Universidad Alberto Hurtado

Facultad de Economía y Negocios

Contador Público Auditor Vespertino
Auditoría de Procesos Tecnológicos

M.A.R Auditores

Programa y Pre-Informe de
Auditoría
Proyecto Global-World
Compañía de Seguros Generales-Vida WIG

Integrantes:

Marcela Fuentes Herrera

Marta Gutiérrez Jara

Profesor:

Eduardo Leyton Guerrero

09 de Junio de 2018
 Tabla de contenido

Contenido

PROGRAMA DE AUDITORÍA__________________________________________1
I. Antecedentes Generales ______________________________________________2
1.1. Conocimiento General __________________________________________ 2
1.2. Objetivo General _______________________________________________ 2
1.3. Objetivos Específicos ___________________________________________ 3
1.4. Alcance de la Auditoría _________________________________________ 3
1.5. Metodología __________________________________________________ 4
II. Programa de Auditoría _______________________________________________6
1. Gestión de Inicio de Auditoría ______________________________________ 6
2. Obtención de Información General __________________________________ 6
3. Obtención de Información Específica ________________________________ 8
4. Obtención Información Complementaria _____________________________ 12
5. Procedimiento de Auditoría _______________________________________ 12
6. Gestión de Cierre de Auditoría _____________________________________ 22
PRE-INFORME DE AUDITORÍA ______________________________________24
I. Antecedentes Generales _____________________________________________25
1.1. Objetivo General ______________________________________________ 25
1.2. Objetivos Específicos __________________________________________ 25
1.3. Alcance de la Auditoría ________________________________________ 26
1.4. Metodología _________________________________________________ 26
II. Opinión General ___________________________________________________28
III. Observaciones y Recomendaciones Detalladas _________________________30
3.1. Conformación de la estructura organizacional del área de informática. ___ 30
3.2. Análisis del lenguaje para gestionar el Proyecto con Nueva York. _______ 31
3.3. Análisis de los canales de comunicación empleados con Nueva York. ____ 32
3.4. Análisis del periodo que comprende el Proyecto Global-World. _________ 33
3.5. Análisis del sustento normativo del Proyecto Global-World. ___________ 33
3.6. Análisis de dotación del personal del Proyecto Global-World. __________ 34
 Tabla de contenido

IV. Anexos ________________________________________________________36

Información de Contacto ________________________________________________41
Información de la Compañía _____________________________________________41
Pág. 01 M.A.R Auditores

PROGRAMA DE AUDITORÍA

PROYECTO GLOBAL-WORLD COMPAÑÍA DE SEGUROS GENERALES-VIDA WIG

Pág. 02 M.A.R Auditores

I. Antecedentes Generales

1.1. Conocimiento General

La auditoría efectuada se fundamentó principalmente en el Proyecto Informático

Corporativo, denominado Proyecto Global-World, implementado por la Compañía de
Seguros Generales-Vida WIG I.C desde marzo del año 2010. Si bien el proyecto señalado
se lleva a cabo en sus oficinas localizadas en América, Oceanía, Europa y Asia, considera
como sustento para estandarizar y unificar sus procesos de seguros generales y de vida
las buenas prácticas de negocio de su sede modelo en Nueva York, Estados Unidos. Cabe
señalar que la compañía posee personal con un alto nivel profesional a lo largo de sus
sucursales en los diferentes países que se encuentra y se destaca por poseer
heterogeneidad respecto a las nacionalidades de los empleados, por lo que para mantener
una comunicación fluida y centralizada se utiliza el idioma inglés como lenguaje
instrumental.

En Chile, el proyecto se desenvuelve bajo la jefatura del Proyecto Global-World, quien

junto al equipo del área de Tecnologías de información, incluido el Gerente de área,
analistas de sistemas, programadores y jefes de proyectos analizan el avance del
proyecto. A fin de diseñar el programa de auditoría, se utilizaron los estándares ISO
27.002 y COBIT 5.0, junto con los antecedentes integrales de la características del
Proyecto Global-World, del área de tecnologías de información y se utilizó toda la
información relevante referente a la compañía que permiten comprender el
funcionamiento global del proyecto.

1.2. Objetivo General

El objetivo de la presente Auditoría residió en tomar conocimiento del Proyecto Global-

World para evaluar y diagnosticar por medio de normativas su implementación en base
a estándares y unificación de procesos de seguros generales y de vida de la Compañía de
Seguros Generales-Vida WIG I.C, determinados por prácticas reglamentadas desde su
sede en Nueva York, con el fin de emitir una opinión de la razonabilidad de la aplicación
y funcionamiento operativo del proyecto en sus dependencias de Chile, así como también
su pertinencia y contextualización a la realidad del país. Este objetivo se complementó
con el desglose de objetivos específicos que permitieron detallar y fundamentar la
revisión del proyecto citado.
Pág. 03 M.A.R Auditores

1.3. Objetivos Específicos

A partir del objetivo general designado, se requiere de los siguientes objetivos

específicos para lograr diagnosticar y evaluar el funcionamiento del Proyecto Global-
World:

• Analizar antecedentes de la compañía, para identificar las áreas que ésta abarca y
comprender cómo se interrelacionan a nivel local e internacional de acuerdo a la
cultura organizacional establecida.
• Identificar las labores que efectúa el equipo del Área de Tecnología de la
Información, a fin de obtener conocimiento sobre la forma en que opera la unidad
incluyendo las aristas correspondientes al Proyecto Global-World.
• Evaluar las responsabilidades que poseen los trabajadores del Área de Tecnología
de la Información de la compañía, evidenciando segregación de funciones, además
de competencia y pertinencia del cargo, incluyendo a las labores desarrolladas para
el Proyecto Global-World.
• Examinar todos los documentos base que fundamentan la implementación del
Proyecto Global-World en Chile, incluyendo los principios de buenas prácticas de
sede Nueva York utilizados globalmente.
• Analizar el cumplimiento de las normas, políticas y procedimientos relacionadas
al desarrollo del Proyecto Global-World, en cuanto a operaciones y la forma en
que los trabajadores las implementan.
• Evaluar el plan de continuidad del Proyecto Global-World, abordando el Área
Informática y el factor humano.
• Analizar el control y seguridad utilizado en función del Proyecto Global-World en
virtud de los estándares ISO 27.002 y COBIT 5.0.

1.4. Alcance de la Auditoría

La auditoría del Proyecto Global-World se desenvolvió de manera alineada a la
estipulación del objetivo general y los objetivos específicos planteados previamente.
Teniendo en cuenta la correlación directa que existe entre el desarrollo del proyecto y el
ámbito tecnológico, fue imperativo evaluar el proyecto en función del Área de
Tecnologías de la Información, contextualizando los antecedentes con la información
recabada de la compañía referente a sus planes, manuales, políticas y procedimientos
asociadas al área y al proyecto indicados. A su vez, se requirió de medios tecnológicos
de hardware y software asociados a Front-Office y Back-Office para obtener
conocimiento de las operaciones de la entidad a nivel local junto con antecedentes
Pág. 04 M.A.R Auditores

ligados al componente humano que se desempeñan en las actividades del proyecto

evaluado. En este sentido, cabe destacar que si bien las prácticas que se implementaron
en Chile provienen de una sucursal de Estados Unidos, sólo se tomará como referencia
aspectos técnicos-teóricos de aquella dependencia, debido a que el trabajo no contó con
la autorización de inspección hacia la sucursal de Nueva York en el plazo designado para
la auditoría, debido a compromisos ya establecidos por la gerencia informática de Nueva
York en el mismo periodo, por lo que se tomó como referencia la documentación técnica-
teórica que maneja como guía la sucursal chilena proveniente de la sucursal modelo.
Para realizar esta Auditoría, se definió evaluar el Proyecto Global-World en el Área
Tecnológica de la casa matriz presente en la ciudad de Santiago de Chile perteneciente a
la Compañía de Seguros Generales-Vida WIG I.C, abarcando el período correspondiente
entre el 01 de Junio al 30 de Noviembre del año 2018.

1.5. Metodología

La metodología empleada para el desarrollo de la auditoría se compuso de variados

elementos con el intención de lograr los objetivos designados para este trabajo. Bajo este
concepto, el análisis que comprende las actividades a realizarse para auditar la Compañía
de Seguros Generales-Vida WIG I.C se basó en el estándar COBIT 5.0 y en la norma
ISO 27.002, que permiten gestionar el riego, la seguridad y aseguramiento de la
información en una empresa, protegiendo la confidencialidad, integridad y
disponibilidad de ésta.

Es apropiado enfatizar que se recopiló información y evidencia mediante la aplicación

de pruebas de cumplimiento, pruebas sustantivas y pruebas analíticas a las actividades
determinadas que abordan el conocimiento general, específico y complementaria de la
entidad. Conjuntamente, con el propósito de lograr recabar información respecto del
Proyecto Global-World, utilizamos los siguiente medios:

• Entrevistas a empleados, asesores y miembros directos involucrados en el Proyecto

Global-World y del Área de Tecnología de la Información.
• Observación de las actividades efectuadas para el proyecto en el área de T.I y el
ambiente de trabajo en las dependencias de la compañía.
• Documentación de diversa índole y necesaria para obtener información.
• Resúmenes de datos, análisis, gráficas e indicadores de desempeño de los sistemas.
• Reuniones con Jefatura del Proyecto Global-World, Gerente del Área de
Tecnología de la Información, analistas, programadores y operadores.
Pág. 05 M.A.R Auditores
Pág. 06 M.A.R Auditores

II. Programa de Auditoría

Descripción de Fecha Observ. Responsable COBIT 5.0 ISO

Actividades 27.002
1. Gestión de Inicio de Auditoría
A. Carta inicio de MGJ
auditoría.
B. Recepción de MFH
notificación de
inicio de auditoría.
C. Carta de MFH
resguardo.
D. Carta de MGJ
Responsabilidad
SVS385.
2. Obtención de Información General
2.1. Solicitar MGJ
antecedentes de
constitución y
cronología de la
entidad, áreas que la
componen, rubro y
presencia a nivel
nacional e
internacional con
respaldos legales y
normativas propios
de la institución.
2.2. Solicitar MFH
modelo de negocio
trazado por la
compañía.
2.3. Requerir MGJ
organigrama de
Pág. 07 M.A.R Auditores

estructura
organizacional
según las sucursales
a nivel nacional e
internacional.
2.4. Requerir MGJ
normativas
generadas
internamente que
sustentan
reclutamiento y
desvinculaciones en
la institución a
RRHH.
2.5. Solicitar perfil MFH
de cargo de
trabajadores de la
compañía.
2.6. Solicitar mapa MFH
de la organización
física de las áreas de
la sucursal a auditar.
2.7. Solicitar plan MGJ
de continuidad
asociado al área de
T.I
2.8 Requerir MFH
antecedentes sobre
capacitaciones
realizadas a la
entidad.
2.9 Solicitar copias MFH
de pólizas de
seguros asociados a
los activos de la
entidad.
Pág. 08 M.A.R Auditores

2.10. Solicitar MFH

Manuales de
implementación de
proyectos de la
entidad.
2.11. Solicitar MGJ
Presupuesto
asociada al Área de
Tecnología de la
Información.
3. Obtención de Información Específica
3.1. Solicitud de MGJ
auditorías
informáticas
previamente
efectuadas en la
compañía.
3.2. Solicitar MGJ
Presupuesto
asignado para el
Proyecto Global-
World.
3.3. Solicitar a MFH
Recursos humanos
contratos de trabajo
de funcionarios del
Proyecto Global-
World y del Área de
T.I de la compañía.
3.4 Solicitar análisis MGJ
de funciones
mediante
documentación o
fichas de cruce de
perfil de cargo
relacionadas al
Proyecto Global-
Pág. 09 M.A.R Auditores

World y el área de
T.I.
3.5. Solicitar MGJ
estadísticas de
contratación y
desvinculación de
personal del Área
Tecnológica.
3.6 Solicitar MFH
estadísticas de
renuncias y
documentación de
respaldo de éstas
relacionadas al
Proyecto Global-
World y el área de
T.I.
3.7. Requerir MGJ
documentación del
Proyecto Global-
world adjuntando
toda la
documentación que
especifique
puntualmente las
bases del proyecto.
3.8. Solicitar MFH
manual que
contenga normativa
y políticas respecto
al área de
Informática, el
Proyecto Global-
World y su proceso
de negocio vigentes
en la compañía
globalmente.
Pág. 10 M.A.R Auditores

3.9. Solicitar MFH

manual de procesos
y procedimientos
del Área de
Tecnología.
3.10. Requerir MGJ
expedientes de
inventarios desde su
origen sobre
infraestructura de
hardware y
software.
3.11. Solicitar MGJ
cédulas que
reporten los
sistemas de
información que
sustentan al
Proyecto Global-
World actualmente.
3.12. Requerir MFH
expedientes
detallados sobre la
infraestructura física
utilizada en el
Proyecto Global-
World.
3.13. Solicitar MGJ
informes sobre
procesos de negocio
de seguros
generales y de vida
del Proyecto
Global-World.
3.14. Requerir MGJ
antecedentes
detallados sobre
Pág. 11 M.A.R Auditores

sistemas Front-
office y Back-
Office utilizados en
el Proyecto Global-
World.
3.15. Solicitud de MFH
antecedentes que
certifiquen el
empleo de
seguridad física y
lógica para ingresar
y realizar
mantenciones de
equipos y sectores
de la entidad
relacionados al
Proyecto Global-
World.
3.16. Solicitud de MGJ
registros que
tipifiquen los
controles aplicados
al Proyecto Global-
World y al área de
T.I
3.17. Solicitar MGJ
documentación que
sustente la
necesidad de aplicar
el proyecto Global-
World para
gestionar los
seguros ofrecidos
por la compañía.
3.18. Solicitar plan MFH
de continuidad del
Proyecto Global-
World y del Área de
Pág. 12 M.A.R Auditores

Tecnologías de la
Información.
4. Obtención Información Complementaria
4.1. Solicitar MGJ
Diagrama de Gantt
del Proyecto
Global-World.
4.2 Solicitar MFH
modelos de
procesos de
negocios
implementados con
éxito.
4.3. Solicitar MFH
estadísticas de
gestión de seguros
pre-intra-post
Proyecto Global-
World.
5. Procedimiento de Auditoría
A. Pruebas de Cumplimiento
1. Analizar la MFH APO01.01.6
estructura
organizativa interna
y externa a fin de
evaluar la
concordancia de su
implementación con
las estructuras de
gestión requeridas,
que permiten que la
toma de decisiones
se lleve a cabo de
forma eficiente y
eficaz.
Pág. 13 M.A.R Auditores

2. Verificar que la MGJ APO01.01.12

estructura
organizacional se
adecúa a las
necesidades del
negocio, revisando
que el Área de
Tecnologías de
Información se
apegue o sea
flexible ante
necesidades propias
y emergentes de las
labores.
3. Comprobar que la MFH APO01.01.10 6.1.5
comunicación que
se lleva a cabo entre
los empleados de la
sucursal y entre
sucursales se realiza
mediante lenguaje,
códigos y canales
normados,
conocidos y
estipulados a fin de
mantener la
información segura
y permitir un trabajo
de calidad.
4. Revisar y MGJ BAI09.01.4 11.2.1
verificar que los
activos tecnológicos
se encuentren
vigentes
5. Identificación de MGJ DSS04.03.4 12.3.1
realización
periódica de copias
de seguridad
Pág. 14 M.A.R Auditores

debidas a la base de
datos de seguros de
los clientes.
6. Evaluar las MFH APO07.01.1 7.1.1
necesidades del
proyecto respecto a
la dotación del
personal, cotejando
que los empleados
son suficientes para
efectuar las labores
solicitadas.
7. Identificar en el MGJ APO01.02.7 7.1.1
manual de -
contrataciones la APO07.02.1
correcta selección
de empleados
asociados a los
perfiles de cargo
diseñados para el
área, cerciorándose
de que las labores
no se centran en una
persona solamente.
8. Corroborar que MFH APO07.03.3 7.1.2
los empleados
reciben orientación
y capacitación
oportuna frente a
identificación de
debilidades para
llevar a cabo
procesos propios de
sus cargos que
impliquen
responsabilidades
de seguridad de la
información.
Pág. 15 M.A.R Auditores

9. Verificar que el MGJ APO07.03.5 7.2.1

personal realice sus
labores de acuerdo a
las políticas de
seguridad de
información de la
organización y los
métodos de trabajo
establecidos según
contrato laboral.
10. Verificar que los MFH APO07.02.1 7.1.1
empleados clave
poseen reemplazos
en caso de
ausentarse en sus
feriados legales,
permitiendo
continuidad del
proyecto.
11. Comprobar que MFH APO07.03.5 7.3.1
los empleados
firman acuerdo de
confidencialidad de
las funciones que
realizan y
mantienen
hermetismo frente a
información
sensible de la
entidad, asegurando
que en caso de
despido o cambio de
empleo, la
información no se
propague.
12. Realizar MGJ APO07.05.02
observación de los
métodos utilizados
Pág. 16 M.A.R Auditores

por la entidad para

gestionar la
demanda interna de
empleados e
identificar los
incentivos que le
entregan a éstos
para conservarlos.
13. Observar e MFH APO07.06.02 9.2.1
identificar que los
usuarios están
periódicamente
sujetos a monitoreo
para darles altas o
bajas de ID de
acceso a sistemas o
áreas de la entidad.
14. Identificar la MGJ APO06.01.02
estructura de costos
elaborados por la
entidad para evaluar
la distribución del
presupuesto en el
área de Tecnología
y en el Proyecto
Global-World.
15. Revisar el MFH DSS06.01.1
proceso de negocio
relacionado con el
Proyecto Global-
World a fin de
evaluar su
implementación y
pertinencia.
16. Verificar que MFH EDM04.01.5 11.1.1
existan barreras en
los espacios físicos
que prevengan
Pág. 17 M.A.R Auditores

acceso no
autorizado de otras
personas no ligadas
al área o a la
empresa.
17. Verificar que MGJ MEA01.01.7 6.1.5
los el enfoque del
Proyecto Global-
World se encuentre
actualizado y
sincronizado a los
grupos de interés,
requisitos y recursos
de la empresa.
18. Analizar el MFH APO04.02.1 6.1.5
impacto del
Proyecto Global-
World y verificar
las estrategias
corporativas
empleadas que
añaden valor
tecnológico de
acuerdo a los
manuales, políticas
y procedimientos
originados por la
sucursal modelo de
Nueva York.
19. Evaluar la MGJ APO03.01.5
adaptación del
Proyecto Global-
World en la realidad
de Chile y verificar
si la adaptación se
ajusta al modelo a
seguir del proyecto.
Pág. 18 M.A.R Auditores

20. Verificar que los MFH APO13.01.1 11.2.8

equipos posean
claves de acceso,
bloqueos de pantalla
cuando el empleado
no se encuentre en
su lugar físico de
trabajo.
21. Evaluar la MGJ APO09.04.1
pertinencia y
funcionamiento de
los sistemas Front-
office y Back-
Office de la entidad.
B. Pruebas sustantivas
1. Ratificar la MGJ BAI09.01.3 8.1.1
existencia de
activos fìsicos
tecnológicos,
realizando cruce de
inventario mediante
documentos de
respaldo y
observación física.
2. Confirmar que los MGJ BAI09.01.4 11.2.4
activos manejados
por la entidad se
encuentran
disponibles para su
uso.
3. Confirmar con MFH APO08.03.1 6.1.4
contraparte que los -
mecanismos de 13.2.3
comunicación con
sucursales
nacionales e
internacionales se
Pág. 19 M.A.R Auditores

realizan mediante
los canales
establecidos por la
entidad para el
desarrollo del
Proyecto Global-
World.
4. Comparar los MFH APO06.01.1
montos utilizados
en el desarrollo
empírico del
Proyecto Global-
World con el
presupuesto
asignado
inicialmente.
5. Revisar que la MGJ APO06.03.6
documentación de
respaldo de gasto en
el Proyecto Global-
World concuerde
con los valores
desembolsados por
el área.
6. Comparar MFH APO07.06.4 7.2.2
calendario laboral
de los trabajadores
con los avances de
las actividades
realizadas
semanalmente, que
justifican el uso del
recurso humano.
7. Revisión y MGJ APO07.06.05
cálculo de salario de
empleados
conforme a su perfil
de cargo, según
Pág. 20 M.A.R Auditores

manual de
contratación.
8. Comparar MFH APO07.01.5
incremento de
producción y/o
desempeño de los
empleados tras
implementar
entrenamiento
cruzado.
9. Comprobar MGJ APO11.01.4
mediante
estadísticas que el
proceso de negocio
de seguros del
Proyecto Global-
World ha
incrementado sus
ingresos de acuerdo
a sus proyecciones.
10. Cotejar la MFH BAI09.02.1 14.1.1
existencia de
sistemas de Front-
Office y Back-
Office asociados al
Proyecto Global-
World.
C. Pruebas Analíticas
1. Calcular ratios de MFH APO06.01.3
la entidad para
evaluar el
incremento en las
ganancias previo y
posterior a la
implementación del
Proyecto Global-
World.
Pág. 21 M.A.R Auditores

2. Analizar a través MGJ MEA02.01.1 16.1.4

de estadísticas del
área de T.I los
reportes de
incidentes
registrados
históricamente
asociados a la
seguridad de la
información para
evaluar el
desempeño del
proceso de negocios
implementado.
3. Determinar MFH BAI01.11.2 6.1.5
mediante análisis de
indicadores de
cumplimiento el
grado de avance
obtenido en el
Proyecto Global-
World por la
sucursal de
Santiago.
4. Calcular el MGJ APO07.05.2
porcentaje de la
dotación de
personal asignada
en el proyecto según
la totalidad de
trabajadores
presentes en el área
de TI y en la
entidad.
5. Inferir el impacto MFH BAI04.02.6
hacia el cliente en
base a estadísticas
de encuestas
Pág. 22 M.A.R Auditores

cualitativas de
satisfacción del
consumidor para
evaluar el impacto
del Proyecto
Global-World
6. Calcular MGJ APO07.05.4 18.1.2
porcentualmente
pérdidas asociadas
al incumplimiento
de funciones del
recurso humano.
6. Gestión de Cierre de Auditoría
1. Revisar los Se realiza Equipo
hallazgos de la en
auditoría reunión
relacionada a las de cierre.
actividades
estipuladas en el
proceso.
2. Formular Se realiza Equipo
conclusiones en
respecto a los reunión
procedimientos de cierre.
efectuados.
3. Realizar MFH
recomendaciones
pertinentes a la
entidad a partir de
las conclusiones
obtenidas de la
auditoría del Área
de Tecnología.
Pág. 23 M.A.R Auditores
Pág. 24 M.A.R Auditores

PRE-INFORME DE AUDITORÍA

PROYECTO GLOBAL-WORLD COMPAÑÍA DE SEGUROS GENERALES-VIDA WIG

Pág. 25 M.A.R Auditores

I. Antecedentes Generales

1.1. Objetivo General

El objetivo de la presente Auditoría residió en tomar conocimiento del Proyecto Global-

World para evaluar y diagnosticar por medio de normativas su implementación en base
a estándares y unificación de procesos de seguros generales y de vida de la Compañía de
Seguros Generales-Vida WIG I.C, determinados por prácticas reglamentadas desde su
sede en Nueva York, con el fin de emitir una opinión de la razonabilidad de la aplicación
y funcionamiento operativo del proyecto en sus dependencias de Chile, así como también
su pertinencia y contextualización a la realidad del país. Este objetivo se complementó
con el desglose de objetivos específicos que permitieron detallar y fundamentar la
revisión del proyecto citado.

1.2. Objetivos Específicos

A partir del objetivo general designado, se requiere de los siguientes objetivos

específicos para lograr diagnosticar y evaluar el funcionamiento del Proyecto Global-
World:

• Analizar antecedentes de la compañía, para identificar las áreas que ésta abarca y
comprender cómo se interrelacionan a nivel local e internacional de acuerdo a la
cultura organizacional establecida.
• Identificar las labores que efectúa el equipo del Área de Tecnología de la
Información, a fin de obtener conocimiento sobre la forma en que opera la unidad
incluyendo las aristas correspondientes al Proyecto Global-World.
• Evaluar las responsabilidades que poseen los trabajadores del Área de Tecnología
de la Información de la compañía, evidenciando segregación de funciones, además
de competencia y pertinencia del cargo, incluyendo a las labores desarrolladas para
el Proyecto Global-World.
• Examinar todos los documentos base que fundamentan la implementación del
Proyecto Global-World en Chile, incluyendo los principios de buenas prácticas de
sede Nueva York utilizados globalmente.
• Analizar el cumplimiento de las normas, políticas y procedimientos relacionadas
al desarrollo del Proyecto Global-World, en cuanto a operaciones y la forma en
que los trabajadores las implementan.
• Evaluar el plan de continuidad del Proyecto Global-World, abordando el Área
Informática y el factor humano.
Pág. 26 M.A.R Auditores

• Analizar el control y seguridad utilizado en función del Proyecto Global-World en

virtud de los estándares ISO 27.002 y COBIT 5.0.

1.3. Alcance de la Auditoría

La auditoría del Proyecto Global-World se desenvolvió de manera alineada a la

estipulación del objetivo general y los objetivos específicos planteados previamente.
Teniendo en cuenta la correlación directa que existe entre el desarrollo del proyecto y el
ámbito tecnológico, fue imperativo evaluar el proyecto en función del Área de
Tecnologías de la Información, contextualizando los antecedentes con la información
recabada de la compañía referente a sus planes, manuales, políticas y procedimientos
asociadas al área y al proyecto indicados. A su vez, se requirió de medios tecnológicos
de hardware y software asociados a Front-Office y Back-Office para obtener
conocimiento de las operaciones de la entidad a nivel local junto con antecedentes
ligados al componente humano que se desempeñan en las actividades del proyecto
evaluado. En este sentido, cabe destacar que si bien las prácticas que se implementaron
en Chile provienen de una sucursal de Estados Unidos, sólo se tomará como referencia
aspectos técnicos-teóricos de aquella dependencia, debido a que el trabajo no contó con
la autorización de inspección hacia la sucursal de Nueva York en el plazo designado para
la auditoría, debido a compromisos ya establecidos por la gerencia informática de Nueva
York en el mismo periodo, por lo que se tomó como referencia la documentación técnica-
teórica que maneja como guía la sucursal chilena proveniente de la sucursal modelo.
Para realizar esta Auditoría, se definió evaluar el Proyecto Global-World en el Área
Tecnológica de la casa matriz presente en la ciudad de Santiago de Chile perteneciente a
la Compañía de Seguros Generales-Vida WIG I.C, abarcando el período correspondiente
entre el 01 de Junio al 30 de Noviembre del año 2018.

1.4. Metodología

La metodología empleada para el desarrollo de la auditoría se compuso de variados

elementos con el intención de lograr los objetivos designados para este trabajo. Bajo este
concepto, el análisis que comprende las actividades a realizarse para auditar la Compañía
de Seguros Generales-Vida WIG I.C se basó en el estándar COBIT 5.0 y en la norma
ISO 27.002, que permiten gestionar el riego, la seguridad y aseguramiento de la
información en una empresa, protegiendo la confidencialidad, integridad y
disponibilidad de ésta.
Pág. 27 M.A.R Auditores

Es apropiado enfatizar que se recopiló información y evidencia mediante la aplicación

de pruebas de cumplimiento, pruebas sustantivas y pruebas analíticas a las actividades
determinadas que abordan el conocimiento general, específico y complementaria de la
entidad. Conjuntamente, con el propósito de lograr recabar información respecto del
Proyecto Global-World, utilizamos los siguiente medios:

• Entrevistas a empleados, asesores y miembros directos involucrados en el Proyecto

Global-World y del Área de Tecnología de la Información.
• Observación de las actividades efectuadas para el proyecto en el área de T.I y el
ambiente de trabajo en las dependencias de la compañía.
• Documentación de diversa índole y necesaria para obtener información.
• Resúmenes de datos, análisis, gráficas e indicadores de desempeño de los sistemas.
• Reuniones con Jefatura del Proyecto Global-World, Gerente del Área de
Tecnología de la Información, analistas, programadores y operadores.
Pág. 28 M.A.R Auditores

II. Opinión General

A partir de la auditoría realizada al Proyecto Global-World que se desarrolla en el marco
del Área de Tecnologías de la información, se identificó que su objetivo principal se
fundamentó en mejorar el proceso de negocio que comprende seguros generales y de
vida con un enfoque de Front-Office. La compañía de Seguros Generales-Vida WIG I.C,
utilizó recursos de gran cantidad de millones de dólares que fueron incrementando a lo
largo de los años de implementación del proyecto aludido, el cual a su vez constó de
capital humano competente de variadas nacionalidades debido a la naturaleza y posición
que posee la compañía internacionalmente. Este hecho ha sido clave para distinguir el
Proyecto Global-World, debido a que sus procesos de negocios se han visto altamente
influenciado por el éxito rotundo que ha obtenido en el desempeño de su sucursal en
Nueva York. Sin embargo, en los años que ha tenido lugar la implementación del
Proyecto en Chile y en base a las evidencias obtenidas de la presente realización de
auditoría, se ha constatado de que las expectativas distan en cierta medida de los
resultados reales que se han alcanzado en la sucursal de Santiago de Chile.

Para evaluar el Proyecto, se realizaron pruebas de auditoría que resultaron concluyentes

para detectar la situación actual de la compañía. En este sentido, por una parte, se logró
identificar aspectos positivos relacionados a los objetivos de la auditoría y que
permitieron que la entidad pudiera destacarse en Chile respecto a sus prácticas:
• Consideración de manuales, políticas y procedimientos referidos como buenas
prácticas de la sucursal de Nueva York, en este aspecto, se logra destacar que la
sucursal de Santiago de Chile posee documentación fehaciente original respecto a los
lineamientos a seguir para instaurar los procesos de negocios de Global-World y se
logró identificar la existencia de grandes esfuerzos a nivel de dirección y del área que
denotan el entusiasmo y rigurosidad en seguir las pautas Neoyorkinas para aplicar el
sistema de buenas prácticas.
• Se ha detectado mayor confianza por parte del cliente debido a las perfeccionamientos
que se le ha otorgado a los seguros generales y de vida, lo cual ha resultado atractivo
para el público y se ha traducido en mayores ingresos.
• Presencia de lenguaje de bajo nivel y programas en base a códigos de alto nivel en el
Proyecto Global-World altamente protegidos por estándares reconocidos a nivel
mundial y constantemente evaluados frente a riesgos.
• Se han implementado correctamente políticas y normativas mediante estándares
internacionales para cubrir la seguridad de acceso al área de Tecnologías de
información, protegiendo tanto el área física como los activos tecnológicos y sistemas
que soportan las operaciones de los empleados de la compañía.
Sin embargo, se lograron hallar deficiencias que significan un riesgo para el desarrollo
de la implementación del proyecto:
Pág. 29 M.A.R Auditores

• Pese al esfuerzo que se ha realizado para implementar el proyecto en Chile y notando

que ha sido bien recepcionado en la sucursal auditada, se puede identificar que no
existe una congruencia y flexibilidad respecto a actividades inadaptables por temas
culturales, lo cual se ha reflejado en el desempeño de los niveles operativos de los
empleados.
• La estructura jerárquica vertical que interrelaciona al equipo del proyecto Global-
World demostró inefectividad en el funcionamiento de los procesos, debido a que los
subordinados tienen comunicación con su jefatura, más no se enriquecen con las
labores de sus pares.
• La comunicación que se gestiona desde la sucursal Neoyorkina a Chile se limita a los
empleados que manejan el idioma inglés, aunque la entidad ha puesto gran énfasis en
el idioma instrumental, ofreciendo capacitaciones, al no ser un idioma manejado por
todos los empleados de acuerdo a la realidad nacional, se vuelve en gran medida un
obstáculo.
• El canal recurrentemente utilizado para comunicarse es mediante E-mails, cada área
usuaria se encarga de enviar sus necesidades de información, la cual es controlada por
la sucursal de Nueva York. Este mecanismo en la práctica dista de ser sencillo en la
realidad, ya que se observó que los empleados malinterpretan la comunicación por
este medio, ya que carece de expresiones detectables que se lograrían mediante
comunicación cara a cara.
• El Proyecto tuvo sus inicios en el año 2010 y tuvo una fecha estimada de culminación
para el año 2013, pero se ha extendido hasta el año 2015, lo cual ha implicado mayor
utilización de recursos.
• El personal seleccionado tiene alto nivel profesional, ya que se ha seleccionado con
rigurosidad. Sin embargo, se evidencia una clara falta de segregación de funciones al
reemplazar funcionarios que han abandonado la entidad y adicionalmente se
identifican funcionarios con carga laboral inequitativa.
• Existen empleados que han obtenido preparación e instrucción importante en la
entidad y que han renunciado, utilizado licencias o tomado feriados legales, pero que
por lo crítico de sus funciones han retrasado el progreso del proyecto.

Debido a las debilidades detectadas, sugerimos a la compañía mediante indicaciones del

directorio, que instruya a las áreas responsables a fin de realizar mejoras oportunas,
potenciando sus procesos por medio de las fortalezas y estrategias que posee su equipo.
En el siguiente apartado, se entregarán las observaciones y recomendaciones detalladas
pertinentes que podrán ser utilizadas conforme decida la entidad con el propósito de
brindar un apoyo garantizado a la gestión del Proyecto Global-World.
Pág. 30 M.A.R Auditores

III. Observaciones y Recomendaciones Detalladas

En esta sección presentaremos en detalle una compilación de observaciones y
recomendaciones atingentes a los temas desarrollados durante esta Auditoría.
3.1. Conformación de la estructura organizacional del área de informática.
a) Situación Actual
El proyecto utiliza una estructura jerárquica vertical clásica. Ésta corresponde al Área de
Tecnologías de la Información y cumple con las labores de diseño, administración de la
plataforma computacional y programación indistintamente, todos bajo la dirección del
jefe de proyecto recientemente contratado.
b) Observaciones
De acuerdo a los análisis efectuados según las pruebas de cumplimiento, se ha detectado
una debilidad en la estructura organizacional. Esto se debe a que no se cumple con los
modelos presentes en la normativa COBIT 5.0, la cual sustenta las pruebas de
cumplimiento ya mencionadas y que evalúan las necesidades de flexibilidad que se
necesita para mantener alineados el recurso humano con las tecnologías de la
información. Se ha logrado identificar que no se refleja claramente las diferentes áreas
que componen la empresa y sus interrelaciones. Es más, existe una carencia de los
principios rectores de su diseño y evolución en el tiempo, limitando la consecución
estándar, sensible y eficiente de los objetivos operativos y estratégicos.
c) Recomendaciones
Tras analizar la situación que posee un alcance enmarcado en un proyecto, se puede
sugerir la utilización de un marco de arquitectura de empresa y metodología común, ya
existente en la Organización. La diferencia se debe efectuar al crear una arquitectura
integrada y especializada, sólo para el proyecto. De esta forma, se puede permitir la
reutilización de eficiencias y recursos dentro de la compañía. La visión de una
arquitectura organizacional creada especialmente para este proyecto, describe las nuevas
capacidades que permitirán alcanzar las metas trazadas por la entidad y los objetivos
estratégicos. Adicionalmente, se deben considerar las preocupaciones de las partes
interesadas para su implementación, bajo este concepto, se debe dejar en claro que se
deben optimizar de los costos.
Pág. 31 M.A.R Auditores

3.2. Análisis del lenguaje para gestionar el Proyecto con Nueva York.
a) Situación Actual
Existen distintos tipos de lenguajes entre los profesionales contratados, debido a que la
presencia de la compañía se despliega por países y regiones de América, Oceanía,
Europa, y Asia. Sin embargo, la comunicación se realiza en idioma inglés, ya que la sede
principal se ubica en New York, Estados Unidos.
b) Observaciones
Se observó que existe subestimación del personal. Un líder que no puede entender o
escuchar a su personal para despejar dudas, solucionar problemas o sumar ideas, genera
desmotivación en los empleados, lo cual incide directamente en la cantidad y calidad del
trabajo a realizar. Es un obstáculo que la empresa sólo utilice el idioma inglés desde la
sucursal de Estado Unidos a Chile y vice versa. Debido a que el idioma no es manejado
por todos los empleados, se produce un obstáculo para lograr la formulación de un
proyecto eficiente.
c) Recomendaciones
Se recomienda gestionar la centralización de la comunicación de sucursal de Santiago
hacia Nueva York, mediante apoyo del equipo y consultoría de expertos en el idioma
inglés, como intérpretes y traductores. El propósito de emplear estos profesionales es
netamente para involucrar a los empleados que no han tenido la oportunidad a corto plazo
de capacitarse en el idioma. De este modo, se pueden eliminar las barreras de
comunicación entre el personal de la entidad a nivel internacional, sin tranzar con la
calidad técnica-profesional del personal orientada al área fundamental del personal.
También se debe evaluar a futuro el grado de conocimiento del idioma Inglés mediante
estrategias que involucren pasantías de los empleados al extranjero, ya que, resulta ser
una excelente herramienta a la hora de contactar a clientes o ejecutivos forma fluida con
la sede principal.
Pág. 32 M.A.R Auditores

3.3. Análisis de los canales de comunicación empleados con Nueva York.

a) Situación Actual:
El único medio utilizado para comunicarse con la sucursal de Nueva York para obtener
información necesaria, se efectúa mediante correo electrónico. Asimismo, cada área se
encarga de enviar su información requerida.
b) Observaciones
Se detecta que es insuficiente utilizar el correo electrónico como medio de comunicación
para una empresa de alto nivel si se requiere mantener una buena comunicación con el
resto de sus oficinas a nivel internacional. Cabe destacar que la canalización utilizada de
manera funcional como tecnológica, amerita de diversos canales de comunicación para
proveer la información requerida a los analistas de sistemas en USA desde Chile, ya que
el E-mail puede ser causante de interpretaciones incorrectas, envío de información
informal, confusión, entre otros.
c) Recomendaciones
Es imperativo que la compañía utilice otros medios de comunicación para tener éxito en
sus labores. Es altamente recomendable que se evalúe dentro del presupuesto vigente
optar por otras instancias que permitan el desenvolvimiento correcto del personal para
potenciar sus habilidades y que éstas se reflejen de manera cualitativa en el proyecto que
se lleva a cabo. En general se pueden sugerir los siguientes mecanismos:
• Sala de conversación: es un espacio en Internet donde grupos de personas se reúnen
para comunicarse. El usuario escribe un mensaje que es visto por los demás usuarios
actualmente conectados en el mismo lugar. Adicionalmente, los usuarios pueden ver
una lista de todos los usuarios en línea.
• Llamadas telefónicas.
• Visitas del personal preveniente de EEUU.
• Viajes de empleados chilenos a EEUU
• Video Conferencia: funciona de manera similar a las conferencias de audio. La
diferencia es que los usuarios pueden verse unos a otros y para ello se necesita una
cámara web para todas las partes y que, dependiendo del servicio utilizado, varias
personas pueden ver y ser vistas al mismo tiempo.
Pág. 33 M.A.R Auditores

3.4. Análisis del periodo que comprende el Proyecto Global-World.

a) Situación Actual
El Proyecto Global Word se definió para tener su inicio en el año 2010 y la estimación
del término de éste fue en Abril del año 2013. Sin embargo, se ha identificado que la
fecha de operaciones del proyecto aludido define un nuevo plazo estimado de término,
considerando como fecha final el mes de Abril del año 2015.
b) Observaciones
La demora en el término del proyecto no se presupuesta de forma correcta, debió
considerar un personal más idóneo para la realización del proyecto, proyectando los
costos correspondientes y adicionales en caso de demora del proyecto, la contratación de
un Ingeniero Químico, no teniendo nada que ver con el personal requerido para este
proyecto, una experiencia mínima no es aceptable para una contratación con un costo
tan alto como lo es este tipo de profesionales.
c) Recomendaciones
Recomendamos la contratación de personal especializado y con gran experiencia en
procesos de negocios de seguros, como así, presupuestar la contratación de personas
profesionales para áreas de jefaturas correspondientes, y con la experiencia necesaria
para ejercer el cargo para lo cual fue contratado.
3.5. Análisis del sustento normativo del Proyecto Global-World.

a) Situación Actual

El Proyecto Global-World se sustenta en políticas, normativas y manuales referentes a

las buenas prácticas que se desarrollan en la sucursal de Nueva York. Bajo el alero de la
sucursal en Chile se realiza un proceso de negocios de seguros y de vida sustentado en
el proyecto que se orienta netamente a Front-Office.

b) Observaciones

Los esfuerzos realizados para la implementación de este proyecto en Chile no tuvieron

una relación coherente y flexible de acuerdo a la contextualización e idiosincrasia de los
empleados de la entidad. Se han observado diversos problemas de tipo cultural entre los
empleados, denotando incluso en ciertos casos un desempeño de bajo nivel. Lo cual no
Pág. 34 M.A.R Auditores

potencia las expectativas de la entidad y obstaculiza los estándares que se quieren

alcanzar por la compañía.

c) Recomendaciones
Se recomienda de acuerdo a los estándares de COBIT 5.0, que puntualmente, la dirección
pueda controlar el progreso del proyecto a través de su planificación y se pueda
flexibilizar su implementación. Se recomienda que estas actividades se puedan revisar
mediante pruebas empíricas que las prácticas implementadas en la sucursal de Nueva
York no se pueden utilizar en un 100% en Chile, debido a que existen barreras culturales
que no lo permiten. En este sentido, al evaluar el proyecto, obteniendo porcentajes de
desempeño muy bajos en cuanto a producción por hora estimada estándar de Estados
Unidos, no se puede aplicar el mismo mecanismo de evaluación en Chile, en el que los
trabajadores están acostumbrados a recibir bonificación por trabajo realizado. Es por este
motivo que sugerimos integrar un sistema de incentivos adaptado a la realidad del país.

3.6. Análisis de dotación del personal del Proyecto Global-World.

a) Situación Actual

En general, el personal seleccionado posee alto nivel profesional, además se registran

dos ingenieros que han recibido formación y preparación en la compañía y poseen
dominio de sus labores, los cuales han optado por renunciar al cargo que tenían a su
disposición por conseguir mejores prospectos laborales. Adicionalmente, una
funcionaria experta se acogió a su prenatal dejando sus labores pendientes en la
compañía.

b) Observaciones

Tras haber identificado las renuncias en los cargos de los ingenieros y el uso de prenatal
de la funcionaria, se logra determinar que los puestos que no estarán vigentes cumplían
roles sumamente importantes en la implementación del proyecto. Esta situación implica
un desmedro al proyecto, ya que el área debió prever que estos casos se pueden dar en
cualquier momento. Adicionalmente, se logra identificar inequidad en cuanto a la
repartición de labores.

c) Recomendaciones

Se recomienda que la compañía realice una revisión de la carga laboral existente en el

área de tecnologías de la información a fin de analizar que las labores que efectúan los
empleados estén cubiertas en caso de improvistos. Una estrategia que se sugiere
Pág. 35 M.A.R Auditores

implementar es generar sinergia en los grupos de trabajo a fin de afianzar el proceso del
proyecto implementado. Es importante que se puedan desarrollar características
relacionadas a COBIT 5.0, en el cual se señala que es importante como estándar el
entrenamiento cruzado que puede efectuar el personal clave, de manera que se capaciten
en prácticas comunes los pares de la entidad. Es primordial que se generen ideas de
respaldo previos a los incidentes, no se debe esperar a que el personal haga uso de feriado
legal, licencias o renuncie para respaldar las funciones críticas del proyecto. En cuanto
a la seguridad de la compañía, es fundamental que la entidad se cerciore de que se
cumplan las cláusulas de confidencialidad y las claves de acceso se restrinjan a medida
que las personas se desvinculan de la entidad.
Pág. 36 M.A.R Auditores

IV. Anexos

Currículum Vitae Ingeniero Químico

Ingeniería Civil Química, Universidad de Chile (2005)

Pág. 37 M.A.R Auditores

Dependencias de Compañía de Seguros Generales-Vida WIG I.C

Área de Tecnologías de Información

Pág. 38 M.A.R Auditores

Observación Ingreso Empleados Área de Tecnologías de Información

Evidencia de Capacitaciones Personal T.I

Pág. 39 M.A.R Auditores

Evaluación Presupuesto Proyecto Global-World

Seguimiento Presupuesto Mensual Proyecto Global-World

Pág. 40 M.A.R Auditores

Manual de Contrataciones
Pág. 41 M.A.R Auditores

Información de Contacto

Nombre Nombre
Marcela Fuentes H. Marta Gutiérrez J.
Auditor líder Auditor
Tel. +56 2 5100001 Tel. +56 2 5100002
E-mail. E-mail.
mfuentesh@mar- mgutierrezj@mar-
auditores.cl auditores.cl

Información de la Compañía
M.A.R Auditores
Alberto Hurtado 555, Santiago
Tel. + 56 2 5100000
Fax + 56 2 5100050
www.mar-auditores.cl