Marriott Bogotá (Informe de Auditoría Versión Final (Nov 19)

Hotelería Internacional S.A. Sucursal Colombia (Marriott Bogotá)

Informe sobre la Revisión de Auditoría Interna

al 31 de Julio 2010

HOTELERÍA INTERNACIONAL S.A. SUCURSAL COLOMBIA (MARRIOTT BOGOTÁ)

TABLA DE CONTENIDO

Página

MARCO METODOLÓGICO ........................................................................................................ 1

Clasificación del riesgo de los hallazgos de auditoría ............................................................... 1

RESUMEN EJECUTIVO ............................................................................................................... 3

Procedimientos ejecutados y observaciones derivadas de la revisión ....................................... 5

HALLAZGOS DEL ÁREA FINANCIERA .................................................................................. 9

Cierres contables ........................................................................................................................ 9

Cajas y fondos departamentales ............................................................................................... 11

Caja y bancos ........................................................................................................................... 12

Cuentas por cobrar ................................................................................................................... 17

Activos fijos ............................................................................................................................. 19

Cuentas por pagar .................................................................................................................... 22

Nomina ..................................................................................................................................... 24

Tecnología de información ...................................................................................................... 26

ANEXOS ......................................................................................................................................... 36

Anexo 1 - Usuarios con el privilegio “Reservation Edit” pero que no pertenecen al Front

Desk o al área de contabilidad ......................................................................................... 36

Anexo 2 - Usuarios creados en lo corrido del año 2010 en las principales aplicaciones

del Hotel. .......................................................................................................................... 37

Anexo 3 - Hallazgos de la revisión de transacciones de compras .......................................... 38


INFORME SOBRE LA REVISIÓN DE AUDITORÍA INTERNA AL 31 DE JULIO 2010

MARCO METODOLÓGICO

Para el desarrollo del trabajo se utilizó la metodología que se presenta de forma gráfica a

continuación:

Clasificación del riesgo de los hallazgos de auditoría

Las fallas de control identificadas se analizaron y clasificaron de acuerdo con los criterios

establecidos por el equipo Corporativo de Auditoría interna, los cuales se describen a continuación:

- 2 -

Critico - Es un error o hallazgo de control que puede afectar el control interno o eficacia operativa de

una manera importante en el desarrollo y presentación de resultados, que debe ser corregido

inmediatamente

Mayor - Es un error o hallazgo de control que puede afectar el control interno y/o la eficiencia de las

operaciones de una manera significativa.

Moderado - Es un error o hallazgo de control que puede afectar el control interno y/o la eficiencia de

las operaciones que aunque son importantes aún no llegan al nivel mayor.

Menor - Es un error o hallazgo de control que tienen un impacto mínimo en el control interno; sin

embargo, no deben ser pasados por alto por la administración

- 3 -

RESUMEN EJECUTIVO

HALLAZGOS IDENTIFICADOS EN LA REVISIÓN POR CUENTA

Se identifican 23 hallazgos para las cuentas auditadas del 1 de enero al 31 de julio de 2010, el 70% corresponden al área financiera y el 30% restante al área de sistemas.

- 4 -

GRAFICA DE HALLAZGOS POR ÁREA CLASIFICADOS DE ACUERDO AL RIESGO.

En el área financiera se identificaron 16 asuntos o hallazgos de auditoría; De los cuales, el 56% corresponde a la clasificación de moderado, un 25%

fueron clasificados como menores, un 13% como mayores y un 6% como críticos.

En él área de sistemas se identificaron 7 asuntos o hallazgos de auditoría; De los cuales, el 43% corresponde a la clasificación de moderados, un 29%

fueron clasificados como menores y un 28% como riesgo mayor.

- 5 -

Procedimientos ejecutados y observaciones derivadas de la revisión

Área de finanzas Cuentas de los

Estados Financieros

Trabajo realizado

Deficiencias Observadas

Riesgo

Referencia

Cierre Contable

1. Revisión de la integración de las

principales cuentas de mayor del

balance general y sus respectivos

auxiliares.

La compañía no cuenta con una

conciliación que permita efectuar

seguimiento a potenciales diferencias

entre el reporte ejecutivo y gerencial

(“reg”) y los registros del sistema de

contabilidad.

Menor Cierres Contables.

página 9

2. Validación de controles y rutinas de

revisión aplicados a procesos de cierre

contable.

Incumplimiento con la política IV-C64

cierre mensual.

Moderado Cierres Contables.

página 10

3. Comprobación del REG con la

contabilidad.






contabilidad.


página 9

4. Validación de firmas autorizadas Incumplimiento con la política Iv-C27

firmas autorizadas


página 10

Caja y Fondos

departamentales

1. Revisión de cartas de responsabilidad

con respecto al monto de fondo

establecido.

No se detectaron deficiencias N/A N/A

2. Aplicación de arqueo sorpresivo a caja

general y fondos departamentales más

significativos y revisión de controles a

estos fondos (frecuencia de arqueos,

conclusiones, persona que realiza el

arqueo)

Incumplimiento con la política de arqueos

de fondos de operación

Menor Cajas y fondos

departamentales

página 11

3. Evaluación de fondos improductivos. No se detectaron deficiencias N/A N/A

4. Revisión del uso y control del fondo

de noche y fin de semana.


5. Revisión de reintegros de caja chica No se detectaron deficiencias N/A N/A

- 6 -


Estados Financieros

Trabajo realizado


Riesgo

Referencia

6. Revisión de póliza de seguros. Póliza de seguro vencida. Menor Cajas y fondos

departamentales

página 12

Caja y Bancos

1. Revisión de conciliaciones bancarias

relacionado con oportunidad y

seguimiento que efectúa la

administración.

Incumplimiento de la política de

conciliaciones bancarias IV–C5

Critico Cajas y bancos página

12

2. Determinación de la antigüedad de las

partidas conciliatorias.




12

3. Revisión de firmas autorizadas en

cuentas bancarias (cheques, órdenes

de pago y transferencias electrónicas).

Incumplimiento con la política IV-C27

firmas autorizadas


página 10

4. Revisión del proceso anulación de

cheques.

Incumplimiento de la política IV-C9

cheques en cartera.

Moderado Cajas y bancos página

16

5. Verificación del correlativo de

cheques y rastreo en los registros

contables




12

6. Revisión de la custodia de los cheques

en blanco y anulados.

No se detectaron deficiencias. N/A N/A

7. Arqueo de cheques en cartera Incumplimiento de la política IV-C9

cheques en cartera.

Moderado Cajas y bancos página

16

Ingresos - Cuentas por

Cobrar

1. Revisión de la antigüedad de saldos a

clientes y funcionarios y análisis de la

gestión cobro.

Incumplimiento con la política de

ejecución de arqueos de cuentas por

cobrar.

Moderado Cuentas por cobrar

página 17

2. Revisión de conciliación de cuentas

con afiliadas.

Incumplimiento con la política de montos

de crédito a clientes.

Mayor Cuentas por cobrar

página 18

3. Arqueo selectivo de Facturas No se detectaron deficiencias N/A N/A

4. Seguimiento de cuentas incobrables y

suficiencia de la provisión.


ejecución de arqueos de cuentas por

cobrar.

Moderado Cuentas por cobrar

página 17

- 7 -


Estados Financieros

Trabajo realizado


Riesgo

Referencia

Ingresos - Cuentas por

Cobrar

5. Revisión selectiva de los créditos o

abonos a las cuentas de los clientes y

de otras cuentas por cobrar, de

naturaleza diferente a los cobros a

clientes. ( Ajustes nos autorizados,

reversiones, anulaciones, etc)

Incumplimiento con la política de montos

de crédito a clientes.

mayor Cuentas por cobrar

página 18

6. Revisión de la recuperación de pagos

por tarjeta de crédito.


7. Revisión a cuentas transitorias No se detectaron deficiencias. N/A N/A

8. Revisión que confirme que los

servicios prestados por el hotel han

sido debidamente cobrados.

No se detectaron deficiencias. N/A N/A

9. Revisión al control de las cortesías, si

están autorizados y han sido recibidas.


10. Revisión a los ajustes al cobro de la

habitación (firmados por el cliente y

autorizados por la gerencia) y NO

SHOW.


11. Validación del servicio y cobro a

banquete y eventos conforme a lo

constituido en el contrato.


12. Revisión de la lista de precios sobre

alimentos y bebidas relacionados con

actualización y modificación en la

comanda, así como su supervisión.


13. Revisión de la exactitud y oportuno

depósito de los ingresos diarios.


Vinculados

económicos 1. Revisión de registros con vinculados

económicos.

Registro con vinculados Económicos Menor Registro con

vinculados económicos

Página 25

- 8 -


Estados Financieros

Trabajo realizado


Riesgo

Referencia

Activo Fijo

1. Revisión de altas y bajas de activos se

encuentran debidamente

documentados y autorizados.

Toma física de activos fijos, y activos que

no están marcados.

Mayor Activos fijos, página

21

2. Revisión al proceso de solicitud,

aprobación y compra de APIS


adquisición de activos fijos.

Moderado Activos fijos página

19

3. Verificar que el saldo de los registros

auxiliares de activos fijos coinciden

con los saldos del mayor general






contabilidad.


Página 9

4. Verificar que el sistema de activos

fijos implementado sea adecuado,

mediante la verificación de que los

registros auxiliares contengan la

información necesaria (descripción,

código, ubicación, costo unitario, %

de depreciaciones fiscal y financiera,

depreciación acumulada, etc.)


no están marcados.

Mayor Activos fijos página

21

5. Verificación del gasto por

depreciación

Depreciación errónea de algunos

conceptos

Moderado Activos fijos página

20

6. Verificar que los códigos y catálogos

de activos fijos estén estandarizados

entre los hoteles del mismo país


no están marcados.


21

7. Participación en los inventarios

realizados y coordinados con cada

administración de cada Hotel


no están marcados.


21

Cuentas por pagar

1. Mapeo, revisión y recorrido del área

cuentas por pagar - gastos / desde

emisión de orden de compra hasta el

pago.

Incumplimiento de la política de compras

de producto fuera de inventario.

Moderado Cuentas por pagar.

página 22

- 9 -


Estados Financieros

Trabajo realizado


Riesgo

Referencia

2. Revisión de la antigüedad de los

saldos

Incumplimiento de la política de cuentas

por pagar


página 23

3. Arqueo de facturas y validación de la

estimación.

Incumplimiento de la política de cuentas

por pagar


Página 23

4. Revisión al seguimiento y control del

pago de comisiones a HOLIDEX,

agencias de viajes cadena

intercontinental, Global Distribution

System (GDS) y Centro de

reservaciones del Hotel.


Gastos

1. Revisión analítica y validación de los

soportes, autorización de los gastos

más representativos.


2. Revisión de gastos de representación


Nómina

1. Revisar proceso de elaboración y

cálculo de nómina.


2. Seleccionar muestra y verificar calculo

de salarios, retenciones y provisiones.


3. Revisión de los préstamos a

empleados y anticipos a salarios.

Error en el registro contable de anticipos

Moderado Nómina página 24

- 10 -

Área de sistemas

Cuenta

Relacionada Trabajo realizado Deficiencias Observadas Riesgo Referencia

Controles Generales

de la Computadora

1. Revisión del procedimiento de control

de cambios en aplicaciones, que tiene el

Hotel

Procedimiento de control de cambios en

las aplicaciones del hotel

Mayor Tecnología página 26

2. Revisión los listados de usuarios de los

sistemas “Uno Enterprise”, “Micros” y

“Opera.

Incumplimiento de la política, IV-C23,

configuración de los límites de crédito

para los huéspedes y procedimiento de

creación de usuarios en los sistemas

principales del hotel.

Moderado Tecnología página 27

3. Revisión de usuarios para activar o

desactivar el campo “no post” en el

sistema opera.

Usuarios no autorizados para activar o

desactivar el campo “no post” en el

sistema opera.


4. Revisión del plan de contingencia. Revisión del plan de contingencia Mayor Tecnología página 29

5. Revisión del acceso al Business Center. Métodos de autenticación para acceder al

business center.

Menor Tecnología página 30

6. Verificar la configuración contraseña

en los sistemas principales del hotel.

Configuración de políticas de contraseña

en los sistemas principales del hotel

Menor Tecnología página 31

7. Verificar la implementación de políticas

y procedimientos de TI.

Políticas y procedimiento de la compañía

en temas de TI.


- 9 -

HALLAZGOS DEL ÁREA FINANCIERA

Cierres contables

1. AUSENCIA DE CONCILIACIÓN FORMAL ENTRE EL REPORTE EJECUTIVO Y

GERENCIAL (“REG”) Y LOS REGISTROS DE CONTABILIDAD

Descripción del Hallazgo

Durante nuestra revisión no observamos que la Compañía tenga como práctica documentar

formalmente la conciliación entre el sistema contable y el Reporte Gerencial “REG”, que

permita identificar saldos de cada una de las fuentes de información, diferencias por concepto

y cuenta, explicaciones de las diferencias y responsable de elaborar y revisar la conciliación.

Durante nuestra revisión, desarrollamos como procedimiento de auditoría una comparación

entre las cifras arrojadas por el sistema de información contable y el Reporte Gerencial

“REG” para el mes de Julio de 2010, identificando que:

- El valor de los pasivos en “REG” es superior al registrado en el sistema contable en

COL$ 2,9 millones.

- El valor total de los activos fijos en el sistema está por COP$81´254.573.221., mientras

que el valor que se encuentra registrado en el REG es COP$81´342.649.359,

presentándose una diferencia de COP $32´644.761.

Clasificación

Menor

Recomendación

Formalizar la conciliación mensual entre los reportes del sistema contable y el Reporte Gerencial

(REG), en el que se puedan evidenciar: fuentes de información, diferencias por concepto y

cuenta, explicaciones de las diferencias y responsable de elaborar y revisar la conciliación.

Respuestas de la Gerencia

Acción (Describe la (s) acción (es) definidas para

cerrar el asunto)

Responsable de ejecutar

(Nombre/Cargo) Fecha de cierre

(DD/MM/AA)

Los pasivos si cuadran, se envían soporte del

Balance VS. El REG para su verificación.

La diferencia encontrada es entre el modulo de

Activos Fijos y Contabilidad, la acción

implementada para identificar estas diferencias desde

el pasado 1 de septiembre fue nombrar y contratar

una persona que tiene experiencia en el manejo de

activos así como en el manejo del software que se

utiliza para este fin, el próximo primero de diciembre

se tendrá al 100% actualizado y conciliado el

software de activos con la contabilidad.

Adriana Luna

Victor Lucero

Ana Milena

1 de Diciembre

- 10 -

2. INCUMPLIMIENTO CON LA POLÍTICA IV-C27 FIRMAS AUTORIZADAS


En nuestra revisión observamos que el cuadro de firmas autorizadas, mantenido por el Sub-

Contralor del Hotel a la fecha de nuestra auditoría, estaba desactualizado, presentándose las

siguientes excepciones:

Hallazgos Detectados en la Revisión Actual

Nombre del funcionario Cargo Observación

Ramiro Hurtado Gerente de Recursos Humanos Trabajó en la Compañía hasta el 15 de

abril de 2010.

Maria del Pilar Jerez Contralor Trabajó en la Compañía hasta el 2 de

mayo de 2010.

Adriana Luna Caicedo Contralora La Firma no está incluida en el

Cuadro de Firmas.

Víctor Manuel Lucero Sub-Contralor La Firma no está incluida en el

Cuadro de Firmas.

Clasificación

Moderado

Recomendación

Actualizar el cuadro de firmas autorizadas y establecer un mecanismo periódico (Mensual o

trimestral) de revisión que permita mantenerlo actualizado.


Acción

(Describe la (s) acción (es) definidas para cerrar el

asunto)

Responsable de

ejecutar

(Nombre/Cargo)

Fecha de

cierre

(DD/MM/AA)

En comunicación con el encargado de Nomina, se hará la

actualización del cuadro de manera constante según se generen

cambios.

YOLANDA

LONDONO

30 DE

OCTUBRE

3. INCUMPLIMIENTO CON LA POLÍTICA IV-C64 CIERRE MENSUAL

Descripción del hallazgo

Durante nuestra revisión del procedimiento de cierres contables no obtuvimos evidencia de los

“Chec-klist” de cierres mensuales que estipula la mencionada política debe mantener el

Contralor del Hotel.

Clasificación

Moderado

- 11 -

Recomendación

Dar cumplimiento a la política y mantener los “check-list” de los cierres mensuales,

asegurándose que se pueda evidenciar la verificación de cada uno de los puntos mencionados en

la política IV-C64.


Acción (Describe la (s) acción (es) definidas para cerrar el

asunto)


(Nombre/Cargo)

Fecha de cierre

(DD/MM/AA)

El check List fue implementado el pasado primero de Agosto

según política, se ofreció mostrar a la auditoria sin embargo

no fue aceptado ya que su fecha de revisión era hasta el mes

de Julio.

Adriana Luna y Victor

Lucero

1 de Agosto

Cajas y fondos departamentales

4. INCUMPLIMIENTO CON LA POLÍTICA DE ARQUEOS DE FONDOS DE

OPERACIÓN


Durante la ejecución del arqueo del fondo de lavandería, evidenciamos un sobrante por valor de

COP$9.825, para el cual no fue posible obtener el soporte correspondiente, ya que según la

información suministrada por la persona encargada, se nos informó que correspondía a un

anticipo recibido por parte de uno de los clientes de lavandería como pago de un servicio de

lavado.

Sin embargo, de acuerdo con lo informado por el Sub-contralor, el Hotel no tiene como política

recibir anticipos, por lo que esta transacción es inusual.

Clasificación

Menor

Recomendaciones

Reforzar en el personal de lavandería, los procedimientos de capacitación sobre el manejo y

legalización de fondos, y fortalecer la práctica de arqueos e investigación de todas las diferencias

(sobrantes o faltantes) identificadas.



asunto)


(Nombre/Cargo)

Fecha de cierre

(DD/MM/AA)

Se elaboró un cronograma confidencial para realizar los arqueos

respectivos de acuerdo a la política.

Se implementara política de restricción de anticipos en la

lavandería externa.

Sandra Torres

Victor Lucero

Noviembre 15

- 12 -

5. POLIZA DE SEGURO VENCIDA.


En nuestra revisión de las pólizas de seguro de automóviles, suscritas por la Compañía,

identificamos que la póliza de seguro No 994000022962, emitida por “Aseguradora Solidaria”

por un valor de COP $ 424.263.999, presenta fecha de vigencia hasta el 14 de Agosto de 2010, y

no observamos la renovación respectiva.

Clasificación

Menor

Recomendación

Establecer un procedimiento de revisión periódica de las pólizas de seguros suscritas por

Hotelería Internacional S.A., con el fin de identificar y renovar oportunamente aquellas que estén

próximas a expirar.


Acción

(Describe la (s) acción (es) definidas para cerrar el

asunto)

Responsable de

ejecutar

(Nombre/Cargo)

Fecha de

cierre

(DD/MM/AA)

Dicho seguro fue renovado oportunamente, sin embargo la entrega

de la póliza se encontraba en trámite por parte de la aseguradora.

A fin de garantizar un correcto manejo de la renovación de seguros,

se implementara un calendario de vencimientos y renovación de

seguros.

Se acordó en la reunión de auditoría que en los casos de pólizas que

sea renovadas de manera automática podrá darse por cumplido el

punto con un mail o pre-póliza por parte de la aseguradora.

Silvia Portilla 15 de Noviembre

Caja y bancos

7- INCUMPLIMIENTO DE LA POLÍTICA DE CONCILIACIONES BANCARIAS IV–C5.


Durante nuestra revisión de las conciliaciones bancarias para las seis (6) cuentas bancarias que

tiene registradas Hotelería Internacional en su contabilidad, evidenciamos los siguientes

aspectos:

Ninguna conciliación bancaria está firmada por el Gerente General, tal como lo establece la

política IV-C5.

Durante la ejecución de la Auditoria no encontramos evidencia de las conciliaciones

bancarias para las siguientes cuentas:

- 13 -

Cuenta Entidad Bancaria Cuenta No Tipo

Saldo s/n contabilidad (Jul 31, 2010)

COP$ Observaciones

11100502 DAVIVIENDA 4563-69999-

242

CTA

CTE

141,979,779 No se evidenció la

conciliación de esta

cuenta desde Junio.

11101001 BANCOLOMBIA

PANAMA

Sin datos Sin

datos

30,270,678 Según lo informado por

el Sub-contralor, esta

cuenta bancaria es

controlada por el Grupo

Roble, y en Hotelería

Internacional no se

tiene información de la

misma.

No observamos

evidencia de ninguna

conciliación de esta

cuenta en el año 2010.

Por solicitud de la Auditoría Interna Corporativa, se realizó revisión de las conciliaciones bancarias

descritas en el cuadro anterior, el día 9 de noviembre de 2010, es decir dos meses después de

terminado nuestro trabajo de campo. En esta revisión posterior, encontramos lo siguiente:

Entidad Bancaria Cuenta No Tipo

Saldo s/n contabilidad (Jul 31, 2010)

COP$ Observaciones

DAVIVIENDA 4563-69999-242 CTA

CTE

141,979,779 Existen partidas registradas

en el extracto, pendientes

por registrar en libros del

mes de Mayo 2010, por un

total de COL$ 35.140.

La conciliación es

automática y observamos

que algunas partidas no han

sido compensadas. El valor

de estas partidas asciende a

COL$1.108.295.

BANCOLOMBIA

PANAMA

****7503 CTA

CTE

30,270,678 De acuerdo con la

información suministrada

por el SubContralor, esta

cuenta es administrada por

personal del Grupo Roble.

A la fecha de nuestra

auditoría la Contraloría de

Bogotá Marriot había

solicitado el traslado de

Firmas de esta cuenta, pero

no se había recibido

respuesta del Grupo Roble.

- 14 -

Es importante mencionar que a esta fecha, las conciliaciones ya estaban firmadas por la Contraloría

y Gerente General.

Durante nuestra revisión a las conciliaciones bancarias al 31 de Julio de 2010, identificamos

partidas conciliatorias con antigüedad superior a 90 días, así:

Entidad

Bancaria y

número de

cuenta

Saldo de la

cuenta al 31

de Julio de

2010 (COPS

miles)

Valor de partidas

conciliatorias mayores a 90

días Observaciones

Partidas en el

extracto

pendiente en

libros

Partidas en

libros,

pendiente en

el extracto

Bancolombia,

Cuenta No

31502932-92

-$19.781.478 $186.352 $1.868.575 Corresponden a partidas

conciliatorias con más de 90 días

de antigüedad de enero, marzo y

abril de 2010.

Bancolombia

Cuenta No

31504449-68

$1.845.543.888 $38.658.001 $5.055.078 Según el extracto bancario se

puede identificar que el 5% de las

partidas, es decir $2.106.152,

corresponden a registros del año

2009.

En esta misma revisión, identificamos que si bien los formatos de conciliación bancaria son

generados automáticamente por el sistema, no queda una evidencia clara del proceso de

correlación y depuración de las partidas conciliatorias.

En nuestra revisión detallada de las conciliaciones bancarias que estaban disponibles a la

fecha de nuestra auditoría, identificamos las siguientes situaciones:

- El cheque número 619835 girado a favor de Hotelería Internacional por la Fundación

Instituto de Monterrey, con fecha 24 de mayo de 2010 y por un valor de COP$5.668.220,

corresponde a una consignación en el extracto bancario de la cuenta número 3150293292

de Bancolombia, pero a la fecha de nuestra revisión no estaba registrado en la

contabilidad.

De acuerdo con la información suministrada por la Tesorería, esta situación se presentó

por un error en el seguimiento de las consignaciones bancarias.

- El cheque No. 830320 de la cuenta Bancolombia número 3150293292, fue contabilizado

el día 24 de junio de 2010 a nombre del tercero “EPM-Telecomunicaciones”, por valor de

COLP$ 9,398,742. Solicitado el soporte contable del cheque, la administración del Hotel

suministró un cheque anulado, girado a un tercero diferente (“Glowsten S.A.”), en una

fecha que no coincide (Septiembre 9 de 2009) y por un monto que tampoco corresponde

(COLP$842,062).

Cuando se solicitó a la Sub-Contraloría explicación sobre esta diferencia, nos fue

suministrada una nota bancaria, contabilizada el 31 de agosto de 2010, en la que se

- 15 -

reversó un anticipo contra el movimiento en bancos para el tercero “EPM

Telecomunicaciones ESP” y, adicionalmente, en reunión de validación se inidió que el

error correspondió a un salto en la impresión de los cheques, que no fue detectada

oportunamente por la Tesorería.

- El cheque No. 829724 de la cuenta “Bancolombia” número 3150293292, girado el día 18

de marzo de 2010 a favor de “Bancolombia” para pagar impuesto de vehículo del año

2010, por valor de COP $1.810.000, fue anulado físicamente, pero esta anulación no fue

registrada contablemente. No fue posible establecer la fecha en la que se anuló el cheque.

Es importante mencionar que las conciliaciones Bancarias del mes de Julio de 2010, fueron

solicitadas el día 18 de agosto, y nos fueron suministradas el día 31 de agosto de 2010.

Calificación

Crítico

Recomendaciones

Dar cumplimiento a lo establecido en la Política de conciliaciones Bancarias “IV-C5”, y

asegurar que el Gerente General revise y firme todas las conciliaciones bancarias.

Generar un formato de conciliación bancaria en el cual se pueda identificar: Información

fuente (extractos y cuentas contables), diferencias, antigüedad de las diferencias, y

responsables de elaborar y revisar la conciliación bancaria.



asunto)


(Nombre/Cargo)

Fecha de cierre

(DD/MM/AA)

1. La actual administración se encuentra en proceso de

depuración y corrección general en la contabilidad.

2. El banco Davivienda solo nos permite imprimir los estados de

cuenta los primeros 5 días del siguiente mes, ya se están

haciendo los trámites para que el banco nos proporcione la

llave electrónica la cual nos permita hacer las consultas de

saldo en el mes corriente.

3. La elaboración de las conciliaciones se han realizado en un

100% a la fecha, así como también se han reducido en un 85%

las partidas a mas de 90 días las cuales quedaran debidamente

registradas al cierre de Octubre.

4. A partir de Octubre se imprimirá el reporte “Partidas

Conciliadas” del sistema enterprice y de esta manera quedara

evidencia del proceso de correlación de las partidas

5. En la revisión de cheques para firmas del sub-contralor y

contralor se verificara que el número de cheque físico,

Alejandro Florez

Yolanda Londono

Silvia Portilla

31 de

Octubre

- 16 -

corresponda al número de cheque impreso por el sistema. de

este proceso se dejara evidencia en el respectivo documento.

6. A partir del cierre de Octubre se implementa un arqueo de

cheques no entregados según sistema vs los físicos que estén en

el momento en la tesorería y de esta manera se identifican

perfectamente estas discrepancias de cheques anulados de

manera física contra el sistema.

7. El No. de cheque 830320 de la cuenta Bancolombia número

3150293292 fue impreso con el nombre de un tercero pero

contablemente generado con otro tercero debido a que al

imprimir el cheque anterior se cortó la comunicación con la

impresora y no fue detectado la tesorería y por esta razón se

brinco el consecutivo, cabe aclarar que el numero de cheque

físico e impreso por el banco NO es el mismo que se imprimió

por parte del sistema UnoEE tal como se pudo evidenciar en el

soporte que mostró Deloitte en la reunión.

8. INCUMPLIMIENTO DE LA POLÍTICA IV-C9 CHEQUES EN CARTERA.


Durante nuestra auditoría observamos el incumplimiento de la política de “Cheques Entregados

Pendientes de Cobro, Presentados en Conciliación” en los siguientes casos:

Numero del

cheque

Fecha de Emisión

del cheque

Monto del

cheque

(COP$ miles) Concepto

829990 10/05/2010 245.062 Pago a otros

proveedores

829895 19/04/2010 58.575 Pago a proveedores

Calificación

Moderado

Recomendación

Asegurar el cumplimiento de la política IV-C9 “Cheques Entregados Pendientes de Cobro,

presentados en Conciliación”, que indica que Los cheques entregados y no cobrados según

conciliación bancaria, con antigüedad mayor a 90 días, serán anulados y trasladados al pasivo

correspondiente; y se debe enviar solicitud de orden de no pago al banco.



asunto)


(Nombre/Cargo)

Fecha de cierre

(DD/MM/AA)

A fin de mes se identificaran estos cheques y de acuerdo a la Yolanda Londono 31 de octubre

- 17 -


asunto)


(Nombre/Cargo)

Fecha de cierre

(DD/MM/AA)

política se girara solicitud de orden de no pago al banco y se

trasladara a un pasivo.

Cuentas por cobrar

9. INCUMPLIMIENTO CON LA POLÍTICA DE EJECUCIÓN DE ARQUEOS DE

CUENTAS POR COBRAR.


A la fecha de nuestra auditoria, no obtuvimos evidencia de que la compañía haya realizado

arqueos de cuentas por cobrar en lo corrido del año 2010, lo cual constituye un

incumplimiento de la política corporativa IV-C15 que establece que estos arqueos se deben

realizar trimestralmente. Los saldos relevantes de cartera a continuación: (en COP$ miles)

Saldo de cuentas por cobrar (31/7/2010) (1) 1,132,371

Saldo de cartera superior a 90 días 239,595

Porcentaje frente a cuentas por cobrar total 21%

(1) Este saldo no incluye el convenio Novamar, ni la cartera por tarjetas.

A pesar de que la Compañía tiene registradas cuentas por cobrar con antigüedad superior a

150 días (al 31 de Julio de 2010, ascendía a COL$ 92 millones), no observamos que se tenga

ningún valor registrado como “provisión” por incobrabilidad. Si bien esto no es un

incumplimiento a alguna política corporativa, si es una práctica recomendada por los

Principios Contables de General Aceptación en Colombia (Decretos 2649 y 2650), que

implica evaluar la recuperabilidad de la cartera y registrar las provisiones que sean necesarias

para cubrir las contingencias de pérdida y reflejar así el valor razonable de las cuentas por

cobrar.

Calificación

Moderado

Recomendaciones

Asegurar el cumplimiento de la política IV-C15 “Arqueos de cuentas por cobrar”, que

permita realizar un seguimiento y análisis detallado y sustentado de las cuentas por cobrar

con antigüedad significativa.

Definir y documentar procedimientos locales que establezcan las acciones a seguir cuando se

presenta la incobrabilidad de las cuentas. Estos procedimientos deberían definir asuntos tales

como: cálculo y registro de provisiones de cartera por riesgo de incobrabilidad, traslado de

cuentas a cobro coactivo o jurídico, entre otros.

- 18 -



asunto)


(Nombre/Cargo)

Fecha de cierre

(DD/MM/AA)

1. A partir de Septiembre se implemento el cronograma de

arqueos de fondos en donde se ha incluido también un arqueo

trimestral al modulo de CxC, dicho cronograma es supervisado

y evidenciado por el sub contralor.

2. Durante la visita del auditor en el mes de Agosto se les mostró

que el saldo de la cartera a mas de 90 días había ya sido

identificado y reducido de un 21% a un 12% del total de la

cartera.

3. A partir del mes de septiembre se implementaron las juntas

mensuales de cxc de acuerdo a la política a través de las cuales

se identifican los saldos por antigüedad, se evalúan riesgos y se

toman decisiones, así como se aprueban nuevos créditos. De

esta forma es como la administración prevé la provisión de

alguna cuenta incobrable.

Silvia Portilla

Sandra Torres

Octubre 30

10. INCUMPLIMENTO CON LA POLÍTICA DE MONTOS DE CRÉDITO A CLIENTES


En nuestra revisión no obtuvimos evidencia de que el Hotel tenga una política local de

montos máximos y días límite para el otorgamiento de créditos, tal como lo establece la

política IV-C23.

En nuestra auditoría solo obtuvimos evidencia del funcionamiento de la Junta de Crédito para

el mes de agosto de 2010, lo cual constituye un incumplimiento a la política IV-C20, la cual

establece que las reuniones de la Junta de Crédito deben desarrollarse con periodicidad

mensual.

Como parte de nuestra auditoría, verificamos una muestra aleatoria de 25 folios de la

Empresa, con el fin de revisar que el valor total de la cuenta por cobrar a la fecha de revisión,

no superara el valor del crédito aprobado. Como resultado de esta prueba identificamos que

los siguientes clientes excedían el límite de crédito aprobado:

Nombre del cliente Límite de

crédito (COP$) Saldo de la

cuenta (COP$) Observaciones

Expidia /Hoteles.com $50.000.000 $109.084.678 Excede el cupo de crédito en más

de $50 millones

Metro Representaciones $4.000.0000 $5.213.899 Excede el cupo de crédito en más

de $1,2 millones

Hotel Club $0 $2´009.206 Este cliente no tiene convenio con

el Hotel, sin embargo, tiene una

cuenta por cobrar vigente desde

febrero de 2010. En nuestra

auditoria no observamos evidencia

de que el cliente haya aceptado la

factura.

- 19 -

Calificación

Mayor

Recomendación

Asegurar el cumplimiento de la política IV-C20 e IV-C23, con el fin activar con la

periodicidad debida el funcionamiento de la Junta de Crédito y formalizar la política local de

montos máximos y días límite para el otorgamiento de créditos.

Realizar una revisión detallada de los montos de crédito otorgados a los clientes convenio,

frente a los montos actualmente adeudados, con el fin de actualizar los valores de crédito

otorgados e identificar clientes que deben ser monitoreados de cerca para limitar la

posibilidad de que las deudas incobrables se incrementen.



asunto)


(Nombre/Cargo)

Fecha de cierre

(DD/MM/AA)

1. A partir del mes de Agosto fue implementada la junta

crédito tal y como lo establece la política, es decir, durante

la visita del auditor se pudo evidenciar que ya estamos

cumpliendo con dicha política.

2. Los montos de crédito y días limites de pago se encuentran

relacionados en cada uno de los expedientes de las empresas

a las cuales les hemos aproado el crédito, por lo tanto

consideramos que este punto se esta haciendo desde hace

varios meses.

3. El excedente identificado en los créditos de las tres

empresas muestra se debió en su momento a un debilidad en

el control y seguimiento de la cuenta por cobrar, por tal

razón a partir del pasado primero de Julio se tomaron

acciones por parte de la administración y a la fecha presente

se han reducido los excedentes de crédito que se

encontraban sin explicación, es decir que a actualmente los

créditos que exceden el monto inicial se revisan durante la

junta mensual de crédito.

4. En las juntas mensuales de Créditos se analizaran los

sobregiros de las empresas para ser valorados y autorizados.

Silvia Portilla Octubre 30

Activos fijos

11. INCUMPLIMIENTO CON LA POLITICA DE ADQUISICIÓN DE ACTIVOS FIJOS.


En nuestra revisión de las compras de activos fijos, observamos el incumplimiento de las

políticas IV-C29 y IV-C31, por cuanto las siguientes compras no tenían el formato de

Proyectos de Inversión (“API”) correspondiente:

- 20 -

Código Descripción

Fecha de

registro

Valor

(COP$)

000023410-000 MAQUINA ESPRESSO B03 205

2GR 220V

22/04/2010 21.988.496

000023411-000 MOLINO MC 220V 60HZ 27/04/2010 4.553.000

Para estas compras tampoco observamos la cotización, orden de compra y factura del

proveedor respectivo. De acuerdo con el Sub-Contralor, estos soportes no los tiene el Hotel,

sino que los tiene personal del Grupo Roble; sin embargo, a la fecha de nuestra auditoría no

nos fue posible obtener dichos soportes.

Calificación

Moderado

Recomendación

Se debe dar cumplimiento a las políticas IV-C29 y IV-C31, las cuales establecen que todas las

compras de activos fijos que superen los U$ 500 deben:

Contar con el formato API debidamente aprobado por el Corporativo, y

Tener el cuadro comparativo de tres cotizaciones, la justificación de la compra y los soportes

de la compra; es decir, la Orden de Compra y la factura correspondiente.



asunto)


(Nombre/Cargo)

Fecha de cierre

(DD/MM/AA)

1. Durante el proceso de entrega por parte de Grupo Roble se

acordó con ellos la entrega de un Horno marca XXXX

asignados al hotel no era de utilidad y en su lugar se requería la

maquina expreso anteriormente mencionada, se identificaran

los documentos soportes de este proceso a fin de sustentarlo.

Cabe aclarar que este punto no pertenece a ninguna compra de

activo realizada sin aprobación del corporativo

Adriana Luna

Ana Milena

Noviembre 30

12. DEPRECIACIÓN ERRONEA DE ALGUNOS CONCEPTOS


En nuestra revisión del detalle de la cuenta auxiliar de activos fijos, observamos que la compañía

está depreciando algunos conceptos que, de acuerdo con la Normatividad Contable Colombiana

(Decretos 2649 y 2650) no son considerados activos depreciables, sino que deberían ser

registrados directamente contra gastos. Un detalle de esto, al 31 de Julio de 2010, a continuación:

- 21 -

Descripción Costo (COP$) Depreciación (COP$) Saldo (COP$)

Instalación de figura especial 208.800,00 20.323,20 188.476,80

Instalación de Lámpara 4.222.400,00 401.193,77 3.821.206,23

Instalación obra Claudia Navas 92.800,00 7.586,37 85.213,63

Instalación obra Juan Guillermo 111.360,00 9.159,36 102.200,64

LCD 37 " Almacenaje 1.893.926,16 209.432,16 1.684.494,00

LCD 37" Transporte Integral 483.362,88 57.046,08 426.316,80

LCD 42 " Almacenaje 969.509,82 107.209,32 862.300,50

LCD 42" Transporte Integral 247.435,76 29.202,16 218.233,60

Total 8.229.594,62 841.152,42 7.388.442,20

Calificación

Moderado

Recomendación

Efectuar una revisión detallada de los conceptos incluidos en el archivo auxiliar de activos fijos,

con el fin de identificar aquellos conceptos que no deberían ser depreciados, y efectuar los

ajustes contables correspondientes, con el fin de adherirse a las prácticas contables de general

aceptación en Colombia.



asunto)


(Nombre/Cargo)

Fecha de cierre

(DD/MM/AA)

Cuando se hizo la importación del inventario de activos fijos de

parte de Grupo Roble no se realizo integrando cada activo con sus

costos respectivos.

A partir del Septiembre 1 se contrato a la Sra Ana Milena quien

está a cargo de todo el análisis y conciliación de los activos a nivel

contable y físico

Ana Milena Noviembre 30

13. TOMA FÍSICA DE ACTIVOS FIJOS, Y ACTIVOS QUE NO ESTÁN MARCADOS.


Durante nuestra auditoría, seleccionamos una muestra de activos comprados por el Hotel

durante el año 2010, observando que estos activos no estaban etiquetados y por tanto no fue

fácil ubicar e identificar físicamente el activo. Un detalle de esto a continuación:


Estatus en

el sistema

Método de

depreciación

Fecha de

ingreso

000023410-000

MAQUINAESPRESSO B03 205

2GR 220V Activo L.R. 22/04/2010

000023387-000 TRAJE DE BOMBERO Activo L.R. 03/01/2010

000023388-000 TRAJE DE BOMBERO Activo L.R. 03/01/2010

000023383-000

EQUIPO DE RESPIRACION

AUTONOMA Activo L.R. 03/01/2010

- 22 -


Estatus en

el sistema

Método de

depreciación

Fecha de

ingreso

000023384-000

EQUIPO DE RESPIRACION

AUTONOMA Activo L.R. 03/01/2010

000023411-000 MOLINO MC 220V 60HZ Activo L.R. 27/04/2010

000023375-000 CAMILLA RIGIDA Depreciado L.R. 03/01/2010

De acuerdo con la política IV-C30, se deben realizar tomas físicas selectivas de activos fijos,

con una prueba mínima del 20% del mobiliario existente, cada año. A la fecha de nuestra

auditoria, no observamos evidencia de la ejecución de este procedimiento, el cual está

vencido por cuanto el Hotel se inauguró en el mes de agosto de 2009.

De acuerdo con la información suministrada por el Sub-Contralor, este procedimiento no se

ha ejecutado, porque se necesita realizar una verificación de todos los activos fijos previo a la

ejecución del inventario, la cual se va a realizar en el mes de diciembre de 2010.

Calificación

Mayor

Recomendación

Dar cumplimiento a la política corporativa IV-C30, relacionada con la identificación, registro y

toma física de los activos del Hotel. Este último punto debe realizarse como mínimo con pruebas

selectivas que cubran el 20% del mobiliario existente cada año.



asunto)


(Nombre/Cargo)

Fecha de cierre

(DD/MM/AA)

Se contrato a la Sra Ana Milena y al 30 de Noviembre estará

realizado el inventario físico de activos fijos y serán etiquetados

según corresponda

Ana Milena Noviembre 30

Cuentas por pagar

14. INCUMPLIMIENTO DE LA POLITICA DE COMPRAS DE PRODUCTO FUERA DE

INVENTARIO


Para una muestra de 25 pagos, revisamos la orden de pago, la orden de compra y la solicitud

de compra, identificando las siguientes inconsistencias:

- Dos (2) de las 25 facturas no tenían asociada la orden de compra correspondiente.

- Ocho (8) pagos de los 25 no se encontraban debidamente firmados por el Departamento

de Contraloría

- 23 -

- Dos (2) de las facturas de compras de bienes, no contaban con la documentación

correspondiente a la recepción del producto por Almacén.

De un total de 10 facturas, correspondientes a compras no rutinarias, se evidenció que 4

órdenes de compra no se encontraban debidamente firmadas por el Departamento de

Contraloría.

Ver detalle de hallazgos en el Anexo 3 de este documento.

Calificación

Moderado

Recomendación

Toda la documentación soporte de una compra debe tener adjuntos los soportes requeridos

(cotizaciones, órdenes de compra y formatos de recepción de almacén), y debe asegurarse

que la misma fue debidamente aprobada, de acuerdo con el cuadro de autorizaciones de la

Empresa.



asunto)


(Nombre/Cargo)

Fecha de cierre

(DD/MM/AA)

Se giro ya el procedimiento local de compras y se reforzara

revisándolo cada uno de los ejecutivos involucrados en su firma.

La administración esta depurando este punto ya que contamos con

proveedores únicos y lo hará público una vez que sea autorizado

por la Gerencia

Fany Reyes

Adriana Luna

Noviembre 15

15. INCUMPLIMIENTO DE LA POLITICA DE CUENTAS POR PAGAR


Durante nuestra auditoria no evidenciamos que la compañía esté realizando el arqueo de las

cuentas por pagar, tal como lo establece la política IV-C33. A la fecha de nuestra auditoria, la

compañía registraba cuentas por pagar a proveedores, con un vencimiento de más de 90 días, por

valor de COP$ 52´313.787.

Calificación

Moderado

Recomendación

Dar cumplimiento a la política IV-C33 y realizar los arqueos trimestrales de las cuentas por

pagar, cumpliendo los requerimientos de la política en relación con:

- 24 -

Conciliar mensualmente las cuentas por pagar y reportar cualquier diferencia resultante al

Gerente General a través del Contralor.

Realizar un informe con los hallazgos identificados durante la conciliación de las cuentas por

pagar.



asunto)


(Nombre/Cargo)

Fecha de cierre

(DD/MM/AA)

1. A partir de Septiembre se incluyo un arqueo a las CxP con

periodos trimestrales dentro del calendario de arqueos del

auditor de ingresos.

2. Mensualmente las CxP se concilian mediante un anexo que

forma parte de REG (estados financieros)

Javier Joya

Victor Lucero

Edward Castro

Noviembre 15

Nomina

16. ERROR EN EL REGISTRO CONTABLE DE ANTICIPOS


Durante nuestra auditoría, observamos el registro de un anticipo a nombre del Señor Ricardo

Prudencio Menéndez Méndez, Gerente General de Hotelería Internacional, por valor de

COP$255.000, que presentaba una antigüedad superior a los 150 días. De acuerdo con la

información suministrada por el Sub-Contralor del Hotel, este registro corresponde al pago

del cheque No 814462, por una compra realizada por el Gerente General a nombre del Grupo

Roble, en la que el cheque original se extravió, por lo que el Gerente solicitó que se realizara

nuevamente el pago.

Lo anterior constituye un incumplimiento de la política IV-C35, que establece que no se

otorgarán anticipos de salarios a los empleados, pero que de darse una excepción, esta

debería cumplir con lo siguiente:

- Encontrarse debidamente autorizada por la Dirección Financiera del Corporativo, y

- Tener un Compromiso de Pago;

El día 27 de octubre el Subcontralor envío soporte de anulación del cheque entregado por el

Grupo Roble, así como carta de solicitud de re-emisión del mencionado cheque, firmada por

el Gerente General, y correo electrónico de orden de no pago al Banco..

Es importante adicionar, que a la fecha de nuestra revisión no se había generado la cuenta de

cobro correspondiente al grupo Roble, ni tampoco nos fue posible obtener evidencia de la

denuncia de pérdida del título valor (cheque) ante la autoridad competente.

- 25 -

Calificación

Moderado

Recomendación

Dar cumplimiento a lo establecido en la política IV-C35, y clarificar la transacción de

anticipo al Sr. Menéndez, adicionando los soportes de aprobación de la transacción y

realizando la cuenta de cobro al Grupo Roble.

Generar un procedimiento en el que se establezcan los requisitos y condiciones que deben

seguir los anticipos a nivel local.

En todos los casos de pérdida de títulos valores, tales como cheques, se debe realizar la

correspondiente denuncia de pérdida o robo, dar orden de no pago a la entidad bancaria, y

mantener estos soportes bajo custodia de la Tesorería.



asunto)


(Nombre/Cargo)

Fecha de cierre

(DD/MM/AA)

1. El Gerente General explico y demostró personalmente a los

auditores que esto no es un préstamo, lo cual no se está

mencionando por parte del auditor en este punto.

2. En ningún momento este monto se manejo como un préstamo o

anticipo de sueldo ya que es un gasto que corresponde a grupo

roble específicamente al Sr. Jorge Díaz (Gerente general de

GR) el cual registro su gasto en contabilidad, El Sr. Menendez

presto de su dinero a la mama del Sr. Jorge Diaz para reparar el

vehículo del Sr. Jorge Diaz ya que este último se encontraba

fuera del país

3. Se ofreció a los auditores verificarlo con el personal de Grupo

Roble para que pudieran aclarar este punto.

17. REGISTRO ERRÓNEO CON VINCULADOS ECONÓMICOS.


La cuenta 13101001, que se encuentra registrada como una Cuenta con Compañías vinculadas,

presenta un saldo de COP $ 1´688.603 en el Balance a 31 de julio de 2010. De acuerdo con la

información suministrada por el Sub-Contralor, “Hoteles Marriott Bogotá” no tiene compañías

vinculadas, y lo que se presentó en este registro fue un error en la clasificación de la cuenta

contable.

Calificación

Menor

- 26 -

Recomendación

Reforzar el análisis de los estados financieros asegurando que todos los reportes y las cuentas

contengan información adecuadamente clasificada.

Verificar que las transacciones con otras compañías del Grupo estén siendo adecuada y

oportunamente conciliadas.



asunto)


(Nombre/Cargo)

Fecha de cierre

(DD/MM/AA)

1. Se distribuyo en conjunto con el Contralor las diferentes

cuentas del balance entre todo el grupo de contraloría para ser

analizadas e integradas de manera mensual a partir del mes de

Octubre.

Adriana Luna

Víctor Lucero

Octubre 31

Tecnología de información

18. PROCEDIMIENTO DE CONTROL DE CAMBIOS EN LAS APLICACIONES DEL

HOTEL


En nuestra revisión del procedimiento de control de cambios en aplicaciones, que tiene el

Hotel, identificamos las siguientes debilidades:

- El procedimiento no se encuentra formalmente documentado y no ha sido divulgado en

las diferentes áreas funcionales del Hotel.

- Las planillas y/o facturas suministradas por los proveedores, al momento de realizar

actualizaciones o instalación de “parches” en las aplicaciones, no incluyen la evidencia

de las pruebas de funcionamiento que involucran a los usuarios finales de la aplicación,

módulos críticos, interfaces con otros sistemas, entre otros.

- Según lo informado por el Jefe de Sistemas, las pruebas se realizan en el ambiente de

producción, por lo cual una falla en la actualización o instalación de “parches” podría

ocasionar el riesgo de no disponibilidad de los sistemas de información por un periodo

prolongado, o incluso la pérdida de integridad de la información de operación del Hotel.

Calificación

Mayor

Recomendaciones

Formalizar el procedimiento de control de cambios en aplicaciones considerando, entre otros,

los siguientes aspectos:

- 27 -

- Roles y responsabilidades asociadas al procedimiento

- Personal autorizado para realizar la solicitud inicial

- Formatos y canales de comunicación por medio de los cuales se debe formalizar la

solicitud.

- Personal autorizado para realizar la aprobación de la implementación del cambio.

- Definición del procedimiento de realización de pruebas y formatos para documentarlas

- Responsables de la aprobación del paso a producción y formatos de soporte respectivos.

Considerando que las pruebas se realizan directamente en el ambiente de producción, se debe

diseñar un formato para realizar la documentación de las pruebas, los datos de prueba

utilizados, acompañamiento de los usuarios finales, la supervisión y aprobación del ajuste a

los datos de producción, especificando de qué forma se afectó el sistema y las actividades de

se deben realizar para reversar resultados en los casos en que aplique.

Adicionalmente, para las pruebas realizadas en producción, se debe evaluar la viabilidad de

implementar un sistema de control dual, el cual implica: la asignación de un funcionario para

realizar las pruebas y otro funcionario que al final de las mismas realice la verificación y

ejecute las actividades de reversión de las actividades realizadas, en los casos en que aplique.



asunto)


(Nombre/Cargo)

Fecha de cierre

(DD/MM/AA)

Este punto no es lo que se le explico esta dependencia Contamos

con Bd de prueba para hacer estos cambios, tenemos BK de

seguridad antes de realizar cualquier .cambio. Se envían los

cambios de la aplicación a las áreas que se verán afectadas.

Se puede verificar de nuevo en producción

Funciona

actualmente

19. INCUMPLIMIENTO DE LA POLITICA, IV-C23, CONFIGURACIÓN DE LOS

LIMITES DE CRÉDITO PARA LOS HUÉSPEDES Y PROCEDIMIENTO DE

CREACIÓN DE USUARIOS EN LOS SISTEMAS PRINCIPALES DEL HOTEL


Recibimos los listados de usuarios de los sistemas “Uno Enterprise”, “Micros” y “Opera”, y

los comparamos con el listado total de empleados que ingresaron durante el año 2010, e

identificamos un total de 29 ingresos. Para la activación de usuarios de estos empleados,

observamos las siguientes situaciones:

Situación Número de usuarios

- Usuarios creados en “Opera” de los cuales no obtuvimos soportes de

solicitud de creación y aprobación de los privilegios de acceso

Dos (2)

- 28 -

Situación Número de usuarios

- Usuarios creados en “Micros” de los cuales no obtuvimos soportes de

solicitud de creación y aprobación de los privilegios de acceso

Nueve (9)

- Usuarios creados en “UnoEE” de los cuales no obtuvimos soportes de

solicitud de creación y aprobación de los privilegios de acceso.

Cuatro (4)

La política de alta de usuarios definida a nivel corporativo, establece que en todos los casos

se debe diligenciar el formato de solicitud de creación de usuarios, el cual debe estar firmado

por los Gerentes de División e Informática. Para los usuarios creados en lo corrido del año

2010, no obtuvimos los formatos de solicitud de creación de usuarios en los sistemas de la

corporación. Dichos usuarios fueron autorizados por correo electrónico, con excepción de los

mencionados en el cuadro anterior.

El detalle de los usuarios creados en lo corrido del 2010 se puede ver en el anexo dos (2) de

este documento.

Durante nuestra auditoría, no evidenciamos que el límite de crédito para las compañías

convenio esté configurado en el sistema informático, antes del ingreso del huésped, tal como

lo establece la política IV-C13.

Con la colaboración del Jefe de Sistemas del Hotel, obtuvimos el reporte de límites de crédito

configurados en el sistema “Opera”, el cual cuenta con un campo llamado “Credit Limit”

que, a la fecha de nuestra revisión (26 de agosto de 2010), se encuentra configurado en valor

“cero (0)” para la totalidad de huéspedes registrados en el sistema.

Calificación

Moderado

Recomendación

Garantizar el estricto cumplimiento de la “Política de Sistemas IV G5”, la cual establece que

parar la creación de usuarios en los sistemas de información del Hotel, el área de recursos

humanos debe diligenciar el formato de solicitud, indicando los permisos de acceso de cada

funcionario. Adicionalmente, este formato debe ser autorizado y firmado por los Gerentes de

División y de TI.

Dar cumplimiento a lo establecido en la política IV-C13, en la cual toda compañía debe tener

un crédito aprobado antes del ingreso del huésped o realización de un evento, estos límites de

crédito deben ser configurados en el sistema previamente aprobados por la Gerencia para los

huéspedes del Hotel, con el fin de restringir de forma automática los montos autorizados.

- 29 -



asunto)


(Nombre/Cargo)

Fecha de cierre

(DD/MM/AA)

Se implementará formato de política de creación de usuarios

Ariel Díaz

15/10/10

20. USUARIOS NO AUTORIZADOS PARA ACTIVAR O DESACTIVAR EL CAMPO “NO

POST” EN EL SISTEMA OPERA.


En reunión realizada con el Jefe de Sistemas, identificamos que el privilegio “Reservation

Edit”, permite activar o desactivar los límites de crédito de los huéspedes en el sistema Opera

(campo “no post”).

Con base en lo anterior, identificamos un total de 57 funcionarios que cuentan con dicho

privilegio, de los cuales 36 no hacen parte del “Front Desk”, ni del área de Contabilidad. En

el Anexo uno (1) de este documento se puede ver el detalle de esta situación.

El privilegio “Reservation Edit” permite registrar y modificar la información de la reserva

realizada por cada huésped. Sin embargo, los 36 usuarios mencionados en la viñeta anterior,

requieren este privilegio únicamente para realizar consultas sobre la información de las

reservas de los huéspedes, pero por las características del privilegio tendrían acceso a muchas

funciones que sus responsabilidades no requieren, y que podrían generar conflictos de

segregación funcional.

Calificación

Moderado

Recomendaciones

Validar con el proveedor del sistema “Opera” la viabilidad técnica de construir perfiles que

permitan segregar las funciones de manera adecuada, con el fin de garantizar que solo los

funcionarios autorizados, es decir, los funcionarios del “Front Desk” y del área de

Contabilidad puedan activar o desactivar el campo “no post”.



asunto)


(Nombre/Cargo)

Fecha de cierre

(DD/MM/AA)

Con el Lider de Opera Se revisaran cada uno de estos permisos. Jose Luis Polanco 15/10/2010

- 30 -

21. REVISIÓN DEL PLAN DE CONTINGENCIA


Observamos que en el Plan de Contingencia de Sistemas de Información no considera los

siguientes aspectos:

- Evaluación de riesgos asociados a la plataforma tecnológica del hotel

- Definición de límites de tiempo tolerables para la caída de cada uno de los servidores

- Tiempos objetivo de recuperación (RTO por sus siglas en inglés)

- Punto objetivo de recuperación (RPO por sus siglas en inglés)

- Análisis de impacto al negocio (BIA por sus siglas en inglés)

- Pruebas periódicas del Plan de Contingencia

Calificación

Mayor

Recomendación

Complementar el Plan de Contingencia teniendo en cuenta, entre otros, los siguientes

aspectos:

- Evaluación de riesgos asociados a la plataforma tecnológica del hotel

- Definición de límites de tiempo tolerables para la caída de cada uno de los servidores

- Tiempos objetivo de recuperación (RTO por sus siglas en inglés)

- Punto objetivo de recuperación (RPO por sus siglas en inglés)

- Análisis de impacto al negocio (BIA por sus siglas en inglés)

- Pruebas periódicas del Plan de Contingencia



asunto)


(Nombre/Cargo)

Fecha de cierre

(DD/MM/AA)

Se completara el plan de contingencia de acuerdo a la

recomendaciones

Ariel Diaz 15/11/10

- 31 -

22. MÉTODOS DE AUTENTICACIÓN PARA ACCEDER AL BUSINESS CENTER.


Observamos que para el acceso al Business Center los huéspedes se autentican con los

siguientes datos:

- Nombre

- Apellido

- Numero de habitación

Los anteriores datos son de conocimiento de muchos de los empleados del Hotel, por lo cual

el método de autenticación utilizado no suministra un adecuado nivel de privacidad, y podría

ocasionar cargos no cobrables al huésped por el uso de Internet.

Calificación

Menor

Recomendación

Evaluar la viabilidad de exigir el uso de claves de acceso o PIN otorgados a los huéspedes,

funcionarios del Hotel y contratistas externos, para su ingreso al Business Center.



asunto)


(Nombre/Cargo)

Fecha de cierre

(DD/MM/AA)

Se validara con Guestek la posibilidad de otros pasos de

autenticación, pero no hay una política definida por le grupo y

por servicio no se recomienda tener niveles mas altos de

autenticación que compliquen la operación del Cliente.

Hasta la fecha no hemos detectado una sola queja por fraude en

este servicio, por lo que la gerencia asume el riesgo esta

situación.

23. CONFIGURACIÓN DE POLÍTICAS DE CONTRASEÑA EN LOS SISTEMAS

PRINCIPALES DEL HOTEL


Sistema “Opera”:

- No se tiene configurado el tiempo máximo de validez de la contraseña acorde a lo

establecido por las políticas de seguridad de claves de acceso de la compañía.

- 32 -

- El tiempo límite de sesión inactiva se encuentra configurado en quince (15) minutos antes

del bloqueo de la sesión, lo cual está alineado con las políticas corporativas, pero no con

las locales que lo establecen en 30 minutos.

Sistema “Uno Enterprise”:

- Con la colaboración del Jefe de Sistemas, consultamos al proveedor de la aplicación,

quien nos informó que no se tiene acceso a las políticas de contraseña configuradas en el

sistema, ya que éstas vienen configuradas por defecto.

Calificación

Menor

Recomendaciones

Revisar las políticas locales y alinearlas con la definición corporativa, y definir los casos en los

que se usa cada uno de estos estándares.



asunto)


(Nombre/Cargo)

Fecha de cierre

(DD/MM/AA)

Por parte de Opera se escalara el caso a Marriott por las políticas

actuales,

En Enterprise no se cuenta con este parámetro, pero se validada con

Marriott si podemos bajar los tiempos de autenticación a 5 minutos

William Garzon 25/10/20

24. POLÍTICAS Y PROCEDIMIENTO DE LA COMPAÑÍA EN TEMAS DE TI


A pesar que se tienen definidas políticas y procedimientos para el área de sistemas,

evidenciamos que hace falta incluir en el Manual de Políticas y procedimientos del Hotel, los

siguientes temas:

- Formalización del procedimiento de creación de usuarios. Evidenciamos que no en todos

los casos se cuenta con el debido soporte de la solicitud de creación de usuarios en los

sistemas del Hotel.

- Política de gestión de cambios en las aplicaciones clave que soportan el negocio (Uno

Enterprise, Opera, y Micros)

- Políticas para la inactivación de usuarios en los sistemas de la compañía por motivos

como vacaciones/licencias/etc.

- Políticas de uso adecuado de la información y los sistemas.

- Procedimientos de mantenimiento de equipos.

- 33 -

- Política de seguridad de la información.

- Política de operaciones que debe incluir todos los procedimientos de administración de

tareas programadas, interfaces entre sistemas, entre otros.

Calificación

Moderado

Recomendaciones

Revisar la política de alta de usuarios con el fin de formalizar el procedimiento de

administración de usuarios. Se deben tener en cuenta entre otros los siguientes aspectos:

- Responsables de la solicitud inicial de creación o modificación de usuarios en los

sistemas de información.

- Responsables de la administración de usuarios para cada una de las aplicaciones claves

de la compañía (Opera, Micros, Uno Enterprise)

- Formatos y canales de comunicación utilizados para la solicitud de creación de usuarios.

- Descripción de casos especiales (Gerentes y administradores)

- Procedimientos para inactivación de los usuarios por motivos tales como

vacaciones/licencias/etc.

Formalizar el procedimiento de control de cambios en las aplicaciones, considerando, entre

otros, los siguientes aspectos:

- Personal autorizado para realizar la solicitud inicial.

- Formatos y canales de comunicación por medio de los cuales se debe formalizar la

solicitud.

- Personal autorizado para realizar la aprobación de la implementación del cambio.

- Definición del procedimiento de realización de pruebas.

- Considerando que la mayoría de las pruebas se realizan directamente en el ambiente de

producción, se debe diseñar un formato para realizar la documentación de las pruebas, en

los cuales se especifique de qué forma se afecto el sistema a partir de las mismas y las

actividades de se deben realizar para reversar resultados en los casos en que aplique.

- Responsables de la aprobación del paso a producción y formatos de soporte respectivos.

Diseñar e implementar políticas de uso adecuado de la información y de los sistemas

informáticos, incluyendo, entre otras:

- 34 -

- Políticas generales para el uso de la información y las aplicaciones de la compañía

- Manejo de la información por personal subcontratado, “outsourcing” y/o terceros.

- Responsabilidades de las áreas internas que manejan la información y las aplicaciones.

- Uso apropiado y exclusivo de los sistemas de información.

Diseñar e implementar el procedimiento de mantenimiento de equipos, que incluya, entre

otros, los siguientes aspectos:

- Revisión del suministro eléctrico

- Revisión de sistemas de protección adecuada del cableado

- Procedimiento de mantenimiento de equipos

Diseñar e implementar las Políticas de seguridad de la información que incluya, entre otros,

los siguientes aspectos:

- Clasificación general de la información

- Protección de datos e intimidad de la información de los huéspedes

- Tratamiento y uso de la información

- Control de acceso a los sistemas de información

- Tratamiento de virus y software malicioso

Política de operaciones que debe incluir todos los procedimientos de administración de

tareas programadas, interfaces entre sistemas, entre otros.



asunto)


(Nombre/Cargo)

Fecha de cierre

(DD/MM/AA)

Se implementaran todos los formatos necesarios para hace

seguimiento a las políticas

Ariel Diaz 15/10/10


Anexos

- 36 -

ANEXOS

Anexo 1 - Usuarios con el privilegio “Reservation Edit” pero que no pertenecen al Front Desk

o al área de contabilidad

APP_USER Nombre de usuario Cargo

Requiere los

permisos

ADIAZ775 ARIEL DIAZ Jefe de sistemas Si

AECHE033 ECHEVERRY CHARRY ADRIANA Asistente de reservas Si

AECHE809 ANDREA ECHEVERRY Gerente Health Club Si

AREND422 RENDON CASTRO ANDRES Supervisor AYS Si

ARIVA686

RIVADENEIRA GUZMAN ADRIANA

MARCELA Coordinador de grupos Si

AROME768 ROMERO GARCIA JENNY ALEXANDRA Gerente de banquetes Si

ARUBI589 RUBIANO ANA MARIA Asistente de gerencia Si

BPAULUS BARBARA Paulus Morriott Help Si

CCABR027 CECILIA CABRERA Gerente de ventas Si

CMEDI734 MEDINA PEÑA HEIDY CAROLINA Super Team Si

CRIVE009 CAROLINA RIVEROS Reservas Si

DBARBIROTTO DARIO BARBIROTTO Instalador de interfaces Si

EBADER ERICK BADER Si

ECAST634 CASTRO SANCHEZ EDGAR ANDRES Agente de Ays Si

EOSPI279 ELIZABETH OSPINA Revenue Manager Asist. Si

FMEDI232 MEDINA GIRALDO FRANCISCA EDITH Agente de Ays Si

GSIER214 SIERRA CUTA GINA LORENA Agente de Ays Si

GVARG387 GABRIEL VARGAS Gerente de division 4 Si

JANTONINO JUAN MARCELO ANTONINO instalador de micros Si

JPCAS289 CASASBUENAS SALAZAR JUAN PABLO Revenue Manager Cluster Si

KCHAV619 KAREN CHAVEZ Reservas Si

LMARI437 MARIN VALENCIA LUISA FERNANDA Auxiliar de Lavandería Si

LSANM893 SANMIGUEL PATIÑO LINA FERNANDA Agente de Ays Si

LVILL029 LEONEL VILLAMIL director de ventas Si

MCORD696 MARIA PAULA CORDOBA Reservas Si

MOLAY031 OLAYA GARCIA MARYORY Agente de Ays Si

MVELO456 VELOZA ROMERO MARCO YAIR Agente de Ays Si

PFAJA287 FAJARDO RODRIGUEZ LIGIA PIEDAD Gerente Grupos Cluster Si

- 37 -

APP_USER Nombre de usuario Cargo

Requiere los

permisos

PMBRU839 GUDRUN BRUFY Marriot international Si

SDESAI Shivani Desai Marriot international Si

SRIOS023 RIOS HERRERA SILVIA JULIANA Jefe de Reservas Si

TGUER315 TATIANA GUERRERO Reservas Si

VHERN080 HERNANDEZ BELTRAN IVETTE VANESSA Asistente de Reservas Si

VQUIN123 QUINTERO RUIZ VICTOR JULIO Jefe de Lavanderia Si

WGARZ383 GARZON FIGUEROA WIILLIAM

Gerente de Sistemas

Cluster Si

YGARC542 YENNY GARCIA Reservas Si

Anexo 2 - Usuarios creados en lo corrido del año 2010 en las principales aplicaciones del Hotel.

Usuario UNO Micros Opera Soporte de creación

MEDINA GIRALDO FRANCISCA EDITH x Si

OLAYA GARCIA MARYORY x Si

SANMIGUEL PATIÑO LINA FERNANDA x Si

GARCIA HERRERA JENNY YOLIMA x Si

MARIN VALENCIA LUISA FERNANDA x Si

SIERRA CUTA GINA LORENA x x Si

DELGADO ABREU JHONATHAN x Si

MESA SAAVEDRA SANDRA PATRICIA x Si

RAMIREZ FUQUEN JOSE MANUEL x x No

ORJUELA VERA MARIA PAULA x Si

COLMENARES GOMEZ NOHORA

FERNANDA x

Si

MEDINA PEÑA HEIDY CAROLINA x x No

LUCERO CARRILLO VICTOR MANUEL x x Si

LUNA CAICEDO ADRIANA x x Si

PORTILLA SANTACRUZ SILVIA

LORENA x x

No

LINARES RODRIGUEZ JAVIER

FRANCISCO x

No

GUALTEROS FLORIAN BETTY

RAQUEL x

No

TORRES REY BIBIANA x No

MORENO LUNA LILIANA ANDREA x No

ACOSTA REVOLLO ANDREA x No

DURAN PRADA MARIANA x No

ARIAS ALVAREZ MARCO TULIO x No

LARA BUITRAGO FERNANDO x No

- 38 -

Anexo 3 - Hallazgos de la revisión de transacciones de compras

DOCUMENTO FECHA_DOCTO_ VALOR_DOCTO_ RAZÓN_SOCIAL_TERCER

O A B C

CE -00001229 06/04/2010 $3,031,987.00 IMPORTADORA

FERREINDUSTRIAL LTDA. Si Si No

PAE-00000580 09/04/2010 $1,674,832.00 GRUPO MAT QUIMICA

LTDA. No No No

CE -00001381 10/05/2010 $309,319.00 DISSNALPRO EU Si Si No

PAE-00000774 28/05/2010 $2,098,015.00 PDC VINOS Y LICORES

LTDA Si Si No

CE -00001624 09/06/2010 $451,474.00 COLGUANTES ROZO Y

GUTIERREZ SOC LTDA SI No Si

PAE-00001007 30/07/2010 $1,147,057.00 DISTRIBUIDORA JORGE

MARIO URIBE S.A. Si Si No

PAE-00001013 30/07/2010 $348,844.00 GASEOSAS LUX SA Si Si No

PAE-00001033 30/07/2010 $4,270,673.00 SODIMAC COLOMBIA S.A. No No No

PAE-00001034 30/07/2010 $86,400.00 SUDFOOD DE COLOMBIA

S.A.S. Si Si No

A Orden de compra debidamente aprobada

B Comprobante de recepción de Almacén

C El comprobante de pago se encuentra firmado por Contraloría.

Marriott Bogotá (Informe de Auditoría Versión Final (Nov 19)

Documents

Transcript of Marriott Bogotá (Informe de Auditoría Versión Final (Nov 19)