CASOS DE AUDITORIA

Realizar el análisis de debilidades, impacto y recomendaciones de cada caso

CASO 1: SUPERMERCADOS JUMBO

La cadena de Supermercados Jumbo, líder entre los supermercados nacionales elaboró su

Plan Estratégico Organizacional con un horizonte a 5 años el que contemplaba entre otras
metas, inversiones en Bolivia y Argentina a partir del cuarto año, convirtiendose además en
líder tecnológico en el servicio al Cliente en ambos países. En base a este Plan Estratégico
se formuló el Plan Informático del Grupo a 8 años, el cual, en la primera sesión del Comité
de Informática Corporativo, este plan contó con la aprobación inmediata del Jefe de
Informática Corporativo y luego con la aprobación de todos los demás integrantes de dicho
Comité (Gerentes de Areas) quienes apoyaron abiertamente esa decisión. Por otra parte
cabe señalar que Supermercados Jumbo es una organización de aproximadamente 2.250
empleados de los cuales 175 son dependientes directamente del Jefe de Informática
Corporativo, único representante dentro del área tecnológica con autoridad. Este se ha
enterado recientemente por sus dos únicos subalternos con atribuciones formales
(encargado de explotación de sistemas y encargado de desarrollo de sistemas
respectivamente ), de recientes fugas de equipos lectores de barras para los productos del
supermercado, y de las bases de datos (información) de proveedores y de precios (ambos
desde el supermercado de Bilbao). Al respecto el jefe de Informática Corporativa ha
decidido manejar esta situación en forma interna para evitar confusiones y Aruidos@
innecesarios en la organización. Con el objeto de demostrarle su lealtad, los dos subalternos
han optado por manipular la información sobre este hecho hacia los otros departamentos de
la Empresa, no comentando el mismo con otras jefaturas o empleados. Por otro lado, los
Supermercado Jumbo poseen dos configuraciones computacionales idénticas de grandes
magnitudes de procesamiento (Host o Main Frame comunicadas entre sí para compartir
dispositivos e información-una en Kennedy -y la otra en Bilbao). En ambas instalaciones se
efectúan labores de desarrollo y explotación de sistemas para optimizar el uso de los
equipamientos. El desarrollo de sus proyectos informáticos es reportado al Jefe de
Explotación de Sistemas sólo cuando éstos están terminados. El equipo de 175
profesionales que actualmente laboran en el área de informática, está compuesto por
ingenieros de sistemas (analistas y desarrolladores), electrónicos especialistas en hardware
y sistemas de comunicación, operadores de consola, ingenieros de ejecución en
computación (programadores), expertos en redes y digitadores. Todos ellos son
administrados por el Jefe de Informática Corporativa y están bajo la dependencia de la
Gerencia de Operaciones Comerciales de la empresa. El ingeniero de sistemas quien está a
cargo del desarrollo simultáneo de varios proyectos, se turna esporádicamente en esa
función con su colega de explotación de sistemas, a objeto de que en cada desarrollo se
considere la particular expertiz de cada uno y se puedan lograr sistemas que ambos
dominen en forma previa a su explotación. A su vez cuando disponen de tiempo ejercen
algunas labores operativas de construcción de sistemas, específicamente de programación.
Debido a la premura por implantar los nuevos sistemas desarrollados se ha establecido
efectuar al momento de su implantación sólo una prueba global de ellos y que sean los
auditores computacionales o los usuarios quienes posteriormente y según necesidades
desarrollen pruebas más detalladas. Los operadores, según lo establecido en reuniones con
los usuarios, ejecutan las aplicaciones estrictamente de acuerdo al orden de llegada del
requerimiento de parte de los usuarios y de acuerdo al manual de Diseño Lógico del
sistema.

Por otra parte, el encargado de comunicaciones apoyado administrativamente por la

secretaria de su área, controla las consolas y dispositivos de comunicación de la red
informando directamente a las empresas de Carrier (empresas que prestan servicios de
comunicación) de las fallas detectadas.

Los sistemas que se procesan descentralizadamente corresponden a los de remuneraciones,

contabilidad, control de stock, control de caja, tesorería, inventarios,etc. todos ellos de
acuerdo a requerimientos propios e independientes de los supermercados Jumbo de
Kennedy y de Bilbao respectivamente, para una eficiente descentralización de recursos.
Dentro del área física del departamento de Informática en el Jumbo Bilbao y producto de la
fuerte presión de trabajo existente, el encargado de mantención de sistemas, le solicita en
algunas oportunidades a uno de los ingenieros de ejecución en computación (programador),
opere transitoriamente la unidad de disco y de cinta magnética de ambas configuraciones,
dado que él junto a otros, están casi al lado de los dispositivos y C.P.U. y pueden trabajar
sin contratiempo desde su escritorio. Dado que la empresa esta en permanentes cambios
tecnológicos, la seguridad informática de la misma se ha enfrentado comprando e
instalando un software de control de acceso de última generación en todos los
computadores y se ha contratado un muy buen seguro de paralización que, en términos
monetarios, cubre satisfactoriamente eventuales pérdidas por detención de equipos.

Por otra parte la empresa recientemente está pensando en cambiar sus procesadores de
textos y planillas de cálculo, por lo que ha autorizado a los usuarios a conseguirse estos
productos de distintos proveedores a objeto de determinar cuáles son más aplicables y
amistosos. Como política de la empresa en términos de adquisiciones se ha establecido que
para la evaluación económica de los estudios de factibilidad se considere sólo el costo de
desarrollo del sistema ya que el hardware y recurso humano para su explotación está fijo en
la empresa.

Se pide: detectar 6 debilidades (si existen), indicar para cada una de ellas Situación Actual,
Observaciones o Impacto en la Empresa y, efectuar para cada caso las recomendaciones
que correspondan.

CASO 2: Empresa pesquera EPERSA

Se dedicada a la captura, y procesamiento de cardumenes en las costas de Arica hasta

Talcahuano; posee dos plantas de gestión técnica-científica y procesamiento de harina de
pescado ubicadas en los puertos de Iquique y Talcahuano, y una oficina administrativa, de
Gerencias, comercialización y distribución en Santiago.

Para el procesamiento de la información y controles automáticos de procesos de

fabricación, tanto para su casa matriz como para sus plantas elaboradoras, cuenta con una
completa instalación computacional marca Diong-Du de procedencia Norcoreana,
recientemente adquiridas por el fiscal, abogado de vasta experiencia en comercio exterior,
mediante una directa y personal negociación técnico comercial en Buenos Aires con los
representantes de Diong-Du en Argentina para toda Latinoamérica.

Epersa desde su creación hace tres años, ha tenido un crecimiento explosivo obteniendo a la
fecha la capacidad de transporte y procesamiento mas grande en el cono sur, con una
performance de 3.500 toneladas al mes; y con ingresos anuales de US$ 1457,7 millones
entre exportaciones y el mercado nacional.

En relación a los dispositivos de respaldo de energía, y del ambiente de control físico; de

acuerdo a un informe técnico elaborado internamente por un programador, el C.P.D. cuenta
con un Grupo Electrógeno (generador de energía eléctrica por petróleo) y una U.P.S.
(sistema ininterrumpido de poder -baterías-) que soportan satisfactoriamente toda la
instalación y consumos eléctricos, no solo del piso de informática sino de todo el edificio
de las oficinas administrativas, para asegurar la continuidad de las operaciones y del
negocio (maquinas de escribir, sumadoras, lámparas, pc, estufas, cafeteras). Ambos
dispositivos están debidamente resguardados y operativos en la bodega del segundo
subterráneo junto a la C.P.U. del Diong-Du 340, cuyo acceso esta restringido por seguridad
controlado por un guardia de la empresa externa SecurOficce de reconocido prestigio
nacional.

Respecto al procesamiento de su información, sus procesos son descentralizados, pero

finalmente se consolidan en casa matriz, el cual efectúa sus propios procesos, además de las
consolidación con sus plantas.

El área de informática a nivel de empresa se encarga de desarrollar, explotar y mantener los

sistemas de información y se encuentra a cargo de un experto en informática, el Sr. Correa
(Gerente de Informática), quien a su vez forma parte del Comité de Informática.

Este comité, esta encargado de la planificación informática y de la creación solo de los

sistemas computacionales.

El Sr. Correa es parte fundamental de éste comite ya que él, en conjunto con los otros
miembros toma las decisiones de planificación y control. Dada la capacidad y experiencia
el comite acata generalmente las decisiones del Gerente de Informática.

El área de informática de cada una de las plantas, se encuentra bajo la dirección en Iquique
a cargo del Sr. Pérez, y Talcahuano de la Srta. Lopez, ambos dependen jerarquicamente de
los Gerentes de Plantas, y funcionalmente del Gerente de Informática, y sus funciones
principales fuera de las de administración del área en la planta, es la de explotación de ésta.

La empresa cuenta con tres equipos e instalaciones de características similares (no

interconectados), uno en cada planta y en casa matriz, por lo cual no requiere de convenios
de respaldo con proveedores o terceros; de fallar una instalación es posible trasladar al
personal necesario a la instalación mas cercana para continuar con los procesos. Cada
instalación cuenta con la capacidad instalada suficiente para procesar los datos de toda la
empresa EPERSA, lo cual resulta altamente conveniente cuando se presentan siniestros, ya
que no se requiere de pago de horas extras o trabajar fuera del horario normal en la
instalación que presta el respaldo.

El desarrollo de sistemas se realiza en casa matriz, bajo la supervisión del Gerente de

Desarrollo la Srta. Vera, quien depende del Gerente de Informática; cada uno de los
sistemas desarrollados es enviado tanto en sus versiones fuentes como compilados a las
distintas plantas, junto a los manuales de sistemas, de operación y de usuarios.

Además de sus actividades de gerencia de desarrollo, la Srta. Vera está encargada de

coordinar y asumir la Gerencia de Explotación de la casa matriz en períodos de vacaciones
o en ausencia del Gerente de Explotación, señor Zamorano.

Las actividades de mantención de sistemas se desarrollan en forma independiente en cada

una de las plantas y en casa matriz, lo cual es factible gracias a que en cada instalación se
encuentran instalados en la memoria de explotación los programas en sus versiones fuentes
y objetos. Producto que en las plantas no existe área de desarrollo de sistemas, las
actividades de mantención son efectuadas por un programador analista quien depende
directamente del gerente del área de cada planta.

El programador analista de cada planta además efectúa las siguientes labores:

- Decidir sobre la oportunidad y prioridades que deben darse a las actividades de

mantención de los sistemas en uso.

- Discutir y acordar verbalmente en reuniones formales con los usuarios de los sistemas en
uso, los cambios y modificaciones cuando estos lo requieran.

- Reemplazar a los operadores cuando estos se ausentan por licencias médicas o por feriado
legal.

- Llamar al servicio técnico cuando se presentan fallas en las instalaciones.

- Modificar, mediante utilitarios como el dataentry, datos e información de las bases de

datos de explotación (usuarios).

- Probar el funcionamiento de los sistemas computacionales en las bases de datos de los

usuarios.

Cada planta y la casa matriz cuenta con operadores de trayectoria, los cuales realizan las
siguientes actividades:

- Efectuar los respaldos de los sistemas en explotación, según calendario de respaldo de

documentación de las primeras versiones de sistemas.
- Llamar al servicio técnico cuando existan fallas en las instalaciones y coordinar con los
operadores de casa matriz o plantas según corresponda, la puesta en marcha del contrato de
respaldo entre las plantas y casa matriz.

- Mantener la biblioteca de respaldos de cada instalación.

- Los operadores cuentan además con una password que les permite accesar a todos los
datos con el objeto de poder efectuar las correciones a los datos que estén dificultando los
procesos.

Se pide:

1) Identificar 6 Debilidades con sus respectivos fundamentos.

2) Describir para cada uno de ellos (debilidades), la: a) Situación Actual; b) Observaciones
y c) Recomendaciones.

3) Indicar para cada una de las debilidades que tipo de seguridad conceptual es transgredida
(lógica o física). Como mínimo deberán presentarse 2 debilidades lógicas o debilidades
físicas.

Cada debilidad debidamente justificada vale un punto.

CASO 3: Proyecto Global- World

Empresa: Compañía de Seguros Vida y Generales WIG – International Corporation.

El sgte. caso esta basado en acontecimientos reales, sólo se han cambiado algunas
características, se han extraído y realzado ciertas eventualidades de experiencias personales
con el fin de mantener la confidencialidad y protección de la empresa real. ©E.Leyton G.

La Cía. de Seguros WIG I.C, esta en pleno desarrollo de su Proyecto Informático

Corporativo denominado Proyecto Global-World con alcance en todas las Oficinas de
América, Oceanía, Europa y Asia y con una clara orientación al FrontOffice de la
compañía. Este proyecto tiene como gran objetivo estandarizar y unificar todos los
procesos de negocio tanto de seguros generales como de vida para toda la corporación,
tomando en consideración sólo las buenas prácticas de negocio de su sede modelo y
principal, ubicada en New York-Estados Unidos. El desarrollo del sistema en sí, se efectúa
íntegramente en los Estados Unidos, de acuerdo a las necesidades de las distintas áreas
usuarias y países, efectuándose sólo modificaciones menores, pruebas y testeo de cada
versión o reléase del sistema en las respectivas Oficinas para ser reportados eventuales
errores, nuevamente a la sede principal. Cabe señalar que en los países y regiones
nombradas, donde ésta Cía. tiene presencia, exhibe una dotación de personal de alto nivel
profesional, sobresaliendo la heterogeneidad de sus nacionalidades (latinoamericanos,
portugueses, rusos, norteamericanos, ingleses, japoneses, entre otros) y obviamente las
propias diferencias de lenguaje, de orden cultural, social y legal de cada oficina y
empleados de ella. No obstante, para efectos del proyecto en sí y para la gestión cotidiana,
la comunicación entre las distintas oficinas se intenta utilizar el idioma inglés. Sobre el
proyecto en comento, éste tuvo su inicio en marzo de 1998 y como fecha estimada de
término en abril del 2000, con un costo estimado de US$165 millones el que a la fecha aún
sigue, en determinados Subsistemas y Submódulos, en proceso de análisis de
requerimientos en algunas áreas de negocio tanto de Chile como en otros países de la
región y continentes ya nombrados. Este proyecto como pretende consolidar todas las
prácticas de negocio apoyados por procedimientos administrativos y computacionales en
forma idéntica a lo diseñado por la sede principal, ha contratado hace unos 7 meses a un
Ingeniero Químico con alguna experiencia en procesos de negocios de seguros, de otra
compañía del rubro, para hacerse cargo de la Jefatura Integral del Proyecto Global World
en Chile e inyectar savia nueva para cumplir con los plazos estimados de términos que al
mes de abril del 2001 ya bordeaban los US$230,3 millones como costo total del proyecto.
En Estados Unidos, sede central de la Cia. y al cabo de casi 2,5 años, los cuatro Jefes de
Proyectos realizan todos los esfuerzos para concentrar el liderazgo tecnológico en un sólo
profesional para mantener así el control en forma clara y definida del proyecto corporativo;
igual situación afecta al área usuaria de la compañía para liderar el proyecto desde el punto
de vista funcional, a nivel mundial. Como antecedente adicional, para dar satisfacción a
todos los requerimientos BackOffice de la compañía, se están implementando sistemas
WorldClass o ERP (Enterprise Resource Planning- Planificación Integrada de Recursos
Empresariales) en América, Europa, Oceanía y Asia de los proveedores SAP, BaaN, JD
Edwards y Oracle Finantial respectivamente, de distintos proveedores para minimizar la
eventual incompatibilidad al consolidar la información en New York. Por otro lado, es
importante señalar que en la oficina de Chile, haciendo mérito al prestigio ganado como el
“país mas trabajador del mundo” (informe de la O.I.T. con un promedio de 2040 hrs al
año/persona) varios integrantes del equipo del Proyecto Milenio o Y2K, al término de sus
respectivas actividades del citado proyecto, inmediatamente se fueron integrando al nuevo
Proyecto Global World. En relación a la canalización de los requerimientos tanto
funcionales (de negocio) como tecnológicos, para proveer información a los analistas de
sistemas en USA, particularmente en Chile, cada área usuaria envía directamente por e-mail
sus propias necesidades de información logrando, según ellos, mayor eficiencia al efectuar
dichos envíos, el jefe de productos, la secretaria, el abogado y en general, cada potencial
usuario del futuro sistema Global-World . En el área de Tecnología de la Información (T.I.)
o Gerencia de Informática, tanto el Gerente del área como los Analistas de Sistemas,
Programadores, Jefes de Proyectos junto al recientemente contratado Ingeniero Químico, se
reúnen una vez al mes para analizar el estado de avance del proyecto en Chile ya que en
éste, como en otros países, el estado del arte del proyecto, está en las distintas etapas del
ciclo de vida del desarrollo de sistemas, es decir diagnóstico, diseño lógico-físico,
construcción, implementación y pruebas. Particularmente en Chile, para enfrentar con éxito
el proyecto, se ha aprovechado la estructura jerárquica-vertical clásica del Area de
Informática, en las cuales tanto los analistas de sistemas, programadores y operadores de
computadores cumplen eficientemente las labores de diseño, administración de la
plataforma computacional y programación indistintamente, todos bajo la dirección del jefe
de proyecto recientemente contratado. Sobre este último aspecto, es relevante mencionar lo
ocurrido recientemente en que el Gerente de Informática, en la cuarta sesión del Comité de
Informática en la cual ha presidido con reconocida efectividad desde sus inicios, con
especial orgullo mencionó los avances y éxitos del Proyecto Global-World y de lo
“orgulloso” que se siente al haber formado a dos Ingenieros Civiles en Informática que se
integraron hace dos años a la Compañía, específicamente al proyecto como expertos en
seguros y en ingeniería de software, y que ahora han migrado uno a Irlanda a una Empresa
de termonuclear y el otro a una AFP en Perú. Otro tópico tratado en el Comité de
Informática, fue la situación de una tercera profesional, con el expertiz ya señalado, que se
acoge a su prenatal, dejando sus actividades pendientes pero que la misma profesional le
aseguro al Gerente de Informática que volvería antes de lo indicado por la ley, es decir de
84 días, para no producir eventuales retrasos en el proyecto. En todo caso, tanto el Gerente
de Informática como el reciente contratado Jefe de Proyecto, argumentaron en la misma
sesión del C.de I. que se contrataría inmediatamente a cinco profesionales de nivel de
ingeniero civil en informática, con fuerte dominio en ingeniería de software e ingles, con el
fin de no retrasar el proyecto y mantener una fluida comunicación con sus pares de la Casa
Matriz. Desde el punto de vista estratégico, ha sido importante el aporte, que hiciera en su
oportunidad, el Plan Informático Consolidado de la Cia. de Seguros WIG para la
elaboración del también Plan Estratégico de Negocios de la compañía, el cual, en opinión
de muchos, constituye la definición definitiva para que la empresa se consolide en el
mercado de seguros en el mundo. Al respecto, como uno de los objetivos ahí consignados,
fue la construcción, actualmente operativo 100%, de un portal corporativo de servicios de
seguros cuya URL es www.insurance-wig.com en múltiples idiomas y en la que provee
variada información local, regional y consolidada y que para asegurar la confidencialidad
de la información e impedir la intrusión, sustracción y denegación de servicios por Internet,
se está estructurando un proyecto para dotar de elementos de seguridad informática para
impedir ataques de hackers. Finalmente, el Proyecto Global-World, desde el punto de vista
estrictamente técnico se inicio con lenguaje de bajo nivel y a la fecha, mayo del 2001,
conviven programas y subsistemas en base a códigos de alto nivel.

Se pide:

En base a los antecedentes expuestos, se le solicita a usted como Auditor de Sistemas

evaluar la razonabilidad del Proyecto Global-World y otros aspectos conexos, detectando 6
debilidades para analizarlas en el contexto ABC, del marco tradicional de la Auditoria
Computacional (CG/CA) (4 puntos).