PRE INFOR,E DE AUDITORIA AUDITORIA
EFICACIA DEL PLAN INFORMÁTICO E,PRESA AUDITORA: -SUARE E/TERNAL AUDITS CO,PANY0 PRE INFOR,E E,PRESA AUDITADA SUPER,ERCADO JU,1O
.
SOCIO GERENTE EDUARDO LEYTON GUERRERO AUDITOR SENIOR JUAN PLAZA GALLEGOS
Facultad de economía ne!oc"o#. Contado$ P%&l"co Aud"to$. Aud"to$. II t$"me#t$e ' ()*+.
pág. 1
INDICE
I.
ANTECE ANTECEDEN DENTES TES GENERA GENERALES LES... ...... ....... ....... ....... ....... ...... ....... ....... ...... ....... ....... ...... ....... ....... ....... ....... ...... ....... ........ ......... .........2 ....2
*.*. O1JETI3O O1JETI3O GENERAL.... GENERAL........... .............. ............. ............. .............. ............. ............. .............. .............. ............. ............. ................. ................+ ......+ *.(. O1JETI3OS O1JETI3OS ESPEC4FICOS.. ESPEC4FICOS......... .............. ............. ............. .............. .............. ............. ............. .............. .............. ............. ...............+ .........+ *.2. ALCANCE ALCANCE DE LA AUDITORIA..... AUDITORIA............ .............. ............. ............. .............. .............. ............. ............. ..................... ...................5 .....5 *.6. ,ETODOLOG ,ETODOLOG4A... 4A.......... .............. ............. ............. .............. ............. ............. .............. .............. ............. ............. .............. .............. ............... .............5 .....5 a-. Contextualización..........................................................................................................8 b-. Revisión y evaluación de controles y resguardos................................... resg uardos........................................... ................ .............. ......88 c-. Examen detallado de procesos críticos:........................................................................8
II.7 OPINION GENERAL....................................................................................................8 III.7 O1SER3ACIONES O1SER3ACIONES Y RECO,ENDACIONES DETALLADAS.........................*) DETALLADAS.........................*) A!"#$AC"%& AC#$A'...............................................................................................() *. %*!ER+AC"%&E!.....................................................................................................(( C. REC%,E&AC"%&E!............................................................ REC%,E&AC"%&E!......................................................................... ..................... ................ ............ ....( ( C.(. E!#R$C#$RA E!#R$C#$RA %R/A&"0AC"% %R/A&"0AC"%&A' &A' E' AREA E "&1%R,2#"CA......( "&1%R,2#"CA......( C.3. "&+E&#AR"%!.. "&+E&#AR"%!......... ............. ............. .............. .............. ............. ............. .............. ............. ............. .............. ............................( .....................( C.4. !E/$R"A !E/$R"A "&1%R,A "&1%R,A#"CA.......... #"CA................ ............. .............. ............. ............. ................... .............................(5 .................(5 C.. ,A&E6% ,A&E6% E !%1#7ARE.... !%1#7ARE........... .............. .............. ............. ............. .............. ............. ............. ...................... .....................(5 ......(5 C.5. ,A&$A' ,A&$A' E R%CE","E& R%CE","E&#%!... #%!......... ............. .............. ............. ............. .............. ............................3) .....................3)
pág. 2
I.
ANTECEDENTES GENERALES
ara poder desarrollar el presente in9orme ante ;ue todo se debe conocer el entorno en el cual se desenvuelve la empresa para esto se identi9ican variables externas e internas ;ue pueden in9luir en el cumplimiento de los ob
Am&"ente e9te$no A#:ecto Demo!$;<"co $na de las variables de gran importancia es la concentración mayor de =abitantes en la Región ,etropolitana. 'a población estimada de la Rep>blica de C=ile seg>n el censo de 3)(3 era de (?.?4.?)4 =abitantes. Con una densidad de 34)( =ab@mB aproximadamente el 48D de la población se concentra en el rea metropolitana del /ran !antiago. 'as dos regiones ;ue siguen en tFrminos de n>mero de =abitantes sólo concentran el (3.?5D y ().33D GRegiones del *io *io y de +alparaíso respectivamente. 'as otras regiones ;ue las con9orman grupos de personas necesitan trasladarse entre su zona de residencia y el centro debido a la gran dependencia ;ue existe con Fste al estar las principales actividades agrupadas en la capital del país.
Adems uno de los aspectos relevantes es ;ue en los >ltimos aHos el n>mero de =abitantes en el país =a aumentado en un (3.8D. En la Región ,etropolitana esta ci9ra sube a un (.ID. Es importante adems destacar ;ue las regiones ;ue =an observado una mayor tasa de crecimiento son las de #arapacE: Anto9agasta y Co;uimbo G35.?D 3)D y (ID respectivamente. ara este mercado resulta particularmente interesante el =ec=o de ;ue en la Región ,etropolitana aproximadamente el IJD de la población =abita en Ereas urbanas. $n 9actor importante son las ubicaciones de los locales y sus accesos por esto los terrenos se =an trans9ormado en bienes escasos por lo ;ue la ad;uisición de ubicaciones de alto valor estratFgico pueden llegar a ser un elemento di9erenciador.
A#:ecto Econ=m"co A di9erencia de otras economías de 'atinoamFrica la economía c=ilena =a conseguido mantenerse estable. !in embargo tras aHos de crecimiento sostenido C=ile su9re una 9uerte ralentización económica desde 3)(5 por la caída del precio del cobre GC=ile es el primer exportador de cobre del mundo. En 3)(? el crecimiento se redu
muy ba
blico se agravó por la merma de los ingresos mineros. ara 3)(J se esperaban bene9icios por la recuperación del precio del cobre aun;ue =a disminuido la demanda de C=ina su mayor cliente. A pesar de la desaceleración económica la tasa de desempleo se redu
A#:ecto Polít"co Le!al Existen tratados con distintas naciones debido a ;ue cada vez el mundo se encuentra ms globalizado y para C=ile esto puede generar la llegada de numerosos posibles inversionistas al país así como tambiFn abre las puertas a nuevos negocios nacionales e internacionales.
$n 9actor importante es ;ue estos tratados podrían =acer ;ue los países del resto del mundo cataloguen a C=ile como la plata9orma de negocios entre !udamFrica y Europa y Estados $nidos minimizando así el impacto de las turbulencias en los países cercanos. ara la industria de los supermercados puede in9luir positivamente el =ec=o de ;ue existan meltimas dFcadas =a cambiado el estilo de vida de las personas por la in9luencia de las inmigraciones de personas de otros países. Kan aumentado las expectativas económicas y sociales de los consumidores.
pág. 4
Con respecto a la industria de los supermercados los consumidores cada vez son menos leales la decisión de compra est ampliamente in9luida por 9actores como variedad precio y calidad. $n cambio en la industria supermercadista es la tendencia al aumento de las transacciones realizadas por los consumidores acompaHados por un n>mero de visitas al supermercado al mes cercano a 8 veces. ( Aspecto #ecnológico 'a in9raestructura disponible es muy cercana a los estndares de los países desarrollados con redes de comunicaciones y de trnsito bien establecidas modernas y 9uncionales. #ambiFn existe acceso 9cil y expedito a las nuevas tecnologías. El uso de in9ormación es muy importante dentro de la industria de los supermercados uno de los empleos ms importantes es ;ue permiten reconocer la lealtad de los compradores a travFs de las diversas tar
Adems existen espacios para implantar tecnologías ;ue permiten agregar valor al proceso de compra por parte del usuario. 'as tecnologías estn bien establecidas así como los estndares de servicio y calidad. 'as relaciones de largo plazo se privilegian para optimizar los procesos de la cadena de abastecimiento y e l uso de tecnologías tipo E" GElectronic -ata "nterc=ange ;ue mantienen en comunicación permanente a los distribuidores con proveedores. A&2'"!"! "&#ER&% 1ortalezas: Es importante destacar la 9idelidad tanto de algunos clientes en particular como tambiFn de los empleados de la empresa. %tras de las políticas de 6umbo es la LKigiene seguridad en el traba
pág. 5
i9erenciación: ersigue ;ue la empresa sea la >nica en su sector y sobresalir en a;uellos aspectos ampliamente valorados por el cliente. !u di9erenciación se basa en la buena atención al cliente.
Cadena de >alo$? podemos destacar en este punto el merc=andising de la empresa ;ue es la 9orma de venta con el e
pág. 6
*.*. O1JETI3O GENERAL El ob
*.(. O1JETI3OS ESPEC4FICOS El ob
*@. E>alua$ si las operaciones in9ormticas y sus ob
pág. 7
*.2. ALCANCE DE LA AUDITORIA e acuerdo a los ob
*.6. ,ETODOLOG4A ara conseguir los ob
a@. Conte9tual"Bac"=n? se de9inió el grupo de traba"#"=n e>aluac"=n de cont$ole# $e#!ua$do#? Este traba
pág. 8
II.7 OPINION GENERAL En relación a la estructura y gestión organizacional 6$,*% presenta en 9orma evidente algunos aspectos inadecuados en 9orma general. Considerando y tomando en cuenta el tipo de institución de servicios similares y tamaHo de 6$,*%. Es por ello ;ue se debe tener presente ;ue la organización debe estructurar un organigrama ;ue indi;ue cuales son los niveles de responsabilidades seg>n el cargo y obligaciones a cumplir dentro de la empresa. %bviamente para este punto es 9undamentalmente necesaria establecer claramente a todo nivel la +"!"P& de la empresa. $n lan de Contingencias debe ser estratFgico y con un en9o;ue de mayor alcance: lo ;ue se est buscando es $ecu:e$a$ lo# dato# e "n
pág. 9
III.7 O1SER3ACIONES Y RECO,ENDACIONES DETALLADAS A7
SITUACION ACTUAL
De&"l"dad * -. El 6e9e de in9ormtica a nivel corporativo realiza la aprobación inmediata del plan in9ormtico de los próximos 8 aHos y posteriormente lo consulta con los dems integrantes del ComitF de in9ormtica corporativo y gerentes de reas. De&"l"dad (@. El 6e9e de in9ormtica corporativo es el >nico puesto dentro del rea tecnológica con autoridad real De&"l"dad 2@. erdida de e;uipos lectores de barra para los productos del supermercado. Adems de la 9uga de base de datos de proveedores y de precios ambas de la sucursal *ilbao De&"l"dad 6@. El 6e9e de in9ormtica corporativo decide manen sus necesidades se desarrollan correcciones ms detalladas De&"l"dad 5@. El encargado de comunicaciones solicita apoyo a la secretaria de su rea para el control de instrumentos como consolas y dispositivos de comunicación de la red. N estos a su vez in9orman en 9orma directa a la empresa ;ue presta servicios de comunicación sobre posibles 9allas detectadas De&"l"dad 8@. El encargado de mantención de sistemas solicita en determinadas oportunidades ;ue uno de los "ngenieros de e
pág. 10
1.
O1SER3ACIONES
O&#e$>ac"=n *. !e genera un Riesgo de lani9icación ya ;ue el 6e9e de in9ormtica no debe dar la autorización de los proyectos in9ormticos. El solo tiene derec=o a voz. Este proceso se realizó de 9orma contraria a lo ;ue debe ser primero debe de9inir el ComitF in9ormtico corporativo ;uienes tienen voz y voto en estas decisiones O&#e$>ac"=n (. 1alta segregación 9uncional ya ;ue el 6e9e de in9ormtica no puede ser ;uien =aga un proceso o proyecto y autorice su propio trabaac"=n 2. El no tener un control de los activos tecnológicos resulta en pFrdidas signi9icativas ms aun si se relaciona con la base de datos de los clientes esto sin considerar la pFrdida de dinero O&#e$>ac"=n 6. En este punto el Riesgo de capacidad del RR.KK no se est cumpliendo ya ;ue es importante ;ue estos sucesos no se oculten por el contrario se deben investigar y solucionar. El 6e9e in9ormtico corporativo no debe deac"=n . Claramente no se deben realizar manipulaciones con el 9in de proteger al personal involucrado son esto se demuestra ;ue no existe seguridad lógica debido a la tergiversación de in9ormación con el 9in de esconder el delito. O&#e$>ac"=n . &o se consideró el Riesgo de plani9icación estratFgica ya ;ue no existe un control por etapas o avances las cuales se podrían ir modi9icando y adecuando durante la eac"=n +. !e genera un gran Riesgo de plani9icación estratFgica al no =aber control interno con respecto a =aber realizado di9erentes pruebas especí9icas antes de utilizar el sistema. #ampoco se capacito a los usuarios respecto al nuevo sistema e ir arreglando cosas en el camino puede resultar muy complicado y costoso. 'o ideal es tener un tiempo de marc=a blanca y entregar el sistema lo ms de9inido posible. O&#e$>ac"=n 5. En este punto se ve ;ue dentro del Control general no existe una organización 9uncional ya ;ue el encargado de mantención pide a la secretaria ;ue los apoye con los posibles problemas de comunicación de redes. Resulta importante en este punto ;ue una persona ms especializada pueda gestionar estos contactos. O&#e$>ac"=n 8. Queda en evidencia ;ue el Encargado de mantención no cumple con la !eguridad lógica mínima esperada ya ;ue entrega su clave de acceso para ;ue los ingenieros realicen ciertos procesos siendo ;ue cual;uier problema ;ue ocurra ser
pág. 11
responsabilidad de encargado de mantención. #ambiFn es responsable al =aber entregado su passOord ya ;ue no est cumpliendo su 9unción. !e genera una 1alta de control preventivo. Adems en este punto se trasgrede la seguridad 9ísica ya ;ue de acuerdo a lo ;ue se menciona los dispositivos y C$ no se encuentran en una Lsala ceroM. #ampoco se cumple con lo re9erente al Riesgo en la /estión de royectos de #"CA
O&#e$>ac"=n *). !e evidencia la 9alta de Control general. Claramente para esta labor debe =aber un departamento especializado ;ue determine los re;uerimientos de la empresa para el desarrollo de las distintas 9unciones de los usuarios. N así este departamento puede realizar las ad;uisiciones de los sistemas 9aciliten el cumplimiento los ob
ORGANIZACIONAL DEL REA INFOR,TICA
'a estructura organizacional de una empresa est compuesta por los socios y por ende surge como respuesta a las necesidades de este. or esto el primer paso en la organización de una
pág. 12
D@. SEGURIDAD EN EL ,ANEJO DE SOFTARE Entre algunas de las 9allas detectadas se puede observar lo siguiente:
1alta de seguridad en el mane
E@. ,ANUAL DE PROCEDI,IENTOS En visitas y entrevistas con el personal encargado de desarrollar los planes in9ormticos usuarios y operadores de sistemas de 6$,*% no se detectó el uso de manuales de procedimientos para realizar los distintos procesos por lo ;ue se puede deducir ;ue carece de estos. En la prctica las 9unciones en cada rea operativa se desarrollan sobre la base de instrucciones verbales memorndum y principalmente por el conocimiento ;ue cada persona tiene de las operaciones.
pág. 13
C.
RECO,ENDACIONES C.*. ESTRUCTURA ORGANIZACIONAL DEL AREA DE INFOR,TICA
En primera instancia se debe rediseHar la estructura organizacional del rea "n9ormtica con9eccionando desde su origen un organigrama de la empresa de manera de establecer con claridad al menos el siguiente nivel de autoridad epartamental: /erencia /eneral /erencia de "n9ormtica /erencia de Administración de datos /erencia de Ad;uisiciones so9tOare y =ardOare /erencia de %peraciones #odas las dependencias de la /erencia /eneral y con las atribuciones autoridad responsabilidad recursos e independencia ;ue les sean necesarias para cumplir adecuadamente sus 9unciones. En este contexto los distintos departamentos debern ser asignados a cada gerencia de acuerdo a la naturaleza de su gestión de9iniendo sus 9unciones tareas especí9icas y responsabilidades asociadas. Así la /erencia /eneral solo deber centrarse en liderar el directorio en a;uellas decisiones de alto nivel tales como la de9inición de planes políticas y estrategias comerciales tecnológicas e in9ormticas ;ue tiendan a asegurar la permanencia el desarrollo y crecimiento de la "nstitución sobre bases sólidas. Resuelto lo anterior y para complementar la reorganización sugerida consideramos 9undamental el desarrollo de un LEstudio de 9unciones y tareasM ;ue determine y documente en tFrminos 9ormales todas las operaciones y procesos ;ue se desarrollan en cada departamento estableciendo con claridad a;uellos ;ue realiza utilizando los sistemas de in9ormación computacionales actualmente en uso así como a;uellos de tipo LmanualM no automatizados Gplanillas Excel u otros de carcter similar.
C.(. IN3ENTARIOS i.
Realizar inventarios periódicos Gde acuerdo a los ob
C.2. SEGURIDAD INFOR,ATICA
pág. 14
rimeramente se debe establecer un lan de Contingencias ;ue debe considerar aspectos como los siguientes: ( lani9icación general de cómo se en9rentaran las eventuales contingencias de acuerdo a su grado de importancia y@o impacto en la continuidad de las operaciones de la Entidad Gcon9ección de una ,at$"B de $"e#!o. 3 Costo monetario estimado. 4 riorización de actividades procesos e in9ormación estratFgica. Acceso y recuperación de respaldos actualizados. e9inición e identi9icación de los integrantes del plan así como los medios de contacto ante una emergencia GtelF9onos 9i
Cont$ole# :a$t"cula$e# a realizarse tanto en la parte 9ísica como en la lógica como se detallan a continuación: Autenticidad: ermiten veri9icar la identidad passOords 9irmas digitales Exactitud: Aseguran la co=erencia de los datos validación de campos validación de excesos #otalidad: Evitan la omisión de registros así como garantizan la conclusión de un proceso de envío conteo de registros ci9ras de control Redundancia: Evitan la duplicidad de datos cancelación de lotes veri9icación de secuencias rivacidad: Aseguran la protección de los datos compactación encriptación Existencia: Aseguran la disponibilidad de los datos bitcora de estados mantenimiento de activos. E9iciencia: Aseguran el uso óptimo de los recursos programas monitores anlisis costo- bene9icio controles automticos o lógicos.
Pe$"od"c"dad de cam&"o de cla>e# de acce#o
pág. 15
'os cambios de las claves de acceso a los programas se deben realizar periódicamente. &ormalmente los usuarios se acostumbran a conservar la misma clave ;ue se le asigno inicialmente. El no cambiar las claves periódicamente aumenta la posibilidad de ;ue personas no autorizadas conozcan y utilicen claves de usuarios del sistema de computación. or lo tanto se recomienda cambiar claves por lo menos una vez al mes.
Com&"nac"=n de ale# de acce#o &o es conveniente ;ue la clave este compuesta por códigos de empleados ya ;ue una persona no autorizada a travFs de pruebas simples o de deducciones puede dar con dic=a clave. 3e$"<"cac"=n de dato# de ent$ada "ncluir rutinas ;ue veri9i;uen la compatibilidad de los datos mas no su exactitud o precisión tal es el caso de la validación del tipo de datos ;ue contienen los campos o veri9icar si se encuentran dentro de un rango. Ut"l"Ba$ #oo# en un am&"ente de P$oce#am"ento de Dato# El directivo a cargo del 2rea de "n9ormtica de una empresa debe implantar los siguientes controles ;ue se pueden agrupar de la siguiente 9orma: A.
Cont$ole# de P$e"n#talac"=n
Kacen re9erencia a procesos y actividades previas a la ad;uisición e instalación de un e;uipo de computación y obviamente a la automatización de los sistemas ya existentes.
O&et">o#? /arantizar ;ue el =ardOare y so9tOare se ad;uieran siempre y cuando tengan la seguridad de ;ue los sistemas computarizados proporcionaran mayores bene9icios ;ue cual;uier otra alternativa. /arantizar la selección adecuada de e;uipos y sistemas de computación. Asegurar la elaboración de un plan de actividades previo a la instalación.
Acc"one# a #e!u"$? Elaboración de un in9orme tFcnico en el ;ue se
Elaborar un plan de instalación de e;uipo y so9tOare G9ec=as actividades responsables el mismo ;ue debe contar con la aprobación de los proveedores del e;uipo. Elaborar un instructivo con procedimientos a seguir para la selección y ad;uisición de e;uipos programas y servicios computacionales. Este proceso debe enmarcarse en las normas y disposiciones legales vigentes. E9ectuar las acciones necesarias para una mayor participación de proveedores. Asegurar respaldo de mantenimiento y asistencia tFcnica.
B.
Cont$ole# de o$!an"Bac"=n Plan"<"cac"=n
!e re9iere a la de9inición clara de 9unciones línea de autoridad y responsabilidad de las di9erentes unidades del rea A en labores tales como: iseHar un sistema Elaborar los programas %perar el sistema Control de calidad
!e debe evitar ;ue una misma persona tenga el control de toda una operación. Es importante la utilización óptima de recursos mediante la preparación de planes a ser evaluados continuamente.
Acc"one# "m:lementa$? 'a unidad in9ormtica debe estar al ms alto nivel de la pirmide administrativa de manera ;ue cumpla con sus ob
C.
Cont$ole# de S"#tema en De#a$$ollo P$oducc"=n
pág. 17
!e debe estar seguros ;ue los sistemas implementados =an sido la me
Acc"one# a #e!u"$? 'os usuarios deben participar en el diseHo e implantación de los sistemas pues aportan el conocimiento y experiencia de su rea y así se 9acilita el proceso de cambio. El personal de auditoría interna@control debe 9ormar parte del grupo de diseHo para sugerir y solicitar la implantación de rutinas de control. El desarrollo diseHo y mantenimiento de sistemas obedece a planes especí9icos metodologías estndares procedimientos y en general a normatividad escrita y aprobada. Cada 9ase concluida debe ser aprobada 9ormalmente por los usuarios mediante actas u otros mecanismos 9ísicos con el 9in de evitar reclamos posteriores. reviamente a pasar a la etapa de roducción los programas deben ser probados con datos ;ue agoten todas las excepciones posibles. #odos los sistemas deben estar debidamente documentados y actualizados. 'a documentación deber contener: "n9orme de 9actibilidad iagrama de blo;ue iagrama de lógica del programa %b
de P$oce#am"ento
'os controles de procesamiento se re9ieren al ciclo ;ue sigue la in9ormación desde la entrada =asta la salida de la in9ormación lo ;ue conlleva al establecimiento de una serie de seguridades para: Asegurar ;ue todos los datos sean procesados. /arantizar la exactitud de los datos procesados. /arantizar ;ue se grabe un arc=ivo para uso de la gerencia y con 9ines de auditoría. Asegurar ;ue los resultados sean entregados a los usuarios en 9orma oportuna y en las me
Acc"one# a #e!u"$? +alidación de datos de entrada previa al procesamiento. ebe ser realizada en 9orma automtica: clave dígito auto veri9icador totales de lotes etc. reparación de datos de entrada debe ser responsabilidad de usuarios y resultar en su corrección. Recepción de datos de entrada y distribución de in9ormación de salida debe obedecer a un =orario elaborado en coordinación con el usuario realizando un debido control de calidad. Adoptar acciones necesarias para correcciones de errores. Analizar conveniencia costo@bene9icio de estandarización de 9ormularios lo ;ue permitiría agilizar la captura de datos y minimizar errores. 'os procesos interactivos deben garantizar una adecuada interrelación entre usuario y sistema. lani9icar el mantenimiento del =ardOare y so9tOare tomando todas las seguridades para garantizar la integridad de la in9ormación y el buen servicio a usuarios. E.
Cont$ole# en el u#o del ,"c$ocom:utado$
Esta resulta la tarea ms comple
Acc"one# a #e!u"$?
Ad;uisición de e;uipos de protección como supresores de alzas reguladores de volta
pág. 19
C.. ,ANUAL DE PROCEDI,IENTOS Es indispensable ;ue la empresa establezca un manual de procedimientos y operación actualizado en primera instancia para las principales operaciones considerando todas las políticas de la compaHía ;ue deben seguir todas las unidades y departamentos así como las políticas adicionales adoptadas por c ada unidad especí9ica. 'a preparación y mantenimiento de procedimientos escritos es necesario para: 1acilitar la revisión por personal encargado y responsable de la ad=erencia a las políticas establecidas. Establecer prcticas corporativas sólidas y consistentes. Ayudar a la Llluvia de ideasM administrativas. 1acilitar la capacitación y rotación de empleados. $na vez implementado la gerencia debe revisar periódicamente el cumplimiento de cada rea con los procedimientos establecidos. Adems el personal administrativo y de con9ianza apropiado debe mantener un arc=ivo central ;ue permita su uso y consulta expedita.
pág. 20
