PROGRAMA DE AUDITORIA Caso “JUMBO”
TRABAJO PRESENTADO POR: Carolina Fuenzalida Leiva Cesar González CARRERA: Contador Auditor, 7º Trimestre, año 2018 PROFESOR: Eduardo Leyton G. FECHA: 14 de Mayo, 2018
1
ÍNDICE
IDENTIFICACIÓN DE CLIENTE ................................................................................................. 3 I. ANTECEDENTES GENERALES ........................................................................................... 3 1.1 Objetivo General .................................................................................................................... 3 1.2 Objetivos Específicos .............................................................................................................. 4 1.3 Alcance de la Auditoría .......................................................................................................... 5 1.4 Metodología .............................................................................................................................
5
II. OPINIÓN GENERAL ........................................................................................................... 6 III. OBSERVACIONES Y RECOMENDACIONES DETALLADAS ................................... 9 3.1 Planes de Desarrollo Tecnológico con plazos excesivos. ................................................ 9 3.2 Facultades de la Jefatura de Informática Corporativo ...................................................... 10 3.3 Deficiencia en la revelación de información de las Áreas de Apoyo ................................. 11 3.4 Dependencia errónea de la Jefatura de Informativa Corporativo ................................. ... 11 3.5 Perdida de Equipos e Información confidencial ................................................................. 13 3.6 Manejo de Contingencias en forma Confidencial .............................................................. 14 3.7 Desarrollo de Proyectos Informáticos, reportados solo al final ........................................ 15 3.8 Pruebas parcializadas en la implementación final del sistema. .................. ................. ...... 16 3.9 Sistemas Descentralizados e Independientes. ...................................................................... 17 3.10 Adquisiciones y Autorizaciones de herramientas te información. .................................. 18 CONCLUSIONES ...........................................................................................................................
2
19
Centros Comerciales Sudamericanos S.A. Supermercados Jumbo Auditoria de Sistema Computacional
IDENTIFICACIÓN DE CLIENTE JUMBO la cadena de supermercados líder en el negocio minorista y actualmente con expansión al rubro del retail a nivel nacional, perteneciente al holding de las empresas Centros Comerciales Sudamericanos S.A. (CENCOSUD), JUMBO es una empresa que se preocupa en tener productos y servicio de calidad, con el objeto de marcar una clara diferencia respecto a sus competidores más cercanos.
I.
ANTECEDENTES GENERALES 1.1.
Objetivo General
El objetivo de este Informe de Auditoria, es evaluar de forma objetiva la relación entre el Plan Estratégico referido a tecnologías de información y las gestiones a realizar para el cumplimiento del plan propuesto por la alta dirección y entregar una opinión razonable de acuerdo a la información analizada. El alto nivel de inversiones involucradas en el desarrollo y logro de los objetivos propuestos, hace necesario analizar profusamente las necesidades, las estrategias y las tecnologías a implementar como así los posibles impactos y resultados finales.
3
1.2.
Objetivos Específicos
Para el cumplimiento de los objetivos generales de este informe, se consideró el cumplimiento de los siguientes objetivos específicos:
Conocer y tomar en consideración los principales aspectos técnicos y de gestión actuales, identificando las causales para proponer el Plan Informático.
Evaluar el tiempo considerado para el desarrollo e implementación de las tecnologías propuestas.
Evaluar las tecnologías propuestas para el Plan Informático y la metodología a utilizar para su desarrollo.
Evaluar los procedimientos internos actuales de la organización relacionado con el uso y seguridad de las tecnologías, su utilización y los responsables de promoverlos.
La calidad del recurso humano, el compromiso que entregaran al plan, así como las competencias y conocimientos de cada uno de los involucrados al proyecto.
Conocer la estructura organizacional (organigrama), relacionada con las jerarquías y funciones de los distintos mandos de las áreas beneficiadas por el plan.
Las necesidades actuales y futuras de los clientes internos y externos de la organización para lograr un adecuado nivel de satisfacción.
4
1.3.
Alcance de la Auditoría
El Examen de la información, se basa en un análisis exhaustivo al Plan Estratégico de La cadena de Supermercados Jumbo y sus sucursales Jumbo de Kennedy y de Bilbao, se analizan las distintas áreas dentro de la organización, la forma en que se verán afectadas en el futuro, en el orden tecnológico - sistémico como de gestión y procedimientos a implementar. El Examen analiza además, los procedimientos internos referidos a la seguridad de la información, la calidad del recurso humano, los recursos con los que dispone la organización y el compromiso de las personas involucradas (en el plan) hacia y con la organización.
1.4.
Metodología
Para el desarrollo de la auditoria, se utilizó la siguiente Metodología:
Obtención de información de manuales y documentación de los sistemas existentes en la empresa (programas informáticos, manuales, etc.)
Identificación de normas internas en materia de seguridad de la información.
Entrevista con personas claves en la organización; altos mandos, subordinados y externos que prestan servicios.
Aplicación de encuestas con preguntas abiertas y cerradas, a objeto de conocer la opinión de los usuarios del sistema.
5
Aplicación de pruebas de cumplimiento a objeto de evaluar la existencia de controles internos en materia de sistema de información, el cumplimiento y el conocimiento de los mismos por parte del personal.
Aplicación de pruebas de sustantivas a objeto de evaluar la capacidad del sistema para resguardar y garantizar la información.
II.
OPINIÓN GENERAL
De acuerdo las evaluaciones realizadas y análisis al Plan Estratégico del holding, del cual se desprende el Plan Informático del grupo, logramos identificar diversas situaciones. Entre ellas rescatamos las Oportunidades que Jumbo tiene para lograr cumplir con sus objetivos claves debido a que posee el financiamiento y la estructura para lograrlo. También logra entender las necesidades de actualizar los sistemas de información para ir a la vanguardia de los tiempos modernos. Para la organización significa una gran apuesta de inversión, la cual, se puede poner en riesgo debido a las debilidades evidenciadas, las que nombramos a continuación:
1. El Plan Estratégico Organizacional, tiene un lapso de tiempo de 5 años plazo, extendiéndose a 8 años para El Plan informático propuesto para los supermercados Jumbo. Los estudios previos de evaluación deben prever que los planes sobre 2 años de extensión, presentan altos riesgos de obsolescencia tecnológica e implican una alta probabilidad de deterioro en las inversiones proyectadas. 6
2. El Plan fue aprobado de forma unilateral por el Jefe de Informática Corporativo con la aprobación de los gerentes que componen el comité. Estas decisiones unilaterales provocan serios riesgos, debido al desconocimiento de las necesidades de las áreas (que no son relacionadas con informática) en las cuales se implementará el plan. 3. El hermetismo de información que se centraliza en el área de Informática, propicia un ambiente de alto riesgo. Los auditores internos no tienen el control de la información que se desprende del área. Lo cual permite que no se estén protegiendo los principales activos de la compañía, como; Los Activos Fijos (Hardware) e Intangibles (Software, Base de Datos) además del Personal Informático.
4. El área de Informática pertenece a la Gerencia de Operaciones Comerciales, lo cual en rigor no corresponde. Los beneficios contemplados dentro de un cambio tecnológico pueden ser en desmedro de otras áreas de apoyo. El área de informática debe ser independiente dentro de la organización, dependiendo de una Dirección de Informática o de la Gerencia General. 5. Un buen funcionamiento del área de informática, no solo involucra una adecuada jefatura y administración de información. El resguardo de equipos y activos es indispensable para el buen funcionamiento de la empresa a nivel global. Todo bien tiene un valor monetario y en su adquisición se han dispuestos recursos de toda índole. Al detectar fugas en equipos e información, deja en evidencia una gran debilidad en la seguridad del área del supermercado de Bilbao. La Alta dirección debe evaluar cómo está funcionando el área, reestructurar el área y desvincular al personal involucrado por omisión, si corresponde. 6. Dentro de una organización de la envergadura de Cencosud, específicamente el supermercado Jumbo, debe existir cruce de información para lograr evaluar posibles desviaciones y evitar riegos entre las jefaturas y la alta dirección. Actualmente se ha detectado que no existe control sobre todos los proyectos informáticos en proceso, solo se conocen los que han sido terminados, desconociéndose el costo real actual involucrado, lo anterior esto puede tener un alto impacto de los recursos de la empresa: 7. Los proyectos no son autorizados y no se controla el presupuesto que se utilizara para el desarrollo de estos. 8. Cada sucursal trabaja independiente realizando labores de desarrollo y explotación. 7
9. En el desarrollo de nuevas tecnologías en la organización, siempre debe existir un número de personas capaces de poder cumplir con los objetivos del plan y evitar contingencias siendo de contraparte en caso que alguno falle. Dentro de la organización, se detectó que no se está respetando los perfiles de cargo de los encargados de explotaciones y desarrollo ambos trabajan realizando las mismas labores y no supervisando cada uno el área que corresponde. Lo cual no existe independencia de ambos. 10. Los desarrolladores de sistemas deben tener la certeza de que los sistemas, al momento de la implementación, estos funcionarán con el mínimo porcentaje de errores. Para ello deben realizar las pruebas pertinentes y necesarias para detectar posibles fallas, corregirlas en caso que hubiesen y reevaluando las necesidades. En el desarrollo de los sistemas, se detectó que no se hace en conjunto con los usuarios finales, además solo se realiza una sola prueba de los nuevos sistemas junto a los auditores informáticos. Esto puede tener un impacto muy alto provocando inconsistencias y errores en la información. 11. Se detectó que existen distintos sistemas que se procesan de forma descentralizada. Estos corresponden a los de remuneraciones, contabilidad, inventarios, control de caja, tesorería. Debido a ello, no se logra obtener información centralizada, integral y consistente, perjudicando el control interno, la eficiencia y las gestiones de las áreas estratégicas de la compañía. 12. Se detectó que desde las jefaturas, existe una autorización que permite a los usuarios finales, adquirir distintos software de procesadores de texto y planillas de cálculo para determinar cuáles son más aplicables y amistosos. Esta autorización permite utilizar recursos de la compañía sin control alguno en los gastos incurridos en cada adquisición. Adicional, la política informática no está considerando los costos de Hardware y RRHH para cada explotación de sistema, lo cual es erróneo ya que afectará el valor del activo final del proyecto, desvirtuándolo.
8
III.
OBSERVACIONES Y RECOMENDACIONES DETALLADAS
3.1 Planes de Desarrollo Tecnológico con plazos excesivos. a) Descripción del Hallazgo: Plan Informático del grupo a 8 años. El plan estratégico Organizacional de Jumbo tiene un lapso de tiempo de 5 años, el cual se extiende a 8 años con el Plan Informático del Grupo.
b) Análisis de Riesgo: El Plan Informático del Grupo excede lo recomendado. El Plan Informático, proyectado a un desarrollo de 8 años, está contemplado a un plazo de tiempo excesivo. Es de muy alto riesgo presentar planes de desarrollo informático superiores a 18 meses, teniendo en consideración la complejidad de los cambios en todo habito, las tecnologías de la información están constante cambio y en consecuencia sufren obsolescencia tecnológica, lo que a la vez implica un deterioro en las inversiones proyectadas.
c) Opinión del Auditor: Planes Informáticos cortos y dinámicos. Los encargados del proyecto (alto mando y dirección), deben tener el máximo cuidado en el desarrollo comercial y el sistema de información organizacional, los cuales deben ser adecuados para el logro de sus objetivos corporativos. El Sistema debe der dinámico, permitir entregar información oportuna, confiable y clara para el análisis y toma de decisiones. Por otro lado, el Plan Informático debe ser flexible a los cambios de tecnologías para mitigar el riesgo y lograr los objetivos.
d) Recomendación del Auditor: Reducción de Plazos y asesoría especializada. Se recomienda a la alta dirección, efectuar Planes Informáticos no superiores a 18 meses en conjunto con los objetivos del Plan Estratégico Organizacional, asesorarse en entidades especializadas en tecnologías de la información formando alianzas estratégicas de beneficio y crecimiento en común. 9
3.2 Facultades de la Jefatura de Informática Corporativo a) Descripción del Hallazgo: El Plan Informático del Grupo aprobado de forma inmediata por el jefe de informática corporativo. El jefe de informática Corporativo, tiene la facultad de aprobar el Plan Informático del Grupo a 8 años.
b) Análisis de Riesgo: Conflicto de intereses en la toma de decisiones unilaterales. El Plan Informático involucra inversiones significativas para la organización, en recursos económicos y humanos, por lo que es necesario limitar las atribuciones en la toma de decisiones unilaterales al personal relacionado directamente con las áreas beneficiadas al desarrollo e implementación nuevas tecnologías.
c) Opinión del Auditor: Los Jefes de Informática deben tener opinión pero no la decisión final. Las decisiones del Plan Informático deben alcanzar a distintos niveles jerárquicos de la organización, desde las jefaturas directas hasta la alta dirección, además de quienes hacen usos de los sistemas. En el caso de las Jefaturas directas solo deben asesoraran en el proceso sin tener la facultad de tomar decisiones finales. De esta manera se disminuye considerablemente el riesgo de implementar tecnologías innecesarias e ineficientes.
d) Recomendación del Auditor: Establecimiento de atribuciones en jefaturas. Se recomienda a la alta dirección, establecer límites en las atribuciones de competencia en las tomas de decisiones que manifiesten posibles riesgo de conflicto de interés que atenten contra la mejor decisión para el desarrollo y cumplimiento de los objetivos de la organización. Es necesario promover una participación activa de las áreas beneficiada con los servicios de información, asegurando así, tomar las decisiones correctas para las necesidades reales y potenciales. 10
3.3 Deficiencia en la revelación de información de las Áreas de Apoyo a) Descripción del Hallazgo: Reportes de los subordinados herméticos. El Jefe de Informática Corporativa tiene a su cargo 175 funcionarios del área de sistemas, quienes reportan directamente a su jefatura, los cuales forman un hermetismo en la información que se centraliza en un único representante dentro del área tecnológica. Esta forma de mando, genera un ambiente propicio y de alto riesgo que atenta contra la descentralización de funciones.
b) Análisis del Riesgo: Una dependencia única provoca malas decisiones. De acuerdo al hallazgo indicado anteriormente, esta dependencia puede provocar situaciones de riesgo con escenarios de ineficiencia o falta de probidad, atenta contra la transparencia y puede provocar serios daños a la organización.
c) Opinión del Auditor: Jefatura de Informática que revelen su información. Las áreas de informática deben depender de la Gerencia General y no solo de un Jefe de Informática Corporativa, de esta forma se garantiza la transversalidad. Cencosud (Jumbo) debe visualizar que su éxito actual, se lo debe a un de sus pilares fundamentales que es el manejo de la información y su mejora continua. La actual dependencia del área de sistemas, expone a altos riesgos el natural desarrollo y transparencia de mejoras ante fallas y necesidades de cambios.
d) Recomendación del Auditor: Redefinir dependencia jerárquica (Informática). Se recomienda a la alta dirección, redefinir la dependencia de las áreas de Sistemas de Información y ligarla directamente a la Gerencia General acompañada del apoyo, respaldo y confianza necesaria para un adecuado desarrollo, así se logra la mayor transparencia en el trabajo de las áreas de sistemas en todos los niveles de atención.
3.4 Dependencia errónea de la Jefatura de Informativa Corporativo 11
a) Descripción del Hallazgo: Área de Apoyo depende de Área de producción. Actualmente los profesionales de las áreas de información (ingenieros de sistemas, analistas, desarrolladores, electrónicos especialistas en hardware y sistemas de comunicación, operadores de consola, ingenieros de ejecución en computación programadores, expertos en redes y digitadores), tienen una dependencia errónea del Jefe de informática Corporativo que su vez depende de la Gerencia Comercial, esto provoca un desequilibrio en la funciones de servicio y apoyo a la organización.
b) Análisis del Riesgo: Desmedro en las demás áreas de Apoyo. La dependencia de solo la Gerencia Comercial, provoca un desequilibrio de atención a las distintas áreas dentro de la organización, los mejores recursos se entregaran a las áreas comerciales y/o productivas ya que son los generadores de riquezas, las demás solo corresponden al apoyo de las gestiones (áreas de apoyo). Con lo anterior, el crecimiento será en desmedro hacia el Área Comercial, lo que afecta negativamente en los resultados y objetivos propuestos por la alta dirección.
c) Opinión del Auditor: Reestructuración de área de Informática. La Gerencia General debe ser el encargado de liderar las áreas de información, así se garantiza un crecimiento equitativo dentro de la organización. Sistemas de información dependientes de áreas comerciales solo pueden llevar a la organización a un desequilibrio interno y a un estilo basado solo en el logro de metas comerciales en desmedro de las demás áreas que dan soporte.
d) Recomendación del Auditor: Cambio de dependencia. Se recomienda a la alta dirección, un cambio de dependencia de las áreas de sistemas de información de la Gerencia Comercial a la dependencia de la Gerencia General, esto garantizara un justo crecimiento, servicio y cobertura de necesidad a todo nivel garantizando la transversalidad de toda la organización. 12
3.5 Perdida de Equipos e Información confidencial a) Descripción del Hallazgo: Perdida de Equipos y extracción de Bases de Datos. Se han detectado fugas de equipos de alto costo, el cual es de uso primordial para el correcto ingreso de información operativa diaria. Adicional la extracción de información confidencial de la organización sin autorización (bases de datos), una clara señal que alerta las graves fallas que tiene el área de sistemas. b) Análisis del Riesgo: Seguridad deficiente. La pérdida de equipos de alta tecnología, dificultan las labores diarias del supermercado. Estas herramientas son primordiales para la correcta corriente de entrada de información a los sistemas, además, no es admisible la perdida de equipos sin un responsable. Por otro lado, la información es el intangible más importante dentro de la organización y para la toma de decisiones de la alta dirección. Durante la vida de la organización, ha debido lograr diversas etapas de crecimiento y esfuerzo que lo han distinguido en el mercado. c) Opinión del Auditor: Procedimiento para el resguardo de información y equipos. La fuga de información como la pérdida del equipo lector de barras da a entender una falta de procedimientos estructurados y estrictos, esta es una de las observaciones de más alto riesgo en la organización, puesto que deja entrever que el hecho puede volver a ocurrir con un alto nivel de probabilidades con graves consecuencias. Existe la necesidad imperiosa de hacer reformas en las áreas afectadas tanto en procedimientos como en un análisis de la idoneidad del recurso humano a cargo. d) Recomendación del Auditor: Reestructuración del área y redefinir procesos. Se recomienda a la alta dirección, realizar un estudio profundo en las áreas afectadas, la fuga de información es un hecho de alto riesgo, trayendo consecuencias económicas a la organización. Se deben redefinir los procedimientos y reevaluar al recurso humano, para así, lograr lo antes posible la seguridad y confianza de las áreas comprometidas y por ultimo ocupar la experiencia como referente de prueba al resto de la organización.
13
3.6 Manejo de Contingencias en forma Confidencial a) Descripción del Hallazgo: Manejo de Contingencias de forme negligente. La fuga de información fue manejada por el Jefe de Informática Corporativo quien ocultó el hecho y poniendo sus intereses personales por sobre la defensa correcta de la seguridad de la empresa, hechos de los cuales él debe proteger con prioridad absoluta.
b) Análisis del Riesgo: Omisión de Información por sobre el interés y objetivos de la organización. El Jefe de Informática Corporativo es en empleado de alto nivel de confianza para la organización, su misión primordial es velar por la continuidad, confiabilidad, consistencia y coherencia, cumplimiento y sobre todo custodia y confidencialidad de la información de la organización, antes los hechos ya descritos el Jefe de Informática Corporativo no ha cumplido con sus deberes, pilares de sus obligaciones, poniendo en riesgo severo a la organización.
c) Opinión del Auditor: Falta de compromiso de Jefe de Informática. El ocultamiento de hechos que atentan gravemente al crecimiento y desarrollo de la organización tiene un nivel de riesgo alto, la pérdida de su información deja como enseñanza imponer un constante proceso de avaluación de los cargos de confianza, su compromiso, el aporte al logro de los objetivos transparencia en su gestión.
d) Recomendación del Auditor: Implementación de medidas correctivas al RRHH. Recomendamos a la alta dirección, implantar las medidas necesarias de evaluación del personal con cargos de confianzas, procesos tendientes a detectar desviaciones con los requisitos para cada cargo. La rotación del personal elimina el riesgo de seguridad del puesto y la consiguiente pereza laboral. Otra medida es dar las oportunidades dentro del marco de reserva y confidencialidad al personal de menor rango ante el comunicado de hechos que puedan afectar a la organización y de los cuales se vean involuntariamente involucrados. 14
3.7 Desarrollo de Proyectos Informáticos, reportados solo al final a) Descripción del Hallazgo: Falta de información en el desarrollo de los proyectos. Los desarrolladores de sistemas tienen como política personal, informar al jefe de explotación de sistemas cuando los sistemas informáticos ya están terminados sin que este tenga la posibilidad de evaluar su evolución, necesidad y alcance.
b) Análisis del Riesgo: Posibles distorsiones y sobre evaluaciones en costos. Los altos costos de horas hombre en el desarrollo de sistemas es un tema relevante en la organización. Los desarrolladores de sistemas no están facultados para medir las necesidades de la organización, agotan así los recursos que deberían ser ocupados de mejor manera. De lo anterior, existe la posibilidad de que estos sistemas no cumplan con las necesidades reales de la entidad.
c) Opinión del Auditor: Implementación de pruebas y procedimientos. Los nuevos sistemas de información desarrollados internamente, deben pasar por etapas de revisión y control desde su gestación, la evaluación de su necesidad, las áreas que abarcaran las pruebas a que deben ser sometidos, son etapas que garantizaran su funcionamiento. La forma en cómo se generan actualmente estos sistemas, eleva el riesgo de mal uso de recursos que siempre son escasos y que podrían aportar mejor ante el estudio critico de su creaciones en áreas de real necesidad a través de su desarrollo e implementación.
d) Recomendación del Auditor: Validaciones de avances en los proyectos. Recomendamos a la alta dirección, un cambio en los procedimientos de creación, evaluación y autorización de proyectos informáticos, hacer partícipe las distintas aéreas usuarias con necesidades de desarrollo de sistemas. Dotar al Jefe de Explotación de Sistemas las atribuciones necesarias para validar la creación de nuevos sistemas, coherentes con las necesidades de la organización, con la capacidad de potenciar el sistema principal de acuerdo a las circunstancias y requerimientos. 15
3.8 Pruebas parcializadas en la implementación final del sistema. a) Descripción del Hallazgo: Deficiencia en las pruebas realizadas antes de implementación de nuevos sistemas. Los desarrolladores de sistemas debido a la premura por el desarrollo de nuevas tecnologías e implementación de nuevos sistemas, desligan sus responsabilidades de revisión y pruebas de funcionamientos a los auditores computacionales y usuarios finales. b) Análisis del Riesgo: Implementaciones de sistemas deficientes. En la necesidad de cumplir con los tiempos de entrega de los sistemas, se logra identificar una pobre implementación y calidad deficiente en la información que entregará el sistema. El área de sistemas debe procurar realizar las pruebas preventivas antes de la implementación para evitar errores e inconsistencias en la información. c) Opinión del Auditor: Establecer procedimientos de pruebas estandarizadas Los nuevos sistemas de información, deben pasar por etapas de revisión y control desde su gestación, para evaluar posibles fallas y minimizando las futuras mantenciones lo cual se traduce en una disminución de costos a futuro para la organización. Estas etapas garantizaran el funcionamiento exitoso en el tiempo, con lo cual se logra el equilibrio de las labores de los auditores informáticos, quienes se deben dedicar exclusivamente a examinar la calidad de información que entrega el sistema, apoyando en las mejoras que se deben efectuar en el tiempo. d) Recomendación del Auditor: Establecer planes preventivos de implementación. Se recomienda a la alta dirección, coordinar con la jefatura de Informática Corporativa, un plan preventivo, el cual debe abarcar la forma en que se están realizando las pruebas de funcionamiento, con el fin de disminuir al máximo los errores que puedan existir en el desarrollo. Realizando las pruebas suficientes antes de la implementación del sistema, se logran evitar paralizaciones de funciones de los usuarios a futuro, que se traduce en pérdidas en la productividad y eficiencia económica.
16
3.9 Sistemas Descentralizados e Independientes. a) Descripción del Hallazgo: Información dispersa. Los sistemas implementados y que procesan información, se encuentran descentralizados, entre estos están los de remuneración, contabilidad, control de stock, control de cajas, tesorería e inventario. Esto de acuerdo a los requerimientos propios e independientes de cada sucursal de los supermercados Jumbo de Kennedy y Bilbao, según para una eficiente descentralización de los recursos.
b) Análisis del Riesgo: Probabilidad de distorsión en la información final. Un sistema descentralizado dentro de una organización al nivel de Jumbo, no es factible ya que la información que proporcionan los locales, puede ser manipulada y alterada maliciosamente, antes que esta pueda ser recibida por las áreas controladoras y la alta dirección.
c) Opinión del Auditor: Unificación de información. Los locales mencionados, deben estar conectados entre sí al igual que las demás sucursales. Cada información proporcionada y digitalizada por las distintas áreas indicadas, deben llegar a un mismo sistema centralizador central, para así poder llevar el control de las operaciones en tiempo real, facilitar las labores de las áreas como la Control de Gestión y Auditoria Interna, lograr materializar posibles fallas en el sistema y regularizarlas en el menor tiempo posible.
d) Recomendación del Auditor: Establecer planes de enlaces entre locales. Se recomienda a la alta dirección, coordinar con la Jefatura de Informática Corporativa, un plan de conectividad que abarque a las áreas de todos los locales en un mismo sistema centralizador, con ello se hace veraz la información proporcionada y la eficiencia es mayor y rápida al tener un único sistema. Se hace mención de la seguridad que debe tener el sistema centralizador central, con énfasis en las cuentas de usuarios definidas de acuerdo a sus labores y su parametrización para el manejo de la información adecuada. 17
3.10 Adquisiciones y Autorizaciones de herramientas te información. a) Descripción del Hallazgo: Autorizaciones erróneas en la adquisiciones de sistemas. La empresa está pensando en cambiar sus procesadores de textos y planillas de cálculos, por lo que se ha autorizado a los usuarios a conseguir estor productos de distintos proveedores a objeto de determinar cuáles son más aplicables y amistosos.
b) Análisis del Riesgo: Selecciones errores, encareciendo los proyectos organizacionales. El plan propuesto por la empresa, es factible y enriquecedor si todo se lleva de acuerdo a un plan y organización por parte de todas las áreas que se verán beneficiadas por este cambio. Actualmente la empresa está delegando una gran responsabilidad a los usuarios, quienes no son especialistas en las áreas de las tecnologías para la selección de herramientas corporativas, lo cual puede llevar a una selección errónea y afectar a toda la organización negativamente.
c) Opinión del Auditor: Establecer roles responsables en el área de adquisiciones. En la adquisición de bienes y servicios para la entidad, se debe realizar un estudio minucioso del sistema actual y las repercusiones de sus cambios a futuro, enfatizando todo lo que conlleva un cambio de esta índole, sobretodo su es en forma macro. Para lo anterior debe existir personal capacitado y especializado en los cambios tecnológicos.
d) Recomendación del Auditor: Elaborar planes de factibilidad en la organización. Se recomienda a la alta dirección y a las áreas consideradas para este cambio de herramientas tecnológicas, llevar a cabo un estudio de factibilidad, comenzando con reuniones, apuntando las opiniones de los distintos usuarios y sus funciones o tareas realizadas con estas herramientas (procesadores de textos y planillas de cálculo). De lo anterior se debe recabar las necesidades de cada uno y llevarlo a un esquema y sistema único que cumpla con todos los requerimientos. Todo lo anterior con personal capacitado y que posean conocimientos técnicos actualizados en herramientas tecnológicas. 18
CONCLUSIONES Después de aplicar nuestros procedimientos y herramientas de Auditoria en el Plan Estratégico del Holding referido a los cambios de Tecnologías de Información para el Supermercados Jumbo y sus sucursales, podemos concluir que se han detectado actualmente diversas debilidades y amenazas, que impedirán en el futuro próximo el logro de los objetivos propuestos para la organización. Actualmente, La cadena Jumbo, tiene la oportunidad de reorganizar su estructura empresarial, fortaleciendo sus deficiencias en el Área de Informática y los Sistemas de Información. Además, el desarrollo del Plan Informático para Jumbo, podrá ser viable, controlable y evaluable, evitando riegos y contingencias innecesarias, entregando un valor agregado a sus activos y al factor humano de las áreas involucradas en los cambios tecnológicos. Como resultado de lo anterior, el área de Informática será un aliado estratégico poderoso para la compañía en la entrega de información y gestión de la misma, aportando en el logro de los objetivos propuestos por la organización, proyectando la vida de Jumbo en el tiempo y convirtiéndolo en modelo a seguir para las empresas del rubro minorista con sus políticas y controles internos implementados de forma diligente. Lo anterior, será posible si la organización y la alta dirección toman en consideración nuestras posibles soluciones, recomendaciones y humilde opinión. De esta manera podrán lograr la consecución de los objetivos propuestos y satisfacer la necesidad de actualización de tecnologías de forma óptima, eficiente y eficaz para Cencosud y Jumbo.
19