• Author / Uploaded
• damaris

Citation preview

COMERCIAL CALDERON S.A. INFORME PREELIMINAR SOBRE LA ESTRUCTURA DE CONTROL INTERNO AL 31 DE DICIEMBRE DE 2019

1

INFORME SOBRE LA ESTRUCTURA DE CONTROL INTERNO

Al Presidente del Directorio y Accionistas

Comercial Calderón S.A.

Quito, 14 de Noviembre de 2019

De Nuestra revisión preliminar de los estados financieros de Comercial Calderón S.A., por el año a terminar el 31 de diciembre de 2019, efectuada de acuerdo con las normas Internacionales de Auditoría y con el propósito de expresar una opinión sobre los estados financieros de la Comercial, prestamos nuestro reporte que contiene recomendaciones preliminares que tienen por finalidad la mejora de controles internos de Comercial Calderón S.A.

En el desarrollo de nuestra auditoría, seleccionamos procedimientos de auditoría destinados a la obtención de la evidencia de auditoría sobre las cantidades y revelaciones presentadas en los estados financieros. Como parte de la aplicación de estos procedimientos, obtuvimos un entendimiento de la entidad y su entorno, incluyendo sus controles internos, con el propósito de identificar y evaluar los riesgos de errores significativos en los estados financieros. Un estudio y evaluación de riesgos toma en consideración los controles internos de la Comercial, relevantes para la preparación y presentación razonable de sus estados financieros de acuerdo con normas contables establecidas por la Superintendencia de Compañías, a fin de diseñar procedimientos de auditoría adecuados a las circunstancias, pero no con la finalidad de expresar una opinión o conclusión sobre los controles internos de Comercial Calderón S.A., reportamos a ustedes nuestras recomendaciones tendientes a mejorar estos controles identificados durante el desarrollo de nuestros procedimientos de auditoría.

La administración de Comercial Calderón S.A. es responsable por el establecimiento de los controles internos que ella considere necesarios para la preparación de estados financieros que estén libres de errores significativos por fraude u otros riesgos. En cumplimiento de esa responsabilidad, la Administración utiliza estimaciones y toma decisiones para determinar los costos y correspondientes beneficios esperados de la implementación de los procedimientos de control interno.

2

Control interno en el contexto de las Normas Internacionales de Auditoría, se define como el proceso diseñado, planificado, implementado y mantenido por los encargados de la Administración, y otro personal, con la finalidad de proporcionar certeza razonable sobre el cumplimiento de los objetivos del personal, con la finalidad de los reportes financieros, eficiencia y eficacia de las operaciones y cumplimiento de las leyes y reglamentos aplicables a su entorno. Una deficiencia de control interno existe cuando: (i) un control es planificado, implementado u operado de tal manera que no es capaz de prevenir, o detectar y corregir oportunamente errores en los estados financieros, o (ii) no se ha establecido un control que es necesario para prevenir o detectar y corregir errores en los estados financieros.

Nuestros procedimientos de auditoría desarrollados dependen del juicio del auditor y fueron efectuados en base de pruebas, con el único propósito descrito en el primer párrafo de este reporte y, por lo tanto, no necesariamente refleja todos los asuntos que podrían resultar en deficiencias significativas de los controles internos. Nuevas evaluaciones o estudios que tengan conexión con futuras auditorías o revisiones específicas y de mayor profundidad, podrían identificar otras áreas que requieren mejoras.

Para facilitar la lectura del presente informe hemos ordenado nuestras recomendaciones en: 

Recomendaciones destinadas a mejorar los Aspectos Impositivos.



Recomendaciones relacionadas a mejorar Aspectos tecnológicos.

Las recomendaciones incluidas en este informe fueron analizadas con las Unidades Responsables del Banco cuyos comentarios estas resumidos en cada recomendación.

Aprovechamos la oportunidad para expresar nuestro agradecimiento por la colaboración que nos ha sido dispensada por parte de los ejecutivos y personal de la Comercial durante el desarrollo de nuestras visitas.

Saludamos a usted atentamente,

Damaris Tasintuña Socio Representante Tasintuña & Asociados R/P:17251 3

INFORME PREELIMINAR SOBRE LA ESTRUCTURA DE CONTROL INTERNO

Contenido I.

II.

ASPECTOS IMPOSITÍVOS ........................................................................................................................... 6 1.

Imprenta involucrada en Lavado de Activos ............................................................................................... 6

2.

Perdida de Información del Segundo semestre del 2017 ............................................................................. 6

3.

Copia de Facturas de Ventas desechadas .................................................................................................... 7

4.

Anexo transaccional realizado a mano ....................................................... Error! Bookmark not defined.

5.

Manual de Impuestos .................................................................................................................................. 8

6.

Nota de Crédito sin utilizar ......................................................................................................................... 8

7.

Revisión de Gerencia Financiera ................................................................................................................. 9

8.

Venta de facturas vencidas .......................................................................................................................... 9

9.

Capacitaciones planificadas al personal .................................................................................................... 10

10.

Devolución del Impuestos del ISD por pago excesivo .......................................................................... 10

11.

Facturas Anuladas ................................................................................................................................. 11

12.

Revisión de aspectos impositivos .......................................................... Error! Bookmark not defined.

13.

Comprobantes de Retención ................................................................................................................. 12

14.

Diferencias de impuestos ...................................................................................................................... 13

15.

Capacitaciones ...................................................................................................................................... 13

16.

Falta de personal ................................................................................................................................... 14

17.

Sistema Automatizado .......................................................................................................................... 14

18.

Anexo Transaccional ............................................................................................................................ 15

ASPECTOS TECNOLÓGICOS .................................................................................................................... 16 19.

Sistema sin restringción del acceso de CD’s y USB ............................................................................. 16

20.

Computadoras personales permiten el acceso con claves de otros trabajadores. .................................. 16

21.

Centro de computo no se ha realizado pruebas anuales ........................................................................ 17

22.

Personal Indispensable sin vacaciones .................................................................................................. 17

23.

Claves genéricas causan fraude............................................................................................................. 18

24.

Acceso a computadoras en vacaciones ................................................................................................. 18

25.

Información de la Empresa esta respaldada en las computadoras personales. ...................................... 19

26.

Claves desactualizadas. ......................................................................................................................... 19

27.

Plan de Contingencia. ........................................................................................................................... 20

28.

Politica para claves del personal ........................................................................................................... 20

29.

Actualización de Contraseña ................................................................................................................. 21

30.

Capacitaciones de la empresa al personal de tecnología ....................................................................... 21

31.

Actualización de Perfiles de acceso ...................................................................................................... 22

32.

Plan de continuidad ............................................................................................................................... 22

33.

Acceso a Internet................................................................................................................................... 23

34.

Perdida de Información ......................................................................................................................... 23 4

35.

Claves Asignadas .................................................................................................................................. 24

36.

Deducible del seguro............................................................................................................................. 24

37.

Seguros de los Equipos tecnológicos .................................................................................................... 25

38.

Contrato con IBM ................................................................................................................................. 25

39.

Información en computadoras personales ............................................................................................. 25

40.

Mantenimiento de los equipos tecnológicos ......................................................................................... 26

5

OBSERVACIONES I.

ASPECTOS IMPOSITÍVOS 1. Imprenta involucrada en Lavado de Activos Observación La empresa recibió una notificación en 2018, donde les manifiestan que la imprenta donde se imprimen las Facturas de la Empresa, está involucrada en un juicio de lavado de activos y siguen trabajando con la imprenta. Riesgo Vinculación con Lavado de Activos; Perder credibilidad. Recomendación Romper todo vínculo que relacione a la empresa con la imprenta, y buscar otro proveedor para imprimir las facturas necesarias. Comentario del funcionario responsable: Ing. Andrés Calderón P., Gerente General: Se dará la instrucción al departamento de contabilidad de buscar otro proveedor para la impresión de comprobantes de la empresa, y a toda la institución de aplicar los procedimientos del manual de lavado de activos que presenta la empresa, tanto a los clientes como para los proveedores. Fecha estimada de regularización: Hasta el 17 de Agosto del 2020. 2. Pérdida de Información sin reconstruir. Observación Por los fuertes aguaceros y no tener las debidas seguridades de la documentación de ingresos y egresos de caja, se mojaron y fueron destruidas, la información que se perdió fue toda del segundo semestre del 2017 y hasta la fecha no han sido reconstruidas. Riesgo No hay evidencia o información que sustente la cuenta caja del estado financiero del 2017. Recomendación Mejorar las seguridades de las custodias de los documentos de caja y reconstruir la información que se ha destruido.

6

Comentario del funcionario responsable: Lic. Marcelo Mendoza, Gerente de Contabilidad General: Se dará la instrucción al responsable de caja, de mejorar las seguridades de sus documentos y reconstruya en el transcurso de 2 meses la información que se perdió. Fecha estimada de regularización: Hasta el 31 de mayo del 2020. 3. Se desechan copias de Facturas de Venta Observación Las Facturas que soportan las ventas tienen tres copias, de las cuales la tercera copia no tiene un destinatario definido y por ese motivo es desechado a la basura. Riesgo Perdida de información para sustentar las ventas. Recomendación Reorganizar los destinatarios de las copias de las facturas de venta y en caso de no haber un destinatario para la tercera copia, rediseñar los formatos y copias que deben tener las próximas facturas de ventas. Comentario del funcionario responsable: Dra. Mónica Rivadeneira, Vicepresidente Comercial: Se procederá a reorganizar los destinatarios de las copias de las facturas de ventas, así como, rediseñar los formatos e impresiones de copias de las facturas. Fecha estimada de regularización: Hasta el 20 de junio del 2019. 4. Falta de Sistema Automatizado. Observación Para la preparación del anexo transaccional mensual, la gerencia no autorizó la compra de un sistema automático que facilite su proceso, por esta razón, surgen errores constantes que originan que la persona que prepara la información tenga que incurrir en horas extras adicionales. Riesgo Denuncia de la persona encargada de preparar el anexo transaccional, por exceso de horas extras y no contar con el sistema necesario para realizar su trabajo.

7

Recomendación Invertir en un sistema automatizado. Comentario del funcionario responsable: Ing. Andrés Calderón, Gerente General: Se procederá a gestionar la compra del Sistema Automatizado. Fecha estimada de regularización: Hasta el 15 de mayo del 2020. 5. Manual de Impuestos Observación La empresa no cuenta con un manual de impuestos por que asume que las personas que laboran en el área de contabilidad están suficientemente capacitadas y preparadas. Riesgo Mala implementación de la ley impositiva de impuestos para la empresa. Recomendación Documentar los procedimientos a realizar en el manual de impuestos, en base a políticas, procedimientos y regulaciones vigentes; y, proceder a su difusión en el departamento de Finanzas. Comentario del funcionario responsable: Ing. Andrés Calderón, Gerente General: Se procederá a la elaboración del manual de impuestos en base a la ley impositiva del Servicio de Rentas Internas, así como, la aprobación del manual por parte de Directorio y su posterior divulgación. Fecha estimada de regularización: Hasta el 25 de junio del 2020. 6. Nota de Crédito pendiente. Observación Se ha pagado los impuestos en exceso en el año 2016, por lo que a la empresa se le devuelve una nota de crédito Tributario por US$ 65.000, la misma que no se ha utilizado, por el olvido del contador. Riesgo Gasto innecesario de la empresa al pagar el impuesto a la renta. Recomendación Utilizar la nota de crédito, o venderla por medio de negociación. 8

Comentario del funcionario responsable: Ing. Jenny Moran, Vicepresidente de Finanzas: Se procederá a Utilizar una parte de la nota de crédito para pagar los impuestos generados por la empresa, la parte sobrante entrará a negociación de venta. Fecha estimada de regularización: Hasta el 17 de julio del 2019. 7. Revisión de Gerencia Financiera Observación El contador elabora las declaraciones del IVA mensualmente, pero la Vicepresidencia Financiera no realiza ninguna revisión. Riesgo Malversación de fondos por parte del contador al preparar las declaraciones del iva. Recomendación Todas las declaraciones mensuales elaboradas por el contador tendrán que ser revisadas y autorizadas por la Vicepresidencia Financiera, antes de ser ejecutada. Comentario del funcionario responsable: Ing. Jenny Moran, Vicepresidente de Finanzas: Se procederá a revisar y autorizar todas las declaraciones mensuales elaboradas por el contador, para que estas sean ejecutadas. Fecha estimada de regularización: Hasta el 25 de febrero del 2020. 8. Venta de facturas vencidas Antecedente El Artículo 49, del Reglamento de Comprobantes de venta, retención y documentación complementaria, capítulo IX, numeral uno e inciso sexto, de la baja y anulación de comprobantes de venta, documentos complementarios y comprobantes de retención menciona: “Motivos para dar de baja.- Los contribuyentes deberán dar de baja comprobantes de venta, documentos complementarios y comprobantes de retención que no vayan a ser utilizados, para lo cual presentarán la correspondiente declaración de baja ante el Servicio de Rentas Internas en el plazo máximo de quince días hábiles, cuando se produzcan los siguientes hechos: 1. Vencimiento del plazo de vigencia de los documentos […] El sujeto pasivo destruirá los documentos que estando en su poder hayan sido dados de baja y su numeración, en consecuencia, no podrá volver a utilizarse […]”

9

Observación Las facturas vencidas en el año 2017 se vendieron a la comunidad, esto creó unos ingresos de aproximadamente US$ 2.000 dólares que fue utilizados en el agasajó de los empleados. Riesgo Sanción por parte del Servicio de Rentas Internas del Ecuador. Recomendación Dar el tratamiento correcto a las facturas vencidas. Comentario del funcionario responsable: Ing. Andrés Calderón, Gerente General: Se dará la instrucción al vicepresidente de finanzas y al vicepresidente comercial de revisar y ejecutar el Reglamento de Comprobantes de venta, retención y documentación complementaria para el tratamiento de todos los comprobantes que circulen en la empresa. Fecha estimada de regularización: Hasta el 30 de junio del 2020. 9. Cumplimiento de capacitaciones al personal Observación De las 6 capacitaciones planificadas para el área de contabilidad, únicamente se llegó a cumplir 2, las 4 restantes por temas de reducción de costos no fueron realizadas. Riesgo Falta de conocimiento del personal de contabilidad en temas actuales, provocando fallas en su trabajo Recomendación Invertir en capacitaciones para el personal de contabilidad. Comentario del funcionario responsable: Ing. Andrés Calderón, Gerente General: Se dará la instrucción al vicepresidente de finanzas de planificar e invertir en las capacitaciones necesarias para el personal de contabilidad, así mejorar su conocimiento y por ende corregir errores en su trabajo. Fecha estimada de regularización: Hasta el 15 de noviembre del 2020. 10. Devolución del ISD Observación 10

Se han realizado pagos al exterior del impuesto del ISD, pagados en exceso, desde marzo del 2017. no se ha realizado el trámite para su devolución ya que no hay organización del tiempo; Si existe la documentación que respalde su impugnación Riesgo Al dejar pasar el tiempo, no se pueda recuperar el exceso del pago al impuesto del ISD. Recomendación Establecer un tiempo para que el departamento de contabilidad haga el reclamo debido para la devolución del exceso de pago del ISD. Comentario del funcionario responsable: Lic. Marcelo Mendoza, Gerente de Contabilidad General: Se informará al área de contabilidad el tiempo establecido para recuperar el pago excedente del ISD. Fecha estimada de regularización: Hasta el 25 de julio del 2020. 11. Facturas anuladas y destruidas. Antecedente El Art 50 del Reglamento de comprobantes de ventas, retención, y documentos complementarios indica: “Los comprobantes de venta, documentos complementarios y comprobantes de retención emitidos con errores y que hayan sido anulados, deberán ser conservados por siete años en los archivos del contribuyente en original, junto con todas las copias, y ordenados cronológicamente.” Observación Las facturas del área de contabilidad, han sido anuladas e inmediatamente destruidas, sin dar cumplimiento a lo que dispone el reglamento de comprobantes de ventas, retención y documentos complementarios. Riesgo Sanción por parte del SRI por no dar cumplimiento al reglamento. Recomendación Informar al área de contabilidad que lea, se informe y cumpla con lo que establece el reglamento de comprobantes de ventas, retención, y documentos complementarios. Comentario del funcionario responsable: Ing. Jenny Moran, Vicepresidente de Finanzas: Se dará la instrucción al área de contabilidad de leer, informarse y aplicar obligatoriameme el reglamento de comprobantes de ventas, retención, y documentos complementarios y ejecutarlo tal cual está escrito, 11

Fecha estimada de regularización: Hasta el 15 de mayo del 2020. 12. Limitación de Auditoría Interna Observación La gerencia General a ordenado que no se haga ninguna revisión a los aspectos impositivos de la empresa por parte de auditoria interna, por esta razón no está ninguna revisión a temas impositivos en su plan anual. Riesgo Irregularidades en la empresa por falta de cumplimiento de aspectos impositivos. Recomendación Dejar que auditoria interna cumpla con su planificación anual sin poner límite en sus operaciones. Comentario del funcionario responsable: Ing. Andrés Calderón, Gerente General: Se informará que ninguna persona dentro de la empresa puede poner límite o negarse a que se auditoría interna realice sus operaciones para cumplir con su planificación anual. Fecha estimada de regularización: Hasta el 20 de Octubre del 2020. 13. Tratamiento a los Comprobantes de Retención Antecedente El Art 41 del Reglamento de comprobantes de ventas, retención, y documentos complementarios indica, inciso i y iii menciona: “Los comprobantes de venta, documentos complementarios y comprobantes de retención, deberán conservarse durante el plazo mínimo de 7 años, de acuerdo a lo establecido en el Código Tributario respecto de los plazos de prescripción. Dicha información estará disponible ante cualquier requerimiento de la Administración Tributaria.” Observación Los comprobantes de retención, recibidos de otras empresas no se han archivado adecuadamente. Riesgo

Pérdida de la información, además, de la sanción del Servicio de Rentas Internas. 12

Recomendación Reorganizar el área de contabilidad en sus funciones y tiempo estimado de cumplimiento, verificando que todas los comprobantes sean registrados y archivados de manera correcta. Comentario del funcionario responsable: Lic. Marcelo Mendoza, Gerente de Contabilidad General: Se procederá a reorganizar el área a fin de especificar funciones y tiempos de ejecución, y verificar que cada 15 días todos los comprobantes estén registrados y archivados en orden cronológico. Fecha estimada de regularización: Hasta el 30 de Agosto del 2020. 14. Diferencias de impuestos Observación Existen diferencias en tema de impuestos desde el año 2016, que suman aproximadamente US$ 3.000 que están a favor del fisco que por no ser identificados el origen de su procedencia no se ha podido cancelar. Riesgo Sanción por parte del Servicio de Rentas Internas del Ecuador. Recomendación Pagar dichos la suma adeudada porque de lo contrario la sanción podría ser mayor de lo que se debe pagar Comentario del funcionario responsable: Sr. Enrique Machado, Gerente de Pagos: Se procederá a realizar dicho pago por el tema de impuestos Fecha estimada de regularización: Hasta el 18 de septiembre del 2010. 15. Capacitaciones Observación La planificación en tema de capacitaciones sobre aspectos impositivos realizados al área de contabilidad no tiene un certificado que apruebe que recibieron dicha capacitación Riesgo No se están realizando las capacitaciones

13

Recomendación Exigir a quien realiza o dicta las capacitaciones a las diferentes áreas de la empresa entregue un certificado de haberse dado tal capacitación Comentario del funcionario responsable: Ing. Andrés Calderón P., Gerente General: Se procederá a informar a quienes nos realizan las capacitaciones de nuestros empleados que nos entreguen certificados Fecha estimada de regularización: Hasta el 25 de septiembre del 2020. 16. Falta de personal Observación El área de contabilidad por no disponer de personal no ha podido calcular o determinar cual es el impuesto a la renta de los funcionarios y empleados de la empresa por lo cual pagan un valor aproximado para evitar multas o sanciones Riesgo Pagos en exceso en tema del impuesto a la renta Recomendación Contratar a una persona para que realice dicho procedimiento de cálculo del impuesto a la renta Comentario del funcionario responsable: Lic. Marcelo Mendoza, Gerente de Contabilidad General: Se procederá a contratar a una persona para que ayude en el tema del cálculo del impuesto a la renta. Fecha estimada de regularización: Hasta el 05 de Noviembre del 2020. 17. Sistema Automatizado Antecedente El Art 69 del Código del trabajo indica: “Todo trabajador tendrá derecho a gozar anualmente de un período ininterrumpido de quince días de descanso, incluidos los días no laborables. Los trabajadores que hubieren prestado servicios por más de cinco años en la misma empresa o al mismo empleador, tendrán derecho a gozar adicionalmente de un día de vacaciones por cada uno de los años excedentes o recibirán en dinero la remuneración correspondiente a los días excedentes.”

14

Observación Por no disponer de un sistema automatizado para realizar el proceso de anexo transaccional el encargado de dicho proceso no ha podido salir de vacaciones. Riesgo Que se realice una demanda legal por parte del empleado a la empresa Recomendación Conseguir una persona capacitada en el tema para que realice el proceso durante el periodo de vacaciones Comentario del funcionario responsable: Ing. Martin Bolaños, Gerente de Recursos Humanos: Se procederá a contratar a una persona que realice dicho proceso para que nuestro empleado pueda disfrutar de sus vacaciones Fecha estimada de regularización: Hasta el 15 de Junio del 2020. 18. Anexo Transaccional Antecedente El Art 55 Código del trabajo indica: “1. Las horas suplementarias no podrán exceder de cuatro en un día, ni de doce en la semana.” Observación El encargado de realizar el proceso del anexo transaccional trabaja alrededor de 18 horas al mes para resolver problemas que se presenten al realizar dicho proceso. Riesgo Que se realice una demanda legal por parte del empleado a la empresa Recomendación Contratar a una persona más para que ayude hacer el proceso del anexo transaccional o a su vez ver la posibilidad de comprar un sistema automatizado para realizar este proceso Comentario del funcionario responsable: Ing. Jenny Moran, Vicepresidente de Finanzas: Se verificará primero la opción que más convenga y de acuerdo a eso se tomará una decisión y se la implementará Fecha estimada de regularización: 15

Hasta el 15 de Julio del 2020. II.

ASPECTOS TECNOLÓGICOS

19. Sistema sin restringción del acceso de CD’s y USB Observación La red de computadoras que dispone la Empresa, tanto en la matriz como en las sucursales, se tiene permitido el acceso de CD’s y USB, y no existe ninguna restricción para la utilización. Riesgo Ingreso de virus a las computadoras Recomendación Disponer una restricción a nivel de toda la empresa, tanto matriz como sucursal de no permitir el ingreso a las computadoras personales tanto CD’s como USB que no correspondan a la empresa. Comentario del funcionario responsable: Ing. Wilson Flores, Gerente de Seguridad de la Información: Se dará la instrucción a todo el personal tanto de la matriz, como a las sucursales, de que está restringido el ingreso de CD’s y USB a las computadoras personales de cada trabajador. Fecha estimada de regularización: Hasta el 30 de abril del 2020. 20. Computadoras personales permiten el acceso con claves de otros trabajadores. Observación Para ingresar a las computadoras personales, no es necesario ingresar con la clave personal, está parametrizado, para que también se pueda ingresar con la clave de sus compañeros. Riesgo Mal manejo o robo de la información de terceras personas de las computadoras personales. Recomendación Parametrizar el ingreso a las computadoras personales con la clave exclusiva del trabajador que labora en dicha computadora. Comentario del funcionario responsable: Lic. Juan Valverde, Gerente de Mantenimiento de Aplicaciones: Se Parametrizará el acceso a las computadoras personales con la clave exclusiva del trabajador que labora en cada computadora; Se dará la instrucción a todo el personal. 16

Fecha estimada de regularización: Hasta 30 el junio del 2020. 21. Centro de computo no se ha realizado pruebas anuales Observación El centro de cómputo alterno en la ciudad de Guayaquil no se ha realizado las pruebas cada 2 años como especifica la política de la empresa. Riesgo Deterioro del centro de cómputo. Recomendación Cumplir con la política de la empresa de realizar pruebas al centro de cómputo alterno de Guayaquil cada 2 años. Comentario del funcionario responsable: Ing. Bolívar Ricaurte, Vicepresidente de Tecnología: Se dará la instrucción al departamento de tecnología que se cumpla con la política de la empresa en realizar al centro de cómputo las pruebas necesarias cada 2 años.

Fecha estimada de regularización: Hasta el 20 de mayo del 2020. 22. Personal Indispensable sin vacaciones Antecedentes. El Art 69 del Código del trabajo indica: “Todo trabajador tendrá derecho a gozar anualmente de un período ininterrumpido de quince días de descanso, incluidos los días no laborables. Los trabajadores que hubieren prestado servicios por más de cinco años en la misma empresa o al mismo empleador, tendrán derecho a gozar adicionalmente de un día de vacaciones por cada uno de los años excedentes o recibirán en dinero la remuneración correspondiente a los días excedentes.” Observación Por considerar la política de la empresa, es que los empleados salgan de vacaciones, sin embargo, por considerar que personal de tecnología es indispensable, no han podido Salir de vacaciones y para compensar sus vacaciones han sido pagadas. Riesgo Denuncia por parte del trabajado del no cumplimiento de su derecho de ley a vacaciones 17

ininterrumpidas. Recomendación En los momentos que el personal de tecnología salga de vacaciones, capacitar personal del mismo departamento u otro departamento para que puedan tomar su cargo en el transcurso de ese tiempo. Comentario del funcionario responsable: Ing. Andrés Calderón P., Gerente General: Se dará la instrucción de capacitar más personal del departamento de tecnología, para que nadie se indispensable y todos puedan gozar de los derechos de ley que tienen como trabajadores. Fecha estimada de regularización: Hasta el 30 de Octubre del 2020. 23. Claves genéricas causan fraude Observación La empresa en el año 2017, sufrió un fraude de la cantidad de US$ 120.000, el cual fue realizado mediante el uso de claves genéricas, en donde la auditoría interna hizo la revisión y no se pudo determinar la persona responsable, ya que en el informe de auditoría no especifico el usuario. Riesgo Que se presente otro fraude y una cantidad de dinero más grande. Recomendación Realizar una política de control interno en el que especifique la actualización de las claves genéricas asignadas. Comentario del funcionario responsable: Ing. Andrés Calderón P., Gerente General: Se dará la instrucción de crear una política de control interno para la actualización de claves genéricas. Fecha estimada de regularización: Hasta el 20 de septiembre del 2020. 24. Acceso a computadoras en vacaciones Observación Las personas cuando salen de vacaciones, el acceso de sus computadoras no es bloqueado, por lo tnatk las personas en su periodo de vacaciones pueden hacer uso de sus computadoras asignadas. Riesgo Generar fraudes o robos de información. 18

Recomendación Bloquear el acceso a las computadoras desde el momento que salen a vacaciones o al último día que estará se cambiará por parte del departamento tecnológico el acceso a las computadoras k Comentario del funcionario responsable: Ing. Wilson Flores, Gerente de Seguridad de la Información: Se dará la instrucción a todo el personal de que al momento que salgan de vacaciones su clave será cambiada, y se les hará saber cuál es al momento que regresen de sus vacaciones. Fecha estimada de regularización: Hasta el 25 de mayo del 2020 25. Información de la Empresa esta respaldada en las computadoras personales. Observación La información de la empresa se hace resguardar en las computadoras personales de los trabajadores en caso de pérdida de la misma y pueda ser reconstruida con mas facilidad. Riesgo Pérdida o robo de la información que está en el computador del personal que labora o puede dejar la empresa. Recomendación Los respaldos de la información deben administrados por el departamento tecnológico, en discos duros o servidores especializados para mantener la información intacta Comentario del funcionario responsable: Ing. Bolivar Ricaurte, Vicepresidente de Tecnología: Se dará la instrucción de recaudar toda la información que se encuentra en las computadoras del personal como respaldo, para archivarla en discos duros del servidor. Fecha estimada de regularización: Hasta el 20 de Septiembre del 2020. 26. Claves desactualizadas. Observación La clave asignada a cada trabajador cuando ingresa a la empresa, se mantiene hasta que deje de ser parte de la organización. Riesgo 19

Robo de información con claves genéricas Recomendación Programar en el sistema de la empresa que cada 6 meses se actualice la clave de todo el personal, o si no puede seguir utilizando el sistema. Comentario del funcionario responsable: Ing. Wilson Flores, Gerente de Seguridad de la Información: Se dará la instrucción a todo el personal de la empresa que el sistema pedirá actualizaciones de claves cada 6 meses. Fecha estimada de regularización: Hasta el 15 de Octubre del 2020. 27. Plan de Contingencia. Observación La empresa no dispone de un adecuado plan de contingencia en caso de que el sistema sufra algún inconveniente en su sistema y se pierda información. Riesgo Caída del sistema y perdida de información de la empresa Recomendación Elaborar un plan de contingencia para resguardar la información. Comentario del funcionario responsable: Ing. Andrés Calderón P., Gerente General: Se dará la instrucción de crear un plan de contingencia para el tratamiento correcto del sistema y el respaldo de la informacion.

Fecha estimada de regularización: Hasta el 18 de julio del 2020. 28. Politica para claves del personal Observación La empresa no dispone de una política donde señale las características que debe tener una clave genérica y una clave actualizada. Riesgo Hackeo de cuentas porque las claves son muy fáciles, tienen un patrón repetido 20

Recomendación Realizar una política de control interno en el que especifique las características que deben tener las claves genéricas asignadas y las que van a ser actualizadas. Comentario del funcionario responsable: Ing. Andrés Calderón P., Gerente General: Se dará la instrucción de crear una política que contenga las características que una clave debe cumplir, además dispondrá para el departamento de Seguridad de la Información que en el sistema se rija a cada parámetro dispuesto. Fecha estimada de regularización: Hasta el 14 de Agosto del 2020. 29. Actualización de Contraseña Observación La empresa no exige una a los trabajadores que las contraseñas a sus computadoras personales se actualicen cada cierto tiempo. Riesgo Robo de identidad e información. Recomendación Crear una política que exija el cambio de contraseñas, y la aplicación de las mismas en el sistema. Comentario del funcionario responsable: Ing. Wilson Flores, Gerente de Seguridad de la Información: Se dará la instrucción a todo el personal de la empresa que se implementará en el sistema la actualización de contraseñas cada 4 meses y es obligatoria. Fecha estimada de regularización: Hasta el 07 de mayo del 2020. 30. Capacitaciones de la empresa al personal de tecnología Observación La empresa no está realizando las capacitaciones que debe brindar al personal de tecnología. Riesgo El personal de tecnología no desarrolle habilidades necesarias para sus tareas por no tener capacitaciones de acuerdo a sus necesidades en el trabajo. 21

Recomendación Mantener capacitaciones constantes al personal, de acuerdo a las necesidades de la empresa. Comentario del funcionario responsable: Ing. Bolívar Ricaurte, Vicepresidente de Tecnología: se realizará la capacitación al personal de tecnología, evaluando cuáles son sus necesidades. Fecha estimada de regularización: Hasta el 30 de mayo del 2020 31. Actualización de Perfiles de acceso Observación Los perfiles de acceso solo se les han dado una actualización, la última realizada fue en el 2013 desde su constitución Riesgo Ingresar u obtener información confidencial Recomendación Mantener una actualización por año de perfiles de acceso Comentario del funcionario responsable: Ing. Wilson Flores, Gerente de Seguridad de la Información: Se procederá a realizar las actualizaciones de perfiles de acceso año tras año Fecha estimada de regularización: Hasta el 27 de Julio del 2020 32. Plan de continuidad Observación No existe un plan de continuidad en caso de algún accidente tecnológico Riesgo En caso de que ocurra algún incidente no poder continuar con el proceso Recomendación Elaborar el plan de continuidad por cualquier eventualidad que se puede dar 22

Comentario del funcionario responsable: Ing. Luis Campos, Gerente de Red: Se procederá a elabora a el plan de continuidad Fecha estimada de regularización: Hasta el 25 de Agosto del 2020 33. Acceso a Internet Observación El uso del internet en la empresa no es controlado ni restringido y todo el personal tiene acceso. Riesgo El personal se distrae y no trabaja eficazmente Recomendación Controlar y restringir el uso del internet y que solo las áreas o departamentos que lo necesiten dispongan de este servicio Comentario del funcionario responsable: Ing. Bolívar Ricaurte, Vicepresidente de Tecnología: Se controlará el servicio de internet y solo los departamentos que lo necesiten dispondrán de este servicio Fecha estimada de regularización: Hasta el 28 de marzo del 2020 34. Perdida de Información Observación Por problemas tecnológicos se perdió información de ventas y que hasta fecha no se ha podido restaurar Riesgo No saber que tipo de productos fueron vendidos y en que cantidades además que no podrán ser sustentadas las ventas realizadas Recomendación Contratar los servicios de IBM para reconstruir la información Comentario del funcionario responsable: 23

Ing. Bolívar Ricaurte, Vicepresidente de Tecnología: Se procederá a contratar los servicios de IBM. Fecha estimada de regularización: Hasta el 23 de junio del 2020 35. Claves Asignadas Observación Según la estadística realizada se determino que del 100% de claves asignadas; el 40% son claves genéricas Riesgo Suplantación de claves y posibles fraudes Recomendación No debería existir ninguna clave genérica Comentario del funcionario responsable: Ing. Wilson Flores, Gerente de Seguridad de la información: Se procederá de poco a poco a eliminar las claves genéricas asignadas Fecha estimada de regularización: Hasta el 20 de agosto 2019. 36. Deducible del seguro Observación La empresa no realizada un estudio que justifique el valor o el monto del deducible Riesgo De que el seguro en caso de algún siniestro ya no cubre el 100% de la perdida Recomendación Realizar un estudio para determinar si el valor del monto del deducible es una buena opción o no. Comentario del funcionario responsable: Ing. Jenny Moran, Vicepresidente de Finanzas: Se realizará el estudio pertinente con un profesional de seguros Fecha estimada de regularización: Hasta el 25 de mayo del 2020 24

37. Seguros de los Equipos tecnológicos Observación Los equipos tecnológicos están asegurados, pero no al valor de reposición si no al valor en libros Riesgo De que el seguro no cubra el 100% de los equipos tecnológicos en caso de algún siniestro Recomendación Asegurar los equipos tecnológicos a valor de reposición Comentario del funcionario responsable: Ing. Jenny Moran, Vicepresidente de Finanzas: Se revisará el contrato del seguro para renovar las condiciones y asegurar los equipos tecnológicos al valor de reposición Fecha estimada de regularización: Hasta el 30 de mayo del 2020 38. Contrato con IBM Observación El contrato con IBM no se renovó lo cual contenía mantenimientos y soporte técnico Riesgo Daños y desperfectos de los sistemas y equipos tecnológicos. Recomendación Renovar el contrato para mantener los sistemas y equipos en perfectas condiciones de funcionamiento Comentario del funcionario responsable: Ing. Bolívar Ricaurte, Vicepresidente de Tecnología: Se renovará el contrato con IBM Fecha estimada de regularización: Hasta el 29 de agosto del 2020 39. Información en computadoras personales Observación 25

La información se resguarda en las computadoras personales de cada trabajador en caso de perdida de la información poder reconstruirla Riesgo De que el trabajador puede compartir y eliminar la información Recomendación Realizar una copia de seguridad de la toda la información para que en caso de perdida se pueda reconstruir fácilmente la información Comentario del funcionario responsable: Ing. Wilson Flores, Gerente de Seguridad de la información: Se procederá a realizar una copia de seguridad de toda la información para que se tenga un respaldo Fecha estimada de regularización: Hasta el 21 de mayo del 2020 40. Mantenimiento de los equipos tecnológicos Observación Por no tener un manteamiento adecuado de los equipos de tecnología sufrieron un sobrecalentamiento Riesgo Daños a los equipos tecnológicos y dejen de funcionar Recomendación Mantener una temperatura adecuada para que los equipos de tecnología puedan seguir funcionado adecuadamente todo el día mientras se trata de renovar el contrato con IBM Comentario del funcionario responsable: Ing. Bolívar Ricaurte, Vicepresidente de Tecnología: Se dará indicaciones sobre el mantenimiento que tienen que tener los equipos tecnológicos mientras se trata de renovar el contrato con IBM Fecha estimada de regularización: Hasta el 30 de abril del 2020

26