Pre-Informe de Auditoria

Caso Jumbo

1
 13 de mayo de 2019

TABLA DE CONTENIDO

1. ANTECEDENTES GENERALES…………………..………………………………. 3.-

1.1 Objetivos Generales………………………..………………………………...………3.-

1.2 Objetivos Específicos………………………………………………..………………3.-

1.3 Alcance de la Auditoria………………………………………………………..…….4.-

1.4 Metodología………………………………………………………...………….…….4.-

2. OPINION GENERAL…………..…………………………………………….….……5.-

3. OBSERVACIONES Y RECOMENDACIONES DETALLADAS. ……………...…6.-

2
 1. ANTECEDENTES GENERALES
Jumbo es una cadena de supermercados chilena, con presencia también en Argentina y Colombia,
perteneciente al consorcio empresarial Cencosud, que también integra a los supermercados Santa
Isabel, y grandes tiendas como Easy, Johnson y Paris. Sus mayores competidores en Chile son las
cadenas de supermercados Líder, del holding Walmart Chile y Unimarc.

Entre sus principales productos se encuentra la comercialización de gran variedad de marcas nacionales
y exportadas de todo tipo de alimentos, bebestibles y artículos electrónicos, Además cuentan con un
nuevo servicio, el cual se especializa en la elaboración de platos preparados, con un alto índice de
rapidez en su entrega al cliente.

La empresa ha elaborado su plan estratégico organizacional, con horizontes definidos que contempla su
expansión hacia mercados latinoamericanos, específicamente Perú, Ecuador, Bolivia y Argentina, con
el objetivo de convertirse en líder tecnológico en el servicio al cliente de dichos países.

Cabe señalar que en la organización trabajan alrededor de 2250 personas de las cuales 175 dependen
directamente del Jefe de Informática Corporativo.

1.1 Objetivos Generales

El objetivo general de este informe tiene como finalidad tomar conocimiento y evaluar la eficacia en
términos de operatividad, integridad y disponibilidad del Plan Informático, referido a tecnologías de la
información de carácter corporativo, y a su vez las gestiones tácticas y operacionales de Supermercados
Jumbo, entregando una opinión razonable, de acuerdo a la información analizada.

1.2 Objetivos Específicos

Para dar cumplimiento del objetivo general de este trabajo, se consideraron los siguientes objetivos
específicos:

 Conocer si las operaciones informáticas y sus objetivos principales se logran de manera

efectiva y eficiente, resguardando los recursos del área sistemas de la misma,
incluyendo los hardwares y software en funcionamiento.

 Comprobar que el área de control interno promueve el quehacer de las operaciones

informáticas de manera eficiente, con el fin de reducir el riesgo de perder activos de
importancia como los son software u otros recursos pertenecientes a la Informática.
3
  Comprobar si la operatividad del sistema, como su funcionalidad, disposición y
demoras en las respuestas, satisfacen a los usuarios.

 Determinar si la información confidencial de la empresa está lo suficientemente

protegida, en relación a los accesos no autorizados que puedan existir.

1.3 Alcance de la Auditoria

Conforme a los objetivos específicos antes señalados, nuestro trabajo centro su atención, en primeros
términos, en el Plan Informático de Supermercados Jumbo. Así la auditoria se enfocará en corroborar
los aspectos técnicos de diseño, modelamiento de datos y funcionalidad. con el fin de encontrar
hallazgos y emitir las recomendaciones pertinentes ejecutada sobre la base de una muestra
representativa de las operaciones realizadas desde 01 de enero del 2019; para, finalmente, evaluar el
grado de involucramiento, compromiso y satisfacción de los principales usuarios del citado sistema. La
fecha de corte del proceso es al 30 de abril del 2019.

1.4 Metodología.
Para el logro de los objetivos propuestos, el estudio y análisis se orientó principalmente a la aplicación
de pruebas de cumplimiento, pruebas sustantivas y analíticas sobre el sistema bajo auditoria y sobre
los controles generales y de aplicación diseñado para el Plan Informático de Jumbo. Por otra parte,
estos procedimientos se fundamentaron en los estándares de las etapas básicas del proceso de revisión
que se detallan a continuación:

 Se definió el grupo de trabajo y el programa de auditoría, con la finalidad de determinar las

principales debilidades del área de informática de Jumbo, para evaluar preliminarmente el
control interno aplicado actualmente, solicitud de plan de actividades, manuales de políticas,
reglamentos y reuniones con los principales funcionarios de la empresa que tuvieran relación
con el área auditada.

 Revisión y evaluación de controles y resguardos: Este trabajo consistió en la realización de

pruebas de cumplimiento a los resguardos y garantías actuales, revisión de aplicaciones de los
procesos críticos, y la revisión de documentación y archivos.

4
2. OPINION GENERAL
En relación a la estructura y la gestión organizacional de JUMBO podemos observar que presenta en
forma evidente algunos aspectos no adecuados en forma general. Considerando los servicios el tamaño
de JUMBO con empresas similares.
Es por ello, que se debe tener presente que la organización debe estructurar un organigrama, de manera
que muestre claramente cuáles son los niveles de responsabilidades dentro de la empresa de acurdo al
cargo y sus obligaciones que cumplen dentro de la organización.
Por otro lado, es fundamental y necesario establecer claramente a todo nivel la Visión de la
organización. Un Plan de Contingencias debe ser estratégico y con un enfoque de mayor alcance: lo
que se está buscando es recuperar los datos e información en el mismo estado en que estaban antes de
la situación de riesgo y que los mismos estén disponibles para los usuarios una vez levantada la red y
se encuentren operativos los sistemas de información.
En este sentido, recomendamos que sea necesario implementar un Plan de Contingencias que no sólo
considere al área de informática, sino que, a todo el personal de los demás departamentos o áreas de la
organización, cuyo trabajo depende o se ve afectado en cualquier medida por el uso de los sistemas de
información.

Durante la revisión se estableció que la seguridad carece de instrucciones metódicas, cuyo fin sea
controlar las funciones y actitudes de la empresa y para ello verificar si todo se realiza conforme a los
programas adoptados, órdenes impartidas y principios admitidos.
En general, un sistema de administración e información no documentado, permite que las operaciones
se realicen y registren de acuerdo a la interpretación o iniciativa personal de los colaboradores,
pudiendo no ajustarse a las políticas, procedimientos e intereses de la administración.

Por tanto, las recomendaciones que a continuación se detallan deben ser implementadas sistemática y
progresivamente, para sustentar adecuadamente la continuidad de las operaciones de la organización
.

5
3. OBSERVACIONES Y RECOMENDACIONES DETALLADAS

A continuación, se presentan las observaciones, recomendaciones y respectivas debilidades

pertinentes al tema de esta auditoría, surgidas durante el transcurso de esta misma.

Plan Estratégico de la Empresa

3.1
Jumbo debe contar con documentos formales que definan los responsables de cada área de
la compañía, actualización constante de sus estrategias cada cierto periodo de tiempo, de
nuestra recomendación considerar la actualización cada 3 a 5 años.
a) Situación actual

En base al Plan Estratégico se formuló el Plan Informático del Grupo a 8 años el cual, en la
primera sesión del Comité de Informática Corporativo, este plan contó con la aprobación
inmediata del Jefe de Informática Corporativo y luego con la aprobación de todos los demás
integrantes de dicho Comité (Gerentes de Áreas) quienes apoyaron abiertamente esa decisión.

b) Observaciones

Se genera un Riesgo de Planificación, ya que el Jefe de informática no debe dar la autorización

de los proyectos informáticos. El solo tiene derecho a voz. Este proceso se realizó de forma
contraria a lo que debe ser, primero debe definir el Comité informático corporativo quienes
tienen voz y voto en estas decisiones

c) Recomendaciones

Referente a este punto, la recomendación es emitir opiniones primeramente como comité

informático establecido, llegar a un consenso y luego de esto el jefe de informática determinar el
plan a seguir, según la opinión y consenso efectuado.

Estructura departamento Informática

3.2
La Empresa debe lograr establecer protocolos para el área, contar con personal calificado
para cada función que necesite cubrir dentro de la empresa, segregación de funciones,
establecer autoridades, organigramas.

6
a) Situación actual

Solo existe un miembro del área informática que posee autoridad en el área (Jefe de informática).
b) Observaciones

Falta segregación funcional, ya que el Jefe de informática no puede ser quien haga un proceso o
proyecto y autorice su propio trabajo
c) Recomendaciones

Se debe revisar y evaluar las decisiones que sean determinadas por el Jefe de informática, así se
evitara un riesgo en el desarrollo de las ideas planteadas por el, logrando canalizar y obteniendo
una opinión distinta a los actos a realizar.

3.3

a) Situación actual

Manejo interno de los problemas que ocurren en el equipo.

b) Observaciones

Se debe lograr establecer un plan de investigación que permita evitar la fuga de información,
cada departamento debe contar con personas que logren establecer lealtad a la empresa, las
personas que no cumplan con los mínimos protocolos de seguridad no deben permanecer en ella.
Estableciendo procedimientos de investigación se logra evitar el extravió y robo de información
de la empresa.
c) Recomendaciones

Lograr establecer protocolos que permitan un correcto funcionamiento del área, lograr manejar
los errores de la manera más óptima posible.

3.4
a) Situación actual

Desarrollo de proyectos informáticos son informados al jefe de explotación de sistema cuando se

encuentran finalizados.

b) Observaciones

No se consideró el Riesgo de planificación estratégica, ya que no existe un control por etapas o

avances, las cuales se podrían ir modificando y adecuando durante la ejecución y no esperar al

7
resultado final del proyecto. Esto puede resultar en tener que realizar todo el proceso
nuevamente, implicando pérdidas considerables de tiempo y dinero.

c) Recomendaciones

 Establecer periodos de revisión al finalizar cada etapa que marque un hito relevante en
desarrollo de proyectos informáticos.
 Establecer reuniones al término de cada etapa mencionada anteriormente.
 Establecer planes de contingencia y mejora a cada revisión que permita adecuar lo
realizado anteriormente.

3.5
a) Situación actual

El encargado de comunicaciones solicita apoyo a la secretaria de su área para el control de

instrumentos, como consolas y dispositivos de comunicación de la red. Y estos a su vez
informan en forma directa a la empresa que presta servicios de comunicación, sobre posibles
fallas detectadas.

b) Observaciones

En este punto se ve que, dentro del Control general, no existe una organización funcional, ya
que el encargado de mantención pide a la secretaria que los apoye con los posibles problemas de
comunicación de redes. Resulta importante en este punto, que una persona más especializada
pueda gestionar estos contactos.
c) Recomendaciones

 Contar con personal capacitado para el ejecuta miento de consolas y dispositivos de red
 Contar con plan de funciones a realizar por cada empleado.

Control de Inventarios
Es de vital importancia que todas las organizaciones cuenten con un correcto control de sus
activos e inventarios, este ayuda a la seguridad de la empresa, administración profesional y
de calidad de sus activos.
3.6
a) Situación actual

Perdida de equipos lectores de barra, para los productos del supermercado. Además de la fuga
de base de datos de proveedores y de precios, ambas de la sucursal Bilbao.

8
b) Observaciones

El no tener un control de los activos tecnológicos, resulta en pérdidas significativas, más aún si
se relaciona con la base de datos de los clientes, esto sin considerar la pérdida de dinero.
c) Recomendaciones

 Establecer periódicamente toma de inventarios de activos Tecnológicos que permitan

poseer el control de estos equipos.
 Manejar y registrar de manera adecuada las entradas y salidas de los activos informáticos
que posea la empresa.
 Contar con un encargado de inventario informático que logre establecer autoridad y
responsabilidad en el caso de pérdida de activos
I.
Fuga de Información
3.7
a) Situación actual

Los subalternos del Jefe de informática, han optado por disfrazar esta situación, sobre la fuga de
equipos e información, hacia otros departamentos de la empresa, no comentando este hecho con
las otras jefaturas o empleados.
b) Observaciones

Claramente, no se deben realizar manipulaciones con el fin de proteger al personal involucrado,

son esto se demuestra que no existe seguridad lógica, debido a la tergiversación de información,
con el fin de esconder el delito.

c) Recomendaciones

 Contar con un encargado que permita la correcta administración de la base de datos de

proveedores y precios.
 Establecer controles de acceso a información, a través de claves limitadas según
funciones, anexos de control de información.
 Actualización constante de la base de dato a través de actualización de contraseña, la cual
solo posean las personas involucradas en el área.

9
3.8

a) Situación actual

La empresa solicita a diversos usuarios que coticen procesadores de textos y planillas de

cálculos, con distintos proveedores, con el fin de determinar cuáles son más aplicables y
amigables de manipular.

b) Observaciones

Se evidencia la falta de Control general. Claramente para esta labor debe haber un departamento
especializado que determine los requerimientos de la empresa para el desarrollo de las distintas
funciones de los usuarios. Y así, este departamento puede realizar las adquisiciones de los
sistemas faciliten el cumplimiento los objetivos de la empresa y poder efectuar las inversiones
pertinentes de los recursos de informática, justificados para este negocio.

Los usuarios de los sistemas no siempre tienen el conocimiento tecnológico sobre lo que se
debiera adquirir y que preste la utilidad que requiere la empresa.

c) Recomendaciones

 Establecer departamento de adquisiciones de Software y Hardware de la empresa.

 Contar con un encargado que logre organizar a su equipo en miras de los objetivos que la
empresa desea alcanzar, y encontrar las herramientas idóneas para ese camino sea
alcanzado.

10
11