COMISION NACIONAL DE BANCOS AUDITORIA DE SISTEMAS.

28
COMISION NACIONAL DE BANCOS AUDITORIA DE SISTEMAS

Transcript of COMISION NACIONAL DE BANCOS AUDITORIA DE SISTEMAS.

Page 1: COMISION NACIONAL DE BANCOS AUDITORIA DE SISTEMAS.

COMISION NACIONAL DE BANCOS

AUDITORIA DE SISTEMAS

Page 2: COMISION NACIONAL DE BANCOS AUDITORIA DE SISTEMAS.

Tendencias Mundiales sobre la Auditoria de Sistemas -- Basilea II

Otros Riesgos de envergadura se están desarrollando a parte de los riesgos de crédito, mercado, pais, reputación, estrategico, tasa de Interes etc. :

Uso intensivo en tecnología más sofisticada la cual posee el potencial de transformar el riesgo de error de los procesos manuales en riesgos de fallas de sistemas

Crecimiento del comercio electrónico : • Fraude Interno

• Fraude externo

• Problemas en la seguridad de los sistemas

Las adquisiciones a gran escala, las fusiones y consolidaciones prueban la viabilidad de nuevos sistemas integrados

La desregulación y globalización de servicios financieros

Entidades financieras actuando como proveedor de un gran numero de servicios, crea la necesidad de un continuo apoyo a los controles internos, y sistemas de seguridad y de respaldo.

El uso creciente de outsourcing o tercerización Riesgo

Operacional

El riesgo de pérdida que resulta de procesos internos inadecuados o fallas en ellos por personas y sistemas o por eventos externos

Page 3: COMISION NACIONAL DE BANCOS AUDITORIA DE SISTEMAS.

ROL DEL DIRECTORIO Y DE LA ALTA GERENCIA --- RIESGO OPERACIONAL ---

Entenderlo como una categoría de riesgo distinta que debe ser administrada

Aprobar y revisar periódicamente el esquema de gestión El esquema debe proporcionar una definición a nivel corporativo Deben asegurar que el esquema de la entidad financiera esté sujeto a

una auditoria efectiva e integral La Alta Gerencia debe tener la responsabilidad de implementar la

estrategia aprobada por el consejo de administración La Alta Dirección debe también tener responsabilidad en el desarrollo

de políticas, procesos y procedimientos para la gestión en todas las actividades, productos y sistemas de la entidad financiera

Involucrar a los funcionarios para la formación de un rol staff (Comité de Riesgo) de administración de riesgo para identificar, medir, controlar, monitorear y valorar los diversos riesgos asumidos en sus operaciones

Page 4: COMISION NACIONAL DE BANCOS AUDITORIA DE SISTEMAS.

ROL DEL COMITÉ DE RIESGO--- RIESGO OPERACIONAL ---

Supervisar el desempeño y el cumplimiento de la administración del riesgo

Aprobar la metodología que administrara el riesgo Revisar la metodología cuanto menos 2 veces al año Aprobar las estrategias de comunicación y difundirla en toda

la organización Recomendar a la junta directiva la modificación de los límites

de exposición de riesgo Conocer y evaluar los resultados obtenidos en la cuantificación

de las exposiciones de Riesgo

Page 5: COMISION NACIONAL DE BANCOS AUDITORIA DE SISTEMAS.

ROL DE LA AUDITORIA INTERNA--- RIESGO OPERACIONAL ---

No debe ser directamente responsable de la gestión de los riesgos operativos

Evaluar la políticas emanadas por el directorio Evaluar los procedimientos establecidos para la administración

del riesgo Incluir en el plan el rol de la auditoria como actividades

permanentes

Page 6: COMISION NACIONAL DE BANCOS AUDITORIA DE SISTEMAS.

ROL DEL SUPERVISOR--- RIESGO OPERACIONAL ---

Evaluar la participación del directorio, la estructura gerencial de la institución, políticas, procedimientos, practicas

Asegurarse que existen mecanismos incorporados para la identificación, evaluación, seguimiento, y control/mitigación de todos los riesgos

Evaluar el marco de control interno, seguridad de información, calidad de la información, de los productos y servicios entregados a los clientes, plan de continuidad del negocio

Page 7: COMISION NACIONAL DE BANCOS AUDITORIA DE SISTEMAS.

Presentación Estructural de A.S.

Page 8: COMISION NACIONAL DE BANCOS AUDITORIA DE SISTEMAS.

Presentación Estructural de A.S.

Jefe DivisionAuditoria

de Sistemas

Auditor de

Sistemas

Auditor de

Sistemas

Auditor de

Sistemas

Auditor de

Sistemas

(1) (2) (7) (8)

Page 9: COMISION NACIONAL DE BANCOS AUDITORIA DE SISTEMAS.

METODOLOGIA UTILIZADA

La metodología utilizada se basa en un análisis profundo de riesgo tecnológico y operacional que aplica a cada centro de cómputo un examen de 189 actividades agrupados por áreas críticas para luego presentar un informe de deficiencias, riesgos potenciales y la recomendación a cada riesgo.

 

Dentro de estas actividades se aplica incondicionalmente un análisis de datos de los módulos de préstamos, depósitos, inversiones, lavado de activos y análisis de central de riesgos, cuadres de auxiliares vrs contabilidad soportado por la revision de sús procedimientos y procesos documentados y certificados .

 

Page 10: COMISION NACIONAL DE BANCOS AUDITORIA DE SISTEMAS.

Cuadre de Archivos Físicos y Saldos Contable 5

Generar Archivo Estándar 1

Genera Cuadros para auditoria Financiera 1

Análisis de Datos (Inconsistencias) 18

Presentaciones 4

Revisar Proceso de Préstamos 19

Revisar Proceso de Tarjeta de Créditos 19

Revisar Proceso de Depósitos Ahorro y Cheques 22

Revisar Proceso de Depósitos a Termino 14

Gestión de Informática 11

Desarrollo 11

Operación 14

Administración del Centro de Computo 12

Seguridad Física 9

Seguridad Lógica 6

Controles de Auditoria del Sistema 8

Seguridad en Comunicaciones 10

Derechos de Autor 2

Auditoria Interna 3

  189

Resumen de la Metodología de Auditoria de Sistemas

Basilea II

Page 11: COMISION NACIONAL DE BANCOS AUDITORIA DE SISTEMAS.

Planeación de Auditoria de SistemasLa planeación de las auditorias de sistemas están condicionadas por la programación que las Superintendencias estimen conveniente, ingresando a la institución supervisada una semana antes que los auditores financieros para la elaboración de cuadros.

Superintendencia de Bancos, Financieras y

Asociaciones de Ahorro y Prestamo

Instituciones29-2 5-9 12-16 19-23 26-30 2-6 9-13 16-20 23-27 1-5 8-12 15-19 22-26 29-2 5-9 12-16 19-23 26-30 3-7 10-14 17-21 24-28 31-4 7-11

BGABanco de los TrabajadoresBanco Uno, S.A.Banco Promerica, S.A.Banco Futuro, S.A.Banco de Honduras, S.A.BANCOCCIBANCATLANFICENSABanco de America Central Honduras, S.A.Lloyds Bank (Banco Cuscatlan, S.A.)Banco del Pais, S.A.Banco Mercantil, S.A.Banco FICOHSABanco Continental, S.A.BANHCAFEBANADESABANTRALLa Constancia, AHPSA.Metropolitana, AHPSAArrendamientos y Creditos, S.A.Corporacion Financiera Internacional, S.A.Financiera del Caribe, S.A.Corporacion de Inversiones Mercantiles, S.A.Financiera Popular Ceibeña, S.A.Compania Financiera, S.A.Financiera Credi Q, S.A.Financiera Solidaria, S.A.Financiera Insular, S.A.

PlaneacionDesarrollo Examen CAMELElaboracion de Reporte de ExamenVacacionesCapacitacion Masiva al personal de Inspeccion BancariaInstitucion no supervisada, se asigna supervisor para que monitoree los trabajos especiales que se realicen.

Nota: La capacitacion en el exterior que se autorice al personal tecnico de esta Superintendencia se realizara de conformidad con lo programado por el Directorio de la CNBS en el presupuesto.

Planeacion de examenes durante el 2004

Enero Febrero Marzo Abril Mayo Junio

Page 12: COMISION NACIONAL DE BANCOS AUDITORIA DE SISTEMAS.
Page 13: COMISION NACIONAL DE BANCOS AUDITORIA DE SISTEMAS.
Page 14: COMISION NACIONAL DE BANCOS AUDITORIA DE SISTEMAS.
Page 15: COMISION NACIONAL DE BANCOS AUDITORIA DE SISTEMAS.
Page 16: COMISION NACIONAL DE BANCOS AUDITORIA DE SISTEMAS.

FL

UJO

DE

IN

FO

RM

AC

ION

Page 17: COMISION NACIONAL DE BANCOS AUDITORIA DE SISTEMAS.

Requerimientos Institución

DB2

SYBASE

ORACLE

AS400

Cuadre

Reportes de Datos

AuditoresFinancieros

B

ArchivoEstandar

Proceso Generar el Archivo Estandar

Cal

idad

: A

cces

o, C

uadr

e, G

ener

ació

n de

In

form

es p

ara

Aud

itor

es F

inan

cier

os

Page 18: COMISION NACIONAL DE BANCOS AUDITORIA DE SISTEMAS.

BR

iesg

o T

ecno

lógi

co y

Ges

tión

Inf

orm

átic

a

C

BASE DE DATOS

GESTION Y PERSONAL

SEGURIDAD

SEGURIDAD FISICA

ESTRUCTURAINTERNA

REDES

COMUNICACIONES

HACKING

Page 19: COMISION NACIONAL DE BANCOS AUDITORIA DE SISTEMAS.

Pro

ceso

s.C

Revisión de los procesos Documentados y codificación de:Apertura de cuentasIngreso y validación de clientesCalculo de intereses normales, Intereses y días en mora,Etc...

Es imprescindible para el buen funcionamiento de los procesos del negocio abordar el tema de productos y servicios.

D

Manual de procedimientos

Institucional

Page 20: COMISION NACIONAL DE BANCOS AUDITORIA DE SISTEMAS.

Cal

idad

: Ana

lisi

s da

tos

de C

entr

al d

e R

iesg

os.

D

En esta etapa se efectúa un análisis de los datos de Créditos reportados por la institución supervisada a la CNBS y los datos almacenados en el Banco, aplicando dos tipos de validaciones: (A y C)

En esta etapa se efectúa un análisis de los datos de Créditos reportados por la institución supervisada a la CNBS y los datos almacenados en el Banco, aplicando dos tipos de validaciones: (A y C)

E

DB, Institución ArchivoEstandar

Identidades

Archivos ReportadosA la CNBS

ArchivoEstandar

Tipo C:Cruce de los datos de la Institución y la Central de Riesgos

Tipo C:Cruce de los datos de la Institución y la Central de Riesgos

Tipo A:Validación de datos interna

Tipo A:Validación de datos interna

El resultado un informe Reflejando el numero de inconsistencias en los datos de la Institución yla reportada a la CNBS

El resultado un informe Reflejando el numero de inconsistencias en los datos de la Institución yla reportada a la CNBS

Page 21: COMISION NACIONAL DE BANCOS AUDITORIA DE SISTEMAS.

Cal

idad

: Ana

lisi

s da

tos

Lav

ado

de A

ctiv

os. E

En esta etapa se efectua un analisis de los datos de Creditos reportados por la institución supervisada a la CNBS y los datos almacenados en el Banco, aplicando dos tipos de validaciones: (A y C)

En esta etapa se efectua un analisis de los datos de Creditos reportados por la institución supervisada a la CNBS y los datos almacenados en el Banco, aplicando dos tipos de validaciones: (A y C)

F

DB de Transaccionesde la Institución

Archivos ReportadosA la CNBS

ArchivoEstandar

Tipo C:Cruce de los datos de la Institución y la Central de Riesgos

Tipo C:Cruce de los datos de la Institución y la Central de Riesgos

El resultado un informe Reflejando el numero de inconsistencias en los datos de la Insitutución yla reportada a la CNBS

El resultado un informe Reflejando el numero de inconsistencias en los datos de la Insitutución yla reportada a la CNBS

Page 22: COMISION NACIONAL DE BANCOS AUDITORIA DE SISTEMAS.

Cargar ultimo

informe de

Auditoria a la PC

Cargar ultimo

informe de

Auditoria a la PC

Copiar Informe de

la PCEn la

Base de Datos De la CNBS

Copiar Informe de

la PCEn la

Base de Datos De la CNBS

Ir a papeles

de trabajo, trabajo

de campo

Ir a papeles

de trabajo, trabajo

de campo

Page 23: COMISION NACIONAL DE BANCOS AUDITORIA DE SISTEMAS.

Fechas: Anterior y Actual

de la Auditoria

Fechas: Anterior y Actual

de la Auditoria

Estado de la revisión

Estado de la revisión

Ingreso de texto

de la deficiencia

Ingreso de texto

de la deficiencia

Puntos de

revisión

Puntos de

revisión

Page 24: COMISION NACIONAL DE BANCOS AUDITORIA DE SISTEMAS.

Sep

tim

a E

tapa

: Pre

para

r In

form

es.

F

Anexo 1

Prestamos Existen diferencias de saldos en moneda nacional entre el balance y el archivo maestro de préstamos por un total de Lempiras -146,114.22.

Cuadro 1

PRESTAMOS Descripcion Balance Auxiliar Prestamos Diferencia

Prestamos a la Vista 49,932,341.29 49,936,227.07 3,885.78 Documentos Descontados 9,880,099.03 9,880,099.03 0.00 Prestamos Fiduciarios 249,154,977.70 249,154,977.70 0.00 Prestamos Prendarios 62,181,223.99 62,331,223.99 -150,000.00 Prestamos Hipotecarios 208,840,200.94 208,840,200.94 0.00 Prestamos a Instituciones Financieras 20,601,000.00 20,601,000.00 0.00 Prestamos Sectoriales 9,361,000.00 9,361,000.00 0.00 Prestamos Doctos Negociaciones 315,380.34 315,380.34 0.00

Total Moneda Nacional 610,266,223.29 610,420,109.07 -146,114.22

Intereses Existen diferencias de saldos de interés entre el balance y el archivo maestro de préstamos por un valor de Lps. 220.93 Cuadro 2

Intereses Descripción Balance Auxiliar Diferencia

MONEDA NACIONAL INTERESES Y DIVIDENDOS POR COBRAR Sobre Cartera de Fondos Propios 5,797,258.37 5,797,036.92 221.45 MONEDA EXTRANJERA Sobre Prestamos Descuentos y Negociaciones 3,523,676.64 3,523,677.16 -0.52

Total Saldo Intereses 9,320,935.01 9,320,714.08 220.93

BANCO XYZ

Informe de Auditoria de Sistemas Análisis de la calidad de datos que reportan a la Central de Riesgos Conforme revisión efectuada a Banco XYZ S.A. a la información que manejan en sus sistemas internos y con el propósito de comprobar la calidad y veracidad de los datos que son reportados a la Central de Riesgos. La primera fase de este proceso incluyo el análisis como el Banco XYZ almacena su información de cartera en el computador de producción. Luego se procedió a realizar dos tipos de validaciones, las que denominamos “A” y “C”. Para las de tipo “A” se desarrollaron programas que verificaban la calidad de los datos almacenados en la base de datos de la institución; procesados para crear los archivos de Central de Riesgos y paralelamente ser revisados conforme a parámetros básicos establecidos por esta Comisión y para las de tipo “C” se desarrollaron programas que validan la información reportada por el Banco XYZ a la CNBS contra lo que existía en su base de datos. De la revisión efectuada se concluye que pese a que existe un proceso automático de crear el archivo para alimentar el capturador de datos de Central de Riesgos existen algunas diferencias que ocasiona discrepancia entre el archivo que sirve como fuente y el presentado a la Comisión Nacional de Banca y Seguro.

LAVADO DE ACTIVOS BANCO XYZ

Revisión de los Datos Recibidos al 31 de Mayo de 2003 Básicamente se consideraron dos areas para la revision de los datos las cuales son las siguientes:

Transacciones no reportadas según CNBS El procedimiento que se aplico fue la normativa, al historico de movimientos de CAPTACIONES de la institución.

Inconsistencias encontradas en los datos reportados en el capturador Aquí se revisaron 21 diferentes errores que pueden ocurrir, los cuales se describen al momento de tratar este punto.

Notas.

1. Al mencionar Transacciones Financieras hacemos dos agrupaciones UNICAS y MULTIPLES a pesar que este ultima agrupación no es contemplada en la normativa de la CNBS, se muestra solamente para datos informativos.

Transacciones no reportadas según CNBS Cuadro 1 (Resumen de Operaciones No Reportadas Según CNBS)

Rubro Tx

Efectivo Unicas No Reportadas Lempiras/Credito 1 Financieras Unicas No Reportadas Lempiras/Credito 14 Financieras Unicas No Reportadas Lempiras/Debito 72 Financieras Multiples No Reportadas Lempiras 81 Financieras Multiples No Reportadas Dolares 8

A continuación se muestran los detalles del resumen anterior: Cuadro 2 (Efectivo Unicas No Reportadas Lempiras/Credito)

Numero Cuenta Fecha Valor

101993755 20030506 -500,000.00

Informe de Auditoria de Sistemas

BANCO XYZ

Julio 2003 Comisión Nacional de Bancos y Seguros

Gerencia de Informática División de Auditoria de Sistemas

Informe de deficiencias

Informe de Inconsistencias de Cuadres, datos etc.

Informe de análisis de datos deCentral de Riesgos

Análisis de datos de Lavado deActivos

Banco XYZ

Riesgo Operativo y Tecnológico

Área Informática La institución tiene una estructura organizacional inadecuada en el área de sistemas, alta dependencia del personal de informática centralización de funciones que se incrementa por la no existencia de documentación adecuada de programas, manuales técnicos, de procesos, plan de contingencia probados y actualizados, además es notoria la falta de una administración adecuada de los recursos asignados un signo de lo anterior es la compra de un servidor en marzo del 2002 por un valor cercano a un millón de lempiras y el cual no ha sido utilizado, lo que demuestra una inmovilización de recursos importante. Se tiene también, un bajo nivel de seguridad del servidor de producción. Existe un exceso de confianza administrativa por la realización de modificaciones a los datos sin contar con la solicitud y documentación adecuada; todo esto constituye un riesgo potencial para la continuidad y confiabilidad de las operaciones de la institución.

Adicionalmente no existe una supervisión adecuada por parte de auditoria interna sobre las actividades que se realizar en informática como ser producción, certificación de nuevos proyectos y modificación de los existentes.

En conclusión el sistema de información de Banco XYZ se considera funcional y aceptable a las necesidades de la Institución pese que el departamento de informática carece de procedimientos de registro y documentación que soporte los programas y actividades del área así como la falta de una supervisión por el departamento de Auditoria Interna que minimice a futuro los riesgos potenciales e incremente el control y seguimiento sobre las proyectos y procesos del Banco, además es evidente la inexistencia de planes de sucesión de ejecutivos claves en caso de contingencia.

Recursos Humanos

El recurso humano con que cuenta la Institución, de acuerdo a las responsabilidades asignadas, desarrolla sus actividades en forma profesional, no obstante que el departamento de recursos humanos no cuenta con el perfil formal y manuales de funciones de los puestos de acorde al organigrama actual de la Institución, lo cual está en proceso de implementación, por otra parte no existe un plan de carrera y capacitación por cada puesto, asimismo no hay planes de sucesión de funcionarios clave, principalmente en el área de informática fomentando la centralización y excesiva dependencia en dos personas, lo cual no se considera apropiado de acuerdo a las sanas prácticas bancarias. Por otra parte el área de recursos humanos cuenta con los manuales y políticas debidamente actualizadas y son aplicables a la gestión de recursos humanos, lo que incide en un adecuado manejo de personal por parte de la Gerencia de Recursos Humanos.

Resumen Ejecutivo

INFORMES DE AUDITORIA DE SISTEMAS

Page 25: COMISION NACIONAL DE BANCOS AUDITORIA DE SISTEMAS.

Herramienta para Auditoria La División de Auditoria de Sistemas cuenta con una

herramienta que servirá para administrar el proceso de auditoria, generar el reporte final, establecer pesos y calificaciones a cada deficiencia encontrada, actualmente esta herramienta se encuentra en su etapa inicial.

Esta herramienta fue desarrollada por personal de la CNBS y ajustada a las necesidades de la Auditoria de Sistemas

Su segunda etapa comprende el establecimiento de pesos, calificaciones, etc y almacenamiento de las deficiencias encontradas en una Base de Datos Centralizada.

Page 26: COMISION NACIONAL DE BANCOS AUDITORIA DE SISTEMAS.

PROYECCION ESTRUCTURAL A FUTURO

Otras Instituciones

Jefe. División

Supervisor y Soporte para Riesgo Tecnológico

(1)

Supervisor Riesgo Operativo y Seguimiento de Auditorias de Sistemas

(2)

A.S. 2

A.S. 1

A.S. 2

A.S. 1

A.S. 2

A.S. 1

A.S. 2

A.S. 1

A.S. 2

A.S. 1

Secretaria

Bancos Seguros

A.S. 2

A.S. 1

Page 27: COMISION NACIONAL DE BANCOS AUDITORIA DE SISTEMAS.

PROYECCION A FUTURO METODOLOGIA

• Incluir un sistema de medición de las auditorias dando peso a cada deficiencia o punto de revisión

• Emitir Circular Riesgo Operacional y Tecnologico• Establecer estandares de aceptabilidad a cada punto de

revisión (BALANCE SCORE CARD)• Crear una base de datos unificada de las deficiencias y

riesgos encontrados en cada auditorias para dar seguimiento y contar con historia de cada Institución.

Page 28: COMISION NACIONAL DE BANCOS AUDITORIA DE SISTEMAS.

MUCHAS GRACIAS