Вы находитесь на странице: 1из 13

Faculta de Administracin y Negocios Sede Santiago Centro

CASO JUMBO

ASIGNATURA

: AUDITORIA DE SISTEMAS DE INFORMACIN II

SIGLA

: AUD 207-481

NCR

: 6316

PROFESOR (RA)

: Eduardo Leyton

ALUMNOS: Mara Eugenia Castro Patricio Navarro Orellana

Supermercados Jumbo Auditoria a la eficacia del Plan Informtico ndice

Antecedentes Generales Objetivos Generales Objetivos especficos Alcance de la auditoria Metodologa

Opinin General

Observaciones y Sugerencias

Supermercados Jumbo Auditoria a la eficacia del Plan Informtico


I.- Antecedentes Generales La cadena de Supermercados Jumbo pertenece a la categora retal en el Mercado. Ultimamente, ha ampliado su negocio y ya cuenta con varias sucursales en gran parte de la Regin Metropolitana. Cabe sealar que en la organizacin trabajan alrededor de 2250 personas de las cuales 175 dependen directamente del Jefe de Informtica Corporativo. Objetivo General Los objetivos generales del presente trabajo tienen por finalidad tomar conocimiento y evaluar la eficacia en trminos de funcionalidad, integridad y disponibilidad del Plan Informtico del Grupo Supermercados Jumbo. En este sentido emitir una opinin sobre la racionabilidad de su funcionamiento general, su eficacia como sistema de informacin para la toma de decisiones en el apoyo a la gestin de Supermercados Jumbo. Objetivos Especficos El cumplimiento del objetivo general de esta Auditoria consider los siguientes objetivos especficos: 1.- Evaluar la efectividad y eficiencia de las operaciones y cumplimiento de los objetivos informticos bsicos de la empresa, salvaguardando los recursos del rea sistemas de la misma, incluyendo los hardwares y software en funcionamiento. 2.- Cumplimiento de la regulacin aplicable: leyes, estatutos, reglamentos e instrucciones internas as como tambin el cumplimiento de las normas internacionales ISO y COBIT, entre otras. 3. El control interno debe promover la eficiencia de las operaciones informticas de la empresa, de manera que se reduzcan los riesgos de prdidas de activos como por ejemplo, hardware, software y otros recursos relativos al rea Informtica. 4.- Conocer el grado de satisfaccin de los usuarios del sistema respecto a su funcionalidad, operatividad, disponibilidad y tiempo de respuesta.

5.- Determinar si existen garantas suficientes para proteger los accesos no autorizados a la informacin reservada de la empresa.

Alcance de la Auditoria Conforme a los objetivos especficos sealados anteriormente, nuestra auditoria se concentr en primer lugar, en la conceptualizacin, objetivos, estructura y funcionalidad que dieron origen al desarrollo del Plan Informtico del Grupo Supermercados Jumbo. Al respecto, la auditoria se abocar a revisar los antecedentes tcnicos de diseo, modelamiento de datos y funcionalidad

Metodologa Para el logro de los objetivos propuestos, la revisin y el anlisis se orient preferentemente a la aplicacin de procedimientos sustantivos y de cumplimiento sobre el sistema bajo auditoria y sobre los controles generales y de aplicacin diseado para el Plan Informtico de Jumbo. Adems nuestros procedimientos se basaron fundamentalmente en los estndares de las fases bsicas de un proceso de revisin los que se detallamos a continuacin:

Estudio preliminar.- Este estudio incluy definir el grupo de trabajo, el programa de auditora, efectuar visitas a la unidad de informtica, para conocer detalles de la misma, elaborar un cuestionario para la obtencin de informacin para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de polticas, reglamentos y entrevistas con los principales funcionarios de la empresa relacionados al rea de informtica. Revisin y evaluacin de controles y seguridades.- Este trabajo consisti en la revisin de los diagramas de flujo de procesos, en la realizacin de pruebas de cumplimiento de las seguridades, revisin de aplicaciones de las reas crticas, y la revisin de documentacin y archivos. Examen detallado de reas crticas.- Las fases anteriores nos permitieron descubrir las reas crticas y sobre ellas se hizo un estudio y anlisis profundo. Comunicacin de resultados.- Se elabor el borrador del informe y fue discutido con los ejecutivos de la empresa hasta llegar a este informe definitivo.

Por ltimos nuestros procedimientos se orientaron a la evaluacin de la calidad e integridad de los sistemas de informacin del Plan Jumbo. As como tambin, el presente trabajo contempl la realizacin de reuniones programadas con todos aquellos profesionales
4

vinculados, directa o indirectamente, con la implementacin, administracin, operacin y mantencin del Plan Informtico de Supermercados Jumbo. II.- Opinin General Los Sistema de informacin de Empresas JUMBO, con la extensin que consideramos necesaria para establecer una base de confianza en ellos y determinar la naturaleza, alcance y oportunidad de los procedimientos de auditora necesarios para permitirnos expresar una opinin sobre estos. En virtud del alcance e importancia de algunos de los aspectos de control interno que hemos constatado durante el desarrollo de esta auditoria, hemos preparado el presente informe presentando en primera instancia aquellas deficiencias de control interno de carcter estratgico, es decir, aquellas de carcter global que afectan a la organizacin como un todo; posteriormente cada una de las deficiencias de control interno genricas sern desagregadas en una serie de puntos especficos de control interno que sustentan la observacin general. En este contexto, nuestra consideracin de la estructura de control interno, no necesariamente cubre la totalidad de las debilidades eventualmente existentes en las reas sujetas a revisin, ni se indican los procedimientos correctamente establecidos. La Administracin de Empresas Jumbo, es la responsable del establecimiento y mantencin del sistema de control interno. Para cumplir con esta responsabilidad, la administracin necesita hacer apreciaciones y juicios para poder evaluar los beneficios esperados y los costos relacionados con los procedimientos de control. Los objetivos de un sistema de control, son los de proporcionar a la Administracin un razonable grado de seguridad, pero no absoluto, de que los Planes de desarrollo estn resguardados contra prdidas por disposiciones o usos no autorizados, y que las transacciones se ejecutan de acuerdo con principios generalmente aceptados. De la revisin practicada hasta la fecha, nuestro estudio y evaluacin ha revelado debilidades importantes en el sistema de control interno y estructura organizacional de la Institucin, por lo que resulta un riesgo relevante que eventualmente ocurran errores e irregularidades por montos significativos, en relacin a los estados financieros tomados en su conjunto. En este contexto, las principales reas criticas detectadas as como puntos control identificados dentro de la Cooperativas, nos permite determinar las debilidades al no tener un sistema de control interno de carcter estratgico, por tanto, a continuacin detallaremos un conjunto de observaciones de control especficas que son presentadas en nuestro informe final con la solucin sugerida por nosotros. Este conjunto de reas y circunstancias que enmarcan el accionar de una Cooperativa desde la perspectiva del control interno y que son determinantes del grado en que los principios
5

de este ltimo imperan sobre las conductas y los procedimientos organizacionales es lo que denominamos Ambiente de Control. Los factores principales que nosotros como auditores debemos considerar son: - Cambios en el entorno - Nuevos sistemas y procedimientos III .- Observaciones y Recomendaciones Estructura Organizacional y Organigrama del rea Informtica La estructura organizacional de una Empresa est compuesta por los socios y por ende surge como respuesta a las necesidades del individuo. De esta forma, el primer paso real en la organizacin de una empresa es que exista una necesidad. Luego debe haber inters en conocer el modelo empresarial e implementarlo, para definir los objetivos, deberes y funciones dentro de la misma. La estructura y gestin organizacional de la Empresa JUMBO es claramente inadecuada en relacin al estado del arte actual en esta materia, sobre todo en instituciones de servicios del tipo y tamao similar a JUMBO. Es por ello, tener presente que cada organizacin debe estructurar un Organigrama ilustrativo, que indique cuales son los niveles de responsabilidades segn el cargo y obligaciones a cumplir dentro de la Cooperativa. Observaciones Detectadas Hemos constatado la existencia de una estructura organizacional carente de Formalidad Administrativa, esto es, una estructura plana, donde todos tienen prcticamente el mismo nivel jerrquico, sin niveles de autoridad intermedios ni sus correspondientes lneas de dependencia y grados de responsabilidad claramente definidos entre ellos. Recomendaciones 1) Redisear la estructura organizacional del rea Informtica de la Empresa, confeccionando completamente un organigrama de la empresa, de manera de establecer con claridad al menos el siguiente nivel de autoridad Departamental: Gerencia General, Gerencia de Informtica, Gerencia de Administracin de datos, Gerencia de Adquisiciones software y hardware, Gerencia de Operaciones e idealmente; todas dependientes de la Gerencia General y con las atribuciones, autoridad, responsabilidad, recursos e independencia que les sean necesarias para cumplir adecuadamente sus funciones. En este contexto, los distintos departamentos debern ser asignados a cada gerencia de acuerdo a la naturaleza de su gestin, definiendo sus funciones, tareas especficas y responsabilidades
6

asociadas. La Gerencia General deber centrarse en liderar el equipo gerencial en aquellas decisiones de ms alto nivel, tales como la definicin de planes, polticas y estrategias comerciales, tecnolgicas e informticas , que tiendan a asegurar la permanencia, el desarrollo y crecimiento de la Institucin sobre bases slidas. 2) Relacionado con el punto anterior, para llevar a buen trmino la reorganizacin sugerida, consideramos fundamental el desarrollo de un Estudio de Organizacin y Mtodos que determine y documente en trminos formales todas las tareas y procesos que desarrolla cada departamento, estableciendo con claridad aquellos que realiza utilizando los sistemas de informacin computacionales actualmente en uso as como aquellos de tipo manual (planillas Excel u otros de carcter similar). Control en los inventarios El manejo de los inventarios en una organizacin es de vital importancia pues los activos en este caso software, hardware y bases de datos, representan en gran medida la base de trabajo y seguridad de una empresa. Observaciones Detectadas Durante nuestra revisin a los inventarios detectamos una carencia en la mantencin de estos no existen datos actualizados en donde se pueda constatar documentos fehacientes en donde se puedan registrar las entradas y salidas de hardware esto puede causar fugas equipos lectores, base de datos de proveedores, y listas precios. Recomendaciones 1) Realizar inventarios peridicos con el fin de salvaguardar la integridad de hardware y bases de datos. 2) Manejar un registro de existencias con sus entradas y salidas, con esto mantener un historial de cada movimiento de los activos tangibles e intangibles, 3) Nombrar un encargado que se haga responsable de mantener y responder en casos de prdida o fuga de datos. Seguridad Informtica Es importante para las empresas JUMBO, desarrollar e implantar un Plan de Contingencias, a objeto de poder enfrentar adecuadamente eventuales amenazas y/o desastres, disminuyendo de este modo los riesgos de prdida de informacin e interrupcin y/o paralizacin de sus operaciones formales.

Obviamente este aspecto es bsico y necesario, sin embargo, la visin de un Plan de Contingencias debe ser estratgica y el enfoque de mucho mayor alcance: lo que se trata es recuperar los datos e informacin en el mismo estado en que estaban antes de la emergencia y que los mismos estn disponibles para los usuarios una vez levantada la red y se encuentren operativos los sistemas de informacin. En este sentido, un Plan de Contingencias debe considerar no slo al rea de informtica sino que a todo el personal de las diversas unidades, departamentos o reas cuyo trabajo depende o se ve afectado en una u otra medida por el uso de los sistemas de informacin computacionales. Sugerencias

Establecer un Plan de Contingencias que debe considerar entre otros aspectos: Planificacin general de cmo enfrentar las eventuales contingencias de acuerdo a su grado de importancia y/o impacto en la continuidad de las operaciones de la Entidad (requiere confeccionar una matriz de riesgo). Costo estimado. Priorizacin de actividades, procesos e informacin estratgica. Acceso y recuperacin de respaldos actualizados. Definicin e identificacin de los integrantes del plan as como los medios de contacto ante una emergencia (telfonos fijos y celulares, mail, etc.) Secuencia y definicin formal de las tareas a realizar por cada una de las unidades, departamentos o reas as como de cada uno de sus integrantes una vez ocurrida la emergencia. Chequeo del estado de la informacin y datos disponibles por cada unidad, rea o departamento (controles de cuadraturas con archivos fsicos impresos por ejemplo) Prueba del plan en un perodo a definir, documentado y analizando sus resultados, de manera de detectar las eventuales fallas que pudiera presentar y poder establecer los mecanismos de solucin. En este sentido, el plan se optimiza hasta ser nuevamente sometido a prueba en el futuro. Seguridad en el manejo de software Durante la revisin se pudo establecer que la seguridad carece de un conjunto de disposiciones metdicas, cuyo fin es vigilar las funciones y actitudes de la empresa y para ello verificar si todo se realiza conforme a los programas adoptados, ordenes impartidas y principios admitidos. Observaciones detectadas Fata de seguridad en el manejo de software, existen configuraciones computacionales idnticas.
8

No existe un procedimiento formal para informar los avances de los proyectos (solo se informa cuando esta el proyecto finalizado) y esto implica que de haberse filtrado un error no se puede identificar y corregir hasta que el software est terminado Las pruebas para realizar, corroborar y verificar que los sistemas desarrollados estn en buen funcionamiento son mnimas (solo se realiza una en forma global) No existe manual de procedimientos para ejecutar requerimientos ( no existe prioridad por falla de equipos o software (solo por orden de llegada de acuerdo a un manual de diseo lgico) el que se debe mejorar. Los software no estn en lnea como por ejemplo el proceso de remuneraciones, contabilidad, control de stock, control de caja, tesorera e inventario, lo que complica la transparencia de la informacin y la inmediatez con que se requieren los datos, sobretodo en reas tan sensibles. Recomendaciones Controles particulares tanto en la parte fsica como en la lgica se detallan a continuacin Autenticidad: Permiten verificar la identidad; Passwords, Firmas digitales Exactitud: Aseguran la coherencia de los datos; Validacin de campos, Validacin de excesos Totalidad: Evitan la omisin de registros as como garantizan la conclusin de un proceso de envo; Conteo de registros, Cifras de control Redundancia: Evitan la duplicidad de datos; Cancelacin de lotes, Verificacin de secuencias Privacidad: Aseguran la proteccin de los datos; Compactacin, Encriptacin Existencia: Aseguran la disponibilidad de los datos; Bitcora de estados, Mantenimiento de activos Eficiencia: Aseguran el uso ptimo de los recursos; Programas monitores, Anlisis costobeneficio, Controles automticos o lgicos Periodicidad de cambio de claves de acceso Los cambios de las claves de acceso a los programas se deben realizar peridicamente. Normalmente los usuarios se acostumbran a conservar la misma clave que le asignaron inicialmente. El no cambiar las claves peridicamente aumenta la posibilidad de que personas no autorizadas conozcan y utilicen claves de usuarios del sistema de computacin. Por lo tanto se recomienda cambiar claves por lo menos trimestralmente. Combinacin de alfanumricos en claves de acceso No es conveniente que la clave este compuesta por cdigos de empleados, ya que una persona no autorizada a travs de pruebas simples o de deducciones puede dar con dicha clave. Verificacin de datos de entrada Incluir rutinas que verifiquen la compatibilidad de los datos mas no su exactitud o precisin; tal es el caso de la validacin del tipo de datos que contienen los campos o verificar si se encuentran dentro de un rango.
9

Utilizar software de seguridad en los microcomputadores El software de seguridad permite restringir el acceso al microcomputador, de tal modo que solo el personal autorizado pueda utilizarlo. Adicionalmente, este software permite reforzar la segregacin de funciones y la confidencialidad de la informacin mediante controles para que los usuarios puedan acceder solo a los programas y datos para los que estn autorizados. Controles administrativos en un ambiente de Procesamiento de Datos La mxima autoridad del rea de Informtica de una empresa o institucin debe implantar los siguientes controles que se agruparan de la siguiente forma: Controles de Preinstalacin Hacen referencia a procesos y actividades previas a la adquisicin e instalacin de un equipo de computacin y obviamente a la automatizacin de los sistemas existentes. Objetivos: Garantizar que el hardware y software se adquieran siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa. Garantizar la seleccin adecuada de equipos y sistemas de computacin Asegurar la elaboracin de un plan de actividades previo a la instalacin Acciones a seguir: Elaboracin de un informe tcnico en el que se justifique la adquisicin del equipo, software y servicios de computacin, incluyendo un estudio costo-beneficio. Formacin de un comit que coordine y se responsabilice de todo el proceso de adquisicin e instalacin Elaborar un plan de instalacin de equipo y software (fechas, actividades, responsables) el mismo que debe contar con la aprobacin de los proveedores del equipo. Elaborar un instructivo con procedimientos a seguir para la seleccin y adquisicin de equipos, programas y servicios computacionales. Este proceso debe enmarcarse en normas y disposiciones legales. Efectuar las acciones necesarias para una mayor participacin de proveedores. Asegurar respaldo de mantenimiento y asistencia tcnica. Controles de organizacin y Planificacin Se refiere a la definicin clara de funciones, lnea de autoridad y responsabilidad de las diferentes unidades del rea PAD, en labores tales como: Disear un sistema Elaborar los programas Operar el sistema Control de calidad Se debe evitar que una misma persona tenga el control de toda una operacin. Es importante la utilizacin ptima de recursos mediante la preparacin de planes a ser evaluados continuamente Acciones a seguir
10

La unidad informtica debe estar al mas alto nivel de la pirmide administrativa de manera que cumpla con sus objetivos, cuente con el apoyo necesario y la direccin efectiva. Las funciones de operacin, programacin y diseo de sistemas deben estar claramente delimitadas. Deben existir mecanismos necesarios a fin de asegurar que los programadores y analistas no tengan acceso a la operacin del computador y los operadores a su vez no conozcan la documentacin de programas y sistemas. Debe existir una unidad de control de calidad, tanto de datos de entrada como de los resultados del procesamiento. El manejo y custodia de dispositivos y archivos magnticos deben estar expresamente definidos por escrito. Las actividades deben obedecer a planificaciones a corto, mediano y largo plazo sujetos a evaluacin y ajustes peridicos "Plan Maestro de Informtica" Debe existir una participacin efectiva de directivos, usuarios y personal en la planificacin y evaluacin del cumplimiento del plan. Las instrucciones deben impartirse por escrito. Controles de Sistema en Desarrollo y Produccin Se debe justificar que los sistemas han sido la mejor opcin para la empresa, bajo una relacin costo-beneficio que proporcionen oportuna y efectiva informacin, que los sistemas se han desarrollado bajo un proceso planificado y se encuentren debidamente documentados. Acciones a seguir: Los usuarios deben participar en el diseo e implantacin de los sistemas pues aportan conocimiento y experiencia de su rea y esta actividad facilita el proceso de cambio El personal de auditora interna/control debe formar parte del grupo de diseo para sugerir y solicitar la implantacin de rutinas de control El desarrollo, diseo y mantenimiento de sistemas obedece a planes especficos, metodologas estndares, procedimientos y en general a normatividad escrita y aprobada. Cada fase concluida debe ser aprobada documentadamente por los usuarios mediante actas u otros mecanismos a fin de evitar reclamos posteriores. Los programas antes de pasar a Produccin deben ser probados con datos que agoten todas las excepciones posibles. Todos los sistemas deben estar debidamente documentados y actualizados. La documentacin deber contener: Informe de factibilidad Diagrama de bloque Diagrama de lgica del programa Objetivos del programa Listado original del programa y versiones que incluyan los cambios efectuados con antecedentes de pedido y aprobacin de modificaciones Formatos de salida Resultados de pruebas realizadas Implantar procedimientos de solicitud, aprobacin y ejecucin de cambios a programas, formatos de los sistemas en desarrollo.
11

El sistema concluido ser entregado al usuario previo entrenamiento y elaboracin de los manuales de operacin respectivos Controles de Procesamiento Los controles de procesamiento se refieren al ciclo que sigue la informacin desde la entrada hasta la salida de la informacin, lo que conlleva al establecimiento de una serie de seguridades para: Asegurar que todos los datos sean procesados Garantizar la exactitud de los datos procesados Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditora Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones. Acciones a seguir: Validacin de datos de entrada previo procesamiento debe ser realizada en forma automtica: clave, dgito auto verificador, totales de lotes, etc. Preparacin de datos de entrada debe ser responsabilidad de usuarios y consecuentemente su correccin. Recepcin de datos de entrada y distribucin de informacin de salida debe obedecer a un horario elaborado en coordinacin con el usuario, realizando un debido control de calidad. Adoptar acciones necesarias para correcciones de errores. Analizar conveniencia costo-beneficio de estandarizacin de formularios, fuente para agilitar la captura de datos y minimizar errores. Los procesos interactivos deben garantizar una adecuada interrelacin entre usuario y sistema. Planificar el mantenimiento del hardware y software, tomando todas las seguridades para garantizar la integridad de la informacin y el buen servicio a usuarios. Controles en el uso del Microcomputador Es la tarea ms difcil pues son equipos mas vulnerables, de fcil acceso, de fcil explotacin pero los controles que se implanten ayudaran a garantizar la integridad y confidencialidad de la informacin. Acciones a seguir: Adquisicin de equipos de proteccin como supresores de pico, reguladores de voltaje y de ser posible UPS previo a la adquisicin del equipo Vencida la garanta de mantenimiento del proveedor se debe contratar mantenimiento preventivo y correctivo. Establecer procedimientos para obtencin de backups de paquetes y de archivos de datos. Revisin peridica y sorpresiva del contenido del disco para verificar la instalacin de aplicaciones no relacionadas a la gestin de la empresa. Mantener programas y procedimientos de deteccin e inmunizacin de virus en copias no autorizadas o datos procesados en otros equipos. Propender a la estandarizacin del Sistema Operativo, software utilizado como procesadores de palabras, hojas electrnicas, manejadores de base de datos y mantener actualizadas las versiones y la capacitacin sobre modificaciones incluidas.
12

Manual de Procedimientos En visita y entrevistas con el personal encargado de desarrollar los planes informticos, usuarios y operadores de sistemas de Empresas Jumbo, no se detecto el uso de manuales de procedimientos para realizar sus procesos lo que podra presumir que carece de estos. Observaciones Detectadas La Sociedad no cuenta con manuales de procedimientos administrativos para las principales operaciones y/o transacciones. En la prctica, las funciones en cada rea operativa se desarrollan sobre la base de instrucciones verbales, memorndum y principalmente por el conocimiento que cada persona tiene de las operaciones. En general, un sistema de administracin e informacin no documentado, permite que las operaciones se realicen y registren de acuerdo a la interpretacin o iniciativa personal del funcionario, pudiendo no ajustarse a las polticas, procedimientos e intereses de la administracin. Recomendaciones Recomendamos que la Gerencia establezca un manual de procedimientos de operacin actualizado, en una primera etapa, para las principales operaciones, considerando todas las polticas de la compaa que deben seguir todas las unidades y departamentos, as como las polticas adicionales adoptadas por unidades especficas. La preparacin y mantenimiento de procedimientos escritos es necesario para: Facilitar la revisin por personal confianza de la adherencia a las polticas establecidas. Establecer prcticas corporativas consistentes. Ayudar al intercambio de ideas administrativas. Facilitar la capacitacin y rotacin de empleados. La Gerencia debe revisar peridicamente el cumplimiento de cada rea con los procedimientos establecidos. Adems, el personal administrativo y de confianza apropiado debe mantener un archivo central que permita su uso y consulta expedita.

13

Вам также может понравиться