• Author / Uploaded
• María José Pérez Soto

Citation preview

Pre-Informe de Auditoria Caso Jumbo

1

13 de mayo de 2019

TABLA DE CONTENIDO

1. ANTECEDENTES GENERALES…………………..………………………………. 3.1.1 Objetivos Generales………………………..………………………………...………3.1.2 Objetivos Específicos………………………………………………..………………3.1.3 Alcance de la Auditoria………………………………………………………..…….4.1.4 Metodología………………………………………………………...………….…….4.2. OPINION GENERAL…………..…………………………………………….….……5.3. OBSERVACIONES Y RECOMENDACIONES DETALLADAS. ……………...…6.-

2

1. ANTECEDENTES GENERALES Jumbo es una cadena de supermercados chilena, con presencia también en Argentina y Colombia, perteneciente al consorcio empresarial Cencosud, que también integra a los supermercados Santa Isabel, y grandes tiendas como Easy, Johnson y Paris. Sus mayores competidores en Chile son las cadenas de supermercados Líder, del holding Walmart Chile y Unimarc. Entre sus principales productos se encuentra la comercialización de gran variedad de marcas nacionales y exportadas de todo tipo de alimentos, bebestibles y artículos electrónicos, Además cuentan con un nuevo servicio, el cual se especializa en la elaboración de platos preparados, con un alto índice de rapidez en su entrega al cliente. La empresa ha elaborado su plan estratégico organizacional, con horizontes definidos que contempla su expansión hacia mercados latinoamericanos, específicamente Perú, Ecuador, Bolivia y Argentina, con el objetivo de convertirse en líder tecnológico en el servicio al cliente de dichos países. Cabe señalar que en la organización trabajan alrededor de 2250 personas de las cuales 175 dependen directamente del Jefe de Informática Corporativo.

1.1 Objetivos Generales El objetivo general de este informe tiene como finalidad tomar conocimiento y evaluar la eficacia en términos de operatividad, integridad y disponibilidad del Plan Informático, referido a tecnologías de la información de carácter corporativo, y a su vez las gestiones tácticas y operacionales de Supermercados Jumbo, entregando una opinión razonable, de acuerdo a la información analizada.

1.2 Objetivos Específicos Para dar cumplimiento del objetivo general de este trabajo, se consideraron los siguientes objetivos específicos:

 Conocer si las operaciones informáticas y sus objetivos principales se logran de manera efectiva y eficiente, resguardando los recursos del área sistemas de la misma, incluyendo los hardwares y software en funcionamiento.  Comprobar que el área de control interno promueve el quehacer de las operaciones informáticas de manera eficiente, con el fin de reducir el riesgo de perder activos de importancia como los son software u otros recursos pertenecientes a la Informática. 3

 Comprobar si la operatividad del sistema, como su funcionalidad, disposición y demoras en las respuestas, satisfacen a los usuarios.  Determinar si la información confidencial de la empresa está lo suficientemente

protegida, en relación a los accesos no autorizados que puedan existir. 1.3 Alcance de la Auditoria Conforme a los objetivos específicos antes señalados, nuestro trabajo centro su atención, en primeros términos, en el Plan Informático de Supermercados Jumbo. Así la auditoria se enfocará en corroborar los aspectos técnicos de diseño, modelamiento de datos y funcionalidad. con el fin de encontrar hallazgos y emitir las recomendaciones pertinentes ejecutada sobre la base de una muestra representativa de las operaciones realizadas desde 01 de enero del 2019; para, finalmente, evaluar el grado de involucramiento, compromiso y satisfacción de los principales usuarios del citado sistema. La fecha de corte del proceso es al 30 de abril del 2019.

1.4 Metodología. Para el logro de los objetivos propuestos, el estudio y análisis se orientó principalmente a la aplicación de pruebas de cumplimiento, pruebas sustantivas y analíticas sobre el sistema bajo auditoria y sobre los controles generales y de aplicación diseñado para el Plan Informático de Jumbo. Por otra parte, estos procedimientos se fundamentaron en los estándares de las etapas básicas del proceso de revisión que se detallan a continuación:

 Se definió el grupo de trabajo y el programa de auditoría, con la finalidad de determinar las principales debilidades del área de informática de Jumbo, para evaluar preliminarmente el control interno aplicado actualmente, solicitud de plan de actividades, manuales de políticas, reglamentos y reuniones con los principales funcionarios de la empresa que tuvieran relación con el área auditada.  Revisión y evaluación de controles y resguardos: Este trabajo consistió en la realización de pruebas de cumplimiento a los resguardos y garantías actuales, revisión de aplicaciones de los procesos críticos, y la revisión de documentación y archivos.

4

2. OPINION GENERAL En relación a la estructura y la gestión organizacional de JUMBO podemos observar que presenta en forma evidente algunos aspectos no adecuados en forma general. Considerando los servicios el tamaño de JUMBO con empresas similares. Es por ello, que se debe tener presente que la organización debe estructurar un organigrama, de manera que muestre claramente cuáles son los niveles de responsabilidades dentro de la empresa de acurdo al cargo y sus obligaciones que cumplen dentro de la organización. Por otro lado, es fundamental y necesario establecer claramente a todo nivel la Visión de la organización. Un Plan de Contingencias debe ser estratégico y con un enfoque de mayor alcance: lo que se está buscando es recuperar los datos e información en el mismo estado en que estaban antes de la situación de riesgo y que los mismos estén disponibles para los usuarios una vez levantada la red y se encuentren operativos los sistemas de información. En este sentido, recomendamos que sea necesario implementar un Plan de Contingencias que no sólo considere al área de informática, sino que, a todo el personal de los demás departamentos o áreas de la organización, cuyo trabajo depende o se ve afectado en cualquier medida por el uso de los sistemas de información. Durante la revisión se estableció que la seguridad carece de instrucciones metódicas, cuyo fin sea controlar las funciones y actitudes de la empresa y para ello verificar si todo se realiza conforme a los programas adoptados, órdenes impartidas y principios admitidos. En general, un sistema de administración e información no documentado, permite que las operaciones se realicen y registren de acuerdo a la interpretación o iniciativa personal de los colaboradores, pudiendo no ajustarse a las políticas, procedimientos e intereses de la administración. Por tanto, las recomendaciones que a continuación se detallan deben ser implementadas sistemática y progresivamente, para sustentar adecuadamente la continuidad de las operaciones de la organización .

5

3. OBSERVACIONES Y RECOMENDACIONES DETALLADAS A continuación, se presentan las observaciones, recomendaciones y respectivas debilidades pertinentes al tema de esta auditoría, surgidas durante el transcurso de esta misma.

Plan Estratégico de la Empresa 3.1 Jumbo debe contar con documentos formales que definan los responsables de cada área de la compañía, actualización constante de sus estrategias cada cierto periodo de tiempo, de nuestra recomendación considerar la actualización cada 3 a 5 años. a) Situación actual En base al Plan Estratégico se formuló el Plan Informático del Grupo a 8 años el cual, en la primera sesión del Comité de Informática Corporativo, este plan contó con la aprobación inmediata del Jefe de Informática Corporativo y luego con la aprobación de todos los demás integrantes de dicho Comité (Gerentes de Áreas) quienes apoyaron abiertamente esa decisión. b) Observaciones Se genera un Riesgo de Planificación, ya que el Jefe de informática no debe dar la autorización de los proyectos informáticos. El solo tiene derecho a voz. Este proceso se realizó de forma contraria a lo que debe ser, primero debe definir el Comité informático corporativo quienes tienen voz y voto en estas decisiones c) Recomendaciones Referente a este punto, la recomendación es emitir opiniones primeramente como comité informático establecido, llegar a un consenso y luego de esto el jefe de informática determinar el plan a seguir, según la opinión y consenso efectuado.

Estructura departamento Informática 3.2 La Empresa debe lograr establecer protocolos para el área, contar con personal calificado para cada función que necesite cubrir dentro de la empresa, segregación de funciones, establecer autoridades, organigramas.

6

a) Situación actual Solo existe un miembro del área informática que posee autoridad en el área (Jefe de informática). b) Observaciones Falta segregación funcional, ya que el Jefe de informática no puede ser quien haga un proceso o proyecto y autorice su propio trabajo c) Recomendaciones Se debe revisar y evaluar las decisiones que sean determinadas por el Jefe de informática, así se evitara un riesgo en el desarrollo de las ideas planteadas por el, logrando canalizar y obteniendo una opinión distinta a los actos a realizar.

3.3 a) Situación actual Manejo interno de los problemas que ocurren en el equipo. b) Observaciones Se debe lograr establecer un plan de investigación que permita evitar la fuga de información, cada departamento debe contar con personas que logren establecer lealtad a la empresa, las personas que no cumplan con los mínimos protocolos de seguridad no deben permanecer en ella. Estableciendo procedimientos de investigación se logra evitar el extravió y robo de información de la empresa. c) Recomendaciones Lograr establecer protocolos que permitan un correcto funcionamiento del área, lograr manejar los errores de la manera más óptima posible.

3.4 a) Situación actual Desarrollo de proyectos informáticos son informados al jefe de explotación de sistema cuando se encuentran finalizados. b) Observaciones No se consideró el Riesgo de planificación estratégica, ya que no existe un control por etapas o avances, las cuales se podrían ir modificando y adecuando durante la ejecución y no esperar al 7

resultado final del proyecto. Esto puede resultar en tener que realizar todo el proceso nuevamente, implicando pérdidas considerables de tiempo y dinero. c) Recomendaciones  Establecer periodos de revisión al finalizar cada etapa que marque un hito relevante en desarrollo de proyectos informáticos.  Establecer reuniones al término de cada etapa mencionada anteriormente.  Establecer planes de contingencia y mejora a cada revisión que permita adecuar lo realizado anteriormente. 3.5 a) Situación actual El encargado de comunicaciones solicita apoyo a la secretaria de su área para el control de instrumentos, como consolas y dispositivos de comunicación de la red. Y estos a su vez informan en forma directa a la empresa que presta servicios de comunicación, sobre posibles fallas detectadas. b) Observaciones En este punto se ve que, dentro del Control general, no existe una organización funcional, ya que el encargado de mantención pide a la secretaria que los apoye con los posibles problemas de comunicación de redes. Resulta importante en este punto, que una persona más especializada pueda gestionar estos contactos. c) Recomendaciones  Contar con personal capacitado para el ejecuta miento de consolas y dispositivos de red

 Contar con plan de funciones a realizar por cada empleado. Control de Inventarios Es de vital importancia que todas las organizaciones cuenten con un correcto control de sus activos e inventarios, este ayuda a la seguridad de la empresa, administración profesional y de calidad de sus activos. 3.6 a) Situación actual Perdida de equipos lectores de barra, para los productos del supermercado. Además de la fuga de base de datos de proveedores y de precios, ambas de la sucursal Bilbao.

8

b) Observaciones

El no tener un control de los activos tecnológicos, resulta en pérdidas significativas, más aún si se relaciona con la base de datos de los clientes, esto sin considerar la pérdida de dinero. c) Recomendaciones  Establecer periódicamente toma de inventarios de activos Tecnológicos que permitan poseer el control de estos equipos.  Manejar y registrar de manera adecuada las entradas y salidas de los activos informáticos que posea la empresa.  Contar con un encargado de inventario informático que logre establecer autoridad y responsabilidad en el caso de pérdida de activos I. Fuga de Información 3.7 a) Situación actual Los subalternos del Jefe de informática, han optado por disfrazar esta situación, sobre la fuga de equipos e información, hacia otros departamentos de la empresa, no comentando este hecho con las otras jefaturas o empleados. b) Observaciones Claramente, no se deben realizar manipulaciones con el fin de proteger al personal involucrado, son esto se demuestra que no existe seguridad lógica, debido a la tergiversación de información, con el fin de esconder el delito. c) Recomendaciones  Contar con un encargado que permita la correcta administración de la base de datos de proveedores y precios.  Establecer controles de acceso a información, a través de claves limitadas según funciones, anexos de control de información.  Actualización constante de la base de dato a través de actualización de contraseña, la cual solo posean las personas involucradas en el área.

9

3.8

a) Situación actual La empresa solicita a diversos usuarios que coticen procesadores de textos y planillas de cálculos, con distintos proveedores, con el fin de determinar cuáles son más aplicables y amigables de manipular. b) Observaciones Se evidencia la falta de Control general. Claramente para esta labor debe haber un departamento especializado que determine los requerimientos de la empresa para el desarrollo de las distintas funciones de los usuarios. Y así, este departamento puede realizar las adquisiciones de los sistemas faciliten el cumplimiento los objetivos de la empresa y poder efectuar las inversiones pertinentes de los recursos de informática, justificados para este negocio. Los usuarios de los sistemas no siempre tienen el conocimiento tecnológico sobre lo que se debiera adquirir y que preste la utilidad que requiere la empresa. c) Recomendaciones  Establecer departamento de adquisiciones de Software y Hardware de la empresa.  Contar con un encargado que logre organizar a su equipo en miras de los objetivos que la

empresa desea alcanzar, y encontrar las herramientas idóneas para ese camino sea alcanzado.

10

11