• Author / Uploaded
• Jpablo Riquelme

• Categories
• Software
• Planificación
• Informática
• Tecnología
• Chile

Citation preview

PRE INFORME DE AUDITORIA EFICACIA DEL PLAN INFORMÁTICO EMPRESA AUDITORA: “SQUARE EXTERNAL AUDITS COMPANY” PRE INFORME EMPRESA AUDITADA SUPERMERCADO JUMBO

.

SOCIO GERENTE EDUARDO LEYTON GUERRERO AUDITOR SENIOR JUAN PLAZA GALLEGOS

Facultad de economía y negocios. Contador Público Auditor. II trimestre – 2017.

pág. 1

INDICE

I.

ANTECEDENTES GENERALES.............................................................................3

1.1. OBJETIVO GENERAL..............................................................................................7 1.2. OBJETIVOS ESPECÍFICOS.....................................................................................7 1.3. ALCANCE DE LA AUDITORIA..............................................................................8 1.4. METODOLOGÍA........................................................................................................8 a-. Contextualización..........................................................................................................8 b-. Revisión y evaluación de controles y resguardos.........................................................8 c-. Examen detallado de procesos críticos:........................................................................8 II.) OPINION GENERAL....................................................................................................9 III.) OBSERVACIONES Y RECOMENDACIONES DETALLADAS.........................10 A) SITUACION ACTUAL...............................................................................................10 B. OBSERVACIONES.....................................................................................................11 C. RECOMENDACIONES.............................................................................................14 C.1.

ESTRUCTURA ORGANIZACIONAL DEL AREA DE INFORMÁTICA......14

C.2.

INVENTARIOS.................................................................................................14

C.3.

SEGURIDAD INFORMATICA........................................................................15

C.4.

MANEJO DE SOFTWARE...............................................................................15

C.5.

MANUAL DE PROCEDIMIENTOS................................................................20

pág. 2

I.

ANTECEDENTES GENERALES

Para poder desarrollar el presente informe, ante que todo se debe conocer el entorno en el cual se desenvuelve la empresa, para esto se identifican variables externas e internas que pueden influir en el cumplimiento de los objetivos que establezca la dirección de JUMBO.  Ambiente externo  Aspecto Demográfico Una de las variables de gran importancia es la concentración mayor de habitantes en la Región Metropolitana. La población estimada de la República de Chile según el censo de 2012 era de 16.634.603 habitantes. Con una densidad de 23,01 hab/km²; aproximadamente el 38% de la población se concentra en el área metropolitana del Gran Santiago. Las dos regiones que siguen en términos de número de habitantes sólo concentran el 12.65% y 10.22% (Regiones del Bio Bio y de Valparaíso respectivamente). Las otras regiones que las conforman grupos de personas necesitan trasladarse entre su zona de residencia y el centro, debido a la gran dependencia que existe con éste al estar las principales actividades agrupadas en la capital del país. Además, uno de los aspectos relevantes es que en los últimos años el número de habitantes en el país ha aumentado en un 12.8%. En la Región Metropolitana, esta cifra sube a un 14.9%. Es importante además destacar que las regiones que han observado una mayor tasa de crecimiento son las de Tarapacá, Antofagasta y Coquimbo (25.6%, 20% y 19%, respectivamente). Para este mercado resulta particularmente interesante el hecho de que en la Región Metropolitana, aproximadamente el 97% de la población habita en áreas urbanas. Un factor importante son las ubicaciones de los locales y sus accesos, por esto los terrenos se han transformado en bienes escasos, por lo que la adquisición de ubicaciones de alto valor estratégico pueden llegar a ser un elemento diferenciador. Aspecto Económico A diferencia de otras economías de Latinoamérica, la economía chilena ha conseguido mantenerse estable. Sin embargo, tras años de crecimiento sostenido, Chile sufre una fuerte ralentización económica desde 2015 por la caída del precio del cobre (Chile es el primer exportador de cobre del mundo). En 2016 el crecimiento se redujo al 1,7%, y debido a la caída de la demanda en los principales mercados emergentes las previsiones de crecimiento para 2017 son moderadas (2%). No obstante, las perspectivas a medio plazo son más optimistas y se espera una tasa de crecimiento en torno al 4%. Considerado un modelo de transparencia política y financiera en América Latina, el país se ha visto sacudido por escándalos de corrupción relacionados con la financiación ilegal de las campañas electorales. El índice de popularidad de la presidenta Michelle Bachelet es pág. 3

muy bajo (menos del 15% en 2016). En octubre de 2016 la coalición gobernante de centro izquierda sufrió una derrota en las elecciones municipales que presagia unas elecciones presidenciales para finales de 2017. La oposición de derecha tampoco es muy popular. Además se han producido protestas masivas contra las reformas laborales, educativas y de las pensiones. Michelle Bachelet fue elegida por su promesa para reformar la constitución y el sistema fiscal. En 2016 la inflación se redujo ligeramente al 3,9%, pero la caída de los precios del cobre afectó profundamente al sector minero. Por otro lado, el gobierno está intentando limitar los gastos, aunque el gasto social es una de sus prioridades y lo sigue siendo en 2017. El gasto familiar fue muy dinámico en 2016, pero el déficit público se agravó por la merma de los ingresos mineros. Para 2017 se esperaban beneficios por la recuperación del precio del cobre, aunque ha disminuido la demanda de China, su mayor cliente. A pesar de la desaceleración económica, la tasa de desempleo se redujo ligeramente en 2016 (7.1%). La pobreza sigue afectando a casi el 15% de la población, y las desigualdades son muy importantes (uno de los índices más elevados en la OCDE). Los dos principales desafíos de la economía chilena a largo plazo serán la reducción de las desigualdades salariales y la dependencia del país de las exportaciones de cobre. Para lograr estos objetivos Chile ha invertido fuertemente en las energías renovables, y se espera que para 2020 produzcan el 20% de la energía del país. Aspecto Político y Legal Existen tratados con distintas naciones debido a que cada vez el mundo se encuentra más globalizado y para Chile esto puede generar la llegada de numerosos posibles inversionistas al país, así como también abre las puertas a nuevos negocios nacionales e internacionales. Un factor importante es que estos tratados podrían hacer que los países del resto del mundo cataloguen a Chile como la plataforma de negocios entre Sudamérica y Europa y Estados Unidos, minimizando así el impacto de las turbulencias en los países cercanos. Para la industria de los supermercados puede influir positivamente el hecho de que existan mejores y mayores relaciones de comercio entre los países y que el mundo se encuentre más globalizado ya que se tendría mayor acceso tanto a los avances tecnológicos como a distintos productos y servicios. Aspecto Sociocultural Chile se caracteriza por ser una cultura conservadora. No existen grupos importantes que acepten con rapidez las ideas novedosas o los cambios. Existe una movilidad social lenta y restringida, que genera algunos conflictos sociales esporádicos, pero sin consecuencias mayores. Aunque en las últimas décadas ha cambiado el estilo de vida de las personas por la influencia de las inmigraciones de personas de otros países. Han aumentado las expectativas económicas y sociales de los consumidores.

pág. 4

Con respecto a la industria de los supermercados, los consumidores cada vez son menos leales, la decisión de compra está ampliamente influida por factores como variedad, precio y calidad. Un cambio en la industria supermercadista es la tendencia al aumento de las transacciones realizadas por los consumidores acompañados por un número de visitas al supermercado al mes cercano a 8 veces. 1 Aspecto Tecnológico La infraestructura disponible es muy cercana a los estándares de los países desarrollados, con redes de comunicaciones y de tránsito bien establecidas, modernas y funcionales. También existe acceso fácil y expedito a las nuevas tecnologías. El uso de información es muy importante dentro de la industria de los supermercados, uno de los empleos más importantes es que permiten reconocer la lealtad de los compradores, a través de las diversas tarjetas comerciales que se utilizan en algunas cadenas de supermercados. Además existen espacios para implantar tecnologías que permiten agregar valor al proceso de compra por parte del usuario. Las tecnologías están bien establecidas, así como los estándares de servicio y calidad. Las relaciones de largo plazo se privilegian para optimizar los procesos de la cadena de abastecimiento y e l uso de tecnologías tipo EDI (Electronic Data Interchange) que mantienen en comunicación permanente a los distribuidores con proveedores. ANÁLISIS INTERNO Fortalezas: Es importante destacar la fidelidad tanto de algunos clientes en particular, como también de los empleados de la empresa. Otras de las políticas de Jumbo es la “Higiene, seguridad en el trabajo y la calidad del servicio es la clave del éxito”. Los pilares de Jumbo son VARIEDAD, CALIDAD Y SERVICIO AL MEJOR. Debilidades: El 68% de los clientes se pierde por la indiferencia y mala atención de los empleados, esto se agrava por el mal servicio al cliente interno a través del negativismo, chisme, las competencias internas y el rebote. La cadena de servicio. Si uno de sus eslabones está débil, la cadena se romperá, y el cliente externo sufrirá las consecuencias. Costos de las Enfermedades transmitidas por Alimentos, la devolución de artículos alterados. El cierre del negocio. La pérdida del empleo. Multas, costos legales y posibles encarcelamientos. Pérdida de la reputación. Pago de indemnizaciones a las víctimas de la intoxicación. Oportunidades: Jumbo cuenta con muchos productos y servicios en un hipermercado. Utiliza lo que está de moda, para poder lanzar campañas de publicidad. Amenazas: Crisis económicas, competidores, nuevos participantes en la industria.

pág. 5

Diferenciación: Persigue que la empresa sea la única en su sector y sobresalir en aquellos aspectos ampliamente valorados por el cliente. Su diferenciación se basa en la buena atención al cliente. Cadena de valor: podemos destacar en este punto el merchandising de la empresa que es la forma de venta con el eje en la presentación, rotación y el beneficio, son acciones que mejoran la valorización del producto para presentarlo en las mejores condiciones comerciales y psicológicas

pág. 6

1.1. OBJETIVO GENERAL El objetivo general de este informe tiene como finalidad tomar conocimiento y evaluar la eficacia en términos de operatividad, integridad y disponibilidad del Plan Informático del Supermercados Jumbo. Y bajo este contexto emitir una opinión sobre la funcionabilidad de su operación general, su eficacia como sistema de información para la toma de decisiones estratégicas en el apoyo a la gestión de Supermercados Jumbo.

1.2. OBJETIVOS ESPECÍFICOS El objetivo general de este estudio se puede apoyar en el cumplimiento de los siguientes objetivos específicos: 1-. Evaluar si las operaciones informáticas y sus objetivos principales se logran de manera efectiva y eficiente, resguardando los recursos del área sistemas de la misma, incluyendo los hardwares y software en funcionamiento. 2-. Determinar si se logra cumplir con la normativa vigente: leyes, estatutos, reglamentos y políticas internas así como también el cumplimiento de las normas internacionales ISO y COBIT. 3-. Comprobar que el área de control interno promueve el quehacer de las operaciones informáticas de manera eficiente, con el fin de reducir el riesgo de perder activos de importancia como los son software u otros recursos pertenecientes a la Informática. 4.- Comprobar si la operatividad del sistema, como su funcionalidad, disposición y demoras en las respuestas, satisfacen a los usuarios. 5.- Determinar si la información confidencial de la empresa está lo suficientemente protegida, en relación a los accesos no autorizados que puedan existir.

pág. 7

1.3. ALCANCE DE LA AUDITORIA De acuerdo a los objetivos específicos señalados anteriormente, este estudio se orientó a la conceptualización, objetivos, estructura y operatividad que originaron el desarrollo del Plan Informático de los Supermercados Jumbo. Así la auditoria se enfocara en corroborar los aspectos técnicos de diseño, modelamiento de datos y funcionalidad.

1.4. METODOLOGÍA Para conseguir los objetivos mencionados, el estudio y análisis se orientó preferentemente a la aplicación de pruebas sustantivas y de cumplimiento sobre el sistema bajo auditoria y sobre los controles generales y de aplicación diseñado para el Plan Informático de Jumbo. Por otra parte, estos procedimientos se fundamentaron en los estándares de las etapas básicas del proceso de revisión que se detallan a continuación: a-. Contextualización: se definió el grupo de trabajo y el programa de auditoría, con el fin de determinar las principales debilidades del área de informática de Jumbo, para evaluar preliminarmente el control interno aplicado actualmente, solicitud de plan de actividades, manuales de políticas, reglamentos y reuniones con los principales funcionarios de la empresa que tuvieran relación con esta área. b-. Revisión y evaluación de controles y resguardos: Este trabajo consistió en la realización de pruebas de cumplimiento a los resguardos y garantías actuales, revisión de aplicaciones de los procesos críticos, y la revisión de documentación y archivos. c-. Examen detallado de procesos críticos: Lo anterior permitió descubrir los procesos críticos y sobre estos desarrollar un estudio y análisis más profundo.

pág. 8

II.) OPINION GENERAL En relación a la estructura y gestión organizacional JUMBO presenta en forma evidente algunos aspectos inadecuados en forma general. Considerando y tomando en cuenta el tipo de institución de servicios similares y tamaño de JUMBO. Es por ello, que se debe tener presente que la organización debe estructurar un organigrama, que indique cuales son los niveles de responsabilidades según el cargo y obligaciones a cumplir dentro de la empresa. Obviamente para este punto es fundamentalmente necesaria establecer claramente a todo nivel la VISIÓN de la empresa. Un Plan de Contingencias debe ser estratégico y con un enfoque de mayor alcance: lo que se está buscando es recuperar los datos e información en el mismo estado en que estaban antes de la situación de riesgo y que los mismos estén disponibles para los usuarios una vez levantada la red y se encuentren operativos los sistemas de información. En este sentido, definimos que es necesario un Plan de Contingencias debe considerar no sólo al área de informática sino que a todo el personal de los demás departamentos o áreas de la empresa, cuyo trabajo depende o se ve afectado en cualquier medida por el uso de los sistemas de información computacionales. Obviamente para este punto es fundamentalmente necesario fortalecer la VISIÓN. Un Plan de Contingencias debe ser estratégico y con un enfoque de mayor alcance: lo que se está buscando es recuperar los datos e información en el mismo estado en que estaban antes de la situación de riesgo y que los mismos estén disponibles para los usuarios una vez levantada la red y se encuentren operativos los sistemas de información. En este sentido, un Plan de Contingencias debe considerar no sólo al área de informática sino que a todo el personal de los demás departamentos o áreas de la empresa, cuyo trabajo depende o se ve afectado en cualquier medida por el uso de los sistemas de información computacionales. Durante la revisión se estableció que la seguridad carece de instrucciones metódicas, cuyo fin sea vigilar las funciones y actitudes de la empresa y para ello verificar si todo se realiza conforme a los programas adoptados, órdenes impartidas y principios admitidos. En general, un sistema de administración e información no documentado, permite que las operaciones se realicen y registren de acuerdo a la interpretación o iniciativa personal del funcionario, pudiendo no ajustarse a las políticas, procedimientos e intereses de la administración. Por tanto las recomendaciones que a continuación se detallan consideramos deben ser implementadas sistemática y progresivamente, para sustentar adecuadamente la continuidad de las operaciones de la organización .

pág. 9

III.) OBSERVACIONES Y RECOMENDACIONES DETALLADAS A)

SITUACION ACTUAL

Debilidad 1 -. El Jefe de informática a nivel corporativo realiza la aprobación inmediata del plan informático de los próximos 8 años, y posteriormente lo consulta con los demás integrantes del Comité de informática corporativo y gerentes de áreas. Debilidad 2-. El Jefe de informática corporativo es el único puesto dentro del área tecnológica con autoridad real Debilidad 3-. Perdida de equipos lectores de barra, para los productos del supermercado. Además de la fuga de base de datos de proveedores y de precios, ambas de la sucursal Bilbao Debilidad 4-. El Jefe de informática corporativo decide manejar la situación anterior de manera interna para evitar confusiones y ruidos innecesarios en otras áreas de la organización Debilidad 5-. Los subalternos del Jefe de informática, han optado por disfrazar esta situación, sobre la fuga de equipos e información, hacia otros departamentos de la empresa, no comentando este hecho con las otras jefaturas o empleados. Debilidad 6-. El desarrollo de los proyectos informáticos es reportado al Jefe de explotación de Sistemas, solo cuando estos ya se han finalizado. Debilidad 7-.Los nuevos sistemas de desarrollo se implantan solo con una prueba global realizada por los auditores computacionales. Los usuarios específicos realizan pruebas posteriormente y según sus necesidades se desarrollan correcciones más detalladas Debilidad 8-. El encargado de comunicaciones solicita apoyo a la secretaria de su área para el control de instrumentos, como consolas y dispositivos de comunicación de la red. Y estos a su vez informan en forma directa a la empresa que presta servicios de comunicación, sobre posibles fallas detectadas Debilidad 9-. El encargado de mantención de sistemas, solicita en determinadas oportunidades que uno de los Ingenieros de ejecución opere transitoriamente la unidad de disco y de cintas magnéticas de ambas configuraciones, dado que él está ubicado físicamente muy cerca de los dispositivos y de la CPU, resultándole más asequible Debilidad 10-.La empresa solicita a diversos usuarios que coticen procesadores de textos y planillas de cálculos, con distintos proveedores, con el fin de determinar cuáles son más aplicables y amigables de manipular.

pág. 10

B.

OBSERVACIONES

Observación 1. Se genera un Riesgo de Planificación, ya que el Jefe de informática no debe dar la autorización de los proyectos informáticos. El solo tiene derecho a voz. Este proceso se realizó de forma contraria a lo que debe ser, primero debe definir el Comité informático corporativo quienes tienen voz y voto en estas decisiones Observación 2. Falta segregación funcional, ya que el Jefe de informática no puede ser quien haga un proceso o proyecto y autorice su propio trabajo Observación 3. El no tener un control de los activos tecnológicos, resulta en pérdidas significativas, más aun si se relaciona con la base de datos de los clientes, esto sin considerar la pérdida de dinero Observación 4. En este punto, el Riesgo de capacidad del RR.HH, no se está cumpliendo, ya que es importante que estos sucesos no se oculten, por el contrario, se deben investigar y solucionar. El Jefe informático corporativo no debe dejar pasar estas situaciones, ya que los responsables no deben estar en la empresa. Y si la situación fue generada por personal externo se deben tomar las medidas necesarias para evitar que se vuelvan a repetir en el futuro. Observación 5. Claramente, no se deben realizar manipulaciones con el fin de proteger al personal involucrado, son esto se demuestra que no existe seguridad lógica, debido a la tergiversación de información, con el fin de esconder el delito. Observación 6. No se consideró el Riesgo de planificación estratégica, ya que no existe un control por etapas o avances, las cuales se podrían ir modificando y adecuando durante la ejecución y no esperar al resultado final del proyecto. Esto puede resultar en tener que realizar todo el proceso nuevamente, implicando pérdidas considerables de tiempo y dinero. Observación 7. Se genera un gran Riesgo de planificación estratégica, al no haber control interno, con respecto a haber realizado diferentes pruebas específicas antes de utilizar el sistema. Tampoco se capacito a los usuarios respecto al nuevo sistema e ir arreglando cosas en el camino puede resultar muy complicado y costoso. Lo ideal es tener un tiempo de marcha blanca y entregar el sistema lo más definido posible. Observación 8. En este punto se ve que dentro del Control general, no existe una organización funcional, ya que el encargado de mantención pide a la secretaria que los apoye con los posibles problemas de comunicación de redes. Resulta importante en este punto, que una persona más especializada pueda gestionar estos contactos. Observación 9. Queda en evidencia que el Encargado de mantención no cumple con la Seguridad lógica mínima esperada, ya que entrega su clave de acceso para que los ingenieros realicen ciertos procesos, siendo que cualquier problema que ocurra será

pág. 11

responsabilidad de encargado de mantención. También es responsable al haber entregado su password ya que no está cumpliendo su función. Se genera una Falta de control preventivo. Además en este punto se trasgrede la seguridad física, ya que de acuerdo a lo que se menciona, los dispositivos y CPU no se encuentran en una “sala cero”. Tampoco se cumple con lo referente al Riesgo en la Gestión de Proyectos de TICA Observación 10. Se evidencia la falta de Control general. Claramente para esta labor debe haber un departamento especializado que determine los requerimientos de la empresa para el desarrollo de las distintas funciones de los usuarios. Y así, este departamento puede realizar las adquisiciones de los sistemas faciliten el cumplimiento los objetivos de la empresa y poder efectuar las inversiones pertinentes de los recursos de informática, justificados para este negocio. Los usuarios de los sistemas no siempre tienen el conocimiento tecnológico sobre lo que se debiera adquirir y que preste la utilidad que requiere la empresa. ANÁLISIS Y OBSERVACIONES REALIZADAS Luego de identificados los diferentes debilidades y/o factores que pueden incidir negativamente en el cumplimiento de los objetivos de Jumbo, se especificara un detalle sobre las medidas recomendadas a ejecutar y corregir. A-. ESTRUCTURA ORGANIZACIONAL DEL ÁREA INFORMÁTICA

La estructura organizacional de una empresa está compuesta por los socios y, por ende, surge como respuesta a las necesidades de este. Por esto el primer paso en la organización de una jerarquía en una empresa es que se identifique una necesidad. Luego debe existir interés por diseñar un modelo empresarial e implementarlo, junto con definirlo y alinearlo con los objetivos, deberes y funciones dentro de la misma. B-. CONTROL EN LOS INVENTARIOS El control de los inventarios en una organización resulta de vital importancia debido principalmente a que los activos, en este caso, software, hardware y bases de datos, representan en gran medida la base del trabajo intelectual de los usuarios y seguridad de la empresa. C-. SEGURIDAD INFORMÁTICA Es importante para JUMBO, desarrollar e implantar un Plan de Contingencias, con el fin de poder enfrentar adecuadamente eventuales amenazas y/o desastres, disminuyendo así los riesgos de pérdida de información e interrupción y/o paralización de sus operaciones formales.

pág. 12

D-. SEGURIDAD EN EL MANEJO DE SOFTWARE Entre algunas de las fallas detectadas se puede observar lo siguiente:  Falta de seguridad en el manejo de software, existiendo configuraciones computacionales que son idénticas.  Falta de un procedimiento formal para informar los avances de los proyectos y esto implica que de haberse filtrado un error no se puede identificar y corregir hasta que el software está terminado.  Las pruebas para realizar, corroborar y verificar que los sistemas desarrollados estén en buen funcionamiento son mínimas.  No existe manual de procedimientos para ejecutar requerimientos, ni tampoco existe prioridad por fallas en los equipos o software (solo por orden de llegada de acuerdo a un manual de diseño lógico).  Los software no están en línea como por ejemplo el proceso de remuneraciones, contabilidad, control de stock, control de caja, tesorería e inventario, lo que complica la transparencia de la información y la inmediatez con que se requieren los datos, sobretodo en áreas tan sensibles.

E-. MANUAL DE PROCEDIMIENTOS En visitas y entrevistas con el personal encargado de desarrollar los planes informáticos, usuarios y operadores de sistemas de JUMBO, no se detectó el uso de manuales de procedimientos para realizar los distintos procesos, por lo que se puede deducir que carece de estos. En la práctica, las funciones en cada área operativa se desarrollan sobre la base de instrucciones verbales, memorándum y principalmente por el conocimiento que cada persona tiene de las operaciones.

pág. 13

C.

RECOMENDACIONES C.1. ESTRUCTURA ORGANIZACIONAL DEL AREA DE INFORMÁTICA

En primera instancia, se debe rediseñar la estructura organizacional del área Informática, confeccionando desde su origen un organigrama de la empresa, de manera de establecer con claridad al menos el siguiente nivel de autoridad Departamental:  Gerencia General,  Gerencia de Informática,  Gerencia de Administración de datos,  Gerencia de Adquisiciones software y hardware,  Gerencia de Operaciones  Todas las dependencias de la Gerencia General y con las atribuciones, autoridad, responsabilidad, recursos e independencia que les sean necesarias para cumplir adecuadamente sus funciones. En este contexto, los distintos departamentos deberán ser asignados a cada gerencia de acuerdo a la naturaleza de su gestión, definiendo sus funciones, tareas específicas y responsabilidades asociadas. Así, la Gerencia General solo deberá centrarse en liderar el directorio en aquellas decisiones de alto nivel, tales como la definición de planes, políticas y estrategias comerciales, tecnológicas e informáticas, que tiendan a asegurar la permanencia, el desarrollo y crecimiento de la Institución sobre bases sólidas. Resuelto lo anterior y para complementar la reorganización sugerida, consideramos fundamental el desarrollo de un “Estudio de funciones y tareas” que determine y documente en términos formales todas las operaciones y procesos que se desarrollan en cada departamento, estableciendo con claridad aquellos que realiza utilizando los sistemas de información computacionales actualmente en uso así como aquellos de tipo “manual” no automatizados (planillas Excel u otros de carácter similar). C.2. INVENTARIOS i. ii. iii.

Realizar inventarios periódicos (de acuerdo a los objetivos que especifique el área estratégica de la empresa) con el fin de salvaguardar la integridad de software, hardwares, equipos y bases de datos. Generar un registro de existencias con sus respectivas entradas y salidas, y así mantener un historial sobre cada movimiento de los activos tangibles e intangibles. Designar un encargado responsable de mantener, controlar y responder en casos de pérdida o fuga de datos. C.3. SEGURIDAD INFORMATICA

pág. 14

Primeramente, se debe establecer un Plan de Contingencias que debe considerar aspectos como los siguientes: 1) Planificación general de cómo se enfrentaran las eventuales contingencias, de acuerdo a su grado de importancia y/o impacto en la continuidad de las operaciones de la Entidad (confección de una Matriz de riesgo). 2) Costo monetario estimado. 3) Priorización de actividades, procesos e información estratégica. Acceso y recuperación de respaldos actualizados. 4) Definición e identificación de los integrantes del plan así como los medios de contacto ante una emergencia (teléfonos fijos y celulares, mail, etc.). 5) Secuencia y definición formal de las tareas a realizar por cada una de las unidades, departamentos o áreas así como de cada uno de sus integrantes una vez ocurrida la emergencia. 6) Chequeo del estado de la información y datos disponibles por cada unidad, área o departamento (por ejemplo, controles de cuadraturas con archivos físicos impresos). Prueba del plan en un período a definir, documentado y analizando sus resultados, de manera de detectar las eventuales fallas que pudiera presentar y poder establecer los mecanismos de solución. De esta forma, el plan se optimiza hasta ser nuevamente sometido a pruebas en el futuro C.4. MANEJO DE SOFTWARE Controles particulares, a realizarse tanto en la parte física como en la lógica como se detallan a continuación:  Autenticidad: Permiten verificar la identidad; passwords, firmas digitales  Exactitud: Aseguran la coherencia de los datos; validación de campos, validación de excesos  Totalidad: Evitan la omisión de registros así como garantizan la conclusión de un proceso de envío; conteo de registros, cifras de control  Redundancia: Evitan la duplicidad de datos; cancelación de lotes, verificación de secuencias  Privacidad: Aseguran la protección de los datos; compactación, encriptación  Existencia: Aseguran la disponibilidad de los datos; bitácora de estados, mantenimiento de activos.  Eficiencia: Aseguran el uso óptimo de los recursos; programas monitores, análisis costo- beneficio, controles automáticos o lógicos.

Periodicidad de cambio de claves de acceso

pág. 15

Los cambios de las claves de acceso a los programas se deben realizar periódicamente. Normalmente los usuarios se acostumbran a conservar la misma clave que se le asigno inicialmente. El no cambiar las claves periódicamente aumenta la posibilidad de que personas no autorizadas conozcan y utilicen claves de usuarios del sistema de computación. Por lo tanto se recomienda cambiar claves por lo menos una vez al mes. Combinación de alfanuméricos en claves de acceso No es conveniente que la clave este compuesta por códigos de empleados, ya que una persona no autorizada a través de pruebas simples o de deducciones puede dar con dicha clave. Verificación de datos de entrada Incluir rutinas que verifiquen la compatibilidad de los datos mas no su exactitud o precisión; tal es el caso de la validación del tipo de datos que contienen los campos o verificar si se encuentran dentro de un rango. Utilizar software de seguridad en los microcomputadores El uso de estos softwares de seguridad permite restringir el acceso al microcomputador, de tal modo que solo el personal autorizado pueda hacerlo. Adicionalmente, este software permite reforzar la segregación de funciones y la confidencialidad de la información mediante controles para que los usuarios puedan acceder solo a los programas y datos para los que están autorizados. Controles administrativos en un ambiente de Procesamiento de Datos El directivo a cargo del Área de Informática de una empresa debe implantar los siguientes controles, que se pueden agrupar de la siguiente forma: A. Controles de Preinstalación Hacen referencia a procesos y actividades previas a la adquisición e instalación de un equipo de computación y obviamente a la automatización de los sistemas ya existentes. Objetivos:  Garantizar que el hardware y software se adquieran siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa.  Garantizar la selección adecuada de equipos y sistemas de computación.  Asegurar la elaboración de un plan de actividades previo a la instalación. Acciones a seguir:  Elaboración de un informe técnico en el que se justifique la adquisición del equipo, software y servicios de computación, incluyendo un estudio del costo/beneficio.  Formación de un comité que coordine y sea responsable de todo el proceso de adquisición e instalación del mismo. pág. 16

 Elaborar un plan de instalación de equipo y software (fechas, actividades, responsables) el mismo que debe contar con la aprobación de los proveedores del equipo.  Elaborar un instructivo con procedimientos a seguir para la selección y adquisición de equipos, programas y servicios computacionales. Este proceso debe enmarcarse en las normas y disposiciones legales vigentes.  Efectuar las acciones necesarias para una mayor participación de proveedores.  Asegurar respaldo de mantenimiento y asistencia técnica. B. Controles de organización y Planificación Se refiere a la definición clara de funciones, línea de autoridad y responsabilidad de las diferentes unidades del área PAD, en labores tales como:  Diseñar un sistema  Elaborar los programas  Operar el sistema Control de calidad Se debe evitar que una misma persona tenga el control de toda una operación. Es importante la utilización óptima de recursos mediante la preparación de planes a ser evaluados continuamente. Acciones implementar:  La unidad informática debe estar al más alto nivel de la pirámide administrativa, de manera que cumpla con sus objetivos y cuente con el apoyo y dirección necesarios.  Las funciones de operación, programación y diseño de sistemas deben estar claramente delimitadas.  Deben existir mecanismos necesarios a fin de asegurar que los programadores y analistas no tengan acceso a la operación del computador y los operadores, a su vez, no conozcan la documentación de programas y sistemas.  Debe existir una unidad de control de calidad, tanto de datos de entrada como del resultado del procesamiento.  El manejo y custodia de dispositivos y archivos magnéticos deben estar expresamente definidos por escrito.  Las actividades deben obedecer a planificaciones a corto, mediano y largo plazo sujetos a evaluación y ajustes periódicos al "Plan básico de informática".  Debe existir una participación efectiva de directivos, usuarios y personal en la planificación y evaluación del cumplimiento del plan.  Las instrucciones deben impartirse por escrito.

C. Controles de Sistema en Desarrollo y Producción

pág. 17

Se debe estar seguros que los sistemas implementados han sido la mejor opción para la empresa, bajo la relación costo/beneficio y que estos proporcionen una oportuna y efectiva información, que los sistemas se han desarrollado bajo un proceso planificado y se encuentren debidamente documentados. Acciones a seguir:  Los usuarios deben participar en el diseño e implantación de los sistemas, pues aportan el conocimiento y experiencia de su área y así se facilita el proceso de cambio.  El personal de auditoría interna/control debe formar parte del grupo de diseño para sugerir y solicitar la implantación de rutinas de control.  El desarrollo, diseño y mantenimiento de sistemas obedece a planes específicos, metodologías estándares, procedimientos y en general a normatividad escrita y aprobada.  Cada fase concluida debe ser aprobada formalmente por los usuarios mediante actas u otros mecanismos físicos, con el fin de evitar reclamos posteriores.  Previamente a pasar a la etapa de Producción, los programas deben ser probados con datos que agoten todas las excepciones posibles.  Todos los sistemas deben estar debidamente documentados y actualizados. La documentación deberá contener:  Informe de factibilidad  Diagrama de bloque  Diagrama de lógica del programa  Objetivos del programa  Listado original del programa y versiones que incluyan los cambios efectuados con antecedentes de pedido y aprobación de modificaciones.  Formatos de salida  Resultados de pruebas realizadas  Implantar procedimientos de solicitud, aprobación y ejecución de cambios a programas, formatos de los sistemas en desarrollo.  El sistema concluido será entregado al usuario previo entrenamiento y elaboración de los manuales de operación respectivos D. Controles de Procesamiento Los controles de procesamiento se refieren al ciclo que sigue la información desde la entrada hasta la salida de la información, lo que conlleva al establecimiento de una serie de seguridades para:  Asegurar que todos los datos sean procesados.  Garantizar la exactitud de los datos procesados.  Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditoría.  Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones. pág. 18

Acciones a seguir:  Validación de datos de entrada previa al procesamiento. Debe ser realizada en forma automática: clave, dígito auto verificador, totales de lotes, etc.  Preparación de datos de entrada debe ser responsabilidad de usuarios y resultar en su corrección.  Recepción de datos de entrada y distribución de información de salida debe obedecer a un horario elaborado en coordinación con el usuario, realizando un debido control de calidad.  Adoptar acciones necesarias para correcciones de errores.  Analizar conveniencia costo/beneficio de estandarización de formularios, lo que permitiría agilizar la captura de datos y minimizar errores.  Los procesos interactivos deben garantizar una adecuada interrelación entre usuario y sistema.  Planificar el mantenimiento del hardware y software, tomando todas las seguridades para garantizar la integridad de la información y el buen servicio a usuarios. E. Controles en el uso del Microcomputador Esta resulta la tarea más compleja, pues son los equipos más vulnerables, de fácil acceso y de fácil explotación, pero los controles que se implanten ayudaran a garantizar la integridad y confidencialidad de la información. Acciones a seguir:      

Adquisición de equipos de protección como supresores de alzas, reguladores de voltaje y, de ser posible, UPS previo a la adquisición del equipo. Vencida la garantía de mantenimiento del proveedor se debe contratar mantenimiento preventivo y correctivo. Establecer procedimientos para obtención de backups, de paquetes y de archivos de datos. Revisión periódica y sorpresiva del contenido del disco con el fin de verificar la instalación de aplicaciones no relacionadas a la gestión de la empresa. Mantener programas y procedimientos de detección e inmunización de virus en copias no autorizadas o datos procesados en otros equipos. Propender a la estandarización del Sistema Operativo, software utilizado como procesadores de palabras, hojas electrónicas, manejadores de base de datos y mantener actualizadas las versiones y la capacitación sobre modificaciones incluidas

pág. 19

C.5. MANUAL DE PROCEDIMIENTOS Es indispensable que la empresa establezca un manual de procedimientos y operación actualizado, en primera instancia, para las principales operaciones, considerando todas las políticas de la compañía que deben seguir todas las unidades y departamentos, así como las políticas adicionales adoptadas por cada unidad específica. La preparación y mantenimiento de procedimientos escritos es necesario para:  Facilitar la revisión por personal encargado y responsable de la adherencia a las políticas establecidas.  Establecer prácticas corporativas sólidas y consistentes.  Ayudar a la “lluvia de ideas” administrativas.  Facilitar la capacitación y rotación de empleados. Una vez implementado, la gerencia debe revisar periódicamente el cumplimiento de cada área con los procedimientos establecidos. Además, el personal administrativo y de confianza apropiado debe mantener un archivo central que permita su uso y consulta expedita.

pág. 20