PRE INFORME DE AUDITORIA

EFICACIA DEL PLAN INFORMÁTICO

EMPRESA AUDITORA:

“SQUARE EXTERNAL
AUDITS COMPANY”

PRE INFORME
EMPRESA AUDITADA
SUPERMERCADO JUMBO

SOCIO GERENTE
EDUARDO LEYTON GUERRERO

AUDITOR SENIOR
JUAN PLAZA GALLEGOS

Facultad de economía y negocios.

Contador Público Auditor.

II trimestre – 2017.

pág. 1
INDICE

I. ANTECEDENTES GENERALES.............................................................................3

1.1. OBJETIVO GENERAL..............................................................................................7

1.2. OBJETIVOS ESPECÍFICOS.....................................................................................7

1.3. ALCANCE DE LA AUDITORIA..............................................................................8

1.4. METODOLOGÍA........................................................................................................8

a-. Contextualización..........................................................................................................8

b-. Revisión y evaluación de controles y resguardos.........................................................8

c-. Examen detallado de procesos críticos:........................................................................8

II.) OPINION GENERAL....................................................................................................9

III.) OBSERVACIONES Y RECOMENDACIONES DETALLADAS.........................10

A) SITUACION ACTUAL...............................................................................................10

B. OBSERVACIONES.....................................................................................................11

C. RECOMENDACIONES.............................................................................................14

C.1. ESTRUCTURA ORGANIZACIONAL DEL AREA DE INFORMÁTICA......14

C.2. INVENTARIOS.................................................................................................14
C.3. SEGURIDAD INFORMATICA........................................................................15
C.4. MANEJO DE SOFTWARE...............................................................................15
C.5. MANUAL DE PROCEDIMIENTOS................................................................20

pág. 2
I. ANTECEDENTES GENERALES

Para poder desarrollar el presente informe, ante que todo se debe conocer el entorno en el
cual se desenvuelve la empresa, para esto se identifican variables externas e internas que
pueden influir en el cumplimiento de los objetivos que establezca la dirección de JUMBO.

 Ambiente externo
 Aspecto Demográfico
Una de las variables de gran importancia es la concentración mayor de habitantes en la
Región Metropolitana. La población estimada de la República de Chile según el censo de
2012 era de 16.634.603 habitantes.
Con una densidad de 23,01 hab/km²; aproximadamente el 38% de la población se concentra
en el área metropolitana del Gran Santiago.
Las dos regiones que siguen en términos de número de habitantes sólo concentran el
12.65% y 10.22% (Regiones del Bio Bio y de Valparaíso respectivamente).
Las otras regiones que las conforman grupos de personas necesitan trasladarse entre su
zona de residencia y el centro, debido a la gran dependencia que existe con éste al
estar las principales actividades agrupadas en la capital del país.

Además, uno de los aspectos relevantes es que en los últimos años el número de
habitantes en el país ha aumentado en un 12.8%.
En la Región Metropolitana, esta cifra sube a un 14.9%. Es importante además destacar
que las regiones que han observado una mayor tasa de crecimiento son las de
Tarapacá, Antofagasta y Coquimbo (25.6%, 20% y 19%, respectivamente).
Para este mercado resulta particularmente interesante el hecho de que en la Región
Metropolitana, aproximadamente el 97% de la población habita en áreas urbanas.
Un factor importante son las ubicaciones de los locales y sus accesos, por esto los
terrenos se han transformado en bienes escasos, por lo que la adquisición de
ubicaciones de alto valor estratégico pueden llegar a ser un elemento diferenciador.

Aspecto Económico

A diferencia de otras economías de Latinoamérica, la economía chilena ha conseguido

mantenerse estable. Sin embargo, tras años de crecimiento sostenido, Chile sufre una fuerte
ralentización económica desde 2015 por la caída del precio del cobre (Chile es el primer
exportador de cobre del mundo). En 2016 el crecimiento se redujo al 1,7%, y debido a la
caída de la demanda en los principales mercados emergentes las previsiones de crecimiento
para 2017 son moderadas (2%). No obstante, las perspectivas a medio plazo son más
optimistas y se espera una tasa de crecimiento en torno al 4%.
Considerado un modelo de transparencia política y financiera en América Latina, el país se
ha visto sacudido por escándalos de corrupción relacionados con la financiación ilegal de
las campañas electorales. El índice de popularidad de la presidenta Michelle Bachelet es

pág. 3
muy bajo (menos del 15% en 2016). En octubre de 2016 la coalición gobernante de centro
izquierda sufrió una derrota en las elecciones municipales que presagia unas elecciones
presidenciales para finales de 2017. La oposición de derecha tampoco es muy popular.
Además se han producido protestas masivas contra las reformas laborales, educativas y de
las pensiones. Michelle Bachelet fue elegida por su promesa para reformar la constitución y
el sistema fiscal. En 2016 la inflación se redujo ligeramente al 3,9%, pero la caída de los
precios del cobre afectó profundamente al sector minero. Por otro lado, el gobierno está
intentando limitar los gastos, aunque el gasto social es una de sus prioridades y lo sigue
siendo en 2017. El gasto familiar fue muy dinámico en 2016, pero el déficit público se
agravó por la merma de los ingresos mineros. Para 2017 se esperaban beneficios por la
recuperación del precio del cobre, aunque ha disminuido la demanda de China, su mayor
cliente.
A pesar de la desaceleración económica, la tasa de desempleo se redujo ligeramente en
2016 (7.1%). La pobreza sigue afectando a casi el 15% de la población, y las desigualdades
son muy importantes (uno de los índices más elevados en la OCDE). Los dos principales
desafíos de la economía chilena a largo plazo serán la reducción de las desigualdades
salariales y la dependencia del país de las exportaciones de cobre. Para lograr estos
objetivos Chile ha invertido fuertemente en las energías renovables, y se espera que para
2020 produzcan el 20% de la energía del país.

Aspecto Político y Legal

Existen tratados con distintas naciones debido a que cada vez el mundo se encuentra
más globalizado y para Chile esto puede generar la llegada de numerosos posibles
inversionistas al país, así como también abre las puertas a nuevos negocios nacionales e
internacionales.
Un factor importante es que estos tratados podrían hacer que los países del resto del
mundo cataloguen a Chile como la plataforma de negocios entre Sudamérica y Europa y
Estados Unidos, minimizando así el impacto de las turbulencias en los países cercanos.
Para la industria de los supermercados puede influir positivamente el hecho de que
existan mejores y mayores relaciones de comercio entre los países y que el mundo se
encuentre más globalizado ya que se tendría mayor acceso tanto a los avances
tecnológicos como a distintos productos y servicios.

Aspecto Sociocultural

Chile se caracteriza por ser una cultura conservadora. No existen grupos importantes que
acepten con rapidez las ideas novedosas o los cambios. Existe una movilidad social lenta y
restringida, que genera algunos conflictos sociales esporádicos, pero sin consecuencias
mayores. Aunque en las últimas décadas ha cambiado el estilo de vida de las personas por
la influencia de las inmigraciones de personas de otros países. Han aumentado las
expectativas económicas y sociales de los consumidores.

pág. 4
Con respecto a la industria de los supermercados, los consumidores cada vez son
menos leales, la decisión de compra está ampliamente influida por factores como variedad,
precio y calidad. Un cambio en la industria supermercadista es la tendencia al aumento de
las transacciones realizadas por los consumidores acompañados por un número de visitas
al supermercado al mes cercano a 8 veces. 1

Aspecto Tecnológico

La infraestructura disponible es muy cercana a los estándares de los países

desarrollados, con redes de comunicaciones y de tránsito bien establecidas, modernas y
funcionales. También existe acceso fácil y expedito a las nuevas tecnologías.
El uso de información es muy importante dentro de la industria de los supermercados, uno
de los empleos más importantes es que permiten reconocer la lealtad de los compradores,
a través de las diversas tarjetas comerciales que se utilizan en algunas cadenas de
supermercados.

Además existen espacios para implantar tecnologías que permiten agregar valor al
proceso de compra por parte del usuario.
Las tecnologías están bien establecidas, así como los estándares de servicio y calidad.
Las relaciones de largo plazo se privilegian para optimizar los procesos de la cadena de
abastecimiento y e l uso de tecnologías tipo EDI (Electronic Data Interchange) que
mantienen en comunicación permanente a los distribuidores con proveedores.

ANÁLISIS INTERNO

Fortalezas: Es importante destacar la fidelidad tanto de algunos clientes en particular, como

también de los empleados de la empresa. Otras de las políticas de Jumbo es la “Higiene,
seguridad en el trabajo y la calidad del servicio es la clave del éxito”. Los pilares de Jumbo
son VARIEDAD, CALIDAD Y SERVICIO AL MEJOR.

Debilidades: El 68% de los clientes se pierde por la indiferencia y mala atención de los
empleados, esto se agrava por el mal servicio al cliente interno a través del negativismo,
chisme, las competencias internas y el rebote. La cadena de servicio. Si uno de sus
eslabones está débil, la cadena se romperá, y el cliente externo sufrirá las consecuencias.
Costos de las Enfermedades transmitidas por Alimentos, la devolución de artículos
alterados. El cierre del negocio. La pérdida del empleo. Multas, costos legales y posibles
encarcelamientos. Pérdida de la reputación. Pago de indemnizaciones a las víctimas de la
intoxicación.

Oportunidades: Jumbo cuenta con muchos productos y servicios en un hipermercado.

Utiliza lo que está de moda, para poder lanzar campañas de publicidad.

Amenazas: Crisis económicas, competidores, nuevos participantes en la industria.

pág. 5
Diferenciación: Persigue que la empresa sea la única en su sector y sobresalir en aquellos
aspectos ampliamente valorados por el cliente. Su diferenciación se basa en la buena
atención al cliente.

Cadena de valor: podemos destacar en este punto el merchandising de la empresa que es

la forma de venta con el eje en la presentación, rotación y el beneficio, son acciones que
mejoran la valorización del producto para presentarlo en las mejores condiciones
comerciales y psicológicas

pág. 6
1.1. OBJETIVO GENERAL

El objetivo general de este informe tiene como finalidad tomar conocimiento y evaluar la
eficacia en términos de operatividad, integridad y disponibilidad del Plan Informático del
Supermercados Jumbo. Y bajo este contexto emitir una opinión sobre la funcionabilidad de
su operación general, su eficacia como sistema de información para la toma de decisiones
estratégicas en el apoyo a la gestión de Supermercados Jumbo.

1.2. OBJETIVOS ESPECÍFICOS

El objetivo general de este estudio se puede apoyar en el cumplimiento de los siguientes

objetivos específicos:

1-. Evaluar si las operaciones informáticas y sus objetivos principales se logran de manera
efectiva y eficiente, resguardando los recursos del área sistemas de la misma, incluyendo
los hardwares y software en funcionamiento.

2-. Determinar si se logra cumplir con la normativa vigente: leyes, estatutos, reglamentos
y políticas internas así como también el cumplimiento de las normas internacionales ISO y
COBIT.

3-. Comprobar que el área de control interno promueve el quehacer de las operaciones
informáticas de manera eficiente, con el fin de reducir el riesgo de perder activos de
importancia como los son software u otros recursos pertenecientes a la Informática.

4.- Comprobar si la operatividad del sistema, como su funcionalidad, disposición y

demoras en las respuestas, satisfacen a los usuarios.

5.- Determinar si la información confidencial de la empresa está lo suficientemente

protegida, en relación a los accesos no autorizados que puedan existir.

pág. 7
1.3. ALCANCE DE LA AUDITORIA

De acuerdo a los objetivos específicos señalados anteriormente, este estudio se orientó a

la conceptualización, objetivos, estructura y operatividad que originaron el desarrollo del
Plan Informático de los Supermercados Jumbo. Así la auditoria se enfocara en corroborar
los aspectos técnicos de diseño, modelamiento de datos y funcionalidad.

1.4. METODOLOGÍA

Para conseguir los objetivos mencionados, el estudio y análisis se orientó preferentemente

a la aplicación de pruebas sustantivas y de cumplimiento sobre el sistema bajo auditoria y
sobre los controles generales y de aplicación diseñado para el Plan Informático de Jumbo.
Por otra parte, estos procedimientos se fundamentaron en los estándares de las etapas
básicas del proceso de revisión que se detallan a continuación:

a-. Contextualización: se definió el grupo de trabajo y el programa de auditoría, con el

fin de determinar las principales debilidades del área de informática de Jumbo, para evaluar
preliminarmente el control interno aplicado actualmente, solicitud de plan de actividades,
manuales de políticas, reglamentos y reuniones con los principales funcionarios de la
empresa que tuvieran relación con esta área.

b-. Revisión y evaluación de controles y resguardos: Este trabajo consistió en la

realización de pruebas de cumplimiento a los resguardos y garantías actuales, revisión de
aplicaciones de los procesos críticos, y la revisión de documentación y archivos.

c-. Examen detallado de procesos críticos: Lo anterior permitió descubrir los procesos
críticos y sobre estos desarrollar un estudio y análisis más profundo.

pág. 8
II.) OPINION GENERAL

En relación a la estructura y gestión organizacional JUMBO presenta en forma

evidente algunos aspectos inadecuados en forma general. Considerando y tomando en
cuenta el tipo de institución de servicios similares y tamaño de JUMBO.
Es por ello, que se debe tener presente que la organización debe estructurar un
organigrama, que indique cuales son los niveles de responsabilidades según el cargo y
obligaciones a cumplir dentro de la empresa.
Obviamente para este punto es fundamentalmente necesaria establecer claramente
a todo nivel la VISIÓN de la empresa. Un Plan de Contingencias debe ser estratégico y
con un enfoque de mayor alcance: lo que se está buscando es recuperar los datos e
información en el mismo estado en que estaban antes de la situación de riesgo y que
los mismos estén disponibles para los usuarios una vez levantada la red y se encuentren
operativos los sistemas de información.
En este sentido, definimos que es necesario un Plan de Contingencias debe
considerar no sólo al área de informática sino que a todo el personal de los demás
departamentos o áreas de la empresa, cuyo trabajo depende o se ve afectado en cualquier
medida por el uso de los sistemas de información computacionales.
Obviamente para este punto es fundamentalmente necesario fortalecer la VISIÓN.
Un Plan de Contingencias debe ser estratégico y con un enfoque de mayor alcance:
lo que se está buscando es recuperar los datos e información en el mismo estado en que
estaban antes de la situación de riesgo y que los mismos estén disponibles para los
usuarios una vez levantada la red y se encuentren operativos los sistemas de información.
En este sentido, un Plan de Contingencias debe considerar no sólo al área de informática
sino que a todo el personal de los demás departamentos o áreas de la empresa, cuyo trabajo
depende o se ve afectado en cualquier medida por el uso de los sistemas de información
computacionales.
Durante la revisión se estableció que la seguridad carece de instrucciones
metódicas, cuyo fin sea vigilar las funciones y actitudes de la empresa y para ello
verificar si todo se realiza conforme a los programas adoptados, órdenes impartidas y
principios admitidos.
En general, un sistema de administración e información no documentado, permite
que las operaciones se realicen y registren de acuerdo a la interpretación o iniciativa
personal del funcionario, pudiendo no ajustarse a las políticas, procedimientos e intereses
de la administración.
Por tanto las recomendaciones que a continuación se detallan consideramos deben
ser implementadas sistemática y progresivamente, para sustentar adecuadamente la
continuidad de las operaciones de la organización
.

pág. 9
III.) OBSERVACIONES Y RECOMENDACIONES DETALLADAS

A) SITUACION ACTUAL

Debilidad 1 -. El Jefe de informática a nivel corporativo realiza la aprobación inmediata

del plan informático de los próximos 8 años, y posteriormente lo consulta con los demás
integrantes del Comité de informática corporativo y gerentes de áreas.

Debilidad 2-. El Jefe de informática corporativo es el único puesto dentro del área
tecnológica con autoridad real

Debilidad 3-. Perdida de equipos lectores de barra, para los productos del supermercado.
Además de la fuga de base de datos de proveedores y de precios, ambas de la sucursal
Bilbao

Debilidad 4-. El Jefe de informática corporativo decide manejar la situación anterior de

manera interna para evitar confusiones y ruidos innecesarios en otras áreas de la
organización

Debilidad 5-. Los subalternos del Jefe de informática, han optado por disfrazar esta
situación, sobre la fuga de equipos e información, hacia otros departamentos de la
empresa, no comentando este hecho con las otras jefaturas o empleados.

Debilidad 6-. El desarrollo de los proyectos informáticos es reportado al Jefe de

explotación de Sistemas, solo cuando estos ya se han finalizado.

Debilidad 7-.Los nuevos sistemas de desarrollo se implantan solo con una prueba global
realizada por los auditores computacionales. Los usuarios específicos realizan pruebas
posteriormente y según sus necesidades se desarrollan correcciones más detalladas

Debilidad 8-. El encargado de comunicaciones solicita apoyo a la secretaria de su área

para el control de instrumentos, como consolas y dispositivos de comunicación de la red.
Y estos a su vez informan en forma directa a la empresa que presta servicios de
comunicación, sobre posibles fallas detectadas

Debilidad 9-. El encargado de mantención de sistemas, solicita en determinadas

oportunidades que uno de los Ingenieros de ejecución opere transitoriamente la unidad de
disco y de cintas magnéticas de ambas configuraciones, dado que él está ubicado
físicamente muy cerca de los dispositivos y de la CPU, resultándole más asequible

Debilidad 10-.La empresa solicita a diversos usuarios que coticen procesadores de textos
y planillas de cálculos, con distintos proveedores, con el fin de determinar cuáles son más
aplicables y amigables de manipular.

pág. 10
B. OBSERVACIONES

Observación 1. Se genera un Riesgo de Planificación, ya que el Jefe de informática no

debe dar la autorización de los proyectos informáticos. El solo tiene derecho a voz. Este
proceso se realizó de forma contraria a lo que debe ser, primero debe definir el Comité
informático corporativo quienes tienen voz y voto en estas decisiones

Observación 2. Falta segregación funcional, ya que el Jefe de informática no puede ser

quien haga un proceso o proyecto y autorice su propio trabajo

Observación 3. El no tener un control de los activos tecnológicos, resulta en pérdidas

significativas, más aun si se relaciona con la base de datos de los clientes, esto sin
considerar la pérdida de dinero

Observación 4. En este punto, el Riesgo de capacidad del RR.HH, no se está cumpliendo,

ya que es importante que estos sucesos no se oculten, por el contrario, se deben investigar
y solucionar. El Jefe informático corporativo no debe dejar pasar estas situaciones, ya que
los responsables no deben estar en la empresa. Y si la situación fue generada por personal
externo se deben tomar las medidas necesarias para evitar que se vuelvan a repetir en el
futuro.

Observación 5. Claramente, no se deben realizar manipulaciones con el fin de proteger al

personal involucrado, son esto se demuestra que no existe seguridad lógica, debido a la
tergiversación de información, con el fin de esconder el delito.

Observación 6. No se consideró el Riesgo de planificación estratégica, ya que no existe

un control por etapas o avances, las cuales se podrían ir modificando y adecuando durante
la ejecución y no esperar al resultado final del proyecto. Esto puede resultar en tener que
realizar todo el proceso nuevamente, implicando pérdidas considerables de tiempo y
dinero.

Observación 7. Se genera un gran Riesgo de planificación estratégica, al no haber control

interno, con respecto a haber realizado diferentes pruebas específicas antes de utilizar el
sistema. Tampoco se capacito a los usuarios respecto al nuevo sistema e ir arreglando
cosas en el camino puede resultar muy complicado y costoso. Lo ideal es tener un tiempo
de marcha blanca y entregar el sistema lo más definido posible.

Observación 8. En este punto se ve que dentro del Control general, no existe una
organización funcional, ya que el encargado de mantención pide a la secretaria que los
apoye con los posibles problemas de comunicación de redes. Resulta importante en este
punto, que una persona más especializada pueda gestionar estos contactos.

Observación 9. Queda en evidencia que el Encargado de mantención no cumple con la

Seguridad lógica mínima esperada, ya que entrega su clave de acceso para que los
ingenieros realicen ciertos procesos, siendo que cualquier problema que ocurra será

pág. 11
responsabilidad de encargado de mantención. También es responsable al haber entregado
su password ya que no está cumpliendo su función.
Se genera una Falta de control preventivo. Además en este punto se trasgrede la seguridad
física, ya que de acuerdo a lo que se menciona, los dispositivos y CPU no se encuentran
en una “sala cero”. Tampoco se cumple con lo referente al Riesgo en la Gestión de
Proyectos de TICA

Observación 10. Se evidencia la falta de Control general. Claramente para esta labor debe
haber un departamento especializado que determine los requerimientos de la empresa para
el desarrollo de las distintas funciones de los usuarios. Y así, este departamento puede
realizar las adquisiciones de los sistemas faciliten el cumplimiento los objetivos de la
empresa y poder efectuar las inversiones pertinentes de los recursos de informática,
justificados para este negocio.
Los usuarios de los sistemas no siempre tienen el conocimiento tecnológico sobre lo que
se debiera adquirir y que preste la utilidad que requiere la empresa.

ANÁLISIS Y OBSERVACIONES REALIZADAS

Luego de identificados los diferentes debilidades y/o factores que pueden incidir
negativamente en el cumplimiento de los objetivos de Jumbo, se especificara un detalle
sobre las medidas recomendadas a ejecutar y corregir.

A-. ESTRUCTURA ORGANIZACIONAL DEL ÁREA INFORMÁTICA

La estructura organizacional de una empresa está compuesta por los socios y, por
ende, surge como respuesta a las necesidades de este. Por esto el primer paso en la
organización de una jerarquía en una empresa es que se identifique una necesidad. Luego
debe existir interés por diseñar un modelo empresarial e implementarlo, junto con
definirlo y alinearlo con los objetivos, deberes y funciones dentro de la misma.

B-. CONTROL EN LOS INVENTARIOS

El control de los inventarios en una organización resulta de vital importancia debido

principalmente a que los activos, en este caso, software, hardware y bases de datos,
representan en gran medida la base del trabajo intelectual de los usuarios y seguridad de la
empresa.

C-. SEGURIDAD INFORMÁTICA

Es importante para JUMBO, desarrollar e implantar un Plan de Contingencias, con el fin

de poder enfrentar adecuadamente eventuales amenazas y/o desastres, disminuyendo así
los riesgos de pérdida de información e interrupción y/o paralización de sus operaciones
formales.

pág. 12
D-. SEGURIDAD EN EL MANEJO DE SOFTWARE

Entre algunas de las fallas detectadas se puede observar lo siguiente:

 Falta de seguridad en el manejo de software, existiendo configuraciones

computacionales que son idénticas.
 Falta de un procedimiento formal para informar los avances de los proyectos y esto
implica que de haberse filtrado un error no se puede identificar y corregir hasta que el
software está terminado.
 Las pruebas para realizar, corroborar y verificar que los sistemas desarrollados estén en
buen funcionamiento son mínimas.
 No existe manual de procedimientos para ejecutar requerimientos, ni tampoco existe
prioridad por fallas en los equipos o software (solo por orden de llegada de acuerdo a
un manual de diseño lógico).
 Los software no están en línea como por ejemplo el proceso de remuneraciones,
contabilidad, control de stock, control de caja, tesorería e inventario, lo que complica la
transparencia de la información y la inmediatez con que se requieren los datos,
sobretodo en áreas tan sensibles.

E-. MANUAL DE PROCEDIMIENTOS

En visitas y entrevistas con el personal encargado de desarrollar los planes informáticos,

usuarios y operadores de sistemas de JUMBO, no se detectó el uso de manuales de
procedimientos para realizar los distintos procesos, por lo que se puede deducir que
carece de estos. En la práctica, las funciones en cada área operativa se desarrollan sobre
la base de instrucciones verbales, memorándum y principalmente por el conocimiento
que cada persona tiene de las operaciones.

pág. 13
 C. RECOMENDACIONES

C.1. ESTRUCTURA ORGANIZACIONAL DEL AREA DE INFORMÁTICA

En primera instancia, se debe rediseñar la estructura organizacional del área Informática,

confeccionando desde su origen un organigrama de la empresa, de manera de establecer
con claridad al menos el siguiente nivel de autoridad Departamental:
 Gerencia General,
 Gerencia de Informática,
 Gerencia de Administración de datos,
 Gerencia de Adquisiciones software y hardware,
 Gerencia de Operaciones
 Todas las dependencias de la Gerencia General y con las atribuciones, autoridad,
responsabilidad, recursos e independencia que les sean necesarias para cumplir
adecuadamente sus funciones.

En este contexto, los distintos departamentos deberán ser asignados a cada gerencia de
acuerdo a la naturaleza de su gestión, definiendo sus funciones, tareas específicas y
responsabilidades asociadas. Así, la Gerencia General solo deberá centrarse en liderar el
directorio en aquellas decisiones de alto nivel, tales como la definición de planes,
políticas y estrategias comerciales, tecnológicas e informáticas, que tiendan a asegurar la
permanencia, el desarrollo y crecimiento de la Institución sobre bases sólidas.

Resuelto lo anterior y para complementar la reorganización sugerida, consideramos

fundamental el desarrollo de un “Estudio de funciones y tareas” que determine y
documente en términos formales todas las operaciones y procesos que se desarrollan en
cada departamento, estableciendo con claridad aquellos que realiza utilizando los sistemas
de información computacionales actualmente en uso así como aquellos de tipo “manual”
no automatizados (planillas Excel u otros de carácter similar).

C.2. INVENTARIOS

i. Realizar inventarios periódicos (de acuerdo a los objetivos que especifique el área
estratégica de la empresa) con el fin de salvaguardar la integridad de software,
hardwares, equipos y bases de datos.
ii. Generar un registro de existencias con sus respectivas entradas y salidas, y así
mantener un historial sobre cada movimiento de los activos tangibles e intangibles.
iii. Designar un encargado responsable de mantener, controlar y responder en casos de
pérdida o fuga de datos.

C.3. SEGURIDAD INFORMATICA

pág. 14
Primeramente, se debe establecer un Plan de Contingencias que debe considerar aspectos
como los siguientes:

1) Planificación general de cómo se enfrentaran las eventuales contingencias, de

acuerdo a su grado de importancia y/o impacto en la continuidad de las
operaciones de la Entidad (confección de una Matriz de riesgo).
2) Costo monetario estimado.
3) Priorización de actividades, procesos e información estratégica. Acceso y
recuperación de respaldos actualizados.
4) Definición e identificación de los integrantes del plan así como los medios
de contacto ante una emergencia (teléfonos fijos y celulares, mail, etc.).
5) Secuencia y definición formal de las tareas a realizar por cada una de las
unidades, departamentos o áreas así como de cada uno de sus integrantes una vez
ocurrida la emergencia.
6) Chequeo del estado de la información y datos disponibles por cada
unidad, área o departamento (por ejemplo, controles de cuadraturas con archivos
físicos impresos).
Prueba del plan en un período a definir, documentado y analizando sus resultados, de
manera de detectar las eventuales fallas que pudiera presentar y poder establecer los
mecanismos de solución. De esta forma, el plan se optimiza hasta ser nuevamente
sometido a pruebas en el futuro

C.4. MANEJO DE SOFTWARE

Controles particulares,
a realizarse tanto en la parte física como en la lógica como se detallan a continuación:

 Autenticidad: Permiten verificar la identidad; passwords, firmas digitales

 Exactitud: Aseguran la coherencia de los datos; validación de campos,
validación de excesos
 Totalidad: Evitan la omisión de registros así como garantizan la conclusión
de un proceso de envío; conteo de registros, cifras de control
 Redundancia: Evitan la duplicidad de datos; cancelación de lotes,
verificación de secuencias
 Privacidad: Aseguran la protección de los datos; compactación, encriptación
 Existencia: Aseguran la disponibilidad de los datos; bitácora de estados,
mantenimiento de activos.
 Eficiencia: Aseguran el uso óptimo de los recursos; programas monitores,
análisis costo- beneficio, controles automáticos o lógicos.

Periodicidad de cambio de claves de acceso

pág. 15
 Los cambios de las claves de acceso a los programas se deben realizar periódicamente.
Normalmente los usuarios se acostumbran a conservar la misma clave que se le asigno
inicialmente.
El no cambiar las claves periódicamente aumenta la posibilidad de que personas no
autorizadas conozcan y utilicen claves de usuarios del sistema de computación.
Por lo tanto se recomienda cambiar claves por lo menos una vez al mes.

Combinación de alfanuméricos en claves de acceso

No es conveniente que la clave este compuesta por códigos de empleados, ya que una
persona no autorizada a través de pruebas simples o de deducciones puede dar con dicha
clave.

Verificación de datos de entrada

Incluir rutinas que verifiquen la compatibilidad de los datos mas no su exactitud
o precisión; tal es el caso de la validación del tipo de datos que contienen los campos o
verificar si se encuentran dentro de un rango.

Utilizar software de seguridad en los microcomputadores

El uso de estos softwares de seguridad permite restringir el acceso al microcomputador,
de tal modo que solo el personal autorizado pueda hacerlo.
Adicionalmente, este software permite reforzar la segregación de funciones y la
confidencialidad de la información mediante controles para que los usuarios
puedan acceder solo a los programas y datos para los que están autorizados.

Controles administrativos en un ambiente de Procesamiento de Datos

El directivo a cargo del Área de Informática de una empresa debe implantar los
siguientes controles, que se pueden agrupar de la siguiente forma:

A. Controles de Preinstalación

Hacen referencia a procesos y actividades previas a la adquisición e instalación de

un equipo de computación y obviamente a la automatización de los sistemas ya
existentes.

Objetivos:
 Garantizar que el hardware y software se adquieran siempre y cuando
tengan la seguridad de que los sistemas computarizados proporcionaran mayores
beneficios que cualquier otra alternativa.
 Garantizar la selección adecuada de equipos y sistemas de computación.
 Asegurar la elaboración de un plan de actividades previo a la instalación.

Acciones a seguir:
 Elaboración de un informe técnico en el que se justifique la
adquisición del equipo, software y servicios de computación, incluyendo un
estudio del costo/beneficio.
 Formación de un comité que coordine y sea responsable de todo el
proceso de adquisición e instalación del mismo.

pág. 16
  Elaborar un plan de instalación de equipo y software (fechas, actividades,
responsables) el mismo que debe contar con la aprobación de los proveedores del
equipo.
 Elaborar un instructivo con procedimientos a seguir para la selección y
adquisición de equipos, programas y servicios computacionales. Este proceso
debe enmarcarse en las normas y disposiciones legales vigentes.
 Efectuar las acciones necesarias para una mayor participación de
proveedores.
 Asegurar respaldo de mantenimiento y asistencia
técnica.

B. Controles de organización y Planificación

Se refiere a la definición clara de funciones, línea de autoridad y responsabilidad de

las diferentes unidades del área PAD, en labores tales como:
 Diseñar un sistema
 Elaborar los programas
 Operar el sistema Control de calidad

Se debe evitar que una misma persona tenga el control de toda una
operación.
Es importante la utilización óptima de recursos mediante la preparación de planes a
ser evaluados continuamente.

Acciones implementar:
 La unidad informática debe estar al más alto nivel de la pirámide
administrativa, de manera que cumpla con sus objetivos y cuente con el apoyo y
dirección necesarios.
 Las funciones de operación, programación y diseño de sistemas deben
estar claramente delimitadas.
 Deben existir mecanismos necesarios a fin de asegurar que los
programadores y analistas no tengan acceso a la operación del computador y los
operadores, a su vez, no conozcan la documentación de programas y sistemas.
 Debe existir una unidad de control de calidad, tanto de datos de entrada
como del resultado del procesamiento.
 El manejo y custodia de dispositivos y archivos magnéticos deben estar
expresamente definidos por escrito.
 Las actividades deben obedecer a planificaciones a corto, mediano y largo
plazo sujetos a evaluación y ajustes periódicos al "Plan básico de informática".
 Debe existir una participación efectiva de directivos, usuarios y
personal en la planificación y evaluación del cumplimiento del plan.
 Las instrucciones deben impartirse por escrito.

C. Controles de Sistema en Desarrollo y Producción

pág. 17
Se debe estar seguros que los sistemas implementados han sido la mejor opción para la
empresa, bajo la relación costo/beneficio y que estos proporcionen una oportuna y
efectiva información, que los sistemas se han desarrollado bajo un proceso planificado y
se encuentren debidamente documentados.

Acciones a seguir:
 Los usuarios deben participar en el diseño e implantación de los
sistemas, pues aportan el conocimiento y experiencia de su área y así se facilita
el proceso de cambio.
 El personal de auditoría interna/control debe formar parte del grupo de
diseño para sugerir y solicitar la implantación de rutinas de control.
 El desarrollo, diseño y mantenimiento de sistemas obedece a
planes específicos, metodologías estándares, procedimientos y en general a
normatividad escrita y aprobada.
 Cada fase concluida debe ser aprobada formalmente por los usuarios
mediante actas u otros mecanismos físicos, con el fin de evitar reclamos
posteriores.
 Previamente a pasar a la etapa de Producción, los programas deben ser
probados con datos que agoten todas las excepciones posibles.
 Todos los sistemas deben estar debidamente documentados y
actualizados. La documentación deberá contener:
 Informe de factibilidad
 Diagrama de bloque
 Diagrama de lógica del programa
 Objetivos del programa
 Listado original del programa y versiones que incluyan los cambios
efectuados con antecedentes de pedido y aprobación de modificaciones.
 Formatos de salida
 Resultados de pruebas realizadas
 Implantar procedimientos de solicitud, aprobación y ejecución de
cambios a programas, formatos de los sistemas en desarrollo.
 El sistema concluido será entregado al usuario previo entrenamiento y
elaboración de los manuales de operación respectivos

D. Controles de Procesamiento

Los controles de procesamiento se refieren al ciclo que sigue la información desde

la entrada hasta la salida de la información, lo que conlleva al establecimiento de una
serie de seguridades para:
 Asegurar que todos los datos sean procesados.
 Garantizar la exactitud de los datos procesados.
 Garantizar que se grabe un archivo para uso de la gerencia y con fines de
auditoría.
 Asegurar que los resultados sean entregados a los usuarios en forma
oportuna y en las mejores condiciones.

pág. 18
Acciones a seguir:
 Validación de datos de entrada previa al procesamiento. Debe ser realizada
en forma automática: clave, dígito auto verificador, totales de lotes, etc.
 Preparación de datos de entrada debe ser responsabilidad de usuarios y
resultar en su corrección.
 Recepción de datos de entrada y distribución de información de salida debe
obedecer a un horario elaborado en coordinación con el usuario, realizando un
debido control de calidad.
 Adoptar acciones necesarias para correcciones de errores.
 Analizar conveniencia costo/beneficio de estandarización de formularios,
lo que permitiría agilizar la captura de datos y minimizar errores.
 Los procesos interactivos deben garantizar una adecuada interrelación entre
usuario y sistema.
 Planificar el mantenimiento del hardware y software, tomando todas las
seguridades para garantizar la integridad de la información y el buen servicio a
usuarios.

E. Controles en el uso del Microcomputador

Esta resulta la tarea más compleja, pues son los equipos más vulnerables, de fácil
acceso y de fácil explotación, pero los controles que se implanten ayudaran a
garantizar la integridad y confidencialidad de la información.

Acciones a seguir:

 Adquisición de equipos de protección como supresores de alzas, reguladores de

voltaje y, de ser posible, UPS previo a la adquisición del equipo.
 Vencida la garantía de mantenimiento del proveedor se debe contratar
mantenimiento preventivo y correctivo.
 Establecer procedimientos para obtención de backups, de paquetes y de archivos
de datos.
 Revisión periódica y sorpresiva del contenido del disco con el fin de verificar la
instalación de aplicaciones no relacionadas a la gestión de la empresa.
 Mantener programas y procedimientos de detección e inmunización de virus en
copias no autorizadas o datos procesados en otros equipos.

 Propender a la estandarización del Sistema Operativo, software utilizado como

procesadores de palabras, hojas electrónicas, manejadores de base de datos y
mantener actualizadas las versiones y la capacitación sobre modificaciones
incluidas

pág. 19
 C.5. MANUAL DE PROCEDIMIENTOS

Es indispensable que la empresa establezca un manual de procedimientos y operación

actualizado, en primera instancia, para las principales operaciones, considerando todas las
políticas de la compañía que deben seguir todas las unidades y departamentos, así como
las políticas adicionales adoptadas por cada unidad específica. La preparación y
mantenimiento de procedimientos escritos es necesario para:

 Facilitar la revisión por personal encargado y responsable de la adherencia a las

políticas establecidas.
 Establecer prácticas corporativas sólidas y consistentes.
 Ayudar a la “lluvia de ideas” administrativas.
 Facilitar la capacitación y rotación de empleados.
Una vez implementado, la gerencia debe revisar periódicamente el cumplimiento de cada
área con los procedimientos establecidos. Además, el personal administrativo y de
confianza apropiado debe mantener un archivo central que permita su uso y consulta
expedita.

pág. 20