Auditoría de TI
-
Upload
karmen-camargo -
Category
Documents
-
view
24 -
download
2
description
Transcript of Auditoría de TI
Auditoría de Tecnologías de Información. Guía didáctica
75
ANEXO 3.- HISTORIA DE LA CAJA POPULAR.CAJA POPULAR
HISTORIA INSTITUCIONAL
1. INFORMACIÓN DE LA ENTIDAD:
Razón Social : Caja Popular Ltda.
RUC : 1234567890
Representante Legal : Napoleón Carlos Quinto.
Dirección : Jr. Unión Latinoamericana N 123
Departamento de La Libertad.
2. ACTIVIDADES Y ANTECEDENTES:
La Caja Popular Ltda., se rige por el Texto Único Ordenado de la Ley General de
Cajas, por su Estatuto y las Disposiciones que establezca la Superintendencia de
Banca y Seguros y la Federación Nacional de Cajas de Ahorro y Crédito del Perú.
La denominación social es Caja de Ahorro y Crédito Popular Ltda., siendo su
modalidad la de usuarios y abierta. Su domicilio esta en la ciudad de Trujillo, Jr.
Unión Latinoamericana Nº 123 en el Departamento de La Libertad.
Los objetivos de la entidad son:
a. Promover el desarrollo económico de sus clientes, mediante el esfuerzo propio
y la ayuda mutua.
b. Fomentar la educación integral de sus clientes y de la comunidad.
c. Fomentar la cultura de ahorro e inversión en sus clientes.
Los servicios que brinda, dentro de las regulaciones legales existentes, son los
siguientes:
Ahorro de dinero en efectivo o joyas.
Crédito a empresas y personas naturales.
Crédito pignoraticio.
3. ESTRUCTURA ORGÁNICA DE LA ENTIDAD:
ORGANOS DE GOBIERNO
Directorio: Constituído por el Presidente, Vicepresidente, Secretario y 3
Vocales.
ORGANO DE CONTROL
Auditoría de Tecnologías de Información. Guía didáctica
76
Consejo de Vigilancia: Tiene como objetivo la organización y ejecución de
supervisiones preventivas a las diversas actividades de la entidad.
Unidad de Auditoría Interna: Tiene como objetivo la planificación, organización,
dirección y control de actividades de revisión y evaluación selectiva de las
diversas actividades de la entidad, en períodos posteriores a su ejecución.
ORGANO DE DIRECCIÓN
Gerencias mancomunadas: Son 3 gerentes con el mismo nivel jerárquico,
Gerente de Ahorros, Gerente de Créditos y Gerente Administrativo.
ORGANOS DE ASESORÍA
Asesoría Legal.
Oficina de Desarrollo y Relaciones Públicas.
ORGANOS DE APOYO
Oficina de Contabilidad.
Oficina de Logística.
Oficina de Recursos Humanos.
Oficina de Tecnologías de Información.
ORGANOS DE LINEA
Departamento de Créditos y recuperaciones.
Departamento de Ahorros.
AGENCIAS
Principal: Córdova.
La Solución.
Rezagados.
Sipán.
Cántaros.
La Iliada.
Cajamarca.
Chiclayo.
Auditoría de Tecnologías de Información. Guía didáctica
77
4. DESCRIPCIÓN DE LA SITUACIÓN ENCONTRADA.
La entidad se encuentra en un proceso de crecimiento y expansión geográfica,
cuenta con agencias en otras regiones del país y planifica su expansión hacia la
capital. Por tal motivo, han considerado a las tecnologías de información como un
factor crítico de éxito, debido a que les permite la reducción de costos, la mejora
de la comunicación interna y externa, la celeridad de sus procesos y la
diferenciación de su producto al ofrecer servicios financieros vía Internet.
Cuenta con 2 servidores HP Proliant 6000, los cuales cumplen funciones de Base
de Datos y de Aplicaciones (SI y Web) respectivamente, sistema operativo
Windows 2000 Advanced Server. Los servidores se encuentran dentro de la oficina
del área de TI, el aire acondicionado tiene una distancia de los servidores de
aproximadamente 3 metros y la temperatura oscila entre los 17°C y 18°C, el
personal del área se encuentra en el tránsito desde el aire acondicionado hacia los
Servidores. No existe una sala acondicionada para los servidores, debido a que no
se dispone del ambiente necesario para esto. Se han originado casos en que el
personal de área ha tenido problemas de salud, debido a los cambios bruscos de
temperatura entre la oficina de TI y los ambientes externos.
Solamente dos personas pueden hacer uso de los servidores, y cada uno cuenta
con una clave de acceso; los anaqueles en donde están los servidores cuentan
con sus respectivas llaves, las cuales se encuentran colocadas en las chapas para
facilitar el accionar en caso de contingencias, como incendios. No se tiene un
registro del comportamiento del servidor, así como de las actividades que los
responsables de los servidores han realizado (bitácora de trabajo y supervisión de
servidores), debido a que no lo consideran necesario, dado que ambas personas
trabajan en la misma oficina y se reúnen todos los días. Los servidores son
conectados a través de una línea eléctrica a un equipo UPS, el cual también
estabiliza la corriente eléctrica. Este equipo UPS también está conectado a los
equipos de telecomunicaciones, debido a la sensibilidad eléctrica de estos
equipos. Se cuenta asimismo, con una Tablero Eléctrico Térmico especialmente
destinado a Servidores y equipos de telecomunicaciones.
Se cuenta con un extintor contra incendios, el cual expide un líquido especial
contra incendios, el personal del área de TI ha sido capacitado adecuadamente en
el uso de este equipo. Además, se cuenta con un sensor de humo para la
detección oportuna de incendios.
Existen tres sistemas de información: Ahorros, Créditos y Administrativo. Estos
sistemas fueron adquiridos a otra entidad financiera en el año 1998 solamente con
Auditoría de Tecnologías de Información. Guía didáctica
78
los archivos de las aplicaciones y de las bases de datos, el contrato de adquisición
no incluyó a los programas fuente. La tecnología tiene como lenguaje de
programación al Fox Pro 2.6 DOS y los archivos de datos son de extensión DBF.
Debido a la tecnología, no existe propiamente una base de datos, sino un conjunto
de tablas sin una relación lógica implementada físicamente. Los programadores,
son quienes realizan aplicaciones que permitan interrelacionar a las tablas y
realizar la consistencia de datos.
Se han identificado en muchas tablas, registros en blanco, y cada vez el número
de estos va en aumento, sobretodo cuando existe una saturación en el número de
transacciones. Los analistas programadores indican que desconocen las razones,
debido a que no cuentan con los programas fuente de los sistemas de información;
sin embargo, argumentan que esto no es un problema, porque han desarrollado un
programa de aplicación que realiza la depuración de datos y elimina los archivos
en blanco de las tablas. Esta aplicación es ejecutada de manera automática al
finalizar cada día, aproximadamente a las 11:00 pm.
La arquitectura de la Base de Datos es Descentralizada, es decir, cada Agencia
cuenta con una base de datos. Cada vez que una Agencia o la Oficina Principal
desea información de una Agencia específica, un software adicional al cual se le
ha denominado EL CONECTOR, capta las transacciones realizadas a través de
los sistemas de información y las envía a través de la red WAN a la agencia
específica con el fin de obtener la información requerida. Es decir, si un cliente que
posee una cuenta de ahorros en la Agencia de Rezagados, desea hacer un
depósito, a través de un cajero de la Agencia de Cajamarca; EL CONECTOR
captura el código de su cuenta e identifica la agencia origen, enviando una
transacción a través de la WAN a dicha agencia, captura información de la cuenta
(tipo de cuenta, cliente, saldo, etc), muestra los datos a la agencia solicitante,
captura la transacción realizada por esta agencia y actualiza los datos en la base
de datos de la agencia de origen. No existe una documentación que explique esta
arquitectura, los analistas programadores son conscientes de estas, debido a que
trabajan en la entidad por muchos años y no consideran relevante documentar
algo que es de conocimiento de todos ellos.
La entidad ofrece un servicio especial denominado Cajero de Emergencia,
destinado para personas ancianas, minusválidos, embarazadas, etc. Los cajeros
son rotados para el trabajo en esta ventanilla. El usuario y la clave de acceso son
conocidos por todos los cajeros, debido a que de esa manera se dinamiza la
utilización de esta ventanilla.
Auditoría de Tecnologías de Información. Guía didáctica
79
Los errores que pueden generarse por anomalías en las aplicaciones son
subsanadas por los analistas programadores, quienes realizan aplicaciones
externas que validan la información luego de su registro en las bases de datos; no
pueden realizar modificaciones a los programas fuente, debido a que no cuentan
con éstos. La modalidad de trabajo en el mantenimiento de los sistemas de
información consiste en recibir de manera documentada las necesidades y
reclamos de los usuarios, para posteriormente hacer las aplicaciones respectivas
que se conecten con las bases de datos y cubrir dichas necesidades. Por lo tanto,
cada vez que los usuarios desean utilizar las nuevas aplicaciones, tienen que
utilizar un módulo denominado COMPLEMENTOS, el cual posee todas las
aplicaciones adicionales que “complementan” a los sistemas de información
actuales. No se cuenta con un Manual de Usuario de COMPLEMENTOS, debido a
que los usuarios conocen con mucha precisión el funcionamiento de estas
aplicaciones, además, es imposible hacer una actualización del Manual de
Usuario, debido a que continuamente se hacen mejoras a las aplicaciones y se
crean otras. Mantener actualizado un Manual de Usuario implica imprimir
continuamente ejemplares y distribuirlos a los usuarios, esto retrasaría la entrega
de las aplicaciones y encarecería los procesos, debido a la impresión continua. El
jefe del área de TI argumenta: “No podemos retrazar la entrega de las aplicaciones
y encarecer nuestros procesos solamente para satisfacer a normatividades que no
están alineadas a la realidad de nuestra entidad, además, en el Perú no existe una
entidad que tenga Manuales de Usuario actualizados impresos y distribuídos a
usuarios”
Tampoco existe una documentación técnica de las aplicaciones de
COMPLEMENTOS, es decir los Manuales Técnicos, debido a que el dinamismo
con que se crean y modifican aplicaciones es tal que sería imposible tenerlo
actualizado, además, la impresión de esta documentación sería solamente de
interés para los auditores, porque los analistas programadores cuentan con los
programas fuente de estas aplicaciones y conocen la estructura y funcionamiento
de estos, argumenta la jefatura de TI. Los códigos fuente son dinámicos y no
tendría sentido imprimirlos, porque nadie podría entender la lógica, debido a que
cada analista programador tiene su propia forma de programar, claro está dentro
de los estándares establecidos por el área de TI.
Se cuenta con la documentación de los accesos usuarios a los diversos módulos,
sin embargo, de acuerdo a una auditoría anterior se ha evidenciado que esta no
está actualizada, existiendo usuarios que ya no laboran en la entidad y otros que
cuentan con más accesos a los registrados en la documentación. El área de TI
Auditoría de Tecnologías de Información. Guía didáctica
80
argumenta que la razón se debe a que continuamente se reciben órdenes de
activación, modificación y desactivación de usuarios a los diversos módulos de las
aplicaciones, lo cual dificulta la actualización de esta información; además, cuando
ellos desean conocer los accesos de los usuarios, es suficiente visualizar y/o
imprimir la tabla que contiene dicha información.
Existe un módulo auditor que guarda la siguiente información:
- Usuario.
- Fecha y hora de acceso.
- Fecha y hora de salida.
No pueden registrar mayo información, debido a que no cuentan con los
programas fuente para hacer las mejoras. Sin embargo, consideran que con esta
información es suficiente para determinar responsabilidades al momento de hacer
un seguimiento a las acciones de los usuarios y/o de una posible manipulación de
datos. No se ha desarrollado un módulo de auditoría en COMPLEMENTOS,
debido a que no se realizan operaciones de relevancia a través de éste.
La institución ha recibido una Comunicación Preventiva de Sanción de parte de la
Superintendencia de Banca y Seguros, debido a que la información financiera que
ha proporcionado a esta entidad no es coherente; los datos financieros no son
precisos y estos son emitidos de manera tardía por segundo año consecutivo.
Específicamente se relaciona a la información de la Cartera de Créditos a
Diciembre del 2005 (Relación de clientes con deudas pendientes a diciembre del
2005). El número de clientes a los cuales indican se les ha proporcionado un
crédito, no es coherente con información cruzada a las Centrales de Riesgos
Privadas y Estatales (entidades que informan los créditos otorgados por las
entidades financieras y los nombres de sus clientes). Esto ha originado los
siguientes problemas:
- La entidad se muestra como competitiva en el sector financiero, debido a que
indica tener un número importante de clientes a los que le ha otorgado créditos;
pero en realidad se presume que este número en mucho menor.
- Existen clientes morosos o que no cumplen con las exigencias financieras
acordes a los importes recibidos en crédito. No se encuentra información
precisa sobre sus deudas en las bases de datos de la entidad, pero se sabe
que tienen deudas pendientes y aún así califican para nuevos créditos.
Auditoría de Tecnologías de Información. Guía didáctica
81
- Existen clientes que son identificados con sus datos personales en los
documentos impresos, sin embargo, no aparecen contabilizados de manera
estadística y financiera en los informes gerenciales de la entidad.
Existe un desbalance entre el dinero de los ahorristas y los retiros efectuados en
los últimos 15 días. Se presume que existen clientes que hayan retirado más
dinero del que disponen. Este desbalance económico es de S/.250,600. El Área de
TI ha indicado que constantemente el Software Manejador de Base de Datos de
las agencias emiten sus transacciones a la Base de Datos de la Agencia Principal.
Por lo tanto, indican que los causales de estos problemas son más contables que
tecnológicos.
Algunos usuarios de los sistemas de información, debido a que estos no emiten
toda la información que necesitan, tienen que realizar cálculos adicionales de
manera manual, utilizando el MS Excel. Esta información procesada en hojas de
cálculo es enviada a las entidades supervisoras como la SBS, originando
problemas de validez de la información, y por consiguiente llamadas de atención
por parte de esta entidad.
De acuerdo a las Normas de Uso de Equipos de Cómputo, la realización de copias
de seguridad de los archivos de Excel y otros es responsabilidad de los usuarios,
para esto, ellos copian su información a disquetes o memorias externas USB. Las
copias de seguridad de las bases de datos son realizadas diariamente y en dos
períodos: 12:00m y 11:00pm de manera automática, utilizando herramientas
programables del Software Manejador de Base de Datos SQL. La información del
día es inicialmente guardada en uno de los Servidores, utilizado como Servidor de
Backups y al día siguiente a las 07:00pm el archivo empaquetado es grabado en
un CD. Todas las noches se guarda información del día anterior en un dispositivo
de almacenamiento externo. Para realizar el proceso de backups, se tiene que
interrumpir el servicio de los sistemas de información, de tal manera que se tenga
la exclusividad de las bases de datos y se pueda realizar este proceso de una
manera más efectiva, los usuarios han mostrado su incomodidad debido a que no
les permite trabajar horas extras. Las copias de seguridad diarias son
INCREMENTALES y las copias de seguridad semanales son COMPLETAS.
El área de TI ha establecido un Cronograma de Mantenimientos Preventivos, el
cual se desarrolla en los meses de Enero y Julio de cada año. El mantenimiento
preventivo involucra a las PC’s e impresoras, y con anticipación se realizan las
coordinaciones con los proveedores para realizar la selección de los mismos. Cada
Auditoría de Tecnologías de Información. Guía didáctica
82
proveedor presenta los costos de la realización de estos mantenimientos, los
cuales incluyen a las agencias locales como las remotas.
De acuerdo a las estadísticas de mantenimiento correctivos del área de
Tecnologías de Información, la mayoría de casos revisados han tenido como
resultado lo siguiente:
1. Presencia de grapas en las impresoras, que han ocasionado corto circuitos.
2. Presencia de restos de líquidos dulces en los teclados.
3. Mouse con rasgos de haber sido golpeados.
La jefatura de esta área indica que la mayoría de los casos de mantenimientos
correctivos se debe a factores que pudieron haber sido evitados, debido al
descuido de los usuarios. Estos indican que esa es precisamente la labor del área
de TI, el mantenimiento de los equipos de cómputo por deterioros diversos.
Además, auditorías anteriores han mostrado que el Área de TI no cuenta con
documentación que registre los detalles de los mantenimientos preventivos y
correctivos a los equipos de cómputo, por lo cual la información estadística que
indican es únicamente proveniente de la observación y el uso de la memoria. Los
procedimientos establecidos para el mantenimiento correctivo de equipos de
cómputo en agencias remotas son los siguientes:
1. Identificar el tipo de problema o deterioro.
2. En el caso de un problema de software, se realiza un mantenimiento remoto
desde la Agencia Principal.
3. En el caso de un problema de hardware, se realizan las coordinaciones con un
proveedor de la zona en donde se encuentra la agencia. El proveedor, de
acuerdo a un contrato pre establecido, tiene la obligación de colocar un equipo
de cómputo provisional mientras dure el período de mantenimiento correctivo.
4. Se reciben los informes del proveedor sobre el proceso de mantenimiento.
Luego de la revisión de la infraestructura de seguridad de los locales principales,
se ha evidenciado lo siguiente:
- Existen extintores que han sido vencidos.
- Los extintores vigentes, son demasiado pesados para el uso de los usuarios.
- Existen usuarios que no conocen la ubicación de los extintores o no saben
cómo utilizarlos.
- La Jefatura de Seguridad indica que no es necesario que los usuarios sepan
usar los extintores, debido a que el personal de vigilancia conoce la forma de
hacerlo.
Auditoría de Tecnologías de Información. Guía didáctica
83
- Existen ambientes de almacén, en dónde las instalaciones eléctricas presentan
cables sueltos y mal instalados, en el mismo ambiente existen almacenados
papeles y productos inflamables.
Sin embargo, el Área de TI, indica que esto no es responsabilidad de ellos, debido
a que el área responsable es Seguridad Institucional. Por lo tanto, no deben
realizarse observaciones de auditoría informática en este aspecto.
Existen usuarios que pueden acceder a las carpetas compartidas de otros, debido
a que se encuentran agrupados con números de IP en un mismo Dominio. Se
pudo constatar que un cajero de la Agencia de la ciudad de La Iliada puede
acceder a las carpetas compartidas de la Contadora General de la entidad, cuya
oficina se encuentra en la Oficina Principal. El cajero entrevistado indica
desconocer que tenía ese acceso y que eso es responsabilidad del área de
Tecnologías de Información. TI indica que esto es responsabilidad de cada
usuario, al momento de compartir sus carpetas personales; sin embargo, indican
que necesitan compartir carpetas de trabajo debido a que la tecnología de los
sistemas de información necesita que estas carpetas estén compartidas para el
registro de transacciones en los archivos DBF de sus bases de datos. No se
cuenta con un registro de los accesos de usuarios a las diversas terminales de la
red informática, debido a que según indica TI, los accesos de los usuarios son
demasiado dinámicos para poder ser documentados: “Los usuarios comparten y
restringen archivos y carpetas todos los días”.
El Plan de Contingencias y Continuidad de Negocio, es copia fiel de otras
entidades financieras. Este documento fue realizado por una empresa Consultora
externa, la cual solamente cambió el nombre de la entidad a la cual le realizó la
consultoría. Esta empresa consultora indica que siempre encontraba en estas
entidades las mismas necesidades y por lo tanto tenía únicamente que hacer
“pequeños cambios”.
Nunca la entidad ha realizado una evaluación de las acciones posteriores a las
contingencias, como por ejemplo la “recuperación de información”. Los
responsables de TI indican que esto no puede realizarse, debido a que no pueden
interrumpir las actividades del negocio durante el tiempo que dura el simulacro.
Las copias de seguridad en CD son guardados dentro de las instalaciones de la
misma entidad, esto se debe a que las Gerencias han determinado que es mejor
así para evitar el espionaje de información del negocio.
El área de Tecnologías de Información se ha ganado la fama de “incumplidos”,
debido a que casi nunca cumple con los objetivos planteados en el Plan Operativo
Auditoría de Tecnologías de Información. Guía didáctica
84
Anual. Esta área indica que no reciben el apoyo presupuestal para el cumplimiento
de sus objetivos, y que no se comprende el enfoque que tienen sobre el rol de las
tecnologías de información en la entidad. Indican que todas las entidades
financieras más importantes han logrado ventajas competitivas gracias a la
implementación de tecnologías de información modernas, pero la Caja Popular
cree que para los clientes solamente es importante que se les de mayores tasas
de interés en ahorros, y menores tasas de interés en créditos.
Las Gerencias Mancomunadas indican que los objetivos y actividades planteadas
por el área de TI no están alineadas a los objetivos institucionales de la entidad, en
especial al sector de mercado al cual está orientada y la diferenciación que
persigue en relación a sus competidores. Existen objetivos difusos y otros
ambiguos que no son sustentados con los indicadores precisos y lo recursos
adecuados.
Se han realizado observaciones al perfil profesional del personal que labora en el
área de TI, debido a que muchos de ellos no cuentan con el título profesional de
ingenieros de sistemas o afines, y que muchos analistas programadores y el
administrador de la red son técnicos en computación e informática, asimismo no
muestran capacitaciones especializadas y actualizadas. El jefe del área argumenta
que el título profesional y certificados de capacitación no son garantía de la calidad
profesional del personal, y que los técnicos del área han demostrado conocer
mucho más de tecnologías de información que muchos ingenieros, indicando
también que el hecho de ser autodidactas les permite a ellos aprender mucho más
que en cualquier curso de capacitación. No están dispuestos a gastar en
capacitaciones, si el personal de TI conoce mucho más que los capacitadotes de la
zona.
En la actualidad, el área de TI ha propuesto a la Gerencia la adquisición de un
Sistema Integrado Financiero, elaborado por una Caja Municipal. El informe cuenta
con la siguiente estructura:
a) Aspectos relevantes de la adquisición.
b) Características técnicas.
c) Beneficios potenciales.
d) Etapas de implementación.
a) Aspectos relevantes de la adquisición.- El sistema de información ha sido adquirido de acuerdo al contrato de
Adquisición, Instalación y Puesta en Funcionamiento de Licencia de Uso de