Universidad Alberto Hurtado

Facultad de Economía y Negocios

Contador Público Auditor Vespertino
Auditoría de Procesos Tecnológicos

M.A.R Auditores

Programa de Auditoría
Caso JUMBO ©

Integrantes:

Marcela Fuentes Herrera

Marta Gutiérrez Jara

Profesor:

Eduardo Leyton Guerrero

20 de Mayo del 2018

 Tabla de contenido

Contenido

1. Conocimiento General_________________________________________________1
2. Objetivo General _____________________________________________________2
3. Objetivos Específicos _________________________________________________3
4. Alcance de la Auditoría ________________________________________________4
5. Metodología_________________________________________________________5
6. Programa de Auditoría_________________________________________________6
Información de Contacto ________________________________________________17
Información de la Compañía _____________________________________________17
Pág. 01 M.A.R Auditores

1. Conocimiento General

El programa de auditoría se fundamenta principalmente en el Área Tecnológica de la

cadena de Supermercados Jumbo, la cual tiene presencia en Chile, Perú, Ecuador, Bolivia
y Argentina. En el marco de la realización del programa de auditoría, se precisa que el
área a auditar es parte de un Plan Informático que contempla un período de 8 años, el
cual fue aprobado por el Comité de Informática, cuyos miembros se componen del Jefe
de Informática y los Gerentes de Áreas. El área Tecnológica posee ciento setenta y cinco
profesionales con las competencias necesarias para desenvolverse en el ámbito,
integrados por ingenieros de sistemas, electrónicos especialistas en hardware y sistemas
de comunicación, operadores de consola, ingenieros de ejecución en computación,
expertos en redes y digitadores, los cuales son dirigidos por el Jefe de Informática de la
institución y dependientes de la Gerencia de Operaciones Comerciales de la entidad. En
adición al conocimiento de las características estructurales del Área Tecnológica, se
utilizarán todos los antecedentes relevantes de la compañía que permiten comprender el
funcionamiento del área, en conjunto con la normativa COBIT 5.0 a fin de diseñar el
programa de auditoría.
Pág. 02 M.A.R Auditores

2. Objetivo General

El objetivo del presente Programa de Auditoría es diagnosticar y evaluar la calidad,

seguridad, razonabilidad y disponibilidad de la información almacenada, así como
también diagnosticar el desempeño de los sistemas desarrollados internamente y los
recursos tecnológicos empleados por el Área de Tecnologías de la información del
Supermercado JUMBO. Es crucial que a través del conocimiento general y específico
del área a auditar de la compañía se logre obtener información valiosa respecto de sus
operaciones, a fin de lograr emitir sugerencias oportunas, que enriquezcan la forma en
que opera el área específica de esta organización. De este modo se identificarán sus
puntos débiles y se entregarán recomendaciones incluyendo medidas correctivas
oportunas para prevenir y tratar debilidades en el área.
Pág. 03 M.A.R Auditores

3. Objetivos Específicos

A partir del objetivo general designado, se requiere de los siguientes objetivos

específicos para lograr diagnosticar y evaluar el funcionamiento de los sistemas, recursos
e información administrado por el Área Tecnológica:

• Analizar la estructura y cultura organizacional para determinar las áreas que

comprende la compañía y la forma en que éstas se relacionan y dependen entre
ellas.
• Examinar las operaciones que se llevan a cabo en el Área Tecnológica para
comprender holísticamente el funcionamiento de la unidad, registrando el
alineamiento de los profesionales con las actividades ejecutadas.
• Examinar el Plan Informático de la entidad a fin de descubrir la obtención de
resultados de acuerdo a los lineamientos estipulados.
• Identificar los roles de los jefes y empleados del área, con el fin de detallar las
responsabilidades que conservan los trabajadores de la entidad, comprobando
segregación de funciones e idoneidad y pertinencia del cargo.
• Analizar el cumplimiento de las normas, políticas y procedimientos relacionadas
al desarrollo de sistemas internos.
• Revisar el manual de procedimientos del Área Tecnológica para evaluar las
operaciones que llevan a cabo los empleados.
• Identificar los recursos generados por la compañía internamente y aquellos
adquiridos externamente para determinar peligros asociados a estas labores.
• Analizar el control y seguridad de la entidad en materia del Área Tecnológica.
• Evaluar el plan de continuidad de la institución respecto a sus labores informáticas.
Pág. 04 M.A.R Auditores

4. Alcance de la Auditoría

La auditoría del área Tecnológica se desarrollará en el marco del direccionamiento

provisto por el objetivo general y objetivos específicos estipulados. Debido a que la
información y las herramientas tecnológicas son activos primordiales en una
organización que se sustenta considerablemente en procesos tecnológicos, se utilizará
información fidedigna que la empresa posee de acuerdo a sus planes, manuales de
procedimientos, políticas, normativas, las cuales son manejadas por el Área de
Tecnologías.
Adicionalmente, se utilizará como fuente esencial del conocimiento de la entidad
recursos tecnológicos tales como: hardware, software, bases de datos, sistemas, etcétera;
a su vez se recurrirá a las características del componente humano que da lugar a las
prácticas que se efectúan en el área a evaluar. A fin de realizar la auditoría, el desarrollo
del trabajo se define en las Área Tecnológicas situadas en las sucursales de Bilbao y
Kennedy, correspondientes al dominio de Supermercados Jumbo en Santiago de Chile,
la cual abarcará el periodo correspondiente entre el 01 de Junio al 30 de Noviembre del
año 2018.
Pág. 05 M.A.R Auditores

5. Metodología

La metodología empleada para el desarrollo de la auditoría se compone de diversos

elementos requeridos a fin de conseguir los objetivos seleccionados para este trabajo.
Bajo este concepto, el análisis que comprende las actividades a realizarse para auditar la
compañía está netamente basado en el estándar COBIT 5.0 y en los controles de las
normas que permiten gestionar la seguridad de la información en una empresa,
protegiendo la confidencialidad, integridad y disponibilidad de ésta.

Es conveniente enfatizar que se recopilará información y evidencia mediante la

aplicación de pruebas de cumplimiento, pruebas sustantivas y pruebas analíticas a las
actividades determinadas que abordan el conocimiento general, específico y
complementaria de la entidad. Conjuntamente, con el propósito de lograr recabar
información respecto de los procesos del Área Tecnológica de la compañía, utilizamos
los siguiente medios:

• Entrevistas a empleados, asesores y miembros directos e indirectos del área.

• Observación de las actividades efectuadas en el área y el ambiente de trabajo en
las dependencias del supermercado.
• Documentación de diversa índole y necesaria para obtener información.
• Resúmenes de datos, análisis, gráficas e indicadores de desempeño.
• Reuniones con encargado del área de Tecnología, profesionales y técnicos.
Pág. 06 M.A.R Auditores

6. Programa de Auditoría

Descripción de Actividades Fecha Observaciones Responsable COBIT 5.0

I.- Gestión de inicio de auditoría

1. Carta inicio de auditoría. MGJ
2. Recepción de notificación MFH
de inicio de auditoría.
3. Carta de resguardo. MFH
4. Carta de Responsabilidad MGJ
SVS385.
II.- Obtención de Información General
1. Registrar información de MGJ
la clase, de rubro y presencia
de sucursales en el país y en
el extranjero de la entidad.

2. Solicitar escritura de acta MFH

constitutiva y estatutos de la
compañía en conjunto de
documentación de respaldo
con todas las modificaciones
realizadas a la fecha.
3. Solicitar modelo de MGJ
negocio de la institución.
4. Requerir organigrama de MGJ
estructura organizacional y
personal actualizado de las
sucursales de la compañía a
auditar.
5. Solicitar manual de MFH
reclutamiento y
Pág. 07 M.A.R Auditores

desvinculaciones de la
institución.
6. Solicitar datos estadísticos MFH
de la cantidad de empleados,
organizados por género y
rango etario de las sucursales
a auditar.
7. Solicitar perfil de cargo de MGJ
empleados de la institución.
8. Solicitar mapa de la MFH
organización física de las
áreas de las sucursales a
auditar.
9. Requerir Presupuesto
General de la Institución.
10. Solicitar acceso a actas e MFH
informes que acrediten el
plan estratégico de la entidad.
11. Solicitar acta constitutiva MFH
de comité de informática y
sus miembros.
3. III.- Obtención de Información Específica
1. Solicitud de auditorías MGJ
informáticas anteriores.
2. Solicitar Presupuesto MGJ
asignado para el Área de
Tecnologías.
3. Solicitar a RRHH MFH
contratos de trabajo de
funcionarios del Área de
Tecnología de la entidad y
análisis respectivo de
puestos, asociado al perfil de
cargo.
Pág. 08 M.A.R Auditores

4. Solicitar estadísticas de MGJ

contratación y
desvinculación de personal
del Área Tecnológica.
5. Requerir el Plan MFH
Informático de la compañía
adjuntando toda la
documentación que
complemente dicho plan.
6. Solicitar manual que MFH
contenga normativa y
políticas informáticas
vigentes en la compañía.
7. Solicitar manual de MFH
procesos y procedimientos
del Área de Tecnología.
8. Solicitar documentación MGJ
de inventarios históricos
sobre equipamiento de
hardware y software.
9. Solicitar ficha técnica de MGJ
los sistemas de información
que soportan los procesos de
negocio.
10. Solicitar informe de MFH
infraestructura física,
incluyendo bienes muebles e
inmuebles correspondientes
al Área de Tecnologías.

11. Solicitar antecedentes MGJ

históricos sobre desarrollo de
sistemas internos, mediante
cartera de sistemas de la
entidad.
Pág. 09 M.A.R Auditores

12. Requerir antecedentes de MGJ

adquisición de sistemas
externos con sus
correspondientes
justificaciones y detalles de
administración.

13. Solicitud información de MFH

mecanismos de seguridad
física y lógica utilizada para
el acceso y/o mantención de
equipos y sectores de la
entidad.

14. Solicitud de MGJ

documentación que
especifique los tipos de
controles aplicados en el
Área de Tecnologías de la
información.
15. Solicitar plan de MFH
continuidad del Área de
Tecnologías.
IV.- Obtención Información Complementaria
1. Solicitar reporte de plan de MGJ
trabajo detallado del
desarrollo y explotación de
sistemas internos, los cuales
incluyen descripciones de
tiempo utilizado para
gestionar un sistema,
objetivo y uso institucional.
2. Solicitar documentación MFH
respecto a la seguridad de la
información almacenada en
Pág. 10 M.A.R Auditores

la base de datos de la
institución.
3. Solicitar inventario de MFH
equipos y recursos
tecnológicos físicos que
operan en la entidad.

V.- Procedimiento de Auditoría

A. Pruebas de cumplimiento
1. Analizar el MFH APO001
establecimiento de la
estructura organizativa
interna y externa que refleje
las necesidades del negocio
y las prioridades de TI.
Corroborar que la
implementación de las
estructuras de gestión
requeridas, permiten que la
toma de decisiones se lleve a
cabo de forma eficiente y
eficaz.
2. Verificar regularmente la MGJ APO001
adecuación y la eficacia de la
estructura organizativa,
revisando todo tipo de
modificación, cambio o datos
sobre la organización, de
manera tal que se mantenga
la documentación legal
actualizada de la empresa.
3. Identificar el MFH APO001
establecimiento y
mantención de una estructura
óptima de enlace,
comunicación y coordinación
entre el negocio y las
Pág. 11 M.A.R Auditores

funciones de TI dentro de la
empresa y con entidades no
pertenecientes a la empresa.
4. Comprobar el alcance, las MGJ APO001
funciones internas y externas,
los roles internos, externos,
las capacidades y los
derechos de decisión
requeridos, incluidas
actividades de TI realizadas
por terceras personas.
5. Identificar la implicación MFH APO001
de las partes interesadas
críticas para la toma de
decisiones. Analizar el
cumplimiento de perfil de
cargo diseñados por la
entidad y obtener claridad de
los trabajadores que rendirán
cuenta, que son responsables,
que deben ser consultados
y/o informados.
6. Distinguir los roles y MGJ APO002
responsabilidades relativos al
ámbito tecnológico diseñado
para todo el personal de la
empresa, de acuerdo con las
necesidades y los objetivos
del negocio y evaluar la
forma en que se pone en
práctica cotidianamente.
7. Comparar las políticas MFH APO002
incluidas en el manual del
proceso de continuidad del
servicio de TI con la
implementación de éstas.
8. Evaluar la autoridad y MGJ APO002
recursos disponibles que
Pág. 12 M.A.R Auditores

posee el personal a fin de

revisar si pueden llevar a
cabo sus labores y
responsabilidades conforme
a su rol en la entidad.
9. Analizar el tiempo MFH APO007
contemplado para realizar
contrataciones y
desvinculaciones asociadas
al personal de la empresa,
para evaluar el cumplimiento
y la eficacia del
procedimiento de acuerdo a
los manuales emitidos por la
institución.
10. Verificar que el personal MFH APO007
que trabaja en el área TI se
encuentre actualizado,
mediante la solicitud del
listado actualizado a la
Gerencia de RRHH.
11. Realizar observación y MGJ APO007
entrevistas con los
trabajadores para realizar
triangulación del perfil de
cada cargo y el cumplimiento
que se le da a sus funciones.
12. Evaluar la relación costo MFH APO006
-beneficio existente para el
área de TI, con el objeto de
optimizarlos y si están acorde
con los objetivos de la
gerencia. Proporcionar
recursos suficientes
cualificados para dar soporte
al proceso. Los costos de los
servicios se asignan de
manera equitativa.
Pág. 13 M.A.R Auditores

13. Corroborar que el MGJ APO007

personal es competente y
tiene habilidades respecto de
su cargo a realizar, las
contrataciones deben
mantenerse según las
políticas y procedimientos
definidos por la Institución.
14. Analizar las relaciones MFH APO008
del personal a cargo de los
sistemas de TI frente a
soporte relacionado a
problemas que ponen en
riesgo la continuidad de las
operaciones de empleados
fuera del área, que trabajan
con los recursos
tecnológicos.
15. Revisar que el plan de MGJ AP002
continuidad del área de
Tecnología se encuentre
vigente y acorde a lo
planeado.
16. Verificar que los datos se MFH MEA01.15.
encuentren seguros, a través
de controles y medidas
implementadas del programa
que corresponde.
17. Corroborar que el área de MGJ BAI01.07
TI emite los informes sobre
los planes de trabajo
detallados, se controla el
tiempo utilizado mediante
una orden de trabajo interna y
una revisión post -
implementación.
Pág. 14 M.A.R Auditores

B. Pruebas sustantivas
1. Evaluar la fiabilidad, MFH APO006
eficacia y los costos de los
servicios en relación a los
presupuestos, los cuales debe
ser comparados con precisión
con los costos reales y
revisar la información en
conjunto con los registros
contables.
2. Verificar que el modelo de MGJ APO006
presupuesto definido y
asignado se utilice de forma
responsable, debidamente
autorizado por la jefatura
correspondiente.
Adicionalmente, revisar que
los montos se ajusten a la
cotizaciones exigidas en el
procedimiento de compras y
que se mantenga su
pertinencia y adecuación de
la Organización.
3. Revisar la gestión de los MFH BAI001.03
compromisos de las partes
interesadas del área, respecto
del comité de informática y
sus miembros para asegurar
un intercambio activo de
información precisa,
consistente y oportuna,
dejando clara estipulaciones
sobre cualquier cambio
efectuado, el cual debe ser
informado de forma
oportuna.
4. Realizar comparación MGJ APO005
respecto al gasto en el plan
Pág. 15 M.A.R Auditores

estratégico en función de la
obtención de los resultados
esperados.
5. Analizar la existencia de MFH APO11
inventarios de los software y
hardware del área de TI en
conjunto con el auditor
experto en tecnologías, para
verificar que los recursos
presentes en el inventario
existan y estén disponibles en
la entidad.
6. Cotejar la existencia de MGJ APO011
sistemas desarrollados
internamente con la
documentación de la ficha
técnica del sistema en
cuestión.
7. Analizar el control de MFH APO008
seguridad de la información y
base de datos, mediante
revisión de canales de
divulgación de datos y
monitoreo de distribución de
información.
C. Pruebas Analíticas
1. Revisar el porcentaje de MFH APO006
inversión, respecto al
presupuesto diseñado y
aprobado por la
Organización.
2. Frecuencia con la que se MGJ APO005
realiza la revisión de los
contratos de trabajo vigentes
del personal de TI, con el fin
de revisar la eliminación del
personal finiquitado.
Pág. 16 M.A.R Auditores

3. Calcular mediante a MFH APO011

gráficos e indicadores, la
necesidad de desarrollar
ciertos sistemas
implementados por los
desarrolladores de la
institución a fin de
comprender si los recursos
generados tienen impacto
positivo en las labores de los
empleados que utilizan
dichos sistemas.
VIII. Gestión de Cierre de Auditoría
1. Revisar los hallazgos de la Se realiza en Equipo
auditoría relacionada a las reunión de
actividades estipuladas en el cierre.
proceso.
2. Formular conclusiones Se realiza en Equipo
respecto a los procedimientos reunión de
efectuados. cierre.
3. Realizar recomendaciones MFH
pertinentes a la entidad a
partir de las conclusiones
obtenidas de la auditoría del
Área de Tecnología.
Pág. 17 M.A.R Auditores

Información de Contacto

Nombre Nombre
Marcela Fuentes H. Marta Gutiérrez J.
Auditor líder Auditor
Tel. +56 2 5100001 Tel. +56 2 5100002
E-mail. E-mail.
mfuentesh@mar- mgutierrezj@mar-
auditores.cl auditores.cl

Información de la Compañía
M.A.R Auditores
Alberto Hurtado 555, Santiago
Tel. + 56 2 5100000
Fax + 56 2 5100050
www.mar-auditores.cl