Professional Documents
Culture Documents
CARRERA:
Contador Auditor, 7º Trimestre, año 2018
PROFESOR:
Eduardo Leyton G.
2|Página
I.- ANTECEDENTES GENERALES DE LA AUDITORÍA.
Evaluar la ubicación del C.P.D. del Diong – Du 340, su seguridad física y los riesgos
asociados.
Conocer y evaluar la eficiencia y eficacia de contar con tres equipos en cada región
no conectados entre sí.
3|Página
1.3 ALCANCE.
Ante los objetivos específicos señalados, nuestro trabajo se centró en primer término en
realizar un análisis exhaustivo a la Empresa Epersa, el enfoque está orientado a las políticas
de T.I. dentro de la organización, sus procedimientos, toma de decisiones en cuanto a la
adquisición de un sistema computacional para el procesamiento de la información y procesos
de fabricación, que cumplan con funcionalidad, eficacia, eficiencia y seguridad. Para luego
tomar conocimiento si la empresa cuenta con los debidos resguardos de seguridad física de
sus sistemas, además validar si se cumple con la seguridad lógica asociada a un sistema de
conexión aislada, así mismo, se analiza si el comité de Informática realiza sus procedimientos
de acuerdo a las políticas instauradas por la empresa, finalmente se evalúa si el sistema de
procesos de datos descentralizados logra obtener el mayor rendimiento y niveles aceptables
de seguridad lógica y seguridad física en cuanto a los procesamiento de información, que
estos sean coherentes, consistente y confiable y con tiempos de respuesta aceptables.
1.4 METODOLOGÍA.
Se visitó e inspeccionó cada una de las plantas de Iquique y Talcahuano y las oficinas
administrativas de Santiago.
Se realizó una revisión minuciosa a la documentación entregada por cada área objeto
de nuestra auditoria.
Finalmente como política de nuestra empresa, una versión preliminar de este informe
fue puesta a disposición de las áreas involucradas.
4|Página
II.- OPINIÓN GENERAL.
La industria pesquera en Chile ha alcanzado niveles de desarrollo que tiene a nuestro país
dentro de los productores mundiales de harinas de pecados y sus derivados, la empresa Epersa
es considerada una de las mayores exportadoras pesqueras del país, y está en el dilema del
crecimiento, para esto, debe tomar las decisiones correctas en sus políticas tanto
operacionales, comerciales, y de tecnologías de la información (T.I) que permitan lograr sus
objetivos estratégicos y su desarrollo en el tiempo.
En concordancia con el objetivo central de esta auditoría valoramos positivamente aspectos
fundamentales a destacar de la empresa Epersa.
Se realizan compras estratégicas que involucran gran cantidad de recursos sin que existan los
estudios previos que garanticen que las tecnologías son las adecuadas para las necesidades
de la empresa.
Las instalaciones del C.P.D del Diong-Du 340 no cuentan con los estudios necesarios que
den la seguridad física para una operación óptima, la ubicación de la sala cero según las
observaciones, corresponden a una bodega que no da las condiciones mínimas de
refrigeración, humedad y aislamientos en caso de catástrofe entre otros.
Los procesos son descentralizados, lo que hace que la seguridad lógica del sistemas se vea
en riesgo cierto, los continuos procesos necesarios para la actualización de los datos en las
tres divisiones, dejan al sistema expuesto a un alto porcentaje de ocurrencia de errores de
carga y proceso.
La empresa cuenta actualmente con un sistema de conexión aislada por cada división que no
permite obtener el mejor rendimiento, tanto al software como al hardware, ni menos la
implementación de servidores Back-Up de pronta activación.
5|Página
Finalmente en el punto III del presente informe “Observaciones y recomendaciones
detalladas” presentamos aquellos antecedentes en que basamos nuestra opinión general y de
todo lo expuesto, recomendamos a la empresa, que instruya a las unidades que corresponda
hacer todos los esfuerzos necesarios para superar las deficiencias y debilidades del sistema,
efectuando la reingeniería que sea necesaria en las funciones y en los procesos que
correspondan en tal sentido, con el fin de lograr cubrir las reales necesidades presentes y
futuras de la empresa en el tratamiento y proceso de la información.
6|Página
III.- OBSERVACIONES Y RECOMENDACIONES DETALLADAS.
a) Situación actual.
La Empresa Epersa cuenta con un sistema completo de procedencia Norcoreano
marca Diong – Du 340, este software fue recientemente adquirido por el
Abogado Fiscal de la organización quien negoció en forma directa con los
representantes técnicos comerciales de Diong – Du para Sudamérica en Buenos
Aires.
b) Observaciones.
Hemos detectado que la organización no cuenta con planes informáticos acordes
a la envergadura del negocio y sus necesidades. El sistema Diong – Du no ha
tenido el debido proceso de evaluación por parte del comité de Informática, que
garantice que cumple con las necesidades de: funcionalidad, operatividad,
disponibilidad y tiempo de respuesta para todos los procesos de la empresa.
7|Página
3.2 SISTEMA DE RESPALDOS DE ENERGÍA.
a) Situación actual.
El C.P.D. cuenta con dos sistemas de respaldo de energía de emergencia, un
grupo electrógeno (Generador de energía eléctrica por petróleo) y una U.P.S
(Sistema ininterrumpido de poder – batería), los dos sistemas soportan en
emergencia todo el consume eléctrico del edificio y así garantizan la
operatividad del negocio (máquinas de escribir, sumadoras, lámparas, pc,
estufas, cafeteras) ambos sistemas están en el la bodega del segundo subterráneo
junto a la C.P.D. del Diong – Du 340.
b) Observaciones.
Hemos detectado que los sistemas de respaldo de energía para contingencia
eléctrica están ubicados junto a la C.P.D. del Diong – Du 340 en la bodega del
segundo subterráneo, la ubicación del generador de energía a petróleo pone en
riesgo el C.P.D. Un posible incendio por falla del generador podría afectar la
totalidad de la Sala Cero y al resto del edificio.
8|Página
3.3 UBICACIÓN DE LA C.P.D. DEL DIONG-DU 340 Y SUS DISPOSITIVOS DE
RESPALDO DE ENERGÍA.
a) Situación actual.
De acuerdo a un informe técnico emitido por un programador, el C.P.D. del
sistema Diong – Du 340, actualmente está ubicado en la bodega del segundo
subterráneo junto a los dispositivos de respaldos de energía, ambos sistemas
están bajo acceso restringido controlado por un guardia externo a la empresa.
b) Observaciones.
Hemos detectado que el C.P.D. del sistema Diong – Du 340 se encuentra en una
“Bodega” del segundo subterráneo de la empresa, las instalaciones de bodega
estas diseñadas para almacenaje y no cumplen con los requisitos mínimos de
una Sala Cero, no se mencionan estudios previos ni restructuraciones posteriores
para las mejoras mínimas que den la seguridad física necesaria para el C.P.D.
del sistema Diong – Du 340.
9|Página
3.4 CONEXIÓN DE LOS SISTEMAS DE PROCESAMIENTO DE DATOS.
a) Situación actual.
b) Observaciones.
Recomendamos a la Alta Gerencia hacer las gestiones necesarias para migrar del
actual sistema de procesamiento de información descentralizado (Batch) a una
conexión en línea, que procese información en tiempo real. Esta modalidad dará
la fluidez y rapidez de los procesos, así, la información y los procesos cumplirán
en efectividad, eficiencia, seguridad, coherencia y oportunidad.
Para la implementación existen distintos tipos conectividades seguras de
extensiones de red, dentro de las más usadas esta vía VPN (Virtual Private
Network) y servicio de escritorio remoto (Remote Desktop Services). Este nuevo
tipo de conexión elimina los riesgos de seguridad lógica de la información y sus
procesos, así como, mejora ostensiblemente los tiempos de respuesta y mejora
la calidad de la información y de los procesos.
10 | P á g i n a
3.5 FUNCIONES DEL COMITÉ DE INFORMÁTICA.
a) Situación actual.
El comité de informática de la empresa solo está encargado de la planificación
informática y la creación de sistemas computacionales, pieza importante del
comité es el Gerente de Informática, gracias a su vasto conocimiento del área,
el Gerente de Informática tiene poder de decisión en dicho comité junto con los
demás miembros en cuanto a planificación y control dentro de la empresa.
b) Observaciones.
Analizado el caso, hemos detectado que el Comité de Informática no ha
participado efectivamente en los temas más sensibles para la empresa, como lo
es la compra de un sistema de procesamiento de datos, corazón del negocio.
Adicionalmente el Gerente de Informática tiene participación activa en la toma
de decisiones que son de exclusividad del Comité de Informática que garantiza
así su independencia.
a) Situación actual.
La empresa Epersa actualmente mantiene en servicio y en paralelo para los
procesos de datos tres equipos e instalaciones de características similares
(Iquique-Talcahuano-Casa Matriz). Las capacidades individuales de proceso de
los equipos es tal, que soportan toda la carga de procesos de la empresa, solo
siendo necesario el traslado del personal a las instalaciones más cercanas en caso
de siniestro o contingencia extrema.
b) Observaciones.
La actual conexión de los tres equipos (Iquique-Talcahuano-Casa Matriz) no
permite ni fomenta el mejor y más seguro rendimiento de los procesos, un
sistema conectado en línea permite homologación de programas y procesos, por
consiguiente el ahorro de costos asociados, la mejora de tiempos de respuesta,
facilidad de mantenciones en línea y sus respaldos.
12 | P á g i n a
3.7 MANTENCIÓN DE LOS PROGRAMAS Y DEPENDENCIA GERENCIAL EN
CADA SUCURSAL.
a) Situación actual.
Los sistemas de Casa Matriz y sucursales Iquique – Talcahuano tienen
instalados en sus memoria de explotación los programas en sus versiones fuentes
y objeto, esta característica permite a sucursales y Casa matriz hacer sus
mantenciones en forma independiente unas de otras. Adicionalmente como
sucursales no tiene área de desarrollo de sistemas, se utiliza al programador
analista para hacer las mantenciones quien depende directamente del Gerente
del área de cada planta.
b) Observaciones.
Hemos detectado que las mantenciones se hacen en forma independientes entre
Casa Matriz y sucursales Iquique – Talcahuano, estos procesos independientes
de mantención, se hacen por existir una modalidad de conexión aislada de cada
división, el formato produce el uso de recursos hasta dos veces más de lo
necesario versus los ahorro que produce un sistema en línea, adicionalmente no
se observa un manual de procedimientos de mantención, lo que deja expuesto el
riesgo de mantenciones irregulares y no estandarizadas que podría llegar a
afectar la programación de los sistemas y finalmente el servicio a la empresa y
sus usuarios.
13 | P á g i n a
Las mantenciones independientes no son estandarizadas y no cuentas
con los manuales de procedimientos correspondientes, para cada
mantención habrá un estilo diferente de acuerdo al analista que lo
ejecute, esto atenta contra la seguridad física, un proceso ineficiente de
mantención a los equipos y al sistema terminará por afectar a ambos de
igual manera.
a) Situación actual.
Los analistas de programa ubicados en cada planta tienen distintas labores de las
cuales destacamos, decidir la oportunidad y prioridad de las actividades de
mantención, discusión y acuerdos verbales con los usuarios, para la ejecución
de cambios y modificación del sistema, reemplazar a los operadores cuando se
ausenten por licencias médicas, modificar mediante programas utilitarios datos
e información en la base en explotación, hacer ensayos de sistemas en base de
datos reales de la empresa.
Los Operadores cuentan con las atribuciones en sistema que les permite acceder
a todos los datos con el objeto de hacer correcciones que estén dificultando los
procesos.
b) Observaciones.
Una vez analizada las labores tanto del analista programador como de los
operadores hemos detectado:
El analista programador decide en forma personal las prioridades de mantención
del sistema, esta decisión debiera estar debidamente pauteada en los
procedimientos de mantención.
Los acuerdos alcanzados en reunión con los usuarios son de tipo verbal, para
esta debilidad se debería contar con bitácoras de pautas de cambios de los
sistemas desde su creación previamente autorizados por la Gerencia de
Informática.
Las sucursales cuentas con más de un operador para cubrir los reemplazos de
ausencia de funcionarios operadores.
Los analistas de programa tienen labores y atribuciones distintas a su
descripción de cargo lógico, apegado a la segregación de funciones.
Hacer modificaciones directas en la base de datos de explotación deben ser
autorizadas y ejecutadas por supervisores de alto grado, el riesgo de dañar y
perder información es de alto impacto en el sistema.
Probar el funcionamiento de los sistemas en base de datos de usuarios pone en
riesgo la seguridad lógica del sistema, un programa que aún no está maduro en
su concepción podría generar modificaciones que afecte al resto de los sistemas,
donde encontrar la falla sería imposible, los ensayos se deben hacer en estatus
de marcha blanca paralelo a las operaciones reales y en módulos de prueba.
Los operadores tienen atribuciones para modificar datos de la operación real que
dificulten los procesos, si bien es cierto, son operadores de trayectoria es
necesario aclarar que debe existir un manual para este tipo de operación de alta
14 | P á g i n a
criticidad, más la supervisión directa de alto nivel que re-garantice la mitigación
de riesgos lógicos que afecten los sistemas.
15 | P á g i n a