Auditoría de TI

Auditoría de Tecnologías de Información. Guía didáctica

75

ANEXO 3.- HISTORIA DE LA CAJA POPULAR.CAJA POPULAR

HISTORIA INSTITUCIONAL

1. INFORMACIÓN DE LA ENTIDAD:

Razón Social : Caja Popular Ltda.

RUC : 1234567890

Representante Legal : Napoleón Carlos Quinto.

Dirección : Jr. Unión Latinoamericana N 123

Departamento de La Libertad.

2. ACTIVIDADES Y ANTECEDENTES:

La Caja Popular Ltda., se rige por el Texto Único Ordenado de la Ley General de

Cajas, por su Estatuto y las Disposiciones que establezca la Superintendencia de

Banca y Seguros y la Federación Nacional de Cajas de Ahorro y Crédito del Perú.

La denominación social es Caja de Ahorro y Crédito Popular Ltda., siendo su

modalidad la de usuarios y abierta. Su domicilio esta en la ciudad de Trujillo, Jr.

Unión Latinoamericana Nº 123 en el Departamento de La Libertad.

Los objetivos de la entidad son:

a. Promover el desarrollo económico de sus clientes, mediante el esfuerzo propio

y la ayuda mutua.

b. Fomentar la educación integral de sus clientes y de la comunidad.

c. Fomentar la cultura de ahorro e inversión en sus clientes.

Los servicios que brinda, dentro de las regulaciones legales existentes, son los

siguientes:

Ahorro de dinero en efectivo o joyas.

Crédito a empresas y personas naturales.

Crédito pignoraticio.

3. ESTRUCTURA ORGÁNICA DE LA ENTIDAD:

ORGANOS DE GOBIERNO

Directorio: Constituído por el Presidente, Vicepresidente, Secretario y 3

Vocales.

ORGANO DE CONTROL


76

Consejo de Vigilancia: Tiene como objetivo la organización y ejecución de

supervisiones preventivas a las diversas actividades de la entidad.

Unidad de Auditoría Interna: Tiene como objetivo la planificación, organización,

dirección y control de actividades de revisión y evaluación selectiva de las

diversas actividades de la entidad, en períodos posteriores a su ejecución.

ORGANO DE DIRECCIÓN

Gerencias mancomunadas: Son 3 gerentes con el mismo nivel jerárquico,

Gerente de Ahorros, Gerente de Créditos y Gerente Administrativo.

ORGANOS DE ASESORÍA

Asesoría Legal.

Oficina de Desarrollo y Relaciones Públicas.

ORGANOS DE APOYO

Oficina de Contabilidad.

Oficina de Logística.

Oficina de Recursos Humanos.

Oficina de Tecnologías de Información.

ORGANOS DE LINEA

Departamento de Créditos y recuperaciones.

Departamento de Ahorros.

AGENCIAS

Principal: Córdova.

La Solución.

Rezagados.

Sipán.

Cántaros.

La Iliada.

Cajamarca.

Chiclayo.


77

4. DESCRIPCIÓN DE LA SITUACIÓN ENCONTRADA.

La entidad se encuentra en un proceso de crecimiento y expansión geográfica,

cuenta con agencias en otras regiones del país y planifica su expansión hacia la

capital. Por tal motivo, han considerado a las tecnologías de información como un

factor crítico de éxito, debido a que les permite la reducción de costos, la mejora

de la comunicación interna y externa, la celeridad de sus procesos y la

diferenciación de su producto al ofrecer servicios financieros vía Internet.

Cuenta con 2 servidores HP Proliant 6000, los cuales cumplen funciones de Base

de Datos y de Aplicaciones (SI y Web) respectivamente, sistema operativo

Windows 2000 Advanced Server. Los servidores se encuentran dentro de la oficina

del área de TI, el aire acondicionado tiene una distancia de los servidores de

aproximadamente 3 metros y la temperatura oscila entre los 17°C y 18°C, el

personal del área se encuentra en el tránsito desde el aire acondicionado hacia los

Servidores. No existe una sala acondicionada para los servidores, debido a que no

se dispone del ambiente necesario para esto. Se han originado casos en que el

personal de área ha tenido problemas de salud, debido a los cambios bruscos de

temperatura entre la oficina de TI y los ambientes externos.

Solamente dos personas pueden hacer uso de los servidores, y cada uno cuenta

con una clave de acceso; los anaqueles en donde están los servidores cuentan

con sus respectivas llaves, las cuales se encuentran colocadas en las chapas para

facilitar el accionar en caso de contingencias, como incendios. No se tiene un

registro del comportamiento del servidor, así como de las actividades que los

responsables de los servidores han realizado (bitácora de trabajo y supervisión de

servidores), debido a que no lo consideran necesario, dado que ambas personas

trabajan en la misma oficina y se reúnen todos los días. Los servidores son

conectados a través de una línea eléctrica a un equipo UPS, el cual también

estabiliza la corriente eléctrica. Este equipo UPS también está conectado a los

equipos de telecomunicaciones, debido a la sensibilidad eléctrica de estos

equipos. Se cuenta asimismo, con una Tablero Eléctrico Térmico especialmente

destinado a Servidores y equipos de telecomunicaciones.

Se cuenta con un extintor contra incendios, el cual expide un líquido especial

contra incendios, el personal del área de TI ha sido capacitado adecuadamente en

el uso de este equipo. Además, se cuenta con un sensor de humo para la

detección oportuna de incendios.

Existen tres sistemas de información: Ahorros, Créditos y Administrativo. Estos

sistemas fueron adquiridos a otra entidad financiera en el año 1998 solamente con


78

los archivos de las aplicaciones y de las bases de datos, el contrato de adquisición

no incluyó a los programas fuente. La tecnología tiene como lenguaje de

programación al Fox Pro 2.6 DOS y los archivos de datos son de extensión DBF.

Debido a la tecnología, no existe propiamente una base de datos, sino un conjunto

de tablas sin una relación lógica implementada físicamente. Los programadores,

son quienes realizan aplicaciones que permitan interrelacionar a las tablas y

realizar la consistencia de datos.

Se han identificado en muchas tablas, registros en blanco, y cada vez el número

de estos va en aumento, sobretodo cuando existe una saturación en el número de

transacciones. Los analistas programadores indican que desconocen las razones,

debido a que no cuentan con los programas fuente de los sistemas de información;

sin embargo, argumentan que esto no es un problema, porque han desarrollado un

programa de aplicación que realiza la depuración de datos y elimina los archivos

en blanco de las tablas. Esta aplicación es ejecutada de manera automática al

finalizar cada día, aproximadamente a las 11:00 pm.

La arquitectura de la Base de Datos es Descentralizada, es decir, cada Agencia

cuenta con una base de datos. Cada vez que una Agencia o la Oficina Principal

desea información de una Agencia específica, un software adicional al cual se le

ha denominado EL CONECTOR, capta las transacciones realizadas a través de

los sistemas de información y las envía a través de la red WAN a la agencia

específica con el fin de obtener la información requerida. Es decir, si un cliente que

posee una cuenta de ahorros en la Agencia de Rezagados, desea hacer un

depósito, a través de un cajero de la Agencia de Cajamarca; EL CONECTOR

captura el código de su cuenta e identifica la agencia origen, enviando una

transacción a través de la WAN a dicha agencia, captura información de la cuenta

(tipo de cuenta, cliente, saldo, etc), muestra los datos a la agencia solicitante,

captura la transacción realizada por esta agencia y actualiza los datos en la base

de datos de la agencia de origen. No existe una documentación que explique esta

arquitectura, los analistas programadores son conscientes de estas, debido a que

trabajan en la entidad por muchos años y no consideran relevante documentar

algo que es de conocimiento de todos ellos.

La entidad ofrece un servicio especial denominado Cajero de Emergencia,

destinado para personas ancianas, minusválidos, embarazadas, etc. Los cajeros

son rotados para el trabajo en esta ventanilla. El usuario y la clave de acceso son

conocidos por todos los cajeros, debido a que de esa manera se dinamiza la

utilización de esta ventanilla.


79

Los errores que pueden generarse por anomalías en las aplicaciones son

subsanadas por los analistas programadores, quienes realizan aplicaciones

externas que validan la información luego de su registro en las bases de datos; no

pueden realizar modificaciones a los programas fuente, debido a que no cuentan

con éstos. La modalidad de trabajo en el mantenimiento de los sistemas de

información consiste en recibir de manera documentada las necesidades y

reclamos de los usuarios, para posteriormente hacer las aplicaciones respectivas

que se conecten con las bases de datos y cubrir dichas necesidades. Por lo tanto,

cada vez que los usuarios desean utilizar las nuevas aplicaciones, tienen que

utilizar un módulo denominado COMPLEMENTOS, el cual posee todas las

aplicaciones adicionales que “complementan” a los sistemas de información

actuales. No se cuenta con un Manual de Usuario de COMPLEMENTOS, debido a

que los usuarios conocen con mucha precisión el funcionamiento de estas

aplicaciones, además, es imposible hacer una actualización del Manual de

Usuario, debido a que continuamente se hacen mejoras a las aplicaciones y se

crean otras. Mantener actualizado un Manual de Usuario implica imprimir

continuamente ejemplares y distribuirlos a los usuarios, esto retrasaría la entrega

de las aplicaciones y encarecería los procesos, debido a la impresión continua. El

jefe del área de TI argumenta: “No podemos retrazar la entrega de las aplicaciones

y encarecer nuestros procesos solamente para satisfacer a normatividades que no

están alineadas a la realidad de nuestra entidad, además, en el Perú no existe una

entidad que tenga Manuales de Usuario actualizados impresos y distribuídos a

usuarios”

Tampoco existe una documentación técnica de las aplicaciones de

COMPLEMENTOS, es decir los Manuales Técnicos, debido a que el dinamismo

con que se crean y modifican aplicaciones es tal que sería imposible tenerlo

actualizado, además, la impresión de esta documentación sería solamente de

interés para los auditores, porque los analistas programadores cuentan con los

programas fuente de estas aplicaciones y conocen la estructura y funcionamiento

de estos, argumenta la jefatura de TI. Los códigos fuente son dinámicos y no

tendría sentido imprimirlos, porque nadie podría entender la lógica, debido a que

cada analista programador tiene su propia forma de programar, claro está dentro

de los estándares establecidos por el área de TI.

Se cuenta con la documentación de los accesos usuarios a los diversos módulos,

sin embargo, de acuerdo a una auditoría anterior se ha evidenciado que esta no

está actualizada, existiendo usuarios que ya no laboran en la entidad y otros que

cuentan con más accesos a los registrados en la documentación. El área de TI


80

argumenta que la razón se debe a que continuamente se reciben órdenes de

activación, modificación y desactivación de usuarios a los diversos módulos de las

aplicaciones, lo cual dificulta la actualización de esta información; además, cuando

ellos desean conocer los accesos de los usuarios, es suficiente visualizar y/o

imprimir la tabla que contiene dicha información.

Existe un módulo auditor que guarda la siguiente información:

- Usuario.

- Fecha y hora de acceso.

- Fecha y hora de salida.

No pueden registrar mayo información, debido a que no cuentan con los

programas fuente para hacer las mejoras. Sin embargo, consideran que con esta

información es suficiente para determinar responsabilidades al momento de hacer

un seguimiento a las acciones de los usuarios y/o de una posible manipulación de

datos. No se ha desarrollado un módulo de auditoría en COMPLEMENTOS,

debido a que no se realizan operaciones de relevancia a través de éste.

La institución ha recibido una Comunicación Preventiva de Sanción de parte de la

Superintendencia de Banca y Seguros, debido a que la información financiera que

ha proporcionado a esta entidad no es coherente; los datos financieros no son

precisos y estos son emitidos de manera tardía por segundo año consecutivo.

Específicamente se relaciona a la información de la Cartera de Créditos a

Diciembre del 2005 (Relación de clientes con deudas pendientes a diciembre del

2005). El número de clientes a los cuales indican se les ha proporcionado un

crédito, no es coherente con información cruzada a las Centrales de Riesgos

Privadas y Estatales (entidades que informan los créditos otorgados por las

entidades financieras y los nombres de sus clientes). Esto ha originado los

siguientes problemas:

- La entidad se muestra como competitiva en el sector financiero, debido a que

indica tener un número importante de clientes a los que le ha otorgado créditos;

pero en realidad se presume que este número en mucho menor.

- Existen clientes morosos o que no cumplen con las exigencias financieras

acordes a los importes recibidos en crédito. No se encuentra información

precisa sobre sus deudas en las bases de datos de la entidad, pero se sabe

que tienen deudas pendientes y aún así califican para nuevos créditos.


81

- Existen clientes que son identificados con sus datos personales en los

documentos impresos, sin embargo, no aparecen contabilizados de manera

estadística y financiera en los informes gerenciales de la entidad.

Existe un desbalance entre el dinero de los ahorristas y los retiros efectuados en

los últimos 15 días. Se presume que existen clientes que hayan retirado más

dinero del que disponen. Este desbalance económico es de S/.250,600. El Área de

TI ha indicado que constantemente el Software Manejador de Base de Datos de

las agencias emiten sus transacciones a la Base de Datos de la Agencia Principal.

Por lo tanto, indican que los causales de estos problemas son más contables que

tecnológicos.

Algunos usuarios de los sistemas de información, debido a que estos no emiten

toda la información que necesitan, tienen que realizar cálculos adicionales de

manera manual, utilizando el MS Excel. Esta información procesada en hojas de

cálculo es enviada a las entidades supervisoras como la SBS, originando

problemas de validez de la información, y por consiguiente llamadas de atención

por parte de esta entidad.

De acuerdo a las Normas de Uso de Equipos de Cómputo, la realización de copias

de seguridad de los archivos de Excel y otros es responsabilidad de los usuarios,

para esto, ellos copian su información a disquetes o memorias externas USB. Las

copias de seguridad de las bases de datos son realizadas diariamente y en dos

períodos: 12:00m y 11:00pm de manera automática, utilizando herramientas

programables del Software Manejador de Base de Datos SQL. La información del

día es inicialmente guardada en uno de los Servidores, utilizado como Servidor de

Backups y al día siguiente a las 07:00pm el archivo empaquetado es grabado en

un CD. Todas las noches se guarda información del día anterior en un dispositivo

de almacenamiento externo. Para realizar el proceso de backups, se tiene que

interrumpir el servicio de los sistemas de información, de tal manera que se tenga

la exclusividad de las bases de datos y se pueda realizar este proceso de una

manera más efectiva, los usuarios han mostrado su incomodidad debido a que no

les permite trabajar horas extras. Las copias de seguridad diarias son

INCREMENTALES y las copias de seguridad semanales son COMPLETAS.

El área de TI ha establecido un Cronograma de Mantenimientos Preventivos, el

cual se desarrolla en los meses de Enero y Julio de cada año. El mantenimiento

preventivo involucra a las PC’s e impresoras, y con anticipación se realizan las

coordinaciones con los proveedores para realizar la selección de los mismos. Cada


82

proveedor presenta los costos de la realización de estos mantenimientos, los

cuales incluyen a las agencias locales como las remotas.

De acuerdo a las estadísticas de mantenimiento correctivos del área de

Tecnologías de Información, la mayoría de casos revisados han tenido como

resultado lo siguiente:

1. Presencia de grapas en las impresoras, que han ocasionado corto circuitos.

2. Presencia de restos de líquidos dulces en los teclados.

3. Mouse con rasgos de haber sido golpeados.

La jefatura de esta área indica que la mayoría de los casos de mantenimientos

correctivos se debe a factores que pudieron haber sido evitados, debido al

descuido de los usuarios. Estos indican que esa es precisamente la labor del área

de TI, el mantenimiento de los equipos de cómputo por deterioros diversos.

Además, auditorías anteriores han mostrado que el Área de TI no cuenta con

documentación que registre los detalles de los mantenimientos preventivos y

correctivos a los equipos de cómputo, por lo cual la información estadística que

indican es únicamente proveniente de la observación y el uso de la memoria. Los

procedimientos establecidos para el mantenimiento correctivo de equipos de

cómputo en agencias remotas son los siguientes:

1. Identificar el tipo de problema o deterioro.

2. En el caso de un problema de software, se realiza un mantenimiento remoto

desde la Agencia Principal.

3. En el caso de un problema de hardware, se realizan las coordinaciones con un

proveedor de la zona en donde se encuentra la agencia. El proveedor, de

acuerdo a un contrato pre establecido, tiene la obligación de colocar un equipo

de cómputo provisional mientras dure el período de mantenimiento correctivo.

4. Se reciben los informes del proveedor sobre el proceso de mantenimiento.

Luego de la revisión de la infraestructura de seguridad de los locales principales,

se ha evidenciado lo siguiente:

- Existen extintores que han sido vencidos.

- Los extintores vigentes, son demasiado pesados para el uso de los usuarios.

- Existen usuarios que no conocen la ubicación de los extintores o no saben

cómo utilizarlos.

- La Jefatura de Seguridad indica que no es necesario que los usuarios sepan

usar los extintores, debido a que el personal de vigilancia conoce la forma de

hacerlo.


83

- Existen ambientes de almacén, en dónde las instalaciones eléctricas presentan

cables sueltos y mal instalados, en el mismo ambiente existen almacenados

papeles y productos inflamables.

Sin embargo, el Área de TI, indica que esto no es responsabilidad de ellos, debido

a que el área responsable es Seguridad Institucional. Por lo tanto, no deben

realizarse observaciones de auditoría informática en este aspecto.

Existen usuarios que pueden acceder a las carpetas compartidas de otros, debido

a que se encuentran agrupados con números de IP en un mismo Dominio. Se

pudo constatar que un cajero de la Agencia de la ciudad de La Iliada puede

acceder a las carpetas compartidas de la Contadora General de la entidad, cuya

oficina se encuentra en la Oficina Principal. El cajero entrevistado indica

desconocer que tenía ese acceso y que eso es responsabilidad del área de

Tecnologías de Información. TI indica que esto es responsabilidad de cada

usuario, al momento de compartir sus carpetas personales; sin embargo, indican

que necesitan compartir carpetas de trabajo debido a que la tecnología de los

sistemas de información necesita que estas carpetas estén compartidas para el

registro de transacciones en los archivos DBF de sus bases de datos. No se

cuenta con un registro de los accesos de usuarios a las diversas terminales de la

red informática, debido a que según indica TI, los accesos de los usuarios son

demasiado dinámicos para poder ser documentados: “Los usuarios comparten y

restringen archivos y carpetas todos los días”.

El Plan de Contingencias y Continuidad de Negocio, es copia fiel de otras

entidades financieras. Este documento fue realizado por una empresa Consultora

externa, la cual solamente cambió el nombre de la entidad a la cual le realizó la

consultoría. Esta empresa consultora indica que siempre encontraba en estas

entidades las mismas necesidades y por lo tanto tenía únicamente que hacer

“pequeños cambios”.

Nunca la entidad ha realizado una evaluación de las acciones posteriores a las

contingencias, como por ejemplo la “recuperación de información”. Los

responsables de TI indican que esto no puede realizarse, debido a que no pueden

interrumpir las actividades del negocio durante el tiempo que dura el simulacro.

Las copias de seguridad en CD son guardados dentro de las instalaciones de la

misma entidad, esto se debe a que las Gerencias han determinado que es mejor

así para evitar el espionaje de información del negocio.

El área de Tecnologías de Información se ha ganado la fama de “incumplidos”,

debido a que casi nunca cumple con los objetivos planteados en el Plan Operativo


84

Anual. Esta área indica que no reciben el apoyo presupuestal para el cumplimiento

de sus objetivos, y que no se comprende el enfoque que tienen sobre el rol de las

tecnologías de información en la entidad. Indican que todas las entidades

financieras más importantes han logrado ventajas competitivas gracias a la

implementación de tecnologías de información modernas, pero la Caja Popular

cree que para los clientes solamente es importante que se les de mayores tasas

de interés en ahorros, y menores tasas de interés en créditos.

Las Gerencias Mancomunadas indican que los objetivos y actividades planteadas

por el área de TI no están alineadas a los objetivos institucionales de la entidad, en

especial al sector de mercado al cual está orientada y la diferenciación que

persigue en relación a sus competidores. Existen objetivos difusos y otros

ambiguos que no son sustentados con los indicadores precisos y lo recursos

adecuados.

Se han realizado observaciones al perfil profesional del personal que labora en el

área de TI, debido a que muchos de ellos no cuentan con el título profesional de

ingenieros de sistemas o afines, y que muchos analistas programadores y el

administrador de la red son técnicos en computación e informática, asimismo no

muestran capacitaciones especializadas y actualizadas. El jefe del área argumenta

que el título profesional y certificados de capacitación no son garantía de la calidad

profesional del personal, y que los técnicos del área han demostrado conocer

mucho más de tecnologías de información que muchos ingenieros, indicando

también que el hecho de ser autodidactas les permite a ellos aprender mucho más

que en cualquier curso de capacitación. No están dispuestos a gastar en

capacitaciones, si el personal de TI conoce mucho más que los capacitadotes de la

zona.

En la actualidad, el área de TI ha propuesto a la Gerencia la adquisición de un

Sistema Integrado Financiero, elaborado por una Caja Municipal. El informe cuenta

con la siguiente estructura:

a) Aspectos relevantes de la adquisición.

b) Características técnicas.

c) Beneficios potenciales.

d) Etapas de implementación.

a) Aspectos relevantes de la adquisición.- El sistema de información ha sido adquirido de acuerdo al contrato de

Adquisición, Instalación y Puesta en Funcionamiento de Licencia de Uso de

Auditoría de TI

Documents

Transcript of Auditoría de TI