UNIVERSIDAD

CATÓLICA
SANTO TORIBIO DE
FACULTAD DE INGENIERÍA
ESCUELA PROFESIONAL DE INGENIERÍA DE
SISTEMAS Y COMPUTACIÓN

“CONTROL INTERNO EN LA EMPRESA MARZ”

INTEGRANTE

ZULOETA LÓPEZ JHON ANDERSON

CURSO

AUDITORÍA DE SISTEMAS DE INFORMACIÓN

PROFESORA

VILLAVICENCIO MONTOYA DE PALOMINO, MONICA YOLANDA

FECHA DE PRESENTACIÓN

07 de mayo del 2020

CICLO ACADÉMICO

2020 - I
“CONTROL INTERNO EN LA EMPRESA
MARZ”

Introducción

La auditoría de sistemas de información es muy compleja donde cada auditor tiene

ciertas cualidades ya sean humanas y profesionales como la buena actitud,
responsabilidad y la correcta toma de decisiones que le permitan aprovechar al
máximo. Donde se usa de manera intensiva el procesamiento de datos para
proporcionar información con el fin de dar opinión de los resultados de cada
proceso.

En este caso se presenta el caso de la empresa MARZ que distribuye productos

como golosinas, galletas, fideos, refrescos, entre otros. La empresa como tal tiene
un plan estratégico donde uno de sus objetivos es cotizar en la bolsa de valores
de Nueva York dentro de cinco años. Para esto en el presente estudio se requiere
realizar un diagnóstico de control interno para alinearse a las leyes
internacionales.

El auditor externo se centró en la evaluación de los controles internos del área de

tecnologías de información en relación con el software ERP, centrándose en el
proceso de Gestión de acceso lógico del sistema de información cuyas debilidades
son totalmente evidenciadas a través del levantamiento de información como el
cuestionario y las pruebas realizadas en el software.
Desarrollo
Cuando nos referimos a la empresa MARZ, hablamos de una empresa de
consumo masivo que distribuye una gran variedad de productos la cual sus
operaciones son realizadas por un sistema de información “Business ERP”
soportando los procesos de compras, ventas, almacén, contabilidad y tesorería. La
cual dentro de su plan estratégico tiene como objetivo cotizar en la bolsa de
valores de Nueva York dentro de cinco años. Para ello se realizó un diagnóstico
del control interno en un área de tecnologías de información para alinearse a las
leyes internacionales.

La principal preocupación del gerente de auditoría interna es la deshabilitación de

usuarios del sistema de información correspondiente al proceso de gestión de
accesos lógicos del sistema de información. La cual se aplicó un cuestionario para
recopilar la información acerca del subproceso. Dado así la compañía tiene
procedimientos establecidos para dar de baja a las cuentas de usuarios que
consiste que el jefe de Recursos Humanos comunica por correo electrónico al
área de TI cada vez que un trabajador se desvincula, donde Mesa de ayuda
procede con la deshabilitación inmediata de las cuentas de usuario y notifica a
Recursos Humanos.

Según las pruebas realizada en base a la información obtenida se halló que no

hay un control interno dentro de la organización como en hacer revisiones
periódicas para verificar que las cuentas de usuario del personal desvinculado se
hayan deshabilitado y no se realicen operaciones después de la desvinculación,
ya que se encontró diez usuarios activos que ya cesaron durante el 2018. Donde
se mostró como evidencia que el jefe de Recursos Humanos había olvidado de
comunicar los casos al área de Tecnologías de Información.

Sin embargo, de los diez usuarios activos se identificó que el usuario pLopez
realizó una operación de aprobación de órdenes de compra el durante cuatro
meses. Dado esto se solicitó al Gerente de TI el reporte de órdenes de compras
donde se llegó a obtener que el usuario si realizó dicha acción sumando a los
3000 soles. Las preguntas como auditor fueron ¿Quién utilizó la cuenta de
usuario? ¿La gerencia tenía conocimiento de ello y lo autorizó? ¿Las operaciones
encontradas eran correctas y estaban autorizadas? Al informar al Gerente de
Auditoría interna, este le informó que Gerencia no había autorizado que la cuenta
sea utilizada por ningún colaborador, la cual se identificó al causante del hecho y
se procedió a sancionar y desvincular.
Propuesta de Solución
Para prevenir estos tipos de riesgos de tecnologías de información la compañía
debe tener supervisiones del sistema cada cierto tiempo para verificar que las
cuentas de las personas desvinculadas estén inhabilitadas y no se hayan
realizado operaciones. Esto ayuda a evitar fraudes o robos por el personal
infiltrado como sucedió en el área de compras lucrando a través de la información
falseada.

Por otro lado, según el incidente encontrado por el jefe de recursos humanos al no
avisar sobre las personas desvinculadas al área de tecnologías de información se
debe integrar o contratar al personal altamente calificado que cumpla las normas,
políticas y los lineamientos en la empresa. En caso de no cumplir o realizar las
acciones correspondientes se procede a aplicar una sanción.

Se debe incrementar el nivel de seguridad del sistema Bussiness ERP como por
ejemplo la autenticación de correo, código QR, huella dactilar, reconocimiento
facial u otro tipo de autenticación que compruebe que la persona que accede a la
cuenta del sistema sea ella misma. Esto hace que se tenga un control más
confiable con respecto al acceso de usuarios y evitar vulnerar o alterar la
información de la empresa.

Conclusión
En conclusión, la auditoría de sistemas de información es muy importante para las
empresas que tienen una visión futura, ya que, sino se provee el control interno
adecuado, seguridad y respaldo de la información se verá vulnerada a riesgos ya
sean físicos, lógicos y humanos, que lleven a fraudes no solo económicos sino de
información de la empresa.

Toda empresa debe realizar manuales de procedimientos, funciones, políticas, de

manera que los empleados de la empresa puedan identificar cuáles son las tareas
que deben realizar de acuerdo con su puesto y funciones, también que debe tener
una cultura organizacional relativamente fuerte que inculquen valores, principios e
influyan en el comportamiento y acciones de los miembros de la empresa con la
finalidad de no tener personas que quieran realizar frauden como alterar, vulnerar
o robar la información de la empresa.

Hoy en día la inseguridad de la información de la empresa se debe a la falta de

cultura organizacional y de las personas que la integran. La cual existen personas
que pueden cometer fraude o robo de la información en la empresa. Esto se ve
potenciado si hablamos de identificación y autenticación de usuarios, ya que la
responsabilidad de adoptar y obtener la política es de cada usuario, lo que es
imposible de controlar a todos los miembros de la organización. Por eso es
fundamental implementar un sistema de autenticación de usuarios para determinar
que la persona que ingresa al sistema sea ella misma.

Preguntas
1. ¿Qué activo informático menciona el caso? Complete sus datos en la tabla
siguiente.

Nro Proceso de Categoría Sub Categoría Nombre Tipo de

negocio de de Activo(a) del Activo Activo (c)
relacionado Activo(a)

1 Área de Gestión de Deshabilitación ERP Software

tecnologías accesos de usuarios del
de lógicos del sistema de
información sistema de información
información

2. ¿A qué proceso de TI y subproceso de TI hace referencia el caso?

Proceso: Gestión de accesos lógicos del Sistema de Información

Subproceso: Deshabilitación de usuarios del Sistema de Información

3. ¿Existen controles internos en dicho proceso? Descríbalos.

No existen controles internos en el proceso de Gestión de accesos lógicos de

Sistemas de Información, debido a que el Jefe de Recursos Humanos olvidó de
informar al área de tecnologías de información sobre el personal desvinculado y
también de las operaciones que realizó un usuario.

4. ¿Qué técnicas de auditoría utilizó para obtener información? Descríbalas.

Se utilizó el instrumento de recopilación de datos siendo el cuestionario para

obtener la información acerca de la forma de como se realiza el subproceso de
Deshabilitación de usuarios del sistema de información.

5. ¿Qué desviaciones identificó en el subproceso evaluado? ¿Cuáles

controles fallaron? ¿Qué riesgo de seguridad de la información está
asociado con dicha falla?
Se identificó una amenaza de un miembro de la empresa que cometió el fraude de
ordenar las compras sumando a S/. 3000. El control fallado fue del gerente de
compras debido a que se vulneró la información sin su autorización asociándose al
riesgo de pérdida financiera por alterar la información el intruso que cometió dicho
fraude.

6. ¿Qué consecuencias tuvo el no desactivar las cuentas de personal

cesado, es decir, qué hallazgos encontró?

De las diez cuentas activas del personal desvinculado, tuvo como consecuencia a
un usuario que aprobó diversas órdenes de compra que sumaron S/. 3000 durante
cuatro meses, la cual genera pérdidas financieras en la empresa.

7. ¿Qué recomendaciones daría como Auditor Externo para cada hallazgo

encontrado? Hallazgo Recomendación

Hallazgo Recomendación

10 usuarios activos de personas Realizar periódicamente una revisión de

desvinculadas contrastar la información que esta
deshabilitado las cuentas de usuario del
personal desvinculado y verificar si no han
realizado operaciones en el sistema

Usuario que realizó diversas órdenes de Verificar que el sistema compruebe la

compra sin autorización de gerencia identidad de la persona ya sea por
autenticación de usuario como
reconocimiento facial, código QR, entre
otros.

También crear una cultura organizacional

fuerte que influyan en el comportamiento
de los miembros de la empresa, para así
evitar fraudes

El olvido del jefe de Recursos Humanos Contrata personal altamente capacitado

de informar al área de tecnologías de que cumpla con las normas, políticas y
información procedimientos de la empresa. En caso de
no cumplirlas se le aplique una sanción.