COMISION NACIONAL DE BANCOS AUDITORIA DE SISTEMAS.
-
Upload
eulalio-ventura -
Category
Documents
-
view
41 -
download
2
Transcript of COMISION NACIONAL DE BANCOS AUDITORIA DE SISTEMAS.
COMISION NACIONAL DE BANCOS
AUDITORIA DE SISTEMAS
Tendencias Mundiales sobre la Auditoria de Sistemas -- Basilea II
Otros Riesgos de envergadura se están desarrollando a parte de los riesgos de crédito, mercado, pais, reputación, estrategico, tasa de Interes etc. :
Uso intensivo en tecnología más sofisticada la cual posee el potencial de transformar el riesgo de error de los procesos manuales en riesgos de fallas de sistemas
Crecimiento del comercio electrónico : • Fraude Interno
• Fraude externo
• Problemas en la seguridad de los sistemas
Las adquisiciones a gran escala, las fusiones y consolidaciones prueban la viabilidad de nuevos sistemas integrados
La desregulación y globalización de servicios financieros
Entidades financieras actuando como proveedor de un gran numero de servicios, crea la necesidad de un continuo apoyo a los controles internos, y sistemas de seguridad y de respaldo.
El uso creciente de outsourcing o tercerización Riesgo
Operacional
El riesgo de pérdida que resulta de procesos internos inadecuados o fallas en ellos por personas y sistemas o por eventos externos
ROL DEL DIRECTORIO Y DE LA ALTA GERENCIA --- RIESGO OPERACIONAL ---
Entenderlo como una categoría de riesgo distinta que debe ser administrada
Aprobar y revisar periódicamente el esquema de gestión El esquema debe proporcionar una definición a nivel corporativo Deben asegurar que el esquema de la entidad financiera esté sujeto a
una auditoria efectiva e integral La Alta Gerencia debe tener la responsabilidad de implementar la
estrategia aprobada por el consejo de administración La Alta Dirección debe también tener responsabilidad en el desarrollo
de políticas, procesos y procedimientos para la gestión en todas las actividades, productos y sistemas de la entidad financiera
Involucrar a los funcionarios para la formación de un rol staff (Comité de Riesgo) de administración de riesgo para identificar, medir, controlar, monitorear y valorar los diversos riesgos asumidos en sus operaciones
ROL DEL COMITÉ DE RIESGO--- RIESGO OPERACIONAL ---
Supervisar el desempeño y el cumplimiento de la administración del riesgo
Aprobar la metodología que administrara el riesgo Revisar la metodología cuanto menos 2 veces al año Aprobar las estrategias de comunicación y difundirla en toda
la organización Recomendar a la junta directiva la modificación de los límites
de exposición de riesgo Conocer y evaluar los resultados obtenidos en la cuantificación
de las exposiciones de Riesgo
ROL DE LA AUDITORIA INTERNA--- RIESGO OPERACIONAL ---
No debe ser directamente responsable de la gestión de los riesgos operativos
Evaluar la políticas emanadas por el directorio Evaluar los procedimientos establecidos para la administración
del riesgo Incluir en el plan el rol de la auditoria como actividades
permanentes
ROL DEL SUPERVISOR--- RIESGO OPERACIONAL ---
Evaluar la participación del directorio, la estructura gerencial de la institución, políticas, procedimientos, practicas
Asegurarse que existen mecanismos incorporados para la identificación, evaluación, seguimiento, y control/mitigación de todos los riesgos
Evaluar el marco de control interno, seguridad de información, calidad de la información, de los productos y servicios entregados a los clientes, plan de continuidad del negocio
Presentación Estructural de A.S.
Presentación Estructural de A.S.
Jefe DivisionAuditoria
de Sistemas
Auditor de
Sistemas
Auditor de
Sistemas
Auditor de
Sistemas
Auditor de
Sistemas
(1) (2) (7) (8)
METODOLOGIA UTILIZADA
La metodología utilizada se basa en un análisis profundo de riesgo tecnológico y operacional que aplica a cada centro de cómputo un examen de 189 actividades agrupados por áreas críticas para luego presentar un informe de deficiencias, riesgos potenciales y la recomendación a cada riesgo.
Dentro de estas actividades se aplica incondicionalmente un análisis de datos de los módulos de préstamos, depósitos, inversiones, lavado de activos y análisis de central de riesgos, cuadres de auxiliares vrs contabilidad soportado por la revision de sús procedimientos y procesos documentados y certificados .
Cuadre de Archivos Físicos y Saldos Contable 5
Generar Archivo Estándar 1
Genera Cuadros para auditoria Financiera 1
Análisis de Datos (Inconsistencias) 18
Presentaciones 4
Revisar Proceso de Préstamos 19
Revisar Proceso de Tarjeta de Créditos 19
Revisar Proceso de Depósitos Ahorro y Cheques 22
Revisar Proceso de Depósitos a Termino 14
Gestión de Informática 11
Desarrollo 11
Operación 14
Administración del Centro de Computo 12
Seguridad Física 9
Seguridad Lógica 6
Controles de Auditoria del Sistema 8
Seguridad en Comunicaciones 10
Derechos de Autor 2
Auditoria Interna 3
189
Resumen de la Metodología de Auditoria de Sistemas
Basilea II
Planeación de Auditoria de SistemasLa planeación de las auditorias de sistemas están condicionadas por la programación que las Superintendencias estimen conveniente, ingresando a la institución supervisada una semana antes que los auditores financieros para la elaboración de cuadros.
Superintendencia de Bancos, Financieras y
Asociaciones de Ahorro y Prestamo
Instituciones29-2 5-9 12-16 19-23 26-30 2-6 9-13 16-20 23-27 1-5 8-12 15-19 22-26 29-2 5-9 12-16 19-23 26-30 3-7 10-14 17-21 24-28 31-4 7-11
BGABanco de los TrabajadoresBanco Uno, S.A.Banco Promerica, S.A.Banco Futuro, S.A.Banco de Honduras, S.A.BANCOCCIBANCATLANFICENSABanco de America Central Honduras, S.A.Lloyds Bank (Banco Cuscatlan, S.A.)Banco del Pais, S.A.Banco Mercantil, S.A.Banco FICOHSABanco Continental, S.A.BANHCAFEBANADESABANTRALLa Constancia, AHPSA.Metropolitana, AHPSAArrendamientos y Creditos, S.A.Corporacion Financiera Internacional, S.A.Financiera del Caribe, S.A.Corporacion de Inversiones Mercantiles, S.A.Financiera Popular Ceibeña, S.A.Compania Financiera, S.A.Financiera Credi Q, S.A.Financiera Solidaria, S.A.Financiera Insular, S.A.
PlaneacionDesarrollo Examen CAMELElaboracion de Reporte de ExamenVacacionesCapacitacion Masiva al personal de Inspeccion BancariaInstitucion no supervisada, se asigna supervisor para que monitoree los trabajos especiales que se realicen.
Nota: La capacitacion en el exterior que se autorice al personal tecnico de esta Superintendencia se realizara de conformidad con lo programado por el Directorio de la CNBS en el presupuesto.
Planeacion de examenes durante el 2004
Enero Febrero Marzo Abril Mayo Junio
FL
UJO
DE
IN
FO
RM
AC
ION
Requerimientos Institución
DB2
SYBASE
ORACLE
AS400
Cuadre
Reportes de Datos
AuditoresFinancieros
B
ArchivoEstandar
Proceso Generar el Archivo Estandar
Cal
idad
: A
cces
o, C
uadr
e, G
ener
ació
n de
In
form
es p
ara
Aud
itor
es F
inan
cier
os
BR
iesg
o T
ecno
lógi
co y
Ges
tión
Inf
orm
átic
a
C
BASE DE DATOS
GESTION Y PERSONAL
SEGURIDAD
SEGURIDAD FISICA
ESTRUCTURAINTERNA
REDES
COMUNICACIONES
HACKING
Pro
ceso
s.C
Revisión de los procesos Documentados y codificación de:Apertura de cuentasIngreso y validación de clientesCalculo de intereses normales, Intereses y días en mora,Etc...
Es imprescindible para el buen funcionamiento de los procesos del negocio abordar el tema de productos y servicios.
D
Manual de procedimientos
Institucional
Cal
idad
: Ana
lisi
s da
tos
de C
entr
al d
e R
iesg
os.
D
En esta etapa se efectúa un análisis de los datos de Créditos reportados por la institución supervisada a la CNBS y los datos almacenados en el Banco, aplicando dos tipos de validaciones: (A y C)
En esta etapa se efectúa un análisis de los datos de Créditos reportados por la institución supervisada a la CNBS y los datos almacenados en el Banco, aplicando dos tipos de validaciones: (A y C)
E
DB, Institución ArchivoEstandar
Identidades
Archivos ReportadosA la CNBS
ArchivoEstandar
Tipo C:Cruce de los datos de la Institución y la Central de Riesgos
Tipo C:Cruce de los datos de la Institución y la Central de Riesgos
Tipo A:Validación de datos interna
Tipo A:Validación de datos interna
El resultado un informe Reflejando el numero de inconsistencias en los datos de la Institución yla reportada a la CNBS
El resultado un informe Reflejando el numero de inconsistencias en los datos de la Institución yla reportada a la CNBS
Cal
idad
: Ana
lisi
s da
tos
Lav
ado
de A
ctiv
os. E
En esta etapa se efectua un analisis de los datos de Creditos reportados por la institución supervisada a la CNBS y los datos almacenados en el Banco, aplicando dos tipos de validaciones: (A y C)
En esta etapa se efectua un analisis de los datos de Creditos reportados por la institución supervisada a la CNBS y los datos almacenados en el Banco, aplicando dos tipos de validaciones: (A y C)
F
DB de Transaccionesde la Institución
Archivos ReportadosA la CNBS
ArchivoEstandar
Tipo C:Cruce de los datos de la Institución y la Central de Riesgos
Tipo C:Cruce de los datos de la Institución y la Central de Riesgos
El resultado un informe Reflejando el numero de inconsistencias en los datos de la Insitutución yla reportada a la CNBS
El resultado un informe Reflejando el numero de inconsistencias en los datos de la Insitutución yla reportada a la CNBS
Cargar ultimo
informe de
Auditoria a la PC
Cargar ultimo
informe de
Auditoria a la PC
Copiar Informe de
la PCEn la
Base de Datos De la CNBS
Copiar Informe de
la PCEn la
Base de Datos De la CNBS
Ir a papeles
de trabajo, trabajo
de campo
Ir a papeles
de trabajo, trabajo
de campo
Fechas: Anterior y Actual
de la Auditoria
Fechas: Anterior y Actual
de la Auditoria
Estado de la revisión
Estado de la revisión
Ingreso de texto
de la deficiencia
Ingreso de texto
de la deficiencia
Puntos de
revisión
Puntos de
revisión
Sep
tim
a E
tapa
: Pre
para
r In
form
es.
F
Anexo 1
Prestamos Existen diferencias de saldos en moneda nacional entre el balance y el archivo maestro de préstamos por un total de Lempiras -146,114.22.
Cuadro 1
PRESTAMOS Descripcion Balance Auxiliar Prestamos Diferencia
Prestamos a la Vista 49,932,341.29 49,936,227.07 3,885.78 Documentos Descontados 9,880,099.03 9,880,099.03 0.00 Prestamos Fiduciarios 249,154,977.70 249,154,977.70 0.00 Prestamos Prendarios 62,181,223.99 62,331,223.99 -150,000.00 Prestamos Hipotecarios 208,840,200.94 208,840,200.94 0.00 Prestamos a Instituciones Financieras 20,601,000.00 20,601,000.00 0.00 Prestamos Sectoriales 9,361,000.00 9,361,000.00 0.00 Prestamos Doctos Negociaciones 315,380.34 315,380.34 0.00
Total Moneda Nacional 610,266,223.29 610,420,109.07 -146,114.22
Intereses Existen diferencias de saldos de interés entre el balance y el archivo maestro de préstamos por un valor de Lps. 220.93 Cuadro 2
Intereses Descripción Balance Auxiliar Diferencia
MONEDA NACIONAL INTERESES Y DIVIDENDOS POR COBRAR Sobre Cartera de Fondos Propios 5,797,258.37 5,797,036.92 221.45 MONEDA EXTRANJERA Sobre Prestamos Descuentos y Negociaciones 3,523,676.64 3,523,677.16 -0.52
Total Saldo Intereses 9,320,935.01 9,320,714.08 220.93
BANCO XYZ
Informe de Auditoria de Sistemas Análisis de la calidad de datos que reportan a la Central de Riesgos Conforme revisión efectuada a Banco XYZ S.A. a la información que manejan en sus sistemas internos y con el propósito de comprobar la calidad y veracidad de los datos que son reportados a la Central de Riesgos. La primera fase de este proceso incluyo el análisis como el Banco XYZ almacena su información de cartera en el computador de producción. Luego se procedió a realizar dos tipos de validaciones, las que denominamos “A” y “C”. Para las de tipo “A” se desarrollaron programas que verificaban la calidad de los datos almacenados en la base de datos de la institución; procesados para crear los archivos de Central de Riesgos y paralelamente ser revisados conforme a parámetros básicos establecidos por esta Comisión y para las de tipo “C” se desarrollaron programas que validan la información reportada por el Banco XYZ a la CNBS contra lo que existía en su base de datos. De la revisión efectuada se concluye que pese a que existe un proceso automático de crear el archivo para alimentar el capturador de datos de Central de Riesgos existen algunas diferencias que ocasiona discrepancia entre el archivo que sirve como fuente y el presentado a la Comisión Nacional de Banca y Seguro.
LAVADO DE ACTIVOS BANCO XYZ
Revisión de los Datos Recibidos al 31 de Mayo de 2003 Básicamente se consideraron dos areas para la revision de los datos las cuales son las siguientes:
Transacciones no reportadas según CNBS El procedimiento que se aplico fue la normativa, al historico de movimientos de CAPTACIONES de la institución.
Inconsistencias encontradas en los datos reportados en el capturador Aquí se revisaron 21 diferentes errores que pueden ocurrir, los cuales se describen al momento de tratar este punto.
Notas.
1. Al mencionar Transacciones Financieras hacemos dos agrupaciones UNICAS y MULTIPLES a pesar que este ultima agrupación no es contemplada en la normativa de la CNBS, se muestra solamente para datos informativos.
Transacciones no reportadas según CNBS Cuadro 1 (Resumen de Operaciones No Reportadas Según CNBS)
Rubro Tx
Efectivo Unicas No Reportadas Lempiras/Credito 1 Financieras Unicas No Reportadas Lempiras/Credito 14 Financieras Unicas No Reportadas Lempiras/Debito 72 Financieras Multiples No Reportadas Lempiras 81 Financieras Multiples No Reportadas Dolares 8
A continuación se muestran los detalles del resumen anterior: Cuadro 2 (Efectivo Unicas No Reportadas Lempiras/Credito)
Numero Cuenta Fecha Valor
101993755 20030506 -500,000.00
Informe de Auditoria de Sistemas
BANCO XYZ
Julio 2003 Comisión Nacional de Bancos y Seguros
Gerencia de Informática División de Auditoria de Sistemas
Informe de deficiencias
Informe de Inconsistencias de Cuadres, datos etc.
Informe de análisis de datos deCentral de Riesgos
Análisis de datos de Lavado deActivos
Banco XYZ
Riesgo Operativo y Tecnológico
Área Informática La institución tiene una estructura organizacional inadecuada en el área de sistemas, alta dependencia del personal de informática centralización de funciones que se incrementa por la no existencia de documentación adecuada de programas, manuales técnicos, de procesos, plan de contingencia probados y actualizados, además es notoria la falta de una administración adecuada de los recursos asignados un signo de lo anterior es la compra de un servidor en marzo del 2002 por un valor cercano a un millón de lempiras y el cual no ha sido utilizado, lo que demuestra una inmovilización de recursos importante. Se tiene también, un bajo nivel de seguridad del servidor de producción. Existe un exceso de confianza administrativa por la realización de modificaciones a los datos sin contar con la solicitud y documentación adecuada; todo esto constituye un riesgo potencial para la continuidad y confiabilidad de las operaciones de la institución.
Adicionalmente no existe una supervisión adecuada por parte de auditoria interna sobre las actividades que se realizar en informática como ser producción, certificación de nuevos proyectos y modificación de los existentes.
En conclusión el sistema de información de Banco XYZ se considera funcional y aceptable a las necesidades de la Institución pese que el departamento de informática carece de procedimientos de registro y documentación que soporte los programas y actividades del área así como la falta de una supervisión por el departamento de Auditoria Interna que minimice a futuro los riesgos potenciales e incremente el control y seguimiento sobre las proyectos y procesos del Banco, además es evidente la inexistencia de planes de sucesión de ejecutivos claves en caso de contingencia.
Recursos Humanos
El recurso humano con que cuenta la Institución, de acuerdo a las responsabilidades asignadas, desarrolla sus actividades en forma profesional, no obstante que el departamento de recursos humanos no cuenta con el perfil formal y manuales de funciones de los puestos de acorde al organigrama actual de la Institución, lo cual está en proceso de implementación, por otra parte no existe un plan de carrera y capacitación por cada puesto, asimismo no hay planes de sucesión de funcionarios clave, principalmente en el área de informática fomentando la centralización y excesiva dependencia en dos personas, lo cual no se considera apropiado de acuerdo a las sanas prácticas bancarias. Por otra parte el área de recursos humanos cuenta con los manuales y políticas debidamente actualizadas y son aplicables a la gestión de recursos humanos, lo que incide en un adecuado manejo de personal por parte de la Gerencia de Recursos Humanos.
Resumen Ejecutivo
INFORMES DE AUDITORIA DE SISTEMAS
Herramienta para Auditoria La División de Auditoria de Sistemas cuenta con una
herramienta que servirá para administrar el proceso de auditoria, generar el reporte final, establecer pesos y calificaciones a cada deficiencia encontrada, actualmente esta herramienta se encuentra en su etapa inicial.
Esta herramienta fue desarrollada por personal de la CNBS y ajustada a las necesidades de la Auditoria de Sistemas
Su segunda etapa comprende el establecimiento de pesos, calificaciones, etc y almacenamiento de las deficiencias encontradas en una Base de Datos Centralizada.
PROYECCION ESTRUCTURAL A FUTURO
Otras Instituciones
Jefe. División
Supervisor y Soporte para Riesgo Tecnológico
(1)
Supervisor Riesgo Operativo y Seguimiento de Auditorias de Sistemas
(2)
A.S. 2
A.S. 1
A.S. 2
A.S. 1
A.S. 2
A.S. 1
A.S. 2
A.S. 1
A.S. 2
A.S. 1
Secretaria
Bancos Seguros
A.S. 2
A.S. 1
PROYECCION A FUTURO METODOLOGIA
• Incluir un sistema de medición de las auditorias dando peso a cada deficiencia o punto de revisión
• Emitir Circular Riesgo Operacional y Tecnologico• Establecer estandares de aceptabilidad a cada punto de
revisión (BALANCE SCORE CARD)• Crear una base de datos unificada de las deficiencias y
riesgos encontrados en cada auditorias para dar seguimiento y contar con historia de cada Institución.
MUCHAS GRACIAS