You are on page 1of 33

Universidad de Santiago de Chile

Facultad de Administración y Economía


Departamento de Contabilidad y Auditoría

Planificación, Programa y
Pre-informe de Auditoría
Empresa EPERSA S.A.
PEP 1

Integrantes: Pamela Sepúlveda Matus


Jorge Venegas Calderón

Profesor: Eduardo Leyton Guerrero

Cátedra: Auditoría de Sistemas de Información

30 de Mayo de 2016
ÍNDICE

PLANIFICACIÓN Y PROGRAMA DE AUDITORÍA A LA EMPRESA EPERSA S.A ......... 2

I. Conocimiento general de la empresa ............................................................................. 2

II. Objetivo general ....................................................................................................... 2

III. Objetivos específicos ................................................................................................. 2

IV. Alcance .................................................................................................................... 3

V. Metodología ................................................................................................................. 3

VI. Recursos y Planificación de la Auditoría en Terreno .................................................. 3

VII. Programa de Auditoría ............................................................................................. 4

VIII. Análisis de las evidencias ..................................................................................... 12

IX. Pre-Informe ........................................................................................................... 12

PREINFORME DE LOS HALLAZGOS ENCONTRADOS EN LA EJECUCIÓN DE LA


AUDITORÍA A LA EMPRESA EPERSA S.A. ................................................................... 13

I. ANTECEDENTES GENERALES .............................................................................. 13

a. Objetivo general ..................................................................................................... 13

b. Objetivos específicos ............................................................................................... 13

c. Alcance .................................................................................................................. 13

d. Metodología ........................................................................................................... 14

II. OPINIÓN GENERAL ............................................................................................ 14

III. OBSERVACIONES Y RECOMENDACIONES DETALLADAS ............................. 16

ANEXOS .......................................................................................................................... 26

1
PLANIFICACIÓN Y PROGRAMA DE AUDITORÍA A LA EMPRESA EPERSA
S.A

I. Conocimiento general de la empresa

EPERSA S.A. es una empresa dedicada a la captura y procesamiento de cardúmenes en las


costas de Arica hasta Talcahuano, cuenta con dos plantas de gestión técnica-científica y
procesamiento de harina de pescado en los puertos de Iquique y Talcahuano, y una oficina
administrativa, de Gerencia, comercialización y distribución a Santiago.

Es una empresa emergente, que logró en muy poco tiempo posicionarse en la industria
Chilena, obteniendo a la fecha la capacidad de transporte y procesamiento más grande del
cono sur, con una producción de 3500 toneladas al mes y con ingresos anuales de US$ 1457,7
millones entre exportaciones y el comercio nacional.

II. Objetivo general

El objetivo general de este proceso de auditoría consiste en adquirir conocimiento y evaluar


los distintos sistemas, recursos tecnológicos y aplicaciones informáticas que garanticen la
continuidad de los servicios de TI de la empresa pesquera EPERSA S.A. en términos de
operacionalidad, funcionalidad y eficacia de dichos sistemas, como también, la calidad y
oportunidad de la información proporcionada por éstos a los usuarios de los sistemas con el
fin de emitir una opinión al respecto mediante un pre-informe de auditoría.

III. Objetivos específicos

Para cumplir con el objetivo general planteado en el párrafo anterior, se han determinado los
siguientes objetivos específicos:

● Obtener un conocimiento global del área informática y de sus actividades y


responsabilidades específicas.
● Obtener conocimiento de los principales sistemas y recursos informáticos que apoyan
las actividades de la empresa a nivel estratégico y operacional.
● Verificar la funcionalidad y eficacia de los sistemas informáticos de la empresa.
● Verificar la confiabilidad de los sistemas informáticos de la empresa en cuanto a
seguridad lógica y física, calidad y oportunidad de la información generada.
● Verificar si los sistemas informáticos apoyan el cumplimiento de las actividades y
objetivos de los usuarios de dichos sistemas.
● Analizar los hallazgos encontrados en el área de informática y determinar los riesgos
a los que está expuesta la empresa y los controles que han sido o pueden ser
transgredidos al respecto.
● Emitir las recomendaciones pertinentes de control interno relativas a los hallazgos
encontrados mediante un pre-informe de auditoría.

2
IV. Alcance

Conforme a los objetivos específicos anteriormente señalados, esta auditoría centrará su


atención en el área de informática de la empresa EPERSA S.A. como también, en los
principales sistemas de información y recursos tecnológicos empleados para apoyar sus
actividades operacionales y estratégicas, basándose en el estándar internacional de Cobit 5 y
específicamente en los procesos del dominio MEA (Monitor - Evaluate - Assess).

Esta auditoría no tiene por objetivo analizar el diseño de los sistemas, recursos tecnológicos
y aplicaciones informáticas de la empresa EPERSA S.A. sino, analizar y verificar la
operacionalidad, funcionalidad y eficacia de dichos sistemas.

El proceso de auditoría se llevará a cabo en las dependencias de la entidad y se ha acordado


con la administración un período razonable para su ejecución en terreno de once semanas a
objeto de aplicar las pruebas pertinentes y obtener las conclusiones respectivas.

V. Metodología

Para cumplir con los objetivos propuestos, las actividades de evaluación y análisis de los
distintos sistemas, recursos tecnológicos y aplicaciones informáticas de la entidad, se
llevarán a cabo bajo los estándares de Cobit 5 y específicamente en los procesos del dominio
MEA (Monitor - Evaluate - Assess) y además, se realizarán una serie de procedimientos de
auditoría, los que incluyen pruebas sustantivas, pruebas de cumplimiento y pruebas analíticas
enfocadas para dar la evidencia suficiente a los auditores sobre la funcionalidad, integridad
y disponibilidad los sistemas, recursos tecnológicos y aplicaciones informáticas del área de
informática de la empresa EPERSA S.A. con el fin de emitir una opinión sobre la
razonabilidad del objeto auditado.

Lo anterior se realizará bajo un análisis crítico de los sistemas implementados en las distintas
áreas de la entidad, de manera de recabar la documentación e información para el proceso de
auditoría.

En forma adicional, se programaron reuniones de trabajo con el departamento de informática


y las gerencias correspondientes para recopilar la información necesaria.

VI. Recursos y Planificación de la Auditoría en Terreno

Para la ejecución de la auditoría se utilizarán los siguientes recursos:

1. En términos de recursos de humanos se utilizarán 2 auditores quienes poseen las


capacidades y habilidades necesarias para llevar a cabo la auditoría.
2. En términos de recursos tecnológicos se utilizarán 2 notebooks habilitados con el
software Procesador de Texto y Planillas de Cálculo Microsoft Office 2013.
3. Se utilizará material de oficina y todos los elementos necesarios para llevar a cabo
eficientemente el trabajo.

3
4. En términos informacionales, se utilizará toda la información que proporcione la
Administración de la empresa, como también, papeles de trabajo sobre auditorías
pasadas y además, toda la información que recolectemos los auditores por medio
análisis, indagación, entrevistas y observación en terreno.

VII. Programa de Auditoría

A continuación, se detalla el Programa de Auditoría para la empresa pesquera EPERSA S.A.


En dicho programa, se especifican las actividades a realizar y las pruebas de auditorías
pertinentes a ejecutar para cumplir con el objetivo general y los objetivos específicos de la
auditoría. Además, se especifican los responsables a cargo de cada actividad y la indexación
a Cobit 5 referente a los procesos del dominio MEA (Monitor - Evaluate - Assess) el cual
será utilizado como estándar para la ejecución del trabajo.

EPERSA S.A.
Programa de Auditoría
Auditoría a la operacionalidad, funcionalidad y eficacia de los sistemas, recursos
tecnológicos y aplicaciones informáticas.
Fecha de inicio: 14 de marzo de 2016
Fecha de término: 30 de mayo de 2016
Auditores: Pamela Sepúlveda Matus y Jorge Venegas Calderón

Actividad Fecha Resp. COBIT 5 Anexo


Dominio:
MEA

I. Gestión de inicio de Auditoría.

A) Carta de inicio de auditoría. 14.03.2016 Sepúlveda Anexo 1


B) Recepción de notificación de 16.03.2016 - Anexo 2
inicio de auditoría. Venegas
C) Carta de resguardo de la 18.04.2016 Anexo 3
empresa. 22.03.2016
D) Carta de representación. Anexo 4
23.03.2016 Anexo 5
E) Carta de independencia.

II. Obtención de información 25.03.2016


general.

1. Requerir información relativa a Sepúlveda MEA01.03


las actividades efectuadas por el -
área de informática. Venegas
2. Requerir información respecto a MEA01.03
las responsabilidades del área
informática y del personal a cargo.

4
3. Requerir perfiles de cargos del MEA01.03
personal del área informática.
4. Requerir información sobre los MEA01.03
sistemas, recursos tecnológicos y
aplicaciones informáticas que
apoyan sus actividades.
5. Requerir planes informáticos de MEA01.03
continuidad, emergencia y
contingencia.
MEA01.01
6. Requerir inventarios de
sistemas, recursos tecnológicos y
aplicaciones informáticas. MEA01.03
7. Requerir los planes
administrativos de trabajo para el
año. MEA01.04
8. Solicitar información sobre
cómo las herramientas
computacionales de TI apoyan las
labores de los usuarios de dichos
recursos.

III. Obtención de información 01.04.2016


específica.

1. Requerir manuales de uso de los Sepúlveda MEA01.03


sistemas, recursos tecnológicos y -
aplicaciones informáticas. Venegas
2. Requerir manuales de seguridad MEA01.03
física y seguridad lógica del objeto
auditable.
MEA01.03
3. Requerir un detalle de las
aplicaciones y software utilizados
para la seguridad lógica de los
sistemas informáticos y recursos
tecnológicos. MEA02.02
4. Requerir manuales sobre los
procedimientos a seguir cuando
existen fallas en la operacionalidad
de los sistemas. MEA02.02
5. Requerir los niveles de
autorización del personal a las
fuentes de información. MEA02.02
6. Requerir detalles sobre el
control de acceso a los sistemas de
información. MEA01.03

5
7. Obtener información
documentada que evidencie la
integridad, seguridad, MEA02.02
confidencialidad y confiabilidad
del área de informática.
8. Requerir el tipo de codificación
utilizada en el sistema.

IV. Obtención de información 06.04.2016


complementaria.

1. Requerir reportes sobre fallas de Sepúlveda MEA01.03


funcionalidad y operacionalidad en -
los sistemas, recursos tecnológicos Venegas
y aplicaciones informáticas dentro
de los últimos 6 meses.
MEA01.03
2. Requerir reportes sobre la
calidad y oportunidad de la
información generada por los
sistemas medida por los usuarios. MEA02.02
3. Requerir reportes sobre los
controles efectuados a sus sistemas
informáticos y el resultado de
éstos. MEA01.03
4. Requerir un detalle de las
nuevos recursos tecnológicos
adquiridos e implementados en el
último año junto con su
justificación de implementación. MEA01.03
5. Requerir un reporte sobre
vulneraciones a sus sistemas o
modificaciones no autorizadas por
personal de la empresa o por
terceros ajenos ocurridas en los MEA01.03
últimos 6 meses.
6. Requerir documentación que
evidencie que los usuarios de los
sistemas, recursos tecnológicos y
aplicaciones informáticas hayan MEA01.03
sido debidamente capacitados.
7. Requerir un detalle de mermas
en recursos tecnológicos e
informáticos en los últimos 6
meses. MEA01.01

6
8. Requerir Actas de las últimas 3
sesiones del Comité de
Informática.

V. Procedimiento de auditoría
sobre la información general.

Pruebas de Cumplimiento: 11.04.2016

1. Verificar de acuerdo a las Sepúlveda MEA01.02 /


políticas de la empresa, que las MEA02.05
actividades del área informática
están bien definidas y son
realizadas por el personal idóneo
de acuerdo a los perfiles de los
diferentes cargos. Venegas MEA01.02 /
2. Verificar la existencia de planes MEA01.05 /
de continuidad, emergencia y MEA02.07
contingencia de acuerdo a las
políticas de la empresa y que estos
son ejecutados según los objetivos
de la entidad. Sepúlveda MEA02.01 /
3. Verificar que exista un control MEA02.02
de inventario de los sistemas y
recursos tecnológicos cuando se
producen bajas, adquisiciones u
Venegas MEA01.02 /
otros movimientos.
4. Verificar que las actividades MEA01.03
llevadas a cabo en el área de
informática se efectúan de acuerdo
a los planes administrativos de Sepúlveda
trabajo preestablecidos. MEA01.02
5. Verificar que la existencia de los
sistemas informáticos y otros
recursos tecnológicos se acomodan
a las necesidades de la empresa.

Pruebas Sustantivas: Venegas MEA02.05


18.04.2016
MEA02.07
1. Corroborar mediante actas que
los planes informáticos de
continuidad, emergencia y
contingencia son elaborados por el
comité de informática, autorizados
por el gerente del área y revisados
anualmente. Además, corroborar

7
mediante documentación que los
procedimientos que detallan dichos
planes son puestos a prueba a Venegas MEA02.02
través de simulacros para
determinar su efectividad.
2. Corroborar mediante muestreo
aleatorio que el inventario de
sistemas, recursos tecnológicos y
aplicaciones informáticas,
demuestran fielmente el valor
libro, estado y cantidad de éstos de
acuerdo a los registros contables. Sepúlveda MEA01.04

Pruebas Analíticas: 21.04.2016

1. Comparar el detalle de
inventario de sistemas, recursos
tecnológicos y aplicaciones
informáticas respecto a lo que la
entidad poseía en años anteriores
para analizar la inversión en esta Sepúlveda MEA01.04 /
área, las actualizaciones de sus MEA02.07
ERP y altas y bajas de estos
activos.
2. Comparar la evolución de los
planes informáticos de
continuidad, emergencia y
contingencia de la empresa
respecto a periodos anteriores para
analizar sus cambios,
actualizaciones y movimientos de
acuerdo a las necesidades del área.
Venegas MEA01.03
VI. Procedimiento de auditoría
sobre la información específica.

Pruebas de Cumplimiento: 26.04.2016


Sepúlveda MEA01.03
1. Verificar que la empresa cuenta
con manuales de uso sobre los
sistemas, recursos tecnológicos y
aplicaciones informáticas. Venegas MEA02.02
2. Verificar la existencia y
cumplimiento de manuales de
seguridad física y seguridad lógica
según las políticas de la empresa.

8
3. Verificar que el acceso físico y
lógico de los sistemas, recursos
tecnológicos y aplicaciones Sepúlveda MEA01.03 /
informáticas, esté debidamente MEA02.07
protegido y controlado según las
políticas y procedimientos
adecuados.
4. Verificar que la empresa posee Venegas MEA02.02 /
políticas sobre los procedimientos
MEA02.07
a seguir en casos de emergencia o
contingencias que puedan afectar
la funcionalidad y continuidad de
los sistemas de información.
5. Verificar que la codificación y
encriptación se está llevando a Venegas MEA01.03
cabo como un sistema de
seguridad.
03.05.2016
Pruebas Sustantivas:

1. Corroborar mediante análisis


que los manuales de uso de los
sistemas, recursos tecnológicos y
aplicaciones informáticas se
encuentran diseñados con un
lenguaje comprensible y cubren
todas las necesidades de Venegas MEA01.03 /
información de los usuarios. MEA02.07 /
Además, mediante entrevistas MEA02.08
corroborar que dichos manuales
son conocidos por todo el personal
y se recurre realmente a ellos
cuando surge alguna duda.
2. Corroborar mediante
observación que los controles de
acceso a los sistemas están bien
definidos y son eficaces. Se puede
elegir aleatoriamente a un
trabajador del área para que
efectúe modificaciones no
autorizadas al sistema y mediante
observación, corroborar que el Sepúlveda MEA03.01 /
sistema no permite (o en su defecto MEA03.04
sí permite) ejecutar tales
maniobras.

9
Pruebas Analíticas: 06.05.2016

1. Comparar las aplicaciones y Sepúlveda


software utilizados por la empresa MEA01.04
en la seguridad lógica respecto a la MEA02.07
oferta que existe en el mercado de
estos recursos para analizar el
riesgo de obsolescencia al que está
expuesta la empresa y el nivel de
inversión en esta área.
2. Comparar respecto a años
anteriores si los controles de
acceso a los sistemas de
información han aumentado para la
seguridad física y seguridad lógica
o disminuido para facilitar las Sepúlveda
labores de los usuarios. MEA01.03 /
MEA01.05 /
VII. Procedimiento de auditoría MEA02.07
sobre la información
complementaria.
11.05.2016
Pruebas de Cumplimiento: Venegas
1. Verificar que la empresa posee MEA01.03 /
políticas sobre los procedimientos MEA01.04
a seguir en caso de fallas en la
funcionalidad y operacionalidad de
los sistemas, recursos tecnológicos
y aplicaciones informáticas y que Sepúlveda
dichos sucesos sean documentados. MEA01.03 /
2. Verificar que los reportes sobre MEA02.03
la calidad y oportunidad de la
información generada por los
sistemas sean evaluadas por los
usuarios directos e indirectos de
Venegas
dichos sistemas y son ejecutadas
según las políticas de la empresa. MEA01.03 /
3. Verificar el cumplimiento de las MEA02.07
políticas de control sobre los
sistemas informáticos en cuanto a
los tipos de controles, periodicidad, Sepúlveda
encargados de realizarlos y pasos a
MEA01.03
seguir en caso de encontrar
hallazgos.

10
4. Verificar la existencia de
políticas sobre los procedimientos
a seguir en caso de vulneraciones a
los sistemas o modificaciones no
autorizadas y que éstas sean
cumplidas. Venegas
MEA02.05
5. Verificar que efectivamente se
ejecuten las capacitaciones a los
usuarios de los sistemas, recursos
tecnológicos y aplicaciones
informáticas de acuerdo a los
planes establecidos y recursos
asignados. Venegas
MEA01.03 /
Pruebas Sustantivas: 18.05.2016 MEA02.06

1. Corroborar que la información


contenida en los reportes sobre
fallas en la funcionalidad y
operacionalidad de los sistemas,
son elaborados por personal
técnico cualificado y que tiene los
conocimientos sobre los recursos
informáticos que se evalúan.
2. Corroborar mediante
documentación que las
capacitaciones a los usuarios de los
sistemas y recursos tecnológicos
son realizadas de acuerdo a las
necesidades de capacitación, se Sepúlveda
ejecutan de acuerdo a la MEA01.03 /
programación calendarizada, son MEA01.04 /
utilizados los recursos asignados a MEA02.04
ello, y se llevan a cabo
evaluaciones con el de obtener una
retroalimentación de los resultados
de la capacitación para proceder a
los ajustes y mejoras necesarias en Sepúlveda
el proceso. MEA01.02 /
MEA02.04 /
Pruebas Analíticas: MEA02.06
23.05.2016
1. Comparar con periodos
anteriores los reportes sobre fallas
en la funcionalidad y
operacionalidad de los sistemas,

11
recursos tecnológicos y
aplicaciones informáticas para
analizar la periodicidad de
ocurrencia de las fallas y sus
causas.
2. Comparar las expectativas del
comité de informática sobre la
seguridad de sus sistemas respecto
a los resultados reales obtenidos en
los reportes sobre las vulneraciones
a sus sistemas por parte del
personal de la empresa o terceros
ajenos.

VIII. Análisis de las evidencias

Con posterioridad de haber definido claramente el programa de auditoría a la empresa


EPERSA S.A., se analizará la información obtenida en el proceso de evaluación, previa
aplicación de los procedimientos de auditoría, basándose en estándares de Cobit 5 y
específicamente, como ya se ha mencionado anteriormente, en los procesos del dominio
MEA (Monitor - Evaluate - Assess).

IX. Pre-Informe

Luego de la ejecución de la auditoría se procederá a la redacción del Pre-informe a la empresa


EPERSA S.A. en donde, en base a la auditoría ejecutada a la operacionalidad, funcionalidad
y eficacia de los sistemas, recursos tecnológicos y aplicaciones informáticas, se detallan los
hallazgos encontrados, los controles que han sido o pueden ser transgredidos al respecto y
las recomendaciones pertinentes de los auditores.

12
PREINFORME DE LOS HALLAZGOS ENCONTRADOS EN LA EJECUCIÓN DE
LA AUDITORÍA A LA EMPRESA EPERSA S.A.

Pre-Informe
Empresa EPERSA S.A.
Auditoría a la operacionalidad, funcionalidad y eficacia de los sistemas, recursos
tecnológicos y aplicaciones informáticas.
26 de Mayo de 2016

I. ANTECEDENTES GENERALES

a. Objetivo general

El objetivo general de la auditoría llevada a cabo consistió en adquirir conocimiento y evaluar


en ámbitos de funcionalidad, integridad y disponibilidad los sistemas, recursos tecnológicos
y aplicaciones informáticas del área de informática de la empresa EPERSA S.A. con el fin
de detectar, analizar y describir las debilidades de la entidad en términos de TI y especificar
los controles que han sido o serán vulnerados en dichos recursos.

b. Objetivos específicos

Para el cumplimiento del objetivo general de este informe, se consideraron los siguientes
objetivos específicos:

● Adquirir conocimiento global del área de informática de la empresa EPERSA S.A. y


de sus actividades y responsabilidades específicas.
● Detectar y analizar debilidades en las TI de EPERSA S.A. y describir los riesgos de
dichas debilidades y los controles que han sido o serán vulnerados en cada situación.
● Realizar para cada debilidad detectada, las recomendaciones respectivas de control
interno que se consideren pertinentes y que permitan mitigar los riesgos en términos
de funcionalidad, integridad y disponibilidad de los sistemas, recursos tecnológicos
y aplicaciones informáticas de la empresa EPERSA S.A.

c. Alcance

Conforme a los objetivos específicos anteriormente señalados, esta auditoría centró su


atención en el área de informática de la empresa EPERSA S.A. como también, en los
principales sistemas de información y recursos tecnológicos empleados para apoyar sus
actividades operacionales y estratégicas, con el fin de encontrar hallazgos y emitir las
recomendaciones pertinentes. El análisis y evaluación efectuados se basó en el estándar
internacional Cobit 5 y los procesos de sus dominios.

13
Esta auditoría no tuvo por objetivo analizar el diseño de los sistemas, recursos tecnológicos
y aplicaciones informáticas de la empresa EPERSA S.A., sino, analizar y verificar la
operacionalidad, funcionalidad y eficacia de dichos sistemas.

El proceso de auditoría se llevó a cabo en las dependencias de la entidad y se acordó con la


administración un período razonable para su ejecución en terreno de once semanas a objeto
de aplicar las pruebas pertinentes y obtener las conclusiones respectivas.

d. Metodología

Para cumplir con los objetivos propuestos, las actividades de evaluación y análisis de los
distintos sistemas, recursos tecnológicos y aplicaciones informáticas de la entidad se llevaron
a cabo bajo los estándares de Cobit 5 y los procesos de sus dominios y además, se realizaron
una serie de procedimientos de auditoría que incluyeron pruebas sustantivas, pruebas de
cumplimiento y pruebas analíticas enfocadas para dar la evidencia suficiente a los auditores
respecto a la funcionalidad, integridad y disponibilidad los sistemas, recursos tecnológicos y
aplicaciones informáticas del área de informática de la empresa EPERSA S.A. con el fin de
emitir una opinión sobre la razonabilidad del objeto auditado.

Lo anterior se realizó bajo un análisis crítico de los sistemas implementados en las distintas
áreas de la entidad, de manera de detectar hallazgos y/o debilidades en términos de TI y
efectuar las recomendaciones pertinentes,

En forma adicional, se programaron reuniones de trabajo con el departamento de informática


y las gerencias correspondientes para recopilar la información necesaria.

Finalmente, una versión preliminar de este informe fue puesta en conocimiento de los
ejecutivos de las áreas involucradas, incluyendo en el texto definitivo sus comentarios y
observaciones correspondientes.

II. OPINIÓN GENERAL

Recientemente, la empresa EPERSA S.A. ha adquirido para el procesamiento de información


y controles automáticos de procesos de fabricación, tanto para su casa matriz ubicada en
Santiago, como para sus plantas ubicadas en los puertos de Iquique y Talcahuano, una
completa instalación computacional marca DiongDu 340 AS-9-K-KR de procedencia
norcoreana.

En lo específico y en relación al objetivo general de esta auditoría, valoramos positivamente


aspectos elementales de funcionamiento, tales como:

● La actualización de sus sistemas computacionales mediante la adquisición de una


nueva plataforma para todas sus dependencias.

14
● Cada uno de los sistemas desarrollados es enviado a las plantas tanto en su formato
fuente como sus compilados, junto a los manuales de sistema, de operación y de
usuarios.

No obstante, hemos observado la existencia de debilidades, con un grado de riesgo


significativo, en términos de funcionalidad, integridad, disponibilidad y eficacia asociadas al
sistema computacional DiongDu 340 y a ciertas actividades y/o prácticas desarrolladas por
el departamento de informática, las cuales se mencionan a continuación:

● La nueva plataforma computacional fue adquirida por el fiscal de la entidad, quien


posee experiencia en comercio exterior pero no en sistemas de información, por ende,
el software ha sido adquirido sin evaluar y analizar en primera instancia, las
necesidades de sistemas de información del área de TI o las características de este
departamento.
● El suministro energético de la entidad se encuentra ubicado en la bodega del segundo
subterráneo, lugar no apropiado para este dispositivo teniendo en cuenta que emana
mucho calor de éste y que además, en dicha bodega se ubica la CPU del DiongDu
340.
● El lugar donde se encuentra ubicada la CPU del DiongDu 340 sólo se encuentra
resguardada por una guardia externa, sin que medie ningún otro tipo de seguridad que
pueda controlar el acceso al lugar.
● El Comité de Informática no posee grandes atribuciones o responsabilidades, no
realiza reuniones periódicamente para tomar decisiones y además, éstas son resueltas
casi de forma unilateral por el Gerente de Informática.
● La Gerente de Desarrollo cumple las labores propias de su departamento pero además,
en ausencia del Gerente de Explotación, debe reemplazarlo y asumir sus
responsabilidades, sin existir límites de roles y funciones definidas.
● La entidad cuenta con tres equipos e instalaciones computacionales DiungDu 340, no
interconectados, uno en cada planta y otra en la casa matriz. Debido a esto la entidad
dice no requerir de convenios de respaldos con proveedores o terceros.
● El DiongDu 340 posee una aplicación que permite acceder directamente a tuplas de
una Base de Datos Relacional (BDR) sin medir control de esta facilidad de acceso
que por defecto, incluye la plataforma computacional.
● Los operadores de trayectoria tienen una password de acceso para efectuar
modificaciones sin mediar control alguno.

Por lo anteriormente expuesto, recomendamos a la empresa que por instrucciones de su


Directorio, instruya a las unidades pertinentes para que éstas tomen las medidas necesarias y
desarrollen todas sus potencialidades y facultades para superar las deficiencias y debilidades
mencionadas de manera de gestionar a tiempo los riesgos inherentes asociados a dichos
hallazgos. Esto lo puede lograr reestructurando ciertas actividades y prácticas que en la
actualidad, conllevan a un riesgo latente y que pueden derivar en la ineficiencia de sus
operaciones e incluso, de sus sistemas de información. Además, puede definir políticas y
procedimientos que en un futuro, contribuirán a que la entidad alcance la eficiencia, eficacia
y economía del negocio.

15
En el punto III del presente informe, “Observaciones y Recomendaciones Detalladas” se
exponen las debilidades detectadas pero además, los riesgos asociados a ellas, las
vulneraciones a los controles y las recomendaciones pertinentes. Una positiva acogida de
éstas aportará a EPERSA S.A., beneficios que sin duda, superarán sus propios costos de
ejecución y le ayudarán a fortalecer la gestión de sus principales operaciones de negocio en
todos los niveles de su estructura organizativa.

III. OBSERVACIONES Y RECOMENDACIONES DETALLADAS

A continuación, se presentan las observaciones y recomendaciones atingentes al tema de esta


auditoría, surgidas durante el desarrollo de esta misma.

a. Situación actual

Recientemente el Fiscal, abogado de vasta experiencia en comercio exterior, adquirió una


compleja instalación computacional marca DiongDu 340 AS-9-K-KR de procedencia
Norcoreana, para el procesamiento de la información y controles automáticos de procesos de
fabricación, tanto para su casa matriz como para sus plantas elaboradoras.

b. Observaciones

Según lo apreciado y a la documentación proporcionada por el área de informática de la


empresa, hemos observado lo siguiente:

i. El Fiscal sólo tiene experiencia en materia de negocios en el comercio


exterior, pero no sobre TI ni Sistemas de Información.
ii. Este abogado no recibió asesoría de un especialista en TI sobre qué instalación
computacional elegir, sólo se basó en datos investigados por él y opiniones de
los usuarios.
iii. Esta persona investigó más a fondo sobre el DiongDu 340 AS-9-K-KR para
ver si cumplía con las características necesarias para que el sistema cumpliera
con los objetivos de la empresa.
iv. En la situación descrita anteriormente, hemos observado claramente la
vulneración de Controles Operativos y de Organización junto con Controles
sobre Programas y Equipos, lo que podría afectar directamente el manejo de
la información por la implementación de un sistema operativo que no sea ad
hoc a los requerimientos de la entidad.

c. Recomendaciones

i. Recomendamos a la alta dirección Gestionar Procesos de Controles de


Negocio1, Gestionar Roles, Responsabilidades, Privilegios de Acceso y
Niveles de Autorización2, Gestionar los Recursos Humanos3, Mantener la
1
DSS06
2
DSS06.03
3
APO07

16
Dotación de Personal Suficiente y Adecuada 4 e Identificar al Personal Clave
de TI5 para que además del abogado con experiencia en comercio exterior,
incluyan en las negociaciones de TI y Sistemas de Información, a un
especialista de dichas materias, con el fin de que además de realizar un buen
trato, el activo adquirido cumpla con las especificaciones de acuerdo a las
necesidades de la empresa.

a. Situación actual

Con respecto a los dispositivos de respaldo de energía, la sala cero cuenta con un Grupo
electrógeno (generador de energía eléctrica por petróleo) y una UPS (sistema ininterrumpido
de poder de baterías) que se encuentran ubicados en la bodega de las dependencias de
EPERSA S.A.

b. Observaciones

Según lo apreciado y a la documentación proporcionada por el área de informática de la


empresa, hemos observado lo siguiente:

i. El Grupo Electrógeno y la UPS soportan toda la instalación y consumos


eléctricos del área de informática y de todas las oficinas administrativas
incluyendo ascensores, máquinas de escribir, luminarias internas y externas,
computadores personales, estufas, entre otros.
ii. El Grupo Electrógeno y la UPS se encuentran ubicados en la bodega del
segundo subterráneo junto con la CPU del DiongDu 340.
iii. Un programador del área de informática fue el encargado de elaborar el
informe técnico referente a la ubicación del Grupo Electrógeno y la UPS, no
haciendo ninguna observación al respecto.
iv. Debido a que el Grupo Electrógeno empleado soporta todas las instalaciones
del edificio, este dispositivo funciona a una gran capacidad generando mucho
calor, que si bien, es canalizado por un tubo de escape, la sensación térmica
percibida en la bodega del segundo subterráneo sigue siendo excesiva.
v. Como es de suponer, la bodega donde se encuentra el Grupo Electrógeno, la
UPS y la CPU del DiongDu 340, no cuenta con ningún tipo de ventilación,
por lo que la temperatura del lugar, debido al calor generado por el dispositivo
de suministro energético, es más alta de lo normal.
vi. Dada la situación descrita, la empresa se encuentra expuesta a diversos
riesgos: primero, debido a que el informe técnico fue elaborado por un
programador y no un encargado de seguridad, es probable que el programador
no detecte los verdaderos riesgos que suponen tener en una misma bodega la
CPU que soporta las necesidades informáticas y el dispositivo energético
encargado de suministrar este recurso en todas las instalaciones. Segundo, el
hecho de que el Grupo Electrógeno genere demasiado calor, puede provocar
una sobrecarga en este aparato si es que no cuenta con la ventilación adecuada

4
APO07.01
5
APO07.02

17
y por ende, provocar una explosión que signifique un incendio en las bodegas
de la empresa. Tercero, en caso de provocarse un incendio, y dado que el
Grupo Electrógeno se encuentra ubicado en el mismo lugar que la CPU del
DiongDu 340, ésta puede verse afectada, provocando pérdidas importantes en
términos materiales y de información que difícilmente pueden ser
recuperados, afectando la continuidad de las operaciones del negocio.
vii. En la situación descrita anteriormente, hemos observado claramente la
vulneración de controles de seguridad física de las bodegas de la entidad,
debido a que no están siendo utilizadas adecuadamente y no cuentan con las
características para albergar, en este caso, un dispositivo de suministro
energético.

c. Recomendaciones

i. Recomendamos a la alta dirección Gestionar las Recursos Humanos,


Gestionar el Personal Contratado6 e Identificar Personal Clave de TI7 para
poder designar a una persona cualificada en temas de seguridad de física y
seguridad lógica que pueda analizar y determinar más detalladamente los
riesgos asociados a tener en la segunda bodega el Grupo Electrógeno y la
UPS.
ii. Recomendamos a la alta dirección Gestionar los Activos, es decir, Gestionar
los Activos Críticos8 que influyen considerablemente en el funcionamiento de
las operaciones de la entidad y Optimizar el Coste de los Activos 9, por
ejemplo, sugerimos destinar el Grupo Electrógeno y la UPS sólo para
suministrar energía a las operaciones principales del edificio como también a
oficinas administrativas, pero sólo en términos de luminarias y dispositivos
computacionales y contar con un sistema eléctrico normal para proporcionar
energía a actividades que no son relevantes para la ejecución de las
operaciones, como estufas y cafeteras. Todo con el fin de no sobreexigir al
Grupo Electrógeno y la UPS y no afectar la continuidad de las operaciones
esenciales.
iii. Recomendamos a la alta dirección Gestionar los Activos y Gestionar el Ciclo
de Vida de los Activos10, trasladando en el corto plazo, el Grupo Electrógeno
a la azotea del edificio o a un lugar con mayor ventilación para Gestionar el
Riesgo y evitar posibles sobrecargas de temperatura por el mismo calor que
genera dicho recurso. De esta forma, se evitan inconvenientes y se puede
Responder a los Riesgos11 descritos en el punto vi de las Observaciones.

6
APO07.06
7
APO07.02
8
BAI09.02
9
BAI09.04
10
BAI09.03
11
APO12.06

18
a. Situación actual

La sala cero, en la cual se encuentra la C.P.U. del DiongDu 340 AS-9-K-KR y el Grupo
Electrógeno con el U.P.S., cuenta con una restricción de acceso mediante un control de
seguridad basado en el posicionamiento de sólo un guardia de la empresa SecurOffice.

b. Observaciones

Según lo apreciado y a la documentación proporcionada por el área de informática de la


empresa, hemos observado lo siguiente:

i. La empresa resguarda la sala cero con un guardia de la empresa SecurOffice.


ii. Este guardia trabaja dentro de las horas normales de funcionamiento diario de
la planta.
iii. ESPERSA S.A. no cuenta con un control de acceso adicional al guardia ni
vigilancia a través de cámaras de seguridad.
iv. En la situación descrita anteriormente, hemos observado que hacen falta
controles de acceso y la seguridad física es demasiado básica. Por lo tanto, se
pueden vulnerar los Controles de Acceso, lo cual podría afectar directamente
a la puesta en marcha de la empresa si alguien quiere perjudicarla, ya que si
se tiene intención, pasar por la seguridad de un guardia no presenta mucha
dificultad.

c. Recomendaciones

i. Recomendamos a la alta dirección Gestionar la Seguridad 12, Establecer y


Mantener un SGSI13, Definir y Gestionar un Plan de Tratamiento del Riesgo
de la Seguridad de la Información14, Supervisar y Revisar el SGSI15 y además
Gestionar el Acceso Físico a los Activos de TI16, para que además del
posicionamiento de un guardia dentro de la jornada laboral también debiese
haber uno en la noche, junto a un control de acceso biométrico (huellas
dactilares) o bien un control de acceso con tarjetas de proximidad. Además,
sí o sí recomendamos la instalación de cámaras de seguridad para potenciar
aún más la seguridad física de las instalaciones.

a. Situación actual

El Comité de Informática de la entidad se encarga de la planificación informática y de la


creación sólo de soluciones informáticas y sistemas computacionales. El Comité que es
encabezado por el Gerente de Informática, el Señor Correa, acata todas las decisiones de éste.

12
APO13
13
APO13.01
14
APO13.02
15
APO13.03
16
DSS05.05

19
b. Observaciones

Según lo apreciado y a la documentación proporcionada por el área de informática de la


empresa, hemos observado lo siguiente:

i. El Comité de Informática es el encargado de tomar las decisiones relativas a


planificación, supervisión y control del área.
ii. El Señor Correa posee una gran experiencia en el área de TI, por lo que
generalmente, el Comité de Informática acata todas las decisiones de éste, sin
existir oportunidad de considerar otras alternativas expresadas por el resto de
los miembros del comité.
iii. De acuerdo a la lectura de actas del comité, éste órgano no se reúne
regularmente y no tiene establecido un periodo de tiempo para realizar
reuniones.
iv. Las funciones del Comité de Informática son demasiado limitadas y en la
entidad, no se le da la importancia necesaria que debiese figurar ni las
atribuciones esenciales que debiese cumplir dado que, el Señor Correa, es
quien se encarga de dar la aprobación final a ciertas situaciones sin consultar
opiniones, considerar las recomendaciones o tener presente la experiencia de
los demás integrantes del comité.
v. Dada la situación descrita, la empresa se encuentra expuesta a diversos
riesgos: primero, las responsabilidades del comité son muy pocas y existe la
posibilidad de dejar fuera consideraciones que pueden ser significativas para
el funcionamiento del área y que si no son tomadas en cuenta por el comité,
ninguna otra división lo hará. Segundo, dado que el comité acata todas las
decisiones del Gerente de Informática, existe la posibilidad de que sin la
intención de hacerlo, el gerente tome decisiones equivocadas que puedan
afectar directamente las operaciones del departamento o que dado el juicio del
Señor Correa, éste no detecte aspectos relevantes que sí podrían ser
considerados por el resto de los miembros. Tercero, debido a que el comité no
realiza juntas regularmente, existe la posibilidad de que no se planifiquen las
actividades oportunamente o que no se detecten oportunidades y debilidades
que son necesarios gestionar cuanto antes.
vi. En la situación descrita anteriormente, hemos observado claramente la
vulneración del control interno informático debido a que como las decisiones
del comité son tomadas únicamente por una persona, los objetivos del negocio
y en especial del departamento, no están siendo cumplidos adecuadamente.

c. Recomendaciones

i. Recomendamos a la alta dirección Asegurar el Establecimiento y


Mantenimiento del Marco de Referencia de Gobierno y Orientar el Sistema
de Gobierno17 para ampliar las atribuciones del Comité de Informática y que
sea el encargado de responsabilidades como: aprobación del Plan Estratégico
de Sistemas de Información, aprobación de inversiones en tecnologías de la

17
EDM01.02

20
información, fijar las prioridades de los proyectos pendientes, supervisar las
actividades del departamento de informática, entre otras.
ii. Recomendamos a la alta dirección Asegurar el Establecimiento de
Mantenimiento del Marco de Referencia de Gobierno y Supervisar el Sistema
de Gobierno18 en especial al Comité de Informática, de manera que las
decisiones de éste órgano sean tomadas en conjunto por sus miembros y no
sólo por el Gerente de Informática, y además, que las decisiones finales sean
producto de la consideración de las opiniones, experiencias y puntos de vista
de todos los miembros del comité y consenso idealmente unánime.
iii. Recomendamos al Comité de Informática definir reuniones regulares por lo
menos una vez al mes para Gestionar Problemas, es decir, Identificar y
Clasificar Problemas19 a tiempo, Investigar y Diagnosticar20 las causas de los
Problemas, Resolver y Cerrar a tiempo los Problemas 21, revisar aquellos
temas relevantes ocurridos en el departamento, aplicar medidas correctivas
oportunas y tomar decisiones pertinentes en el momento preciso.

a. Situación actual

El desarrollo de sistemas se realiza en casa matriz de la empresa (oficina Santiago) bajo la


supervisión de la Gerente de Desarrollo, la Señorita Vera quien además, asume la Gerencia
de Explotación cuando el gerente titular de dicha área se ausenta por su periodo de
vacaciones.

b. Observaciones

Según lo apreciado y a la documentación proporcionada por el área de informática de la


empresa, hemos observado lo siguiente:

i. La Gerente de Desarrollo, la Señorita Vera, depende jerárquicamente del


Gerente de Informática, el Señor Correa.
ii. Cuando el Gerente de Explotación, el Señor Zamorano se ausenta o se
encuentra en su periodo de vacaciones, dada la inexistencia de una persona a
cargo de ese mismo departamento, es la Señorita Vera quien lo reemplaza en
sus labores.
iii. En ocasiones, la Gerente de Desarrollo ha dejado sus labores principales de
lado por tomar participación en la Gerencia de Explotación, ocasionando que
temas de urgencia sean desplazados o no resueltos oportunamente o que no se
cuente con su presencia cuando se le ha necesitado en el departamento de
desarrollo.
iv. Dada la situación descrita, la empresa se encuentra expuesta a diversos
riesgos: primero, como la Señorita Vera es la encargada de reemplazar al
Señor Zamorano, la Gerencia de Desarrollo pierde autoridad e independencia

18
EDM01.03
19
DSS03.01
20
DSS03.02
21
DSS03.04

21
cuando requiere tomar decisiones debido a que su propia gerente no se
encuentra disponible para dirigir tales decisiones. Segundo, existe el riesgo
que no se le otorgue la prioridad necesaria a los asuntos del área de desarrollo
y que se pierda tiempo valioso u oportunidades que no fueron atendidas
oportunamente. Tercero, existe la posibilidad de que la Señorita Vera no
posea las facultades apropiadas para dirigir, aunque sea por un periodo breve,
la Gerencia de Explotación y que por ende, tome decisiones incorrectas que
puedan derivar en deficiencias en el departamento.
v. En la situación descrita anteriormente, hemos observado claramente la
vulneración de controles que tienen que ver con la división del trabajo,
cumplimiento de las políticas y delineamiento de las responsabilidades y
funciones que tiene cada persona en la entidad.

c. Recomendaciones

i. Recomendamos a la alta dirección Gestionar los Recursos Humanos, es decir,


Mantener la Dotación de Personal Suficiente y Adecuada 22 y definir una
persona específica para cada departamento que sea la encargada de
reemplazar al gerente de área cuando éste se ausenta o toma su periodo de
vacaciones y que dicha persona, posea los conocimientos, experiencia y
aptitudes necesarias para cumplir las funciones y responsabilidades de la
gerencia del cargo.
ii. Recomendamos a la alta dirección en caso de no designar una persona para
reemplazar a los gerentes, Gestionar los Recursos Humanos y Mantener las
Habilidades y Competencias del Personal23, es decir, toma en cuenta que si se
va a designar a un gerente de otro departamento para el reemplazo, éste posea
los conocimientos adecuados del área para evitar que tome decisiones
erróneas que puedan derivar en ineficiencias y Evaluar el Desempeño Laboral
de los Empleados24 que se le asignan más de una labor estratégica.

a. Situación actual

La entidad cuenta con tres equipos e instalaciones computacionales DiungDu 340, no


interconectados, uno en cada planta y otra en la casa matriz. Debido a esto la entidad dice no
requerir de convenios de respaldos con proveedores o terceros.

b. Observaciones

Según lo apreciado y a la documentación proporcionada por el área de informática de la


empresa, hemos observado lo siguiente:

i. La empresa posee en cada una de sus plantas y su casa matriz una instalación
computacional de DiungDu 340 que no están interconectados entre sí.

22
APO07.01
23
APO07.03
24
APO07.04

22
ii. Además, la entidad decidió no contratar servicios de respaldo de sus sistemas
con proveedores o terceros.
iii. De fallar una instalación se traslada al personal necesario a la instalación más
cercana para continuar con los procesos.
iv. Según lo descrito anteriormente podemos ver que existe un alto riesgo de
pérdida de información, debido a que a pesar de contar con 3 instalaciones en
distintas partes, éstas no están interconectadas, por lo que es poco lo que se
podría hacer al trasladar al personal necesario a otra planta, esto debido a que
la información del lugar del siniestro no es compartida con las demás
instalaciones. Por lo tanto, estamos frente a una vulneración de Controles
sobre los Procedimientos y Datos., lo que podría afectar directamente al activo
más importante de EPERSA S.A., es decir, su información (DATA).

c. Recomendaciones

i. Recomendamos a la alta dirección tomar una decisión respecto a esta


debilidad, donde encontramos dos posibles caminos. El primero consiste en
mantener en línea las 3 instalaciones con sus debidos sistemas de seguridad
lógica lo que se lograría a través de Gestionar Servicios de Seguridad 25, es
decir, Proteger Contra Software Malicioso 26, Gestionar la Seguridad de la Red
y las Conexiones27 y Gestionar la identidad del Usuario y el Acceso Lógico 28
para prevenir un posible ataque o infección como malware, spyware,
troyanos, gusanos, etc., con el fin de no perder la información de la instalación
afectada, ya que toda la DATA estaría respaldada en las otras dos
instalaciones. La segunda opción tiene que ver con mantener independientes
las tres instalaciones computacionales, pero contratando un proveedor de
respaldo junto con un hosting para Gestionar Documentos Sensibles y
Dispositivos de Salida29, Gestionar la Seguridad 30 y Definir y Gestionar un
Plan de Tratamiento del Riesgo de la Seguridad de la Información31 con el fin
de mantener resguardada la información de la entidad, y entonces así, si
llegase a ocurrir un siniestro, el personal necesario podría trasladarse a la
planta más cercana y tener al alcance toda la información respaldada para
continuar con los procesos.

a. Situación actual

El programador analista puede modificar datos e información de las bases de datos de


explotación a través del programa Dataentry, aplicación del sistema operativo DiungDu 340
que permite acceder directamente a las columnas de una Base de Datos Real sin mediar
control de aplicaciones, lo que facilita la modificación y consulta directa de datos.
25
DSS05
26
DSS05.01
27
DSS05.02
28
DSS05.04
29
DSS05.06
30
APO13
31
APO13.02

23
b. Observaciones

Según lo apreciado y a la documentación proporcionada por el área de informática de la


empresa, hemos observado lo siguiente:

i. El programador analista puede modificar las bases de datos sin autorización


previa del Gerente del Área de cada planta, a pesar de depender de él.
ii. Cada equipo tiene su propia password para poder acceder a él, sin embargo,
el programa Dataentry no requiere de alguna password previa para acceder a
él.
iii. Existe un historial de modificaciones dentro del programa adherido al sistema
operativo, el cual puede ser editado por el mismo programa sin requerir de
una password o autorización previa.
iv. En la situación descrita anteriormente, podemos apreciar que podrían
vulnerarse los Controles sobre los Programas y Equipos junto a los Controles
sobre los Procedimientos y los Datos, lo que claramente puede afectar a la
calidad de la información presente en las bases de datos, por lo que se incurre
en el riesgo de manejar información poco confiable y no íntegra.

c. Recomendaciones

i. Recomendamos a la alta dirección Gestionar Procesos de Controles de


Negocio32, Gestionar Roles, Responsabilidades, Privilegios de Acceso y
Niveles de Autorización33, Gestionar los Recursos Humanos34, Mantener la
Dotación de Personal Suficiente y Adecuada 35 e Identificar al Personal Clave
de TI36 para que incluyan como política el requerir que el Gerente del Área en
cuestión tenga que dar autorización al programador analista antes de que este
último ingrese a Dataentry y pueda modificar las bases de datos , donde sólo
tenga que limitarse a la cuantía y características de datos específicos a
modificar según se requiera. Todo esto debe quedar documentado y
presentado ante el Gerente respectivo para su correspondiente revisión.

a. Situación actual

Cada planta y la casa matriz cuenta con operadores de trayectoria, los cuales realizan sólo
actividades referentes a los respaldos de sistemas de explotación, como por ejemplo realizar
estos respaldos, llamar al servicio técnico en caso de problemas, entre otras cosas, y además
mantener la biblioteca de respaldos de cada instalación. Sin embargo, los operadores también
cuentan con una password que les permite acceder a todos los datos con objeto de poder
efectuar correcciones, de los mismos, que estén dificultando los procesos.

32
DSS06
33
DSS06.03
34
APO07
35
APO07.01
36
APO07.02

24
b. Observaciones

Según lo apreciado y a la documentación proporcionada por el área de informática de la


empresa, hemos observado lo siguiente:

i. Los operadores de trayectoria tienen a su cargo sólo operaciones referentes a


los respaldos de sistemas de explotación, no pudiendo ejercer otras
actividades debido a la segregación de funciones.
ii. Estos operadores dependen directamente del Gerente del Área en cuestión,
pudiendo solicitar ayuda al programador analista en caso de ser necesario.
iii. Los operadores cuentan con una password personal que les permite acceder a
todos los datos de la entidad con objeto de poder efectuar correcciones.
iv. En las políticas no está establecido, de forma escrita o verbal, que deban
requerir autorización de un superior para efectuar las correcciones pertinentes
dentro de los sistemas de información y explotación.
v. Según lo descrito anteriormente, podemos apreciar que se podría vulnerar los
Controles Operativos y de Organización junto a los Controles sobre los
Procedimientos y los Datos debido a una mala segregación de funciones por
el hecho de permitirle a los Operarios de Trayectoria realizar correcciones a
las bases de datos cuando ya hay un encargado de realizar dichas tareas, el
programador analista, quien se especializa en modificar las bases de datos.
Por lo tanto, al contar con dos tipos de cargos con acceso y poder de modificar
las bases de datos, podría incurrir en el riesgo de un equivocado cruce de
información, reedición de datos sin su pertinente aviso a la otra unidad y
manipulación indebida de información.

c. Recomendaciones

i. Recomendamos a la alta dirección Gestionar Procesos de Controles de


Negocio37, Gestionar Roles, Responsabilidades, Privilegios de Acceso y
Niveles de Autorización38, Gestionar los Recursos Humanos39, Mantener la
Dotación de Personal Suficiente y Adecuada40 e Identificar al Personal Clave
de TI41, Gestionar Servicios de Seguridad 42, es decir, Gestionar la Seguridad
de los Puestos de Usuario Final43 y Gestionar la Identidad del Usuario y el
Acceso Lógico44 para así definir bien los parámetros de autorización en la
edición de las bases de datos para evitar lo descrito anteriormente en
observaciones, o bien, permitir a los Operadores de Trayectoria sólo ver las
bases de datos, pero si requieren modificar algo tienen que acercarse al
programador analista y éste solicitar permiso al Gerente respectivo.

37
DSS06
38
DSS06.03
39
APO07
40
APO07.01
41
APO07.02
42
DSS05
43
DSS05.03
44
DSS05.04

25
ANEXOS

Anexo 1: Carta de inicio de auditoría.

Sepúlveda & Venegas Ltda.


Auditoría y Asesoría
Picaflor 720
Maipú, Santiago

T +56 9 83056251

Santiago, 14 de Marzo de 2016

Sr. Víctor Correa


Gerente de Informática
EPERSA S.A.
PRESENTE

Ref.: Inicio de auditoría

De nuestra consideración:

De acuerdo a lo señalado en la referencia, nos es grato informar a usted que conforme al


programa definido por Sepúlveda & Venegas Auditoría y Asesoría Ltda., presentado y
aprobado por la alta dirección de EPERSA S.A., corresponde efectuar una auditoría sobre
operacionalidad, funcionalidad y eficacia de los sistemas, recursos tecnológicos y
aplicaciones informáticas que apoyan los servicios de TI de la entidad, en el cual los
auditores, utilizando la metodología y conocimientos sobre la materia, planifican, dirigen,
coordinan y ejecutan una auditoría de sistemas mediante procedimientos y pruebas de
auditoría.

Particularmente, el equipo de auditoría, está integrado por las siguientes personas:

Pamela Sepúlveda Matus, Auditora de Sistemas de Información


Jorge Venegas Calderón, Auditor de Sistemas de Información

Los auditores mencionados serán los encargados de ejecutar la auditoría correspondiente.


Esta auditoría, está planificada para dar inicio inmediatamente luego de la recepción de la
notificación del inicio de la auditoría por parte de Sepúlveda & Venegas Auditoría y Asesoría
Ltda y a más tardar, el día 25 de marzo hasta el día 30 de mayo del presente año y tiene como
objetivo general adquirir conocimiento y llevar a cabo una evaluación crítica al área
informática por medio de técnicas y procedimientos que permitan si las acciones ejecutadas
en el sistema son efectivas y se realizan de acuerdo a las normativas informáticas y generales
que se encuentran establecidas en la empresa y dar las recomendaciones pertinentes a los
hallazgos.

26
El trabajo de auditoría se llevará a cabo bajo el estándar internacional Cobit 5 y sus dominios.
Cabe mencionar que toda aquella información recopilada por la auditoría propuesta, será
considerada de reserva profesional y conocida sólo por la(s) contraparte(s) que la misma
entidad estime conveniente.

Sin otro particular y esperando una pronta respuesta para dar inicio al trabajo, se despide
atentamente,

Sepúlveda & Venegas


Auditoría y Asesoría Ltda.

27
Anexo 2: Recepción de notificación de inicio de auditoría.

EPERSA S.A.
Andrés Bello 234
Las Condes, Santiago

T +560 200 300 345

Santiago, 16 de Marzo de 2016

Sr. Sepúlveda & Venegas


Auditoría y Asesoría Ltda.
PRESENTE

Ref.: Recepción carta inicio de auditoría

De nuestra consideración:

De acuerdo a lo señalado en la referencia, nos es grato informar a usted que hemos recibido
satisfactoriamente la carta que inicio de auditoría y estamos de acuerdo con el programa
definido por Sepúlveda & Venegas Auditoría y Asesoría Ltda., presentado ya a nuestros
directivos.

Además, esta dirección pondrá a su disposición todos los recursos e información necesaria
para que su equipo de auditoría lleve a cabo de manera exitosa la auditoría solicitada.

Sin otro particular, se despide atentamente,

Francisco González
Gerente General EPERSA S.A.

28
Anexo 3: Carta de resguardo de la empresa.

EPERSA S.A.
Andrés Bello 234
Las Condes, Santiago

T +560 200 300 345

Santiago, 18 de Marzo de 2016

CARTA DE RESGUARDO

Con fecha 17 de Mayo de 2016, se presenció el inicio de las pruebas de auditorías de la


sociedad EPERSA S.A., oficina ubicada en Andrés Bello #234 Las Condes, Santiago,
procedimientos que se efectuarán entre los horarios de 09:00 horas a 16:00 horas en las
dependencias de la entidad.

Estos procedimientos fueron y seguirán siendo ejecutados por Pamela Sepúlveda Matus y
Jorge Venegas Calderón, auditores de Sepúlveda & Venegas Ltda., quien en compañía de
Víctor Correa (Gerente de Informática) y Rodrigo Vera (Programador Informático), en
representación de EPERSA S.A. procedieron en conjunto a dar inicio a la auditoría para
verificar los procedimientos utilizados por el cliente, quien nos asegura, mediante el presente
documento, haber puesto a disposición nuestra la totalidad de su información, actas, reportes
u otros bajo su responsabilidad y custodia. Asimismo, los auditores Pamela Sepúlveda Matus
y Jorge Venegas Calderón prometen que al término de la auditoría, devolverán los
documentos solicitados, a entera satisfacción, al igual que los objetos auditados.

Víctor Correa
Gerente de Informática
EPERSA S.A.

Pamela Sepúlveda Matus Jorge Venegas Calderón


Sepúlveda & Venegas Ltda Sepúlveda & Venegas Ltda

29
Anexo 4: Carta de representación.

EPERSA S.A.
Andrés Bello 234
Las Condes, Santiago

T +560 200 300 345

Santiago, 22 de Marzo de 2016

Sr. Sepúlveda & Venegas


Auditoría y Asesoría Ltda.
PRESENTE

Ref.: Carta de representación

De nuestra consideración:

Según nuestro mejor saber y entender, confirmamos las siguientes opiniones:

1. Reconocemos la responsabilidad de la gerencia en cuanto a presentar razonablemente


en los estados financieros la situación financiera, resultados de las operaciones y
flujos de efectivo de acuerdo con principios de contabilidad generalmente aceptados.
2. Gran parte de los registros contables y sus correspondientes antecedentes les han sido
facilitados a ustedes. Además, toda la información relativa al área de informática ha
sido puesta a su disposición.
3. Desconocemos la existencia de (a) irregularidades implicando a la gerencia o a
empleados que desempeñan roles de importancia dentro de la estructura de control
interno y en especial, dentro del departamento de informática. No han existido
notificaciones de organismos de control con respecto a incumplimientos de, o
deficiencias en, las prácticas de la empresa. La entidad ha cumplido con todos los
aspectos contractuales que podrían tener un efecto importante sobre los procesos de
negocio y en especial, sobre el departamento de informática.
4. El único asesor legal de la empresa es don Alonso Correa, abogado.
5. No tenemos conocimiento de que algún ejecutivo o empleado de la empresa, en
especial del departamento de informática, realice negocios que podrían ser
considerados como un conflicto de intereses.

Sin otro particular, se despide atentamente,

Francisco González
Gerente General EPERSA S.A.

30
Anexo 5: Carta de independencia.

Sepúlveda & Venegas Ltda.


Auditoría y Asesoría
Picaflor 720
Maipú, Santiago

T +56 9 83056251

Santiago, 23 de Marzo de 2016

Ref.: Carta de independencia de los auditores

Confirmo que cumplo con las normas de independencia aplicables con respecto a: EPERSA
S.A. y que he leído y comprendo las normas de independencia, incluyendo las que se
especifican a continuación:

1. Ni yo ni mis familiares inmediatos (cónyuge o equivalente, y personas a cargo)


poseemos un interés financiero directo o indirecto significativo en este cliente de
auditoría.
2. Ni yo ni mis familiares inmediatos negociaremos con títulos de éste durante el plazo
del trabajo y los seis meses posteriores a mi participación en el mismo.
3. Ni yo ni mis familiares inmediatos hemos actuado como fiduciario o albacea con
respecto a un interés que posee o está comprometido a adquirir un interés financiero
directo o indirecto significativo en este cliente de auditoría.
4. Ni yo ni mis familiares inmediatos somos beneficiarios de una sucesión o fideicomiso
(sobre los que alguno de nosotros tenga control) que posee un interés financiero directo
en este cliente de auditoría.
5. Ni yo ni mis familiares inmediatos poseemos préstamos otorgado por este cliente,
funcionario o director significativo de los mismos, con la excepción de aquellos
otorgados por clientes que son instituciones financieras y que representan préstamos
permitidos en conformidad con las políticas de independencia. En el caso de estos
últimos, ellos han sido otorgados bajo procedimientos de préstamo normales y dentro
del curso normal de los negocios con este cliente o entidad relacionada.
6. Ni yo ni mis familiares inmediatos poseemos depósitos o cuentas en bancos, cuentas
de intermediación financiera o contratos de seguros con este cliente o cualquier entidad
relacionada, excepto bajo términos comerciales normales.
7. No poseo una relación personal estrecha con un director, funcionario o cualquier
empleado del cliente o entidad relacionada que éste en posición de ejercer una influencia
directa y significativa en los estados financieros.
8. Ningún familiar cercano (Nota 1) es director, funcionario o está en la posición de
ejercer una influencia directa y significativa en los estados financieros de este cliente, o
estuvo empleado en ese rol durante el período de trabajo profesional.
9. No fui empleado por este cliente en ningún momento durante la auditoría o el período
de trabajo profesional ni durante el período de dos años anterior al período cubierto por
los estados financieros.

31
10. No consideraré ninguna oferta de empleo del cliente o una entidad relacionada si la
aceptación de dicha oferta daría como resultado que Sepúlveda & Venegas deba
renunciar (Nota 2) como auditor de acuerdo con normas de independencia externas.

Nota 1: Los familiares cercanos incluyen a cualquier miembro de la familia inmediata, un


padre, hermano o hijo que no está a cargo de la persona.
Nota 2: Los casos en los que Sepúlveda & Venegas estaría obligada a renunciar como auditor
de acuerdo con normas de independencia externas incluyen los siguientes:

● Cuando el cliente de auditoría de una Firma Sepúlveda & Venegas se encuentra en


un territorio que es parte de la Unión Europea, si el socio de auditoría fue miembro
del equipo de trabajo dentro del período de dos años anterior a la aceptación de la
oferta de empleo para ocupar un cargo con responsabilidad por la toma de decisiones
gerenciales fundamentales (como por ejemplo Director Ejecutivo o Financiero).
● Para los clientes de auditoría registrados en la SEC, si la persona fue miembro del
equipo de auditoría o estuvo en la cadena de mando dentro del período de un año
antes del comienzo de la auditoría en curso y el cargo ofrecido es el de Director
Ejecutivo o Financiero, funcionario contable principal o cargo equivalente.

Pamela Sepúlveda Matus Jorge Venegas Calderón


Sepúlveda & Venegas Ltda Sepúlveda & Venegas Ltda

32