Universidad de Santiago de Chile

Facultad de Administración y Economía

Departamento de Contabilidad y Auditoría

Trabajo de Auditoría
Caso EPERSA

Integrantes: Diego Paillal – Vaihiare Ruiz

Cátedra: Gestión y Auditoría de Sistemas de Información

Fecha de entrega: jueves 16 de mayo de 2019

 ÍNDICE

I PLANIFICACIÓN DE AUDITORÍA ............................................................................................. 3

1 Conocimiento general ................................................................................................................. 4
1.1 Información de la empresa .................................................................................................. 4
2 Objetivos generales ..................................................................................................................... 4
3 Objetivos Específicos .................................................................................................................. 4
4 Alcance de la auditoría ................................................................................................................ 5
5 Metodología del trabajo .............................................................................................................. 5
II EJECUCIÓN DE AUDITORÍA ...................................................................................................... 7
6 Programa de Auditoría ................................................................................................................ 8
III PRE-INFORME DE AUDITORÍA .............................................................................................. 13
7 Antecedentes generales ............................................................................................................. 14
7.1 Objetivo general ................................................................................................................ 14
7.2 Objetivos específicos......................................................................................................... 14
7.3 Alcance de la auditoría ...................................................................................................... 14
7.4 Metodología ...................................................................................................................... 15
8 Opinión general ......................................................................................................................... 15
9 Hallazgos y recomendaciones ................................................................................................... 17
I PLANIFICACIÓN DE
AUDITORÍA
1 Conocimiento general

1.1 Información de la empresa

EPERSA es una empresa dedicada a la captura y procesamiento de cardúmenes en las
costas de Arica hasta Talcahuano, cuenta con dos plantas de gestión técnica-científica y
procesamiento de harina de pescado en los puertos de Iquique y Talcahuano, y una oficina
administrativa, de Gerencia, comercialización y distribución a Santiago.
Es una empresa emergente, que logró en muy poco tiempo posicionarse en la industria
Chilena, obteniendo a la fecha la capacidad de transporte y procesamiento más grande del
cono sur, con una producción de 3500 toneladas al mes y con ingresos anuales de US$
1457,7 millones entre exportaciones y el comercio nacional.
Para el procesamiento de la información y controles automáticos de procesos de
fabricación, tanto para su casa matriz como para sus plantas elaboradoras, cuenta con una
completa instalación computacional marca Diong-Du de procedencia Norcoreana,
recientemente adquiridas por el fiscal, abogado de vasta experiencia en comercio exterior,
mediante una directa y personal negociación técnico comercial en Buenos Aires con los
representantes de Diong-Du en Argentina para toda Latinoamérica.

2 Objetivos generales
El objetivo del presente trabajo consiste en tomar conocimiento y evaluar la gestión
estructural informática en termino de incorporación, adquisición y uso de Tecnologías de la
Información de carácter corporativo, como así mismo de la gestión táctica y operacional de
la gestión integral, su eficacia como sistema de información de gestión estratégica de apoyo
a la industria pesquera, calidad y oportunidad de la información por él generada, además de
evaluar el grado de satisfacción de los usuarios directos e indirectos del sistema bajo
auditoría, para así lograr emitir una opinión sobre la razonabilidad de dichos ámbitos.

3 Objetivos Específicos
Para cumplir con el objetivo general planteado en el párrafo anterior, se han determinado
los siguientes objetivos específicos:

● Obtener un conocimiento global del área informática y de sus actividades y

responsabilidades específicas.

● Obtener conocimiento de los principales sistemas y recursos informáticos que apoyan las
actividades de la empresa a nivel estratégico y operacional.

● Verificar la funcionalidad y eficacia de los sistemas informáticos de la empresa.

● Verificar la confiabilidad de los sistemas informáticos de la empresa en cuanto a

seguridad lógica y física, calidad y oportunidad de la información generada.
● Verificar si los sistemas informáticos apoyan el cumplimiento de las actividades y
objetivos de los usuarios de dichos sistemas.

● Analizar los hallazgos encontrados en el área de informática y determinar los riesgos a

los que está expuesta la empresa y los controles que han sido o pueden ser transgredidos al
respecto.

● Emitir las recomendaciones pertinentes de control interno relativas a los hallazgos

encontrados mediante un pre-informe de auditoría.

● Verificar si los sistemas informáticos apoyan el cumplimiento de las actividades y

objetivos de los usuarios de dichos sistemas.

● Analizar los hallazgos encontrados en el área de informática y determinar los riesgos a

los que está expuesta la empresa y los controles que han sido o pueden ser transgredidos al
respecto.

● Emitir las recomendaciones pertinentes de control interno relativas a los hallazgos

encontrados mediante un pre-informe de auditoría.

4 Alcance de la auditoría
Conforme a los objetivos específicos anteriormente señalados, esta auditoría centrará su
atención en el área de informática de la empresa EPERSA S.A. como también, en los
principales sistemas de información y recursos tecnológicos empleados para apoyar sus
actividades operacionales y estratégicas, basándose en el estándar internacional de Cobit 5
y específicamente en los procesos del dominio MEA (Monitor - Evaluate - Assess).

Esta auditoría no tiene por objetivo analizar el diseño de los sistemas, recursos
tecnológicos y aplicaciones informáticas de la empresa EPERSA S.A. sino, analizar y
verificar la operacionalidad, funcionalidad y eficacia de dichos sistemas.

El proceso de auditoría se llevará a cabo en las dependencias de la entidad y se ha acordado

con la administración un período razonable para su ejecución en terreno de once semanas a
objeto de aplicar las pruebas pertinentes y obtener las conclusiones respectivas.

5 Metodología del trabajo

La presente auditoria consistirá en la obtención de información referente al plan estratégico
implementado por EPERSA, para evaluar su continuidad dentro de la organización,
adicionalmente se requerirá su planificación para formar una opinión respecto a la
optimización de la empresa y de su control.

Lo anterior se realizara gracias a un análisis crítico de los antecedentes implementadas en

las distintas áreas involucradas y de la administración gerencial de la empresa, los cuales
entregaran documentación e información oportuna y necesaria sobre los procedimientos,
además de otros documentos necesarios para la auditoria, los cuales se podrán solicitar en
el transcurso de esta, enfocándonos con las pruebas de cumplimiento, sustantivas y
analíticas.

En forma adicional se programarán reuniones con los encargados de los departamentos de

la entidad de las distintas áreas, para evaluar la información y realizar tomas de decisiones
para su gestión.
II EJECUCIÓN DE AUDITORÍA
6 Programa de Auditoría

EPERSA
Programa de Trabajo
Auditoria a la gestión integral de los sistemas informáticos CPD
Fecha de inicio: 14 de Mayo de 2019
Auditores: Diego Paillal y Vaihiare Ruiz

ISO
Fecha Observ Resp Cobit
27000
I Gestión de inicio de Auditoria
a) Carta de inicio de Auditoria
b) Recepción de notificación de inicio
de auditoria
c) Carta de resguardo de la empresa
d) Carta de responsabilidad
II Obtención de información General
1 Solicitar plan estratégico de la EPERSA
referido al área informática.
2 Solicitud del plan informático de
EPERSA actualizado por sucursal.
3. Solicitar actas de reuniones
relacionadas con la toma de decisiones de
Gerencia sobre temas tecnológicos e
informáticos y de seguridad lógica y
física de algunos periodos.
4. Documento de constitución de comité
informático e integrantes
5. Solicitar perfiles de cargos del personal
del área informática.
6. Solicitar políticas de informática.
7. Documentación de los planes de
contingencia, emergencia y seguridad de
la gestión y servicios informáticos.
8. Actas de los últimos 3 meses de las
sesiones del Comité de informática.
9. Solicitar los presupuestos de los planes
informáticos realizados y a realizar.
10. Solicitar políticas y procedimientos
de compras de los soportes informáticos
y/o tecnológicos.
11. Solicitar inventarios de computadores
personales, software y redes de
comunicación.
12. Solicitar informe técnico de la
creación del área de Centro de
Procesamiento de Datos.
13. Obtener información sobre la
integridad, seguridad, confidencialidad y
confiabilidad del CPD y la información
entre las sucursales.
14. Otros antecedentes estratégicos-
informáticos relacionados con la
continuidad y seguridad de las
operaciones.
15. Solicitar el diseño lógico, esquema
administrativo de trabajo, formularios,
niveles de autorización y flujo de
información vinculado al sistema
computacional.
16. información sobre el control de
acceso de los sistemas.
17. codificación utilizada en el sistema.
18. solicitar la descripción del apoyo
computacional y herramientas utilizadas
por los usuarios de las TI.

Antecedentes legales y
normativos:
1. Antecedentes legales que regulen la
adquisición de bienes y servicios
computacionales y tecnológicos.

2. Solicitar normas internas de

elaboración de sistemas.

3. Antecedentes legales emitidos por

Sernapesca, que regulen las restricciones
pesqueras, los cuales afecten los
presupuestos y gastos.
4. Solicitar normas de metodologías de
desarrollo.

Visita en Terreno:

1. Manejo óptimo de los TI por parte de

los usuarios.

2. La distribución y eficacia de los

servicios computacionales.

3. Dotación del personal adecuado y

necesario para las operaciones en el área
informática de la empresa.

4. Estado de los software y hardware de

la entidad

5. Sistemas de respaldos de
información.

Procedimientos de Auditoría:

Pruebas de Cumplimientos

1. Verificar que existan las políticas de

adquisición de nuevas tecnologías que
estén documentadas y sean conocidas
tanto por el departamento de informática
como para el área que autoriza la salida
del dinero, así no incurrir en gastos
innecesarios y su transparencia en las
compras de las tecnologías para cada
proyecto, comprobando así su adecuado
cumplimiento.
2. Observación, revisión de la
estructura y acceso del lugar físico donde
se encuentra la sala cero para evitar
daños físicos y lógicos de los equipos que
almacenan la información de la empresa,
verificando su adecuado funcionamiento.

3. Verificar la existencia de un plan

estratégico y su aplicación en el área de
informática para la gestión de recursos
de TI con sus estrategias y prioridades del
negocio. Además, a través de entrevistas
comprobar que son conocidas y aplicadas
por todo el personal necesario.
4. Comprobar que existe una estructura
organizacional, conocida por los
empleados, con sus respectivos niveles de
autoridad en el área de informática
mediante la observación en terreno de las
diferentes plantas y controles
individuales, para así evitar la mala
segregación de funciones y comunicación
interna en la organización.
5. Verificar que la empresa posea un
sistema de seguimiento de incidentes que
asistan a los usuarios de los sistemas de
información ayudando a asegurar la
calidad del software integrado en la
empresa. Realizando preguntas concretas
verificar además que las personas que lo
manejan conózcanlos códigos y sus
procedimientos.

Pruebas Sustantivas

1. Mediante la comparación de
informes de auditorías de sistemas de
información de años anteriores,
solicitados previamente a la gerencia,
obtener datos sustentables y observar el
comportamiento histórico y correcciones
de hallazgos informados, para obtener
conocimiento de la evolución de la
empresa en términos tecnológicos.
2. Evaluar los procesos de facturación y
volúmenes para determinar una muestra
de información para la revisión de la
eficiencia en la conexión y
funcionamiento del sistema entre la
matriz y sus sucursales, además de las
características tecnológicas en cada
planta de los equipos y así verificar una
concordancia con las exigencias
requeridas por la empresa.
3. Evaluar la eficiencia de las políticas
desarrolladas para la organización,
manejo, gestión y recursos de TI en la
empresa.

Pruebas Analíticas

1. Evaluar los procedimientos de

ejecución de presupuestos y proyectos
elaborados, mediante entrevistas, conocer
cuáles fueron los parámetros o criterios
utilizados, quienes y como participaron
en su desarrollo y quienes lo aprobaron,
además de registros o respaldos de la
implementación de las tecnologías para
conocer los controles internos de
seguridad, ver su planteamiento para así
dar una opinión razonable.
2. Evaluar los procesos de facturación y
volúmenes para determinar una muestra
de información para la revisión de la
eficiencia en la conexión y
funcionamiento del sistema entre la
matriz y sus sucursales, además de las
características tecnológicas en cada
planta de los equipos y así verificar una
concordancia con las exigencias
requeridas por la empresa.
III PRE-INFORME DE
AUDITORÍA
7 Antecedentes generales
7.1 Objetivo general
El objetivo general de la auditoría llevada a cabo consistió en adquirir conocimiento y
evaluar en ámbitos de funcionalidad, integridad y disponibilidad los sistemas, recursos
tecnológicos y aplicaciones informáticas del área de informática de la empresa EPERSA
S.A. con el fin de detectar, analizar y describir las debilidades de la entidad en términos de
TI y especificar los controles que han sido o serán vulnerados en dichos recursos.

7.2 Objetivos específicos

El cumplimiento del objetivo general de este trabajo consideró lograr los siguientes
objetivos específicos:

 Verificar la eficiencia en la administración y organización para la gestión de riesgos

y recursos de EPERSA
 Analizar verificar si existe un manejo y corrección en los procesos y su posterior
concordancia con el objetivo de la entidad.
 Verificar si se tiene y se cumple una política clara para la adquisición de nuevas
tecnologías.
 Evaluar los cargos descritos por la organización para las funciones desarrolladas por
el personal, para así cerciorarse de que el personal sea el óptimo para la empresa.
 Verificar si existe un informe de construcción, procedimientos y mantención de la
sala cero para toda la organización.
 Verificar la existencia de procedimientos para el flujo de la información en la
organización (entre sucursales), esto para comprobar la existencia de
confidencialidad, custodia, confiabilidad, consistencias, continuidad y cumplimiento
de la información.
 Verificar que las tecnologías de información existan de acuerdo a los registros y si
las transacciones realizadas se han registrado satisfactoriamente según los
parámetros establecidos en los sistemas.
 Verificar si todos los TI están certificados, documentados y acorde con las normas
informáticas y legislativas vigentes.

7.3 Alcance de la auditoría

Conforme a los objetivos específicos antes señalados, nuestro trabajo centró su atención, en
primera instancia, en los, objetivos, estructuras y funcionalidades del desarrollo del CPD
(Centro de Procesamiento de Datos), para luego enfocarse en la revisión de los
antecedentes técnicos de diseño, modelamientos de datos y funcionalidad, proporcionados
tanto por el area de sistemas de informática de EPERSA como por los usuarios ejecutivos
de Iquique, Talcahuano y Santiago.

Se ha acordado una fecha aproximada entre el 05 de Febrero al 05 de Abril de 2015, como

un período razonable para la realización de la auditoría en terreno y además de la solicitud
de todos los antecedentes necesarios para su realización.

Con posterioridad se deberá comenzar a analizar la documentación y con una fecha

acordada con el cliente para el 7 de Mayo de 2015, para realizar la entrega de un pre-
informe de las debilidades visualizadas con sus respectivas explicaciones y
recomendaciones.

7.4 Metodología
Para cumplir con los objetivos propuestos, las actividades de evaluación y análisis de los
distintos sistemas, recursos tecnológicos y aplicaciones informáticas de la entidad se
llevaron a cabo bajo los estándares de Cobit 5 y los procesos de sus dominios y además, se
realizaron una serie de procedimientos de auditoría que incluyeron pruebas sustantivas,
pruebas de cumplimiento y pruebas analíticas enfocadas para dar la evidencia suficiente a
los auditores respecto a la funcionalidad, integridad y disponibilidad los sistemas, recursos
tecnológicos y aplicaciones informáticas del área de informática de la empresa EPERSA
S.A. con el fin de emitir una opinión sobre la razonabilidad del objeto auditado. Lo anterior
se realizó bajo un análisis crítico de los sistemas implementados en las distintas áreas de la
entidad, de manera de detectar hallazgos y/o debilidades en términos de TI y efectuar las
recomendaciones pertinentes.

En forma adicional, se programaron reuniones de trabajo con el departamento de

informática y las gerencias correspondientes para recopilar la información necesaria.

Finalmente, una versión preliminar de este informe fue puesta en conocimiento de los
ejecutivos de las áreas involucradas, incluyendo en el texto definitivo sus comentarios y
observaciones correspondientes.

8 Opinión general
Recientemente, la empresa EPERSA S.A. ha adquirido para el procesamiento de
información y controles automáticos de procesos de fabricación, tanto para su casa matriz
ubicada en Santiago, como para sus plantas ubicadas en los puertos de Iquique y
Talcahuano, una completa instalación computacional marca DiongDu 340 AS-9-K-KR de
procedencia norcoreana.
En lo específico y en relación al objetivo general de esta auditoría, valoramos
positivamente aspectos elementales de funcionamiento, tales como:

● La actualización de sus sistemas computacionales mediante la adquisición de una

nueva plataforma para todas sus dependencias.

● Cada uno de los sistemas desarrollados es enviado a las plantas tanto en su

formato fuente como sus compilados, junto a los manuales de sistema, de operación
y de usuarios.

No obstante, hemos observado la existencia de debilidades, con un grado de riesgo

significativo, en términos de funcionalidad, integridad, disponibilidad y eficacia asociadas
al sistema computacional DiongDu 340 y a ciertas actividades y/o prácticas desarrolladas
por el departamento de informática, las cuales se mencionan a continuación:

● La nueva plataforma computacional fue adquirida por el fiscal de la entidad, quien

posee experiencia en comercio exterior pero no en sistemas de información, por
ende, el software ha sido adquirido sin evaluar y analizar en primera instancia, las
necesidades de sistemas de información del área de TI o las características de este
departamento.

● El suministro energético de la entidad se encuentra ubicado en la bodega del

segundo subterráneo, lugar no apropiado para este dispositivo teniendo en cuenta
que emana mucho calor de éste y que además, en dicha bodega se ubica la CPU del
DiongDu 340.

● El lugar donde se encuentra ubicada la CPU del DiongDu 340 sólo se encuentra
resguardada por una guardia externa, sin que medie ningún otro tipo de seguridad
que pueda controlar el acceso al lugar.

● El Comité de Informática no posee grandes atribuciones o responsabilidades, no

realiza reuniones periódicamente para tomar decisiones y además, éstas son
resueltas casi de forma unilateral por el Gerente de Informática.

● La Gerente de Desarrollo cumple las labores propias de su departamento pero

además, en ausencia del Gerente de Explotación, debe reemplazarlo y asumir sus
responsabilidades, sin existir límites de roles y funciones definidas.

● La entidad cuenta con tres equipos e instalaciones computacionales DiungDu 340,

no interconectados, uno en cada planta y otra en la casa matriz. Debido a esto la
entidad dice no requerir de convenios de respaldos con proveedores o terceros.
 ● El DiongDu 340 posee una aplicación que permite acceder directamente a tuplas
de una Base de Datos Relacional (BDR) sin medir control de esta facilidad de
acceso que por defecto, incluye la plataforma computacional.

● Los operadores de trayectoria tienen una password de acceso para efectuar

modificaciones sin mediar control alguno. Por lo anteriormente expuesto,
recomendamos a la empresa que por instrucciones de su Directorio, instruya a las
unidades pertinentes para que éstas tomen las medidas necesarias y desarrollen
todas sus potencialidades y facultades para superar las deficiencias y debilidades
mencionadas de manera de gestionar a tiempo los riesgos inherentes asociados a
dichos hallazgos.

Esto lo puede lograr reestructurando ciertas actividades y prácticas que en la actualidad,

conllevan a un riesgo latente y que pueden derivar en la ineficiencia de sus operaciones e
incluso, de sus sistemas de información. Además, puede definir políticas y procedimientos
que en un futuro, contribuirán a que la entidad alcance la eficiencia, eficacia y economía
del negocio.

9 Hallazgos y recomendaciones

1) Debilidad
Procesos descentralizados
La información de las sucursales debe centralizarse en la casa matriz, por lo tanto, la
información que se presenta no es del todo completa y esto ocasiona que las decisiones que
se toman en el momento sean equivocadas y erróneas.

Controles transgredidos
Los controles transgredidos son controles generales, debido a que ahí es donde se
implementan los sistemas, y lo que es una debilidad en este punto, es el sistema
descentralizado entre la casa matriz y las sucursales.

Recomendaciones
Contratar convenios de respaldo con proveedores o terceros, para una mayor seguridad de
la información y tener un sistema y equipos interconectados para toda la compañía para una
comunicación más fluida de la información y tener una mayor seguridad con el cruce de la
información

.
2) Debilidad
Conflictos de interés, debido a que el experto en informática a cargo del área de informático
a nivel de la empresa, el Sr. Correa (Gerente de Informática), es a su vez parte del Comité
de Informática, lo cual no puede ser posible.

Controles transgredidos
Los controles transgredidos son los controles generales debido que hay claramente una
inexistencia de segregación de funciones.

Recomendaciones
El gerente de informática solo tiene derecho a voz, por lo tanto, Carlos Correa no debiese
encargarse de esa función que tiene adquirida que es la de desarrollar, explotar y mantener
los sistemas de información, sino más bien el comité de informática.

3) Debilidad
Riesgo en la jerarquización de responsabilidades y autoridades, debido a que el comité de
informática acata las decisiones del gerente de informática, siendo que por normativa
debería ser de manera inversa.

Controles transgredidos
Los controles transgredidos son los controles generales debido a que se presenta una
inexistencia de segregación en la estructura orgánica de la empresa.

Recomendación
Reevaluar la jerarquización de responsabilidades, para determinar de manera óptima, y bajo
lo estipulado en la norma la autoridad y el alcance del comité de informática y del gerente
de informática.

4) Debilidad
Riesgo en la segregación de funciones, distribución y asignación del personal especializado
para el área de informática, esto debido a que la encargada de supervisar el desarrollo de los
sistemas se encuentra también a cargo de asumir la gerencia Explotación en ausencia del
gerente de está, realizando el trabajo de dos áreas de gran importancia, de igual manera se
puede ver que el programador analista además de realizar las mantenciones a los sistemas
tiene múltiples funciones más a su cargo.

Controles transgredidos
Los controles transgredidos son los controles generales ya que como se dijo en el hallazgo
anterior no hay una segregación de personal dentro de la estructura orgánica de la empresa,
además son también transgredidos los controles de aplicación debido a que los controles de
aplicación tienen relación con la segregación pero de las funciones del negocio,y se puede
observar que hay una persona que está a cargo de 2 áreas de gran importancia en la
empresa, situación que no se puede dar en una organización por el conflicto de intereses
que esto puede generar.

Recomendación
Establecer un sistema óptimo de segregación de funciones, estableciendo bajo una política
o normativa las responsabilidades y obligaciones de cada cargo dentro de la organización.

5) Debilidad
En las sucursales no existe área de desarrollo de sistemas (área en donde se desarrollan las
actividades de mantención) obstaculizando el desarrollo óptimo de los sistemas en las
plantas de producción.

Controles transgredidos
En este punto los controles transgredidos son los generales, y los de aplicación, en cuanto a
los de aplicación se ven transgredidos los controles preventivos, los controles correctivos, y
los controles detectivos, debido que no hay mantención de los sistemas.

Recomendación
En cada sucursal debe instaurarse un área de desarrollo de sistemas, debido a que es aquí
donde se puede transgredir la seguridad de la información, que es el principal activo de la
empresa.

6) Debilidad
La adquisición de los nuevos sistemas computacionales fue hecha por un abogado no
experto en sistemas de información, que tiene conocimiento en comercio exterior.

Controles transgredidos
Los controles transgredidos son los controles generales debido a que estos controles tienen
relación con la implementación de los sistemas de información.

Recomendación
Establecer la asignación de cargos y responsabilidades según las habilidades y capacidades
del personal, estipulándolo en la normativa interna de la organización.

7) Debilidad
Riesgo en que los dispositivos de respaldo de energía, y del ambiente de control físico se
encuentra en la bodega del segundo subterráneo junto a la C.P.U. del DiongDu 340, debido
que ante cualquier siniestro ya sea de incendio o inundación estos dispositivos de tan
importancia para el funcionamiento de la empresa quedan expuestos y sin resguardo.
Controles transgredidos
Los controles transgredidos son los controles generales, que tienen relación con la
infraestructura, más específicamente atenta contra la continuidad del negocio en caso de
catástrofe.

Recomendación
Cambiar de lugar físico de los respaldos de energía, del ambiente de control y la C.P.U. del
DiongDu 340 a un lugar externo u otro que no sea el subterráneo.
Establecer una política de seguridad para un mayor resguardo de los equipos y la C.P.U de
la empresa.