Empresa de Metalurgica Cobrez.

Sistema Centralizado: ERP SAP 6.0

Sistema Operativo: Windows 2003 Server
Base de Datos: SQL Server 2005

Gerente General: Julio Hidalgo

Gerente de Informática: Víctor González

Antecedentes de la Compañía.

La empresa en las reuniones iniciales con el equipo de auditoría ha proporcionado la

siguiente información referente al entendimiento de los procesos computarizados y de
negocio.

• Organigrama actualizado.
• Descripción de cargo área IT.
• Presupuesto área IT.
• Aplicaciones Significativas con las principales características de sus respectivos
Sistemas Operativos y Bases de Datos.
• Principales procesos de negocio, los cuales son Ventas, Compras y
Remuneraciones.
• Diagramas de Redes y Comunicaciones.
• Diagramas de Contexto (SIEF centraliza toda la operaciones de la empresa).
• Detalle de los principales informes de gestión a la alta administración.
• Estados Financieros. (Balance General y Estado de Resultado al 31-12-2009).

El equipo auditor ha determinado realizar la revisión a los controles generales

computacionales para los siguientes dominios.

A. Operaciones Computarizadas.
B. Seguridad Informática.
C. Mantención y Desarrollo.

Con la información proporcionada en primera instancia se puede apreciar que la alta

administración está consciente que la seguridad en sus sistemas y la eficiencia en las
comunicaciones de la empresa son vitales, no se han programado cambios significativos
en los sistemas dado que ya se ha llegado a un punto en el cual solo se realizan cambios a
nivel de reportes y presentación de la información. Existen procedimientos conocidos por
todos los implicados respecto a Seguridad Informática y Manuales de Usuario para el
Sistema SAP.
 BORRADOR
PARA SU ANALISIS CON
PRICEWATERHOUSECOOPERS

La mantención de accesos al dominio ha sido destinando a un área en particular (Control

de accesos), tanto para la red como para SAP. Existen canales de información fluida entre
ésta área y recursos humanos, cada ingreso y cada baja de usuarios es aborda en forma
inmediata, lo cual se pudo constatar a través de la revisión de una muestra aleatoria.
Además de esto, la administración realiza un proceso de certificación de permisos con el
fin de identificar falencias asociadas a los cambios en los perfiles de los usuarios.

La empresa utiliza un antivirus centralizado Kaspersky Enterprise Edition, cuya

actualización es automática. La seguridad de la red interna y externa se encuentra
tercearizada a través de las empresa “Zonda”, la cual genera reportes mensuales con el
resultado de las operaciones diarias.

Para proteger la red de accesos no autorizados desde el exterior, Zonda a proporcionado

Firewalls e IPS.

El site de Alsacia se encuentra en una de sus plantas ubicada en la zona costera de la

Séptima Región, y no se cuenta con un site de contingencias. El site cuenta solo cuenta
con algunas medidas de seguridad física. Las cintas son retiradas del site y almacenadas
en una caja fuerte que se encuentra en otro edificio en las mismas instalaciones.

Se cuenta con un plan de recuperación en caso de desastre y restauración de datos, el cual

es probado frecuentemente. Los resultados de las pruebas son documentados y
almacenados.

El Jefe de Desarrollo indicó en una reunión con el equipo de auditoría que se cuenta con
un procedimiento documentado para la realización de desarrollo y mantención de
sistemas y que los requerimientos de cambio son efectuados a través de la plataforma
destinada con este fin. Se ha podido evidenciar que se cumple con cada fase de la
metodología y los responsables deben autorizar cada cambio.

Se pide:

1. Identificar las deficiencias de control en los dominios de operaciones, seguridad y

mantención/desarrollo.
2. Identificar los riesgos asociados a las deficiencias encontradas.
3. Construir Carta de Control Interno.

2
 BORRADOR
PARA SU ANALISIS CON
PRICEWATERHOUSECOOPERS