Faculta de Administración y Negocios Sede Santiago Centro
CASO JUMBO
ASIGNATURA
: AUDITORIA DE SISTEMAS DE INFORMACIÓN II
SIGLA
: AUD 207-481
PROFESOR (RA)
: Eduardo Leyton
NCR
: 6316
ALUMNOS: María Eugenia Castro Patricio Navarro Orellana
Supermercados Jumbo Auditoria a la eficacia del Plan Informático Índice
•
Antecedentes Generales
•
Objetivos Generales Objetivos específicos Alcance de la auditoria Metodología
•
Opinión General
•
Observaciones y Sugerencias
• • •
2
Supermercados Jumbo Auditoria a la eficacia del Plan Informático I.- Antecedentes Generales La cadena de Supermercados Jumbo pertenece a la categoría retaíl en el Mercado. Ultimamente, ha ampliado su negocio y ya cuenta con varias sucursales en gran parte de la Región Metropolitana. Cabe señalar que en la organización trabajan alrededor de 2250 personas de las cuales 175 dependen directamente del Jefe de Informática Corporativo. Objetivo General Los objetivos generales del presente trabajo tienen por finalidad tomar conocimiento y evaluar la eficacia en términos de funcionalidad, integridad y disponibilidad del Plan Informático del Grupo Supermercados Jumbo. En este sentido emitir una opinión sobre la racionabilidad de su funcionamiento general, su eficacia como sistema de información para la toma de decisiones en el apoyo a la gestión de Supermercados Jumbo. Objetivos Especìficos El cumplimiento del objetivo general de esta Auditoria consideró los siguientes objetivos específicos: 1.- Evaluar la efectividad y eficiencia de las operaciones y cumplimiento de los objetivos informáticos básicos de la empresa, salvaguardando los recursos del área sistemas de la misma, incluyendo los hardwares y software en funcionamiento. 2.- Cumplimiento de la regulación aplicable: leyes, estatutos, reglamentos e instrucciones internas así como también el cumplimiento de las normas internacionales ISO y COBIT, entre otras. 3. El control interno debe promover la eficiencia de las operaciones informáticas de la empresa, de manera que se reduzcan los riesgos de pérdidas de activos como por ejemplo, hardware, software y otros recursos relativos al Área Informática. 4.- Conocer el grado de satisfacción de los usuarios del sistema respecto a su funcionalidad, operatividad, disponibilidad y tiempo de respuesta.
3
5.- Determinar si existen garantías suficientes para proteger los accesos no autorizados a la información reservada de la empresa.
Alcance de la Auditoria Conforme a los objetivos específicos señalados anteriormente, nuestra auditoria se concentró en primer lugar, en la conceptualización, objetivos, estructura y funcionalidad que dieron origen al desarrollo del Plan Informático del Grupo Supermercados Jumbo. Al respecto, la auditoria se abocará a revisar los antecedentes técnicos de diseño, modelamiento de datos y funcionalidad
Metodología Para el logro de los objetivos propuestos, la revisión y el análisis se orientó preferentemente a la aplicación de procedimientos sustantivos y de cumplimiento sobre el sistema bajo auditoria y sobre los controles generales y de aplicación diseñado para el Plan Informático de Jumbo. Además nuestros procedimientos se basaron fundamentalmente en los estándares de las fases básicas de un proceso de revisión los que se detallamos a continuación: •
•
•
•
Estudio preliminar.- Este estudio incluyó definir el grupo de trabajo, el programa de auditoría, efectuar visitas a la unidad de informática, para conocer detalles de la misma, elaborar un cuestionario para la obtención de información para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de políticas, reglamentos y entrevistas con los principales funcionarios de la empresa relacionados al área de informática. Revisión y evaluación de controles y seguridades.- Este trabajo consistió en la revisión de los diagramas de flujo de procesos, en la realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las áreas críticas, y la revisión de documentación y archivos. Examen detallado de áreas críticas.- Las fases anteriores nos permitieron descubrir las áreas críticas y sobre ellas se hizo un estudio y análisis profundo. Comunicación de resultados.- Se elaboró el borrador del informe y fue discutido con los ejecutivos de la empresa hasta llegar a este informe definitivo.
Por últimos nuestros procedimientos se orientaron a la evaluación de la calidad e integridad de los sistemas de información del Plan Jumbo. Así como también, el presente trabajo contempló la realización de reuniones programadas con todos aquellos profesionales 4
vinculados, directa o indirectamente, con la implementación, administración, operación y mantención del Plan Informático de Supermercados Jumbo. II.- Opinión General Los Sistema de información de Empresas JUMBO, con la extensión que consideramos necesaria para establecer una base de confianza en ellos y determinar la naturaleza, alcance y oportunidad de los procedimientos de auditoría necesarios para permitirnos expresar una opinión sobre estos. En virtud del alcance e importancia de algunos de los aspectos de control interno que hemos constatado durante el desarrollo de esta auditoria, hemos preparado el presente informe presentando en primera instancia aquellas deficiencias de control interno de carácter estratégico, es decir, aquellas de carácter global que afectan a la organización como un todo; posteriormente cada una de las deficiencias de control interno genéricas serán desagregadas en una serie de puntos específicos de control interno que sustentan la observación general. En este contexto, nuestra consideración de la estructura de control interno, no necesariamente cubre la totalidad de las debilidades eventualmente existentes en las áreas sujetas a revisión, ni se indican los procedimientos correctamente establecidos. La Administración de Empresas Jumbo, es la responsable del establecimiento y mantención del sistema de control interno. Para cumplir con esta responsabilidad, la administración necesita hacer apreciaciones y juicios para poder evaluar los beneficios esperados y los costos relacionados con los procedimientos de control. Los objetivos de un sistema de control, son los de proporcionar a la Administración un razonable grado de seguridad, pero no absoluto, de que los Planes de desarrollo están resguardados contra pérdidas por disposiciones o usos no autorizados, y que las transacciones se ejecutan de acuerdo con principios generalmente aceptados. De la revisión practicada hasta la fecha, nuestro estudio y evaluación ha revelado debilidades importantes en el sistema de control interno y estructura organizacional de la Institución, por lo que resulta un riesgo relevante que eventualmente ocurran errores e irregularidades por montos significativos, en relación a los estados financieros tomados en su conjunto. En este contexto, las principales áreas criticas detectadas así como puntos control identificados dentro de la Cooperativas, nos permite determinar las debilidades al no tener un sistema de control interno de carácter estratégico, por tanto, a continuación detallaremos un conjunto de observaciones de control específicas que son presentadas en nuestro informe final con la solución sugerida por nosotros. Este conjunto de áreas y circunstancias que enmarcan el accionar de una Cooperativa desde la perspectiva del control interno y que son determinantes del grado en que los principios 5
de este último imperan sobre las conductas y los procedimientos organizacionales es lo que denominamos Ambiente de Control. Los factores principales que nosotros como auditores debemos considerar son: - Cambios en el entorno - Nuevos sistemas y procedimientos III .- Observaciones y Recomendaciones Estructura Organizacional y Organigrama del Área Informática La estructura organizacional de una Empresa está compuesta por los socios y por ende surge como respuesta a las necesidades del individuo. De esta forma, el primer paso real en la organización de una empresa es que exista una necesidad. Luego debe haber interés en conocer el modelo empresarial e implementarlo, para definir los objetivos, deberes y funciones dentro de la misma. La estructura y gestión organizacional de la Empresa JUMBO es claramente inadecuada en relación al estado del arte actual en esta materia, sobre todo en instituciones de servicios del tipo y tamaño similar a JUMBO. Es por ello, tener presente que cada organización debe estructurar un Organigrama ilustrativo, que indique cuales son los niveles de responsabilidades según el cargo y obligaciones a cumplir dentro de la Cooperativa. Observaciones Detectadas Hemos constatado la existencia de una estructura organizacional carente de “Formalidad Administrativa”, esto es, una estructura “plana”, donde todos tienen prácticamente el mismo nivel jerárquico, sin niveles de autoridad intermedios ni sus correspondientes líneas de dependencia y grados de responsabilidad claramente definidos entre ellos. Recomendaciones 1) Rediseñar la estructura organizacional del área Informática de la Empresa, confeccionando completamente un organigrama de la empresa, de manera de establecer con claridad al menos el siguiente nivel de autoridad Departamental: Gerencia General, Gerencia de Informática, Gerencia de Administración de datos, Gerencia de Adquisiciones software y hardware, Gerencia de Operaciones e idealmente; todas dependientes de la Gerencia General y con las atribuciones, autoridad, responsabilidad, recursos e independencia que les sean necesarias para cumplir adecuadamente sus funciones. En este contexto, los distintos departamentos deberán ser asignados a cada gerencia de acuerdo a la naturaleza de su gestión, definiendo sus funciones, tareas específicas y responsabilidades 6
asociadas. La Gerencia General deberá centrarse en liderar el equipo gerencial en aquellas decisiones de más alto nivel, tales como la definición de planes, políticas y estrategias comerciales, tecnológicas e informáticas , que tiendan a asegurar la permanencia, el desarrollo y crecimiento de la Institución sobre bases sólidas. 2) Relacionado con el punto anterior, para llevar a buen término la reorganización sugerida, consideramos fundamental el desarrollo de un “Estudio de Organización y Métodos” que determine y documente en términos formales todas las tareas y procesos que desarrolla cada departamento, estableciendo con claridad aquellos que realiza utilizando los sistemas de información computacionales actualmente en uso así como aquellos de tipo “manual” (planillas Excel u otros de carácter similar). Control en los inventarios El manejo de los inventarios en una organización es de vital importancia pues los activos en este caso software, hardware y bases de datos, representan en gran medida la base de trabajo y seguridad de una empresa. Observaciones Detectadas Durante nuestra revisión a los inventarios detectamos una carencia en la mantención de estos no existen datos actualizados en donde se pueda constatar documentos fehacientes en donde se puedan registrar las entradas y salidas de hardware esto puede causar fugas equipos lectores, base de datos de proveedores, y listas precios. Recomendaciones 1) Realizar inventarios periódicos con el fin de salvaguardar la integridad de hardware y bases de datos. 2) Manejar un registro de existencias con sus entradas y salidas, con esto mantener un historial de cada movimiento de los activos tangibles e intangibles, 3) Nombrar un encargado que se haga responsable de mantener y responder en casos de pérdida o fuga de datos. Seguridad Informática Es importante para las empresas JUMBO, desarrollar e implantar un Plan de Contingencias, a objeto de poder enfrentar adecuadamente eventuales amenazas y/o desastres, disminuyendo de este modo los riesgos de pérdida de información e interrupción y/o paralización de sus operaciones formales.
7
Obviamente este aspecto es básico y necesario, sin embargo, la visión de un Plan de Contingencias debe ser estratégica y el enfoque de mucho mayor alcance: lo que se trata es recuperar los datos e información en el mismo estado en que estaban antes de la emergencia y que los mismos estén disponibles para los usuarios una vez levantada la red y se encuentren operativos los sistemas de información. En este sentido, un Plan de Contingencias debe considerar no sólo al área de informática sino que a todo el personal de las diversas unidades, departamentos o áreas cuyo trabajo depende o se ve afectado en una u otra medida por el uso de los sistemas de información computacionales. Sugerencias
Establecer un Plan de Contingencias que debe considerar entre otros aspectos: Planificación general de cómo enfrentar las eventuales contingencias de acuerdo a su grado de importancia y/o impacto en la continuidad de las operaciones de la Entidad (requiere confeccionar una matriz de riesgo). Costo estimado. Priorización de actividades, procesos e información estratégica. Acceso y recuperación de respaldos actualizados. Definición e identificación de los integrantes del plan así como los medios de contacto ante una emergencia (teléfonos fijos y celulares, mail, etc.) Secuencia y definición formal de las tareas a realizar por cada una de las unidades, departamentos o áreas así como de cada uno de sus integrantes una vez ocurrida la emergencia. Chequeo del estado de la información y datos disponibles por cada unidad, área o departamento (controles de cuadraturas con archivos físicos impresos por ejemplo) Prueba del plan en un período a definir, documentado y analizando sus resultados, de manera de detectar las eventuales fallas que pudiera presentar y poder establecer los mecanismos de solución. En este sentido, el plan se optimiza hasta ser nuevamente sometido a prueba en el futuro. • • •
•
•
•
Seguridad en el manejo de software Durante la revisión se pudo establecer que la seguridad carece de un conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de la empresa y para ello verificar si todo se realiza conforme a los programas adoptados, ordenes impartidas y principios admitidos. Observaciones detectadas Fata de seguridad en el manejo de software, existen configuraciones computacionales idénticas. 8
No existe un procedimiento formal para informar los avances de los proyectos (solo se informa cuando esta el proyecto finalizado) y esto implica que de haberse filtrado un error no se puede identificar y corregir hasta que el software esté terminado Las pruebas para realizar, corroborar y verificar que los sistemas desarrollados estén en buen funcionamiento son mínimas (solo se realiza una en forma global) No existe manual de procedimientos para ejecutar requerimientos ( no existe prioridad por falla de equipos o software (solo por orden de llegada de acuerdo a un manual de diseño lógico) el que se debe mejorar. Los software no están en línea como por ejemplo el proceso de remuneraciones, contabilidad, control de stock, control de caja, tesorería e inventario, lo que complica la transparencia de la información y la inmediatez con que se requieren los datos, sobretodo en áreas tan sensibles. Recomendaciones Controles particulares tanto en la parte física como en la lógica se detallan a continuación Autenticidad: Permiten verificar la identidad; Passwords, Firmas digitales Exactitud: Aseguran la coherencia de los datos; Validación de campos, Validación de excesos Totalidad: Evitan la omisión de registros así como garantizan la conclusión de un proceso de envío; Conteo de registros, Cifras de control Redundancia: Evitan la duplicidad de datos; Cancelación de lotes, Verificación de secuencias Privacidad: Aseguran la protección de los datos; Compactación, Encriptación Existencia: Aseguran la disponibilidad de los datos; Bitácora de estados, Mantenimiento de activos Eficiencia: Aseguran el uso óptimo de los recursos; Programas monitores, Análisis costo beneficio, Controles automáticos o lógicos Periodicidad de cambio de claves de acceso Los cambios de las claves de acceso a los programas se deben realizar periódicamente. Normalmente los usuarios se acostumbran a conservar la misma clave que le asignaron inicialmente. El no cambiar las claves periódicamente aumenta la posibilidad de que personas no autorizadas conozcan y utilicen claves de usuarios del sistema de computación. Por lo tanto se recomienda cambiar claves por lo menos trimestralmente. Combinación de alfanuméricos en claves de acceso No es conveniente que la clave este compuesta por códigos de empleados, ya que una persona no autorizada a través de pruebas simples o de deducciones puede dar con dicha clave. Verificación de datos de entrada Incluir rutinas que verifiquen la compatibilidad de los datos mas no su exactitud o precisión; tal es el caso de la validación del tipo de datos que contienen los campos o verificar si se encuentran dentro de un rango. 9
Utilizar software de seguridad en los microcomputadores El software de seguridad permite restringir el acceso al microcomputador, de tal modo que solo el personal autorizado pueda utilizarlo. Adicionalmente, este software permite reforzar la segregación de funciones y la confidencialidad de la información mediante controles para que los usuarios puedan acceder solo a los programas y datos para los que están autorizados. Controles administrativos en un ambiente de Procesamiento de Datos La máxima autoridad del Área de Informática de una empresa o institución debe implantar los siguientes controles que se agruparan de la siguiente forma: Controles de Preinstalación Hacen referencia a procesos y actividades previas a la adquisición e instalación de un equipo de computación y obviamente a la automatización de los sistemas existentes. Objetivos: • Garantizar que el hardware y software se adquieran siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa. • Garantizar la selección adecuada de equipos y sistemas de computación • Asegurar la elaboración de un plan de actividades previo a la instalación Acciones a seguir: • Elaboración de un informe técnico en el que se justifique la adquisición del equipo, software y servicios de computación, incluyendo un estudio costo-beneficio. • Formación de un comité que coordine y se responsabilice de todo el proceso de adquisición e instalación • Elaborar un plan de instalación de equipo y software (fechas, actividades, responsables) el mismo que debe contar con la aprobación de los proveedores del equipo. • Elaborar un instructivo con procedimientos a seguir para la selección y adquisición de equipos, programas y servicios computacionales. Este proceso debe enmarcarse en normas y disposiciones legales. • Efectuar las acciones necesarias para una mayor participación de proveedores. • Asegurar respaldo de mantenimiento y asistencia técnica. Controles de organización y Planificación Se refiere a la definición clara de funciones, línea de autoridad y responsabilidad de las diferentes unidades del área PAD, en labores tales como: Diseñar un sistema Elaborar los programas Operar el sistema Control de calidad Se debe evitar que una misma persona tenga el control de toda una operación. Es importante la utilización óptima de recursos mediante la preparación de planes a ser evaluados continuamente Acciones a seguir 10
• La unidad informática debe estar al mas alto nivel de la pirámide administrativa de manera que cumpla con sus objetivos, cuente con el apoyo necesario y la dirección efectiva. • Las funciones de operación, programación y diseño de sistemas deben estar claramente delimitadas. • Deben existir mecanismos necesarios a fin de asegurar que los programadores y analistas no tengan acceso a la operación del computador y los operadores a su vez no conozcan la documentación de programas y sistemas. • Debe existir una unidad de control de calidad, tanto de datos de entrada como de los resultados del procesamiento. • El manejo y custodia de dispositivos y archivos magnéticos deben estar expresamente definidos por escrito. • Las actividades deben obedecer a planificaciones a corto, mediano y largo plazo sujetos a evaluación y ajustes periódicos "Plan Maestro de Informática" • Debe existir una participación efectiva de directivos, usuarios y personal en la planificación y evaluación del cumplimiento del plan. • Las instrucciones deben impartirse por escrito. Controles de Sistema en Desarrollo y Producción Se debe justificar que los sistemas han sido la mejor opción para la empresa, bajo una relación costo-beneficio que proporcionen oportuna y efectiva información, que los sistemas se han desarrollado bajo un proceso planificado y se encuentren debidamente documentados. Acciones a seguir: Los usuarios deben participar en el diseño e implantación de los sistemas pues aportan conocimiento y experiencia de su área y esta actividad facilita el proceso de cambio • El personal de auditoría interna/control debe formar parte del grupo de diseño para sugerir y solicitar la implantación de rutinas de control • El desarrollo, diseño y mantenimiento de sistemas obedece a planes específicos, metodologías estándares, procedimientos y en general a normatividad escrita y aprobada. • Cada fase concluida debe ser aprobada documentadamente por los usuarios mediante actas u otros mecanismos a fin de evitar reclamos posteriores. • Los programas antes de pasar a Producción deben ser probados con datos que agoten todas las excepciones posibles. • Todos los sistemas deben estar debidamente documentados y actualizados. La documentación deberá contener: Informe de factibilidad Diagrama de bloque Diagrama de lógica del programa Objetivos del programa Listado original del programa y versiones que incluyan los cambios efectuados con antecedentes de pedido y aprobación de modificaciones Formatos de salida Resultados de pruebas realizadas • Implantar procedimientos de solicitud, aprobación y ejecución de cambios a programas, formatos de los sistemas en desarrollo. 11
• El sistema concluido será entregado al usuario previo entrenamiento y elaboración de los manuales de operación respectivos Controles de Procesamiento Los controles de procesamiento se refieren al ciclo que sigue la información desde la entrada hasta la salida de la información, lo que conlleva al establecimiento de una serie de seguridades para: • Asegurar que todos los datos sean procesados • Garantizar la exactitud de los datos procesados • Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditoría • Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones. Acciones a seguir: • Validación de datos de entrada previo procesamiento debe ser realizada en forma automática: clave, dígito auto verificador, totales de lotes, etc. • Preparación de datos de entrada debe ser responsabilidad de usuarios y consecuentemente su corrección. • Recepción de datos de entrada y distribución de información de salida debe obedecer a un horario elaborado en coordinación con el usuario, realizando un debido control de calidad. • Adoptar acciones necesarias para correcciones de errores. • Analizar conveniencia costo-beneficio de estandarización de formularios, fuente para agilitar la captura de datos y minimizar errores. • Los procesos interactivos deben garantizar una adecuada interrelación entre usuario y sistema. • Planificar el mantenimiento del hardware y software, tomando todas las seguridades para garantizar la integridad de la información y el buen servicio a usuarios. Controles en el uso del Microcomputador Es la tarea más difícil pues son equipos mas vulnerables, de fácil acceso, de fácil explotación pero los controles que se implanten ayudaran a garantizar la integridad y confidencialidad de la información. Acciones a seguir: • Adquisición de equipos de protección como supresores de pico, reguladores de voltaje y de ser posible UPS previo a la adquisición del equipo • Vencida la garantía de mantenimiento del proveedor se debe contratar mantenimiento preventivo y correctivo. • Establecer procedimientos para obtención de backups de paquetes y de archivos de datos. • Revisión periódica y sorpresiva del contenido del disco para verificar la instalación de aplicaciones no relacionadas a la gestión de la empresa. • Mantener programas y procedimientos de detección e inmunización de virus en copias no autorizadas o datos procesados en otros equipos. • Propender a la estandarización del Sistema Operativo, software utilizado como procesadores de palabras, hojas electrónicas, manejadores de base de datos y mantener actualizadas las versiones y la capacitación sobre modificaciones incluidas. 12
Manual de Procedimientos En visita y entrevistas con el personal encargado de desarrollar los planes informáticos, usuarios y operadores de sistemas de Empresas Jumbo, no se detecto el uso de manuales de procedimientos para realizar sus procesos lo que podría presumir que carece de estos. Observaciones Detectadas La Sociedad no cuenta con manuales de procedimientos administrativos para las principales operaciones y/o transacciones. En la práctica, las funciones en cada área operativa se desarrollan sobre la base de instrucciones verbales, memorándum y principalmente por el conocimiento que cada persona tiene de las operaciones. En general, un sistema de administración e información no documentado, permite que las operaciones se realicen y registren de acuerdo a la interpretación o iniciativa personal del funcionario, pudiendo no ajustarse a las políticas, procedimientos e intereses de la administración. Recomendaciones Recomendamos que la Gerencia establezca un manual de procedimientos de operación actualizado, en una primera etapa, para las principales operaciones, considerando todas las políticas de la compañía que deben seguir todas las unidades y departamentos, así como las políticas adicionales adoptadas por unidades específicas. La preparación y mantenimiento de procedimientos escritos es necesario para: Facilitar la revisión por personal confianza de la adherencia a las políticas establecidas. Establecer prácticas corporativas consistentes. Ayudar al intercambio de ideas administrativas. Facilitar la capacitación y rotación de empleados. La Gerencia debe revisar periódicamente el cumplimiento de cada área con los procedimientos establecidos. Además, el personal administrativo y de confianza apropiado debe mantener un archivo central que permita su uso y consulta expedita.
13