ADMINISTRACIÓN Y CONTROL - EVALUACIÓN DE CONTROLES Y SEGURIDADES DEL SISTEMA DE CARTERA DE LAS EMPRESAS

Autor: ALICE NARANJO SANCHEZ

Auditoría y control interno

09-2002

Descargar Original

Evaluación de controles y seguridades del Sistema de Cartera de las empresas
CAPITULO I
Información Preliminar
Capítulo 1
Información Preliminar
1.1 Introducción
El presente trabajo tiene como una de sus metas primordiales el orientar a las generaciones futuras, sobre los aspectos importantes que se deben considerar en la evaluación de controles y seguridades del Sistema de Cartera de las empresas.
El lenguaje sencillo y directo que se ha utilizado en su elaboración facilita su comprensión y permitirá una mayor visión, aplicación e innovación del mismo, aspirando a que éste constituya un material útil de consulta a los estudiantes y egresados.
Así mismo podemos resaltar la contribución del trabajo como material de apoyo a los empresarios, puesto que esta evaluación de alcance global en el entorno de los Sistemas de Cartera de las empresas, plantea los lineamientos básicos de los principales controles y seguridades que deben implantarse en una de las principales cuentas del Activo Corriente que constituye el efectivo a corto plazo de las empresas.
En el campo financiero destaca la importancia de definir acertadas políticas crediticias y de cobro ligadas de forma inseparable a los objetivos de la organización, planteados en su estrategia empresarial, su misión y visión de la empresa.
En el campo de la Auditoría y Control resalta la importancia de los controles y seguridades de los sistemas de procesamiento de información actuales.
En el campo Administrativo bosqueja la importancia de una adecuada definición de la estructura organizacional de la empresa que permita definir objetivamente las funciones de cada uno de los integrantes de una organización y delinear las responsabilidades acorde a su cargo.
Estas aportaciones resaltan la importancia de los Sistemas de Cartera en todas las áreas constitutivas de una organización.
El aporte de las Cuentas por Cobrar en el grupo del Activo Corriente tiene su incidencia en el Capital de trabajo de las empresas. De allí que la cartera, representa en muchas actividades, el principal ítem de importancia financiera en los activos corrientes de una empresa.
Las ventas a crédito son ya una imperiosa necesidad si queremos captar créditos, siempre que implantemos políticas crediticias, tendremos que mantener un estricto control sobre el área de crédito y la administración de las Cuentas por Cobrar, no sólo porque nos puede representar graves pérdidas, sino que es la principal y más inmediata fuente de fondos.
Al abordar el punto inicial primordial del presente trabajo se debe enfatizar y relievar la importancia y la significación de la Administración de las Cuentas por Cobrar, por la trascendencia en los controles y seguridades que ameritan ser implementados.
Los principales factores que se deben considerar en la Administración de las Cuentas por Cobrar son:

Volumen de ventas a crédito
Carácter estacional de las ventas
Reglas para los límites del crédito
Condiciones de las ventas y Políticas de Crédito de las empresas individuales
Política de Cobro
Si no existe una adecuada consideración de los factores antes descritos y si nuestros controles y seguridades fueran errados, nuestros planes financieros se verán seriamente afectados.
Entonces, se hace necesario revisar, evaluar y actualizar aspectos relacionados tendientes a un control efectivo de las cobranzas.
Como primer punto mencionaremos la tendencia del Departamento de Ventas a su liberalidad en la concesión de créditos, plazos y seguridades.
Si bien una política rígida y estricta de otorgar créditos, da seguridad del retorno puede muy bien, por otra parte, hacer perder oportunidades que signifiquen la pérdida o ausencia de clientes permanentes e importantes.
El Gerente Financiero o el responsable del control de este rubro, tendrá que buscar el equilibrio deseado. Su objetivo, en la Administración de Cuentas por Cobrar, será aquel equilibrio que adaptado a las circunstancias del negocio proporcione un saludable índice de rotación acompañado de un porcentaje razonable de utilidades máximas.
Una influencia muy importante, en las políticas de crédito, costumbres y variaciones en las condiciones de ventas, es el carácter perecedero del producto, otra es el análisis de los clientes. La empresa que ofrece el crédito debe ser menos indulgente cuando determina que un cliente es mal sujeto de crédito, por ello el funcionario encargado de evaluar el riesgo del crédito, debe considerar las cinco "C", que son:
Carácter
Capacidad
Capital
Colateral
Condiciones
CARACTER.- El factor moral del cliente es lo más importante en la evaluación del crédito para el cumplimiento de la obligación.
CAPACIDAD.- Juicio subjetivo y visual del potencial económico del cliente.
CAPITAL.- Posición financiera, en especial, el capital tangible de la empresa.
COLATERAL.- Representado por los activos que el cliente puede ofrecer como garantía del crédito.
CONDICIONES.- Análisis de las tendencias económicas generales de la empresa o incidencias que pueden afecta la capacidad del cliente para cumplir sus obligaciones.
Estos factores son importantes en la concesión misma del crédito, en la determinación del monto de inversión que estemos dispuestos a incurrir en las ventas a crédito.
Una empresa puede hacer muchas ventas, superar a sus competidores si está dispuesta a conceder libremente: volumen y plazos; pero en definitiva, créditos de esa naturaleza pueden terminar con dicha empresa, sino dispone de los controles adecuados.
Por ello, es básico que un Departamento de Crédito esté preparado para manejar técnicamente estos asuntos, desde el primer contacto que es la evaluación y otorgamiento de crédito, hasta el final feliz de la venta cobrada.
El administrador Financiero deberá intervenir en la formulación de planes del departamento de crédito, realizando análisis y evaluaciones permanentes de su desarrollo para certificar que existe capacidad en el desenvolvimiento del área y por sobre todo que exista un flujo de efectivo que ya fue previsto, así como aplicando los controles y seguridades básicos.
Las evaluaciones de los controles y seguridades del Sistema de Cartera de las empresas constituye uno de los pilares básicos que contribuye a alcanzar los objetivos financieros y por ende el crecimiento y desarrollo de las empresas.
1.2 Motivos de la Auditoría
Entre los principales justificativos o motivos de una auditoría encontramos los siguientes:

Aumento considerable e injustificado del presupuesto del Departamento de procesamiento de datos
Desconocimiento en el nivel directivo de la situación informática de la empresa
Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal , equipos e información.
Descubrimientos de fraudes efectuados con el uso del computador.
Falta de una planificación informática.
Organización que no funciona correctamente, debido a falta de políticas, objetivos, normas, metodología, estándares, delegación de autoridad, asignación de tareas y adecuada administración del recurso humano.
Descontento general de los usuarios, motivado generalmente, por incumplimiento de plazos y mala calidad de resultados.
Falta de documentación o documentación incompleta de sistemas, que revela las dificultades o la imposibilidad de efectuar el mantenimiento de los sistemas en producción.
Dentro de esta gama de justificativos que son de especial análisis en una auditoría, se ha considerado para nuestro estudio , aquellos que afectan a la empresa referentes exclusivamente a la aplicación de cartera y son los potenciales motivos de nuestra auditoria. Entre éstos tenemos los siguientes:
Falta total o parcial de seguridades lógicas
Las computadoras son un instrumento que almacenan y estructuran gran cantidad de información , la cual puede ser confidencial para individuos , empresas o instituciones , y puede ser mal utilizada o divulgada por personas que hagan mal uso de ésta. También pueden producirse fraudes o sabotajes que conllevarían a la destrucción total o parcial de la actividad computacional.
La necesidad de control en el acceso a los sistemas es de vital importancia pues la concentración de muchas funciones antes dispersas se vuelve particularmente crítica si la información ingresada y procesada por un sistema computarizado por falta de efectivos procedimientos de control es intencional o inadvertidamente destruida o distorsionada . De aquí la importancia de la Evaluación de Sistemas en las seguridades lógicas como control inicial al Sistema de Crédito y Cobranzas.

Mal funcionamiento del Sistema
Un sistema es un aplicativo que puede ser desarrollado internamente en la misma empresa y por tanto es hecho a la medida o puede ser comprado como un paquete que normalmente es ofrecido por empresas de desarrollo de software especializadas. En el caso de la empresa de nuestro análisis, el sistema de cartera fue desarrollado internamente, por tanto debe satisfacer las necesidades reales de la misma.
Antes de detallar el sistema y las razones de mal funcionamiento de cualquier aplicativo debemos enfocar los diferentes Sistemas que se desarrollan en una empresa.
En muchas ocasiones lo que se pretende alcanzar en el Area Informática dentro del desarrollo de Sistemas o aplicaciones es un resultado, sinembargo el objetivo debe ser que el Sistema funcione conforme a las especificaciones funcionales, a fin de que el usuario tenga la suficiente información para su manejo, operación y aceptación.
Los sistemas cumplen algunas fases entre las que se encuentran: análisis, diseño, programación, pruebas y mantenimiento las mismas que se retroalimentan continuamente. Si una de estas etapas no es considerada con la importancia debida surgen los inconvenientes futuros y con ello el mal funcionamiento del sistema.
Los sistemas por su mal funcionamiento pueden presentar información distorsionada o reflejar datos incoherentes en los campos y rangos de información definidos, en otros casos pueden ser un problema en lugar de una solución, en suma resultan ser imprácticos.
Entre los problemas más comunes en los sistemas están los siguientes:
Falta de estándares en el desarrollo, en el análisis y la programación
Inadecuada especificación del sistema al momento de hacer el diseño detallado.
Diseño deficiente
Problemas en la conversión e implementación
Control débil en las fases de elaboración del sistema y sobre el sistema en sí.
Inexperiencia en el análisis y la programación
Nueva tecnología no usada o usada incorrectamente.
Todo lo antes mencionado puede ser causa del mal funcionamiento de los sistemas, lo cual debe ser tomado en cuenta para la presente revisión.
De ahí que es importante que se realicen las verificaciones necesarias para que los sistemas y programas sean probados exhaustivamente para asegurar su consistencia con las especificaciones originales, no exista descontento de los usuarios y se realicen las transacciones correctamente.
Descontento de los usuarios
El descontento de los usuarios es uno de los motivos que genera una revisión y evaluación de los sistemas.
Normalmente surge por causas debidamente justificadas y es preciso que el nivel directivo realice la investigación de las causas que originan dicha insatisfacción.
En muchos casos ésto se debe a la falta de participación de los usuarios en el proceso mismo del análisis de la aplicación. Nunca se debe dejar a un lado el criterio del usuario final que es el que va a utilizar la aplicación y quien debe familiarizarse con el uso del mismo, por esto es preciso motivar al usuario a participar en este proceso.
Para que el sistema sea acogido por el usuario, debe cumplir con los requisitos definidos conjuntamente. Por ello se necesita una comunicación completa entre usuario y responsable del desarrollo del sistema. En esta comunicación se debe definir claramente los elementos con que cuenta el usuario, las necesidades de proceso de información y los requerimientos de información de salida, almacenada o impresa.
Al momento de definir el sistema en la fase de análisis, se debió haber definido la calidad de información procesada por el computador, establecer los controles adecuados, los niveles de acceso de la información, entre otros aspectos.
El objetivo de la implantación de un sistema es contribuir a la rapidez y exactitud de procesos que realiza un usuario, reduciendo el tiempo y el esfuerzo realizado en una labor e incrementado el beneficio y utilidad de la empresa.
1.3 Objetivos de la Auditoría
Los objetivos de una Auditoría de Sistemas pueden ser varios , todos dependen de la Situación Informática de análisis.
Entre los principales objetivos que motivan una auditoría tenemos:

Buscar una mejor relación costo beneficio de los sistemas automáticos o computarizados diseñados e implantados por el Area de Procesamiento de Datos.
Incrementar la satisfacción del usuario
Asegurar una mayor integridad, confidencialidad y confiabilidad de la información, mediante la recomendación de seguridades y controles.
Conocer la situación actual del área de informática y las actividades y esfuerzos encaminados para lograr los objetivos trazados.
Una empresa puede solicitar el análisis de los siguientes puntos:
Mejorar las seguridades lógicas del Sistema
Las computadoras en este siglo brindan facilidades en el establecimiento de seguridades lógicas a los sistemas y constituyen una alternativa de software disponible en el mercado para garantizar el acceso al computador sólo de personas autorizadas al mismo.
Es importante mantener la seguridad de los sistemas a fin de contar con información relevante en el momento preciso .
Por medio del presente trabajo se plantea emitir un listado de controles tendientes a mejorar las seguridades lógicas del Sistema de Cartera de esta empresa.
Asegurar una mayor confidencialidad de la información
Se entiende por confidencialidad el salvaguardo de la información con caracteres reservados y exclusivos a los funcionarios autorizados.
La confidencialidad de la información permite el acceso de datos e información sólo a personal autorizado de manera que las transacciones realizadas por un usuario queden registradas como responsabilidad absoluta de la persona que está autorizada a efectuar alguna transacción.
Mejorar el funcionamiento del Sistema
Antes de ejecutar los programas con datos reales deben ser probados con datos de prueba, hasta que agoten todas las excepciones posibles.
El objetivo de los sistemas es de que proporcionen oportuna y efectiva información, para lo cual debieron ser desarrollados dentro de un proceso adecuadamente planificado.
El sistema concluído debe ser entregado al usuario previo entrenamiento y elaboración de manuales respectivos, que garanticen el buen uso del sistema.
Incrementar la satisfacción de los usuarios del Sistema de Cartera
La insatisfacción de los usuarios se produce debido a la falta de entendimiento y coordinación de necesidades y el divorcio marcado de los elementos que intervienen, entre los que brindan y reciben el servicio.
Cuando los resultados de un Sistema no están acorde con las necesidades del usuario surge cierto malestar que genera la insatisfacción. Este fenómeno es perjudicial para la empresa misma porque el usuario prefiere no usar el sistema, como apoyo, debido a los continuos inconvenientes que éste le genera.
Es importante tener en cuenta que los sistemas razonablemente concebidos, correctamente probados y eficazmente controlados pueden desgastarse y convertirse en otro sistema o programa remendado, irracional, ineficiente e incontrolado que originará malestar en los usuarios finales
Por tanto es importante analizar los sistemas, encontrar las falencias y mejorarlas para incrementar la satisfacción de los sistemas, principalmente en nuestro caso, la aplicabilidad del Sistema de Cartera. Esto pretende encontrar justamente el presente trabajo, las principales debilidades que serán corregidas, luego de la creación y entrega del informe de auditoría.
1.4 Alcance de la Auditoría
En base a los objetivos y justificativos planteados anteriormente el alcance de la auditoría radica en:
1.- Evaluar los controles de entrada, procesamiento y salida implantados en el Sistema de
Cartera
Estos controles tienen como finalidad:

Asegurar la compatibilidad de los datos más no su exactitud o precisión, tal es el caso, de la validación del tipo de datos que contienen los campos, o verificar si se encuentran dentro de un rango específico, verificación de seguridad para el acceso a terminales, programas, archivos, datos e información confidencial.
Asegurar que la totalidad de los datos sean procesados por el computador
Asegurar que los datos procesados por el computador estén debidamente autorizados.
Garantizar una adecuada distribución de las salidas otorgadas por el sistema.
2.- Definir los controles que deben implantarse
Luego de la observación realizada se debe crear los controles adecuados con la finalidad de garantizar la integridad y confidencialidad de la información, sean éstos:

Controles sobre el acceso del usuario
Controles de claves de acceso
Controles de datos ingresados
Controles de transacciones mal efectuadas, entre otros
3.- Establecer Recomendaciones a la Gerencia.
Una vez analizado el planteamiento del trabajo realizado se deberá entregar el informe respectivo a la Gerencia para la revisión y posterior consecución del trabajo y aceptación de la propuesta de mejoras.
CAPITULO II
Descripción del Sistema de Cartera
Capítulo 2
Descripción del Sistema de Cartera
Sistema de Cartera
El Sistema de Cartera surge como una necesidad de la empresa para satisfacer a sus clientes más importantes otorgando un crédito definido a través de políticas generales de la empresa.
Los clientes más importantes son evaluados en su solvencia moral y económica como un medio de garantizar la recuperabilidad de la cartera.
Para la aprobación de un crédito a sus mejores clientes la empresa debe solicitar una garantía bancaria igual al cien por ciento de sus transacciones . Este valor es luego cancelado a la empresa en un plazo de hasta 30 días.
Así mismo los niveles de autorización de crédito para evitar posibles malas interpretaciones o autorizaciones de crédito inadecuadas son evaluadas al interior de la empresa.
Por lo tanto esto no constituye un alto riesgo crediticio, puesto que el crédito es celosamente vigilado por el Jefe del Area y en casos de montos más elevados para las compañías relacionadas, por el Gerente de la empresa. Por tanto existe un menor riesgo de contraer cuentas malas o incobrables.
En muchos casos de créditos las empresas otorgan una extensión del crédito en un plazo específico con cargo de intereses. En otras empresas ésto no se cumple, por lo tanto las Cuentas por Cobrar se hacen efectivas en el plazo indicado y se convierten en un activo verdadero en ese tiempo.
La aplicación de Cartera detallada en el presente documento fue desarrollada por el Area de Sistemas de la empresa, en Foxpro 2.5 para DOS y fue implantada en Mayo de 1997 después de recibir el visto bueno de parte del Area de Reingeniería de Procesos de la Corporación.
El objetivo del Sistema de Cartera surge como necesidad de responder a los requerimientos de la Gerencia de otorgar créditos a sus principales clientes dándole facilidades cómodas de pago, acorde a su solicitud previamente establecida.
Esta aplicación tiene como finalidad manejar toda la información referente a la cartera, la misma que interactúa con los módulos de Caja / Bancos y Facturación.
2.1 Ambiente de Hardware y Software
2.1.1 Ambiente de Red de computadores
La empresa cuenta con un pequeño Centro de Cómputo que es el Area destinada para el jefe de Sistemas, Programadores y Operadores y equipos en general que permiten brindar la atención técnica necesaria como soporte en Hardware y Software de la empresa.
En esta área la empresa cuenta con una red Novell Netware 3.0 instalada en el Servidor Dedicado por medio del cual interactúan todos los usuarios del Sistema.
La red tiene integrada a 15 terminales inteligentes dentro de la empresa.
2.1.2 Equipos Disponibles
Los equipos que se encuentran operativos con el Sistema de Cartera son computadoras personales Compaq Prolínea 466 para los usuarios del Sistema, con las siguientes características:

Procesador 80486
8 Mb de RAM
420 Mb de espacio en disco
El Servidor utiliza un computador Pentium con las siguientes características:
Procesador INTEL
16 Mb de RAM
1,2 Gb de espacio en disco
2.1.3 Sistema Operativo
El Sistema Operativo de Red es Netware de Novell 3.0 y adicionalmente se encuentra instalado el Sistema Operativo DOS versión 6.2.
2.1.4 Software de Sistemas y Utilitarios
Lenguajes de Programación:
La empresa utiliza el lenguaje de Programación FOXPRO 2.5 para manejo de las Bases de Datos en sistema Operativo DOS.
Sistemas de Aplicación:
En la empresa se encuentran desarrollados algunos sistemas entre los que encontramos los que más se destacan:
Nombres Usuario
(Departamentos)
Nómina Personal
Inventarios Bodega
Activos Fijos Contabilidad
Contabilidad Contabilidad
Utilitarios:
Los principales utilitarios usados en esta empresa son:

Windows 3.1 para manejo de ambiente gráfico de comandos
Word, Excel para el desarrollo de hojas de cálculo y comunicaciones
Access para la manipulación de información que no ha sido ingresada al sistema
2.2 Funcionamiento del Sistema
2.2.1 Descripción del Proceso
La aplicación de Cartera está integrada a los módulos de Facturación y Caja / Bancos. En esta aplicación se recibe información de facturas, notas de débito, notas de crédito que alimentan al Sistema en el procesamiento diario.
La actualización de los archivos de la aplicación es inmediata y su procesamiento es centralizado.
Al ejecutar el proceso, el Sistema procede a evaluar los créditos aprobados y generar las correspondientes Notas de Crédito. Al cierre se genera un archivo temporal que contiene el detalle de las facturas de los distribuidores y compañías relacionadas que optaron por el crédito, con las que al final del día el sistema genera una Nota de Crédito y se la envía al sistema de Cartera de la empresa matriz

Módulos Integrados al Sistema de Cartera

Caja/Bancos
De la aplicación de Caja/Bancos se recibe la información de los comprobantes de pago, notas de débito y notas de crédito.
Facturación
De la aplicación de facturación se reciben las facturas de las compañías relacionadas
( Agrícolas, industriales, ganaderas), de los principales distribuidores y otros clientes.
Procesos
Manuales
El ingreso de información que alimenta al Sistema de Facturación y Caja es digitado por el receptor de la transacción por tanto constituye el procesamiento manual que interactúa con el Módulo de Cartera
Automatizados
Los procesos del sistema son automatizados pues toma la información de otros módulos y realiza los respectivos cálculos y distribución de información a las demás bases del Sistema.
2.2.3.3 Centralizados
La generación del proceso que alimenta las otras bases del sistema, al cierre del día, es canalizada por un sólo usuario de manera que la operación se centraliza a un sólo computador, ubicado en el Centro de Cómputo
2.3 Diagrama del Proces

Ingreso de Información (Facturación-Caja)
Al módulo de Facturación y Caja ingresan las facturas de las compañías relacionadas: Agrícolas, industriales, ganaderas; de los distribuidores y otros clientes. Así mismo se recibe información de los comprobantes de pago, notas de débito y notas de crédito

Procesos on Line y Batch
Los principales procesos existentes en la aplicación son:
a) Procesos de Solicitudes de Crédito
Ingresos
Modificación
Eliminación
b)Proceso de Aprobaciones de Solicitudes de Crédito
c) Proceso de Documentos por Cobrar

Ingreso
Modificación
Eliminación
d) Proceso de Intereses por Cobrar
Antigüedad de saldos
Resumen/Detalle de saldos
e) Proceso de Documentos de Pago
Ingreso
Eliminación
Salidas a archivos (Cuentas por Cobrar y Temporales)
Luego del procesamiento se genera un archivo temporal de facturación por distribuidores. Así mismo se actualiza el archivo de Facturación y se generan los registros correspondientes en el Archivo de Cuentas por Cobrar donde se guarda la información que permite luego tomar decisiones, respecto a la Cartera Vencida
2.3.5 Salidas Impresas (Listados Varios)
Entre los principales listados que se generan en este sistema son:

Tabla de amortización


Estados de Cuenta


Documentos de pago pendientes


Documentos registrados fecha

2.4 Flujo de Información
El flujo de información, observado en el anexo RC1, muestra la interacción de los datos así como de los sistemas que interactúan con el Sistema de cartera.
Ver Anexo RC1
Entre las principales entradas al sistema tenemos:

Archivos de Facturación


Archivos de Caja


Facturas


N/D


N/C

Entre las principales salidas del Sistema tenemos:
1.- Almacenamiento de información en los siguientes archivos:

Facturación


Cuentas por Cobrar


Temporal de Facturación de Productos

2.- Consultas por pantalla de:

Emisión de solicitudes Tabla de amortización


Estados de cuenta (Ver Anexo RC2)


Documentos de pago pendientes.


3.- Listados de:

Emisión de solicitudes


Tabla de amortizaciones


Listados Varios


Documentos de pago pendientes

Esta breve explicación se constata gráficamente en el diagrama de flujo que se muestra en el anexo RC 1










CAPITULO III
Evaluación de Controles y Seguridades







Capítulo 3

Evaluación de Controles y Seguridades

Se entiende por controles al conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, órdenes impartidas y principios admitidos.
Al hablar de seguridades nos referimos a todas las actividades realizadas con el fin de mantener la reserva de la información: en el manipuleo, proceso, archivo y uso de la información por parte del personal que opera y administra el sistema.
Esta revisión es muy importante por cuanto a más de determinar la existencia de seguridades y controles o la eficacia y eficiencia de las ya existentes, se precisan los detalles que deben ser analizados con profundidad.
Las seguridades de nuestro estudio obedecen exclusivamente a seguridades de tipo lógico, es decir, del Sistema de Aplicación.

3.1 Controles de claves de acceso al Sistema
Los controles de claves de acceso son importantes para evitar la vulnerabilidad del sistema.
No es conveniente que las claves de acceso estén compuestas por códigos de empleados, ya que una persona no autorizada a través de pruebas simples o deducciones puede dar con dicha clave.
Para redefinir las claves a todos los usuarios, estas deberán ser:
Individuales.- Una clave debe pertenecer a un solo usuario, es decir individuales y personales, para facilitar y determinar las personas que efectúan las transacciones, así como, asignar responsabilidades.
Confidenciales.- Los usuarios debe ser formalmente instruidos, respecto al uso de las claves.
No significativas.- Las claves no deben corresponder a números secuenciales, ni a nombres o fechas.
En la revisión del control de claves de acceso se debe considerar los siguientes puntos:

Sólo se puede acceder a un rango limitado de actividades y menúes.


Se debe identificar a los usuarios autorizados a las principales transacciones, a través del userid


Los passwords deben ser conocidos exclusivamente por los usuarios autorizados, y deben ser cambiados periódicamente


Se debe restringir el acceso a los datos en el Sistema de acuerdo a la función de cada empleado.

Durante nuestra visita fuimos informados de que varios usuarios pueden tener en un momento determinado la misma clave, lo que es permitido por el sistema.
Por lo tanto los controles de claves de acceso son nulos para esta aplicación pues cualquier usuario que conozca una clave puede accesar a esta aplicación tan sensible y delicada para el buen funcionamiento de la empresa. (P/I) (Punto Informe)


Revisión de Archivo de Autorizaciones de Usuarios (IDEA)

Para poder accesar a la información solicitamos la documentación correspondiente del sistema, lo que facilitaría la interpretación del Sistema y ahorraría tiempo de análisis. Sinembargo, dicha documentación estaba incompleta y desactualizada.
Por esta razón, a través del software de Auditoría denominado IDEA (Interactive Data Extraction and Analysis), software reconocido internacionalmente por el Instituto Candiense de Contadores Certificados para el uso en las Auditorías y/o Revisiones de Sistemas, procedimos a revisar el archivo de autorizaciones de usuarios. La información contenida en ese archivo se puede apreciar en el anexo RC3 donde se pueden establecer las autorizaciones respectivas de los usuarios del sistema, en codificación binaria.
Ver anexo RC 3
Pese a que existen autorizaciones expresas para accesar a las opciones del menú, a través del archivo de autorizaciones, muchos usuarios poseen opciones no autorizadas en sus menúes debido a una mala administración de menú y opciones, perdiéndose entonces la confidencialidad de la información. (P/I) (Punto Informe)


Periodicidad en cambio de claves de acceso

Es conveniente que las claves de acceso a los programas se cambien periódicamente. Los usuarios generalmente conservan la misma clave que le asignaron inicialmente.
El no cambiar las claves periódicamente aumenta la posibilidad de que personas no autorizadas conozcan y utilicen claves de usuarios del sistema de computación. Es conveniente cambiar las claves, por lo menos trimestralmente.

La periodicidad en el cambio de las claves de acceso de los usuarios al Sistema de Cartera no ocupa un sitial importante en el control que se debe dar a la aplicación.
De la revisión realizada al caso práctico en referencia se pudo determinar que no periodicidad en el cambio de las claves de acceso, debido a que la Jefe de Cartera en muchos casos no tiene el tiempo suficiente para administrar adecuadamente esta aplicación. (P/I) (Punto Informe)

3.1.3 Administración de claves de acceso
La Administración de claves de acceso está dada en dos personas que son el Analista de sistemas y el Jefe de Cartera quien es la persona directamente responsable de la administración de la aplicación que incluye la creación de usuarios así como los respectivos permisos y autorizaciones a opciones del menú de la Aplicación objeto de análisis, mientras que la analista recoge ciertos requerimientos solicitados en forma expresa por el Jefe de Cartera.
Además se pudo apreciar que las claves de acceso creadas son pequeñas y significativas (Ver Anexo RC3), en algunos casos no son individuales ni confidenciales y pero aún que existen usuarios que accesan al sistema sin clave. . (P/I) (Punto Informe)

Sistema Operativo.- Son programas de sistemas que controlan los recursos de la máquina y sirven de enlace entre estos recursos y los usuarios. También se los llama programas maestros de control, monitores o programas de control de sistemas. Cada fabricante tiene un nombre singular para el sistema o sistemas operativos que suministra.
Software.- Programa que da instrucciones al computador. Se llama así también al Sistema Operativo.
Tiempo compartido.- Realización de dos o más funciones durante el mismo período, asignando pequeñas divisiones del tiempo total a cada función.
Permite utilizar el ordenador de manera que atienda a varios usuarios durante el mismo tiempo.
Tiempo de respuesta.- Tiempo necesario para transmitir información desde un ordenador y recibir respuesta.
Tiempo real.- El almacenamiento de información en el sistema se produce al momento en que las transacciones se están efectuando. Las aplicaciones en tiempo real son indispensables en aquellos casos en que los datos se modifican varias veces en el transcurso de un día y requieren ser consultados en forma casi inmediata con las modificaciones efectuadas.
Validación.- Verificación programada de datos o resultados, para asegurarse de que cumplen con normas predeterminadas.
Bibliografía
Cohen Daniel, Sistemas de Información, Ed..McGraw Hill, 1995
Ettinger Richard y Golieb David, Créditos y Cobranzas, De. Continental, México, 1980.
Instituto Mexicano de Contadores Públicos, Normas y Procedimientos de Auditoría, De. Litograf, México, 1972
Leiva Francisco, Investigación Científica, De. Ortiz, Quito, 1979.
Mayne Lynette, Dirigir desde la Cima, De. Alfaomega, De. Presencia, Bogotá, 1995.
Méndez E. Carlos, Metodología de la Investigación, Mc Graw Hill, 1994
Ríos Wellington Dr, Auditoría de Sistemas de Informática, De. Abaco, Quito, 1994
Sanders Donald, Informática: presente y Futuro. McGraw Hill, De. Interamericana, 1990
The Canadian Institute of Chartered vs. 5.0, IDEA Interactive Data Extraction and Analysis- User´s Manual, Toronto, 1994
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS ADMINISTRATIVAS
ESPECIALIZACION INGENIERIA COMERCIAL
AUTOR: ALICE NARANJO SANCHEZ
Anaranjo@hispavista.com
PROFESOR GUIA: ECON. JULIO CHANG VITERI
1998-1999

Nota: Es probable que en esta página web no aparezcan todos los elementos del presente documento.  Para tenerlo completo y en su formato original recomendamos descargarlo desde el menú en la parte superior

ALICE NARANJO SANCHEZ

Anaranjoarrobahispavista.com