Marriott Bogotá (Informe de Auditoría Versión Final (Nov 19)
-
Upload
gerardo-ariel-diaz -
Category
Documents
-
view
39 -
download
0
Transcript of Marriott Bogotá (Informe de Auditoría Versión Final (Nov 19)
Hotelería Internacional S.A. Sucursal Colombia (Marriott Bogotá)
Informe sobre la Revisión de Auditoría Interna
al 31 de Julio 2010
HOTELERÍA INTERNACIONAL S.A. SUCURSAL COLOMBIA (MARRIOTT BOGOTÁ)
TABLA DE CONTENIDO
Página
MARCO METODOLÓGICO ........................................................................................................ 1
Clasificación del riesgo de los hallazgos de auditoría ............................................................... 1
RESUMEN EJECUTIVO ............................................................................................................... 3
Procedimientos ejecutados y observaciones derivadas de la revisión ....................................... 5
HALLAZGOS DEL ÁREA FINANCIERA .................................................................................. 9
Cierres contables ........................................................................................................................ 9
Cajas y fondos departamentales ............................................................................................... 11
Caja y bancos ........................................................................................................................... 12
Cuentas por cobrar ................................................................................................................... 17
Activos fijos ............................................................................................................................. 19
Cuentas por pagar .................................................................................................................... 22
Nomina ..................................................................................................................................... 24
Tecnología de información ...................................................................................................... 26
ANEXOS ......................................................................................................................................... 36
Anexo 1 - Usuarios con el privilegio “Reservation Edit” pero que no pertenecen al Front
Desk o al área de contabilidad ......................................................................................... 36
Anexo 2 - Usuarios creados en lo corrido del año 2010 en las principales aplicaciones
del Hotel. .......................................................................................................................... 37
Anexo 3 - Hallazgos de la revisión de transacciones de compras .......................................... 38
HOTELERÍA INTERNACIONAL S.A. SUCURSAL COLOMBIA (MARRIOTT BOGOTÁ)
INFORME SOBRE LA REVISIÓN DE AUDITORÍA INTERNA AL 31 DE JULIO 2010
MARCO METODOLÓGICO
Para el desarrollo del trabajo se utilizó la metodología que se presenta de forma gráfica a
continuación:
Clasificación del riesgo de los hallazgos de auditoría
Las fallas de control identificadas se analizaron y clasificaron de acuerdo con los criterios
establecidos por el equipo Corporativo de Auditoría interna, los cuales se describen a continuación:
- 2 -
Critico - Es un error o hallazgo de control que puede afectar el control interno o eficacia operativa de
una manera importante en el desarrollo y presentación de resultados, que debe ser corregido
inmediatamente
Mayor - Es un error o hallazgo de control que puede afectar el control interno y/o la eficiencia de las
operaciones de una manera significativa.
Moderado - Es un error o hallazgo de control que puede afectar el control interno y/o la eficiencia de
las operaciones que aunque son importantes aún no llegan al nivel mayor.
Menor - Es un error o hallazgo de control que tienen un impacto mínimo en el control interno; sin
embargo, no deben ser pasados por alto por la administración
- 3 -
RESUMEN EJECUTIVO
HALLAZGOS IDENTIFICADOS EN LA REVISIÓN POR CUENTA
Se identifican 23 hallazgos para las cuentas auditadas del 1 de enero al 31 de julio de 2010, el 70% corresponden al área financiera y el 30% restante al área de sistemas.
- 4 -
GRAFICA DE HALLAZGOS POR ÁREA CLASIFICADOS DE ACUERDO AL RIESGO.
En el área financiera se identificaron 16 asuntos o hallazgos de auditoría; De los cuales, el 56% corresponde a la clasificación de moderado, un 25%
fueron clasificados como menores, un 13% como mayores y un 6% como críticos.
En él área de sistemas se identificaron 7 asuntos o hallazgos de auditoría; De los cuales, el 43% corresponde a la clasificación de moderados, un 29%
fueron clasificados como menores y un 28% como riesgo mayor.
- 5 -
Procedimientos ejecutados y observaciones derivadas de la revisión
Área de finanzas Cuentas de los
Estados Financieros
Trabajo realizado
Deficiencias Observadas
Riesgo
Referencia
Cierre Contable
1. Revisión de la integración de las
principales cuentas de mayor del
balance general y sus respectivos
auxiliares.
La compañía no cuenta con una
conciliación que permita efectuar
seguimiento a potenciales diferencias
entre el reporte ejecutivo y gerencial
(“reg”) y los registros del sistema de
contabilidad.
Menor Cierres Contables.
página 9
2. Validación de controles y rutinas de
revisión aplicados a procesos de cierre
contable.
Incumplimiento con la política IV-C64
cierre mensual.
Moderado Cierres Contables.
página 10
3. Comprobación del REG con la
contabilidad.
La compañía no cuenta con una
conciliación que permita efectuar
seguimiento a potenciales diferencias
entre el reporte ejecutivo y gerencial
(“reg”) y los registros del sistema de
contabilidad.
Menor Cierres Contables.
página 9
4. Validación de firmas autorizadas Incumplimiento con la política Iv-C27
firmas autorizadas
Moderado Cierres Contables.
página 10
Caja y Fondos
departamentales
1. Revisión de cartas de responsabilidad
con respecto al monto de fondo
establecido.
No se detectaron deficiencias N/A N/A
2. Aplicación de arqueo sorpresivo a caja
general y fondos departamentales más
significativos y revisión de controles a
estos fondos (frecuencia de arqueos,
conclusiones, persona que realiza el
arqueo)
Incumplimiento con la política de arqueos
de fondos de operación
Menor Cajas y fondos
departamentales
página 11
3. Evaluación de fondos improductivos. No se detectaron deficiencias N/A N/A
4. Revisión del uso y control del fondo
de noche y fin de semana.
No se detectaron deficiencias N/A N/A
5. Revisión de reintegros de caja chica No se detectaron deficiencias N/A N/A
- 6 -
Área de finanzas Cuentas de los
Estados Financieros
Trabajo realizado
Deficiencias Observadas
Riesgo
Referencia
6. Revisión de póliza de seguros. Póliza de seguro vencida. Menor Cajas y fondos
departamentales
página 12
Caja y Bancos
1. Revisión de conciliaciones bancarias
relacionado con oportunidad y
seguimiento que efectúa la
administración.
Incumplimiento de la política de
conciliaciones bancarias IV–C5
Critico Cajas y bancos página
12
2. Determinación de la antigüedad de las
partidas conciliatorias.
Incumplimiento de la política de
conciliaciones bancarias IV–C5
Critico Cajas y bancos página
12
3. Revisión de firmas autorizadas en
cuentas bancarias (cheques, órdenes
de pago y transferencias electrónicas).
Incumplimiento con la política IV-C27
firmas autorizadas
Moderado Cierres Contables.
página 10
4. Revisión del proceso anulación de
cheques.
Incumplimiento de la política IV-C9
cheques en cartera.
Moderado Cajas y bancos página
16
5. Verificación del correlativo de
cheques y rastreo en los registros
contables
Incumplimiento de la política de
conciliaciones bancarias IV–C5
Critico Cajas y bancos página
12
6. Revisión de la custodia de los cheques
en blanco y anulados.
No se detectaron deficiencias. N/A N/A
7. Arqueo de cheques en cartera Incumplimiento de la política IV-C9
cheques en cartera.
Moderado Cajas y bancos página
16
Ingresos - Cuentas por
Cobrar
1. Revisión de la antigüedad de saldos a
clientes y funcionarios y análisis de la
gestión cobro.
Incumplimiento con la política de
ejecución de arqueos de cuentas por
cobrar.
Moderado Cuentas por cobrar
página 17
2. Revisión de conciliación de cuentas
con afiliadas.
Incumplimiento con la política de montos
de crédito a clientes.
Mayor Cuentas por cobrar
página 18
3. Arqueo selectivo de Facturas No se detectaron deficiencias N/A N/A
4. Seguimiento de cuentas incobrables y
suficiencia de la provisión.
Incumplimiento con la política de
ejecución de arqueos de cuentas por
cobrar.
Moderado Cuentas por cobrar
página 17
- 7 -
Área de finanzas Cuentas de los
Estados Financieros
Trabajo realizado
Deficiencias Observadas
Riesgo
Referencia
Ingresos - Cuentas por
Cobrar
5. Revisión selectiva de los créditos o
abonos a las cuentas de los clientes y
de otras cuentas por cobrar, de
naturaleza diferente a los cobros a
clientes. ( Ajustes nos autorizados,
reversiones, anulaciones, etc)
Incumplimiento con la política de montos
de crédito a clientes.
mayor Cuentas por cobrar
página 18
6. Revisión de la recuperación de pagos
por tarjeta de crédito.
No se detectaron deficiencias N/A N/A
7. Revisión a cuentas transitorias No se detectaron deficiencias. N/A N/A
8. Revisión que confirme que los
servicios prestados por el hotel han
sido debidamente cobrados.
No se detectaron deficiencias. N/A N/A
9. Revisión al control de las cortesías, si
están autorizados y han sido recibidas.
No se detectaron deficiencias N/A N/A
10. Revisión a los ajustes al cobro de la
habitación (firmados por el cliente y
autorizados por la gerencia) y NO
SHOW.
No se detectaron deficiencias N/A N/A
11. Validación del servicio y cobro a
banquete y eventos conforme a lo
constituido en el contrato.
No se detectaron deficiencias N/A N/A
12. Revisión de la lista de precios sobre
alimentos y bebidas relacionados con
actualización y modificación en la
comanda, así como su supervisión.
No se detectaron deficiencias N/A N/A
13. Revisión de la exactitud y oportuno
depósito de los ingresos diarios.
No se detectaron deficiencias N/A N/A
Vinculados
económicos 1. Revisión de registros con vinculados
económicos.
Registro con vinculados Económicos Menor Registro con
vinculados económicos
Página 25
- 8 -
Área de finanzas Cuentas de los
Estados Financieros
Trabajo realizado
Deficiencias Observadas
Riesgo
Referencia
Activo Fijo
1. Revisión de altas y bajas de activos se
encuentran debidamente
documentados y autorizados.
Toma física de activos fijos, y activos que
no están marcados.
Mayor Activos fijos, página
21
2. Revisión al proceso de solicitud,
aprobación y compra de APIS
Incumplimiento con la política de
adquisición de activos fijos.
Moderado Activos fijos página
19
3. Verificar que el saldo de los registros
auxiliares de activos fijos coinciden
con los saldos del mayor general
La compañía no cuenta con una
conciliación que permita efectuar
seguimiento a potenciales diferencias
entre el reporte ejecutivo y gerencial
(“reg”) y los registros del sistema de
contabilidad.
Menor Cierres Contables.
Página 9
4. Verificar que el sistema de activos
fijos implementado sea adecuado,
mediante la verificación de que los
registros auxiliares contengan la
información necesaria (descripción,
código, ubicación, costo unitario, %
de depreciaciones fiscal y financiera,
depreciación acumulada, etc.)
Toma física de activos fijos, y activos que
no están marcados.
Mayor Activos fijos página
21
5. Verificación del gasto por
depreciación
Depreciación errónea de algunos
conceptos
Moderado Activos fijos página
20
6. Verificar que los códigos y catálogos
de activos fijos estén estandarizados
entre los hoteles del mismo país
Toma física de activos fijos, y activos que
no están marcados.
Mayor Activos fijos página
21
7. Participación en los inventarios
realizados y coordinados con cada
administración de cada Hotel
Toma física de activos fijos, y activos que
no están marcados.
Mayor Activos fijos página
21
Cuentas por pagar
1. Mapeo, revisión y recorrido del área
cuentas por pagar - gastos / desde
emisión de orden de compra hasta el
pago.
Incumplimiento de la política de compras
de producto fuera de inventario.
Moderado Cuentas por pagar.
página 22
- 9 -
Área de finanzas Cuentas de los
Estados Financieros
Trabajo realizado
Deficiencias Observadas
Riesgo
Referencia
2. Revisión de la antigüedad de los
saldos
Incumplimiento de la política de cuentas
por pagar
Moderado Cuentas por pagar.
página 23
3. Arqueo de facturas y validación de la
estimación.
Incumplimiento de la política de cuentas
por pagar
Moderado Cuentas por pagar.
Página 23
4. Revisión al seguimiento y control del
pago de comisiones a HOLIDEX,
agencias de viajes cadena
intercontinental, Global Distribution
System (GDS) y Centro de
reservaciones del Hotel.
No se detectaron deficiencias N/A N/A
Gastos
1. Revisión analítica y validación de los
soportes, autorización de los gastos
más representativos.
No se detectaron deficiencias N/A N/A
2. Revisión de gastos de representación
No se detectaron deficiencias N/A N/A
Nómina
1. Revisar proceso de elaboración y
cálculo de nómina.
No se detectaron deficiencias N/A N/A
2. Seleccionar muestra y verificar calculo
de salarios, retenciones y provisiones.
No se detectaron deficiencias N/A N/A
3. Revisión de los préstamos a
empleados y anticipos a salarios.
Error en el registro contable de anticipos
Moderado Nómina página 24
- 10 -
Área de sistemas
Cuenta
Relacionada Trabajo realizado Deficiencias Observadas Riesgo Referencia
Controles Generales
de la Computadora
1. Revisión del procedimiento de control
de cambios en aplicaciones, que tiene el
Hotel
Procedimiento de control de cambios en
las aplicaciones del hotel
Mayor Tecnología página 26
2. Revisión los listados de usuarios de los
sistemas “Uno Enterprise”, “Micros” y
“Opera.
Incumplimiento de la política, IV-C23,
configuración de los límites de crédito
para los huéspedes y procedimiento de
creación de usuarios en los sistemas
principales del hotel.
Moderado Tecnología página 27
3. Revisión de usuarios para activar o
desactivar el campo “no post” en el
sistema opera.
Usuarios no autorizados para activar o
desactivar el campo “no post” en el
sistema opera.
Moderado Tecnología página 29
4. Revisión del plan de contingencia. Revisión del plan de contingencia Mayor Tecnología página 29
5. Revisión del acceso al Business Center. Métodos de autenticación para acceder al
business center.
Menor Tecnología página 30
6. Verificar la configuración contraseña
en los sistemas principales del hotel.
Configuración de políticas de contraseña
en los sistemas principales del hotel
Menor Tecnología página 31
7. Verificar la implementación de políticas
y procedimientos de TI.
Políticas y procedimiento de la compañía
en temas de TI.
Moderado Tecnología página 32
- 9 -
HALLAZGOS DEL ÁREA FINANCIERA
Cierres contables
1. AUSENCIA DE CONCILIACIÓN FORMAL ENTRE EL REPORTE EJECUTIVO Y
GERENCIAL (“REG”) Y LOS REGISTROS DE CONTABILIDAD
Descripción del Hallazgo
Durante nuestra revisión no observamos que la Compañía tenga como práctica documentar
formalmente la conciliación entre el sistema contable y el Reporte Gerencial “REG”, que
permita identificar saldos de cada una de las fuentes de información, diferencias por concepto
y cuenta, explicaciones de las diferencias y responsable de elaborar y revisar la conciliación.
Durante nuestra revisión, desarrollamos como procedimiento de auditoría una comparación
entre las cifras arrojadas por el sistema de información contable y el Reporte Gerencial
“REG” para el mes de Julio de 2010, identificando que:
- El valor de los pasivos en “REG” es superior al registrado en el sistema contable en
COL$ 2,9 millones.
- El valor total de los activos fijos en el sistema está por COP$81´254.573.221., mientras
que el valor que se encuentra registrado en el REG es COP$81´342.649.359,
presentándose una diferencia de COP $32´644.761.
Clasificación
Menor
Recomendación
Formalizar la conciliación mensual entre los reportes del sistema contable y el Reporte Gerencial
(REG), en el que se puedan evidenciar: fuentes de información, diferencias por concepto y
cuenta, explicaciones de las diferencias y responsable de elaborar y revisar la conciliación.
Respuestas de la Gerencia
Acción (Describe la (s) acción (es) definidas para
cerrar el asunto)
Responsable de ejecutar
(Nombre/Cargo) Fecha de cierre
(DD/MM/AA)
Los pasivos si cuadran, se envían soporte del
Balance VS. El REG para su verificación.
La diferencia encontrada es entre el modulo de
Activos Fijos y Contabilidad, la acción
implementada para identificar estas diferencias desde
el pasado 1 de septiembre fue nombrar y contratar
una persona que tiene experiencia en el manejo de
activos así como en el manejo del software que se
utiliza para este fin, el próximo primero de diciembre
se tendrá al 100% actualizado y conciliado el
software de activos con la contabilidad.
Adriana Luna
Victor Lucero
Ana Milena
1 de Diciembre
- 10 -
2. INCUMPLIMIENTO CON LA POLÍTICA IV-C27 FIRMAS AUTORIZADAS
Descripción del Hallazgo
En nuestra revisión observamos que el cuadro de firmas autorizadas, mantenido por el Sub-
Contralor del Hotel a la fecha de nuestra auditoría, estaba desactualizado, presentándose las
siguientes excepciones:
Hallazgos Detectados en la Revisión Actual
Nombre del funcionario Cargo Observación
Ramiro Hurtado Gerente de Recursos Humanos Trabajó en la Compañía hasta el 15 de
abril de 2010.
Maria del Pilar Jerez Contralor Trabajó en la Compañía hasta el 2 de
mayo de 2010.
Adriana Luna Caicedo Contralora La Firma no está incluida en el
Cuadro de Firmas.
Víctor Manuel Lucero Sub-Contralor La Firma no está incluida en el
Cuadro de Firmas.
Clasificación
Moderado
Recomendación
Actualizar el cuadro de firmas autorizadas y establecer un mecanismo periódico (Mensual o
trimestral) de revisión que permita mantenerlo actualizado.
Respuestas de la Gerencia
Acción
(Describe la (s) acción (es) definidas para cerrar el
asunto)
Responsable de
ejecutar
(Nombre/Cargo)
Fecha de
cierre
(DD/MM/AA)
En comunicación con el encargado de Nomina, se hará la
actualización del cuadro de manera constante según se generen
cambios.
YOLANDA
LONDONO
30 DE
OCTUBRE
3. INCUMPLIMIENTO CON LA POLÍTICA IV-C64 CIERRE MENSUAL
Descripción del hallazgo
Durante nuestra revisión del procedimiento de cierres contables no obtuvimos evidencia de los
“Chec-klist” de cierres mensuales que estipula la mencionada política debe mantener el
Contralor del Hotel.
Clasificación
Moderado
- 11 -
Recomendación
Dar cumplimiento a la política y mantener los “check-list” de los cierres mensuales,
asegurándose que se pueda evidenciar la verificación de cada uno de los puntos mencionados en
la política IV-C64.
Respuestas de la Gerencia
Acción (Describe la (s) acción (es) definidas para cerrar el
asunto)
Responsable de ejecutar
(Nombre/Cargo)
Fecha de cierre
(DD/MM/AA)
El check List fue implementado el pasado primero de Agosto
según política, se ofreció mostrar a la auditoria sin embargo
no fue aceptado ya que su fecha de revisión era hasta el mes
de Julio.
Adriana Luna y Victor
Lucero
1 de Agosto
Cajas y fondos departamentales
4. INCUMPLIMIENTO CON LA POLÍTICA DE ARQUEOS DE FONDOS DE
OPERACIÓN
Descripción del hallazgo
Durante la ejecución del arqueo del fondo de lavandería, evidenciamos un sobrante por valor de
COP$9.825, para el cual no fue posible obtener el soporte correspondiente, ya que según la
información suministrada por la persona encargada, se nos informó que correspondía a un
anticipo recibido por parte de uno de los clientes de lavandería como pago de un servicio de
lavado.
Sin embargo, de acuerdo con lo informado por el Sub-contralor, el Hotel no tiene como política
recibir anticipos, por lo que esta transacción es inusual.
Clasificación
Menor
Recomendaciones
Reforzar en el personal de lavandería, los procedimientos de capacitación sobre el manejo y
legalización de fondos, y fortalecer la práctica de arqueos e investigación de todas las diferencias
(sobrantes o faltantes) identificadas.
Respuestas de la Gerencia
Acción (Describe la (s) acción (es) definidas para cerrar el
asunto)
Responsable de ejecutar
(Nombre/Cargo)
Fecha de cierre
(DD/MM/AA)
Se elaboró un cronograma confidencial para realizar los arqueos
respectivos de acuerdo a la política.
Se implementara política de restricción de anticipos en la
lavandería externa.
Sandra Torres
Victor Lucero
Noviembre 15
- 12 -
5. POLIZA DE SEGURO VENCIDA.
Descripción del hallazgo
En nuestra revisión de las pólizas de seguro de automóviles, suscritas por la Compañía,
identificamos que la póliza de seguro No 994000022962, emitida por “Aseguradora Solidaria”
por un valor de COP $ 424.263.999, presenta fecha de vigencia hasta el 14 de Agosto de 2010, y
no observamos la renovación respectiva.
Clasificación
Menor
Recomendación
Establecer un procedimiento de revisión periódica de las pólizas de seguros suscritas por
Hotelería Internacional S.A., con el fin de identificar y renovar oportunamente aquellas que estén
próximas a expirar.
Respuestas de la Gerencia
Acción
(Describe la (s) acción (es) definidas para cerrar el
asunto)
Responsable de
ejecutar
(Nombre/Cargo)
Fecha de
cierre
(DD/MM/AA)
Dicho seguro fue renovado oportunamente, sin embargo la entrega
de la póliza se encontraba en trámite por parte de la aseguradora.
A fin de garantizar un correcto manejo de la renovación de seguros,
se implementara un calendario de vencimientos y renovación de
seguros.
Se acordó en la reunión de auditoría que en los casos de pólizas que
sea renovadas de manera automática podrá darse por cumplido el
punto con un mail o pre-póliza por parte de la aseguradora.
Silvia Portilla 15 de Noviembre
Caja y bancos
7- INCUMPLIMIENTO DE LA POLÍTICA DE CONCILIACIONES BANCARIAS IV–C5.
Descripción del Hallazgo
Durante nuestra revisión de las conciliaciones bancarias para las seis (6) cuentas bancarias que
tiene registradas Hotelería Internacional en su contabilidad, evidenciamos los siguientes
aspectos:
Ninguna conciliación bancaria está firmada por el Gerente General, tal como lo establece la
política IV-C5.
Durante la ejecución de la Auditoria no encontramos evidencia de las conciliaciones
bancarias para las siguientes cuentas:
- 13 -
Cuenta Entidad Bancaria Cuenta No Tipo
Saldo s/n contabilidad (Jul 31, 2010)
COP$ Observaciones
11100502 DAVIVIENDA 4563-69999-
242
CTA
CTE
141,979,779 No se evidenció la
conciliación de esta
cuenta desde Junio.
11101001 BANCOLOMBIA
PANAMA
Sin datos Sin
datos
30,270,678 Según lo informado por
el Sub-contralor, esta
cuenta bancaria es
controlada por el Grupo
Roble, y en Hotelería
Internacional no se
tiene información de la
misma.
No observamos
evidencia de ninguna
conciliación de esta
cuenta en el año 2010.
Por solicitud de la Auditoría Interna Corporativa, se realizó revisión de las conciliaciones bancarias
descritas en el cuadro anterior, el día 9 de noviembre de 2010, es decir dos meses después de
terminado nuestro trabajo de campo. En esta revisión posterior, encontramos lo siguiente:
Entidad Bancaria Cuenta No Tipo
Saldo s/n contabilidad (Jul 31, 2010)
COP$ Observaciones
DAVIVIENDA 4563-69999-242 CTA
CTE
141,979,779 Existen partidas registradas
en el extracto, pendientes
por registrar en libros del
mes de Mayo 2010, por un
total de COL$ 35.140.
La conciliación es
automática y observamos
que algunas partidas no han
sido compensadas. El valor
de estas partidas asciende a
COL$1.108.295.
BANCOLOMBIA
PANAMA
****7503 CTA
CTE
30,270,678 De acuerdo con la
información suministrada
por el SubContralor, esta
cuenta es administrada por
personal del Grupo Roble.
A la fecha de nuestra
auditoría la Contraloría de
Bogotá Marriot había
solicitado el traslado de
Firmas de esta cuenta, pero
no se había recibido
respuesta del Grupo Roble.
- 14 -
Es importante mencionar que a esta fecha, las conciliaciones ya estaban firmadas por la Contraloría
y Gerente General.
Durante nuestra revisión a las conciliaciones bancarias al 31 de Julio de 2010, identificamos
partidas conciliatorias con antigüedad superior a 90 días, así:
Entidad
Bancaria y
número de
cuenta
Saldo de la
cuenta al 31
de Julio de
2010 (COPS
miles)
Valor de partidas
conciliatorias mayores a 90
días Observaciones
Partidas en el
extracto
pendiente en
libros
Partidas en
libros,
pendiente en
el extracto
Bancolombia,
Cuenta No
31502932-92
-$19.781.478 $186.352 $1.868.575 Corresponden a partidas
conciliatorias con más de 90 días
de antigüedad de enero, marzo y
abril de 2010.
Bancolombia
Cuenta No
31504449-68
$1.845.543.888 $38.658.001 $5.055.078 Según el extracto bancario se
puede identificar que el 5% de las
partidas, es decir $2.106.152,
corresponden a registros del año
2009.
En esta misma revisión, identificamos que si bien los formatos de conciliación bancaria son
generados automáticamente por el sistema, no queda una evidencia clara del proceso de
correlación y depuración de las partidas conciliatorias.
En nuestra revisión detallada de las conciliaciones bancarias que estaban disponibles a la
fecha de nuestra auditoría, identificamos las siguientes situaciones:
- El cheque número 619835 girado a favor de Hotelería Internacional por la Fundación
Instituto de Monterrey, con fecha 24 de mayo de 2010 y por un valor de COP$5.668.220,
corresponde a una consignación en el extracto bancario de la cuenta número 3150293292
de Bancolombia, pero a la fecha de nuestra revisión no estaba registrado en la
contabilidad.
De acuerdo con la información suministrada por la Tesorería, esta situación se presentó
por un error en el seguimiento de las consignaciones bancarias.
- El cheque No. 830320 de la cuenta Bancolombia número 3150293292, fue contabilizado
el día 24 de junio de 2010 a nombre del tercero “EPM-Telecomunicaciones”, por valor de
COLP$ 9,398,742. Solicitado el soporte contable del cheque, la administración del Hotel
suministró un cheque anulado, girado a un tercero diferente (“Glowsten S.A.”), en una
fecha que no coincide (Septiembre 9 de 2009) y por un monto que tampoco corresponde
(COLP$842,062).
Cuando se solicitó a la Sub-Contraloría explicación sobre esta diferencia, nos fue
suministrada una nota bancaria, contabilizada el 31 de agosto de 2010, en la que se
- 15 -
reversó un anticipo contra el movimiento en bancos para el tercero “EPM
Telecomunicaciones ESP” y, adicionalmente, en reunión de validación se inidió que el
error correspondió a un salto en la impresión de los cheques, que no fue detectada
oportunamente por la Tesorería.
- El cheque No. 829724 de la cuenta “Bancolombia” número 3150293292, girado el día 18
de marzo de 2010 a favor de “Bancolombia” para pagar impuesto de vehículo del año
2010, por valor de COP $1.810.000, fue anulado físicamente, pero esta anulación no fue
registrada contablemente. No fue posible establecer la fecha en la que se anuló el cheque.
Es importante mencionar que las conciliaciones Bancarias del mes de Julio de 2010, fueron
solicitadas el día 18 de agosto, y nos fueron suministradas el día 31 de agosto de 2010.
Calificación
Crítico
Recomendaciones
Dar cumplimiento a lo establecido en la Política de conciliaciones Bancarias “IV-C5”, y
asegurar que el Gerente General revise y firme todas las conciliaciones bancarias.
Generar un formato de conciliación bancaria en el cual se pueda identificar: Información
fuente (extractos y cuentas contables), diferencias, antigüedad de las diferencias, y
responsables de elaborar y revisar la conciliación bancaria.
Respuestas de la Gerencia
Acción (Describe la (s) acción (es) definidas para cerrar el
asunto)
Responsable de ejecutar
(Nombre/Cargo)
Fecha de cierre
(DD/MM/AA)
1. La actual administración se encuentra en proceso de
depuración y corrección general en la contabilidad.
2. El banco Davivienda solo nos permite imprimir los estados de
cuenta los primeros 5 días del siguiente mes, ya se están
haciendo los trámites para que el banco nos proporcione la
llave electrónica la cual nos permita hacer las consultas de
saldo en el mes corriente.
3. La elaboración de las conciliaciones se han realizado en un
100% a la fecha, así como también se han reducido en un 85%
las partidas a mas de 90 días las cuales quedaran debidamente
registradas al cierre de Octubre.
4. A partir de Octubre se imprimirá el reporte “Partidas
Conciliadas” del sistema enterprice y de esta manera quedara
evidencia del proceso de correlación de las partidas
5. En la revisión de cheques para firmas del sub-contralor y
contralor se verificara que el número de cheque físico,
Alejandro Florez
Yolanda Londono
Silvia Portilla
31 de
Octubre
- 16 -
corresponda al número de cheque impreso por el sistema. de
este proceso se dejara evidencia en el respectivo documento.
6. A partir del cierre de Octubre se implementa un arqueo de
cheques no entregados según sistema vs los físicos que estén en
el momento en la tesorería y de esta manera se identifican
perfectamente estas discrepancias de cheques anulados de
manera física contra el sistema.
7. El No. de cheque 830320 de la cuenta Bancolombia número
3150293292 fue impreso con el nombre de un tercero pero
contablemente generado con otro tercero debido a que al
imprimir el cheque anterior se cortó la comunicación con la
impresora y no fue detectado la tesorería y por esta razón se
brinco el consecutivo, cabe aclarar que el numero de cheque
físico e impreso por el banco NO es el mismo que se imprimió
por parte del sistema UnoEE tal como se pudo evidenciar en el
soporte que mostró Deloitte en la reunión.
8. INCUMPLIMIENTO DE LA POLÍTICA IV-C9 CHEQUES EN CARTERA.
Descripción del Hallazgo
Durante nuestra auditoría observamos el incumplimiento de la política de “Cheques Entregados
Pendientes de Cobro, Presentados en Conciliación” en los siguientes casos:
Numero del
cheque
Fecha de Emisión
del cheque
Monto del
cheque
(COP$ miles) Concepto
829990 10/05/2010 245.062 Pago a otros
proveedores
829895 19/04/2010 58.575 Pago a proveedores
Calificación
Moderado
Recomendación
Asegurar el cumplimiento de la política IV-C9 “Cheques Entregados Pendientes de Cobro,
presentados en Conciliación”, que indica que Los cheques entregados y no cobrados según
conciliación bancaria, con antigüedad mayor a 90 días, serán anulados y trasladados al pasivo
correspondiente; y se debe enviar solicitud de orden de no pago al banco.
Respuestas de la Gerencia
Acción (Describe la (s) acción (es) definidas para cerrar el
asunto)
Responsable de ejecutar
(Nombre/Cargo)
Fecha de cierre
(DD/MM/AA)
A fin de mes se identificaran estos cheques y de acuerdo a la Yolanda Londono 31 de octubre
- 17 -
Acción (Describe la (s) acción (es) definidas para cerrar el
asunto)
Responsable de ejecutar
(Nombre/Cargo)
Fecha de cierre
(DD/MM/AA)
política se girara solicitud de orden de no pago al banco y se
trasladara a un pasivo.
Cuentas por cobrar
9. INCUMPLIMIENTO CON LA POLÍTICA DE EJECUCIÓN DE ARQUEOS DE
CUENTAS POR COBRAR.
Descripción del Hallazgo
A la fecha de nuestra auditoria, no obtuvimos evidencia de que la compañía haya realizado
arqueos de cuentas por cobrar en lo corrido del año 2010, lo cual constituye un
incumplimiento de la política corporativa IV-C15 que establece que estos arqueos se deben
realizar trimestralmente. Los saldos relevantes de cartera a continuación: (en COP$ miles)
Saldo de cuentas por cobrar (31/7/2010) (1) 1,132,371
Saldo de cartera superior a 90 días 239,595
Porcentaje frente a cuentas por cobrar total 21%
(1) Este saldo no incluye el convenio Novamar, ni la cartera por tarjetas.
A pesar de que la Compañía tiene registradas cuentas por cobrar con antigüedad superior a
150 días (al 31 de Julio de 2010, ascendía a COL$ 92 millones), no observamos que se tenga
ningún valor registrado como “provisión” por incobrabilidad. Si bien esto no es un
incumplimiento a alguna política corporativa, si es una práctica recomendada por los
Principios Contables de General Aceptación en Colombia (Decretos 2649 y 2650), que
implica evaluar la recuperabilidad de la cartera y registrar las provisiones que sean necesarias
para cubrir las contingencias de pérdida y reflejar así el valor razonable de las cuentas por
cobrar.
Calificación
Moderado
Recomendaciones
Asegurar el cumplimiento de la política IV-C15 “Arqueos de cuentas por cobrar”, que
permita realizar un seguimiento y análisis detallado y sustentado de las cuentas por cobrar
con antigüedad significativa.
Definir y documentar procedimientos locales que establezcan las acciones a seguir cuando se
presenta la incobrabilidad de las cuentas. Estos procedimientos deberían definir asuntos tales
como: cálculo y registro de provisiones de cartera por riesgo de incobrabilidad, traslado de
cuentas a cobro coactivo o jurídico, entre otros.
- 18 -
Respuestas de la Gerencia
Acción (Describe la (s) acción (es) definidas para cerrar el
asunto)
Responsable de ejecutar
(Nombre/Cargo)
Fecha de cierre
(DD/MM/AA)
1. A partir de Septiembre se implemento el cronograma de
arqueos de fondos en donde se ha incluido también un arqueo
trimestral al modulo de CxC, dicho cronograma es supervisado
y evidenciado por el sub contralor.
2. Durante la visita del auditor en el mes de Agosto se les mostró
que el saldo de la cartera a mas de 90 días había ya sido
identificado y reducido de un 21% a un 12% del total de la
cartera.
3. A partir del mes de septiembre se implementaron las juntas
mensuales de cxc de acuerdo a la política a través de las cuales
se identifican los saldos por antigüedad, se evalúan riesgos y se
toman decisiones, así como se aprueban nuevos créditos. De
esta forma es como la administración prevé la provisión de
alguna cuenta incobrable.
Silvia Portilla
Sandra Torres
Octubre 30
10. INCUMPLIMENTO CON LA POLÍTICA DE MONTOS DE CRÉDITO A CLIENTES
Descripción del Hallazgo
En nuestra revisión no obtuvimos evidencia de que el Hotel tenga una política local de
montos máximos y días límite para el otorgamiento de créditos, tal como lo establece la
política IV-C23.
En nuestra auditoría solo obtuvimos evidencia del funcionamiento de la Junta de Crédito para
el mes de agosto de 2010, lo cual constituye un incumplimiento a la política IV-C20, la cual
establece que las reuniones de la Junta de Crédito deben desarrollarse con periodicidad
mensual.
Como parte de nuestra auditoría, verificamos una muestra aleatoria de 25 folios de la
Empresa, con el fin de revisar que el valor total de la cuenta por cobrar a la fecha de revisión,
no superara el valor del crédito aprobado. Como resultado de esta prueba identificamos que
los siguientes clientes excedían el límite de crédito aprobado:
Nombre del cliente Límite de
crédito (COP$) Saldo de la
cuenta (COP$) Observaciones
Expidia /Hoteles.com $50.000.000 $109.084.678 Excede el cupo de crédito en más
de $50 millones
Metro Representaciones $4.000.0000 $5.213.899 Excede el cupo de crédito en más
de $1,2 millones
Hotel Club $0 $2´009.206 Este cliente no tiene convenio con
el Hotel, sin embargo, tiene una
cuenta por cobrar vigente desde
febrero de 2010. En nuestra
auditoria no observamos evidencia
de que el cliente haya aceptado la
factura.
- 19 -
Calificación
Mayor
Recomendación
Asegurar el cumplimiento de la política IV-C20 e IV-C23, con el fin activar con la
periodicidad debida el funcionamiento de la Junta de Crédito y formalizar la política local de
montos máximos y días límite para el otorgamiento de créditos.
Realizar una revisión detallada de los montos de crédito otorgados a los clientes convenio,
frente a los montos actualmente adeudados, con el fin de actualizar los valores de crédito
otorgados e identificar clientes que deben ser monitoreados de cerca para limitar la
posibilidad de que las deudas incobrables se incrementen.
Respuestas de la Gerencia
Acción (Describe la (s) acción (es) definidas para cerrar el
asunto)
Responsable de ejecutar
(Nombre/Cargo)
Fecha de cierre
(DD/MM/AA)
1. A partir del mes de Agosto fue implementada la junta
crédito tal y como lo establece la política, es decir, durante
la visita del auditor se pudo evidenciar que ya estamos
cumpliendo con dicha política.
2. Los montos de crédito y días limites de pago se encuentran
relacionados en cada uno de los expedientes de las empresas
a las cuales les hemos aproado el crédito, por lo tanto
consideramos que este punto se esta haciendo desde hace
varios meses.
3. El excedente identificado en los créditos de las tres
empresas muestra se debió en su momento a un debilidad en
el control y seguimiento de la cuenta por cobrar, por tal
razón a partir del pasado primero de Julio se tomaron
acciones por parte de la administración y a la fecha presente
se han reducido los excedentes de crédito que se
encontraban sin explicación, es decir que a actualmente los
créditos que exceden el monto inicial se revisan durante la
junta mensual de crédito.
4. En las juntas mensuales de Créditos se analizaran los
sobregiros de las empresas para ser valorados y autorizados.
Silvia Portilla Octubre 30
Activos fijos
11. INCUMPLIMIENTO CON LA POLITICA DE ADQUISICIÓN DE ACTIVOS FIJOS.
Descripción del Hallazgo
En nuestra revisión de las compras de activos fijos, observamos el incumplimiento de las
políticas IV-C29 y IV-C31, por cuanto las siguientes compras no tenían el formato de
Proyectos de Inversión (“API”) correspondiente:
- 20 -
Código Descripción
Fecha de
registro
Valor
(COP$)
000023410-000 MAQUINA ESPRESSO B03 205
2GR 220V
22/04/2010 21.988.496
000023411-000 MOLINO MC 220V 60HZ 27/04/2010 4.553.000
Para estas compras tampoco observamos la cotización, orden de compra y factura del
proveedor respectivo. De acuerdo con el Sub-Contralor, estos soportes no los tiene el Hotel,
sino que los tiene personal del Grupo Roble; sin embargo, a la fecha de nuestra auditoría no
nos fue posible obtener dichos soportes.
Calificación
Moderado
Recomendación
Se debe dar cumplimiento a las políticas IV-C29 y IV-C31, las cuales establecen que todas las
compras de activos fijos que superen los U$ 500 deben:
Contar con el formato API debidamente aprobado por el Corporativo, y
Tener el cuadro comparativo de tres cotizaciones, la justificación de la compra y los soportes
de la compra; es decir, la Orden de Compra y la factura correspondiente.
Respuestas de la Gerencia
Acción (Describe la (s) acción (es) definidas para cerrar el
asunto)
Responsable de ejecutar
(Nombre/Cargo)
Fecha de cierre
(DD/MM/AA)
1. Durante el proceso de entrega por parte de Grupo Roble se
acordó con ellos la entrega de un Horno marca XXXX
asignados al hotel no era de utilidad y en su lugar se requería la
maquina expreso anteriormente mencionada, se identificaran
los documentos soportes de este proceso a fin de sustentarlo.
Cabe aclarar que este punto no pertenece a ninguna compra de
activo realizada sin aprobación del corporativo
Adriana Luna
Ana Milena
Noviembre 30
12. DEPRECIACIÓN ERRONEA DE ALGUNOS CONCEPTOS
Descripción del Hallazgo
En nuestra revisión del detalle de la cuenta auxiliar de activos fijos, observamos que la compañía
está depreciando algunos conceptos que, de acuerdo con la Normatividad Contable Colombiana
(Decretos 2649 y 2650) no son considerados activos depreciables, sino que deberían ser
registrados directamente contra gastos. Un detalle de esto, al 31 de Julio de 2010, a continuación:
- 21 -
Descripción Costo (COP$) Depreciación (COP$) Saldo (COP$)
Instalación de figura especial 208.800,00 20.323,20 188.476,80
Instalación de Lámpara 4.222.400,00 401.193,77 3.821.206,23
Instalación obra Claudia Navas 92.800,00 7.586,37 85.213,63
Instalación obra Juan Guillermo 111.360,00 9.159,36 102.200,64
LCD 37 " Almacenaje 1.893.926,16 209.432,16 1.684.494,00
LCD 37" Transporte Integral 483.362,88 57.046,08 426.316,80
LCD 42 " Almacenaje 969.509,82 107.209,32 862.300,50
LCD 42" Transporte Integral 247.435,76 29.202,16 218.233,60
Total 8.229.594,62 841.152,42 7.388.442,20
Calificación
Moderado
Recomendación
Efectuar una revisión detallada de los conceptos incluidos en el archivo auxiliar de activos fijos,
con el fin de identificar aquellos conceptos que no deberían ser depreciados, y efectuar los
ajustes contables correspondientes, con el fin de adherirse a las prácticas contables de general
aceptación en Colombia.
Respuestas de la Gerencia
Acción (Describe la (s) acción (es) definidas para cerrar el
asunto)
Responsable de ejecutar
(Nombre/Cargo)
Fecha de cierre
(DD/MM/AA)
Cuando se hizo la importación del inventario de activos fijos de
parte de Grupo Roble no se realizo integrando cada activo con sus
costos respectivos.
A partir del Septiembre 1 se contrato a la Sra Ana Milena quien
está a cargo de todo el análisis y conciliación de los activos a nivel
contable y físico
Ana Milena Noviembre 30
13. TOMA FÍSICA DE ACTIVOS FIJOS, Y ACTIVOS QUE NO ESTÁN MARCADOS.
Descripción del Hallazgo
Durante nuestra auditoría, seleccionamos una muestra de activos comprados por el Hotel
durante el año 2010, observando que estos activos no estaban etiquetados y por tanto no fue
fácil ubicar e identificar físicamente el activo. Un detalle de esto a continuación:
Código Descripción
Estatus en
el sistema
Método de
depreciación
Fecha de
ingreso
000023410-000
MAQUINAESPRESSO B03 205
2GR 220V Activo L.R. 22/04/2010
000023387-000 TRAJE DE BOMBERO Activo L.R. 03/01/2010
000023388-000 TRAJE DE BOMBERO Activo L.R. 03/01/2010
000023383-000
EQUIPO DE RESPIRACION
AUTONOMA Activo L.R. 03/01/2010
- 22 -
Código Descripción
Estatus en
el sistema
Método de
depreciación
Fecha de
ingreso
000023384-000
EQUIPO DE RESPIRACION
AUTONOMA Activo L.R. 03/01/2010
000023411-000 MOLINO MC 220V 60HZ Activo L.R. 27/04/2010
000023375-000 CAMILLA RIGIDA Depreciado L.R. 03/01/2010
De acuerdo con la política IV-C30, se deben realizar tomas físicas selectivas de activos fijos,
con una prueba mínima del 20% del mobiliario existente, cada año. A la fecha de nuestra
auditoria, no observamos evidencia de la ejecución de este procedimiento, el cual está
vencido por cuanto el Hotel se inauguró en el mes de agosto de 2009.
De acuerdo con la información suministrada por el Sub-Contralor, este procedimiento no se
ha ejecutado, porque se necesita realizar una verificación de todos los activos fijos previo a la
ejecución del inventario, la cual se va a realizar en el mes de diciembre de 2010.
Calificación
Mayor
Recomendación
Dar cumplimiento a la política corporativa IV-C30, relacionada con la identificación, registro y
toma física de los activos del Hotel. Este último punto debe realizarse como mínimo con pruebas
selectivas que cubran el 20% del mobiliario existente cada año.
Respuestas de la Gerencia
Acción (Describe la (s) acción (es) definidas para cerrar el
asunto)
Responsable de ejecutar
(Nombre/Cargo)
Fecha de cierre
(DD/MM/AA)
Se contrato a la Sra Ana Milena y al 30 de Noviembre estará
realizado el inventario físico de activos fijos y serán etiquetados
según corresponda
Ana Milena Noviembre 30
Cuentas por pagar
14. INCUMPLIMIENTO DE LA POLITICA DE COMPRAS DE PRODUCTO FUERA DE
INVENTARIO
Descripción del Hallazgo
Para una muestra de 25 pagos, revisamos la orden de pago, la orden de compra y la solicitud
de compra, identificando las siguientes inconsistencias:
- Dos (2) de las 25 facturas no tenían asociada la orden de compra correspondiente.
- Ocho (8) pagos de los 25 no se encontraban debidamente firmados por el Departamento
de Contraloría
- 23 -
- Dos (2) de las facturas de compras de bienes, no contaban con la documentación
correspondiente a la recepción del producto por Almacén.
De un total de 10 facturas, correspondientes a compras no rutinarias, se evidenció que 4
órdenes de compra no se encontraban debidamente firmadas por el Departamento de
Contraloría.
Ver detalle de hallazgos en el Anexo 3 de este documento.
Calificación
Moderado
Recomendación
Toda la documentación soporte de una compra debe tener adjuntos los soportes requeridos
(cotizaciones, órdenes de compra y formatos de recepción de almacén), y debe asegurarse
que la misma fue debidamente aprobada, de acuerdo con el cuadro de autorizaciones de la
Empresa.
Respuestas de la Gerencia
Acción (Describe la (s) acción (es) definidas para cerrar el
asunto)
Responsable de ejecutar
(Nombre/Cargo)
Fecha de cierre
(DD/MM/AA)
Se giro ya el procedimiento local de compras y se reforzara
revisándolo cada uno de los ejecutivos involucrados en su firma.
La administración esta depurando este punto ya que contamos con
proveedores únicos y lo hará público una vez que sea autorizado
por la Gerencia
Fany Reyes
Adriana Luna
Noviembre 15
15. INCUMPLIMIENTO DE LA POLITICA DE CUENTAS POR PAGAR
Descripción del Hallazgo
Durante nuestra auditoria no evidenciamos que la compañía esté realizando el arqueo de las
cuentas por pagar, tal como lo establece la política IV-C33. A la fecha de nuestra auditoria, la
compañía registraba cuentas por pagar a proveedores, con un vencimiento de más de 90 días, por
valor de COP$ 52´313.787.
Calificación
Moderado
Recomendación
Dar cumplimiento a la política IV-C33 y realizar los arqueos trimestrales de las cuentas por
pagar, cumpliendo los requerimientos de la política en relación con:
- 24 -
Conciliar mensualmente las cuentas por pagar y reportar cualquier diferencia resultante al
Gerente General a través del Contralor.
Realizar un informe con los hallazgos identificados durante la conciliación de las cuentas por
pagar.
Respuestas de la Gerencia
Acción (Describe la (s) acción (es) definidas para cerrar el
asunto)
Responsable de ejecutar
(Nombre/Cargo)
Fecha de cierre
(DD/MM/AA)
1. A partir de Septiembre se incluyo un arqueo a las CxP con
periodos trimestrales dentro del calendario de arqueos del
auditor de ingresos.
2. Mensualmente las CxP se concilian mediante un anexo que
forma parte de REG (estados financieros)
Javier Joya
Victor Lucero
Edward Castro
Noviembre 15
Nomina
16. ERROR EN EL REGISTRO CONTABLE DE ANTICIPOS
Descripción del Hallazgo
Durante nuestra auditoría, observamos el registro de un anticipo a nombre del Señor Ricardo
Prudencio Menéndez Méndez, Gerente General de Hotelería Internacional, por valor de
COP$255.000, que presentaba una antigüedad superior a los 150 días. De acuerdo con la
información suministrada por el Sub-Contralor del Hotel, este registro corresponde al pago
del cheque No 814462, por una compra realizada por el Gerente General a nombre del Grupo
Roble, en la que el cheque original se extravió, por lo que el Gerente solicitó que se realizara
nuevamente el pago.
Lo anterior constituye un incumplimiento de la política IV-C35, que establece que no se
otorgarán anticipos de salarios a los empleados, pero que de darse una excepción, esta
debería cumplir con lo siguiente:
- Encontrarse debidamente autorizada por la Dirección Financiera del Corporativo, y
- Tener un Compromiso de Pago;
El día 27 de octubre el Subcontralor envío soporte de anulación del cheque entregado por el
Grupo Roble, así como carta de solicitud de re-emisión del mencionado cheque, firmada por
el Gerente General, y correo electrónico de orden de no pago al Banco..
Es importante adicionar, que a la fecha de nuestra revisión no se había generado la cuenta de
cobro correspondiente al grupo Roble, ni tampoco nos fue posible obtener evidencia de la
denuncia de pérdida del título valor (cheque) ante la autoridad competente.
- 25 -
Calificación
Moderado
Recomendación
Dar cumplimiento a lo establecido en la política IV-C35, y clarificar la transacción de
anticipo al Sr. Menéndez, adicionando los soportes de aprobación de la transacción y
realizando la cuenta de cobro al Grupo Roble.
Generar un procedimiento en el que se establezcan los requisitos y condiciones que deben
seguir los anticipos a nivel local.
En todos los casos de pérdida de títulos valores, tales como cheques, se debe realizar la
correspondiente denuncia de pérdida o robo, dar orden de no pago a la entidad bancaria, y
mantener estos soportes bajo custodia de la Tesorería.
Respuestas de la Gerencia
Acción (Describe la (s) acción (es) definidas para cerrar el
asunto)
Responsable de ejecutar
(Nombre/Cargo)
Fecha de cierre
(DD/MM/AA)
1. El Gerente General explico y demostró personalmente a los
auditores que esto no es un préstamo, lo cual no se está
mencionando por parte del auditor en este punto.
2. En ningún momento este monto se manejo como un préstamo o
anticipo de sueldo ya que es un gasto que corresponde a grupo
roble específicamente al Sr. Jorge Díaz (Gerente general de
GR) el cual registro su gasto en contabilidad, El Sr. Menendez
presto de su dinero a la mama del Sr. Jorge Diaz para reparar el
vehículo del Sr. Jorge Diaz ya que este último se encontraba
fuera del país
3. Se ofreció a los auditores verificarlo con el personal de Grupo
Roble para que pudieran aclarar este punto.
17. REGISTRO ERRÓNEO CON VINCULADOS ECONÓMICOS.
Descripción del Hallazgo
La cuenta 13101001, que se encuentra registrada como una Cuenta con Compañías vinculadas,
presenta un saldo de COP $ 1´688.603 en el Balance a 31 de julio de 2010. De acuerdo con la
información suministrada por el Sub-Contralor, “Hoteles Marriott Bogotá” no tiene compañías
vinculadas, y lo que se presentó en este registro fue un error en la clasificación de la cuenta
contable.
Calificación
Menor
- 26 -
Recomendación
Reforzar el análisis de los estados financieros asegurando que todos los reportes y las cuentas
contengan información adecuadamente clasificada.
Verificar que las transacciones con otras compañías del Grupo estén siendo adecuada y
oportunamente conciliadas.
Respuestas de la Gerencia
Acción (Describe la (s) acción (es) definidas para cerrar el
asunto)
Responsable de ejecutar
(Nombre/Cargo)
Fecha de cierre
(DD/MM/AA)
1. Se distribuyo en conjunto con el Contralor las diferentes
cuentas del balance entre todo el grupo de contraloría para ser
analizadas e integradas de manera mensual a partir del mes de
Octubre.
Adriana Luna
Víctor Lucero
Octubre 31
Tecnología de información
18. PROCEDIMIENTO DE CONTROL DE CAMBIOS EN LAS APLICACIONES DEL
HOTEL
Descripción del hallazgo
En nuestra revisión del procedimiento de control de cambios en aplicaciones, que tiene el
Hotel, identificamos las siguientes debilidades:
- El procedimiento no se encuentra formalmente documentado y no ha sido divulgado en
las diferentes áreas funcionales del Hotel.
- Las planillas y/o facturas suministradas por los proveedores, al momento de realizar
actualizaciones o instalación de “parches” en las aplicaciones, no incluyen la evidencia
de las pruebas de funcionamiento que involucran a los usuarios finales de la aplicación,
módulos críticos, interfaces con otros sistemas, entre otros.
- Según lo informado por el Jefe de Sistemas, las pruebas se realizan en el ambiente de
producción, por lo cual una falla en la actualización o instalación de “parches” podría
ocasionar el riesgo de no disponibilidad de los sistemas de información por un periodo
prolongado, o incluso la pérdida de integridad de la información de operación del Hotel.
Calificación
Mayor
Recomendaciones
Formalizar el procedimiento de control de cambios en aplicaciones considerando, entre otros,
los siguientes aspectos:
- 27 -
- Roles y responsabilidades asociadas al procedimiento
- Personal autorizado para realizar la solicitud inicial
- Formatos y canales de comunicación por medio de los cuales se debe formalizar la
solicitud.
- Personal autorizado para realizar la aprobación de la implementación del cambio.
- Definición del procedimiento de realización de pruebas y formatos para documentarlas
- Responsables de la aprobación del paso a producción y formatos de soporte respectivos.
Considerando que las pruebas se realizan directamente en el ambiente de producción, se debe
diseñar un formato para realizar la documentación de las pruebas, los datos de prueba
utilizados, acompañamiento de los usuarios finales, la supervisión y aprobación del ajuste a
los datos de producción, especificando de qué forma se afectó el sistema y las actividades de
se deben realizar para reversar resultados en los casos en que aplique.
Adicionalmente, para las pruebas realizadas en producción, se debe evaluar la viabilidad de
implementar un sistema de control dual, el cual implica: la asignación de un funcionario para
realizar las pruebas y otro funcionario que al final de las mismas realice la verificación y
ejecute las actividades de reversión de las actividades realizadas, en los casos en que aplique.
Respuestas de la Gerencia
Acción (Describe la (s) acción (es) definidas para cerrar el
asunto)
Responsable de ejecutar
(Nombre/Cargo)
Fecha de cierre
(DD/MM/AA)
Este punto no es lo que se le explico esta dependencia Contamos
con Bd de prueba para hacer estos cambios, tenemos BK de
seguridad antes de realizar cualquier .cambio. Se envían los
cambios de la aplicación a las áreas que se verán afectadas.
Se puede verificar de nuevo en producción
Funciona
actualmente
19. INCUMPLIMIENTO DE LA POLITICA, IV-C23, CONFIGURACIÓN DE LOS
LIMITES DE CRÉDITO PARA LOS HUÉSPEDES Y PROCEDIMIENTO DE
CREACIÓN DE USUARIOS EN LOS SISTEMAS PRINCIPALES DEL HOTEL
Descripción del hallazgo
Recibimos los listados de usuarios de los sistemas “Uno Enterprise”, “Micros” y “Opera”, y
los comparamos con el listado total de empleados que ingresaron durante el año 2010, e
identificamos un total de 29 ingresos. Para la activación de usuarios de estos empleados,
observamos las siguientes situaciones:
Situación Número de usuarios
- Usuarios creados en “Opera” de los cuales no obtuvimos soportes de
solicitud de creación y aprobación de los privilegios de acceso
Dos (2)
- 28 -
Situación Número de usuarios
- Usuarios creados en “Micros” de los cuales no obtuvimos soportes de
solicitud de creación y aprobación de los privilegios de acceso
Nueve (9)
- Usuarios creados en “UnoEE” de los cuales no obtuvimos soportes de
solicitud de creación y aprobación de los privilegios de acceso.
Cuatro (4)
La política de alta de usuarios definida a nivel corporativo, establece que en todos los casos
se debe diligenciar el formato de solicitud de creación de usuarios, el cual debe estar firmado
por los Gerentes de División e Informática. Para los usuarios creados en lo corrido del año
2010, no obtuvimos los formatos de solicitud de creación de usuarios en los sistemas de la
corporación. Dichos usuarios fueron autorizados por correo electrónico, con excepción de los
mencionados en el cuadro anterior.
El detalle de los usuarios creados en lo corrido del 2010 se puede ver en el anexo dos (2) de
este documento.
Durante nuestra auditoría, no evidenciamos que el límite de crédito para las compañías
convenio esté configurado en el sistema informático, antes del ingreso del huésped, tal como
lo establece la política IV-C13.
Con la colaboración del Jefe de Sistemas del Hotel, obtuvimos el reporte de límites de crédito
configurados en el sistema “Opera”, el cual cuenta con un campo llamado “Credit Limit”
que, a la fecha de nuestra revisión (26 de agosto de 2010), se encuentra configurado en valor
“cero (0)” para la totalidad de huéspedes registrados en el sistema.
Calificación
Moderado
Recomendación
Garantizar el estricto cumplimiento de la “Política de Sistemas IV G5”, la cual establece que
parar la creación de usuarios en los sistemas de información del Hotel, el área de recursos
humanos debe diligenciar el formato de solicitud, indicando los permisos de acceso de cada
funcionario. Adicionalmente, este formato debe ser autorizado y firmado por los Gerentes de
División y de TI.
Dar cumplimiento a lo establecido en la política IV-C13, en la cual toda compañía debe tener
un crédito aprobado antes del ingreso del huésped o realización de un evento, estos límites de
crédito deben ser configurados en el sistema previamente aprobados por la Gerencia para los
huéspedes del Hotel, con el fin de restringir de forma automática los montos autorizados.
- 29 -
Respuestas de la Gerencia
Acción (Describe la (s) acción (es) definidas para cerrar el
asunto)
Responsable de ejecutar
(Nombre/Cargo)
Fecha de cierre
(DD/MM/AA)
Se implementará formato de política de creación de usuarios
Ariel Díaz
15/10/10
20. USUARIOS NO AUTORIZADOS PARA ACTIVAR O DESACTIVAR EL CAMPO “NO
POST” EN EL SISTEMA OPERA.
Descripción del hallazgo
En reunión realizada con el Jefe de Sistemas, identificamos que el privilegio “Reservation
Edit”, permite activar o desactivar los límites de crédito de los huéspedes en el sistema Opera
(campo “no post”).
Con base en lo anterior, identificamos un total de 57 funcionarios que cuentan con dicho
privilegio, de los cuales 36 no hacen parte del “Front Desk”, ni del área de Contabilidad. En
el Anexo uno (1) de este documento se puede ver el detalle de esta situación.
El privilegio “Reservation Edit” permite registrar y modificar la información de la reserva
realizada por cada huésped. Sin embargo, los 36 usuarios mencionados en la viñeta anterior,
requieren este privilegio únicamente para realizar consultas sobre la información de las
reservas de los huéspedes, pero por las características del privilegio tendrían acceso a muchas
funciones que sus responsabilidades no requieren, y que podrían generar conflictos de
segregación funcional.
Calificación
Moderado
Recomendaciones
Validar con el proveedor del sistema “Opera” la viabilidad técnica de construir perfiles que
permitan segregar las funciones de manera adecuada, con el fin de garantizar que solo los
funcionarios autorizados, es decir, los funcionarios del “Front Desk” y del área de
Contabilidad puedan activar o desactivar el campo “no post”.
Respuestas de la Gerencia
Acción (Describe la (s) acción (es) definidas para cerrar el
asunto)
Responsable de ejecutar
(Nombre/Cargo)
Fecha de cierre
(DD/MM/AA)
Con el Lider de Opera Se revisaran cada uno de estos permisos. Jose Luis Polanco 15/10/2010
- 30 -
21. REVISIÓN DEL PLAN DE CONTINGENCIA
Descripción del hallazgo
Observamos que en el Plan de Contingencia de Sistemas de Información no considera los
siguientes aspectos:
- Evaluación de riesgos asociados a la plataforma tecnológica del hotel
- Definición de límites de tiempo tolerables para la caída de cada uno de los servidores
- Tiempos objetivo de recuperación (RTO por sus siglas en inglés)
- Punto objetivo de recuperación (RPO por sus siglas en inglés)
- Análisis de impacto al negocio (BIA por sus siglas en inglés)
- Pruebas periódicas del Plan de Contingencia
Calificación
Mayor
Recomendación
Complementar el Plan de Contingencia teniendo en cuenta, entre otros, los siguientes
aspectos:
- Evaluación de riesgos asociados a la plataforma tecnológica del hotel
- Definición de límites de tiempo tolerables para la caída de cada uno de los servidores
- Tiempos objetivo de recuperación (RTO por sus siglas en inglés)
- Punto objetivo de recuperación (RPO por sus siglas en inglés)
- Análisis de impacto al negocio (BIA por sus siglas en inglés)
- Pruebas periódicas del Plan de Contingencia
Respuestas de la Gerencia
Acción (Describe la (s) acción (es) definidas para cerrar el
asunto)
Responsable de ejecutar
(Nombre/Cargo)
Fecha de cierre
(DD/MM/AA)
Se completara el plan de contingencia de acuerdo a la
recomendaciones
Ariel Diaz 15/11/10
- 31 -
22. MÉTODOS DE AUTENTICACIÓN PARA ACCEDER AL BUSINESS CENTER.
Descripción del hallazgo
Observamos que para el acceso al Business Center los huéspedes se autentican con los
siguientes datos:
- Nombre
- Apellido
- Numero de habitación
Los anteriores datos son de conocimiento de muchos de los empleados del Hotel, por lo cual
el método de autenticación utilizado no suministra un adecuado nivel de privacidad, y podría
ocasionar cargos no cobrables al huésped por el uso de Internet.
Calificación
Menor
Recomendación
Evaluar la viabilidad de exigir el uso de claves de acceso o PIN otorgados a los huéspedes,
funcionarios del Hotel y contratistas externos, para su ingreso al Business Center.
Respuestas de la Gerencia
Acción (Describe la (s) acción (es) definidas para cerrar el
asunto)
Responsable de ejecutar
(Nombre/Cargo)
Fecha de cierre
(DD/MM/AA)
Se validara con Guestek la posibilidad de otros pasos de
autenticación, pero no hay una política definida por le grupo y
por servicio no se recomienda tener niveles mas altos de
autenticación que compliquen la operación del Cliente.
Hasta la fecha no hemos detectado una sola queja por fraude en
este servicio, por lo que la gerencia asume el riesgo esta
situación.
23. CONFIGURACIÓN DE POLÍTICAS DE CONTRASEÑA EN LOS SISTEMAS
PRINCIPALES DEL HOTEL
Descripción del hallazgo
Sistema “Opera”:
- No se tiene configurado el tiempo máximo de validez de la contraseña acorde a lo
establecido por las políticas de seguridad de claves de acceso de la compañía.
- 32 -
- El tiempo límite de sesión inactiva se encuentra configurado en quince (15) minutos antes
del bloqueo de la sesión, lo cual está alineado con las políticas corporativas, pero no con
las locales que lo establecen en 30 minutos.
Sistema “Uno Enterprise”:
- Con la colaboración del Jefe de Sistemas, consultamos al proveedor de la aplicación,
quien nos informó que no se tiene acceso a las políticas de contraseña configuradas en el
sistema, ya que éstas vienen configuradas por defecto.
Calificación
Menor
Recomendaciones
Revisar las políticas locales y alinearlas con la definición corporativa, y definir los casos en los
que se usa cada uno de estos estándares.
Respuestas de la Gerencia
Acción (Describe la (s) acción (es) definidas para cerrar el
asunto)
Responsable de ejecutar
(Nombre/Cargo)
Fecha de cierre
(DD/MM/AA)
Por parte de Opera se escalara el caso a Marriott por las políticas
actuales,
En Enterprise no se cuenta con este parámetro, pero se validada con
Marriott si podemos bajar los tiempos de autenticación a 5 minutos
William Garzon 25/10/20
24. POLÍTICAS Y PROCEDIMIENTO DE LA COMPAÑÍA EN TEMAS DE TI
Descripción del hallazgo
A pesar que se tienen definidas políticas y procedimientos para el área de sistemas,
evidenciamos que hace falta incluir en el Manual de Políticas y procedimientos del Hotel, los
siguientes temas:
- Formalización del procedimiento de creación de usuarios. Evidenciamos que no en todos
los casos se cuenta con el debido soporte de la solicitud de creación de usuarios en los
sistemas del Hotel.
- Política de gestión de cambios en las aplicaciones clave que soportan el negocio (Uno
Enterprise, Opera, y Micros)
- Políticas para la inactivación de usuarios en los sistemas de la compañía por motivos
como vacaciones/licencias/etc.
- Políticas de uso adecuado de la información y los sistemas.
- Procedimientos de mantenimiento de equipos.
- 33 -
- Política de seguridad de la información.
- Política de operaciones que debe incluir todos los procedimientos de administración de
tareas programadas, interfaces entre sistemas, entre otros.
Calificación
Moderado
Recomendaciones
Revisar la política de alta de usuarios con el fin de formalizar el procedimiento de
administración de usuarios. Se deben tener en cuenta entre otros los siguientes aspectos:
- Responsables de la solicitud inicial de creación o modificación de usuarios en los
sistemas de información.
- Responsables de la administración de usuarios para cada una de las aplicaciones claves
de la compañía (Opera, Micros, Uno Enterprise)
- Formatos y canales de comunicación utilizados para la solicitud de creación de usuarios.
- Descripción de casos especiales (Gerentes y administradores)
- Procedimientos para inactivación de los usuarios por motivos tales como
vacaciones/licencias/etc.
Formalizar el procedimiento de control de cambios en las aplicaciones, considerando, entre
otros, los siguientes aspectos:
- Personal autorizado para realizar la solicitud inicial.
- Formatos y canales de comunicación por medio de los cuales se debe formalizar la
solicitud.
- Personal autorizado para realizar la aprobación de la implementación del cambio.
- Definición del procedimiento de realización de pruebas.
- Considerando que la mayoría de las pruebas se realizan directamente en el ambiente de
producción, se debe diseñar un formato para realizar la documentación de las pruebas, en
los cuales se especifique de qué forma se afecto el sistema a partir de las mismas y las
actividades de se deben realizar para reversar resultados en los casos en que aplique.
- Responsables de la aprobación del paso a producción y formatos de soporte respectivos.
Diseñar e implementar políticas de uso adecuado de la información y de los sistemas
informáticos, incluyendo, entre otras:
- 34 -
- Políticas generales para el uso de la información y las aplicaciones de la compañía
- Manejo de la información por personal subcontratado, “outsourcing” y/o terceros.
- Responsabilidades de las áreas internas que manejan la información y las aplicaciones.
- Uso apropiado y exclusivo de los sistemas de información.
Diseñar e implementar el procedimiento de mantenimiento de equipos, que incluya, entre
otros, los siguientes aspectos:
- Revisión del suministro eléctrico
- Revisión de sistemas de protección adecuada del cableado
- Procedimiento de mantenimiento de equipos
Diseñar e implementar las Políticas de seguridad de la información que incluya, entre otros,
los siguientes aspectos:
- Clasificación general de la información
- Protección de datos e intimidad de la información de los huéspedes
- Tratamiento y uso de la información
- Control de acceso a los sistemas de información
- Tratamiento de virus y software malicioso
Política de operaciones que debe incluir todos los procedimientos de administración de
tareas programadas, interfaces entre sistemas, entre otros.
Respuestas de la Gerencia
Acción (Describe la (s) acción (es) definidas para cerrar el
asunto)
Responsable de ejecutar
(Nombre/Cargo)
Fecha de cierre
(DD/MM/AA)
Se implementaran todos los formatos necesarios para hace
seguimiento a las políticas
Ariel Diaz 15/10/10
HOTELERÍA INTERNACIONAL S.A. SUCURSAL COLOMBIA (MARRIOTT BOGOTÁ)
Anexos
- 36 -
ANEXOS
Anexo 1 - Usuarios con el privilegio “Reservation Edit” pero que no pertenecen al Front Desk
o al área de contabilidad
APP_USER Nombre de usuario Cargo
Requiere los
permisos
ADIAZ775 ARIEL DIAZ Jefe de sistemas Si
AECHE033 ECHEVERRY CHARRY ADRIANA Asistente de reservas Si
AECHE809 ANDREA ECHEVERRY Gerente Health Club Si
AREND422 RENDON CASTRO ANDRES Supervisor AYS Si
ARIVA686
RIVADENEIRA GUZMAN ADRIANA
MARCELA Coordinador de grupos Si
AROME768 ROMERO GARCIA JENNY ALEXANDRA Gerente de banquetes Si
ARUBI589 RUBIANO ANA MARIA Asistente de gerencia Si
BPAULUS BARBARA Paulus Morriott Help Si
CCABR027 CECILIA CABRERA Gerente de ventas Si
CMEDI734 MEDINA PEÑA HEIDY CAROLINA Super Team Si
CRIVE009 CAROLINA RIVEROS Reservas Si
DBARBIROTTO DARIO BARBIROTTO Instalador de interfaces Si
EBADER ERICK BADER Si
ECAST634 CASTRO SANCHEZ EDGAR ANDRES Agente de Ays Si
EOSPI279 ELIZABETH OSPINA Revenue Manager Asist. Si
FMEDI232 MEDINA GIRALDO FRANCISCA EDITH Agente de Ays Si
GSIER214 SIERRA CUTA GINA LORENA Agente de Ays Si
GVARG387 GABRIEL VARGAS Gerente de division 4 Si
JANTONINO JUAN MARCELO ANTONINO instalador de micros Si
JPCAS289 CASASBUENAS SALAZAR JUAN PABLO Revenue Manager Cluster Si
KCHAV619 KAREN CHAVEZ Reservas Si
LMARI437 MARIN VALENCIA LUISA FERNANDA Auxiliar de Lavandería Si
LSANM893 SANMIGUEL PATIÑO LINA FERNANDA Agente de Ays Si
LVILL029 LEONEL VILLAMIL director de ventas Si
MCORD696 MARIA PAULA CORDOBA Reservas Si
MOLAY031 OLAYA GARCIA MARYORY Agente de Ays Si
MVELO456 VELOZA ROMERO MARCO YAIR Agente de Ays Si
PFAJA287 FAJARDO RODRIGUEZ LIGIA PIEDAD Gerente Grupos Cluster Si
- 37 -
APP_USER Nombre de usuario Cargo
Requiere los
permisos
PMBRU839 GUDRUN BRUFY Marriot international Si
SDESAI Shivani Desai Marriot international Si
SRIOS023 RIOS HERRERA SILVIA JULIANA Jefe de Reservas Si
TGUER315 TATIANA GUERRERO Reservas Si
VHERN080 HERNANDEZ BELTRAN IVETTE VANESSA Asistente de Reservas Si
VQUIN123 QUINTERO RUIZ VICTOR JULIO Jefe de Lavanderia Si
WGARZ383 GARZON FIGUEROA WIILLIAM
Gerente de Sistemas
Cluster Si
YGARC542 YENNY GARCIA Reservas Si
Anexo 2 - Usuarios creados en lo corrido del año 2010 en las principales aplicaciones del Hotel.
Usuario UNO Micros Opera Soporte de creación
MEDINA GIRALDO FRANCISCA EDITH x Si
OLAYA GARCIA MARYORY x Si
SANMIGUEL PATIÑO LINA FERNANDA x Si
GARCIA HERRERA JENNY YOLIMA x Si
MARIN VALENCIA LUISA FERNANDA x Si
SIERRA CUTA GINA LORENA x x Si
DELGADO ABREU JHONATHAN x Si
MESA SAAVEDRA SANDRA PATRICIA x Si
RAMIREZ FUQUEN JOSE MANUEL x x No
ORJUELA VERA MARIA PAULA x Si
COLMENARES GOMEZ NOHORA
FERNANDA x
Si
MEDINA PEÑA HEIDY CAROLINA x x No
LUCERO CARRILLO VICTOR MANUEL x x Si
LUNA CAICEDO ADRIANA x x Si
PORTILLA SANTACRUZ SILVIA
LORENA x x
No
LINARES RODRIGUEZ JAVIER
FRANCISCO x
No
GUALTEROS FLORIAN BETTY
RAQUEL x
No
TORRES REY BIBIANA x No
MORENO LUNA LILIANA ANDREA x No
ACOSTA REVOLLO ANDREA x No
DURAN PRADA MARIANA x No
ARIAS ALVAREZ MARCO TULIO x No
LARA BUITRAGO FERNANDO x No
- 38 -
Anexo 3 - Hallazgos de la revisión de transacciones de compras
DOCUMENTO FECHA_DOCTO_ VALOR_DOCTO_ RAZÓN_SOCIAL_TERCER
O A B C
CE -00001229 06/04/2010 $3,031,987.00 IMPORTADORA
FERREINDUSTRIAL LTDA. Si Si No
PAE-00000580 09/04/2010 $1,674,832.00 GRUPO MAT QUIMICA
LTDA. No No No
CE -00001381 10/05/2010 $309,319.00 DISSNALPRO EU Si Si No
PAE-00000774 28/05/2010 $2,098,015.00 PDC VINOS Y LICORES
LTDA Si Si No
CE -00001624 09/06/2010 $451,474.00 COLGUANTES ROZO Y
GUTIERREZ SOC LTDA SI No Si
PAE-00001007 30/07/2010 $1,147,057.00 DISTRIBUIDORA JORGE
MARIO URIBE S.A. Si Si No
PAE-00001013 30/07/2010 $348,844.00 GASEOSAS LUX SA Si Si No
PAE-00001033 30/07/2010 $4,270,673.00 SODIMAC COLOMBIA S.A. No No No
PAE-00001034 30/07/2010 $86,400.00 SUDFOOD DE COLOMBIA
S.A.S. Si Si No
A Orden de compra debidamente aprobada
B Comprobante de recepción de Almacén
C El comprobante de pago se encuentra firmado por Contraloría.