades motrices 160 i. Las características personales j. Los conocimientos técnicos del puesto k. Los requisitos de educación y conocimientos especiales l. La experiencia requerida, interna y/o externa m. Otros detalles como edad, sexo y estado civil Condición 2 Se verificó el comunicado que contiene las políticas de seguridad, en el cual se establecen las actividades que se deben llevar a cabo en cada área pero no se especifican aspectos tales como: fecha de vigencia, responsables de realizar las diferentes actividades, revisado por, aprobado por, versión actual, fecha de última modificación, numeración de páginas, etc. Riesgo No contar con la documentación completa podría provocar que en el momento en que ocurra una eventualidad las responsabilidades para cada puesto no estén claras y las tareas no se realicen de la forma adecuada. Recomendación: Debe evaluarse la posibilidad de desarrollar el manual de políticas de seguridad del área de IT para que contenga información relevante tal como: a. Nombre del procedimiento b. Objetivo 161 c. Alcance d. Responsabilidades e. Desarrollo f. Versión g. Fecha de última modificación h. Número de página. Condición 3 Indagamos que no se cuenta con personal externo que realice la función de auditoría de seguridad de información, así como impartir capacitación técnica Riesgos a. Predisposición a sufrir daños en los activos de información por la falta revisiones por personal experto. b. Dificultad para analizar y comprender las políticas de seguridad implementadas por la gerencia debido a que no se cuenta con suficiente conocimiento técnico. c. Se incrementa el tiempo y costo empleado para poder realizar mantenimiento preventivo a los activos de información. Recomendación a. Contratar a personal externo para realizar la función de auditoría de seguridad de la información. 162 b. Es necesario que se contraten a expertos externos para impartir seminarios de capacitación al personal respecto de la seguridad que debe mantenerse en las instalaciones y los activos de información. Condición 4 Observamos que no se han implementado políticas de passwords en la aplicación, tales como acuerdos de confidencialidad, sanciones por divulgación de claves, longitudes mínimas y máximas, vencimientos y bloqueos de las claves. Riesgos Acceso no autorizado al sistema. Recomendaciones Implementar políticas de seguridad de passwords a través de la cuales se implementen restricciones en las claves de seguridad de los usuarios tales como: acuerdo de confidencialidad, sanciones por divulgación de claves, vencimientos periódicos, cantidad de caracteres mínimos a utilizar, complejidad en la definición, entre otros. Condición 5 Al evaluar las políticas y procedimientos para la elaboración de copias de seguridad, observamos lo siguiente: a. No se han elaborado formalmente por escrito procedimientos para efectuar copias de seguridad sobre los datos y aplicativos de la empresa. 163 b. Las copias de seguridad de la empresa únicamente se almacenan dentro de las instalaciones de la empresa, junto al servidor. Riesgos Pérdida total o parcial de la información en caso de desastre natural o provocado dentro de las instalaciones de la empresa. Recomendaciones a. Definir formalmente y por escrito políticas para la elaboración de copias de seguridad sobre los datos y aplicativos de la empresa. b. Almacenar las copias de seguridad efectuadas fuera de las instalaciones de la empresa, esto garantizará contar una versión actualizada de los datos y programas que se tienen actualmente en producción. Condición 6 Observamos que el área de informática no cuenta con un plan de recuperación en casos de desastres. Riesgos En caso de catástrofe, la pérdida de información pone en peligro la operatividad de la compañía. 164 Recomendación Elaborar un plan de recuperación en caso de desastres para asegurar el correcto reestablecimiento de los servicios informáticos, en caso de ocurrir alguna contingencia. En este plan se deben identificar y documentar los procesos críticos del negocio y las aplicaciones que las soportan para definir una estrategia de prioridad al momento de un desastre. La definición de procesos críticos permitirá definir los recursos mínimos y claves que deberán estar listos para dar soporte a la empresa tales como: personal de apoyo, plataformas de sistemas, hardware, software, requerimientos de espacio, equipo de telecomunicaciones, los cuales deberán estar disponibles dentro del equipo de recuperación para el plazo de tiempo meta definido. Para tal efecto deben utilizarse criterios de definición de prioridades, como por ejemplo, servicio al cliente completo, continuidad de operaciones mínimas. Dentro de este concepto debe definirse el tiempo máximo para levantar los servicios críticos de la empresa. Condición 7 Durante la revisión al módulo de cuenta por cobrar se observaron las siguientes condiciones: 165 a. El módulo permite la facturación a los clientes sin tomar en cuenta el límite de crédito autorizado. b. Al momento de facturar un artículo el sistema no realiza una validación en entre el costo y el precio de venta del mismo. Riesgos a. Conceder créditos superiores al límite autorizado a los clientes generando una posible irrecuperabilidad del monto adeudado por los mismos. b. Facturar un artículo a un precio inferior a su costo generando una inconsistencia en los costos globales de la compañía. Recomendación Realizar modificación al módulo de cuentas por cobrar según se detalla a continuación: a. Que el módulo impida la facturación cuando el saldo adeudado por el cliente sea igual a su límite de crédito autorizado. b. Al momento de facturar impida proseguir cuando el precio de venta sea inferior a su costo, solicitando autorización de un tercero para proseguir. 166 ANEXO 1 167 168 169 170 171 172 173 174 175 ANEXO 2 176 Medianas Empresas según la Dirección General Estadística y Censos, Ministerio de Economía 1998 Establecimiento 1 "ICIA,S.A.DE C.V." 2 3M DE EL SALVADOR S.A. DE C.V. 3 A & A COMERCIAL S.A. DE C.V. 4 ACAVISA DE C.V. 5 ACCESO EL SALVADOR S.A. DE C.V. 6 ACENTO S.A. DE C.V. 7 ACERO S.A. 8 ACES 9 ACOPAI 10 ADMINISTRACION EMPRESARIAL, S.A. DE C.V. 11 AGEMPRESE S.A. DE C.V. 12 AGENCIA FOREMOST 13 AGENCIA GARBO 14 AGESPRI S.A. DE C.V. 15 AGRICOLA EL CORONEL 16 AGROPECUARIA LA CONCORDIA S.A. DE C.V. 17 AGROSERVICIO EL SURCO S.A. DE C.V. 18 AGROVALL, S.A DE C.V. 19 AIG UNION Y DESARROLLO S.A. 20 ALAMACEN OFFICE USA 21 ALCAM S.A. DE C.V. 22 ALCATEL DE EL SALVADOR S.A. DE C.V. 23 ALERTA EMPRESA 24 ALFASAL S.A. DE C.V. 25 ALFATAX 26 ALFATEX 27 ALISAL,S.A. DE C.V. 28 ALMACEN CENTRO TEXTIL 29 ALMACEN CLAUDYCAR 30 ALMACEN LA NUEVA MILAGROSA S.A DE C.V. 31 ALMACEN PACIFICO 32 ALMACENES FREUND 33 ALMACENES ROLIN Y NEW YORK 34 ALMACENES SCHWART, S.A DE C.V. 35 ALMACENES SURISA 36 ALMACENES TROPIGAS S.A. DE C.V. 37 ALMACENES VIDRI S.A. DE C.V. 38 ALMACENES WESTING 39 ALMAPAC S.A. DE C.V. 40 ALUMINIOS INTERNACIONALES 41 AMERICAN AIRLINES INC. 42 AMERICATEL EL SALVADOR, S.A. DE C.V. 43 ANGELITOS 44 APPEX PUBLICIDAD Dirección BRUMAS DE LA ESCALON,SENDA # 1,# 11 CALLE CHAPARRASTIQUE #11, URB.IND.STA.ELENA CALLE A SAN ANTONIO ABABD Y AV.EL TANQUE #3508 25 AV.SUR #763 AV.ALBERT EINSTEIN #6, COL.LOMAS DE SAN FCO. AV.ANTIGUO CUSCATLAN E6-8, COL.LA SULTANA CIUDAD MERLIOT C.L1 Y C.L2 1RA. C. PTE. NO. 930 2 C. OTE. # 4-7 STA. TECLA CONDOMINIO BALAM QUITZE 2° PLANTA LOCAL N° 2 41A. CALLE PTE., PJE.5 #536, BO.BELEN 5ªC.PTE.Nº8 AV.SIERRA NEVADA #942, COL.MIRAMONTE 43 AV.SUR Y C.EL PROGRESO BIS #318,CON.FLOR BLANCA RES.MORIAH SENDA # 23,LOMAS DE SAN FCO. BLVD. LOS PROCERES,ATRAS GAS.ESSO PALERMO CALLE DANIEL HERNANDEZ #3-4 Bº SN JANCINTO 10ª AV. SUR C. MARTIN #825 CALLE LOMA LINDA #265, COL.SAN BENITO PASEO GRAL. ESCALON # 1323 2A. AV. NTE. Y 39 C. PTE. ALAMEDA ROOSEVELT 37 AV.SUR #2017 C. DEL ADRIATICO # 30 COL. JARDINES DE GUADALUPE BLVD. MERLIOT Y C. L-2 ANT. CUSCATLAN CDAD. MERLIO EDIF. CARBONEL # 1 2ª PLANTA CARRTE.A SANTA TECLA 31 C.OTE.Nº315 B COL.LA RABIDA BLVD.PYNSA, CALLE L-2, BODEGA 13-4. 2-C PTE Y AV. MORAZAN # 130 7ª AV. SUR # 325 5º AV.SUR EDIF.MILAGROSA CALLE LA MASCOTA #320, SAN BENITO BLVD. LA SULTANA Y BLVD. LOS PROCERES CALLE RUBEN DARIO CENTRO COMERCIAL PALOMO N 310 CENTRO COMERCIAL PLAZA MERLIOT L- # 399 BLVD. DEL EJERCITO KM. 3 1/2 FINAL C.LA MASCOTA, EDIF. LOTISA #5200 1A. C. PTE. Y AV. ESPAÑA 1A.CALLE PTE. #134 11 CALLE PTE. # 3920 COL. ESCALON KM.3½ CARRT.LOS PLANES COL.CALIFORNIA FINAL C.ANG. ALAMEDA ROOSEVELT #3107, EDIF.LA CENTROAMERICANA CALLE NUEVA N°1, CASA #3826, COLONIA ESCALON BLVD. DEL EJERCITO KM. 7½ 71 AV. SUR # 3660 COL. ESCALON 177 45 AQUAPURA S.A. DE C.V. 46 AREVALO PINTO Y CIA. 47 ARIAS ARIAS Y CIA. 48 ARTE COMERCIAL S.A. 49 ARTES GRAFICAS PUBLICITARIAS S.A. DE C.V. 50 ARTISA,S.A.DE C.V. 51 ASA POSTERS S.A DE C.V 52 ASEGURADORA AGRICOLA COMERCIAL,S.A. 53 ASEGURADORA POPULAR,S.A. 54 ASOC.COOP. ACSA BUS 55 ASOCIACION JARDIN BOTANICO LA LAGUNA 56 ASOCIACION LICEO FRANCES DE EL SALVADOR 57 ATMUI 58 AUTO AHORRO 59 AUTO MAX 60 AUTOFACIL S.A. DE C.V. 61 AUTOMARKET LIMITED 62 AUTOSAL S.A. 63 AVE CONSTRUCTORA S.A. DE C.V. 64 AVELAR HERMANOS S.A. DE C.V. 65 AVIGAR S.A. DE C.V. 66 AVIPRO S.A DE C.V 67 BANCASA 68 BANCASA 69 BANCO AGRICOLA COMERCIAL S.A. 70 BANCO CAPITAL S.A. 71 BANCO CREDISA 72 BANCO CUSCATLAN S.A DE C.V. 73 BANCO DE COMERCIO DE EL SALVADOR S.A. 74 BANCO DE FOMENTO AGROPECUARIO 75 BANCO DESARROLLO SUCURSAL 76 BANCO HIPOTECARIO DE EL SALVADOR S.A. 77 BANCO PROMERICA 78 BARACHE, S.A DE C.V. 79 BENEFICIO LA LAGUNA 80 BENYANI RST S.A. DE C.V. 81 BEST PLAST 82 BIDECA 83 BIENES Y SERVICIOS 84 BIGGEST 85 BIOKEMICAL S.A. DE C.V. 86 BLOKITUBOS S.A. DE C.V. 87 BODEGA 88 BODEGA DE ALCALDIA 89 BODEGA DE GOLDTREE 90 BODEPA S.A DE C.V CTRO. COMERCIAL FERIA ROSA LOCAL 109 C COL.SANTA EUGENIA #109, AV.ARAUJO 29 AV. NTE. # 1223 ED. SAN JOSE 1A. PLANTA BLVD. DEL EJERCITO KM. 5 1/2 ENTRADA A COL. LAS BR BLVD. DEL EJERCITO KM. 5 1/2 C. CLOPPER SOYAPANGO PLAN DE LA LAGUNA CALLE CIRCUNVALACION # 2 KM. 5½ BLVD. DEL EJERCITO CALLE KLAPER ALAMEDA ROOSEVELT # 3104 PASEO GENERAL ESCALON # 5338,COL.ESCALON. AV.PPAL. Y C."C" RPTO.SAN JOSE S/N ESQUINA URB. PLAN DE LA LAGUNA ZONA IND. KM.10 1/2 CARRETERA SANTA TECLA PROLONG. 75 AV. NTE. # 51 RPTO. SANTA LEONOR BLVD. VENEZUELA # 2816 BLVD. LOS PROCERES # 3 URB. LA SULTANA ANT. CUSCAT COL.MIRAMONTE, CALLE CERRO VERDE Y AV.LOS ANDES KM. 9 ½ C. A LA LIBERTAD ALAMEDA ROOSVELT Y 53 AV. NTE. #2736 COL.Y AV.STA.VICTORIA #24 CALLE A STA.TECLA #3528, COL.SAN BENITO RESID.ALTOS DE VISTA HERMOSA, CALLE A HUIZUCAR #7 PLAN DE LA LAGUNA ALMED.ENRIQUE ARAUJO Nº EDIF. ALMENDROS C. GABRIELA MISTRAL 25 AV. NTE. Y 21 C. PTE. ESQUINA 1A. C. PTE. # 3649 COL. ESCALON ALAM. JUAN PABLO II CONT. OFICINA ISSS 3 AV. NTE. Y 1 C. OTE 2-2 STA TECLA 25 AV.NTE.Y 21 C.PJE.EDIF.EX-EMBAJADA E.E.U.U. 15 C. PTE. EDIF. PROFESIONAL CTRO. DE GOBIERNO 67 AV SUR # 115 PJE. SENDA FLORIDA SUR COL. ESCALON PASEO GRAL. ESCALON COL. SAN JUAN C.PPAL Nº 220 COL. BELLO SAN JUAN PLAN DE LA LAGUNA FINAL CALLE LIBERTAD J-22, JARD. DE MERLIOT 6A.AV.NTE. #1430 CART. A LOS PLANES KM 4½ # 4656 PROLONG.JUAN PABLO II CTRO,COMERC.LA SALLE 2ªPLAN. AUTOPISTA SUR CALLE ALBERTO MASFERRER #160-B BARRIO LAS MERCEDES KM.30 1/2, CA.TRONCAL DEL NTE. 8ª C,OTE # 1-1 ANT, RASTRO, C. ROOSEVELT PTE. #S/N 2ª C.OTE # 7-2 KM.4½CARRET.SAN MARCOS CONT.A DIESEL DE EL SALVAD. 178 91 BOLSA DE VALORES DE EL SALVADOR 92 BONSOL S.A DE C.V 93 BORDADOS DE EXPORTACION 94 BORDADOS SUIZOS S.A. DE C.V. 95 BRASIERES GLORIA S.A. DE C.V. 96 BREIN, S.A. DE C.V. BRITISH AMERICAN TOBACCO CENTRAL AMERICA S.A. 97 SUC. 98 BROOKLING MANOFACTURI MFG S.A DE C.V 99 BYSSA 100 C.S. PROVINSA S.A. DE C.V. 101 C.S.H. S.A. DE C.V. 102 CABLEVISA, S.A DE C.V 103 CABOGAR S.A. DE C.V. 104 CAFETERIA CARYMAR 105 CAJA DE CREDITO METROPOLITANO 106 CAL MOTOR S.A. DE C.V. 107 CAM MOTORS S.A. DE C.V. 108 CAMPOS PEÑATE ARQUITECTOS 109 CAN S.A. DE C.V. 110 CARIMAR, S.A DE C.V. 111 CARNES Y EMBUTIDOS, S.A DE C.V. 112 CAROSA S.A. DE C.V. 113 CARSA 114 CASA AMA S.A. DE C.V. 115 CASA BAZZINI S.A. DE C.V. 116 CASA OMAR S.A. DE C.V. 117 CASINO COLONIAL 118 CASTELLANOS CAMPOS CIA. 119 CAYRO S.A. DE C.V. 120 CECILIO DIAZ BUSTAMANTE 121 CECOFESA DE C.V. 122 CECOSI S.A. DE C.V. 123 CEDESA DE C.V. 124 CEFESA S.A 125 CEFINCO S.A. DE C.V. 126 CEFINSA DE C.V. 127 CELO BLOCK S.A. DE C.V. 128 CEMENTO DE EL SALVADOR S.A. DE C.V. 129 CENTRAL DULCERA S.A. DE C.V. 130 CENTRAL MERCANTIL S.A. DE C.V. 131 CENTRO AMERICANA DE EMPAQUES S.A. 132 CERESA 133 CERILLERA LA LUZ 134 CESSA 135 CHEPAN S.A. DE C.V. 136 CIA. COMERCIAL CURACAO DE EL SALVADOR S.A. DE C.V. ALAMEDA ROOSEVELT # 3107.(EDIF.LA CENTROAMERICANA) C.NUEVA # 5 S/# COL.SANTA LUCIA ILOPANGO C. 5 DE NOVIEMBRE Y 10 AV.NTE # 406 S.S. 25 AV.NTE. Y 27 C.PTE.#1416,ED.PANAMERICANO, L-106 5ªC.PTE.Nº48 C. GUADALUPE Y PJE. SAN ERNESTO # 1320,COL.MEDICA ALAMEDA ROOSEVELT #2115 ENTRADA A V.NUEVO C. EL GUAJE BODEG.1, ZONA FRANCA 4A.CALLE ORIENTE # 5-8, BARRIO SAN ANTONIO URB.CIMA 1, CALLE A BCK.B, #6 BLVD.ALTAMIRA RESID.VILLA GALERIA #13-A BLVD.PYNSA #24, CIUDAD MERLIOT KM.7 1/2, CARRETERA A STO.TOMAS, COL.STA.FE 2A. C. PTE. Y 16 AV. SUR 25 AV.NTE.Y 23 C.PTE.EDIF.FEDECREDITO BLVD.LOS HEROES Nº1229 BLVD. LOS HEROES #1229 COL. AMERICA QINTA FIGUEROA # 101 6A.C.PTE. #115 2ª C. PTE. Y 16 AV. SUR SANTA TECLA COL. ESCANDIA FINAL C. ESTOCOLMO Y AV. COPENHAGUE C. CIRCUNVALACION PLAN DE LA LAGUNA 2 POL. D L- 1 COL. LAS BRISAS C. A ZACAMIL SOYAPANGO 29 ACALLE PTE. Y 1A.AV.NTE. #118 KM.4.5, CA.A SAN MARCOS 10A.CALLE PTE. E/AV.ISIDRO MENENDEZ Y 1A.AV.SUR C. EL MEDITERRANEO # 1 AV. LAS PALMERAS EX-CINE CO 71 AV. NTE. # 346 COL. ESCALON BLVD.HIPODROMO,ED.GRAN PLAZA,L-#301,COL.SN.BENITO 2A.AVENIDA SUR Y 4A.CALLE PTE.EDIFICIO DIAZ BLVD. VENEZUELA # 2743 BIS 77 AV.NTE. Y 11 C.PTE.#4006, COL.ESCALON CALLE ANTGA. A SAN ANTONIO ABAD #285-A 1RA. C. PTE. Y 19 AV. NTE. 11 CALLE PTE. #3971, COL.ESCALON CARRET.TRONCAL DEL NORTE KM. 12 29 C.PTE. Y 25 AV. NTE. CONTIGUO A BCO.SALVADOREÑO 21 C. PTE. Y 29 AV. NTE. # 1127 CALLE CIRCUNV.,#21-A, PLAN DE LA LAGUNA CALLE LAS MERCEDES, COL.LAS PALMAS, BODEGA #1 COL.LAS BRISAS C. AL ZACAMIL SOYAPANGO BLVD. TUTUNICHAPA # 347 C.PPAL FTE ESTATUA DEL INDIO ATLACATL ANTIGUO CUS. AV. EL ESPINO Y BLVD. SUR EDIF. CESSA URB. MADRE S CALLE EL BALSAMO J-6, BOSQUES DE STA.TERESA FINAL C. LA MASCOTA EDIF. LOTISA 5200 179 137 CIA.DE SERVICIOS DE SEGURIDAD SALVADOREÑA S.A./C.V 138 CIA.RAYO-VAC DE EL SALVADOR S.A. DE C.V. 139 CITIBANK N.A. 140 CLUB CAMPESTRE CUSCATLAN 141 CLUB TECLEÑO 142 CO-AMCUSAM DE R.L. 143 COCOLIMA S.A DE C.V. 144 CODESA S.A. DE C.V. 145 CODIFARMA, S.A DE C.V. 146 CODIPA S.A. DE C.V. 147 COFASA 148 COLATINO DE R.L. 149 COLEGIO BETHANIA 150 COLEGIO DIVINA PROVIDENCIA 151 COLEGIO DON BOSCO 152 COLEGIO EUCARISTICO 153 COLEGIO FATIMA 154 COLEGIO INTERNACIONAL DE SAN SALVADOR S.A. DE C.V. 155 COLEGIO JERUSALEN 156 COLEGIO LA ASUNCION 157 COLEGIO LA SAGRADA FAMILIA 158 COLEGIO LOS ROBLES 159 COLEGIO NUESTRA SEñORA DEL ROSARIO DE FATIMA 160 COLEGIO SAGRADO CORAZON 161 COLEGIO SALVADOREÑO ALEMAN 162 COLEGIO SALVADOREÑO ESPAÑOL 163 COLEGIO SALVADOREÑO INGLES 164 COLEGIO SAN ANTONIO 165 COLEGIO SANTA TERESA DE JESUS 166 COLEGIO STA. CECILIA 167 COLEGIO STA. INES 168 COLG. AUGUSTO WALTE 169 COLG. SALVADOREÑO ALEMAN 170 COMAGUI S.A. DE C.V. 171 COMERCIAL DE PLASTICOS S.A. DE C.V. 172 COMERCIAL INDUSTRIAL FORMOSA S.A 173 COMERCIAL LOTISA S.A DE C.V 174 COMPAÑIA CAMPOS ROCA S.A. DE C.V. 175 COMPAÑIA FARMACEUTICA S.A. DE C.V. 176 COMPAÑIA RAY O VAC DE EL SALVADOR S.A DE C.V 177 COMPLEJO EDUCATIVI ANDRES BELLO 178 COMTELSA, S.A. DE C.V. 179 CONALI S.A. DE C.V. 180 CONCRETERA MIXTO LISTO PROTERSA S.A. DE C.V. 181 CONFECCIONES JESUSITA S.A. DE C.V. 182 CONFECCIONES SAMIA 183 CONINSERV S.A.DE C.V. EDIF.CARISMA,L-7,2A.PTA.Y AV.SANTA MONICA,URB.B.A. BLVD.MERLIOT, CDAD.MERLIOT ALAMEDA DR.MANUEL E.ARAUJO, CALLE NVA.#1, ED.PALIC PASEO GENERAL ESCALON # 5333 COL. ESCALON 5A. C. OTE. Y 3A. AV. NTE. C. DON BOSCO # 3-1 COL.SAN LUIS AV.SAN MARTIN #37 65 AV SUR EDIF. MONTRESOR L- 44 1ºPLANTA 41A.AV.SUR #518, COL.FLOR BLANCA PJE JULIANA # 4-5 PJE.PRIVADO E/C.ANTIGUA AL MATAZANO Y C.VENECIA P. FINAL AV MELVIN JONES Y 12 C.O NVA SAN SALVADOR 23 AVENIDA SUR # 225 4A. C. OTE. STA. TECLA C.CONCEPCION Nº426 KM. 1 ½ C. AL PLAN DEL PITO SOYAPANGO ALAMEDA JUAN PABLO II # 523 4. C. OTE. # 4-4 STA TECLA CALLE LA REFORMA #169, COL.SAN BENITO RPTO.Y BLVD.SAN BARTOLO POLG.5 LOTE 1 1RA. C. PTE. NO. 1148 PASEO GRAL. ESCALON # 3618 COL. ESCALON AV. LAS GARDENIAS #1234, COL. SAN FRANCISCO 4ª CALLE OTE 4-4 STA TECLA 11° C. PTE. Y 83° AV. NTE. # 4354 C. ANTIGUO CUSCATLAN COL. JARDINES DE GUADALUPE FINAL 65 AV. SUR # 257,COLONIA ESCALON 85 AV. NTE. Y 1A. C. PTE. # 113 COL. ESCALON 2A. C. PTE. # 4 KM.4 CARRETERA A SAN MARCOS 5A. C. PTE. O C. DON BOSCO # 1-1 STA. TECLA 3 AV. SUR # 3-2 STA. TECLA C. EMILIANI #3 COL.LA SULTANA ANTG.CUSCATLAN FINAL SUR DE LA AV.RIO LEMPA COL.JARD.DE GUADALUPE 49 AV.SUR Y 28 C.PTE.#2523 COL.LUZ 1A.C.PTE. Y 9A.AV.NTE. #531 POLIG."J" N°33,JARDINES DE CUSCATLAN URB. PLAN DE LA LAGUNA LOTE # 5 POL. "C" BLVD.DEL HIPODROMO EDIF.SKILIGHT CENTER #308 FINAL AV.MELVIN JONES Y 12 C.PTE., COL.UTILA BLVD. MERLIOT EDIFICIO RAY O VAC 49 AV SUR # 737 COL.FLOR BLANCA URBANIZACION LA GLORIA, PJE. 3-D, POL. D-3, N° 13 FINAL AV. SAN MARTIN #4-7 KM. 9 ½ C. AL PUERTO DE LA LIBERTAD KM.1 1/2, BLVD.DEL EJERCITO NAC., EDIF.PIMAR COL. MODELO C. EL POLVORIN PJE. HILOHUAPA # 105 67 AV.SUR, PJE.CARIBE #13, COL.ESCALON 180 184 CONSTRUCTORA BERNARD RC S.A. DE C.V. 185 CONSTRUCTORA DEL PACIFICO,S.A. DE C.V. 186 CONSTRUCTORA PLICO S.A. DE C.V. 187 CONSTRUCTORA SANTOS,S.A.DE C.V. 188 CONSTRUCTORA VILLA R. S.A. DE C.V. 189 CONSTRUMET S.A. DE C.V. 190 CONSULTA S.A. DE C.V. 191 CONSUMER S.A DE C.V 192 CONTRATOS DIVERSOS PROFESIONALES,S.A. DE C.V. 193 CONVEST S.A. DE C.V. 194 COOPERATIVA DE TAXIS ACASTA DE R.L. 195 COOPERATIVA SAN MATEO, S.A DE C.V. 196 COPRESA S.A. DE C.V. 197 CORPAK S.A. DE C.V. 198 CORPOBELO 199 CORPORACION DE CREDITO Y SERVICIOS S.A. DE C.V. 200 CORPORIN S.A.DE C.V. 201 CORSIPRO S.A. DE C.V. 202 COSA DE C.V. 203 COSAL COMERCIAL SALVADOREÑA 204 COSERVISA S.A. DE C.V. 205 COSMETICOS Y PERFUMES, S.A DE C.V. 206 COSPER S.A. DE C.V. 207 COURIER INTERNATIONAL, S.A. DE C.V. 208 COURVAN 209 COVAL INDUSTRIES 210 COVEBIRA S.A. DE C.V. 211 CREACIONES ROXANA 212 CREACIONES VISOL 213 CREDENDA S.A. DE C.V. 214 CREDISA S.A. 215 CRIAVES S.A. DE C.V. 216 CROMEYER PARRAGA S.A. DE C.V. 217 CTRO. HARVARD 218 CUEROS ARTIFICIALES S.A. 219 CUEROS Y VINILES DE CENTRO AMERICA S.A. DE C.V. 220 CUN S.A. DE C.V. 221 CYBERNET DE EL SALVADOR S.A. DE C.V. 222 DADA DADA Y CO. S.A DE C.V. 223 DANIEL CARR & ASSOCIATES,S.A. DE C.V. 224 DANY S.A. DE C.V. 225 DELTA S.A. DE C.V. 226 DELTEL S.A. DE C.V. 227 DEPOSITO DE TELAS S.A. DE C.V. 228 DEPROIN S.A. DE C.V. 229 DESPENSA DE DON JUAN S.A. DE C.V. 230 DHL DE EL SALVADOR URB.AIDA, PJE. ROCIO #13 FINAL 67 AV.SUR # 5. CENTRO ROMA.COL. ROMA 13 AV.NTE.#1509, COL.LAYCO C.DEL BALTICO #2 URB.JARDINES DE GUADALUPE FINAL 67 AV.SUR #5, CTRO.ROMA, COL.ROMA COND. ALTAMIRA, EDIF.E, 4A.PLANTA #7 COL.TOLUCA PTE.C.LAS ARBOLEDAS Nº22 C.SIEMENS LOTE N°1,URB.INDUSTRIAL SANTA ELENA CENTRO URBANO JOSE SIMEON CAÑAS,EDF.52,APTO. 15 KM. 11 ½ CARRTERA AL PUERTO LA LIBERTAD 3RA. C. PTE. Y 19 AV. NTE. NO. 1107 CENTRO COMERCIAL NOVO CTO.2ª PLANTA L-#54-B STA T. ZONA IND. PLAN DE LA LAGUNA BLOCK 3 # 10 ANT. CUSC KM. 3 ½ BLVD. DEL EJERCITO NAC. CALLE Y COL.MAQUILISHUAT #24 79 AV.SUR Y C.CUSCATLAN,EDIF.PLAZA CRISTAL 3ER.N. URB.INDUSTRIAL C.ANTG.CUSCATLAN# 21 RESID.DECAPOLIS PJE. SAN JOSE #2 AV. BERNAL #621 PLAN DE LA LAGUNA C. CIRCUNVALACION POL. D L- 1 Y CTRO.URB.JOSE SIMEON CAÑAS, EDIF.#92-11 FINAL11 AV. SUR COL. UTILA CARRT AL PUERTO ED.-EMP ZONA INDUSTRIAL STA.ELENA, CALLE SIEMENS LOTE #1 CALLE EL PROGRESO # 3139 COL. ROMA SAN SALVADOR FINAL 67 AV SUR CENTRO ROMA L-5 C. LOS POCITOS PJE. BOLAÑOS # 141 COL. DOLORES COL.SAN FCO.AV.LOS ABETOS PJE.#2 CASA #21 C. EL PROGRESO # 2711 COL. FLOR BLANCA COL. PROVIDENCIA C. SEVILLA # 536 COL.CENTROAMERICA FINAL CALZADA MORAZAN #7 9A. C. OTE. Y 2A. AV. NTE. S/N BLVD.PYNSA #5, CDAD.MERLIOT BLVD.DEL HIPODROMO, EDIF.SKILIGHT CENTER #312 73 AV. NTE. Y 3A. C.PTE. # 252 COL. ESCALON COL.LAS BRISAS C. AL ZACAMIL SOYAPANGO COL.LAS BRISAS C.AL ZACAMIL SOYAPANGO CALLE FCO.MENENDEZ #38,URB.POMPEYA, BO.STA.ANITA AVENIDA OLIMPICA, CTRO.COM.GIGANTE, L-1 3RA. C. PTE. Y 21 AV. NTE. EDIF. ERICSON CALLE LOS SISIMILES # 95, JDNES. DE MIRAMONTE PJE.BOLAÑOS #136, COL.DOLORES PROL.AV.MASFERRER,CALLE A CTON.EL CARMEN, PJE.9 AV. WASHINGTON #49 C0L. LIBERTAD 1º C.PTE Y 11 AV.NTE COND.HEROES NTE.,EDIF.D, L 3-20, BLVD.LOS HEROES 2A. C. OTE. # S/N 47 AV.NTE Y PJE.LAS TERRAZAS # 104 181 231 DIDEA PINTEN S.A. DE C.V. 232 DIDERI,S.A. DE C.V. 233 DIESEL DE EL SALVADOR S.A DE C.V 234 DINDEX S.A. DE C.V. 235 DINTASA S.A. DE C.V. 236 DIPROEX S.A. DE C.V. 237 DIPSA DE C.V. 238 DISCOTEQUE SOCIEDAD DE MESEROS 239 DISCOVERY 240 DIST.INTERAMERICANA DE ALIMENTOS S.A.DE C.V. 241 DISTRIBUIDORA BON APETIT S.A. DE C.V. 242 DISTRIBUIDORA CUSCATLAN S.A. DE C.V. 243 DISTRIBUIDORA D C 244 DISTRIBUIDORA DE ELECTRICIDAD DEL SUR S.A. DE C.V. 245 DISTRIBUIDORA DE LICORES S.A 246 DISTRIBUIDORA ELECTRICA S.A. DE C.V. 247 DISTRIBUIDORA SHELL DE EL SALVADOR S.A. 248 DIZAC S.A.DE C.V. 249 DIZUCAR S.A. DE C.V. 250 DNC S.A. DE C.V. 251 DROG. COM. SALVADOREÑA 252 DROGUERIA ALFARO 253 DROGUERIA AMERICANA S.A. DE C.V. 254 DROGUERIA CODIFAMA S.A. DE C.V. 255 DROGUERIA COMERCIAL SALVADORENA, S.A. DE C.V. 256 DROGUERIA INTEGRAL 257 DROGUERIA MEDICAL S.A. DE C.V. 258 DROGUERIA NUEVA SAN CARLOS S.A. DE C.V. 259 DROGUERIA VIDES 260 DURMAN ESQUIVEL,S.A. DE C.V. 261 E.D.P. SIGMA COMERCIAL S.A. DE C.V. 262 ECOBICI CESTA 263 ECONOPARTS 264 ECONOPARTS 265 EDIBA S.A. DE C.V. 266 EDP/SIGMA COMERCIAL S.A. DE C.V. 267 EDP/SIGMA COMERCIAL S.A. DE C.V. 268 EL ATLETA S.A. DE C.V. 269 EL BARBARO,S.A.DE C.V. 270 EL CENTRO TEXTIL S.A. DE C.V. 271 EL SALVADOR TELECOM S.A. DE C.V. 272 EL SURCO S.A. DE C.V. 273 ELASTICOS MICHELL S.A. DE C.V. 274 ELEKTRA CENTRAL 275 EMBOTELLADORA LA CASCADA S.A. 276 EMBUTIDOS DE EL SALVADOR 277 EMBUTIDOS DE EL SALVADOR (KREEF) 21 AV.SUR Y 12 C.PTE CALLE GUADALUPE,URBANIZACION LA ESPERANZA KM.4½ CARRETERA A SAN MARCOS FINAL 8A. AV. NTE. Y 25 C. OTE. # 408 KM. 9 ½ C. AL PUERTO LA LIBERTAD KM.4 1/2,CARRETERA A SN.MARCOS,ENT.PQUE.INDUSTRIAL URB. IND. PLAN DE LA LAGUNA C. CIRCUNVALACION PJE. 2ªC.OTE. Y 10ª AV.SUR Nº603 PJE.DORDELLY # 4410 / 85 Y 87 AV.NORTE C. L-1 CIUDAD MERLIOT ANT. CUSCATLAN COMPLEJO IND. SANTA ELENA FINAL C. CHAPARRASTIQUE 4A.AV.NTE. #1-7 BLVD.TUTUNICHAPA #2057 SEXTA DECIMA C. PTE. Y 33 AV. SUR C. CIRCUNVALACION BODEGA 4 PLAN DE LA LAGUNA BLVD. PINSA # 3 ZONA IND. CDAD. MERLIOT ANT. CUSCA KM.11 1/2, CA. AL PUERTO DE LA LIBERTAD C.ANTG.A CUSCATLAN # 15 URB.INDUSTRIAL ANTG. AV.29 DD AGOSTO SUR #834 Y BLVD.VENEZUELA COMPLEJO INDUSTRIAL MERLIOT C.2 24 COMPLEJO IND. PLAN DE LA LAGUNA POL G LOTE # 1 C.GABRIELA MISTRAL Nº137 S.S PLAN DE LA LUGUNA #14 COMPLEJO IND. # 30 C. CHAPARRASTIQUE ANT. CUSCATLA POLIGONO "G" LOTE #1 AV.LA PALMERAS, PJE.LOS PINOS #6,COL.FLORIDA0 PARQUE IND. STA ELENA # 2 C. CHAPARRASTIQUE FTE A POLIG.6, LOTE.1, PLAN DE LA LAGUNA 13 AV.SUR #318/324 CALLE L-3, POL. C # 32, ZONA INDUSTRIAL MERLIOT 81 AV. SUR Y PASEO GRAL. ESCALON # 9-31 KM.4½CARRETERA A SAN MARCOS 6A.Y 10A. C.PTE. Y 27 AV.SUR #1509 6A.10A.C.PTE.Y 27 AV.SUR. #1509 COL.MIRAMONTE, AV.MARACAIBO #624 PASEO GRAL.ESCALON Y 81 AV.SUR #9-31 CALLE NUEVA #1, PJE.5 #3-124, COL.ESCALON BLVD. DEL EJERCITO NAC. KM. 3 ½ SOYAPANGO URB.Y BLVD.STA.ELENA C.CERRO VERDE PONIENTE AV.MORAZAN #130Y 2A.CALLE PTE. PJE.CARBONELL #11, POLIG.A, COL.ROMA CALLE DANIEL HERNANDEZ 3-4 C.ANTGA.A SN.ANTONIO ABAD, COMP.IND.SAN JORGE L-#8 CALLE RUBEN DARIO #626 31 C.OTE.Y 6ªAV.NTE.ESQUINA C. CIRCUNVALACION # 17-A PLAN DE LA LAGUNA PLAN DE LA LAGUNA C.CIRCUNVALACION # 17A 182 278 EN-FER S.A. DE C.V. 279 ENSUEÑO S.A. DE C.V. 280 ENVASES LIQUIDOS DE CENTROAMERICA 281 EQUIPOS DE CONSTRUCCION S.A. DE C.V. 282 ERA S.A DE C.V "LLAFRISA" 283 ERA S.A.DE C.V. 284 ERNESTO MORALES 285 ESCUELA ALEMANA DEUTSCHE SCHULF 286 ESCUELA PANAMERICANA 287 ESPITIA CONSULTORES S.A. DE C.V. 288 ESSO AUTOMARKET DEPORTIVO 289 ESSO AUTOMARKET LOS HEROES 290 ESSO DEPORTIVO 291 ESSO SAN ANTONIO ABAD 292 ETCETERA S.A. DE C.V. 293 ETIQUETAS MIGUEL SAFFI S.A. DE C.V. 294 ETIQUETAS Y CINTAS BORDADAS S.A,. DE C.V. 295 EUREKA S.A DE C.V 296 EUROCLASS 297 FABRICA DE TEJIDOS EL ATLETA S.A. DE C.V. 298 FABRICA LA TOMBOLA 299 FABRICA MOLINERA FAMOSSA 300 FABRICA PRADO 301 FABRICA SABONA 302 FABRICA SENSACIONES S.A. DE C.V. 303 FACALCA HILTEX S.A. DE C.V. 304 FAJUME S.A. 305 FERRETERIA LA ISLA 306 FERROCENTRO S.A. DE C.V. 307 FERROCONSTRUCTORA S.A. DE C.V. 308 FERSA S.A. DE C.V. 309 FESSIC S.A. DE C.V. 310 FIDEICOMISO WALTER ARTURO SOUNDY 311 FINANCIERA CALPIA-ADMON. 312 FINCOMER OFICINA CENTRAL 313 FLAMINGO PLAZA MOTEL 314 FREUND (SUCURSAL) FREYSSINET EL SALV.SISTEMAS DE CONSTRUCCION 315 S.A.CV 316 FRUTALETAS S.A. DE C.V. 317 FRUTIMSA SA. DE C.V. 318 FUNES HARTMAN FERRETERIA. 319 G M T S.A 320 G.V.I. CELLULAR S.A. DE C.V. 321 G+H CONSULTORES S.A. DE C.V. 322 GALAXI BOWLING 323 GAMA AUTO AIRE S.A. DE C.V. 3A.AV.NTE. #1139 BIS KM.14 1/2,CA.TRONAL.DEL NTE.CANTON SN.NICOLAS KM.10 1/2, CA. AL PTO.LA LIBERTAD,CTGO.MUELLE GOYA 23 AV.SUR #480 C. ANTIGUO C. LOTE 22 PLAN DE LA LAGUNA C.CIRCUNVALACION #7 ANTG.CUS.PLAN DE LA LAGUNA AV.MORELOS #88, RPTO.LOS SANTOS 1 C. DEL MEDITERRANEO Y FINAL AV. RIO AMAZONAS JARDI FNL.PJE.UNION CALLE A CANTON EL CARMEN COL.ESCALON CALLE EL PROGRESO RPTO. Y PJE. EL ROSAL #133 ALAMEDA MANUEL E.ARAUJO CA.NUEVA #1 COL.ESCALON BLVD.LOS HEROES C.GABRIELA MISTRAL AL. E. ARAUJO KM. 4 1/2 A STA. TECLA BLVD. CONSTITUCION Y PROLONG. JUAN PABLO II BLVD.DEL HIPODROMO #2-502 PROLONG. C. ARCE # 2218 COL. FLOR BLANCA C. L-2 Y L-3 # 12-A CARRET.PANAMERICANA KM.12 ILOPANGO 73 AV.SUR #339, COL.ESCALON BLVD. DEL EJECITO NAC.KM. 3 1/2 PLAN DE LA LAGUNA LOTE PRIVADO E-4 ANTG.CUSCATLAN URB.PLAN DE LA LAGUAN ANTG.CUSCATLAN BOULEVARD DEL EJERCITO KM. 7 ½ SOYAPANGO COL.LAS ROSAS 41 C. PTE. PJE. 5 # 2216 B° BELEN C. EL PROGRESO COL. ROMA # 3430 COL.MIRAMONTE BO.STA LUCIA C.LAS OSCUR.FIN.PJE.2 CALLE CONCEPCION Nº747 AUTOPISTA SUR 900 M ALA UCA EDIF. FERROCENTRO CALLE L-3 #5 CIUDAD MERLIOT CA.PANAMERICANA KM.11 Y CALLE 14 DE DICIEMBRE URB. STA.ELENA, CALLE CHAPARRASTIQUE #4 AV.HERMANO JULIO GAITAN #1-4 PASEO GRAL.ESCALON #5430, COL.ESCALON ALAM. ROOSEVETL # 1921 KM. 10½ CARRETERA AL PUERTO DE LA LIBERTAD BLVD. VENEZUELA URB.IND STA ELENA C.CHAPARRASTIQUE # 4 ANT CUSCA. BLVD.VENEZUELA #2230 COL.JARD.DE GUADALUPE CALLE DEL PACIFICO #4 FINAL C.CONSTITUCION PASAJE LEO #5,CIUDAD SATELITE CALLE SIEMENS #64,ZONA INDUSTRIAL STA. ELENA 65 AV.SUR Y AV.OLIMPICA, EDIF. GALERIAS L-208 AV.Y URB.LOMA LINDA #14-A, RESID.BUENA VISTA 75 AV.NTE. #51, COL.ESCALON 59 AV.NTE. #150 183 324 GAMA SISTEMA FRIO 325 GAMMA LABORATORIOS S.A.DE C.V. 326 GBM DE EL SALVADOR S.A. DE C.V. 327 GENERAL DE USADOS 328 GLAUCOS S.A.DE C.V. 329 GRAFICOLOR 330 GRAFICOS E IMPRESOS S.A.DE C.V. 331 GRANJA PANAMA 332 GRUPO INDUSTRIAL DIVERSIFICADO 333 GRUPO SAVIC S.A. DE C.V. 334 GUERRERO INGENIEROS ASOCIADOS 335 HARROUCH INGENIEROS,S.A.DE C.V. 336 HERNANDEZ REYES SEGURIDAD S.A. DE C.V. 337 HERSEG S.A. DE C.V. 338 HIBRONSA 339 HIDRAULICA SALVADOREÑA S.A. DE C.V. 340 HOLIDAY INN 341 HOSPITAL BAUTISTA DE EL SALVADOR S.A. DE C.V. 342 HOSPITAL CENTRAL 343 HOSPITAL FLOR BLANCA 344 HOSPITAL METROPOLITANO S.A. DE C.V. 345 HOSPITAL PARA VIDA 346 HOTEL ALAMEDA 347 HOTEL CONFORT AEROPUERTO 348 HOTEL SIESTA 349 IFASAL S.A.DE C.V. 350 IFSAL S.A. DE C.V. 351 IGLESIA ELIM 352 ILBASA DE C.V. FABRICA Y OFICINA CENTRAL 353 IMPERIO S.A. DE C.V. 354 IMPORTACIONES SANTA LUCIA S.A. DE C.V. 355 IMPORTADORA RAMIREZ 356 IMPORTADORES NACIONALES 357 IMPRENTA CRITERIO 358 IMPRESSA REPUESTOS 359 INA DE E.S 360 INCAFE 361 INCO 362 INCOCA,S.A.DE C.V. 363 IND. E INVERSIONES ZAGHINI S.A. DE C.V. 364 IND. FARMACEUTICA SALVADOREÑA "IFASAL" S.A DE C.V 365 INDISA S.A DE C.V 366 INDUSKO,S.A. DE C.V. 367 INDUSOLA S.A.DE C.V. 368 INDUSTRIA DE HILOS DE EL SALVADOR S.A. DE C.V. 369 INDUSTRIA DEL VESTIR 59 AV NORTE #148 AV.L-C POLG 3 #3 JARD.DE LA HDA. CALLE LOMA LINDA #246, COL.SAN BENITO AUTOPISTA SUR FTE. A GEVEZA KM.7½BLVD.DEL EJERCITO CONTIGUO A GASOLINERA SHELL COL. FLORENCIA CALLE LAS LILAS # 117 C.L2 CIUDAD MERLIOT CANTON EL LIMON COL. PANAMA # 1 KM. 10 1/2 CARRET. AL PUERTO DE LA LIBERTAD AV.MARACAIBO Nº703 COL.MIRAMONTE KM. 4 1/2 CARRETERA A COMALAPA,Z.F. SAN MARCOS 29 AVENIDA SUR # 638 COLONIA FLOR BLANCA AV.RIO AMAZONAS Y C.EL EGEO #33,COL.J.DE GUADALUP AV.RIO AMAZONAS Y C.DEL EGEO #33,CO.JARD.GUADALUPE BLVD. DEL EJERCITO KM. 5 1/2 C. ANTIGUA A CLOPER CENTRO COMERCIAL PLAZA BARRIOS, L-57 BLVD. STA. ELENA Y C. EL PITAL OTE. S/N 23 AV.NTE. #128 COL.MEDICA CALLE GUADALUPE Y BLVD.TUTUNICHAPA CALLE EL PROGRESO Nº 2627 23 AV.NTE. #1340, COL.MEDICA C.RUBEN DARIO Y 13 AV.SUR EDIF.AVILA ALAMEDA ROOSEVELT #2305 BLVD. LOS HEROES Y AV. SISIMILES,COL.MIRAMONTE. BLVD. LOS PROCERES A 200 MTRS. AL OTE. DE BASILICA POLG.C LOTE #3 ZONA INDUSTRIAL LA LAGUNA POL. C LOTE # 3 C. ANT. CUSCATLAN ZONA IND. PLAN D C.EL MATAZANO #1 53 AV SUR # 121 1A. C. PTE. # 2024 37 Y 39 AV. NTE. C. CIRCUNVALACION # 10-C POL. A # 10-C PLAN DE LA 27 C.PTE.#536 Y PJE.SALAMANCA,BO.SAN MIGUELITO AV. MELVIN JONES # 5 -8 STA TECLA 1 C.PTE # 3412 URB.SANTA ELENA, CALLE ALEGRIA PTE. #7 BLVD. BAYER CALLE L-1 S/N, CIUDAD MERLIOT BOULEVARD DEL EJERCITO 7 ½ FINAL 1A. AV. NTE. SOYAPANGO C.ANTIGUA MONTSERRAT FNAL.COL.LUZ Y AUTOPISTA SUR 20 C. PTE. # 2419 COL. LUZ URB. PLAN DE LA LAGUNA POL. "C" LOTE 3 C.CIRCUNV.COST.OTE.DE LA COL.SANTA LUCIA AV. BERNAL, # 73,RESIDENCIAL SANTA TERESA. KM.10 CARRET. A LA LIBERTAD FINAL 4A.AV.NTE. CALLE SEVILLA 3527, COL.PANAMERICANA 184 370 INDUSTRIA E HIDRAULICA S.A. DE C.V. 371 INDUSTRIA SALVADORA DEL ALIMENTO S.A. DE C.V. 372 INDUSTRIALPLAST S.A. DE C.V. 373 INDUSTRIAS ALPINA S.A. DE C.V. 374 INDUSTRIAS BIGIT AHUES S.A. DE C.V. 375 INDUSTRIAS CRISTAL DE C.A. S.A. 376 INDUSTRIAS DE HILOS DE EL SALVADOR S.A. 377 INDUSTRIAS DE VESTIR 378 INDUSTRIAS DIVERSAS S.A. DE C.V. 379 INDUSTRIAS E HIDRAULICAS S.A DE C.V 380 INDUSTRIAS GALO S.A. DE C.V. 381 INDUSTRIAS GOLDEN EAGLE. 382 INDUSTRIAS JORMA,S.A.DE C.V. 383 INDUSTRIAS LAURENT 384 INDUSTRIAS LILA S.A DE C.V 385 INDUSTRIAS LOS COMPADRES S.A. DE C.V. 386 INDUSTRIAS MINERVA S.A. DE C.V. 387 INDUSTRIAS MULTIMADERA, S.A DE C.V. 388 INDUSTRIAS ORION S.A. DE C.V. 389 INDUSTRIAS PINCHIN 390 INDUSTRIAS READI S.A. DE C.V. 391 INDUSTRIAS ROMISAL 392 INDUSTRIAS TABONI S.A. DE C.V. 393 INDUSTRIAS TELERIN S.A. DE C.V. 394 INDUSTRIAS TOPAZ 395 INDUSTRIAS UNISOLA DIVISION HELADOS 396 INDUSTRIAS VIKTOR S.A. DE C.V. 397 INDUSTRIAS YAHR 398 INDUTEC S.A. DE C.V. 399 INGENIO AHUACHAPAN S.A. 400 INGRAN S.A DE C.V. 401 INIBANCO OFICINA CENTRAL 402 INLASA S.A. DE C.V. 403 INMETSA S.A. DE C.V. 404 INMOBILIARIA FLOR BLANCA,S.A. DE C.V. 405 INMOBILIARIO EL CARMEN S.A DE C.V 406 INMUEBLES 407 INPELCA 408 INPELCA 409 INSACA S.A DE C.V 410 INSERILES 411 INSTALA S.A. DE C.V. 412 INSTITUTO CERVANTES S.A. 413 INSTITUTO EMILIANI 414 INSTITUTO HNAS SOMASCAS 415 INSTITUTO TECNICO RICALDONE. 416 INTABI S.A. DE C.V. 6A.Y 10A.CALLE PTE. #2323, COL.FLOR BLANCA 31 C. PTE. # 534 COL. LAYCO 6A.CALLE PTE. #922 BLVD.ALTAMIRA Y AUTOPISTA SUR #145 53 AV.SUR #121 24 AV. NTE. Y ALAMEDA JUAN PABLO II FINAL 4A. AVENIDA NORTE C. SEVILLA # 527 COL. PROVIDENCIA CALLE CIRCUNVALCION COSTADO OTE.DE COL.STA.LUCIA 6ª 10ª CALLE PTE Nº 2323 COL. FLOR BLANCA CALLE ROOSEVELT OTE., COL.GUADALUPE AV.LOS CEDROS, · 1018,URB.UNIVERSITARIA. RES.MONTEBELLO,LOTE H FINAL BLVD.CONSTITUCION CALLE LAS OSCURANAS # 640 BARRIO LA VEGA COL.LAS PALMAS C.NORMA # 38 ILOPANGO FINAL C. CHAPARRASTIQUE # 36 COMPLEJO INDUSTRIAL S FINAL AV. IRAZU COL. COSTA RICA 8½ C. GRANJA EL FARO PLANES DE RENDEROS URB.PLAN INDST.LA LAGUNA C.CIRCV.POL.A BOD.1 9A. C. PTE. # 1-5 12 AV.SUR Nº132 Bº CONCEPCION AV.SAN JOSE #77 SAN MARCOS KM.4 Y MEDIO BLVD.DEL EJERCITO PARQUE INDUSTRIAL SAN MARCVOS LOCAL #7 BLVD. VENEZUELA # 2028 FINAL AV. PERALTA Y BOULEVARD DEL EJERCITO NAC.#22 PROLONGACION ALAM.JUAN PABLO II #317 29 AVENIDA NORTE Y 1A. CALLE PONIENTE # 24 CTON. SAN NICOLAS C. A LAS ARENERAS FINCA GALAXIA BLVD.BAYER C.L1 S7N CIUDAD MERLIOT 65 AV SUR # 234 EDIF. MONTRESOIR L-9 A 1ºPLANTA 47 AV SUR Y ALAM. ROOSEVETL # 2511 PLAN DE LA LAGUNA, CALLE CIRCUNVALCION 3A.C.PTE. Y 99 AV.NTE.COND.VISTA DEL SOL APTO.#62 FINAL 67 AV.SUR # 5. CENTRO ROMA, COL. ROMA C. LIBERTAD POL. A Nº 18 -3 JNES DE LA LIBERTAD PROLOG.JUAN PABLO II CTRO.COMERC.II Nº295-A BOULEVARD DEL EJECITO KM. 8½ BLVD. DEL EJERCITO KM. 8½ C.L-3 #7 BOULEVARD PYNSA, ZONA INDUSTRIAL MERLIOT COL. Y PJE. SAN FRANCISCO # 19 MEJICANOS BLVD.ORDEN DE MALTA,ED.DISNA-D'CORA URB.STA.ELENA 2A. AV. NTE. Y 11A. C. OTE. # 642 CARRET. A STA. TECLA LA CEIBA GUADALUPE CEIBA DE GUADALUPE CENTRO URBANO LIBERTAD, AV.AGUILAR # 218. BLVD DEL EJERCITO KM 4½ ATRAS DE RESORTESA 185 417 INTER BRANDS S.A. DE C.V. 418 INTERNATIONAL BRANDO S.A. DE C.V. 419 INTRADESA S.A. 420 INTRADESA S.A. DE C.V. 421 INVE S.A. DE C.V. 422 INVENTER,S.A DE C.V 423 INVERSIONES BOLIVAR S.A. DE C.V. 424 INVERSIONES CHAVEZ 425 INVERSIONES LATINOAMERICANAS S.A. DE C.V. 426 INVERSIONES MONTECARLOS S.A. DE C.V. 427 INVERSIONES R & R, S.A. DE C.V. 428 INVERSIONES SIMCO S.A. DE C.V. 429 INVERSIONES TECNICAS S.A. DE C.V. 430 ISASA DE C.V. 431 ITEM S.A. DE C.V. 432 ITEM S.A. DE C.V. 433 J.D. CONSTRUCTORES, S.A. DE C.V. 434 JACABI, S.A. DE C.V. 435 JAGUAR SPORTIC 436 JESHUA S.A. DE C.V. 437 JORDAN S.A. DE C.V. 438 JUBIS INDUSTRIAL 439 KISMET,S.A DE C.V. 440 L.K. INVERSIONES S.A. DE C.V. 441 LA AUXILIADORA 442 LA CANASTILLA - CASA RATTAN 443 LA CANTERA S.A. DE C.V. 444 LA CASA DEL REPUESTO S.A. DE C.V. 445 LA CASA DEL SOLDADOR S.A. DE C.V. 446 LA CENTRO AMERICANA S.A. 447 LA CONSTANTE S.A. 448 LA CRIBA S.A.DE C.V. 449 LA DESPENSA DE DON JUAN 450 LA FABRIL DE ACEITES S.A DE C.V 451 LA PRENSA GRAFICA (PROYECTO STA.ELENA) 452 LA TAPACHULTECA SUCURSAL 453 LAB.IFASAL S.A. DE C.V. 454 LABORATORIO COFASA, S.A DE C.V. 455 LABORATORIO DB S.A. DE C.V. 456 LABORATORIO FARDEL 457 LABORATORIO Y DROGUERIA REAL 458 LABORATORIOS CAROSA S.A. DE C.V. 459 LABORATORIOS CATOSA 460 LABORATORIOS FARDEL 461 LABORATORIOS FERSON 462 LABORATORIOS LAFAR S.A. DE C.V. 463 LABORATORIOS PAILL C. LIVERPOOL COL. ROMA # 113-A C. SIEMENS AV. LAMATEPEC # 57 URB. SANTA ELENA KM.7 1/2, BLVD.DEL EJERCITO NACIONAL KM. 7 1/2 BLVD. DEL EJERCITO NACIONAL CALLE SEVILLA #527, COL.PROVIDENCIA CIUDAD MERLIOT, CALLE L-2, EDIF.BORGONOVO BLVD. CONST. # 339 COL. ESCALON AV. IZALVO Y PJE. LOS LAGOS # 110 CALLE SIEMENS #43 8A. C. OTE. FINAL AV. SAN MARTIN # 4-7 STA. TECLA FINAL BLVD. CONSTITUCION #73-D, RESID.MONTEBELLO PASEO GANERAL ESCALON #3700 ED.DELCA #31, C.PARALELA NTE.#17,BLVD.LOS PROCERES BLVD.DEL EJERCITO NAC. Y AV.UNION #2-B 29 CALLE PTE. Y PJE.#1 29 C. PTE. Y PJE. 1 # 1612 COL. LAYCO FINAL 15 AVENIDA NORTE N° 1636 COLONIA LAYCO ANT.C.SN.ANTONIO ABAD COMP.IND.SN.JORGE BODEGA #1 75 AV.NTE. Y 9A.CALLE PTE. #3906, COL.ESCALON 45 AV. NTE. # 4 ENTRE ALAM.ROOSEVELT Y PROL.C.ARCE BLVD.Y RESID.SANTA ELENA SUR #12 FINAL COL.LUZ,PJE.GONZALES S/N CENTRO COMERCIAL PLAZA # 301 COL.LOMAS DE ALTAMIRA, CALZADA GUARDABARRANCO #15A 63A AV.SUR Y AV.OLIMPICA, COL.ESCALON COL.LAS PALMAS Y C.LAS MERCEDES BOD.#1 23 AV.SUR #480 25 AV.SUR Y 4A.CALLE PTE. #311 61 AV.NTE. #163, COL.ESCALON ALAMEDA ROOSEVELT #3107 CALLE L-1 BLVD. BAYER EDIF.SALAVERRIA CACERES. 71 AV.NTE. #346, COL.ESCALON C. CHILTIUPAN # 8 COL. JARDINES DE LA LIBERTAD MER BLVD.DEL EJERCITO KM. 5½ BVLD.S.ELENA ÷ C.IZALCO Y C.CONCHAG.URB.STA.ELENA 59 AV SUR Y AV OLIMPICA # 2093 POLIG.C, LOTE. #3,ZONA IND.PLAN DE LAGUNA FINAL AV. MELVIN JOHN Y 12 C.OTE COL.UTILA 2 9A.CALLE PTE. #4412 E/ 85 Y 87 AV.NTE.,COL.ESCALON 1A. AV. NTE. PJE. GLORITA # 412 COL. MILITAR CALLE ESTOCOLMO Y C. NORUEGA APTO 2950 POLIG.G, LOTE #1, PLAN DE LA LAGUNA COMPLEJO IND. PLAN DE LA LAGUNA POL. G LOTE # 1 1A.AV.NTE. PJE. GLAUTA #412, BO.SAN JACINTO 25A V. SUR # 418 S.S. BOULEVARD DEL EJERCITO N KM 3½ 8A. AV. SUR # 470 186 464 LABORATORIOS PHARMASIL S.A.DE C.V. 465 LABORATORIOS PHARMEDIC S.A. DE C.V. 466 LABORATORIOS VIJOSA S.A. DE C.V. 467 LACTEOS SAN JULIAN 468 LANCASCO SALVADOREÑA,S.A.DE C.V. 469 LANCER S.A. DE C.V. 470 LANIER EL SALVADOR S.A DE C.V. 471 LARIOS GAVIDIA S.A. DE C.V. 472 LE MERCHANDISING S.A. DE C.V. 473 LIBRERIA CUSCATLAN 474 LICEO EVANGELICO 475 LICEO STANFORD S.A. DE C.V. 476 LICORES DE CENTRO AMERICA S.A. 477 LISTONES Y FANTASIAS S.A. DE C.V. 478 LIZA S.A. DE C.V. 479 LOGOS INDUSTRIALES S.A. DE C.V. 480 LOPEZ DAVISON S.A. DE C.V. 481 LOPEZ HURTADO S.A. DE C.V. 482 LOS ABETOS,S.A. DE C.V. 483 LUCENT TECHNOLOGIES 484 LUIS TORRES Y CIA. 485 LUX INGENIEROS S.A. DE C.V. 486 M + H INGENIEROS S.A. DE C.V. 487 M.C. MATERIALES DE CONSTRUCCION 488 MACHADOS S.A.DE C.V. 489 MACH'S S.A. DE C.V. 490 MADEFA 491 MADERAS Y METALES 492 MALHER S.A. DE C.V. 493 MALHER S.A.DE C.V. 494 MAN DIESEL DE EL SALVADOR 495 MAQSA, S.A DE C.V. 496 MAQUINSAL S.A. DE C.V. 497 MARMOLIN S.A. DE C.V. 498 MARYSA S.A. DE C.V. 499 MASTER BOOKS S.A. DE C.V. 500 MASTER DE CENTROAMERICA 501 MAYA COUNTRY CLUB S.A DE C.V 502 MC ERICKSON S.A. 503 MC HENRIQUEZ MCCANN ERICKSON CENTROAMERICANA (EL SALVADOR) 504 S.A. 505 MECAFE S.A. DE C.V. 506 MEDI CARD (OFICINA CENTRAL) 507 MEDIATEL S.A. DE C.V. 508 MEDIDENT 509 MEDISAL KM.7½ ANTIGUA CARR.PANAM.CTRO.IND.COM.D`DESARROLLO BOULEVARD DEL EJERCITO KM 4 ½ CALLE L-3 #10, ZONA INDUSTRIAL MERLIOT FINAL 51 AV. SUR # 1734 JARD. DE MONSERRAT CALLE EL PROGRESO # 2633 COLONIA FLOR BLANCA 3A. AV.NTE. #1139 BIS COL.AVILA C.EL PROGRESO # 3214 PROLONG.ALAMEDA JUAN PABLO II,RESID.TAZUMAL #1 8A. C. OTE. Y 1A. AV. SUR # 2-2 STA. TECLA 4A.AV.NTE. #224 AV. CUBA Y CALLE LARA # 919 SAN JACINTO BOULEVARD DEL EJERCITO NACIONAL KM. 6 1/2 10A. AV. SUR # 553 C. L-2 Y L-3 # 12-A ZONA IND. MERLIOT 8A. C. OTE. FINAL AV. SAN MARTIN # 4-7 ZONA FRANCA SAN MARCOS, BODEGA #10 BLVD.DEL EJERCITO NAC. KM.4 1/2 55 AV.NTE., CALLE LAS PALMAS, COL.SAN BENITO BVLD. VENEZUELA #1131 COL.STA. CRISTINA. AV. OLIMPICA # 3742 COL. ESCALON C. ASILO SARA # 143 COL. COSTA RICA C. Y URB. ESCALONIA # 12 Y 13B RESD.SAN LUIS II BLOCK 8-A #4 45 AV.SUR #915 Y BLVD.VENEZUELA RESIDENCIAL PINARES SN.FCO.C.CIRCUNVALACION # 1 RESD.PINARES SAN FCO.#1,LOMAS DE SAN FCO. COL.Y AV.VISTA HERMOSA # 108 C.CENTRAL #1615 COL.CUCUMACAYAN CARRETERA PANAMERICANA KM.11.5 CARRETERA PANAMERICANA KM.11½ PJE.A KM.4 1/2, CARRETERA A SN.MARCOS BOULEVARD DEL EJERCITO NAC. KM. 3½ ALAMEDA JUAN PABLO II PTE. #322 CALLE GERARDO BARRIOS #1045 COL. COSTA RICA AV. IRAZU C. EL LIMON 61 AV. NORTE #186 20 AV.NTE. #2044 KM. 10 CARRETERA A STA TECLA EDIF. TORRE ROBLE METROCENTRO 2A. PTA. 45 AV. SUR # 915 Y BLVD. VENEZUELA PASEO GRAL.ESCALON #5454 KM. 20 1/2, CARR. A QUEZALTEPEQUE FINAL ALAMEDA JUAN PABLO II LOC. 563 EDIF.LA MASCOTA AV.MANUEL E.ARAUJO Y C.LA MASCOTA C. AMBOROS Y ALAM. MANUEL ENRIQUE ARAUJO # 103 CALLE CHAPARRASTIQUE P.INDU.STA.ELENA #2, FTE A 3M 187 510 MEGA TAPACHULTECA 511 MELHER S.A. DE C.V. 512 MEMC S.A. DE C.V. 513 MENA Y MENA INGENIEROS S.A. DE C.V. 514 MERCOSAL S.A 515 MESSER DE EL SALVADOR S.A. DE C.V. 516 MEYFIL, S.A DE C.V. 517 MIR S.A. DE C.V. 518 MISELCA S.A DE C.V 519 MIXTO LISTO PROTERSA S.A. DE C.V. 520 MOBILIA S.A. DE C.V. 521 MOBLEX S.A. DE C. V. 522 MOLINA HNOS. S.A. DE C.V. 523 MONELCA 524 MONTECO S.A. DE C.V. 525 MUDANZAS INTERNACIONALES S.A. DE C.V. 526 MUDANZAS ZUAREZ 527 MUDISA 528 MUDISA 529 MUEBLES METALICOS PRADO S.A. DE C.V. 530 MULTICABLE, S.A DE C.V 531 MULTIMARTS DE CENTRO AMERICA S.A. DE C.V 532 MULTIPLAST S.A. DE C.V. 533 MULTISERVICIOS Y REPRESENTACIONES S.A. 534 MUNGUIA,S.A. 535 MURILLO S.A.DE C.V. 536 NESTLE EL SALVADOR S.A. DE C.V. 537 NUEVA SAN CARLOS S.A. DE C.V. 538 NUEVO LICEO CENTROAMERICANO 539 OFICINA CENTRAL TEXACO CARIBBEAN INC. 540 OK. MAGUEY 541 OLINS S.A DE C.V 542 OMNIMOTORES S.A. DE C.V. 543 OMNISPORT S.A DE C.V. 544 OPTISERVICIOS S.A. DE C.V. 545 OVIDIO J.VIDES S.A. DE C.V. 546 PALMERA S.A. DE C.V. 547 PAN EDUVIGES 548 PAN LOURDES S.A. DE C.V. 549 PAN MIGUELEñO 550 PAN ROSVILL 551 PAN VILL 552 PANADERIA EL ROSARIO S.A. DE C.V. 553 PANADERIA LOS GEMELOS S.A. DE C.V. 554 PANADERIA TECLEÑA S.A. DE C.V. 555 PANASONIC S.A. DE C.V. 556 PANIFICADORA IND. DE CENTROAMERICA S.A.DE C.V. C. A TONACATEPEQUE Y C. A PLAN DEL PINO SOYAPANGO AV.AYUTUXTEPEQUE Nº1 BIS COL.LAS COLINAS URB.UNIVERSITARIA, CALLE LOS PINOS #2224 RESID.SAN ERNESTO SENDA STA.EMILIA BIS #29 C.SIEMENS URB.SANTA ELENA #50 25 AV.NTE. #1080, EDIF.OXGASA BARRIO SAN JACINTO C.LARA # 220 B BLVD.DEL EJERCITO NACIONAL Y AV.UNION #2-B CALLE SIEMENS #65,ZONA INDUSTRIA STA. ELENA KM.9 1/2, CARRETERA AL PUERTO DE LA LIBERTAD CTON. SAN NICOLAS CALLE A LA ARENERA FINCA GALAXIA CTON. SAN NICOLAS C. A LAS ARENERAS FINCA GALAXIA 4A. C. OTE. S/N STA. TECLA PJE. MONELCA # 5-B URB. LA SULTANA 6A. 10A. C. PTE. # 1425 COL. FLOR BLANCA ZONA INDUSTRIAL STA.ELENA, C.CHAPARRASTIQUE #34 CARRET.AL PUERTO DE LA LIBERTAD KM. 10½ BLVD.PINSA LOTE 3 CIUDAD INDUSTRIAL MERLIOT C. CHAPARRASTIQUE # 34 COMPLEJO IND. STA. ELENA AN C. SIEMENS # 41 ZONA IND. STA. ELENA ANT. CUSCATLA BLVD.PYNSA #24, CIUDAD MERLIOT 1A. C. OTE. Y 2A. AV. NTE. EDIF. HISPANOAMERICA KM.10.5, CARRETERA AL PUERTO DE LA LIBERTAD BLVD. BAYER LOCAL # 37-C CALLE EL PROGRESO # 3440. COLONIA ROMA PQUE.INDUSTRIAL DE DESARROLLO CARR.PANAM.KM.7½ KM. 11 C. AL PUERTO LA LIBERTAD PLAN DE LA LAGUNA C. CIRCUNVALACION POL. D L- Y Y 8A. AV. SUR # 328 KM. 10 1/2 CARRET. A STA. TECLA BLVD. LOS PROCERES LOT. LOMAS DE SAN FCO. # 4-A PLAN DE LA LAGUNA LOTE E C. PPAL. CAR. A SANTA TECLA KM. 4 1/2 EDIF. OMNIMOTORES C.RUBEN DARIO Y 11 AV.SUR # 634 PASEO GRAL. ESCALON # 3656 13 AV.SUR Nº318 -324 1ª CALLE ORIENTE #914 63 AV.N.Y ALAM.ROOSEVELT,C.COM.GRANADA LS:1,2 Y 3 C. PRADO # 128 B° CANDELARIA 4ª C. OTE # 740 BARRIO SAN ESTEBAN CALLE GERARDO BARRIOS Nº1311 FINAL AV.ISIDRO MENENDEZ #755 PJE.#2, COL.ZACAMIL #2 FINAL CALLE LA CAMPIÑA #37, COL.LA CAMPIÑA 2A.CALLE OTE. Y 1A.AV.SUR #4 17 AV. NTE. # 713 BLVD. BAYER EDIF. SALAVERRIA CACERES 1A. PLANTA 188 557 PANIFICADORA UNICA 558 PAPELERA Y LIBRERIAS LATINOAMERICA,S.A. DE C.V. 559 PARQUE INDUSTRIAL EL PROGRESO 560 PARQUE JARDIN LOS OLIVOS S.A. DE C.V. 561 PARQUE MEMORIAL LAS COLINAS 562 PEDRERA PROTERSA S.A. DE C.V. 563 PHARMEDIC 564 PIASSA DE C.V. 565 PIMCI,S.A. DE C.V. 566 PINSAL S.A. DE C.V. 567 PINTUSAL S.A. DE C.V. 568 PIP'S CARYMAR S.A. DE C.V. 569 PISOS COCINAS Y BAÑOS 570 PIZZA HUT 571 PLANTA (FABRICA DE PRADO S.A. # 1) 572 PLANTA DE TORREFACCION DE CAFE S.A. 573 PLANTEL CENTRAL DE SIMAN S.A. 574 PLASTICOS EL PANDA S.A. DE C.V. 575 PLASTICOS INDUSTRIALES S.A. DE C.V. 576 PLATA VISA 577 PODER S.A. DE C.V. 578 POLIFIL S.A. DE C.V. 579 POLINIEROS DE EL SALVADOR S.A DE C.V 580 POLLO CAMPERO DE EL SALVADOR S.A. DE C.V. 581 POLYFIL, S.A. DE C.V. 582 POLYFIL,S.A.DE C.V. 583 POP CREATIVO S.A. DE C.V. (POPCRE) 584 PRADO S.A. DE C.V. PRIMER BANCO DE LOS TRABAJADORES SOC.COOP.R.L. 585 C.V 586 PRINEL S.A. DE C.V. 587 PRISMA CONSTRUCTORES S.A. DE C.V. 588 PROAGRO 589 PROASAL OFICINA CENTRAL 590 PRODASA S.A. DE C.V. 591 PRODAVI S.A. DE C.V. 592 PRODEINSA DE C.V 593 PRODUCTOS ALIMENTICIOS S.A DE C.V 594 PRODUCTOS ALIMENTICIOS SI-HAN 595 PRODUCTOS AVON S.A. 596 PRODUCTOS MOLDEADOS DE FIBERGLAS S.A 597 PRODUCTOS MOLDEADOS S.A. 598 PRODUCTOS QUICK FRIST 599 PROFESIONALES EN SEGURIDAD S.A. DE C.V. 600 PROMAX S.A. DE C.V. 601 PROMEFAR S.A. DE C.V. 602 PROMERICA 603 PROVAL,S.A. DE C.V. 11 AV.NTE.Y PJE. LAYCO COL.LAYCO 3A.CALLE PONIENTE Y 9A. AVENIDA NORTE # 532 KM.11 CARRETERA A PTO.LA LIBERTA 63 AV.SUR Y AV.OLIMPICA, EDIF.LA AUXILIADORA CTRO.COMERCIAL SOYAPANGO PLANTA BAJA L-8 KM. 9 ½ C. AL PUERTO DE LA LIBERTAD BLVD.EJERCITO NACIONAL KM.4 Y MEDIO AV.SAN LORENZO #363, COL.EL REFUGIO CALLE FRANCISCO MENENDEZ # 1115 Y 22 C.PTE. BLVD.DEL EJERC.NAC.KM.7.1/2, C. A CTON.EL MATAZANO 12 C.PTE.#2526, VILLA GALICIA, COL.FLOR BLANCA 2A.C.PTE. Y 16 AV.SUR C. CIRCUNVALACION # 12 4ºAV.SUR CENTRO COMERCIAL SOYAPANGO #44 AL 48 BLVD. DEL EJERCITO KM. 7 1/2 SOYAPANGO BLVD.DEL EJERCITO KM.7 C.AL VOLCAN C. EL PEDREGAL POL. A-1 # 16 COL. JARDINES DE LA H 18 AVENIDA NORTE Y 1A. CALLE PONIENTE 43 AV.NTE. Y ALAMEDA ROOSEVELT EDIF.GRANE 3ER.NIV. 67 AV.SUR #161, COL.ESCALON BLVD. PINSA C. L-2 # 13 CDAD. MERLIOT CALLE CIRCUNVALACION COL. SANTA LUCIA 2 CALLE OTE. # 2-3 STA TECLA KM 10.5 CARRETERA AL PTO.LA LIBERTAD CONT.FLAM.PL. BLVD.PYNSA CALLE L-2 BLOCK "C" #13 CDAD.MERLIOT BLVD. PINZA C. L-2 # 27 CDAD. MERLIOT ANT. CUSCATL C. EL BOQUERON Y BLVD. SUR URB. STA. ELENA # 5 ANT 25 AV.NTE.Y 23 C.PTE. AV.SAN LORENZO #363, COL. EL REFUGIO COL.Y AV.STA.VICTORIA #24 FINAL CALLE PRINCIPAL, COL. LA CHACRA 4ºCALLE PTE # 2520 COL. FLOR BLANCA AV.BLOCK 1, #10, COL.SAN LUIS BOULEVARD CONSTITUCION #21 C. CIRCUNVALACION # 9 PLAN DE LA LAGUNA 12 AV. SUR C. .-3 # 17 COMPLEJO INDUSTRIAL MERLIOT ANT. CUSCA BLVD. STA. ELENA Y C. CONCHAGUA ANT. CUSCATLAN KM. 10½ CARRETERA AL PUERTO DE LA LIBERTAD KM.10 CARRET.A LA LIBERTAD AV. MORELOS # 88 LOS SANTOS I 479 AV.SUR APTO #1 COL.ESCALON PROLONG. JUAN PABLO II, 50 MTS. AL OCC.DE GAS. C. CIRCUNVALACION # 2 POL. D LOTE 1 Y 2 ANT. CUSCA 61 AV. NTE. #151 COL. ESCALON BLVD. CONSTITUCION Y 1A. CALLE PONIENTE # 169 189 604 PROYECTOS DE URBANIZACION, S.A. DE C.V. 605 PROYECTOS DINAMICOS S.A. 606 PUBLICIDAD COMERCIAL,S.A.DE C.V. 607 PUBLICIDAD R C M-DDB S.A. DE C.V. 608 PUBLICOM S.A. DE C.V. 609 PUENTYSA S.A. DE C.V. 610 PUPUSERIA PATY 611 PUPUSERIA,CAFETERIA Y SORBETERIA CARIMAR 612 QUIMICA HOECHEST DE EL SALVADOR S.A. 613 QUIMICAS ALIADAS S.A DE C.V 614 QUIMICOS HOECHST DE EL SALVADOR S.A 615 RADIO CADENA YSKL S.A. 616 RADIO PARTS S.A DE C.V. 617 RASA 618 RAYO-VAC 619 REDI S.A. DE C.V. 620 REFINERIA PETROLERA ACAJUTLA S.A. DE C.V. 621 RENA WARE 622 RENCAUCHADORA LLAFRISA S.A. DE C.V. 623 REPRESENTACIONES DIVERSAS S.A. DE C.V. 624 REPUESTOS Y EQUIPOS INDUSTRIALES 625 REQUIPSA DE C.V. 626 REST. Y CAFETERIA 627 RESTAURANTE PUEBLO VIEJO 628 RICARFELLI S.A. DE C.V. 629 RIDI S.A. DE C.V. 630 RIVERA HOOVER ASOCIADOS S.A DE C.V. 631 RIZZANI DE ECCHER SPA 632 ROBERTONY 633 ROECA S.A. DE C.V. 634 RUA S.A.DE C.V. 635 S.S.A.S.E. 636 SABESA DE C.V. 637 SABRITAS Y CIA, S. EN C. DE C.V. 638 SAGRISA,S.A. DE C.V. 639 SALNET 640 SALVADOREÑA DE LA CONSTRUCCION S.A. DE C.V. 641 SALVADOREÑA DE TELEVISION 642 SANCHEZ BATRES CONSTRUCTORES 643 SANTAY S.A. DE C.V. 644 SCETT DE R.L. 101 -A-B 645 SECDI,S.A.DE C.V. CALLE GERARDO BARRIOS #1722 23 CALLE PTE. #1216, PJE.3, COL.LAYCO BLVD.DEL HIPODROMO # 442 COL.SAN BENITO 77 AV. NTE. # 626 ALAM.MANUEL E. ARAUJO Y C.NVA.#1,EDIF.PALIC 4°NL. CALLE CIRCUNVALACION EDIF.COPRESA 3A. PLANTA KM 10.5 COL.LOMA LARGA #1, LOS PLANES DE RENDEROS 16 AV. SUR Y 2 C. PTE. #S/N KM.9 CARRET. AL PTO. DE LA LIBERTA #S/N PLAN DE LA LAGUNA PJE. E # 2 KM.10½ CARRETERA AL PUERTO DE LA LIBERTAD 65 AV.SUR Y AV.OLIMPICA #192 13 AV.SUR # 321 4 C. Y 6C.PTE KM. 9 1/2, CARRETERA AL PUERTO DE LA LIBERTAD BLVD. MERLIOT POL. "D" EDIF. RAY-O-VAC CDAD. MERLI BLVD. LOS PROCERES Y PJE. LA CEIBA # 10 KM. 9 ½ C. AL PUERTO LA LIBERTAD AV.SIERRA NEVADA EDIF.XAYA 2ªPLANTA L-1 C. ANT. CUSCATLAN LOTE 21 POL-B PLAN DE LA LAGUNA BLVD. LOS PROCERES PJE. LA CEIBA #10 U.SULTANA III 2 C. PTE. Y 8 AV. SUR 2A. C. OTE. Y 17 AV. SUR CARRETERA A STA. CTRO. COMERCIAL EL TREBOL COND.METROSUR 2° NIVEL COL.STA.ALEGRIA, CALLE L-A BLK.C-1 #13 COMPLEJO INDUSTRIAL SAN JORGE PJE 2 ENTRE 65 Y 67 AV SUR # 6 COL.MAQUILISHUAT , CALLE JACARANDA # 26 33 C.OTE.Nº326 COL.LA RABIDA RESID.CAMPO VERDE, SENDA 13 #19, CDAD.MERLIOT BOULEVARD DEL EJERCITO AL OTE.DEL RASTRO 23 AV.NTE.Nº1214 EDIF.ZAVALETA URB.INDUSTRIAL C.ANTG.CUSCATLAN# 20 10 AV.SUR Y CALLE CISNEROS # 806. BARRIO LA VEGA BOULEVARD DEL EJERCITO NACIONAL,KM. 3 PASEO GRAL.ESCALON #6000, COL.ESCALON BLVD.MERLIOT, JARD.DE LA LIBERTAD, POLIG.C #4 URB.Y BLVD. STA. ELENA SUR #12 VILLAS DE SN FCO III,AV.LAS AMAPOLAS PJE.C # 45 C.COLIMA Nº810 COL.MIRAMONTE 12 AV. NTE BARRIO EL CALVARIO 1-1-A SANTA TECLA 59 AV.NTE.# 326 COL. ESCALON 646 SEGURIDAD PRIVADO SALVADOREÑA S.A. DE C.V. 647 SEGUROS UNIVERSALES S.A. DE C.V. 648 SERPRISA 649 SERTERSA DE C.V. 650 SERTESA DE C.V URB.LOS NOGALES SENDA 5 #4 C.SN.MARCOS PASEO GRAL.ESCALON Y 81 AV.NTE. #205 5A. C. PTE. # 3712 COL. ESCALON 1A. C. PTE. # 4531 COL. ESCALON KM. 7 CARRET. PANAMIRICANA ANTIGUO CUSCATLAN 190 651 SERVACAR S.A. DE C.V. 652 SERVI CETECO 653 SERVI ENTREGA 654 SERVIC SEGURITY MIRAGE S.A. DE C.V. 655 SERVICAR S.A. DE C.V. 656 SERVICIO AGRICOLA SALVADOREÑO 657 SERVICIO TECNICO AGRICOLA INDUSTRIAL 658 SERVICIOS DE ALIMENTOS S.A. DE C.V. 659 SERVICIOS SANTA ELENA S.A. DE C.V. 660 SERVIPERSONAL S.A. DE C.V. 661 SERVYCONSA S.A. DE C.V. 662 SESPRO S.A. DE C.V. 663 SETERS S.A. DE C.V. 664 SHELL DE EL SALVADOR S.A. 665 SI HAM 666 SIGET 667 SIGMA 668 SIPROSE S.A. DE C.V. 669 SISTEMA DE SEGURIDAD,RAPIDA,OPORT.Y PROF.S.A./C.V. 670 SKY BEEP 671 SOC.COOP. ACOSERVI DE R.L. DE C.V. 672 SOC.COOP.PROYDESA DE R.L. 673 SOC.COOPE.ACOSERVI DE R.L. 674 SOCIEDAD DE SERVICIOS 675 SODIMAR S.A DE C.V. 676 SOLAIRE S.A. DE C.V. 677 SORBETES VIP'S 678 SORTO S.A 679 STYLES S.A. DE C.V. 680 SUELOS Y MATERIALES S.A. DE C.V. 681 SUMINISTRO DE POLLO CAMPERO 682 SUNCHEMICAL DE CENTROAMERICA S.A. DE C.V 683 SUPAN S.A. DE C.V. 684 SUPER MERCADO EL SOL 685 SUPER MERCADO EUROPA S.A. DE C.V. 686 SUPER REPUESTOS CONSTITUCION (MATRIZ) 687 SUPER SELECTOS 688 SURISSA 689 T N T DE EL SALVAVADOR (SUCURSAL) 690 TACRE S.A. DE C.V. (FINCOMER) 691 TALLER DALEX 692 TALLER DIDEA S.A. DE C.V. 693 TALLER MOTOR SERVICE 694 TALLER Y OFICINAS R.7 695 TAPACHULTECA 696 TARJETA DINERO DEL BCO. SALVADOREÑO 697 TDA NUEVA TAPACHULTECA KM.9 1/2. CARRETERA AL PUERTO DE LA LIBERTAD COMPLEJO IND.SAN JORGE B # 1 COL. SAN MATEO CALLE BRASILIA #10 E JARDINES DE CUSCATLAN. CALLE L-6 #73 KM. 9 ½ C. A LA LIBERTAD BLVD.DEL EJERCITO NAC. KM.3 1/2 FTE. A MOLSA KM. 7 CARRET.INTEROAMERICANA ANTG.CUSCATLAN KM. 10 1/4 CARRET. AL PTO. DE LA LIBERTAD KM.9 1/2, CARRETERA AL PUERTO DE LA LIBERTAD FINAL C. LA MASCOTA # 5200 EDFI. LOTISA 4A. PTA. COL.LA SULTANA, CALLE LOS LIRIOS #5-A RESID.BOSQUES DE LA PAZ, CALLE PPAL.POL.42 #1 77 AV.NTE. Y 7A.CALLE PTE. #422, COL.ESCALON KM. 11 ½ C. AL PUERTO LA LIBERTAD CALLE L-3 BOULEVARD SI-HAM, POLIG.17 CENTRO FINANCIERO SISA KM. 10 ½ CARRET. A STA. TEC AV. EL BOQUERON Y C. CHILTIUPAN POL. N JARDINES DE 1A. C. PTE. # 3844 COL. ESCALON FNAL.PASEO GRAL.ESCALON POL.147-1-B, COL.ESCALON BLVD. VENEZUELA # 3408 COL. ROMA DIAGONAL SAN CARLOS #822 Y 27 CALLE PTE.,COL.LAYCO COL.ESCALON CALLE CUSCATLAN #19 DIAGONAL SAN CARLOS # 822, COL. LAYCO C. LOS LIRIOS # 5-A COL. LA SULTANA 12 CALLE PTE Y 49 AV SUR EDIF. VILLA GALICIA KM. 2 1/2 CALLE A TONACATEPEQUE, CANTON LIMON URB,INDUSTRIAL PLAN LA LAGUNA BLOCK B # 14 ANTG. FINAL 4°C PTE #23 -B PASEO G. ESCALON # 4910 FINAL SENDA B, EDIF. SM #85, JARDINES DE MIRAMONTE PARQ. IND. DE DESAROLLO PJE 1 LOTE 4 SOYAP. 10 AV. SUR URB. IND. SAN PABLO # S/N QUINTA IBEBE #35, C.MOTOCROSS, COL.ZANZIBAR,Z-9 1A. C. OTE. # 215 PLAZA ALCALA AV.BERNAL L.113 Y 114 BLVD.CONSTITUCION #504 METROCENTRO 6A. ETAPA LOCAL # KM.3 Y MEDIO BLVD.DEL EJERCITO COL. Y PJE. SN BENITO # 2 # 18 PASEO GRAL. ESACALON Y 77 AV. NTE. 75 AV.NTE., PJE.CAROLINA,CTGO.A RESID.CLAUDIA 4ªC.PTE. Y 21 AV.SUR 6ªC.PTE.Nº1315 ENTRE 23 Y 25 AV.SUR KM.8½ CARR. PANAMERICANA S/N 1A. C. OTE. Y 6A. AV. NTE. ALAMEDA ROOSEVELT Y 47 AV. NTE. CALLE RUBEN DARIO 411 191 698 TECHNO SCREEN,S.A.DE C.V. 699 TECNICA UNIVERSAL SALVADOREÑA S.A.DE C.V. 700 TECNO PLASTICOS S.A. DE C.V. 701 TECUNSAL S.A. DE C.V. 702 TEJIDOS Y CONFECCIONES DE EL SALVADOR 703 TELAS SINTETICAS DE CENTROAMERICA S.A DE C.V 704 TELEFERICO SAN JACINTO 705 TELEPRENSA DE EL SALVADOR S.A. DE C.V. 706 TERMINAL DE BUSES NOR-ORIENTE S.A. DE C.V. 707 TERMOFORMADOS MODERNOS S.A. DE C.V. 708 TERRACERIAS CENTRO AMERICANAS S.A. DE C.V. 709 TERRACERIAS Y PAVIMENTACIONES S.A. DE C.V. 710 TERRASINA S.A. DE C.V. 711 TERRA-TRACTO S.A. DE C.V. 712 TEXACO CARIBEAN INC. 713 TEXSAL S.A DE C.V 714 TEXTILES FACELA S.A. DE C.V. 715 TEYCO S.A. DE C.V. 716 THERMOS REMOBIBLES S.A. DE C.V. 717 TIENDA MORENA 718 TIENDA NVA.TAPACHULTECA 719 TIO POLLO S.A.DE C.V. 720 TIPOGRAFIA LASER 721 TIPOGRAFIA OFFSET LASER S.A. DE C.V. 722 TITULOS BIENES Y VALORES S.A DE C.V 723 TOROGOZ (OFICINA CENTRAL) FINAL CALLE CUSCATLAN OTE. # 10 BLVD. CONSTITUCION Y CALLE SAN FCO. #541 BOULEVARD DEL EJERCITO KM 3½ BLVD.CONSTITUCION Y CALLE SAN FCO. #541 C.SIEMENS URB STA ELENA # 65 CALLE L-2 BOUVARD PYNSA, ZONA INDUSTRIAL MERLIOT FINAL AV. GUIJA CIUDAD CREDISA COL. ESCALON PJE. ISTMANIA # 262 FINAL AVENIDA PERALTA KM. 10 ½ CALLE A LA LIBERTAD C.A CUSCATANCINGO PJE.LAS MARGARITAS 5ªSAN JOSE CALLE TALAMANCA #12, COL.MIRAMONTE C. CIRCUNVALACION LOTE 8 Y 9 COL.SAN FCO.,AV.LOS ABETOS PJE.#2 CASA #21 KM. 10 ½ C. PANAMERICANA O A STA. TECLA FINAL C. ANT. CUSCATLAN PLAN DE LA LAGUNA KM.11, CA. PANAMERICANA BLVD.ALTAMIRA Y AUTOPISTA SUR #145 POL. C LOTE # 2 C. ANT. CUSCATLAN ZONA IND. PLAN D 8A.C.PTE. #240 C.RUBEN DARIO Y 5º AV.SUR #218 4A.C.PTE.Y 7A.AV.SUR EDIF.MD AUTOPISTA SUR Y AV. M. JOSE ARCE S/N C.CIRC.,BGA.3 Y 4 POL.D URB.IND.PLAN DE LA LAGUNA ZONA FRANCA SAN MARCOS OFICINA ADMINISTRATIVA C. SAN ANTONIO ABAD # 2105 724 TORRE DEL SOL S.A. DE C.V. 725 TRANS EXPRESS 726 TRANS SEBASTIAN S.A. DE C.V. 727 TRANS SERVIS S.A. DE C.V. 728 TRANSAR S.A. DE C.V. 729 TRANSPORTE LIVIANO ARTIGA 730 TRANSPORTES 2 R 731 TRANSPORTES DEL ISTMO S.A. DE C.V. 732 TRANSPORTES LOPEZ Y LOPEZ 733 TRANSPORTES MACHADO 734 TRANSPORTES VILLATORO 735 TROPIGAS DE EL SALVADOR 736 TUBOS Y PERFILES PLASTICOS S.A DE C.V 737 TURISTICA DEL PACIFICO S.A. DE C.V. 738 TURISTICA DEL PACIFICO S.A. DE C.V. BLVD. EL HIPODROMO ED. GRAN PLAZA 1A. PTA. L-105 AV.LAS MERCEDES KM 5.5 C.ANTG.STA.TECLA, S.S. EDIF. CORPORIN PLAN IND. LA LAGUNA L- # 21 KM.9 1/2, CARRETERA AL PUERTO DE LA LIBERTAD ZONA IND. PLAN DE LA LAGUNA PJE. A POL. D LOTE # 6 3A. C.PTE. N° 3654, COLONIA ESCALON 5 AV. NORTE COL. ALFARO PJE B # 19 MEJICANOS CALLE A COL.MONTECARMELO CTGO. A CORLASA URB.IND.PLAN DE LA LAGUNA PJE.A POL.D COL.MADRE TIERRA, C.PPAL. POL.F #7 KM.15 1/2, A OTE. C.PPAL A COL.MONTE CARMELO CONTIG.A CORLASA BOULEVARD PYNSA C.L-2,CASA #21 2A.AV.NTE. Y 15 C.PTE. #902 25 AV.NTE. Y BLVD.TUTUNICHAPA LOTE #22 ZONA FRANCA EL PROGRESO KM 11 ½ CARRET. AL PUERTO ZONA IND.PLAN DE LA LAGUNA, C.CIRCUNVALACION KM. 5 1/2 CARRETERA A SOYAPANGO 63A.AV.NTE Y ALAMEDA ROOSEVELT PLAZA COM.L. N°1 27 C. OTE. # 134 S.S. C.ARCE Y 23 AV SUR 739 TWO J. INDUSTRIAS S.A. DE C.V. 740 UNIFORMES MODERNOS S.A. DE C.V. 741 UNISOLA S.A. DE C.V. 742 UNITEL, S.A. DE C.V. 743 UNIVERSIDAD CRISTIANA 744 UNIVERSIDAD NUEVA SAN SALVADOR 192 745 URBANIZADORA DE EL SALVADOR S.A. DE C.V. 746 VAN ROUSS'E S.A. DE C.V. 747 VAPE S.A. DE C.V. 748 VICKZA S.A. DE C.V. 749 VICTOR INGENIEROS S.A. DE C.V. 750 VIDAL'S HAIR DESING 751 VIDUC CENTRO 752 VIFRIO 753 VILLEDA HERMANOS S.A. 754 VILLEDA HERMANOS S.A. DE C.V. 755 VINTAZA 756 VITALUM S.A. DE C.V. 757 VYPRO S.A. DE C.V. 758 WESTERN UNION 759 XEROX DE EL SALVADOR S.A. DE C.V. 760 ZAMI S.A. DE C.V. 761 ZARE CONSTRUCTORA 762 ZARE S.A. DE C.V. AV.MASFERRER NTE.,BLK.M #15, CUMBRES DE LA ESCALON C.LOS ABETOS PJE.1 CASA #38, COL.SAN FRANCISCO 77 AV. NTE. # 217 COL. ESCALON PARQUE IND. SANTA ELENA FINAL C. CHAPARRASTIQUE # URB. BUENOS AIRES # 1 C. LOS CEDROS # 105 BLVD. DE LOS HEROES PJE. SAN CARLOS 157 2.C. PTE # 217 BLVD. VENEZUELA # 3066 PJE.BOLAÑOS #136, COL.DOLORES PJE. BOLAÑOS #136, COL.DOLORES C. NVA. A SAN ANTONIO ABAD PJE. BALDIVIESO # 9 11 C. OTE. # 135 ED. DELCA C. PARALELA NTE. #17 AV. LOS PROCERES ALAMEDA ROOSEVELT N° 2419 ENTRE 45 Y 47 AV. SUR URB.SANTA ELENA, FINAL BLVD.SANTA ELENA C. SAN ANTONIO ABAD Y PJE. VALDIVIESO # 5 FINAL C. CUISNAHUAT LOTE # 14-B COL. JARDINES DE M FINAL CALLE CUISNAHUAT, LOTE. 14/ JARD.DE MERLIOT 193 GLOSARIO Binario Condición de validez de dos posibilidades. - Código binario, usado generalmente los 1 y 0. Check List Lista de control. Chip Pequeña sección de material semiconductor, generalmente silicio, que forma el sustrato sobre el que se fabrican uno o varios circuitos integrados. Cobol Lenguaje de programación (Common Business-oriented Lenguage) para aplicaciones de negocios grandes. Dispositivo de Almacenamiento Como unidad de disco, memoria externa, de acceso directo, discos fijos movibles. Hardware Parte de computador físico-máquina, es lo contrario al software. Log Registro Logon Registro de entradas al sistema. Microprocesador Circuito integrado, comunmente llamado chip, con integración a gran escala; es la unidad central del proceso de una microcomputadora. Es el chip mas importante de una computadora. Su velocidad de mide en MHz. On Line Control en linea, en producción, control continuado, sin pérdida del control. 194 Passwords Contraseña Path Corresponde a la ruta de directorios y subdirectorios para llegar a un archivo determinado. Riesgo de Control Es el riesgo de que una representación errónea que pudiera ocurrir en un saldo o clase de transacciones y que pudiera ser importante individualmente o cuando se agrega con otras representaciones erróneas en otros saldos o clases, no sea prevenido o detectado y corregido oportunamente por los sistemas de contabilidad y control interno. Riesgo Inherente Se refiere a que el saldo de una cuenta o clase de transacciones sea suceptible a una representación errónea que pudiera ser importante, individualmente o cuando se agrega con representaciones erróneas en otros saldos o clases, asumiendo que no hubo controles internos relacionados. Ruteo Sistema constituido por hardware y software para la transmisión de datos en Internet. El emisor y el receptor deben utilizar el mismo protocolo. Software Generalmente el proveedor del equipo proporciona los programas documentados que optimiza el Sistema Operativo. Lo contrario al Hardware. Computador Procesador de datos en forma lógica, aritmética, sin la intervención humana durante el proceso interno. 195 Paquetes de Software Un conjunto de sub-programas, rutinas diversas de aplicaciones de un mismo sistema. Puede ser realizado en diferentes tipos de lenguajes de programación con características de tendencia a la standarización. Puede detallarse por proveedores de equipos y/o usuarios indistintamente. Ejemplo: Paquete de programas para el Sistema de Contabilidad. Software de Aplicación Para satisfacer las aplicaciones del usuario, aplicaciones comunes del sistema. Software de uso general Programas de uso muy frecuente, de modelo general, a efecto de ser rápidamente modificados con solo cambiar ciertos parámetros necesarios (nombres, longitudes, unidades, etc). Red Combina hardware y software para conectar computadoras (2 ó mas) para intercambio rápido de información. Rutina Secuencia de instrucciones que realiza una tarea específica dentro de un programa. Software Operativo Conjunto de programas que supervisan la ejecución de otros. Administran los recursos lógicos y físicos. Seguridad Prevención de accesos al uso del computador: datos, programas; sin autorización - Número o código de seguridad. Base de datos Lugar de almacenamiento de los datos a efecto de accesarlos en su momento. 196 Auditoría Interna Es una actividad de evaluación establecida dentro de una entidad como un servicio a la entidad. Sun funciones incluyen, entre otras cosas, examinar, evaluar y monitorear la adecuacicón y efectividad de los sistemas de control contables e internos. Fraude Se refiere a un acto intencional por uno o más individuos dentro de la administración, empleados, o terceras partes, el cual da como resultado un representación errónea de los estados financieros. Sistema de Información por Computadora (SIC) Cuando está involucrada una computadora de cualquier tipo o tamaño en el procesamiento por parte de la entidad de la información financiera de importancia para el auditor, ya sea que la computadora sea operada por la entidad o por terceras personas. 197 BIBLIOGRAFÍA LIBROS Auditoría en informática, 2° Edición, José Antonio Echenique García, Editorial Mc Graw Hill. Control Interno y Fraudes, 1° Edición, Rodrigo Estupiñán Gaitán, Ecoe Ediciones. Normas Internacionales de Auditoría, Instituto Mexicano de Contadores Públicos. Informática Contable y Auditoría de Sistemas, Juan A. Ferreyros Moron, La Senda. Enciclopedia de la Auditoría, Océano Grupo Editorial, SA. Metodología de la Investigación, 2° Edición, Roberto Hernández Sampieri, Mc Graw Hill. Diccionario de Sinónimos y Antónimos, Océano Conciso, Océano Grupo Editorial, SA. Estándar de Seguridad BS7779, British Standards Institute Code of Practice for Information Security Management. 198 INTERNET http://www.monografias.com/trabajos15/auditoriacomunicaciones/auditoria-comunicaciones.shtml http://www.monografias.com/trabajos11/siste/siste.shtml http://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml http://www.ilustrados.com/publicaciones/EpVAlyppApUVDpnzgd.php http://www.universidadabierta.edu.mx/Biblio/Q/Quintanar%20LilianaCuentas.htm 199