PLANIFICACION DE AUDITORIA Y

REDACCION DE PRE-INFORME DE AUDITORIA

“PESQUERA EPERSA”

TRABAJO PRESENTADO POR:

Carolina Fuenzalida Leiva
Cesar González

CARRERA:
Contador Auditor, 7º Trimestre, año 2018

PROFESOR:
Eduardo Leyton G.

FECHA:14 de Mayo, 2018

 INDICE

I.- ANTECEDENTES GENERALES DE LA AUDITORÍA. 3

1.1 OBJETIVO GENERAL. 3
1.2 OBJETIVOS ESPECÍFICOS. 3
1.3 ALCANCE. 4
1.4 METODOLOGÍA. 4
II.- OPINIÓN GENERAL. 5
III.- OBSERVACIONES Y RECOMENDACIONES DETALLADAS. 7
3.1 ADQUISICIÓN DE UN NUEVO SOFTWARE MARCA DIONG-DU 340. 7
3.2 SISTEMA DE RESPALDOS DE ENERGÍA. 8
3.3 UBICACIÓN DE LA C.P.D. DEL DIONG-DU 340 Y SUS DISPOSITIVOS DE RESPALDO DE
ENERGÍA. 9
3.4 CONEXIÓN DE LOS SISTEMAS DE PROCESAMIENTO DE DATOS. 10
3.5 FUNCIONES DEL COMITÉ DE INFORMÁTICA. 11
3.6 EFECTIVIDAD Y EFICACIA DE LA CONEXIÓN AISLADA DE LOS SISTEMAS. 12
3.7 MANTENCIÓN DE LOS PROGRAMAS Y DEPENDENCIA GERENCIAL EN CADA SUCURSAL. 13
3.8 PROCEDIMIENTOS Y FUNCIONES DEL PERSONAL DE INFORMÁTICA. 14

2|Página
I.- ANTECEDENTES GENERALES DE LA AUDITORÍA.

1.1 OBJETIVO GENERAL.

El objeto del presente trabajo consistió en tomar conocimiento y evaluar, en términos de la

funcionalidad, disponibilidad y eficacia del sistema de procesamiento de información de la
empresa Pesquera Epersa, así como, sus políticas de TI, sus planificaciones e
implementaciones; es decir, dar una opinión sobre la razonabilidad de su funcionamiento
como sistema estratégico de procesamiento de datos y controles automáticos de fabricación,
sus debilidades de seguridad lógicas y/o física y su gestión de TI tanto de planificación como
de ejecución.

1.2 OBJETIVOS ESPECÍFICOS.

 Tomar conocimiento y evaluar las políticas de T.I. en cuanto a las planificaciones,

ejecuciones y toma de decisiones.

 Conocer y evaluar los dispositivos de respaldos de energía del C.P.D. (Centro de

Proceso de Datos).

 Evaluar la ubicación del C.P.D. del Diong – Du 340, su seguridad física y los riesgos
asociados.

 Conocer y evaluar el procesamiento de información, su efectividad, eficiencia,

seguridad y oportunidad.

 Evaluar si el comité de Informática cumple con sus obligaciones de planificación,

desarrollo y control acorde con las necesidades del negocio y sus usuarios.

 Conocer y evaluar la eficiencia y eficacia de contar con tres equipos en cada región
no conectados entre sí.

 Conocer y evaluar si las mantenciones de la empresa se están realizando de acuerdo

a procesos planificados y si los encargados son especialistas en el tema bajo la
dependencia correcta.

 Conocer y evaluar si las labores de analistas y programadores cumplen con las

obligaciones reales que debieran tener dentro de la organización.

3|Página
1.3 ALCANCE.

Ante los objetivos específicos señalados, nuestro trabajo se centró en primer término en
realizar un análisis exhaustivo a la Empresa Epersa, el enfoque está orientado a las políticas
de T.I. dentro de la organización, sus procedimientos, toma de decisiones en cuanto a la
adquisición de un sistema computacional para el procesamiento de la información y procesos
de fabricación, que cumplan con funcionalidad, eficacia, eficiencia y seguridad. Para luego
tomar conocimiento si la empresa cuenta con los debidos resguardos de seguridad física de
sus sistemas, además validar si se cumple con la seguridad lógica asociada a un sistema de
conexión aislada, así mismo, se analiza si el comité de Informática realiza sus procedimientos
de acuerdo a las políticas instauradas por la empresa, finalmente se evalúa si el sistema de
procesos de datos descentralizados logra obtener el mayor rendimiento y niveles aceptables
de seguridad lógica y seguridad física en cuanto a los procesamiento de información, que
estos sean coherentes, consistente y confiable y con tiempos de respuesta aceptables.

1.4 METODOLOGÍA.

 Para el logro de los objetivos propuestos, la revisión y análisis se basó en la aplicación

de pruebas sustantivas y de cumplimientos a distintas áreas de la empresa tanto en
Casa Matriz como sucursales.

 Se visitó e inspeccionó cada una de las plantas de Iquique y Talcahuano y las oficinas
administrativas de Santiago.

 Se realizó una revisión minuciosa a la documentación entregada por cada área objeto
de nuestra auditoria.

 Se solicitó a cada área sus procedimientos correspondientes para validar e

inspeccionar, si estos se estaban ejecutando de acuerdo a la norma.

 El presente trabajo contempló la realización de reuniones programadas con cada una

de las áreas y personas vinculadas directa e indirectamente en los procesos de la
empresa.

 Finalmente como política de nuestra empresa, una versión preliminar de este informe
fue puesta a disposición de las áreas involucradas.

4|Página
II.- OPINIÓN GENERAL.

La industria pesquera en Chile ha alcanzado niveles de desarrollo que tiene a nuestro país
dentro de los productores mundiales de harinas de pecados y sus derivados, la empresa Epersa
es considerada una de las mayores exportadoras pesqueras del país, y está en el dilema del
crecimiento, para esto, debe tomar las decisiones correctas en sus políticas tanto
operacionales, comerciales, y de tecnologías de la información (T.I) que permitan lograr sus
objetivos estratégicos y su desarrollo en el tiempo.
En concordancia con el objetivo central de esta auditoría valoramos positivamente aspectos
fundamentales a destacar de la empresa Epersa.

A pesar de contar con procesos descentralizados de procesamiento de información que hacen

menos efectivos y eficaces los resultados, la empresa Epersa está posicionada al cabo de solo
tres años dentro de las más grandes del cono sur.

No obstante, observamos la existencia de las siguientes debilidades, de alto riesgo, tanto de

forma como de fondo, asociados a la operación, eficacia, conectividad de los sistemas, todo
esto sumado, a la falta de procedimientos y cumplimientos de deberes de las áreas auditadas
según procedemos a detallar:

Se realizan compras estratégicas que involucran gran cantidad de recursos sin que existan los
estudios previos que garanticen que las tecnologías son las adecuadas para las necesidades
de la empresa.

Las instalaciones del C.P.D del Diong-Du 340 no cuentan con los estudios necesarios que
den la seguridad física para una operación óptima, la ubicación de la sala cero según las
observaciones, corresponden a una bodega que no da las condiciones mínimas de
refrigeración, humedad y aislamientos en caso de catástrofe entre otros.

Los procesos son descentralizados, lo que hace que la seguridad lógica del sistemas se vea
en riesgo cierto, los continuos procesos necesarios para la actualización de los datos en las
tres divisiones, dejan al sistema expuesto a un alto porcentaje de ocurrencia de errores de
carga y proceso.

El Comité de Informática no cumple a cabalidad con sus obligaciones de velar por el

desarrollo y elección de Tecnologías de la información acordes con la necesidad de la
empresa, así como, las planificaciones de informáticas, seguimientos de los procesos,
descripciones de cargos asociados al uso, manejo o administración de los recursos de T.I.

La empresa cuenta actualmente con un sistema de conexión aislada por cada división que no
permite obtener el mejor rendimiento, tanto al software como al hardware, ni menos la
implementación de servidores Back-Up de pronta activación.

5|Página
Finalmente en el punto III del presente informe “Observaciones y recomendaciones
detalladas” presentamos aquellos antecedentes en que basamos nuestra opinión general y de
todo lo expuesto, recomendamos a la empresa, que instruya a las unidades que corresponda
hacer todos los esfuerzos necesarios para superar las deficiencias y debilidades del sistema,
efectuando la reingeniería que sea necesaria en las funciones y en los procesos que
correspondan en tal sentido, con el fin de lograr cubrir las reales necesidades presentes y
futuras de la empresa en el tratamiento y proceso de la información.

6|Página
III.- OBSERVACIONES Y RECOMENDACIONES DETALLADAS.

A continuación detallamos todas aquellas observaciones, sus respectivas debilidades y

recomendaciones que se presentaron durante el transcurso de esta auditoría.

3.1 ADQUISICIÓN DE UN NUEVO SOFTWARE MARCA DIONG-DU 340.

a) Situación actual.
La Empresa Epersa cuenta con un sistema completo de procedencia Norcoreano
marca Diong – Du 340, este software fue recientemente adquirido por el
Abogado Fiscal de la organización quien negoció en forma directa con los
representantes técnicos comerciales de Diong – Du para Sudamérica en Buenos
Aires.

b) Observaciones.
Hemos detectado que la organización no cuenta con planes informáticos acordes
a la envergadura del negocio y sus necesidades. El sistema Diong – Du no ha
tenido el debido proceso de evaluación por parte del comité de Informática, que
garantice que cumple con las necesidades de: funcionalidad, operatividad,
disponibilidad y tiempo de respuesta para todos los procesos de la empresa.

c) Recomendación del Auditor.

Recomendamos a la Alta Gerencia hacer las gestiones necesarias para
implementar políticas tendientes a fomentar la creación de planes de
Informáticos que aporten al desarrollo natural de la organización y que cumplan
a cabalidad con la necesidad del negocio y sus usuarios.

d) Tipo de seguridad conceptual trasgredida.

La compra de un sistema informático (Diong – Du) sin cumplir con las
formalidades de una evaluación por parte del comité de informática pone en
riesgo la seguridad lógica del sistema. La negociación se hace sin mayores
formalidades ni menos evaluaciones del sistema, esto puede traer como
consecuencia las siguientes posibles fallas de seguridad lógicas:

 Falta de capacitación y soporte adecuado: La informalidad de la compra

y el poco estudio del producto no garantiza tener las capacitaciones y
soporte adecuados, una falla de funcionamiento puede traer
consecuencias incalculables para la empresa que pondrían en riesgo su
continuidad.

 Incompatibilidad con los sistemas actuales: La falta de estudio y la

opinión negada al resto de la organización hacen altamente riesgoso la
incorporación de un sistema que no sea compatible con los subsistemas
del resto de la empresa, y lo que es más grave, que no cumpla con las
necesidades reales del negocio y los usuarios.

7|Página
3.2 SISTEMA DE RESPALDOS DE ENERGÍA.

a) Situación actual.
El C.P.D. cuenta con dos sistemas de respaldo de energía de emergencia, un
grupo electrógeno (Generador de energía eléctrica por petróleo) y una U.P.S
(Sistema ininterrumpido de poder – batería), los dos sistemas soportan en
emergencia todo el consume eléctrico del edificio y así garantizan la
operatividad del negocio (máquinas de escribir, sumadoras, lámparas, pc,
estufas, cafeteras) ambos sistemas están en el la bodega del segundo subterráneo
junto a la C.P.D. del Diong – Du 340.

b) Observaciones.
Hemos detectado que los sistemas de respaldo de energía para contingencia
eléctrica están ubicados junto a la C.P.D. del Diong – Du 340 en la bodega del
segundo subterráneo, la ubicación del generador de energía a petróleo pone en
riesgo el C.P.D. Un posible incendio por falla del generador podría afectar la
totalidad de la Sala Cero y al resto del edificio.

c) Recomendación del Auditor.

Recomendamos a la Alta Gerencia hacer las modificaciones tendientes a
rediseñar y modificar tanto la ubicación de los sistemas de respaldo de energía
como la separación del C.P.D. Este debe contar por lo menos con dos sistemas
de respaldo eléctricos (UPS – Generador eléctrico de petróleo) aislados de los
respaldos eléctricos del resto del edificio, que den la independencia, seguridad
y continuidad del sistema.
El generador eléctrico de petróleo debe ser reubicado fuera de la Sala Cero, en
lugares de preferencia azoteas o patios exteriores, de esta manera se da la mejor
mantención y aislación en caso de fallas del mismo.
Recomendamos aumentar la cantidad de U.P.S. en la cantidad necesaria que
sean capaz de soportar y mantener en operaciones al C.P.D. del Diong – Du 340,
mientras el generador eléctrico de petróleo entra en operación.

d) Tipo de seguridad conceptual trasgredida.

La ubicación de los sistemas de apoyo eléctricos pone en riesgo al C.P.D Diong

– Du 340, atentando a las siguientes seguridades físicas del sistema:
 Una falla en el funcionamiento del generador a petróleo podría generar
desde contaminación del aire, como inflamación del generador
provocando un incendio de consecuencias definitivas para el C.P.D.
 El C.P.D. no cuenta con un respaldo de energía de emergencia aislado
de la red de emergencia del resto del edificio, la actual conexión podría
generar cambios de voltaje que afecten los equipos, quienes no serían
capaces de soportar la sobrecarga.

8|Página
3.3 UBICACIÓN DE LA C.P.D. DEL DIONG-DU 340 Y SUS DISPOSITIVOS DE
RESPALDO DE ENERGÍA.

a) Situación actual.
De acuerdo a un informe técnico emitido por un programador, el C.P.D. del
sistema Diong – Du 340, actualmente está ubicado en la bodega del segundo
subterráneo junto a los dispositivos de respaldos de energía, ambos sistemas
están bajo acceso restringido controlado por un guardia externo a la empresa.

b) Observaciones.
Hemos detectado que el C.P.D. del sistema Diong – Du 340 se encuentra en una
“Bodega” del segundo subterráneo de la empresa, las instalaciones de bodega
estas diseñadas para almacenaje y no cumplen con los requisitos mínimos de
una Sala Cero, no se mencionan estudios previos ni restructuraciones posteriores
para las mejoras mínimas que den la seguridad física necesaria para el C.P.D.
del sistema Diong – Du 340.

c) Recomendación del Auditor.

Recomendamos a la Alta Gerencia hacer los estudios necesarios que determinen
fehacientemente si la ubicación actual del C.P.D. del sistema Diong – Du 340
cuenta con las condiciones necesarias para asegurar la seguridad física en cuanto
a; niveles de humedad, resguardo de posibles inundaciones, medidas anti-
incendios, sistemas de enfriamientos que permitan sacar el mejor rendimiento.
En cuanto a la seguridad de los accesos son recomendables los sistemas
biométricos de autentificación o en su defecto personal de confianza de la misma
organización en los controles de acceso, de esta manera garantizamos el debido
resguardo de la información y seguridad de la misma.

d) Tipo de seguridad conceptual trasgredida.

La actual ubicación del C.P.D. del sistema Diong – Du 340 transgrede su

seguridad física según detallamos:
 La actual ubicación no da garantías de seguridad física al sistema, las
instalaciones de una bodega no son las adecuadas para una Sala Cero,
no existen un estudio que garantice que la ubicación y sus instalaciones
son las apropiadas, libres de humedad, con sistemas de enfriamiento y
las conexiones necesarias junto con una infraestructura de alto nivel de
seguridad y protección.
 Ante una falla de los sistemas de respaldo de energía por generador de
energía por petróleo podría generar riesgos ciertos de incendios o
contaminación del aire que causarían daños irreparables.
 Los accesos al C.P.D. del sistema Diong – Du 340 son resguardados por
una empresa externa de vigilancia, este formato de vigilancia trasgrede
la seguridad física y lógica del sistema (robo de información).

9|Página
3.4 CONEXIÓN DE LOS SISTEMAS DE PROCESAMIENTO DE DATOS.

a) Situación actual.

La interconexión de la divisiones con el sistema Diong – Du 340 son de forma

descentralizadas, la información se procesa en forma separada por cada división
para finalmente consolidar en casa matriz quien además de efectuar sus propios
procesos centraliza los procesos de las dos plantas (Iquique-Talcahuano).

b) Observaciones.

Hemos detectado que la actual modalidad de conexión independiente de cada

sucursal y casa matriz con el C.P.D del sistema Diong – Du 340, no genera el
rendimiento óptimo para los procesos en cuanto a efectividad, eficiencia,
seguridad y oportunidad.

c) Recomendación del Auditor.

Recomendamos a la Alta Gerencia hacer las gestiones necesarias para migrar del
actual sistema de procesamiento de información descentralizado (Batch) a una
conexión en línea, que procese información en tiempo real. Esta modalidad dará
la fluidez y rapidez de los procesos, así, la información y los procesos cumplirán
en efectividad, eficiencia, seguridad, coherencia y oportunidad.
Para la implementación existen distintos tipos conectividades seguras de
extensiones de red, dentro de las más usadas esta vía VPN (Virtual Private
Network) y servicio de escritorio remoto (Remote Desktop Services). Este nuevo
tipo de conexión elimina los riesgos de seguridad lógica de la información y sus
procesos, así como, mejora ostensiblemente los tiempos de respuesta y mejora
la calidad de la información y de los procesos.

d) Tipo de seguridad conceptual trasgredida.

El proceso de información en forma descentralizada (Batch) transgrede

seguridades de tipo lógica de las cuales podemos detallar:
 Los procesos descentralizados no permiten obtener la información en
forma oportuna en apoyo a la gestión del negocio, se hace necesario
esperar los procesos de centralización de la información para recién
tener respuesta a los requerimientos de información.
 Los procesos de centralización masiva atentan contra la seguridad lógica
del sistema, en cuanto a la fidelidad de la información; es decir, se puede
generar carga de información errónea por la falta de supervisión en su
generación o desconocimientos del mismo proceso, una carga de
información errónea genera informes erróneos.

10 | P á g i n a
3.5 FUNCIONES DEL COMITÉ DE INFORMÁTICA.

a) Situación actual.
El comité de informática de la empresa solo está encargado de la planificación
informática y la creación de sistemas computacionales, pieza importante del
comité es el Gerente de Informática, gracias a su vasto conocimiento del área,
el Gerente de Informática tiene poder de decisión en dicho comité junto con los
demás miembros en cuanto a planificación y control dentro de la empresa.

b) Observaciones.
Analizado el caso, hemos detectado que el Comité de Informática no ha
participado efectivamente en los temas más sensibles para la empresa, como lo
es la compra de un sistema de procesamiento de datos, corazón del negocio.
Adicionalmente el Gerente de Informática tiene participación activa en la toma
de decisiones que son de exclusividad del Comité de Informática que garantiza
así su independencia.

c) Recomendación del Auditor.

En virtud del análisis de los hechos, recomendamos a la alta Gerencia normar
de forma clara las labores y atribuciones del Comité de Informática, su rol para
la toma de decisiones estratégicas y corporativas, la aprobación de proyectos del
plan informáticos, asignaciones de presupuestos para gestión anual, monitoreo
y seguimiento al plan informático, todos estos puntos ligados al logro de los
objetivos de la empresa.

d) Tipo de seguridad conceptual trasgredida.

La falta de rigurosidad por parte del Comité de Informática en la toma de

decisiones estratégicas en las tecnologías de T.I. transgrede la seguridad lógica
en los siguientes puntos:
 El Comité de Informática es el ente específico de cada organización
encargado de velar por el desarrollo seguro de las tecnologías de la
información dentro de la organización. En esta empresa la compra de un
sistema de procesamiento de datos sin la aprobación del Comité de
Informático y la falta de un debido proceso de evaluación atentan la
seguridad lógica del sistema. Una tecnología errónea puede generar
información errónea a la organización o lo que es peor, una compra que
finalmente no cumpla con la necesidad y obligue a invertir nuevamente
recursos en T.I.
 El Gerente de Informática tiene voz y voto en el Comité de informática,
la norma exige que solo puede tener voz mas no voto, esto garantiza
tanto la seguridad lógica como física de los posibles sistemas en cuales
la empresa invertirá grandes cantidades de recursos, esto es, evitar
influencias de distintos intereses personales (conflicto de intereses) en
desmedro de un debido proceso para la elección correcta de T.I. La
seguridad física se refiere a la correcta elección del hardware y
seguridad lógica a la elección del software adecuado.
11 | P á g i n a
3.6 EFECTIVIDAD Y EFICACIA DE LA CONEXIÓN AISLADA DE LOS
SISTEMAS.

a) Situación actual.
La empresa Epersa actualmente mantiene en servicio y en paralelo para los
procesos de datos tres equipos e instalaciones de características similares
(Iquique-Talcahuano-Casa Matriz). Las capacidades individuales de proceso de
los equipos es tal, que soportan toda la carga de procesos de la empresa, solo
siendo necesario el traslado del personal a las instalaciones más cercanas en caso
de siniestro o contingencia extrema.

b) Observaciones.
La actual conexión de los tres equipos (Iquique-Talcahuano-Casa Matriz) no
permite ni fomenta el mejor y más seguro rendimiento de los procesos, un
sistema conectado en línea permite homologación de programas y procesos, por
consiguiente el ahorro de costos asociados, la mejora de tiempos de respuesta,
facilidad de mantenciones en línea y sus respaldos.

c) Recomendación del Auditor.

Recomendamos a la alta Gerencia hacer los cambios necesarios para migrar de
un sistema de conexión individual de sus equipos (Iquique-Talcahuano-Casa
Matriz) a un sistema de conexión en línea de los mismos, este cambio genera
una serie de beneficios sistémico-económicos que aportarán sustantivamente al
cumplimiento de los objetivos de la empresa. La mejora de los procesos, el
ahorro de recursos, la capacidad que tendrá el sistema para generar un Back-up
en caso de contingencia en tiempos notablemente menores, la mejora en la
seguridad lógica y de los niveles de calidad de la información, funcionalidad,
operatividad, disponibilidad, tiempo de respuesta que agilizará
cuantitativamente todos los procesos.

d) Tipo de seguridad conceptual trasgredida.

La actual conexión de los equipos en forma aislada, no permite obtener los

mejores rendimientos de los procesos, este formato trasgrede seguridades de tipo
lógica y física según detallamos:
 La conexión aislada no aprovechar las características similares de los
equipos transgrediendo así, la seguridad física de los mismos, en cuanto
a poder disponer de Back-Up de fácil activación a distancia asegurando
rápidamente las operaciones de la empresa y sus procesos.
 Este mismo tipo de conexión atenta además contra la seguridad lógica
del sistema al no permitir homologar procesos y programas con sus
respectivas mantenciones todas a distancias, esto permitiría mejoras
sustanciales en la calidad de la información, procesos y tiempos de
respuesta con los ahorros asociados que genera la fidelización.

12 | P á g i n a
3.7 MANTENCIÓN DE LOS PROGRAMAS Y DEPENDENCIA GERENCIAL EN
CADA SUCURSAL.

a) Situación actual.
Los sistemas de Casa Matriz y sucursales Iquique – Talcahuano tienen
instalados en sus memoria de explotación los programas en sus versiones fuentes
y objeto, esta característica permite a sucursales y Casa matriz hacer sus
mantenciones en forma independiente unas de otras. Adicionalmente como
sucursales no tiene área de desarrollo de sistemas, se utiliza al programador
analista para hacer las mantenciones quien depende directamente del Gerente
del área de cada planta.

b) Observaciones.
Hemos detectado que las mantenciones se hacen en forma independientes entre
Casa Matriz y sucursales Iquique – Talcahuano, estos procesos independientes
de mantención, se hacen por existir una modalidad de conexión aislada de cada
división, el formato produce el uso de recursos hasta dos veces más de lo
necesario versus los ahorro que produce un sistema en línea, adicionalmente no
se observa un manual de procedimientos de mantención, lo que deja expuesto el
riesgo de mantenciones irregulares y no estandarizadas que podría llegar a
afectar la programación de los sistemas y finalmente el servicio a la empresa y
sus usuarios.

c) Recomendación del Auditor.

Recomendamos a la alta Gerencia y su comité de auditoría redefinir la
conectividad en línea del sistema, el aporte directo de este cambio es una mejora
sustantiva de los procesos de mantención haciendo factible programaciones
efectivas en tiempos de poca exigencia al sistema y sin la necesidad de operarios
en terrenos siendo posible mantenciones nocturnas a distancia con los ahorros
de recursos adicionales.
Esta nueva modalidad permite implementar mantenciones estructuradas en línea
según sean los procedimientos más adecuados, de esta manera se garantiza la
seguridad lógica y física de sistema y hardware.

d) Tipo de seguridad conceptual trasgredida.

Las mantenciones independientes que se realizas en las tres divisiones de la
empresa que es producto de una conexión aislada de cada una de ellas
transgreden seguridades de tipo lógicas y de tipo física según detallamos:
 Las mantenciones separadas no permite tener un sistemas
permanentemente en condiciones óptimas de funcionamiento para los
procesos, la seguridad lógica se ve afectada al momento que el sistema
no tendrá el máximo potencial de procesos a diferencia de la división de
mantención completa, los datos y resultados de los procesos serán
distintos y afectaran la confiabilidad, coherencia y oportunidad de la
información.

13 | P á g i n a
  Las mantenciones independientes no son estandarizadas y no cuentas
con los manuales de procedimientos correspondientes, para cada
mantención habrá un estilo diferente de acuerdo al analista que lo
ejecute, esto atenta contra la seguridad física, un proceso ineficiente de
mantención a los equipos y al sistema terminará por afectar a ambos de
igual manera.

3.8 PROCEDIMIENTOS Y FUNCIONES DEL PERSONAL DE INFORMÁTICA.

a) Situación actual.
Los analistas de programa ubicados en cada planta tienen distintas labores de las
cuales destacamos, decidir la oportunidad y prioridad de las actividades de
mantención, discusión y acuerdos verbales con los usuarios, para la ejecución
de cambios y modificación del sistema, reemplazar a los operadores cuando se
ausenten por licencias médicas, modificar mediante programas utilitarios datos
e información en la base en explotación, hacer ensayos de sistemas en base de
datos reales de la empresa.
Los Operadores cuentan con las atribuciones en sistema que les permite acceder
a todos los datos con el objeto de hacer correcciones que estén dificultando los
procesos.

b) Observaciones.
Una vez analizada las labores tanto del analista programador como de los
operadores hemos detectado:
El analista programador decide en forma personal las prioridades de mantención
del sistema, esta decisión debiera estar debidamente pauteada en los
procedimientos de mantención.
Los acuerdos alcanzados en reunión con los usuarios son de tipo verbal, para
esta debilidad se debería contar con bitácoras de pautas de cambios de los
sistemas desde su creación previamente autorizados por la Gerencia de
Informática.
Las sucursales cuentas con más de un operador para cubrir los reemplazos de
ausencia de funcionarios operadores.
Los analistas de programa tienen labores y atribuciones distintas a su
descripción de cargo lógico, apegado a la segregación de funciones.
Hacer modificaciones directas en la base de datos de explotación deben ser
autorizadas y ejecutadas por supervisores de alto grado, el riesgo de dañar y
perder información es de alto impacto en el sistema.
Probar el funcionamiento de los sistemas en base de datos de usuarios pone en
riesgo la seguridad lógica del sistema, un programa que aún no está maduro en
su concepción podría generar modificaciones que afecte al resto de los sistemas,
donde encontrar la falla sería imposible, los ensayos se deben hacer en estatus
de marcha blanca paralelo a las operaciones reales y en módulos de prueba.
Los operadores tienen atribuciones para modificar datos de la operación real que
dificulten los procesos, si bien es cierto, son operadores de trayectoria es
necesario aclarar que debe existir un manual para este tipo de operación de alta

14 | P á g i n a
 criticidad, más la supervisión directa de alto nivel que re-garantice la mitigación
de riesgos lógicos que afecten los sistemas.

c) Recomendación del Auditor.

Ante los análisis expuestos, recomendamos a la alta Gerencia, revisar y

fortalecer los manuales de procedimientos de uso, mantención y gestiones
operativas de los sistemas de información, dejando claramente establecidos los
pasos a seguir en cada una de las situaciones y agregando constantemente
procedimientos nuevos para nuevas situaciones, además, una descripción
detallada de cada uno de los cargos en las áreas de informática en cuanto a sus
obligaciones y atribuciones. Los manuales mitigaran los riesgos de seguridad
lógica del sistema como de seguridad física sabiendo cada quien que hacer,
como hacer y hasta donde llega su atribución que lo obligará a escalar el
problema.

d) Tipo de seguridad conceptual trasgredida.

La falta de manuales de procedimientos de uso, mantención y gestiones

operativas de los sistemas de información sumada a la falta de una descripción
de cargo genera las siguientes transgresiones de seguridad lógica:
 Las decisiones de tipo personal para las mantenciones tomadas por el
analista programador y sin que sea apegadas a un manual de
procedimientos, pone en riesgo la seguridad lógica del sistema, una
mantención inoportuna o fuera de plazo puede agravar y dificultar la
solución del problema.
 Los acuerdos alcanzados en reuniones con usuarios y que generan
modificaciones al sistema no son debidamente documentadas, la
ausencia de ésta hará imposible contar con una bitácora de
modificaciones de sistemas para posibles mejoras y reparaciones.
 Los operadores de sucursales deben ser reemplazados por personal de
iguales cargos y características, así aseguramos que las mantenciones al
sistema las realice el personal correcto, mitigando la transgresión al
riesgo lógico de modificaciones del sistema por mal manejo.
 Las modificaciones a la base de datos de explotación, más las pruebas
de sistemas en ambiente de sistema de información de operación real,
transgrede la seguridad lógica del sistema poniendo en riesgo de eliminar
datos claves de operación y modificaciones que hagan inoperante el
sistema.

15 | P á g i n a