Revisión de Controles Generales de

Tecnología de Información

Huemura S.A.C.
Auditoría al 31/12/2017

TABLA DE CONTENIDO
TABLA DE CONTENIDO
CARTA DE OBSERVACIONES SOBRE LA REVISIÓN DE CONTROLES GENERALES DE TI

1. RESUMEN EJECUTIVO ...............................................................................................................3

2. RECOMENDACIONES Y OPORTUNIDADES DE MEJORA IDENTIFICADAS .....................................4
2.1 Políticas y Procedimientos....................................................................................................4
2.2 Accesos Lógicos – Creación, eliminación y modificación de cuentas de usuario .....................5
2.3 Accesos Lógicos – Cuentas activas de personal cesado.........................................................7
2.4 Accesos Lógicos – Monitoreo de cuentas de usuario .............................................................8
2.5 Accesos Lógicos – Matriz de roles (Asignación de privilegios) ............................................. 11
2.6 Revisión de Módulos de Seguridad – Usuarios con perfil de administración ........................ 13
2.7 Cambios a Programas - Procedimiento de Cambios a Programas ....................................... 14

IINFORME PRELIMINAR PARA FINES DE DISCUSIÓN

CARTA DE OBSERVACIONES SOBRE LA REVISIÓN DE CONTROLES GENERALES DE TI

1. RESUMEN EJECUTIVO

Como parte de la Auditoría Financiera realizada a Huemura S.A.C., correspondiente al periodo de Enero a Diciembre del 2017, EY
realizó un análisis del entorno de control del Área de TI de la Compañía, en donde se evaluó el sistema Spring.

Como resultado de la revisión realizada, hemos identificado oportunidades de mejora que se sugieren implementar para reforzar
el entorno de control existente.

A continuación, presentamos una descripción detallada de las observaciones y oportunidades de mejora identificadas durante
nuestra evaluación de controles de TI, para las cuales hemos considerado el riesgo asociado y las recomendaciones
correspondientes a fin de corregir la situación encontrada.

IINFORME PRELIMINAR PARA FINES DE DISCUSIÓN

CARTA DE OBSERVACIONES SOBRE LA REVISIÓN DE CONTROLES GENERALES DE TI

2. RECOMENDACIONES Y OPORTUNIDADES DE MEJORA IDENTIFICADAS

2.1 Políticas y Procedimientos

En relación a la evaluación realizada sobre las políticas y procedimientos de TI, se observó lo siguiente:

No. Observación Riesgo Recomendación Comentarios de la Gerencia

2.1.1 Durante nuestra revisión se observó que el Área de TI no cuenta con La ausencia de políticas, planes y Definir formalmente las políticas, planes y Comentarios:
políticas, planes y procedimientos de TI que permitan realizar una procedimientos de TI dificulta la procedimientos de TI descritos en la observación.
gestión adecuada del área, así como de los posibles riesgos de TI. gestión adecuada del Área de TI, y
podría derivar eventualmente en la Se sugiere además, definir métricas para cada una Fecha de implementación:
A continuación el detalle: presencia de riesgos de TI no de las políticas, planes y procedimientos de TI; así
controlados, comprometiendo la como llevar un monitoreo periódico para detectar y
• No existe un plan de capacitación para el personal del Área de TI. integridad y disponibilidad de la corregir posibles irregularidades y/o riesgos que Responsable:
• No existe un Plan de Seguridad de la Información. información de la Compañía. pudieran presentarse.
• No existe un Plan Operativo del Área de TI.
• No existen políticas sobre el uso e instalación de software.

IINFORME PRELIMINAR PARA FINES DE DISCUSIÓN 4

CARTA DE OBSERVACIONES SOBRE LA REVISIÓN DE CONTROLES GENERALES DE TI

2.2 Accesos Lógicos – Creación, eliminación y modificación de cuentas de usuario

Durante la revisión del procedimiento de creación, eliminación y modificación de cuentas de usuario en el sistema del alcance, se observó lo siguiente:

No. Observación Riesgo Recomendación Comentarios de la Gerencia

2.2.1 La Compañía no cuenta con un procedimiento formal de altas, bajas y Lo mencionado en la observación Se recomienda fortalecer y difundir el procedimiento Comentarios:
modificaciones de perfil de cuentas de usuario en el sistema Spring. podría facilitar el acceso no de altas, bajas y modificaciones de perfil de cuentas
autorizado a información crítica de la de usuario. Fecha de implementación:
Asimismo, se observó que no existe evidencia suficiente que sustente el Compañía.
cumplimiento de los controles de autorización respectivos, tal y como se Dichos procedimientos deben contener como Responsable:
detalla a continuación: mínimo lo siguiente:

a) De una muestra de siete (07) cuentas de usuario dadas de • Objetivo, alcance y vigencia del procedimiento.
baja durante el período de revisión en el sistema, se • Flujogramas para la autorización de creación,
identificaron cuatro (04) cuentas que no contaban con modificación y baja de cuentas de usuario;
evidencia de cumplimiento del control de autorización indicando los actores responsables de cada
correspondiente a su baja. actividad.
• Listado de autorizadores para la creación,
Nombre Usuario Fecha de baja modificación y baja de accesos lógicos.
NOLES ZUÑIGA, ABRAHAM
ANOLES 03/10/2017
• Formato o medio formal (correo electrónico)
MIGUEL
para la solicitud de creación de cuentas de
DIAZ DELGADO, JOSE GALENO GDIAZ 03/10/2017 usuario y modificación de perfiles de cuentas
PAREDES MENDOZA, CHRISTIAN de usuarios en el sistema, que contemple el
CPAREDES 10/11/2017
ANTONIO
detalle de los perfiles y accesos que deben
NEYRA PAREJA, JESUS GERARDO JNEYRA 30/11/2017 asignarse y/o modificarse en la cuenta.
Asimismo, se debe indicar quién solicita y
quién autoriza la acción.
• Formato o medio formal (correo electrónico)
para la solicitud de deshabilitación o baja de

IINFORME PRELIMINAR PARA FINES DE DISCUSIÓN 5

CARTA DE OBSERVACIONES SOBRE LA REVISIÓN DE CONTROLES GENERALES DE TI

No. Observación Riesgo Recomendación Comentarios de la Gerencia

cuentas de usuario, en donde se indique quién

solicita y quién autoriza la acción.
• Responsable de la administración del módulo
de seguridad.

Para las solicitudes de altas, bajas y modificaciones

de cuentas de usuario, se recomienda que exista
una autorización formal, ya sea por parte del Gerente
de Recursos Humanos o por el Jefe del Área Usuaria
según corresponda, y que el responsable del Área de
Sistemas ejecute dichas solicitudes de manera
oportuna.

IINFORME PRELIMINAR PARA FINES DE DISCUSIÓN 6

CARTA DE OBSERVACIONES SOBRE LA REVISIÓN DE CONTROLES GENERALES DE TI

2.3 Accesos Lógicos – Cuentas activas de personal cesado

En relación con la evaluación realizada sobre la administración de acceso de cuentas de usuario, se observó lo siguiente:

No. Observación Riesgo Recomendación Comentarios de la Gerencia

2.3.1 Se encontraron dos (02) cuentas activas de usuarios cesados de la La presencia de cuentas de usuarios Retirar los accesos de las cuentas de usuarios Comentarios:
Compañía. no autorizados en el sistema, cesados, así como fortalecer el procedimiento de
pertenecientes a personal que ya no revisión periódica de las cuentas de usuario.
Nombre Usuario Fecha de baja
labora en la Compañía, posibilita el Fecha de implementación:
NOLES ZUÑIGA, ABRAHAM riesgo de utilización no autorizada de
ANOLES 03/10/2017
MIGUEL
dichas cuentas y accesos a

PAREDES MENDOZA,
información no autorizada. Responsable:
CPAREDES 10/11/2017
CHRISTIAN ANTONIO

Cabe resaltar que en el caso de la cuenta de usuario CPAREDES,

actualmente es utilizada por el personal del Área de Sistemas.

IINFORME PRELIMINAR PARA FINES DE DISCUSIÓN 7

CARTA DE OBSERVACIONES SOBRE LA REVISIÓN DE CONTROLES GENERALES DE TI
2.4 Accesos Lógicos – Monitoreo de cuentas de usuario
En relación con la evaluación realizada sobre el monitoreo de las cuentas de usuario en el sistema del alcance de revisión, se observó lo siguiente:
No. Observación
2.4.1 La Compañía no cuenta con un procedimiento de monitoreo
periódico sobre los accesos y actividades de las cuentas de
usuario, que permita detectar intentos de acceso por
personal no autorizado y asegurar que los accesos
autorizados se usen de manera adecuada.
2.4.2 La Compañía no cuenta con un procedimiento de monitoreo
de usuarios en el proceso de accesos lógicos del sistema
Spring, por parte de los propietarios de información.
IINFORME PRELIMINAR PARA FINES DE DISCUSIÓN
Riesgo
El no contar con un procedimiento de
monitoreo periódico sobre las cuentas
de usuario, dificulta la identificación de
operaciones no autorizadas, y a los
responsables de la ejecución de las
mismas.
Esta situación podría derivar
eventualmente en la ejecución de
actividades no autorizadas en el
sistema, y en accesos o intentos de
accesos de personal no autorizado.
El no contar con un procedimiento de
monitoreo periódico de usuarios
impediría una oportuna verificación de
Recomendación Comentarios de la Gerencia
Definir e implementar un procedimiento formal de monitoreo Comentarios:
periódico de cuentas de usuario, que establezca y describa
las actividades a realizar para la revisión de accesos y
actividades de las cuentas de usuario, las cuales deberán Fecha de implementación:
incluir la revisión de los registros de auditoría.
Asimismo, este procedimiento deberá comprender como Responsable:
mínimo lo siguiente:
Revisión de accesos (Monitoreo del uso de accesos)
• Ingreso al sistema de cuentas de personal cesado
activas, sin solicitud explícita de alguna Gerencia del
Negocio.
Revisión de actividades de cuentas de usuario (Monitoreo del
proceso de accesos)
• Ingresos a las principales transacciones del sistema,
definidas como críticas y sensibles.
• Cuentas de personal cesado que estén habilitadas
temporalmente por alguna solicitud de Gerencia.
Identificar a los propietarios de la información asociados al Comentarios:
sistema del alcance de revisión.
8
CARTA DE OBSERVACIONES SOBRE LA REVISIÓN DE CONTROLES GENERALES DE TI

No. Observación Riesgo Recomendación Comentarios de la Gerencia

los accesos otorgados a las cuentas de Implementar un procedimiento formal de monitoreo anual de Fecha de implementación:
usuario, e incrementaría el riesgo de usuarios, en donde el propietario de la información pueda
que personal no autorizado pueda tener dar su conformidad respecto a los accesos otorgados a los
acceso a la información de la usuarios en el sistema. Responsable:
Compañía.
Se sugiere tomar en cuenta lo siguiente:
Asimismo, posibilita el acceso a
funcionalidades sobre dicho sistema • La especificación de la periodicidad de revisión.
que no estén acordes al cargo que el • La evaluación de los privilegios asignados a cuentas
usuario desempeña. Esto podría existentes, de manera que dichos privilegios reflejen
generar un eventual acceso a apropiadamente las funciones reales del usuario.
información confidencial, o la
modificación y/o eliminación, ya sea
accidental o intencional, de
información sensible de la Compañía,
comprometiendo de esta manera la
integridad de dicha información.

IINFORME PRELIMINAR PARA FINES DE DISCUSIÓN 9

CARTA DE OBSERVACIONES SOBRE LA REVISIÓN DE CONTROLES GENERALES DE TI

IINFORME PRELIMINAR PARA FINES DE DISCUSIÓN 10

CARTA DE OBSERVACIONES SOBRE LA REVISIÓN DE CONTROLES GENERALES DE TI
2.5 Accesos Lógicos – Matriz de roles (Asignación de privilegios)
Durante la revisión del procedimiento de asignación de privilegios en el sistema del alcance, se observó lo siguiente:
No. Observación Riesgo
2.5.1 Durante nuestra revisión se observó que la Compañía no cuenta con una El no contar con una matriz de roles
matriz de roles por función, que detalle el perfil que se deberá asignar al por función, el cual detalle el perfil
usuario en el sistema Spring. que se debería asignar a los usuarios
en el sistema, posibilita que existan
funciones no segregadas en la
Compañía, así como también que se
le otorguen privilegios excesivos a las
funciones que deberían desempeñar
dichos usuarios.
El otorgamiento no autorizado de
privilegios permitiría al usuario
modificar información almacenada
en el sistema, y comprometer de esta
manera su integridad.
IINFORME PRELIMINAR PARA FINES DE DISCUSIÓN
Recomendación Comentarios de la Gerencia
Establecer una matriz de roles y perfiles, con el Comentarios:
objetivo de que se permita detallar los privilegios
que deban asignarse a las cuentas de usuario de
acuerdo a las funciones que desempeñan, Fecha de implementación:
considerando una adecuada segregación de
funciones, mediante:
Responsable:
• Un análisis de los procesos de la organización
de modo que se puedan identificar los roles y
funciones que desempeñan los usuarios en la
Compañía.
• Un análisis de los perfiles de los usuarios en la
aplicación, de manera que se puedan
identificar incongruencias respecto a las
funciones que desempeñan los usuarios, así
como también evaluar la necesidad de realizar
un rediseño de los roles actuales.
Dicha matriz debe contener como mínimo lo
siguiente:
• Detalle de las funciones involucradas en el
proceso.
• Detalle de los perfiles establecidos en la
aplicación. Los niveles de acceso de los
11
CARTA DE OBSERVACIONES SOBRE LA REVISIÓN DE CONTROLES GENERALES DE TI

No. Observación Riesgo Recomendación Comentarios de la Gerencia

perfiles deben estar limitados según las

funciones que desempeñan los usuarios.
• Asociación de las funciones con los perfiles
que deben ser asignados en el sistema.
• Aprobación del propietario de información de
la aplicación sobre los accesos que serán
otorgados por cada función.

Luego de implementar dicha matriz se recomienda

establecer un plan de revisión de los accesos
otorgados, con la finalidad de identificar accesos no
autorizados que puedan comprometer la integridad
de la información de la Compañía.

IINFORME PRELIMINAR PARA FINES DE DISCUSIÓN 12

CARTA DE OBSERVACIONES SOBRE LA REVISIÓN DE CONTROLES GENERALES DE TI

2.6 Revisión de Módulos de Seguridad – Usuarios con perfil de administración

Durante la revisión de los usuarios con perfil de administración en los módulos de seguridad en el sistema del alcance de revisión, se observó lo siguiente:

No. Observación Riesgo Recomendación Comentarios de la Gerencia

2.6.1 Durante nuestra revisión de módulos de seguridad del sistema Lo mencionado en la observación, Establecer un control adecuado de segregación de funciones Comentarios:
Spring, se identificaron cuentas de usuario que poseen privilegios genera conflictos de segregación en el sistema, de tal forma que los usuarios con privilegios de
para la administración de cuentas de usuario y también poseen de funciones, debido a que los administración de cuentas de usuario, no tengan privilegios
accesos a las funciones operativas del negocio. usuarios estarían realizando las ni accesos sobre las operaciones del negocio. Fecha de implementación:
siguientes labores:
Usuarios administradores de cuentas de usuario con acceso a En aquellos casos que, por necesidad del negocio, se Responsable:
funciones del negocio
• Creación, modificación y baja requiera el uso de dichos privilegios, se recomienda
Usuario Responsable de cuentas de usuario, implementar un procedimiento de monitoreo sobre el uso de
MISESF Luis Acuña, Asistente de Sistemas
Enrique Vásquez, Asistente de • Acceso a funciones críticas las cuentas de administración.
Sistemas para el negocio,
LACUNA Luis Acuña, Asistente de Sistemas
• Visualización de información Asimismo, se recomienda evaluar la factibilidad de lo
Cabe resaltar que la cuenta MISESF es una cuenta propia del confidencial. siguiente:
sistema Spring, la cual posee los máximos privilegios en dicho • Limitar el uso de la cuenta MISESF, de tal manera que
sistema. sea utilizada en casos estrictamente necesarios.
• Crear una cuenta de usuario para el Sr. Enrique
Vásquez, Asistente de Sistemas.
• Restringir los privilegios de los Sres. Luis Acuña,
Asistente de Sistemas y Enrique Vásquez, Asistente de
Sistemas; de tal manera que no posean acceso a las
funciones del negocio.

IINFORME PRELIMINAR PARA FINES DE DISCUSIÓN 13

CARTA DE OBSERVACIONES SOBRE LA REVISIÓN DE CONTROLES GENERALES DE TI
2.7 Cambios a Programas - Procedimiento de Cambios a Programas
Durante la revisión del procedimiento de cambios a programas, se observó lo siguiente:
No. Observación
2.7.1 Durante nuestra revisión, se identificó que la Compañía no tiene
implementado un procedimiento formal de administración de cambios a
programas, que establezca y describa las actividades que son
necesarias para la modificación de programas en producción.
IINFORME PRELIMINAR PARA FINES DE DISCUSIÓN
Riesgo
El no contar con un procedimiento
formal de administración de cambios
a programas, dificulta la difusión y el
entendimiento del proceso,
debilitando la cultura de control y
facilitando posibles errores que
podrían ocasionar cambios a
programas no autorizados en el
sistema.
Asimismo, se incrementa el riesgo de
que las actualizaciones en el sistema
no sean correctamente autorizadas,
probadas y aprobadas. En
consecuencia, los cambios a
programas no controlados podrían
afectar el procesamiento de la
información.
Recomendación Comentarios de la Gerencia
Diseñar e implementar un procedimiento formal Comentarios:
para la administración de cambios a programas, el
cual debe incluir como mínimo los siguientes
controles: Fecha de implementación:
• Control de autorización de cambios a
programas, mediante el registro de dicha Responsable:
autorización para todos los casos que
involucren cambios a programas, aún si
surgieran del Área de Sistemas.
• Control de conformidad de pruebas, mediante
la intervención del área usuaria responsable
del sistema, en la ejecución de las respectivas
pruebas y en dejar constancia de su
conformidad; para todos los casos que
involucren cambios a programas, aún si
surgieran del Área de Sistemas.
• Control de pase a producción, de modo que los
cambios a programas no sean implementados
en producción mientras no exista una debida
aprobación por parte del responsable de este
ambiente.
Los controles mencionados deben dejar evidencia
documentada de su ejecución. Para ello, se
14
CARTA DE OBSERVACIONES SOBRE LA REVISIÓN DE CONTROLES GENERALES DE TI

No. Observación Riesgo Recomendación Comentarios de la Gerencia

recomienda elaborar e implementar los siguientes

formatos:

• Formato para la solicitud de cambios a

programas que contemple el detalle de la
solicitud del cambio, el tipo de cambio
(evolutivo o correctivo), quién solicita, quién
autoriza y los procesos que serán impactados
por el cambio solicitado.
• Formato para la documentación de los casos
de prueba que contemple el alcance de la
prueba y quién brinda la conformidad sobre la
misma.
• Formato para la autorización del pase a
producción que contemple quién autoriza el
pase a producción. Dicho formato debería
contener un anexo en el que se documenten
todos los programas a nivel de aplicación y
base de datos que fueron modificados por la
implementación del cambio solicitado.

Es importante mencionar que, el procedimiento

debe incluir una lista de autorizadores de los
cambios a programas definidos por el Área de
Sistemas y las áreas de negocio.

IINFORME PRELIMINAR PARA FINES DE DISCUSIÓN 15

CARTA DE OBSERVACIONES SOBRE LA REVISIÓN DE CONTROLES GENERALES DE TI
No. Observación Riesgo
2.7.2 Se observó que la Compañía no cuenta con una bitácora actualizada, en La falta de una bitácora de cambios a
donde se registren dichos cambios realizados en el sistema Spring. programas dificulta la administración
y seguimiento oportuno de los
cambios realizados en el sistema; lo
cual podría conllevar a que se
ejecuten cambios sin una adecuada
autorización, así como errores o
interrupciones en el ambiente de
producción.
IINFORME PRELIMINAR PARA FINES DE DISCUSIÓN
Recomendación Comentarios de la Gerencia
Asimismo, se recomienda ejecutar las pruebas de
usuario en el ambiente respectivo, antes de su pase
al ambiente productivo.
Se recomienda diseñar e implementar una bitácora Comentarios:
de cambios a programas, en la cual se registre la
relación de todos los objetos de producción
afectados, incluyendo aquellos objetos asociados a Fecha de implementación:
cambios menores o por actualizaciones o parches.
Dicha bitácora debe contemplar al menos la
siguiente información: Responsable:
• Número o código del requerimiento.
• Aplicación y módulo.
• Descripción del cambio.
• Fecha del requerimiento.
• Tipo de requerimiento (por ejemplo: proyecto,
nueva funcionalidad, error, etc.).
• Prioridad del requerimiento (por ejemplo: alta,
media, baja).
• Usuario solicitante.
• Usuario autorizador.
• Fecha de inicio y fin de la ejecución del
cambio.
• Fecha de solicitud y conformidad de pruebas.
• Fecha de aprobación del pase a producción.
• Fecha de ejecución del pase a producción.
• Objetos de producción modificados.
16
CARTA DE OBSERVACIONES SOBRE LA REVISIÓN DE CONTROLES GENERALES DE TI

No. Observación Riesgo Recomendación Comentarios de la Gerencia

2.7.3 Durante nuestra revisión del procedimiento de cambios a programas se El no tener un registro de autorización Se recomienda diseñar e implementar un registro Comentarios:
observó que no existe evidencia de cumplimiento del control de para la solicitud de cambios a tanto para el requerimiento de un cambio como para
autorización de requerimientos de cambios a programas. programas, por parte de los dueños las autorizaciones respectivas. Dicho registro puede
del sistema, posibilita que se ser un formato en el que el solicitante registre su Fecha de implementación:
realicen cambios no autorizados necesidad y el responsable del sistema registre su
sobre dicho sistema, sin que éstos autorización.
puedan ser identificados. . Responsable:
Si los cambios no son correctamente
autorizados pueden ser utilizados
para la extracción no autorizada de
información confidencial o para la
modificación de parámetros del
sistema; de manera que, dicha
configuración sea utilizada para
beneficio personal de quien realizó el
cambio.

Además, dificulta la administración,

seguimiento y monitoreo de los
cambios realizados sobre la
aplicación.

2.7.4 En el procedimiento de cambios a programas se identificó lo siguiente:
• No se realizan pruebas con el usuario final para los cambios
desarrollados, en un entorno implementado para tal fin.
• No existe sustento de aprobación por parte de un responsable del
ambiente productivo, el cual evalúe el impacto de desplegar el
El riesgo de no probar correctamente
los cambios, podría comprometer la
operatividad del sistema asociado,
generando retrasos, pérdidas y
costos adicionales para la Compañía.
Se recomienda diseñar e implementar controles de Comentarios:
modo que para todos los casos que involucren
cambios a programas, aún si surgieran del Área de Fecha de implementación:
Sistemas, requieran la intervención del área usuaria
responsable del sistema para realizar las respectivas
pruebas y dejar constancia de su conformidad. Responsable:

IINFORME PRELIMINAR PARA FINES DE DISCUSIÓN 17

CARTA DE OBSERVACIONES SOBRE LA REVISIÓN DE CONTROLES GENERALES DE TI

No. Observación Riesgo Recomendación Comentarios de la Gerencia

cambio y defina una adecuada ventana de tiempo para ejecutar el Asimismo, si no se aprueban los
pase. cambios para el pase a producción,
se corre el riesgo de que los
Cabe resaltar que las actualizaciones o cambios en el sistema son programas se pasen a producción en
desarrollados por un proveedor externo. momentos no adecuados, pudiendo
impactar en la disponibilidad del
ambiente productivo.
Asimismo, recomendamos diseñar e implementar un
control, de modo que los cambios no sean
implementados en producción mientras no exista
una debida aprobación por parte del responsable de
este ambiente.

IINFORME PRELIMINAR PARA FINES DE DISCUSIÓN 18