INFORME DE

AUDITORIA
Balance Score Card

“El BSC es una técnica para traducir la estrategia de una organización

en términos que se puedan entender, comunicar y actuar en
consecuencia. Un BSC utiliza el lenguaje de medición para definir más
claramente el significado de conceptos de estrategia como calidad,
satisfacción de usuarios y crecimiento.”
El BSC proporciona la metodología para traducir en objetivos
relacionados, medidos a través de indicadores y ligados a planes de
acción que permitan la alineación del comportamiento de los miembros
de la organización, además de una mejor asignación de recursos y
evaluación del desempeño.
AEROREVOLUTION S.A. decidió implementar esté modelo con el fin de
monitorear el desempeño de la compañía y mejorar continuamente en el
entorno financiero, servicio al cliente, tecnología, inversión en el talento
humano y aspectos internos fundamentales para el crecimiento.
Persp est %
Um 20 20
ectiva Indicador Formula Numerador Denominador atu Cumplim
bral 16 17
s iento
25 12 12 12
Prcentaje del gasto de TI Gasto de TI/Gasto total compañía *100 1 49.4%
483,800,000 3,916,883,590 % % % %

37 18 18 23
ROA TI Utilidad Neta/Activo Total TI 2 62.9%
2,490,424,935 10,704,466,198 % % % %
FINANCIERA

50 30 30 42
ROE TI Utilidad Neta/Patrimonio Total TI 3 83.4%
2,490,424,935 5,974,797,026 % % % %

Ingresos recibidos desde la 50 10

Venta virtuales/ventas totales 4 5% 5% 20.0%
pagina web 1,342,936,527 13,429,365,268 % %

15
Retorno de inversion Inversion realizada en IT/Total ingresos 5 3% 3% 4% 24.0%
483,800,000 13,429,365,268 %

Disponibilidad de la # de caidas de la pagina/disponibilidad 100 60 60 80

6 80.0%
pagina web diaria de la pagina (Horas) 60 75 % % % %

Porcentaje de satisfacción
Clientes satisfechos/total de clientes 100 76 76 88
del usuario frente a las 7 87.5%
encuestados 7 8 % % % %
aplicaciones y servicios
CLIENTE

Defectos identificados en Errores corregidos/errores 20 11 11 13

8 62.5%
el sistema identificados del sistema 1 8 % % % %

Tiempo de respuesta - Tiempo promedio de

100 50 50 82
pagina web TI- respuesta/Tiempo empleado en dar 9 82.4%
70 85 % % % %
automatizado respuesta
# De solicitudes resueltas por la
Acción respecto a las 1 80 20 20 14
compañía/# De solicitudes por el 17.9%
sugerencias TI 0 5 35 % % % %
cliente
 #Recursos Disponibles/#Total de 1 95 72 72 88
Recursos disponibles ti 92.1%
Recursos 1 35 40 % % % %

Tiempo de fallos sisitema/Tiempo 1 45 15 15 25

Disponibilidad del sistema 55.6%
disponible-HORAS 2 2 8 % % % %
INTERNO

#De iniciativas para cambios/#total de 1 100 100 10 50

Iniciativa de mejoramiento 50.0%
propuestas 3 5 10 % % 0% %
Horas empleadas en el año para
Horas de mantenimiento realizar mantenimiento/Horas de 1
5% 1% 1% 3% 66.7%
de los equipos funcionamiento durante el año de los 4 96 2,880
equipos

# de tecnología adquirida/ # deseado 1 100 25 25 44

Avances tecnologicos 44.4%
en tecnología 5 40 90 % % % %

Capacitaciones y nuevos Capacitaciones totales 1 100 95 95 10

CRECIMIENTO

100.0%
empleados en TI TI/capacitaciones proyectadas 6 4 4 % % % 0%

Experiencia y capacidades # de empleados satisfechos / # de 1 100 85 85 91

91.2%
de los empleados de TI empleados totales 7 62 68 % % % %

Cumplimiento de objetivos # Objetivos cumplidos/# Objetivos 1 100 75 75 83

83.3%
TI asignados para realizar en el año 8 5 6 % % % %
 Matriz de Pistas de Auditoría

La matriz de pistas de auditoría, es una herramienta que nos permite

identificar de entre todos los asientos diarios desarrollados durante un
período definido; en nuestro caso el período comprendido entre el 01 de
enero a 31 de diciembre de 2017; aquellos asientos o registros contables
raros o poco comunes, mediante los cuales podemos identificar posibles
transacciones atípicas, sobrepaso de controles por parte de la
administración, acciones fraudulentas o corruptas o fallos en nuestros
sistema financiera y contable.
Debido a todas las oportunidades y utilidad que nos ofrece esta matriz o
herramienta decidimos realizar la implementación de la misma en nuestra
organización.
Para efectos del desarrollo adecuado de la misma identificamos diferentes
tipos de situaciones que no se deberían de presentar en la organización
en relación a nuestros asientos contables, las cuales comprenden:

1. Identificación de asientos de diario que se encuentren duplicados.

2. El número de registros realizados por todos los usuarios que tienen
acceso al sistema financiero y contable.
3. Identificación de asientos de diarios los cuales estén en cero (0).
4. Identificación de asientos de diario realizados en días festivos,
sábados y domingo.

De acuerdo a lo mencionado anteriormente Aerovolution, aplico una serie

de filtros sobre la población de asientos de diario durante en el año 2017,
con el fin único de identificar todos aquellos registros que se encuentren
dentro alguna de las situaciones ya mencionadas.

I. Filtro No. 1 - Identificación de documentos duplicados:

Doc. Date_Account Date_Doc No. Doc Debito Credito Período Usuario Cuenta
KR 17/01/2017 17/01/2017 1100000845 54,360 0 1 Count.01 214980
KR 16/01/2017 16/01/2017 1100000845 54,360 0 1 Count.01 214331
RV 15/03/2017 15/03/2017 1100003097 11,860 0 3 Asist.01 113310
RV 15/03/2017 15/03/2017 1100003097 11,860 0 3 Asist.01 113310
ZR 24/05/2017 24/05/2017 1100007091 17,276 0 5 Asist.01 111110
ZR 24/05/2017 24/05/2017 1100007091 17,276 0 5 Asist.01 111110
AD 30/08/2017 30/08/2017 1100011875 0 10,695 8 Nom.01 612810
DA 6/09/2017 6/09/2017 1100011875 0 10,695 9 Asist.01 113310
DO 28/12/2017 28/12/2017 1100016901 3,619 0 12 Dtax.01 613200
DN 28/12/2017 28/12/2017 1100016901 3,619 0 12 Dtax.01 411211
ZR 28/12/2017 28/12/2017 1100018660 5 0 12 Asist.01 115111
ZR 28/12/2017 28/12/2017 1100018660 5 0 12 Asist.01 115111
 De acuerdo al filtro aplicado identificados seis (6) asientos de diarios que
están duplicados.
II. Filtro No. 2 - Identificación de registros efectuados por
usuarios:

Usuarios No. Registros

Asist.01 7.756
Count.01 4.074
Dtax.01 3.460
Gcomer.01 5
Nom.01 540
Total general 15.835

De acuerdo a los procedimientos desarrollados identificamos, todos los

registros o asientos de diario realizados por usuarios durante el año 2017;
identificamos que el usuario “Gcomer.01” el cual está asignado al Gerente
Comercial, realizo 5 registros; al realizar la comparación de estos
resultados con nuestra matriz de permisos y autorizaciones, identificamos
que este cargo no está autorizado o tiene el permiso para la creación o
registro de asientos de diario, por ende procedimos a identificar todas las
transacciones desarrolladas por este usuario y el hecho generados de las
mismas.

Doc. Date_Account Date_Doc No. Doc Debito Credito Período Usuario Cuenta
ZR 30/12/2017 30/12/2017 1100018664 4,896,000 0 12 Gcomer.01 111110
DO 23/01/2017 23/01/2017 1100000529 22,198 0 1 Gcomer.01 113310
DO 12/01/2017 12/01/2017 1100000373 90,288 0 1 Gcomer.01 113310
DT 23/01/2017 23/01/2017 1100000165 0 1,521 1 Gcomer.01 116110
DZ 5/01/2017 5/01/2017 1100000005 60,000 0 1 Gcomer.01 111110
 III. Filtro No. 3 - Identificación de registros con valores totales en
cero (0):

De acuerdo a los procedimientos desarrollados, identificamos que existen

10 líneas de los asientos de diarios del año 2017, que presentan un valor
tanto en debido como en crédito saldo 0.

Doc. Date_Account Date_Doc No. Doc Debito Credito Mes Usuario Cuenta
DO 10/01/2017 10/01/2017 1100000265 - - 1 Dtax.01 113310
DO 24/01/2017 24/01/2017 1100000634 - - 1 Dtax.01 113310
DN 21/03/2017 21/03/2017 1100002555 - - 3 Dtax.01 411211
DO 17/05/2017 17/05/2017 1100005758 - - 5 Dtax.01 113310
DO 31/05/2017 31/05/2017 1100005819 - - 5 Dtax.01 113310
RV 5/05/2017 5/05/2017 1100006131 - - 5 Asist.01 113310
SA 24/05/2017 24/05/2017 1100006548 - - 5 Asist.01 612420
KR 15/06/2017 23/03/2017 1100007525 - - 6 Count.01 214560
RE 20/06/2017 13/06/2017 1100007629 - - 6 Count.01 214980
RE 30/06/2017 22/06/2017 1100007681 - - 6 Count.01 213110

III. Filtro No. 3 - Identificación de registros realizados en días

sábados y domingos:

Fecha Día Registro

1/01/2017 domingo 2
28/01/2017 sábado 2
11/02/2017 sábado 2
19/02/2017 domingo 4
26/02/2017 domingo 2
25/03/2017 sábado 11
8/04/2017 sábado 1
6/05/2017 sábado 3
13/05/2017 sábado 3
20/05/2017 sábado 3
28/05/2017 domingo 2
3/06/2017 sábado 1
10/06/2017 sábado 1
11/06/2017 domingo 2
17/06/2017 sábado 4
24/06/2017 sábado 3
25/06/2017 domingo 2
8/07/2017 sábado 1
22/07/2017 sábado 4
29/07/2017 sábado 5
30/07/2017 domingo 8
5/08/2017 sábado 8
12/08/2017 sábado 4
19/08/2017 sábado 4
26/08/2017 sábado 4
2/09/2017 sábado 3
 9/09/2017 sábado 9
23/09/2017 sábado 3
1/10/2017 domingo 19
14/10/2017 sábado 3
21/10/2017 sábado 3
28/10/2017 sábado 8
29/10/2017 domingo 1
25/11/2017 sábado 4
2/12/2017 sábado 3
17/12/2017 domingo 1
23/12/2017 sábado 1
30/12/2017 sábado 1
31/12/2017 domingo 6

De acuerdo a nuestros procedimientos desarrollados sobre los asientos de

diario identificamos que se desarrollaron en su totalidad 151 registros los
días sábados y domingos durante el año 2017.
Matriz de control de accesos:

Uno de los temas que más llama la atención hoy en día las compañías, es
sobre la importancia y relevancia que está tomando todo aquello
relacionado con tecnología y área de IT. Un ejemplo de estos es la
migración de programas o sistemas contables tradicionales a software
más complejos que no solo se basan en el registro y manejo contable,
sino una comunicación, unificación y conexión entre toda la información
producida por la organización, de manera actualizada y oportuna.

Aunque, esto ofrece unas oportunidades exponenciales, al ser un sistema

integrado de información, donde uno de los principales temas es la
confidencialidad y unificación de información; los parámetros de
seguridad tienen que ser muy elevados, en los cuales no cualquiera tiene
ingreso a la información y mucho menos poder modificarlas o hacer uso
de la misma, sin tener ciertos permisos.

Por esta razón decidimos crear la matriz de control de accesos, la cual

nos permite gestionar y definir los permisos y accesos de cada uno de los
empleados dentro del sistema financiero o contable, por cada una de las
áreas de la compañía.

Para efecto de esto, definimos las posibles acciones que puede ejercer
cada uno de los usuarios:

Permisos Concepto
R Lectura
W Escritura
D Borrado
U Modificar
X Ejecutar-Autorizar
 Cargos Tesorería Contabilidad Precios Nómina Facturación Cartera
Analista Financiero R R RX R R R
Auditor interno R R R R R R
Auxiliar Contable R RWU R RW RW R
Contador RW RWU R RWU RWU R
Control de calidad - - - - - -
Coordinador de compras RX RX - - RX R
Director cobranzas RX RX RX - R R
Director de impuestos - RX - R R R
Director de presupuestos - R RX R R R
Gerente Comercial RX R RX - RX RWBU
Gerente de control R R R R R R
Gerente de produccion R R R R - R
Gerente de Recursos Humanos R R - RUX - R
Gerente de Ventas RX RX RX - RX R
Gerente Financiero R RX RW RX R RX
Gerente general RX RX RX RX RX RX
Gestor de riesgos R R R R R R
Help Desk-Coordinador de
- R - - - -
sistemas
Ingeniero - - R - - -
Publicista - - R - - -
Recepcionista R - - - - -
Secretaria R - - - - -
Supervisor-produccion - - - - - -
Tesorero RX - R R RW R
Vendedor R - R - R -
Matriz de Clasificación de la Información Sobre su Sensibilidad
(CID)

La compañía decide realizar una matriz la cual permite definir y priorizar

según criterios de confidencialidad integridad y disponibilidad para medir
la información de la compañía con el fin de mejorar cada uno de los datos
analizados en la información propuesta. Aerorevolucion realizo dicho
análisis para los principales reportes financieros administrativos de venta
contratación y TI , evaluando de 1 al 4 siendo 1 la calificación mas baja y
4 la más alta.

Matriz definida por la compañía

Criterios de calificación

Escala de Calificación - CID Puntaje

Muy Alto 4
Alto 3
Moderado 2
Bajo 1
 Tipo de reporte

Disponibi
Integrida
Confiden
cialidad

lidad
Dependiente Formato/Medio Total Acciones de protección Responsable
(ejemplo)

d
Restringir el acceso, datos unicamente con
Sueldos y
Recursos humanos Digital 4 4 4 12 No . ID, información con contraseñas que se Ingeniero y Recursos
Prestaciones
actualizaran periodicamente. humanos
Actualización frecuente, Almacenador y
Claves de Acceso Ingeniero Digital 4 4 4 12
generador de contraseñas (keepass) Ingeniero

Saldos Bancarios Contabilidad Digital 4 4 3 11 Realizar autenticación con Token Contabilidad

Esquema de
Infraestructura Ingeniero Digital 3 3 3 9 Cifrar la información
Tecnológica Ingeniero
Asamblea de
Actas de Comité Digital 4 2 4 10 Cifrar la información
accionistas Ingeniero
Archivo guardado bajo llave , tener el
Procesos
Recursos humanos Fisico 3 3 2 8 registro de la llaves con control dual y
Contratación
registro de este. Recursos humanos

Estados Financiero Contabilidad Digital / Fisico 1 3 3 7 Archivo fisico resguardado, digital cifrado Contabilidad

Correo Electrónico Administración Digital 3 2 2 7 contraseñas Administración

Publicaciones Página
Publicista Digital 1 1 1 3 Certificados de página segura
Web Ingeniero
Fichas tecnicas de los Área de producción y
Digital / Fisico 2 3 4 9 Cifrar la información
productos gestión de calidad Ingeniero
Producción - Comercial
Inventarios Producción y comercial Digital / Fisico 2 4 4 10 Archivo fisico resguardado, digital cifrado
e ingeniero
BCP Plan de Continuidad de negocio:

La compañía decidió realizar un plan de contingencia, teniendo en cuenta

cinco (5) diferentes escenarios que podrían comprometer de manera
significativa la operación de la compañía. Dentro de este adicionalmente,
identificamos los costos de la implementación de diferentes tipos de
soluciones o contingencias para mitigar (se encuentran en millones de
pesos).

Para definir el RPO, tuvimos en cuenta diferentes procesos desarrollados

en la compañía, los cuales corresponden a:

• Back up cada dos (2) días de la información financiera y contable.

• Revisión y mantenimiento de la maquinaria cada cinco (5) días.
• Verificación de claves y contraseñas, cada dos (2) semanas.
 Horas ALTERNATIVAS DE CONTINUIDAD

Almacenamiento redundante en línea.

Equipos de cómputo, portátiles, otros
Personal capacitado y entrenado.

Custodia externa de información.

Proveedores especializados.
Instalaciones, obra civil.

Manual de operaciones.
Centro alterno - Warn.

Centro alterno - Cold.

Transporte de bienes.

Centro alterno - Hot.

Otras alternativas.
Cifrado de datos.
dispositivos.
Activos
involucrados

VPN.
Proceso Escenario (TI, Costo
personal, RTO RPO
físico)

5 3 8 7 3 5 9 8 6 2 7 5 10 5
1. Sistema Falla en el acceso a los servidores de
TI. 2 48 5 5 5 15
de Red red.
2. Daño
maquinaria
Fisico. 120 120 5 8 7 3 7 30
de Falla en la maquinaria de la linea de
producción. producción.
3. Tesoreria Daño del módulo de tesorería. TI, Fisico. 120 48 7 10 17

4. Pérdida de contraseñas de los Gerentes TI. 1 240 5 7 7 19

Contabilidad o Directivos, posible suplantación para
la autorizacion de operaciones.
5. Daño en el software contable (ingreso
TI. 72 48 5 3 2 7 10 27
Contabilidad por los usuarios).
6. IT Robo de equipos o discos duros. IT, Fisico. 2 48 3 7 7 17
125