Caso “JUMBO”

En base al caso Jumbo detectar 6 debilidades, separando por cada una de ellas:
-Contexto
-Debilidad, riesgo o hallazgo
-Recomendación

1) Plan Informático del Grupo con plazos excesivos.

Contexto
La cadena de Supermercados Jumbo elaboró
su Plan Estratégico Organizacional con una
duración de 5 Años y en base a este se formuló
el Plan Informático del grupo con una duración
de 8 años.

Debilidad, Riesgo o hallazgo El horizonte del Plan Informático contempla

Riesgo de Planificación Informática (Plan
Informático y Comité de Informática)
un periodo de 8 años lo cual es un tiempo
excesivo. Es de alto riesgo presentar planes
informáticos superiores a 5 años, tomando en
cuenta la complejidad de los cambios en todo
ámbito, la tecnología de la información está en
constante cambio y en consecuencia sufren
obsolescencia tecnológica, lo que a su vez
implica un deterioro en las inversiones
proyectadas

Recomendación Un plan informático formal debe contemplar

un horizonte que alcanza un período variable
entre 3 y 5 años dependiendo del tamaño de
la organización. No obstante, el mismo debe
ser revisado por lo menos en períodos
anuales, y reformulado cada vez que se
modifiquen en forma sustancial los objetivos y
metas planteadas por el nivel Directivo de la
organización por lo que se recomienda que sea
replanteado el horizonte del plan ya que es
excesivo.
 2) Facultades del jefe de Informática Corporativo
Contexto
Debilidad, Riesgo o hallazgo
Riesgo en la Organización y dependencia
Funcional de Área de Informática
Recomendación
Supermercados Jumbo es una organización
de aproximadamente 2.250 empleados de los
cuales 175 son profesionales de alto nivel de
preparación y dependientes directamente del
Jefe de Informática Corporativo, único
representante dentro del área tecnológica con
autoridad.
Falta de segregación de Funciones y la
dependencia del área informática de una
gerencia Operativa como lo es el Jefe de
Informática Corporativo; El plan Informático
Involucra Inversiones significativas para la
organización en recursos económicos y
humanos por lo que es necesario limitar las
atribuciones en la toma de decisiones
unilaterales al personal relacionado
directamente con las áreas beneficiadas al
desarrollo
Establecer Límites en las atribuciones de
competencia en las tomas de decisiones que
manifiesten posibles riesgos de conflicto de
interés que atenten contra la mejor decisión
para el desarrollo y cumplimiento de los
objetivos de la organización
Es importante promover la participación activa
de las áreas beneficiadas con los servicios de
información, asegurando así, que se toman
decisiones correctas y acertadas que cumplan
con las necesidades reales y potenciales
 3) Manejo de contingencia en forma confidencial
Contexto
Debilidad, Riesgo o hallazgo
Omisión de información por sobre el interés y
objetivos de la organización
Recomendación
El Jefe de Informática Corporativo, fue
informado por sus dos únicos subalternos con
atribuciones formales (encargado de
explotación de sistemas y encargado de
desarrollo de sistemas respectivamente), de
fugas de equipos lectores de barras para los
productos del supermercado, y de
las bases de datos (información) de
proveedores y de precios (ambos desde el
supermercado de Bilbao). Al respecto el jefe
de Informática Corporativa decidió
manejar esta situación en forma interna para
evitar confusiones y “ruidos” innecesarios en
la organización.
La fuga de información y ocultamiento por
parte de un personal de confianza como lo es
el Jefe de Informática Corporativo deja claro el
riesgo que al cual está exponiendo a la
organización ya que esta colocando sus
intereses personales sobre la defensa correcta
de la seguridad de la empresa.
El ocultamiento de hechos que atentan
gravemente al crecimiento y desarrollo de la
organización deja claro que las políticas de
control interno no están siendo las correctas.
Implementación de medidas necesarias de
evaluación del personal con cargos de
confianza, procesos tendientes a detectar
desviaciones con los requisitos para cada
cargo. La rotación del personal elimina el
riesgo de seguridad del puesto.
Una recomendación importante es abrir
canales de comunicación para que personas
de cargos bajos puedan reportar
irregularidades en el departamento.
 4) Desarrollo de Proyectos Informáticos, reportados solo al final

Contexto Los Supermercado Jumbo poseen dos

configuraciones computacionales idénticas de
grandes magnitudes de procesamiento (Host o
Mainframe comunicadas entre sí para
compartir dispositivos e información). En las
instalaciones se efectúan labores de desarrollo
y explotación de sistemas para optimizar el
uso de los equipamientos. El desarrollo de
proyectos informáticos es reportado al jefe de
Explotación de Sistemas sólo cuando éstos
están terminados.

Debilidad, Riesgo o hallazgo Los desarrolladores de sistemas tienen como

Posibles distorsiones y sobre evaluaciones en
costos.
política, informar al jefe de explotación de
sistemas cuando los mismos están terminados
sin que este tenga la posibilidad de evaluar su
evolución, necesidad y alcance.
Los altos costos de horas hombre en el
desarrollo de sistemas es un tema relevante
en la organización. Los desarrolladores de
sistemas no están facultados para medir las
necesidades de la organización, esto eleva el
riesgo de que se pueda estar invirtiendo
recursos en sistemas que no cumplan con las
necesidades reales de la entidad.

Recomendación Cambio en los procedimientos de creación,

evaluación y autorización de proyectos
informáticos, hacer participe a las distintas
áreas usuarias con necesidades de desarrollo
de sistemas.
Dotar al jefe de Explotación de sistemas, de las
atribuciones necesarias para validar la
creación de nuevos sistemas, coherentes con
las necesidades de la organización, con la
capacidad de potencias el sistema principal de
acuerdo con las circunstancias y
requerimientos.
 5) Pruebas parcializadas en la implementación final del sistema

Contexto Debido a la premura por implantar los nuevos

sistemas desarrollados se ha establecido como
practica efectuar al momento de su
implantación sólo una prueba global de ellos y
que sean los auditores computacionales o los
usuarios quienes posteriormente y según
necesidades desarrollen pruebas más
detalladas para verificar la construcción de
sistemas de información, donde ellos también
participan en el diseño,
construcción e implementación.

Debilidad, Riesgo o hallazgo En la necesidad de cumplir con los tiempos de

Implementación de sistemas deficientes
entrega de los sistemas, se realizan
implementaciones deficientes y de baja
calidad en la información entregara el sistema.
No se realizan las pruebas preventivas antes
de la implementación para evitar errores e
inconsistencias en la información.

Recomendación Coordinar con la Jefatura de Informática

Corporativa, un plan preventivo, el cual debe
abarcar la forma en que se esta realizando las
pruebas y funcionamiento con el fin de
disminuir al máximo los errores que puedan
existir en el desarrollo. Realizando las pruebas
suficientes antes de la implementación del
sistema, se logran evitar paralizaciones de
funciones de los usuarios a futuro, que se
traduce en pérdidas en la productividad y
eficiencia de los recursos tanto económicos
como humanos
 6) Sistemas descentralizados e independientes

Contexto Los sistemas de remuneraciones, contabilidad,

control de stock, control de caja, tesorería,
inventarios, etc. Son sistemas descentralizados
e independientes.
Todos ellos de acuerdo con requerimientos
propios e independientes.

Debilidad, Riesgo o hallazgo Un sistema descentralizado dentro de una

Probabilidad de distorsión en la información
final
organización corre el riesgo que dicha
información sea manipulada y alterada por
error o intencionalmente antes de que esta
sea recibida y revisada por las áreas
controladoras y la alta dirección

Recomendación Coordinar con la Jefatura de Informática

Corporativa, un plan de conectividad que
abarque a las áreas de todos los locales en un
mismo sistema centralizador, con ello se hace
veraz la información proporcionada y la
eficiencia es mayor y rápida al estar en un
único sistema. Siempre velando porque es
sistema centralizador cuente con la mayor
seguridad usuarios con perfiles definidos y
parametrización de la información.