Beruflich Dokumente
Kultur Dokumente
A:
Auditor Interno:
Roger Trino Trino
Mauricio Solisticio
ndice
Introduccin
Objetivos y Alcance.............................................................. 3
Resumen Ejecutivo....................................................................... 4
Estrategia de Evaluacin.............................................................. 8
Naturaleza del Problema de Negocio........................................... 9
Otras Oportunidades de Optimizacin....................................... 32
Anlisis Costo / Beneficio.......................................................... 33
Agradecimientos......................................................................... 34
Introduccin
En cumplimiento al Plan Anual de Actividades de Auditorias de la Gestin 2013, se realiz el trabajo programado: Sistema de Facturacin de
Megavisin, se evalu el sistema actual y el sistema nuevo que se encuentra en proceso de pre-implementacin.
Este trabajo de tecnologa se desarroll entre el 23/10/2013 y el 27/10/2013
Los principales objetivos de nuestra evaluacin fueron:
1.- Evaluar las polticas, normas, procedimientos e instructivos de la Compaa.
2.- Evaluar el cumplimiento de disposiciones tributarias en la facturacin.
3.- Evaluar el cumplimiento de normativas y regulaciones por la Superintendencia de Telecomunicaciones.
4.- Evaluar el proceso administrativo de la facturacin.
5.- Evaluar los controles administrativos de la facturacin.
6.- Verificar la consistencia de la emisin de facturas.
7.- Evaluar la frecuencias y causas de anulacin de facturas.
8.- Evaluar los roles y responsabilidades del personal involucrado en la facturacin.
9- Evaluar litigios asociados a la facturacin.
10.- Verificar el cumplimiento del Contrato de desarrollo del nuevo Sistema Automatizado de Facturacin.
11.- Evaluar la seguridad del sistema actual.
12.- Evaluar la integridad y consistencia del sistema actual.
13.- Evaluar el proceso de transferencia o interfase de datos del sistema actual a otros sistemas.
14.- Evaluar las polticas corporativas de seguridad de PPLG del sistema actual.
15.- Evaluar el adecuado proceso de conversin de datos al nuevo sistema.
16.- Evaluar la aceptacin de las actividades de prueba del nuevo sistema.
17.- Evaluar los controles de la aplicacin del nuevo sistema.
18.- Evaluar la infraestructura fundamental para el funcionamiento del nuevo sistema.
19.- Evaluar los controles de interfase entre los sistemas fuente y los destino.
20.- Evaluar los controles para la verificacin de resultados del nuevo sistema
21.- Evaluar los roles y responsabilidades establecidas para el personal de operaciones.
22.- Evaluar los roles, responsabilidades y conocimiento de Seguridad de la informacin.
23.- Evaluar los planes para establecer una organizacin de soporte a los usuarios.
24.- Evaluar los controles para proteger la red de de ataques externos y la seguridad de los datos
25.- Identificar otras oportunidades de optimizacin.
3
El alcance de nuestra evaluacin incluy una revisin de la facturacin del 1 junio al 31 de octubre de 2013.
Resumen Ejecutivo
En general los resultados obtenidos nos permiten identificar:
No se cuenta con Manuales Administrativos, entrega de facturas a una empresa de cobranza externa que no rindi cuentas
apropiadamente, reportes inconsistentes, excesivo numero de pasos operativos en proceso de facturacin, anulacin de
facturas cobradas a Clientes por falta de servicio de Tv. Cable, correccin y modificacin en procesos de facturacin no
documentados, Sistema Automatizado de Facturacin desarrollado por contratista externo demorado en su recepcin.
El desarrollo del Sistema de Facturacin Convergente no ha seguido un adecuado proceso de implementacin y pruebas
para la entrega final a produccin.
Adicionalmente, se identific las siguientes oportunidades de mejora:
1.-Se comprob que no se cuenta con un Manual actualizado de Procedimientos que sirva de gua en procesos de
Facturacin (Nota No.1 de Exposicin al Riesgo).
2.-Se verific que Promotores de Ventas que emiten recibos provisionales por suscripcin del Servico de Tv. Cable a
Clientes, en determinados casos no reemplazan stos por la factura respectiva una vez emitida. (Nota No.2 de
Exposicin al Riesgo).
3.- Se verific que la Compaa se encuentra realizando facturacin anticipada aproximadamente a 3.000 Clientes
desde el mes de noviembre de la gestin 2001, sin efectuar cobro del servicio al momento de facturar, como dispone
la Ley 843 del Sistema Tributario, sin autorizacin de la Superintendencia de Telecomunicaciones. (Nota No.3 de
Exposicin al Riesgo).
4.-El proceso de facturacin mensual en el Sistema Automatizado requiere efectuar 12 secuencias operativas
ordenadas con sus respectivas validaciones y verificaciones individuales. (Nota No.4 de Exposicin al Riesgo).
5.-Se evidenci que la Empresa Top Master, contratista externo, no ha presentado el descargo de la totalidad de las
facturas que les fueron entregadas para su cobranza (gestiones 2011 y 2012).(Nota No.5 de Exposicin al Riesgo).
6.-Se evidenci inconsistencias en el Sistema de Facturacin, 38 Clientes que se encuentran activos en el Sistema de
Facturacin tambien figuran como clientes sin seal desde la gestin 2011. (Nota No.6 de Exposicin al Riesgo).
Resumen Ejecutivo
7.-De acuerdo a revisin muestral, se verific la existencia de devoluciones monetarias a nombre de Clientes por facturas
anuladas que fueron emitidas y cobradas por la Compaa, por suscripcin al servicio de Tv. Cable. (Nota No.7 de
Exposicin al Riesgo).
8.-Se constat que en determinados casos los clientes solicitan cambio de paquetes de Tv. Cable o datos personales que
no son actualizados en el Sistema Automatizado de Facturacin en el mes. (Nota No.8 de Exposicin al Riesgo).
9..-Se verific que en determinados casos no se tienen documentados las correcciones y modificaciones que se efectan
en la informacin almacenada en el Sistema Automatizado de Facturacin. (Nota No.9 de Exposicin al Riesgo).
10.- Se evidenci que el nuevo Sistema de Facturacin que deba ser entregado en el mes de julio 2001, no ha sido
recibido satisfactoriamente, habindose desembolsado US$ 17.500 de un total de $us. 25.000. (Nota No.10 de
Exposicin al Riesgo).
11.-En cuanto a la seguridad del sistema podemos mencionar:
Se identific que cualquier persona que tenga un conocimiento bsico de FoxPro puede evadir el control de
contrasea e ingresar al sistema y modificar la informacin.
Se identific que la empresa VIDIVISION no cuenta con los cdigos fuente del Sistema de Clientes, depende del
desarrollador para realizar cambios o mejoras.
El sistema no realiza el registro de las transacciones importantes realizadas por los usuarios.(Nota No.11 de
Exposicin al Riesgo).
12.-Se identific que la base de datos del sistema origen contiene informacin inconsistente, se ha realizado un proceso
de depuracin; sin embargo, an existe un porcentaje aproximado del 10 % de informacin inconsistente. (Nota
No.12 de Exposicin al Riesgo).
13.-Se determin que el sistema no realiza ninguna transferencia de datos a otros sistemas de la compaa, por lo que no
existe una adecuada integridad de la informacin. (Nota No.13 de Exposicin al Riesgo).
14.-Se comprob que la seguridad de los controles de acceso, administracin de cuentas, encriptacin de informacin
sensible y registro de transacciones, no se apegan a las polticas de Seguridad Corporativas. (Nota No.14 de
Exposicin al Riesgo).
Resumen Ejecutivo
15.-Se realizaron varias conversiones de datos debido a la entrega incompleta de la nueva estructura de la Base de
datos por parte de los desarrolladores, originando que las conversiones no fueran exitosas. An no se ha
realizado la conversin completa de la Base de Datos actual. La validacin de datos fue realizada por
comparacin muestral de datos, sin la participacin de los propietarios de los datos y usuarios. (Nota No.15 de
Exposicin al Riesgo).
16.-Se observ que las pruebas fueron elaboradas por la Encargada de sistemas de Vidivisin y revisadas por los
responsables de las diversas reas, excepto presupuestos; durante el proceso de pruebas algunas fueron
documentadas, pero otras no. Las pruebas no fueron realizadas oportunamente y de manera formal por el
personal de la compaa. Las pruebas de los usuarios fueron dirigidas y supervisadas por los desarrolladores.
Durante las pruebas no se consider pruebas de estrs y rendimiento, expulsin del sistema. Los problemas
identificados fueron notificados directamente a los desarrolladores sin un escalamiento. Los datos utilizados en
las pruebas fueron una cantidad pequea de registros creados por los desarrolladores. (Nota No.16 de
Exposicin al Riesgo).
17.-Se comprob que los controles de acceso, administracin de cuentas, encriptacin de informacin sensible y
registro de transacciones, no cumplen las polticas de Seguridad Corporativas. Los programas y cdigo fuente
del sistema nuevo no se encuentran en poder de la compaa. (Nota No.17 de Exposicin al Riesgo).
18.-Se identific que no existe personal a cargo de funciones de seguridad informtica, no se tienen definidas las
funciones y responsabilidades tcnicas del personal de sistemas. Se comprob que no se cuentan con
procedimientos de resguardo y recuperacin de la base de datos, de control de cambios, plan de contingencia.
El ambiente del Centro de Procesamiento de Datos (CPD) se encuentra ubicado en un lugar improvisado de
poca seguridad. El departamento de sistemas es un ambiente compartido, no cuenta con restriccin de acceso y
la independencia adecuada. (Nota No.18 de Exposicin al Riesgo).
19.- El sistema utiliza una sola Base de datos para los diferentes mdulos por lo que no es necesario la transferencia
de datos de un mdulo a otro.
20.-Se comprob que los propietarios de los datos no tienen establecida una metodologa para verificar la exactitud
de los datos y planificacin de reportes de control para asegurar la exactitud de los datos. (Nota No.19 de
Exposicin al Riesgo).
Resumen Ejecutivo
21.-Se observ que no se han definido ni documentado las personas responsables para la programacin de procesos
automatizados, para el monitoreo del trabajo, la ayuda y soporte ante un fallo. (Nota No.20 de Exposicin al
Riesgo).
22.-Se constat que a la Encargada de Sistemas no le fueron entregadas las Polticas de Seguridad corporativas; por
lo cual no se implementaron en la compaa. (Nota No.21 de Exposicin al Riesgo).
23.-Se observ que no se complet el proceso de capacitacin a los usuarios sobre el manejo y funcionamiento del
sistema antes de las pruebas. Adems, no se entreg las guas de referencia y manual tnico del sistema. (Nota
No.22 de Exposicin al Riesgo).
24.-La red de la compaa no cuenta con un firewall de proteccin contra accesos no autorizados. No cuentan con el
diagrama de la red interna, existe dependencia a un tercero. La compaa no cuenta con un software de deteccin
de intrusos, ni procedimiento de rastreo de cuentas. Se identific la existencia de solo 10 licencias de Microsoft
Office 2000, y las instaladas en lo equipos superan a las compradas. (Nota No.23 de Exposicin al Riesgo).
25.- Otras oportunidades de Optimizacin
Se identific la existencia de facturas pendientes de cobro en el Sistema de Facturacin que datan desde la
gestin 1997 y que fueron castigadas contablemente.
Se evidenci la existencia de casos de anulacin por solicitud verbal del cliente.
Se observ un nmero significativo de facturas anuladas por desistimiento de Clientes, debido a demoras en
la instalacin de Tv. Cable.
Se constat la existencia una considerable cantidad de facturas anuladas. En el mes de enero de la gestin
2002 el nmero de facturas anuladas alcanz a 192, que representa aproximadamente un 3% de toda la
facturacin mensual.
Se comprob la necesidad de mayor asistencia y coordinacin entre las Unidades de Sistemas de las
compaas de PPLG Bolivia.
Estrategia de Evaluacin
Para lograr nuestros objetivos, desarrollamos varias acciones, que incluyen:
Entrevista con los Sres.: Claudia Krings, Gisela Sanabria y Teresa Barco.
Revisin de reportes Facturas Anuladas
Verificacin en reportes de Clientes que se encuentran con corte de servicio y con seal activa
Verificacin en reportes de Clientes que se encuentran Activos en el Sistema Automatizado y sin seal
Revisin de inconsistencias en el Sistema de Facturacin (errores facturas emitidas)
Revisin de actualizaciones en Sistema de Facturacin por cambio de paquetes
Revisin en reportes de facturas pendientes de cobro por gestiones
Revisin de devoluciones monetarias a Clientes a travs de Comprobantes de Pago, por anulacin de facturas.
Revisin de procedimientos de anulacin de facturas
Verificacin de procedimientos de facturacin
Evaluacin de procesos de implantacin del nuevo Sistema Automatizado de Facturacin
Evaluacin del funcionamiento y obtencin de reportes del actual Sistema Automatizado de Facturacin
Revisin de registros de facturacin
Anlisis de inconsistencias obtenidos a travs de reportes del Sistema Automatizado de Facturacin
Evaluacin de comunicacin y coordinacin interna con la Unidad de Sistemas Informticos.
Verificacin de procedimientos administrativos aplicados en el proceso de facturacin
Otras pruebas y tcnicas de Auditoria, como ser observacin, inspeccin, indagacin, etc.
Revisin operativa del Sistema Actual.
Pruebas realizadas en el Sistema Actual.
Revisin de la documentacin del Sistema Nuevo.
Revisin de las Pruebas realizadas en el Sistema nuevo (Claudia Krings).
Revisin de las Polticas y Normas de Seguridad de la Informacin de PPLG Latinoamerica.
Revisin de la documentacin de pruebas del Sistema nuevo.
Visita fsica a las instalaciones del departamento de sistemas.
Anlisis de los resultados de la evaluacin, desarrollo de conclusiones e identificacin de oportunidades de mejora.
Exposicin al Riesgo
Facturacin mensual
Resultados procesados y reportes obtenidos
Dependencia nica de Encargada de la Unidad
Sistemas
de
Causa Raz
Supervisin y Control de procesos Informticos.
Planificacin y organizacin Administrativa
Oportunidad de Optimizacin # 1
Se recomienda a la Gerencia General instruya a la Sub Gerencia de Operaciones con Clientes para que en coordinacin
con la Encargada de la Unidad de Sistemas se desarrolle un Manual del Usuario, que sirva de gua en los procesos de
Facturacin mensual a travs del Sistema Automatizado.
Respuesta de la Gerencia
Exposicin al Riesgo
Multas de la Direccin de Impuestos Internos
Prdida Econmica
Imagen de la Compaa
Reclamos de Clientes
Observaciones de Auditoria Externa
Causa Raz
Conocimiento de la Ley del Sistema Tributario.
Supervisin y control de Promotores de Ventas
Capacitacin del personal.
10
Exposicin al Riesgo
Multas de la Direccin de Impuestos Internos
Prdida econmica
Penalizaciones
de
la
Superintendencia
Telecomunicaciones
Flujo de Caja
Observaciones de Auditoria Externa
de
Causa Raz
11
Exposicin al Riesgo
Consistencia e integridad del proceso de facturacin
Oportuna facturacin de servicios.
Imagen de la Compaa
Calidad de servicio
Tiempo Horas/hombre
Causa Raz
Supervisin y Control comercial
Sistema Automatizado obsoleto
Supervisin del Sistema automatizado
12
Exposicin al Riesgo
Imagen de la Compaa
Calidad de servicio
Observaciones de Auditora Externa
Prdida de Clientes
Prdida econmica
Multas de la Direccin de Impuestos Internos
Causa Raz
Supervisin y control Comercial
Manual de Procedimientos
Registro de modificaciones de datos en el Sistema.
Oportunidad de Optimizacin # 5
Se recomienda a la Gerencia General instruya a la Encargada de Sistemas Informticos documentar los sustentos y respaldos
de las correcciones y/o modificaciones en el Sistema Automatizado de Facturacin.
Respuesta de la Gerencia
13
Exposicin al Riesgo
Informacin de Clientes Activos.
Imagen de la Compaa
Multas por la Direccin de Impuestos Internos.
Observaciones de Auditoria Externa
Observaciones
por
la
Superintendencia
Telecomunicaciones
de
Causa Raz
Supervisin y Control Comercial
Revisin y Anlisis de inconsistencias
Polticas de seguridad informtica
Anlisis y Depuracin de Clientes inexistentes
14
Exposicin al Riesgo
Imagen de la Compaa
Multas de la Direccin de Impuestos Internos
Observaciones de Auditoria Externa
Prdida de Clientes
Prdida econmica
Causa Raz
Supervision de Promotores de Ventas
Planificacin comercial
Cartografa de Redes Externas
15
Exposicin al Riesgo
Imagen de la Compaa
Calidad de servicio
Observaciones de Auditora Externa
Prdida de Clientes
Prdida econmica
Causa Raz
Supervisin y control Comercial
Actualizacin de datos en el Sistema Automatizado.
Manual del Usuario
Capacitacin del personal
16
Exposicin al Riesgo
Imagen de la Compaa
Perdida de Clientes
Prdida econmica
Observaciones de Auditoria Externa
Multa por la Direccin de Impuestos Internos
Causa Raz
Apropiacin indebida de fondos
Oportunidad de Optimizacin # 9
Se recomienda a la Gerencia General instruya a la Sub Gerencia de Operaciones con Clientes incorporar procesos de control
en la cobranza de facturas en los que intervienen cobradores externos.
Se recomienda a la Gerencia General instruya a la Sub Gerencia de Operaciones con Clientes proseguir con las acciones
judiciales el depsito del importe apropiado indebidamente por la Empresa Top Master.
Respuesta de la Gerencia
17
Exposicin al Riesgo
Prdida econmica
Litigios judiciales
Implantacin de nuevo Sistema de Facturacin
Imagen de la Compaa
Calidad en atencin de servicio
Causa Raz
Clusulas contractuales desfavorables.
Supervisin del Sistema automatizado de Facturacin
Programa Informtico
18
Exposicin al Riesgo
Acceso a informacin confidencial, sin registro del uso
de sta.
Integridad y consistencia de la informacin.
Dependencia al desarrollador del sistema.
Mejoras o cambios adecuados.
Causa Raz
Aceptacin de un sistema no terminado.
Desarrollo en una plataforma de poca seguridad.
Control del manejo de informacin.
19
Exposicin al Riesgo
Integridad y consistencia de la informacin.
Imagen de la Compaa.
Confiabilidad de la informacin
Satisfaccin de los clientes y usuarios.
Causa Raz
Capacitacin a los usuarios en el manejo del sistema.
Validacin y verificacin en el ingreso de datos.
20
Exposicin al Riesgo
Confiabilidad de la informacin del sistema.
Consistencia e integridad de los datos.
Actualizacin de la informacin.
Causa Raz
Adquisicin de sistemas por los anteriores propietarios.
Relacin de los datos entre los sistemas de la
compaa.
Planificacin e inversin para mejoras tecnolgicas.
21
Exposicin al Riesgo
Acceso a informacin confidencial.
Disponibilidad de informacin.
Control del manejo de la informacin.
Prdida de informacin.
Causa Raz
Aplicacin de las polticas de seguridad en el diseo.
Control y supervisin del proceso de negocio.
22
Exposicin al Riesgo
Consistencia y veracidad de la informacin.
Confiabilidad de la informacin en la Base de datos.
Satisfaccin de los clientes y usuarios.
Funcionamiento adecuado del sistema nuevo.
Prdida de datos.
Causa Raz
Estructura provisional de la Base de datos del nuevo
sistema.
Procedimiento de desarrollo e implementacin de
sistemas.
Participacin de los propietarios y usuarios.
23
Las pruebas deberan ser preparadas por los usuarios y los propietarios
de los datos, en coordinacin con la Encargada de sistemas; para la
participacin de stos en este proceso.
Las pruebas deben realizarse sin la intervencin de los desarrolladores
sobre los testeadores.
Todas las pruebas realizadas deberan ser documentadas formalmente,
como los resultados y observaciones obtenidas y realizar un
escalamiento para la revisin y supervisin.
Debera considerarse dentro este proceso las pruebas de estrs,
rendimiento y expulsin del sistema.
Los datos para las pruebas deberan ser proporcionados por la
compaa.
Exposicin al Riesgo
Funcionamiento, rendimiento y seguridad
del sistema.
Modificaciones o mejoras de requerimientos
Reclamos de los usuarios.
Ambiente de rechazo al nuevo sistema.
Causa Raz
Cronograma de pruebas.
Defincin
de
responsabilidades
y
actividades formal durante el proceso de
pruebas.
Procedimiento
de
desarrollo
e
implementacin de sistemas.
Participacin de la Alta Gerencia y del
personal de la compaa.
24
Exposicin al Riesgo
Control del manejo de la informacin.
Confiabilidad de la informacin.
Confidencialidad de cuentas, contraseas y
pistas de auditora.
Manipulacin de informacin.
Dependencia
a
los
desarrolladores
externos.
Causa Raz
Distribucin y aplicacin de las polticas se
seguridad Corporativas.
Supervisin y seguimiento al desarrollo del
sistema.
Controles y polticas de seguridad
contempladas en el diseo.
25
Exposicin al Riesgo
Integridad, consistencia y disponibilidad de la
informacin.
Seguridad fsica del equipamiento tecnolgico.
Continuidad de los servicios informticos en la
compaa.
Calidad del funcionamiento del departamento de
sistemas.
Dependencia al personal activo de sistemas.
Causa Raz
26
Exposicin al Riesgo
Integridad, consistencia de la informacin.
Veracidad y exactitud de los datos.
Ambiente de rechazo al nuevo sistema.
Confiabilidad del sistema.
Causa Raz
Planificacin para la verificar la veracidad y exactitud
de los datos.
Verificacin de los datos por los propietarios.
Supervisin en el proceso de aceptacin del sistema.
27
Exposicin al Riesgo
Continuidad de los servicios informticos en la
compaa.
Fucionamiento normal del sistema.
Ambiente de rechazo de los usuarios
Causa Raz
Estructura funcional en el departamento de sistemas.
Supervisin y planificacin de la puesta en
produccin del sistema.
Procedimiento de desarrollo e implementacin de
sistemas.
28
Exposicin al Riesgo
Integridad, consistencia y disponibilidad de la
informacin.
Seguridad de la informacin de la compaa.
Seguridad del ambiente y el equipamiento
tecnolgico de la compaa.
Continuidad del negocio.
Causa Raz
Coordinacin entre los departamentos de sistemas de
las compaas PPLG Bolivia.
29
Exposicin al Riesgo
Manejo eficiente del sistema por el personal.
Identificacin de problemas y mejoras en el
sistema.
Aceptacin de los usuarios al nuevo sistema.
Causa Raz
Cumplimiento de un cronograma elaborado por los
desarrolladores.
Entrega de la documentacin tcnica y operativa por
los desarrolladores.
Supervisin y planificacin de una mesa de ayuda
para los usuarios.
30
Exposicin al Riesgo
Integridad, consistencia y disponibilidad de la
informacin.
Continuidad de los servicios informticos en la
compaa.
Conocimiento y control del equipamiento de la red.
Penalizaciones o juicios por los propietarios de
software.
Causa Raz
Control y supervisin del software instalado en los
equipos de la compaa.
Implementacin de medidas de seguridad para la red
interna.
31
32
Los beneficios de las acciones que se tomen deberan tener como resultado lo siguiente:
33
Agradecimientos
Esta revisin fue ralizada por los auditores Jaime Aramayo Antezana y Alfonso Mauricio Lpez Zabalaga.
Auditoria agradece al personal del grupo de trabajo Claudia Krings, Gisela Sanabria y Teresa Barco por
sus contribuciones y la informacin que nos fue proporcionada.
Auditoria analiz los resultados de esta revisin con los seores Fernando Zamora, Jorge Espinoza,
Gustavo Villegas y Gisela Sanabria quienes concordaron con los resultados de la Auditoria y estuvieron de
acuerdo en aplicar los planes de accin apropiados.
Por favor, responda a las Recomendaciones para Optimizacin identificadas en este informe en las
pginas nueve a treinta y uno, indicando para cada una, el Plan de Accin y la fecha objetivo de trmino
asociada para cada recomendacin.
Esperaremos su respuesta hasta los 15 dias siguientes a la entrega de este informe.
34