Beruflich Dokumente
Kultur Dokumente
Auditoría Interna
• Introducción
» Objetivos y Alcance.............................................................. 3
• Resumen Ejecutivo....................................................................... 4
• Estrategia de Evaluación.............................................................. 8
• Naturaleza del Problema de Negocio........................................... 9
• Otras Oportunidades de Optimización....................................... 32
• Análisis Costo / Beneficio.......................................................... 33
• Agradecimientos......................................................................... 34
2
Introducción
En cumplimiento al Plan Anual de Actividades de Auditorias de la Gestión 2013, se realizó el trabajo programado: “Sistema de Facturación de
Megavisión”, se evaluó el sistema actual y el sistema nuevo que se encuentra en proceso de pre-implementación.
Este trabajo se desarrolló entre el 23/10/2013 y el 27/10/2013
Los principales objetivos de nuestra evaluación fueron:
1.- Evaluar las políticas, normas, procedimientos e instructivos de la Compañía.
2.- Evaluar el cumplimiento de disposiciones tributarias en la facturación.
3.- Evaluar el cumplimiento de normativas y regulaciones por la Superintendencia de Telecomunicaciones.
4.- Evaluar el proceso administrativo de la facturación.
5.- Evaluar los controles administrativos de la facturación.
6.- Verificar la consistencia de la emisión de facturas.
7.- Evaluar la frecuencias y causas de anulación de facturas.
8.- Evaluar los roles y responsabilidades del personal involucrado en la facturación.
9- Evaluar litigios asociados a la facturación.
10.- Verificar el cumplimiento del Contrato de desarrollo del nuevo Sistema Automatizado de Facturación.
11.- Evaluar la seguridad del sistema actual.
12.- Evaluar la integridad y consistencia del sistema actual.
13.- Evaluar el proceso de transferencia o interfase de datos del sistema actual a otros sistemas.
14.- Evaluar las políticas corporativas de seguridad de PPLG del sistema actual.
15.- Evaluar el adecuado proceso de conversión de datos al nuevo sistema.
16.- Evaluar la aceptación de las actividades de prueba del nuevo sistema.
17.- Evaluar los controles de la aplicación del nuevo sistema.
18.- Evaluar la infraestructura fundamental para el funcionamiento del nuevo sistema.
19.- Evaluar los controles de interfase entre los sistemas fuente y los destino.
20.- Evaluar los controles para la verificación de resultados del nuevo sistema
21.- Evaluar los roles y responsabilidades establecidas para el personal de operaciones.
22.- Evaluar los roles, responsabilidades y conocimiento de Seguridad de la información.
23.- Evaluar los planes para establecer una organización de soporte a los usuarios.
24.- Evaluar los controles para proteger la red de de ataques externos y la seguridad de los datos
25.- Identificar otras oportunidades de optimización.
El alcance de nuestra evaluación incluyó una revisión de la facturación del 1 junio al 31 de octubre de 2013.
3
Estrategia de Evaluación
4
Resumen Ejecutivo
En general los resultados obtenidos nos permiten identificar:
No se cuenta con Manuales Administrativos, entrega de facturas a una empresa de cobranza externa que no rindió
cuentas apropiadamente, reportes inconsistentes, excesivo numero de pasos operativos en proceso de facturación,
anulación de facturas cobradas a Clientes por falta de servicio de Tv. Cable, corrección y modificación en procesos de
facturación no documentados, Sistema Automatizado de Facturación desarrollado por contratista externo demorado en
su recepción.
El desarrollo del Sistema de Facturación Convergente no ha seguido un adecuado proceso de implementación y
pruebas para la entrega final a producción.
Adicionalmente, se identificó las siguientes oportunidades de mejora:
1.-Se evidenció que la Empresa Top Master, contratista externo, no ha presentado el descargo de la totalidad de
las facturas que les fueron entregadas para su cobranza (gestiones 2009 y 2010). (Nota No.1 de Exposición al
Riesgo).
2.- Se observó que las pruebas fueron elaboradas por la Encargada de sistemas de MegaVision y revisadas por los
responsables de las diversas áreas, excepto presupuestos; durante el proceso de pruebas algunas fueron
documentadas, pero otras no. (Nota No.2 de Exposición al Riesgo).
3.- Se verificó que la Compañía se encuentra realizando facturación anticipada aproximadamente a 3.000 Clientes
desde el mes de noviembre de la gestión 2011, sin efectuar cobro del servicio al momento de facturar, como
dispone la Ley 843 del Sistema Tributario, sin autorización de la Superintendencia de Telecomunicaciones. (Nota
No.3 de Exposición al Riesgo).
4.-El proceso de facturación mensual en el Sistema Automatizado requiere efectuar 12 secuencias operativas
ordenadas con sus respectivas validaciones y verificaciones individuales. (Nota No.4 de Exposición al Riesgo).
5.-Se evidenció que la Empresa Top Master, contratista externo, no ha presentado el descargo de la totalidad de
las facturas que les fueron entregadas para su cobranza (gestiones 2011 y 2012).(Nota No.5 de Exposición al
Riesgo).
6.-Se evidenció inconsistencias en el Sistema de Facturación, 38 Clientes que se encuentran activos en el Sistema
de Facturación tambien figuran como clientes sin señal desde la gestión 2011. (Nota No.6 de Exposición al
Riesgo). 5
Resumen Ejecutivo
7.-De acuerdo a revisión muestral, se verificó la existencia de devoluciones monetarias a nombre de Clientes por
facturas anuladas que fueron emitidas y cobradas por la Compañía, por suscripción al servicio de Tv. Cable. (Nota
No.7 de Exposición al Riesgo).
8.-Se constató que en determinados casos los clientes solicitan cambio de paquetes de Tv. Cable o datos personales
que no son actualizados en el Sistema Automatizado de Facturación en el mes. (Nota No.8 de Exposición al
Riesgo).
9..-Se verificó que en determinados casos no se tienen documentados las correcciones y modificaciones que se
efectúan en la información almacenada en el Sistema Automatizado de Facturación. (Nota No.9 de Exposición al
Riesgo).
10.- Se evidenció que el nuevo Sistema de Facturación que debía ser entregado en el mes de julio 2011, no ha sido
recibido satisfactoriamente, habiéndose desembolsado US$ 17.500 de un total de $us. 25.000. (Nota No.10 de
Exposición al Riesgo).
11.-En cuanto a la seguridad del sistema podemos mencionar:
• Se identificó que cualquier persona que tenga un conocimiento básico de FoxPro puede evadir el control de
contraseña e ingresar al sistema y modificar la información.
• Se identificó que la empresa MEGAVISION no cuenta con los códigos fuente del Sistema de Clientes,
depende del desarrollador para realizar cambios o mejoras.
• El sistema no realiza el registro de las transacciones importantes realizadas por los usuarios.(Nota No.11 de
Exposición al Riesgo).
12.-Se identificó que la base de datos del sistema origen contiene información inconsistente, se ha realizado un
proceso de depuración; sin embargo, aún existe un porcentaje aproximado del 10 % de información inconsistente.
(Nota No.12 de Exposición al Riesgo).
13.-Se determinó que el sistema no realiza ninguna transferencia de datos a otros sistemas de la compañía, por lo que
no existe una adecuada integridad de la información. (Nota No.13 de Exposición al Riesgo).
14.-Se comprobó que la seguridad de los controles de acceso, administración de cuentas, encriptación de información
sensible y registro de transacciones, no se apegan a las políticas de Seguridad Corporativas. (Nota No.14 de
Exposición al Riesgo). 6
Resumen Ejecutivo
15.-Se realizaron varias conversiones de datos debido a la entrega incompleta de la nueva estructura de la Base de
datos por parte de los desarrolladores, originando que las conversiones no fueran exitosas. Aún no se ha
realizado la conversión completa de la Base de Datos actual. La validación de datos fue realizada por
comparación muestral de datos, sin la participación de los propietarios de los datos y usuarios. (Nota No.15 de
Exposición al Riesgo).
16.-Se observó que las pruebas fueron elaboradas por la Encargada de sistemas de Vidivisión y revisadas por los
responsables de las diversas áreas, excepto presupuestos; durante el proceso de pruebas algunas fueron
documentadas, pero otras no. Las pruebas no fueron realizadas oportunamente y de manera formal por el
personal de la compañía. Las pruebas de los usuarios fueron dirigidas y supervisadas por los desarrolladores.
Durante las pruebas no se consideró pruebas de estrés y rendimiento, expulsión del sistema. Los problemas
identificados fueron notificados directamente a los desarrolladores sin un escalamiento. Los datos utilizados en
las pruebas fueron una cantidad pequeña de registros creados por los desarrolladores. (Nota No.16 de
Exposición al Riesgo).
17.-Se comprobó que los controles de acceso, administración de cuentas, encriptación de información sensible y
registro de transacciones, no cumplen las políticas de Seguridad Corporativas. Los programas y código fuente del
sistema nuevo no se encuentran en poder de la compañía. (Nota No.17 de Exposición al Riesgo).
18.-Se identificó que no existe personal a cargo de funciones de seguridad informática, no se tienen definidas las
funciones y responsabilidades técnicas del personal de sistemas. Se comprobó que no se cuentan con
procedimientos de resguardo y recuperación de la base de datos, de control de cambios, plan de contingencia. El
ambiente del Centro de Procesamiento de Datos (CPD) se encuentra ubicado en un lugar improvisado de poca
seguridad. El departamento de sistemas es un ambiente compartido, no cuenta con restricción de acceso y la
independencia adecuada. (Nota No.18 de Exposición al Riesgo).
19.- El sistema utiliza una sola Base de datos para los diferentes módulos por lo que no es necesario la transferencia
de datos de un módulo a otro.
20.-Se comprobó que los propietarios de los datos no tienen establecida una metodología para verificar la exactitud
de los datos y planificación de reportes de control para asegurar la exactitud de los datos. (Nota No.19 de
Exposición al Riesgo).
7
Resumen Ejecutivo
21.-Se observó que no se han definido ni documentado las personas responsables para la programación de procesos
automatizados, para el monitoreo del trabajo, la ayuda y soporte ante un fallo. (Nota No.20 de Exposición al
Riesgo).
22.-Se constató que a la Encargada de Sistemas no le fueron entregadas las Políticas de Seguridad corporativas; por
lo cual no se implementaron en la compañía. (Nota No.21 de Exposición al Riesgo).
23.-Se observó que no se completó el proceso de capacitación a los usuarios sobre el manejo y funcionamiento del
sistema antes de las pruebas. Además, no se entregó las guías de referencia y manual técnico del sistema. (Nota
No.22 de Exposición al Riesgo).
24.-La red de la compañía no cuenta con un firewall de protección contra accesos no autorizados. No cuentan con el
diagrama de la red interna, existe dependencia a un tercero. La compañía no cuenta con un software de
detección de intrusos, ni procedimiento de rastreo de cuentas. Se identificó la existencia de solo 10 licencias de
Microsoft Office 2007, y las instaladas en lo equipos superan a las compradas. (Nota No.23 de Exposición al
Riesgo).
25.- Otras oportunidades de Optimización
• Se identificó la existencia de facturas pendientes de cobro en el Sistema de Facturación que datan desde la
gestión 2007 y que fueron castigadas contablemente.
• Se evidenció la existencia de casos de anulación por solicitud verbal del cliente.
• Se observó un número significativo de facturas anuladas por desistimiento de Clientes, debido a demoras en
la instalación de Tv. Cable.
• Se constató la existencia una considerable cantidad de facturas anuladas. En el mes de enero de la gestión
2012 el número de facturas anuladas alcanzó a 192, que representa aproximadamente un 3% de toda la
facturación mensual.
• Se comprobó la necesidad de mayor asistencia y coordinación entre las Unidades de Sistemas de las
compañías de MEGAVISION en Bolivia.
8
Naturaleza del Problema de Negocio
1 Cobranza Empresa Top Master Exposición al Riesgo
• Se evidenció que la Empresa Top Master, contratista externo, no
ha presentado el descargo de la totalidad de las facturas que les
fueron entregadas para su cobranza (gestiones 2009 y 2010).
• De acuerdo a inventario realizado, la Empresa Top Master no
presento el descargo de 173 facturas que les fueron entregadas
para su cobranza por un importe de US$ 4.133. Causa Raíz
• La Compañía inicio acciones legales contra la Empresa Top
Master sobre esa irregularidad, sin obtener un resultado positivo
a la fecha.
Criterio
Oportunidad de Optimización
Respuesta de la Gerencia
9
Naturaleza del Problema de Negocio
2.-Procesos de pruebas Exposición al Riesgo
Se observó que las pruebas fueron elaboradas por la Encargada de sistemas de
MegaVision y revisadas por los responsables de las diversas áreas, excepto
presupuestos; durante el proceso de pruebas algunas fueron documentadas, pero
otras no. Las pruebas no fueron realizadas oportunamente y de manera formal
por el personal de la compañía. Las pruebas de los usuarios fueron dirigidas y
supervisadas por los desarrolladores. Durante las pruebas no se consideró
pruebas de estrés y rendimiento, expulsión del sistema. Los problemas
identificados fueron notificados directamente a los desarrolladores sin un
escalamiento. Los datos utilizados en las pruebas fueron una cantidad pequeña Causa Raíz
de registros creados por los desarrolladores.
Criterio
Respuesta de la Gerencia
10
Naturaleza del Problema de Negocio
Criterio
Respuesta de la Gerencia
11
Naturaleza del Problema de Negocio
4. Sistema de Facturación inconsistente
Exposición al Riesgo
• Se evidencio inconsistencias en el Sistema de Facturación,
38 Clientes que se encuentran activos en el Sistema de
Facturación también figuran como clientes sin señal desde la
gestión 2009 .
Criterio
Causa Raíz
Respuesta de la Gerencia
12
Naturaleza del Problema de Negocio
Causa Raíz
Criterio
Respuesta de la Gerencia
13
Naturaleza del Problema de Negocio
Criterio
Oportunidad de Optimización
Respuesta de la Gerencia
14
Naturaleza del Problema de Negocio
Criterio
Respuesta de la Gerencia
15
Naturaleza del Problema de Negocio
Respuesta de la Gerencia
16
Naturaleza del Problema de Negocio
Criterio
.
Respuesta de la Gerencia
17
Naturaleza del Problema de Negocio
Criterio
Respuesta de la Gerencia
18
Naturaleza del Problema de Negocio
Respuesta de la Gerencia
19
Naturaleza del Problema de Negocio
Causa Raíz
Criterio
Respuesta de la Gerencia
20
Naturaleza del Problema de Negocio
Criterio
Respuesta de la Gerencia
21
Naturaleza del Problema de Negocio
Respuesta de la Gerencia
22
Naturaleza del Problema de Negocio
Exposición al Riesgo
15.- Responsabilidad en procesos automatizados
• Se observó que no se han definido ni documentado las personas
responsables para la programación de procesos automatizados,
para el monitoreo, la ayuda y soporte ante un fallo.
Respuesta de la Gerencia
23
Naturaleza del Problema de Negocio
16.- Ambientes inadecuados y seguridad informatica
• Se identificó que no existe personal a cargo de funciones de seguridad Exposición al Riesgo
informática.
• No se tienen definidas las funciones y responsabilidades técnicas del
personal de sistemas.
• Se comprobó que no se cuentan con procedimientos de resguardo y
recuperación de la base de datos, de control de cambios, plan de
contingencia.
• El ambiente del CPD se encuentra ubicado en un lugar improvisado de poca
seguridad. Causa Raíz
• El departamento de sistemas es un ambiente compartido, no cuenta con
restricción de acceso y la independencia adecuada.
Criterio
Respuesta de la Gerencia
24
Naturaleza del Problema de Negocio
Criterio
Oportunidad de Optimización
Respuesta de la Gerencia
25
Naturaleza del Problema de Negocio
Causa Raíz
Criterio
Respuesta de la Gerencia
26
Naturaleza del Problema de Negocio
Criterio
Respuesta de la Gerencia
27
Naturaleza del Problema de Negocio
20.-Estructura de base de datos Exposición al Riesgo
• Se realizaron varias conversiones de datos debido a la entrega
incompleta de la nueva estructura de la Base de datos por parte
de los desarrolladores, originando que las conversiones no
fueran exitosas. Aún no se ha realizado la conversión completa
de la Base de Datos actual.
• La validación de datos fue realizada por comparación muestral
de datos, sin la participación de los propietarios de los datos y
usuarios Causa Raíz
Criterio
Respuesta de la Gerencia
28
Naturaleza del Problema de Negocio
Criterio
Respuesta de la Gerencia
29
Naturaleza del Problema de Negocio
22.- Limitaciones en sistema de Red
• La red de la compañía no cuenta con un firewall de protección Exposición al Riesgo
contra accesos no autorizados.
• No cuentan con el diagrama de la red interna, existe dependencia
a un tercero.
• La compañía no cuenta con un software de detección de intrusos,
ni procedimiento de rastreo de cuentas.
• Se identificó la existencia de solo 10 licencias de Microsoft Office
2010, y las instaladas en lo equipos superan a las compradas
Causa Raíz
Criterio
Respuesta de la Gerencia
30
Naturaleza del Problema de Negocio
Respuesta de la Gerencia
31
Naturaleza del Problema de Negocio
Criterio
Respuesta de la Gerencia
32
Naturaleza del Problema de Negocio
Criterio
Causa Raíz
Respuesta de la Gerencia
33
Otras oportunidades de optimización
Estos son otras oportunidades de mejora que se ofrecen para la consideración de la gerencia:
• Se verificó la existencia de facturas pendientes de cobro en el Sistema de Facturación que datan desde la gestión 2007 y que ya fueron castigadas
contablemente.
Se debe proceder con la baja en el Sistema de Facturación de las facturas pendientes de cobro de gestiones anteriores.
Se debe implantar procesos de control y validación cruzada con el objeto de cuadrar las partidas a cobrar que figuran en registros contables
con las cuentas pendientes de cobro vigentes en el Sistema Automatizado de Facturación.
• Se evidenció la existencia de casos de anulación de facturas por solicitud verbal del cliente.
Se debe emitir un instructivo que reglamente la anulación de facturas solicitadas por clientes.
Toda anulación de facturas debe ser realizada por procedimiento establecido, a través del formulario respectivo y por personal debidamente
autorizado.
• Se observó un número significativo de facturas anuladas por desistimiento de Clientes, debido a demoras en la instalación de Tv. Cable
Se debe efectuar un análisis y evaluación de los casos que originan la demora en la instalación de Tv. Cable en domicilios de Clientes aplicando
las medidas correctivas respectivas, para brindar un servicio de alta calidad a los Clientes de la Compañía.
• Se constató la existencia de un número considerable de facturas anuladas. En el mes de enero de la gestión 2012 el número de facturas anuladas
alcanzo a 192, que representa aproximadamente un 3% de toda la facturación mensual.
Se debe efectuar un análisis detallado de las causas que inciden en la excesiva anulación de facturas, aplicando las medidas correctivas
respectivas.
• Se verificó que hace dos meses no se han emitido facturas por intercambio de servicios.
Se debe proceder con la facturación mensual en los intercambios de servicios que tiene suscrita la Compañía para no ser objeto de multas por
la Dirección de Impuestos Internos.
• Se comprobó la necesidad de mayor asistencia o coordinación entre las Unidades de Sistemas de las compañías de Megavision.
Se recomienda una mayor coordinación de ayuda y soporte entre las unidades de sistemas de MEGAVISION, con el fin de obtener mejores
resultados.
34
Análisis Costo / Beneficio
• Los beneficios de las acciones que se tomen deberían tener como resultado lo siguiente:
• Esta revisión fue realizada por los auditores Roger Trino Trino y Mauricio Solisticio.
• Auditoria agradece al personal del grupo de trabajo Mikaela Torrecillas, Gisela Santa Cruz y Teresa Blanco
por sus contribuciones y la información que nos fue proporcionada.
• Auditoria analizó los resultados de esta revisión con los señores Fernando Eyzaguirre y Jorge Espindola,
quienes concordaron con los resultados de la Auditoria y estuvieron de acuerdo en aplicar los planes de
acción apropiados.
• Por favor, responda a las Recomendaciones para Optimización identificadas en este informe en las
páginas nueve a treinta y uno, indicando para cada una, el Plan de Acción y la fecha objetivo de término
asociada para cada recomendación.
Esperaremos su respuesta hasta los 15 días siguientes a la entrega de este informe.
36