Universidad de Santiago de Chile

Facultad de Administracin y Economa

Departamento de Contabilidad y Auditora

Planificacin, Programa y
Pre-informe de Auditora
Empresa EPERSA S.A.
PEP 1

Integrantes:

Pamela Seplveda Matus

Jorge Venegas Caldern

Profesor:

Eduardo Leyton Guerrero

Ctedra:

Auditora de Sistemas de Informacin

30 de Mayo de 2016

NDICE

PLANIFICACIN Y PROGRAMA DE AUDITORA A LA EMPRESA EPERSA S.A ......... 2

Conocimiento general de la empresa ............................................................................. 2

I.
II.

Objetivo general ....................................................................................................... 2

III.

Objetivos especficos ................................................................................................. 2

IV.

Alcance .................................................................................................................... 3
Metodologa ................................................................................................................. 3

V.
VI.

Recursos y Planificacin de la Auditora en Terreno .................................................. 3

VII.

Programa de Auditora ............................................................................................. 4

VIII.
IX.

Anlisis de las evidencias ..................................................................................... 12

Pre-Informe ........................................................................................................... 12

PREINFORME DE LOS HALLAZGOS ENCONTRADOS EN LA EJECUCIN DE LA

AUDITORA A LA EMPRESA EPERSA S.A. ................................................................... 13
ANTECEDENTES GENERALES .............................................................................. 13

I.
a.

Objetivo general ..................................................................................................... 13

b.

Objetivos especficos ............................................................................................... 13

c.

Alcance .................................................................................................................. 13

d.

Metodologa ........................................................................................................... 14

II.

OPININ GENERAL ............................................................................................ 14

III.

OBSERVACIONES Y RECOMENDACIONES DETALLADAS ............................. 16

ANEXOS .......................................................................................................................... 26

PLANIFICACIN Y PROGRAMA DE AUDITORA A LA EMPRESA EPERSA

S.A

I.

Conocimiento general de la empresa

EPERSA S.A. es una empresa dedicada a la captura y procesamiento de cardmenes en las

costas de Arica hasta Talcahuano, cuenta con dos plantas de gestin tcnica-cientfica y
procesamiento de harina de pescado en los puertos de Iquique y Talcahuano, y una oficina
administrativa, de Gerencia, comercializacin y distribucin a Santiago.
Es una empresa emergente, que logr en muy poco tiempo posicionarse en la industria
Chilena, obteniendo a la fecha la capacidad de transporte y procesamiento ms grande del
cono sur, con una produccin de 3500 toneladas al mes y con ingresos anuales de US$ 1457,7
millones entre exportaciones y el comercio nacional.
II.

Objetivo general

El objetivo general de este proceso de auditora consiste en adquirir conocimiento y evaluar

los distintos sistemas, recursos tecnolgicos y aplicaciones informticas que garanticen la
continuidad de los servicios de TI de la empresa pesquera EPERSA S.A. en trminos de
operacionalidad, funcionalidad y eficacia de dichos sistemas, como tambin, la calidad y
oportunidad de la informacin proporcionada por stos a los usuarios de los sistemas con el
fin de emitir una opinin al respecto mediante un pre-informe de auditora.
III.

Objetivos especficos

Para cumplir con el objetivo general planteado en el prrafo anterior, se han determinado los
siguientes objetivos especficos:
Obtener un conocimiento global del rea informtica y de sus actividades y
responsabilidades especficas.
Obtener conocimiento de los principales sistemas y recursos informticos que apoyan
las actividades de la empresa a nivel estratgico y operacional.
Verificar la funcionalidad y eficacia de los sistemas informticos de la empresa.
Verificar la confiabilidad de los sistemas informticos de la empresa en cuanto a
seguridad lgica y fsica, calidad y oportunidad de la informacin generada.
Verificar si los sistemas informticos apoyan el cumplimiento de las actividades y
objetivos de los usuarios de dichos sistemas.
Analizar los hallazgos encontrados en el rea de informtica y determinar los riesgos
a los que est expuesta la empresa y los controles que han sido o pueden ser
transgredidos al respecto.
Emitir las recomendaciones pertinentes de control interno relativas a los hallazgos
encontrados mediante un pre-informe de auditora.

IV.

Alcance

Conforme a los objetivos especficos anteriormente sealados, esta auditora centrar su

atencin en el rea de informtica de la empresa EPERSA S.A. como tambin, en los
principales sistemas de informacin y recursos tecnolgicos empleados para apoyar sus
actividades operacionales y estratgicas, basndose en el estndar internacional de Cobit 5 y
especficamente en los procesos del dominio MEA (Monitor - Evaluate - Assess).
Esta auditora no tiene por objetivo analizar el diseo de los sistemas, recursos tecnolgicos
y aplicaciones informticas de la empresa EPERSA S.A. sino, analizar y verificar la
operacionalidad, funcionalidad y eficacia de dichos sistemas.
El proceso de auditora se llevar a cabo en las dependencias de la entidad y se ha acordado
con la administracin un perodo razonable para su ejecucin en terreno de once semanas a
objeto de aplicar las pruebas pertinentes y obtener las conclusiones respectivas.
V.

Metodologa

Para cumplir con los objetivos propuestos, las actividades de evaluacin y anlisis de los
distintos sistemas, recursos tecnolgicos y aplicaciones informticas de la entidad, se
llevarn a cabo bajo los estndares de Cobit 5 y especficamente en los procesos del dominio
MEA (Monitor - Evaluate - Assess) y adems, se realizarn una serie de procedimientos de
auditora, los que incluyen pruebas sustantivas, pruebas de cumplimiento y pruebas analticas
enfocadas para dar la evidencia suficiente a los auditores sobre la funcionalidad, integridad
y disponibilidad los sistemas, recursos tecnolgicos y aplicaciones informticas del rea de
informtica de la empresa EPERSA S.A. con el fin de emitir una opinin sobre la
razonabilidad del objeto auditado.
Lo anterior se realizar bajo un anlisis crtico de los sistemas implementados en las distintas
reas de la entidad, de manera de recabar la documentacin e informacin para el proceso de
auditora.
En forma adicional, se programaron reuniones de trabajo con el departamento de informtica
y las gerencias correspondientes para recopilar la informacin necesaria.
VI.

Recursos y Planificacin de la Auditora en Terreno

Para la ejecucin de la auditora se utilizarn los siguientes recursos:

1. En trminos de recursos de humanos se utilizarn 2 auditores quienes poseen las
capacidades y habilidades necesarias para llevar a cabo la auditora.
2. En trminos de recursos tecnolgicos se utilizarn 2 notebooks habilitados con el
software Procesador de Texto y Planillas de Clculo Microsoft Office 2013.
3. Se utilizar material de oficina y todos los elementos necesarios para llevar a cabo
eficientemente el trabajo.
3

4. En trminos informacionales, se utilizar toda la informacin que proporcione la

Administracin de la empresa, como tambin, papeles de trabajo sobre auditoras
pasadas y adems, toda la informacin que recolectemos los auditores por medio
anlisis, indagacin, entrevistas y observacin en terreno.
VII.

Programa de Auditora

A continuacin, se detalla el Programa de Auditora para la empresa pesquera EPERSA S.A.

En dicho programa, se especifican las actividades a realizar y las pruebas de auditoras
pertinentes a ejecutar para cumplir con el objetivo general y los objetivos especficos de la
auditora. Adems, se especifican los responsables a cargo de cada actividad y la indexacin
a Cobit 5 referente a los procesos del dominio MEA (Monitor - Evaluate - Assess) el cual
ser utilizado como estndar para la ejecucin del trabajo.
EPERSA S.A.
Programa de Auditora
Auditora a la operacionalidad, funcionalidad y eficacia de los sistemas, recursos
tecnolgicos y aplicaciones informticas.
Fecha de inicio: 14 de marzo de 2016
Fecha de trmino: 30 de mayo de 2016
Auditores: Pamela Seplveda Matus y Jorge Venegas Caldern
Actividad

Fecha

Resp.

A) Carta de inicio de auditora.

B) Recepcin de notificacin de
inicio de auditora.
C) Carta de resguardo de la
empresa.
D) Carta de representacin.
E) Carta de independencia.

14.03.2016
16.03.2016

Seplveda
Venegas

II. Obtencin de informacin

general.

25.03.2016

COBIT 5
Dominio:
MEA

Anexo

I. Gestin de inicio de Auditora.

1. Requerir informacin relativa a

las actividades efectuadas por el
rea de informtica.
2. Requerir informacin respecto a
las responsabilidades del rea
informtica y del personal a cargo.

18.04.2016

Anexo 1
Anexo 2
Anexo 3

22.03.2016
23.03.2016

Anexo 4
Anexo 5

Seplveda
Venegas

MEA01.03
MEA01.03

3. Requerir perfiles de cargos del

personal del rea informtica.
4. Requerir informacin sobre los
sistemas, recursos tecnolgicos y
aplicaciones informticas que
apoyan sus actividades.
5. Requerir planes informticos de
continuidad, emergencia y
contingencia.
6. Requerir inventarios de
sistemas, recursos tecnolgicos y
aplicaciones informticas.
7. Requerir los planes
administrativos de trabajo para el
ao.
8. Solicitar informacin sobre
cmo las herramientas
computacionales de TI apoyan las
labores de los usuarios de dichos
recursos.
III. Obtencin de informacin
especfica.
1. Requerir manuales de uso de los
sistemas, recursos tecnolgicos y
aplicaciones informticas.
2. Requerir manuales de seguridad
fsica y seguridad lgica del objeto
auditable.
3. Requerir un detalle de las
aplicaciones y software utilizados
para la seguridad lgica de los
sistemas informticos y recursos
tecnolgicos.
4. Requerir manuales sobre los
procedimientos a seguir cuando
existen fallas en la operacionalidad
de los sistemas.
5. Requerir los niveles de
autorizacin del personal a las
fuentes de informacin.
6. Requerir detalles sobre el
control de acceso a los sistemas de
informacin.

MEA01.03
MEA01.03

MEA01.03
MEA01.01
MEA01.03
MEA01.04

01.04.2016

Seplveda
Venegas

MEA01.03
MEA01.03
MEA01.03

MEA02.02

MEA02.02
MEA02.02
MEA01.03

7. Obtener informacin
documentada que evidencie la
integridad, seguridad,
confidencialidad y confiabilidad
del rea de informtica.
8. Requerir el tipo de codificacin
utilizada en el sistema.
IV. Obtencin de informacin
complementaria.
1. Requerir reportes sobre fallas de
funcionalidad y operacionalidad en
los sistemas, recursos tecnolgicos
y aplicaciones informticas dentro
de los ltimos 6 meses.
2. Requerir reportes sobre la
calidad y oportunidad de la
informacin generada por los
sistemas medida por los usuarios.
3. Requerir reportes sobre los
controles efectuados a sus sistemas
informticos y el resultado de
stos.
4. Requerir un detalle de las
nuevos recursos tecnolgicos
adquiridos e implementados en el
ltimo ao junto con su
justificacin de implementacin.
5. Requerir un reporte sobre
vulneraciones a sus sistemas o
modificaciones no autorizadas por
personal de la empresa o por
terceros ajenos ocurridas en los
ltimos 6 meses.
6. Requerir documentacin que
evidencie que los usuarios de los
sistemas, recursos tecnolgicos y
aplicaciones informticas hayan
sido debidamente capacitados.
7. Requerir un detalle de mermas
en recursos tecnolgicos e
informticos en los ltimos 6
meses.

MEA02.02

06.04.2016

Seplveda
Venegas

MEA01.03

MEA01.03

MEA02.02

MEA01.03

MEA01.03

MEA01.03

MEA01.03

MEA01.01

8. Requerir Actas de las ltimas 3

sesiones del Comit de
Informtica.
V. Procedimiento de auditora
sobre la informacin general.
Pruebas de Cumplimiento:

11.04.2016

1. Verificar de acuerdo a las

polticas de la empresa, que las
actividades del rea informtica
estn bien definidas y son
realizadas por el personal idneo
de acuerdo a los perfiles de los
diferentes cargos.
2. Verificar la existencia de planes
de continuidad, emergencia y
contingencia de acuerdo a las
polticas de la empresa y que estos
son ejecutados segn los objetivos
de la entidad.
3. Verificar que exista un control
de inventario de los sistemas y
recursos tecnolgicos cuando se
producen bajas, adquisiciones u
otros movimientos.
4. Verificar que las actividades
llevadas a cabo en el rea de
informtica se efectan de acuerdo
a los planes administrativos de
trabajo preestablecidos.
5. Verificar que la existencia de los
sistemas informticos y otros
recursos tecnolgicos se acomodan
a las necesidades de la empresa.
Pruebas Sustantivas:
1. Corroborar mediante actas que
los planes informticos de
continuidad, emergencia y
contingencia son elaborados por el
comit de informtica, autorizados
por el gerente del rea y revisados
anualmente. Adems, corroborar

18.04.2016

Seplveda

MEA01.02 /
MEA02.05

Venegas

MEA01.02 /
MEA01.05 /
MEA02.07

Seplveda

MEA02.01 /
MEA02.02

Venegas

MEA01.02 /
MEA01.03

Seplveda

MEA01.02

Venegas

MEA02.05
MEA02.07

mediante documentacin que los

procedimientos que detallan dichos
planes son puestos a prueba a
travs de simulacros para
determinar su efectividad.
2. Corroborar mediante muestreo
aleatorio que el inventario de
sistemas, recursos tecnolgicos y
aplicaciones informticas,
demuestran fielmente el valor
libro, estado y cantidad de stos de
acuerdo a los registros contables.
Pruebas Analticas:

VI. Procedimiento de auditora

sobre la informacin especfica.

1. Verificar que la empresa cuenta

con manuales de uso sobre los
sistemas, recursos tecnolgicos y
aplicaciones informticas.
2. Verificar la existencia y
cumplimiento de manuales de
seguridad fsica y seguridad lgica
segn las polticas de la empresa.

MEA02.02

Seplveda

MEA01.04

Seplveda

MEA01.04 /
MEA02.07

Venegas

MEA01.03

Seplveda

MEA01.03

Venegas

MEA02.02

21.04.2016

1. Comparar el detalle de
inventario de sistemas, recursos
tecnolgicos y aplicaciones
informticas respecto a lo que la
entidad posea en aos anteriores
para analizar la inversin en esta
rea, las actualizaciones de sus
ERP y altas y bajas de estos
activos.
2. Comparar la evolucin de los
planes informticos de
continuidad, emergencia y
contingencia de la empresa
respecto a periodos anteriores para
analizar sus cambios,
actualizaciones y movimientos de
acuerdo a las necesidades del rea.

Pruebas de Cumplimiento:

Venegas

26.04.2016

3. Verificar que el acceso fsico y

lgico de los sistemas, recursos
tecnolgicos y aplicaciones
informticas, est debidamente
protegido y controlado segn las
polticas y procedimientos
adecuados.
4. Verificar que la empresa posee
polticas sobre los procedimientos
a seguir en casos de emergencia o
contingencias que puedan afectar
la funcionalidad y continuidad de
los sistemas de informacin.
5. Verificar que la codificacin y
encriptacin se est llevando a
cabo como un sistema de
seguridad.
Pruebas Sustantivas:
1. Corroborar mediante anlisis
que los manuales de uso de los
sistemas, recursos tecnolgicos y
aplicaciones informticas se
encuentran diseados con un
lenguaje comprensible y cubren
todas las necesidades de
informacin de los usuarios.
Adems, mediante entrevistas
corroborar que dichos manuales
son conocidos por todo el personal
y se recurre realmente a ellos
cuando surge alguna duda.
2. Corroborar mediante
observacin que los controles de
acceso a los sistemas estn bien
definidos y son eficaces. Se puede
elegir aleatoriamente a un
trabajador del rea para que
efecte modificaciones no
autorizadas al sistema y mediante
observacin, corroborar que el
sistema no permite (o en su defecto
s permite) ejecutar tales
maniobras.

Seplveda

MEA01.03 /
MEA02.07

Venegas

MEA02.02 /
MEA02.07

Venegas

MEA01.03

Venegas

MEA01.03 /
MEA02.07 /
MEA02.08

Seplveda

MEA03.01 /
MEA03.04

03.05.2016

Pruebas Analticas:

06.05.2016

Seplveda

1. Comparar las aplicaciones y

software utilizados por la empresa
en la seguridad lgica respecto a la
oferta que existe en el mercado de
estos recursos para analizar el
riesgo de obsolescencia al que est
expuesta la empresa y el nivel de
inversin en esta rea.
2. Comparar respecto a aos
anteriores si los controles de
acceso a los sistemas de
informacin han aumentado para la
seguridad fsica y seguridad lgica
o disminuido para facilitar las
labores de los usuarios.

MEA01.04
MEA02.07

Seplveda
MEA01.03 /
MEA01.05 /
MEA02.07

VII. Procedimiento de auditora

sobre la informacin
complementaria.
Pruebas de Cumplimiento:
1. Verificar que la empresa posee
polticas sobre los procedimientos
a seguir en caso de fallas en la
funcionalidad y operacionalidad de
los sistemas, recursos tecnolgicos
y aplicaciones informticas y que
dichos sucesos sean documentados.
2. Verificar que los reportes sobre
la calidad y oportunidad de la
informacin generada por los
sistemas sean evaluadas por los
usuarios directos e indirectos de
dichos sistemas y son ejecutadas
segn las polticas de la empresa.
3. Verificar el cumplimiento de las
polticas de control sobre los
sistemas informticos en cuanto a
los tipos de controles, periodicidad,
encargados de realizarlos y pasos a
seguir en caso de encontrar
hallazgos.

11.05.2016

Venegas
MEA01.03 /
MEA01.04

Seplveda
MEA01.03 /
MEA02.03

Venegas
MEA01.03 /
MEA02.07

Seplveda
MEA01.03

10

4. Verificar la existencia de
polticas sobre los procedimientos
a seguir en caso de vulneraciones a
los sistemas o modificaciones no
autorizadas y que stas sean
cumplidas.
5. Verificar que efectivamente se
ejecuten las capacitaciones a los
usuarios de los sistemas, recursos
tecnolgicos y aplicaciones
informticas de acuerdo a los
planes establecidos y recursos
asignados.
Pruebas Sustantivas:

Venegas
MEA02.05

Venegas

1. Corroborar que la informacin

contenida en los reportes sobre
fallas en la funcionalidad y
operacionalidad de los sistemas,
son elaborados por personal
tcnico cualificado y que tiene los
conocimientos sobre los recursos
informticos que se evalan.
2. Corroborar mediante
documentacin que las
capacitaciones a los usuarios de los
sistemas y recursos tecnolgicos
son realizadas de acuerdo a las
necesidades de capacitacin, se
ejecutan de acuerdo a la
programacin calendarizada, son
utilizados los recursos asignados a
ello, y se llevan a cabo
evaluaciones con el de obtener una
retroalimentacin de los resultados
de la capacitacin para proceder a
los ajustes y mejoras necesarias en
el proceso.
Pruebas Analticas:

MEA01.03 /
MEA02.06

18.05.2016

Seplveda
MEA01.03 /
MEA01.04 /
MEA02.04

Seplveda

23.05.2016

MEA01.02 /
MEA02.04 /
MEA02.06

1. Comparar con periodos

anteriores los reportes sobre fallas
en la funcionalidad y
operacionalidad de los sistemas,

11

recursos tecnolgicos y
aplicaciones informticas para
analizar la periodicidad de
ocurrencia de las fallas y sus
causas.
2. Comparar las expectativas del
comit de informtica sobre la
seguridad de sus sistemas respecto
a los resultados reales obtenidos en
los reportes sobre las vulneraciones
a sus sistemas por parte del
personal de la empresa o terceros
ajenos.

VIII.

Anlisis de las evidencias

Con posterioridad de haber definido claramente el programa de auditora a la empresa

EPERSA S.A., se analizar la informacin obtenida en el proceso de evaluacin, previa
aplicacin de los procedimientos de auditora, basndose en estndares de Cobit 5 y
especficamente, como ya se ha mencionado anteriormente, en los procesos del dominio
MEA (Monitor - Evaluate - Assess).
IX.

Pre-Informe

Luego de la ejecucin de la auditora se proceder a la redaccin del Pre-informe a la empresa

EPERSA S.A. en donde, en base a la auditora ejecutada a la operacionalidad, funcionalidad
y eficacia de los sistemas, recursos tecnolgicos y aplicaciones informticas, se detallan los
hallazgos encontrados, los controles que han sido o pueden ser transgredidos al respecto y
las recomendaciones pertinentes de los auditores.

12

PREINFORME DE LOS HALLAZGOS ENCONTRADOS EN LA EJECUCIN DE

LA AUDITORA A LA EMPRESA EPERSA S.A.
Pre-Informe
Empresa EPERSA S.A.
Auditora a la operacionalidad, funcionalidad y eficacia de los sistemas, recursos
tecnolgicos y aplicaciones informticas.
26 de Mayo de 2016

I.

ANTECEDENTES GENERALES
a. Objetivo general

El objetivo general de la auditora llevada a cabo consisti en adquirir conocimiento y evaluar

en mbitos de funcionalidad, integridad y disponibilidad los sistemas, recursos tecnolgicos
y aplicaciones informticas del rea de informtica de la empresa EPERSA S.A. con el fin
de detectar, analizar y describir las debilidades de la entidad en trminos de TI y especificar
los controles que han sido o sern vulnerados en dichos recursos.
b. Objetivos especficos
Para el cumplimiento del objetivo general de este informe, se consideraron los siguientes
objetivos especficos:
Adquirir conocimiento global del rea de informtica de la empresa EPERSA S.A. y
de sus actividades y responsabilidades especficas.
Detectar y analizar debilidades en las TI de EPERSA S.A. y describir los riesgos de
dichas debilidades y los controles que han sido o sern vulnerados en cada situacin.
Realizar para cada debilidad detectada, las recomendaciones respectivas de control
interno que se consideren pertinentes y que permitan mitigar los riesgos en trminos
de funcionalidad, integridad y disponibilidad de los sistemas, recursos tecnolgicos
y aplicaciones informticas de la empresa EPERSA S.A.
c. Alcance
Conforme a los objetivos especficos anteriormente sealados, esta auditora centr su
atencin en el rea de informtica de la empresa EPERSA S.A. como tambin, en los
principales sistemas de informacin y recursos tecnolgicos empleados para apoyar sus
actividades operacionales y estratgicas, con el fin de encontrar hallazgos y emitir las
recomendaciones pertinentes. El anlisis y evaluacin efectuados se bas en el estndar
internacional Cobit 5 y los procesos de sus dominios.

13

Esta auditora no tuvo por objetivo analizar el diseo de los sistemas, recursos tecnolgicos
y aplicaciones informticas de la empresa EPERSA S.A., sino, analizar y verificar la
operacionalidad, funcionalidad y eficacia de dichos sistemas.
El proceso de auditora se llev a cabo en las dependencias de la entidad y se acord con la
administracin un perodo razonable para su ejecucin en terreno de once semanas a objeto
de aplicar las pruebas pertinentes y obtener las conclusiones respectivas.
d. Metodologa
Para cumplir con los objetivos propuestos, las actividades de evaluacin y anlisis de los
distintos sistemas, recursos tecnolgicos y aplicaciones informticas de la entidad se llevaron
a cabo bajo los estndares de Cobit 5 y los procesos de sus dominios y adems, se realizaron
una serie de procedimientos de auditora que incluyeron pruebas sustantivas, pruebas de
cumplimiento y pruebas analticas enfocadas para dar la evidencia suficiente a los auditores
respecto a la funcionalidad, integridad y disponibilidad los sistemas, recursos tecnolgicos y
aplicaciones informticas del rea de informtica de la empresa EPERSA S.A. con el fin de
emitir una opinin sobre la razonabilidad del objeto auditado.
Lo anterior se realiz bajo un anlisis crtico de los sistemas implementados en las distintas
reas de la entidad, de manera de detectar hallazgos y/o debilidades en trminos de TI y
efectuar las recomendaciones pertinentes,
En forma adicional, se programaron reuniones de trabajo con el departamento de informtica
y las gerencias correspondientes para recopilar la informacin necesaria.
Finalmente, una versin preliminar de este informe fue puesta en conocimiento de los
ejecutivos de las reas involucradas, incluyendo en el texto definitivo sus comentarios y
observaciones correspondientes.
II.

OPININ GENERAL

Recientemente, la empresa EPERSA S.A. ha adquirido para el procesamiento de informacin

y controles automticos de procesos de fabricacin, tanto para su casa matriz ubicada en
Santiago, como para sus plantas ubicadas en los puertos de Iquique y Talcahuano, una
completa instalacin computacional marca DiongDu 340 AS-9-K-KR de procedencia
norcoreana.
En lo especfico y en relacin al objetivo general de esta auditora, valoramos positivamente
aspectos elementales de funcionamiento, tales como:
La actualizacin de sus sistemas computacionales mediante la adquisicin de una
nueva plataforma para todas sus dependencias.

14

 Cada uno de los sistemas desarrollados es enviado a las plantas tanto en su formato
fuente como sus compilados, junto a los manuales de sistema, de operacin y de
usuarios.
No obstante, hemos observado la existencia de debilidades, con un grado de riesgo
significativo, en trminos de funcionalidad, integridad, disponibilidad y eficacia asociadas al
sistema computacional DiongDu 340 y a ciertas actividades y/o prcticas desarrolladas por
el departamento de informtica, las cuales se mencionan a continuacin:
La nueva plataforma computacional fue adquirida por el fiscal de la entidad, quien
posee experiencia en comercio exterior pero no en sistemas de informacin, por ende,
el software ha sido adquirido sin evaluar y analizar en primera instancia, las
necesidades de sistemas de informacin del rea de TI o las caractersticas de este
departamento.
El suministro energtico de la entidad se encuentra ubicado en la bodega del segundo
subterrneo, lugar no apropiado para este dispositivo teniendo en cuenta que emana
mucho calor de ste y que adems, en dicha bodega se ubica la CPU del DiongDu
340.
El lugar donde se encuentra ubicada la CPU del DiongDu 340 slo se encuentra
resguardada por una guardia externa, sin que medie ningn otro tipo de seguridad que
pueda controlar el acceso al lugar.
El Comit de Informtica no posee grandes atribuciones o responsabilidades, no
realiza reuniones peridicamente para tomar decisiones y adems, stas son resueltas
casi de forma unilateral por el Gerente de Informtica.
La Gerente de Desarrollo cumple las labores propias de su departamento pero adems,
en ausencia del Gerente de Explotacin, debe reemplazarlo y asumir sus
responsabilidades, sin existir lmites de roles y funciones definidas.
La entidad cuenta con tres equipos e instalaciones computacionales DiungDu 340, no
interconectados, uno en cada planta y otra en la casa matriz. Debido a esto la entidad
dice no requerir de convenios de respaldos con proveedores o terceros.
El DiongDu 340 posee una aplicacin que permite acceder directamente a tuplas de
una Base de Datos Relacional (BDR) sin medir control de esta facilidad de acceso
que por defecto, incluye la plataforma computacional.
Los operadores de trayectoria tienen una password de acceso para efectuar
modificaciones sin mediar control alguno.
Por lo anteriormente expuesto, recomendamos a la empresa que por instrucciones de su
Directorio, instruya a las unidades pertinentes para que stas tomen las medidas necesarias y
desarrollen todas sus potencialidades y facultades para superar las deficiencias y debilidades
mencionadas de manera de gestionar a tiempo los riesgos inherentes asociados a dichos
hallazgos. Esto lo puede lograr reestructurando ciertas actividades y prcticas que en la
actualidad, conllevan a un riesgo latente y que pueden derivar en la ineficiencia de sus
operaciones e incluso, de sus sistemas de informacin. Adems, puede definir polticas y
procedimientos que en un futuro, contribuirn a que la entidad alcance la eficiencia, eficacia
y economa del negocio.

15

En el punto III del presente informe, Observaciones y Recomendaciones Detalladas se

exponen las debilidades detectadas pero adems, los riesgos asociados a ellas, las
vulneraciones a los controles y las recomendaciones pertinentes. Una positiva acogida de
stas aportar a EPERSA S.A., beneficios que sin duda, superarn sus propios costos de
ejecucin y le ayudarn a fortalecer la gestin de sus principales operaciones de negocio en
todos los niveles de su estructura organizativa.
III.

OBSERVACIONES Y RECOMENDACIONES DETALLADAS

A continuacin, se presentan las observaciones y recomendaciones atingentes al tema de esta

auditora, surgidas durante el desarrollo de esta misma.
a. Situacin actual
Recientemente el Fiscal, abogado de vasta experiencia en comercio exterior, adquiri una
compleja instalacin computacional marca DiongDu 340 AS-9-K-KR de procedencia
Norcoreana, para el procesamiento de la informacin y controles automticos de procesos de
fabricacin, tanto para su casa matriz como para sus plantas elaboradoras.
b. Observaciones
Segn lo apreciado y a la documentacin proporcionada por el rea de informtica de la
empresa, hemos observado lo siguiente:
i.
ii.

iii.

iv.

El Fiscal slo tiene experiencia en materia de negocios en el comercio

exterior, pero no sobre TI ni Sistemas de Informacin.
Este abogado no recibi asesora de un especialista en TI sobre qu instalacin
computacional elegir, slo se bas en datos investigados por l y opiniones de
los usuarios.
Esta persona investig ms a fondo sobre el DiongDu 340 AS-9-K-KR para
ver si cumpla con las caractersticas necesarias para que el sistema cumpliera
con los objetivos de la empresa.
En la situacin descrita anteriormente, hemos observado claramente la
vulneracin de Controles Operativos y de Organizacin junto con Controles
sobre Programas y Equipos, lo que podra afectar directamente el manejo de
la informacin por la implementacin de un sistema operativo que no sea ad
hoc a los requerimientos de la entidad.

c. Recomendaciones
i.

Recomendamos a la alta direccin Gestionar Procesos de Controles de

Negocio1, Gestionar Roles, Responsabilidades, Privilegios de Acceso y
Niveles de Autorizacin2, Gestionar los Recursos Humanos3, Mantener la

DSS06
DSS06.03
3
APO07
2

16

Dotacin de Personal Suficiente y Adecuada 4 e Identificar al Personal Clave

de TI5 para que adems del abogado con experiencia en comercio exterior,
incluyan en las negociaciones de TI y Sistemas de Informacin, a un
especialista de dichas materias, con el fin de que adems de realizar un buen
trato, el activo adquirido cumpla con las especificaciones de acuerdo a las
necesidades de la empresa.
a. Situacin actual
Con respecto a los dispositivos de respaldo de energa, la sala cero cuenta con un Grupo
electrgeno (generador de energa elctrica por petrleo) y una UPS (sistema ininterrumpido
de poder de bateras) que se encuentran ubicados en la bodega de las dependencias de
EPERSA S.A.
b. Observaciones
Segn lo apreciado y a la documentacin proporcionada por el rea de informtica de la
empresa, hemos observado lo siguiente:
i.

ii.
iii.

iv.

v.

vi.

4
5

El Grupo Electrgeno y la UPS soportan toda la instalacin y consumos

elctricos del rea de informtica y de todas las oficinas administrativas
incluyendo ascensores, mquinas de escribir, luminarias internas y externas,
computadores personales, estufas, entre otros.
El Grupo Electrgeno y la UPS se encuentran ubicados en la bodega del
segundo subterrneo junto con la CPU del DiongDu 340.
Un programador del rea de informtica fue el encargado de elaborar el
informe tcnico referente a la ubicacin del Grupo Electrgeno y la UPS, no
haciendo ninguna observacin al respecto.
Debido a que el Grupo Electrgeno empleado soporta todas las instalaciones
del edificio, este dispositivo funciona a una gran capacidad generando mucho
calor, que si bien, es canalizado por un tubo de escape, la sensacin trmica
percibida en la bodega del segundo subterrneo sigue siendo excesiva.
Como es de suponer, la bodega donde se encuentra el Grupo Electrgeno, la
UPS y la CPU del DiongDu 340, no cuenta con ningn tipo de ventilacin,
por lo que la temperatura del lugar, debido al calor generado por el dispositivo
de suministro energtico, es ms alta de lo normal.
Dada la situacin descrita, la empresa se encuentra expuesta a diversos
riesgos: primero, debido a que el informe tcnico fue elaborado por un
programador y no un encargado de seguridad, es probable que el programador
no detecte los verdaderos riesgos que suponen tener en una misma bodega la
CPU que soporta las necesidades informticas y el dispositivo energtico
encargado de suministrar este recurso en todas las instalaciones. Segundo, el
hecho de que el Grupo Electrgeno genere demasiado calor, puede provocar
una sobrecarga en este aparato si es que no cuenta con la ventilacin adecuada

APO07.01
APO07.02

17

vii.

y por ende, provocar una explosin que signifique un incendio en las bodegas
de la empresa. Tercero, en caso de provocarse un incendio, y dado que el
Grupo Electrgeno se encuentra ubicado en el mismo lugar que la CPU del
DiongDu 340, sta puede verse afectada, provocando prdidas importantes en
trminos materiales y de informacin que difcilmente pueden ser
recuperados, afectando la continuidad de las operaciones del negocio.
En la situacin descrita anteriormente, hemos observado claramente la
vulneracin de controles de seguridad fsica de las bodegas de la entidad,
debido a que no estn siendo utilizadas adecuadamente y no cuentan con las
caractersticas para albergar, en este caso, un dispositivo de suministro
energtico.

c. Recomendaciones
i.

ii.

iii.

Recomendamos a la alta direccin Gestionar las Recursos Humanos,

Gestionar el Personal Contratado6 e Identificar Personal Clave de TI7 para
poder designar a una persona cualificada en temas de seguridad de fsica y
seguridad lgica que pueda analizar y determinar ms detalladamente los
riesgos asociados a tener en la segunda bodega el Grupo Electrgeno y la
UPS.
Recomendamos a la alta direccin Gestionar los Activos, es decir, Gestionar
los Activos Crticos8 que influyen considerablemente en el funcionamiento de
las operaciones de la entidad y Optimizar el Coste de los Activos 9, por
ejemplo, sugerimos destinar el Grupo Electrgeno y la UPS slo para
suministrar energa a las operaciones principales del edificio como tambin a
oficinas administrativas, pero slo en trminos de luminarias y dispositivos
computacionales y contar con un sistema elctrico normal para proporcionar
energa a actividades que no son relevantes para la ejecucin de las
operaciones, como estufas y cafeteras. Todo con el fin de no sobreexigir al
Grupo Electrgeno y la UPS y no afectar la continuidad de las operaciones
esenciales.
Recomendamos a la alta direccin Gestionar los Activos y Gestionar el Ciclo
de Vida de los Activos10, trasladando en el corto plazo, el Grupo Electrgeno
a la azotea del edificio o a un lugar con mayor ventilacin para Gestionar el
Riesgo y evitar posibles sobrecargas de temperatura por el mismo calor que
genera dicho recurso. De esta forma, se evitan inconvenientes y se puede
Responder a los Riesgos11 descritos en el punto vi de las Observaciones.

APO07.06
APO07.02
8
BAI09.02
9
BAI09.04
10
BAI09.03
11
APO12.06
7

18

a. Situacin actual
La sala cero, en la cual se encuentra la C.P.U. del DiongDu 340 AS-9-K-KR y el Grupo
Electrgeno con el U.P.S., cuenta con una restriccin de acceso mediante un control de
seguridad basado en el posicionamiento de slo un guardia de la empresa SecurOffice.
b. Observaciones
Segn lo apreciado y a la documentacin proporcionada por el rea de informtica de la
empresa, hemos observado lo siguiente:
i.
ii.
iii.
iv.

La empresa resguarda la sala cero con un guardia de la empresa SecurOffice.

Este guardia trabaja dentro de las horas normales de funcionamiento diario de
la planta.
ESPERSA S.A. no cuenta con un control de acceso adicional al guardia ni
vigilancia a travs de cmaras de seguridad.
En la situacin descrita anteriormente, hemos observado que hacen falta
controles de acceso y la seguridad fsica es demasiado bsica. Por lo tanto, se
pueden vulnerar los Controles de Acceso, lo cual podra afectar directamente
a la puesta en marcha de la empresa si alguien quiere perjudicarla, ya que si
se tiene intencin, pasar por la seguridad de un guardia no presenta mucha
dificultad.

c. Recomendaciones
i.

Recomendamos a la alta direccin Gestionar la Seguridad 12, Establecer y

Mantener un SGSI13, Definir y Gestionar un Plan de Tratamiento del Riesgo
de la Seguridad de la Informacin14, Supervisar y Revisar el SGSI15 y adems
Gestionar el Acceso Fsico a los Activos de TI16, para que adems del
posicionamiento de un guardia dentro de la jornada laboral tambin debiese
haber uno en la noche, junto a un control de acceso biomtrico (huellas
dactilares) o bien un control de acceso con tarjetas de proximidad. Adems,
s o s recomendamos la instalacin de cmaras de seguridad para potenciar
an ms la seguridad fsica de las instalaciones.

a. Situacin actual
El Comit de Informtica de la entidad se encarga de la planificacin informtica y de la
creacin slo de soluciones informticas y sistemas computacionales. El Comit que es
encabezado por el Gerente de Informtica, el Seor Correa, acata todas las decisiones de ste.

12

APO13
APO13.01
14
APO13.02
15
APO13.03
16
DSS05.05
13

19

b. Observaciones
Segn lo apreciado y a la documentacin proporcionada por el rea de informtica de la
empresa, hemos observado lo siguiente:
i.
ii.

iii.

iv.

v.

vi.

El Comit de Informtica es el encargado de tomar las decisiones relativas a

planificacin, supervisin y control del rea.
El Seor Correa posee una gran experiencia en el rea de TI, por lo que
generalmente, el Comit de Informtica acata todas las decisiones de ste, sin
existir oportunidad de considerar otras alternativas expresadas por el resto de
los miembros del comit.
De acuerdo a la lectura de actas del comit, ste rgano no se rene
regularmente y no tiene establecido un periodo de tiempo para realizar
reuniones.
Las funciones del Comit de Informtica son demasiado limitadas y en la
entidad, no se le da la importancia necesaria que debiese figurar ni las
atribuciones esenciales que debiese cumplir dado que, el Seor Correa, es
quien se encarga de dar la aprobacin final a ciertas situaciones sin consultar
opiniones, considerar las recomendaciones o tener presente la experiencia de
los dems integrantes del comit.
Dada la situacin descrita, la empresa se encuentra expuesta a diversos
riesgos: primero, las responsabilidades del comit son muy pocas y existe la
posibilidad de dejar fuera consideraciones que pueden ser significativas para
el funcionamiento del rea y que si no son tomadas en cuenta por el comit,
ninguna otra divisin lo har. Segundo, dado que el comit acata todas las
decisiones del Gerente de Informtica, existe la posibilidad de que sin la
intencin de hacerlo, el gerente tome decisiones equivocadas que puedan
afectar directamente las operaciones del departamento o que dado el juicio del
Seor Correa, ste no detecte aspectos relevantes que s podran ser
considerados por el resto de los miembros. Tercero, debido a que el comit no
realiza juntas regularmente, existe la posibilidad de que no se planifiquen las
actividades oportunamente o que no se detecten oportunidades y debilidades
que son necesarios gestionar cuanto antes.
En la situacin descrita anteriormente, hemos observado claramente la
vulneracin del control interno informtico debido a que como las decisiones
del comit son tomadas nicamente por una persona, los objetivos del negocio
y en especial del departamento, no estn siendo cumplidos adecuadamente.

c. Recomendaciones
i.

17

Recomendamos a la alta direccin Asegurar el Establecimiento y

Mantenimiento del Marco de Referencia de Gobierno y Orientar el Sistema
de Gobierno17 para ampliar las atribuciones del Comit de Informtica y que
sea el encargado de responsabilidades como: aprobacin del Plan Estratgico
de Sistemas de Informacin, aprobacin de inversiones en tecnologas de la

EDM01.02

20

ii.

iii.

informacin, fijar las prioridades de los proyectos pendientes, supervisar las

actividades del departamento de informtica, entre otras.
Recomendamos a la alta direccin Asegurar el Establecimiento de
Mantenimiento del Marco de Referencia de Gobierno y Supervisar el Sistema
de Gobierno18 en especial al Comit de Informtica, de manera que las
decisiones de ste rgano sean tomadas en conjunto por sus miembros y no
slo por el Gerente de Informtica, y adems, que las decisiones finales sean
producto de la consideracin de las opiniones, experiencias y puntos de vista
de todos los miembros del comit y consenso idealmente unnime.
Recomendamos al Comit de Informtica definir reuniones regulares por lo
menos una vez al mes para Gestionar Problemas, es decir, Identificar y
Clasificar Problemas19 a tiempo, Investigar y Diagnosticar20 las causas de los
Problemas, Resolver y Cerrar a tiempo los Problemas 21, revisar aquellos
temas relevantes ocurridos en el departamento, aplicar medidas correctivas
oportunas y tomar decisiones pertinentes en el momento preciso.

a. Situacin actual
El desarrollo de sistemas se realiza en casa matriz de la empresa (oficina Santiago) bajo la
supervisin de la Gerente de Desarrollo, la Seorita Vera quien adems, asume la Gerencia
de Explotacin cuando el gerente titular de dicha rea se ausenta por su periodo de
vacaciones.
b. Observaciones
Segn lo apreciado y a la documentacin proporcionada por el rea de informtica de la
empresa, hemos observado lo siguiente:
i.
ii.

iii.

iv.

La Gerente de Desarrollo, la Seorita Vera, depende jerrquicamente del

Gerente de Informtica, el Seor Correa.
Cuando el Gerente de Explotacin, el Seor Zamorano se ausenta o se
encuentra en su periodo de vacaciones, dada la inexistencia de una persona a
cargo de ese mismo departamento, es la Seorita Vera quien lo reemplaza en
sus labores.
En ocasiones, la Gerente de Desarrollo ha dejado sus labores principales de
lado por tomar participacin en la Gerencia de Explotacin, ocasionando que
temas de urgencia sean desplazados o no resueltos oportunamente o que no se
cuente con su presencia cuando se le ha necesitado en el departamento de
desarrollo.
Dada la situacin descrita, la empresa se encuentra expuesta a diversos
riesgos: primero, como la Seorita Vera es la encargada de reemplazar al
Seor Zamorano, la Gerencia de Desarrollo pierde autoridad e independencia

18

EDM01.03
DSS03.01
20
DSS03.02
21
DSS03.04
19

21

v.

cuando requiere tomar decisiones debido a que su propia gerente no se

encuentra disponible para dirigir tales decisiones. Segundo, existe el riesgo
que no se le otorgue la prioridad necesaria a los asuntos del rea de desarrollo
y que se pierda tiempo valioso u oportunidades que no fueron atendidas
oportunamente. Tercero, existe la posibilidad de que la Seorita Vera no
posea las facultades apropiadas para dirigir, aunque sea por un periodo breve,
la Gerencia de Explotacin y que por ende, tome decisiones incorrectas que
puedan derivar en deficiencias en el departamento.
En la situacin descrita anteriormente, hemos observado claramente la
vulneracin de controles que tienen que ver con la divisin del trabajo,
cumplimiento de las polticas y delineamiento de las responsabilidades y
funciones que tiene cada persona en la entidad.

c. Recomendaciones
i.

ii.

Recomendamos a la alta direccin Gestionar los Recursos Humanos, es decir,

Mantener la Dotacin de Personal Suficiente y Adecuada 22 y definir una
persona especfica para cada departamento que sea la encargada de
reemplazar al gerente de rea cuando ste se ausenta o toma su periodo de
vacaciones y que dicha persona, posea los conocimientos, experiencia y
aptitudes necesarias para cumplir las funciones y responsabilidades de la
gerencia del cargo.
Recomendamos a la alta direccin en caso de no designar una persona para
reemplazar a los gerentes, Gestionar los Recursos Humanos y Mantener las
Habilidades y Competencias del Personal23, es decir, toma en cuenta que si se
va a designar a un gerente de otro departamento para el reemplazo, ste posea
los conocimientos adecuados del rea para evitar que tome decisiones
errneas que puedan derivar en ineficiencias y Evaluar el Desempeo Laboral
de los Empleados24 que se le asignan ms de una labor estratgica.

a. Situacin actual
La entidad cuenta con tres equipos e instalaciones computacionales DiungDu 340, no
interconectados, uno en cada planta y otra en la casa matriz. Debido a esto la entidad dice no
requerir de convenios de respaldos con proveedores o terceros.
b. Observaciones
Segn lo apreciado y a la documentacin proporcionada por el rea de informtica de la
empresa, hemos observado lo siguiente:
i.

La empresa posee en cada una de sus plantas y su casa matriz una instalacin
computacional de DiungDu 340 que no estn interconectados entre s.

22

APO07.01
APO07.03
24
APO07.04
23

22

ii.
iii.
iv.

Adems, la entidad decidi no contratar servicios de respaldo de sus sistemas

con proveedores o terceros.
De fallar una instalacin se traslada al personal necesario a la instalacin ms
cercana para continuar con los procesos.
Segn lo descrito anteriormente podemos ver que existe un alto riesgo de
prdida de informacin, debido a que a pesar de contar con 3 instalaciones en
distintas partes, stas no estn interconectadas, por lo que es poco lo que se
podra hacer al trasladar al personal necesario a otra planta, esto debido a que
la informacin del lugar del siniestro no es compartida con las dems
instalaciones. Por lo tanto, estamos frente a una vulneracin de Controles
sobre los Procedimientos y Datos., lo que podra afectar directamente al activo
ms importante de EPERSA S.A., es decir, su informacin (DATA).

c. Recomendaciones
i.

Recomendamos a la alta direccin tomar una decisin respecto a esta

debilidad, donde encontramos dos posibles caminos. El primero consiste en
mantener en lnea las 3 instalaciones con sus debidos sistemas de seguridad
lgica lo que se lograra a travs de Gestionar Servicios de Seguridad 25, es
decir, Proteger Contra Software Malicioso 26, Gestionar la Seguridad de la Red
y las Conexiones27 y Gestionar la identidad del Usuario y el Acceso Lgico 28
para prevenir un posible ataque o infeccin como malware, spyware,
troyanos, gusanos, etc., con el fin de no perder la informacin de la instalacin
afectada, ya que toda la DATA estara respaldada en las otras dos
instalaciones. La segunda opcin tiene que ver con mantener independientes
las tres instalaciones computacionales, pero contratando un proveedor de
respaldo junto con un hosting para Gestionar Documentos Sensibles y
Dispositivos de Salida29, Gestionar la Seguridad 30 y Definir y Gestionar un
Plan de Tratamiento del Riesgo de la Seguridad de la Informacin31 con el fin
de mantener resguardada la informacin de la entidad, y entonces as, si
llegase a ocurrir un siniestro, el personal necesario podra trasladarse a la
planta ms cercana y tener al alcance toda la informacin respaldada para
continuar con los procesos.

a. Situacin actual
El programador analista puede modificar datos e informacin de las bases de datos de
explotacin a travs del programa Dataentry, aplicacin del sistema operativo DiungDu 340
que permite acceder directamente a las columnas de una Base de Datos Real sin mediar
control de aplicaciones, lo que facilita la modificacin y consulta directa de datos.
25

DSS05
DSS05.01
27
DSS05.02
28
DSS05.04
29
DSS05.06
30
APO13
31
APO13.02
26

23

b. Observaciones
Segn lo apreciado y a la documentacin proporcionada por el rea de informtica de la
empresa, hemos observado lo siguiente:
i.
ii.

iii.

iv.

El programador analista puede modificar las bases de datos sin autorizacin

previa del Gerente del rea de cada planta, a pesar de depender de l.
Cada equipo tiene su propia password para poder acceder a l, sin embargo,
el programa Dataentry no requiere de alguna password previa para acceder a
l.
Existe un historial de modificaciones dentro del programa adherido al sistema
operativo, el cual puede ser editado por el mismo programa sin requerir de
una password o autorizacin previa.
En la situacin descrita anteriormente, podemos apreciar que podran
vulnerarse los Controles sobre los Programas y Equipos junto a los Controles
sobre los Procedimientos y los Datos, lo que claramente puede afectar a la
calidad de la informacin presente en las bases de datos, por lo que se incurre
en el riesgo de manejar informacin poco confiable y no ntegra.

c. Recomendaciones
i.

Recomendamos a la alta direccin Gestionar Procesos de Controles de

Negocio32, Gestionar Roles, Responsabilidades, Privilegios de Acceso y
Niveles de Autorizacin33, Gestionar los Recursos Humanos34, Mantener la
Dotacin de Personal Suficiente y Adecuada 35 e Identificar al Personal Clave
de TI36 para que incluyan como poltica el requerir que el Gerente del rea en
cuestin tenga que dar autorizacin al programador analista antes de que este
ltimo ingrese a Dataentry y pueda modificar las bases de datos , donde slo
tenga que limitarse a la cuanta y caractersticas de datos especficos a
modificar segn se requiera. Todo esto debe quedar documentado y
presentado ante el Gerente respectivo para su correspondiente revisin.

a. Situacin actual
Cada planta y la casa matriz cuenta con operadores de trayectoria, los cuales realizan slo
actividades referentes a los respaldos de sistemas de explotacin, como por ejemplo realizar
estos respaldos, llamar al servicio tcnico en caso de problemas, entre otras cosas, y adems
mantener la biblioteca de respaldos de cada instalacin. Sin embargo, los operadores tambin
cuentan con una password que les permite acceder a todos los datos con objeto de poder
efectuar correcciones, de los mismos, que estn dificultando los procesos.
32

DSS06
DSS06.03
34
APO07
35
APO07.01
36
APO07.02
33

24

b. Observaciones
Segn lo apreciado y a la documentacin proporcionada por el rea de informtica de la
empresa, hemos observado lo siguiente:
i.

ii.
iii.
iv.

v.

Los operadores de trayectoria tienen a su cargo slo operaciones referentes a

los respaldos de sistemas de explotacin, no pudiendo ejercer otras
actividades debido a la segregacin de funciones.
Estos operadores dependen directamente del Gerente del rea en cuestin,
pudiendo solicitar ayuda al programador analista en caso de ser necesario.
Los operadores cuentan con una password personal que les permite acceder a
todos los datos de la entidad con objeto de poder efectuar correcciones.
En las polticas no est establecido, de forma escrita o verbal, que deban
requerir autorizacin de un superior para efectuar las correcciones pertinentes
dentro de los sistemas de informacin y explotacin.
Segn lo descrito anteriormente, podemos apreciar que se podra vulnerar los
Controles Operativos y de Organizacin junto a los Controles sobre los
Procedimientos y los Datos debido a una mala segregacin de funciones por
el hecho de permitirle a los Operarios de Trayectoria realizar correcciones a
las bases de datos cuando ya hay un encargado de realizar dichas tareas, el
programador analista, quien se especializa en modificar las bases de datos.
Por lo tanto, al contar con dos tipos de cargos con acceso y poder de modificar
las bases de datos, podra incurrir en el riesgo de un equivocado cruce de
informacin, reedicin de datos sin su pertinente aviso a la otra unidad y
manipulacin indebida de informacin.

c. Recomendaciones
i.

Recomendamos a la alta direccin Gestionar Procesos de Controles de

Negocio37, Gestionar Roles, Responsabilidades, Privilegios de Acceso y
Niveles de Autorizacin38, Gestionar los Recursos Humanos39, Mantener la
Dotacin de Personal Suficiente y Adecuada40 e Identificar al Personal Clave
de TI41, Gestionar Servicios de Seguridad 42, es decir, Gestionar la Seguridad
de los Puestos de Usuario Final43 y Gestionar la Identidad del Usuario y el
Acceso Lgico44 para as definir bien los parmetros de autorizacin en la
edicin de las bases de datos para evitar lo descrito anteriormente en
observaciones, o bien, permitir a los Operadores de Trayectoria slo ver las
bases de datos, pero si requieren modificar algo tienen que acercarse al
programador analista y ste solicitar permiso al Gerente respectivo.

37

DSS06
DSS06.03
39
APO07
40
APO07.01
41
APO07.02
42
DSS05
43
DSS05.03
44
DSS05.04
38

25

ANEXOS
Anexo 1: Carta de inicio de auditora.
Seplveda & Venegas Ltda.
Auditora y Asesora
Picaflor 720
Maip, Santiago
T +56 9 83056251
Santiago, 14 de Marzo de 2016
Sr. Vctor Correa
Gerente de Informtica
EPERSA S.A.
PRESENTE
Ref.: Inicio de auditora
De nuestra consideracin:
De acuerdo a lo sealado en la referencia, nos es grato informar a usted que conforme al
programa definido por Seplveda & Venegas Auditora y Asesora Ltda., presentado y
aprobado por la alta direccin de EPERSA S.A., corresponde efectuar una auditora sobre
operacionalidad, funcionalidad y eficacia de los sistemas, recursos tecnolgicos y
aplicaciones informticas que apoyan los servicios de TI de la entidad, en el cual los
auditores, utilizando la metodologa y conocimientos sobre la materia, planifican, dirigen,
coordinan y ejecutan una auditora de sistemas mediante procedimientos y pruebas de
auditora.
Particularmente, el equipo de auditora, est integrado por las siguientes personas:
Pamela Seplveda Matus, Auditora de Sistemas de Informacin
Jorge Venegas Caldern, Auditor de Sistemas de Informacin
Los auditores mencionados sern los encargados de ejecutar la auditora correspondiente.
Esta auditora, est planificada para dar inicio inmediatamente luego de la recepcin de la
notificacin del inicio de la auditora por parte de Seplveda & Venegas Auditora y Asesora
Ltda y a ms tardar, el da 25 de marzo hasta el da 30 de mayo del presente ao y tiene como
objetivo general adquirir conocimiento y llevar a cabo una evaluacin crtica al rea
informtica por medio de tcnicas y procedimientos que permitan si las acciones ejecutadas
en el sistema son efectivas y se realizan de acuerdo a las normativas informticas y generales
que se encuentran establecidas en la empresa y dar las recomendaciones pertinentes a los
hallazgos.

26

El trabajo de auditora se llevar a cabo bajo el estndar internacional Cobit 5 y sus dominios.
Cabe mencionar que toda aquella informacin recopilada por la auditora propuesta, ser
considerada de reserva profesional y conocida slo por la(s) contraparte(s) que la misma
entidad estime conveniente.
Sin otro particular y esperando una pronta respuesta para dar inicio al trabajo, se despide
atentamente,

Seplveda & Venegas

Auditora y Asesora Ltda.

27

Anexo 2: Recepcin de notificacin de inicio de auditora.

EPERSA S.A.
Andrs Bello 234
Las Condes, Santiago
T +560 200 300 345
Santiago, 16 de Marzo de 2016
Sr. Seplveda & Venegas
Auditora y Asesora Ltda.
PRESENTE
Ref.: Recepcin carta inicio de auditora
De nuestra consideracin:
De acuerdo a lo sealado en la referencia, nos es grato informar a usted que hemos recibido
satisfactoriamente la carta que inicio de auditora y estamos de acuerdo con el programa
definido por Seplveda & Venegas Auditora y Asesora Ltda., presentado ya a nuestros
directivos.
Adems, esta direccin pondr a su disposicin todos los recursos e informacin necesaria
para que su equipo de auditora lleve a cabo de manera exitosa la auditora solicitada.
Sin otro particular, se despide atentamente,

Francisco Gonzlez
Gerente General EPERSA S.A.

28

Anexo 3: Carta de resguardo de la empresa.

EPERSA S.A.
Andrs Bello 234
Las Condes, Santiago
T +560 200 300 345
Santiago, 18 de Marzo de 2016
CARTA DE RESGUARDO
Con fecha 17 de Mayo de 2016, se presenci el inicio de las pruebas de auditoras de la
sociedad EPERSA S.A., oficina ubicada en Andrs Bello #234 Las Condes, Santiago,
procedimientos que se efectuarn entre los horarios de 09:00 horas a 16:00 horas en las
dependencias de la entidad.
Estos procedimientos fueron y seguirn siendo ejecutados por Pamela Seplveda Matus y
Jorge Venegas Caldern, auditores de Seplveda & Venegas Ltda., quien en compaa de
Vctor Correa (Gerente de Informtica) y Rodrigo Vera (Programador Informtico), en
representacin de EPERSA S.A. procedieron en conjunto a dar inicio a la auditora para
verificar los procedimientos utilizados por el cliente, quien nos asegura, mediante el presente
documento, haber puesto a disposicin nuestra la totalidad de su informacin, actas, reportes
u otros bajo su responsabilidad y custodia. Asimismo, los auditores Pamela Seplveda Matus
y Jorge Venegas Caldern prometen que al trmino de la auditora, devolvern los
documentos solicitados, a entera satisfaccin, al igual que los objetos auditados.

Vctor Correa
Gerente de Informtica
EPERSA S.A.

Pamela Seplveda Matus

Seplveda & Venegas Ltda

Jorge Venegas Caldern

Seplveda & Venegas Ltda

29

Anexo 4: Carta de representacin.

EPERSA S.A.
Andrs Bello 234
Las Condes, Santiago
T +560 200 300 345
Santiago, 22 de Marzo de 2016
Sr. Seplveda & Venegas
Auditora y Asesora Ltda.
PRESENTE
Ref.: Carta de representacin
De nuestra consideracin:
Segn nuestro mejor saber y entender, confirmamos las siguientes opiniones:
1. Reconocemos la responsabilidad de la gerencia en cuanto a presentar razonablemente
en los estados financieros la situacin financiera, resultados de las operaciones y
flujos de efectivo de acuerdo con principios de contabilidad generalmente aceptados.
2. Gran parte de los registros contables y sus correspondientes antecedentes les han sido
facilitados a ustedes. Adems, toda la informacin relativa al rea de informtica ha
sido puesta a su disposicin.
3. Desconocemos la existencia de (a) irregularidades implicando a la gerencia o a
empleados que desempean roles de importancia dentro de la estructura de control
interno y en especial, dentro del departamento de informtica. No han existido
notificaciones de organismos de control con respecto a incumplimientos de, o
deficiencias en, las prcticas de la empresa. La entidad ha cumplido con todos los
aspectos contractuales que podran tener un efecto importante sobre los procesos de
negocio y en especial, sobre el departamento de informtica.
4. El nico asesor legal de la empresa es don Alonso Correa, abogado.
5. No tenemos conocimiento de que algn ejecutivo o empleado de la empresa, en
especial del departamento de informtica, realice negocios que podran ser
considerados como un conflicto de intereses.
Sin otro particular, se despide atentamente,

Francisco Gonzlez
Gerente General EPERSA S.A.

30

Anexo 5: Carta de independencia.

Seplveda & Venegas Ltda.
Auditora y Asesora
Picaflor 720
Maip, Santiago
T +56 9 83056251
Santiago, 23 de Marzo de 2016
Ref.: Carta de independencia de los auditores
Confirmo que cumplo con las normas de independencia aplicables con respecto a: EPERSA
S.A. y que he ledo y comprendo las normas de independencia, incluyendo las que se
especifican a continuacin:
1. Ni yo ni mis familiares inmediatos (cnyuge o equivalente, y personas a cargo)
poseemos un inters financiero directo o indirecto significativo en este cliente de
auditora.
2. Ni yo ni mis familiares inmediatos negociaremos con ttulos de ste durante el plazo
del trabajo y los seis meses posteriores a mi participacin en el mismo.
3. Ni yo ni mis familiares inmediatos hemos actuado como fiduciario o albacea con
respecto a un inters que posee o est comprometido a adquirir un inters financiero
directo o indirecto significativo en este cliente de auditora.
4. Ni yo ni mis familiares inmediatos somos beneficiarios de una sucesin o fideicomiso
(sobre los que alguno de nosotros tenga control) que posee un inters financiero directo
en este cliente de auditora.
5. Ni yo ni mis familiares inmediatos poseemos prstamos otorgado por este cliente,
funcionario o director significativo de los mismos, con la excepcin de aquellos
otorgados por clientes que son instituciones financieras y que representan prstamos
permitidos en conformidad con las polticas de independencia. En el caso de estos
ltimos, ellos han sido otorgados bajo procedimientos de prstamo normales y dentro
del curso normal de los negocios con este cliente o entidad relacionada.
6. Ni yo ni mis familiares inmediatos poseemos depsitos o cuentas en bancos, cuentas
de intermediacin financiera o contratos de seguros con este cliente o cualquier entidad
relacionada, excepto bajo trminos comerciales normales.
7. No poseo una relacin personal estrecha con un director, funcionario o cualquier
empleado del cliente o entidad relacionada que ste en posicin de ejercer una influencia
directa y significativa en los estados financieros.
8. Ningn familiar cercano (Nota 1) es director, funcionario o est en la posicin de
ejercer una influencia directa y significativa en los estados financieros de este cliente, o
estuvo empleado en ese rol durante el perodo de trabajo profesional.
9. No fui empleado por este cliente en ningn momento durante la auditora o el perodo
de trabajo profesional ni durante el perodo de dos aos anterior al perodo cubierto por
los estados financieros.

31

10. No considerar ninguna oferta de empleo del cliente o una entidad relacionada si la
aceptacin de dicha oferta dara como resultado que Seplveda & Venegas deba
renunciar (Nota 2) como auditor de acuerdo con normas de independencia externas.
Nota 1: Los familiares cercanos incluyen a cualquier miembro de la familia inmediata, un
padre, hermano o hijo que no est a cargo de la persona.
Nota 2: Los casos en los que Seplveda & Venegas estara obligada a renunciar como auditor
de acuerdo con normas de independencia externas incluyen los siguientes:
Cuando el cliente de auditora de una Firma Seplveda & Venegas se encuentra en
un territorio que es parte de la Unin Europea, si el socio de auditora fue miembro
del equipo de trabajo dentro del perodo de dos aos anterior a la aceptacin de la
oferta de empleo para ocupar un cargo con responsabilidad por la toma de decisiones
gerenciales fundamentales (como por ejemplo Director Ejecutivo o Financiero).
Para los clientes de auditora registrados en la SEC, si la persona fue miembro del
equipo de auditora o estuvo en la cadena de mando dentro del perodo de un ao
antes del comienzo de la auditora en curso y el cargo ofrecido es el de Director
Ejecutivo o Financiero, funcionario contable principal o cargo equivalente.

Pamela Seplveda Matus

Seplveda & Venegas Ltda

Jorge Venegas Caldern

Seplveda & Venegas Ltda

32