proyecto auditoria
TRANSCRIPT
Capitulo 1:
1.1. Reseña Histórica:
La “Caja Municipal de Ahorro y Crédito del Santa” fue autorizado mediante D.S. No. 255-85-EF, iniciando sus actividades el 3 de marzo de 1986. Con operaciones de crédito prendario y ahorros, productos con los que se mantuvo hasta diciembre de 1993. La Caja Municipal de Ahorro y Crédito del Santa, nació con la misión de ser alternativa real para aquellos sectores de la comunidad local y regional, que tradicionalmente no han sido atendido por la banca, en especial a la Micro y Pequeña Empresa, y que se complementa con los esfuerzos que viene desplegando para promover la cultura del ahorro en la población.
En 1993 la CMAC del Santa, da un salto cualitativo y cuantitativo, cuando decide iniciar sus operaciones con crédito a la Micro y pequeña Empresa, y crédito personal. La conversión de la CMAC Santa en Sociedad Anónima ocurrida en el año 1998, le abre las oportunidades para crecer y desarrollarse en el marco de lo que establece la ley Nº 26702, por otro lado la Municipalidad Provincial del Santa, le ha transferido en vía de aporte de capital, un edificio donde funciona la Oficina Principal de la CMAC Santa (Mayo 1998). y adicionalmente, a fines de Marzo la SBS la autorizó para realizar operaciones activas y pasivas en moneda extranjera.
El 16 de Abril del 1999 la CMAC-SANTA ha instalado su agencia en la Ciudad de Huaraz, lo que le permite ampliar y diversificar su mercado.
El 20 de Diciembre del 2001 abrió la primera Oficina Especializada Bolognesi con la autorización de la SBS. El 23 de Enero del 2006 pasa a ser nuestra Tercera Agencia.
El 10 de Mayo del 2002 se apertura una Oficina Especializada en la ciudad de Casma abriendo paso para la siguiente en la ciudad de Huarmey.
El 12 de Octubre del 2002 se inicia las operaciones en la Oficina Especializada de Huarmey.
El 02 de Noviembre del mismo año 2002 se apertura la tercera Oficina Especializada en un solo año esta vez en la ciudad de Caraz.
El 27 de Junio del 2003 se apertura la Segunda Agencia de la CMAC SANTA en el Distrito de Nuevo Chimbote.
El 21 de Julio del 2006 se apertura la Cuarta Agencia de la CMAC SANTA en el Barranca.
El 22 de Julio del 2006 se apertura la Quinta Agencia en Huacho.
Esta sumatoria de acontecimientos favorables, nos hace mirar el futuro con optimismo y seguridad de poder recuperar el tiempo perdido y constituirnos en el más breve plazo en unas de las principales empresas financieras de la región y dentro del sistema de Cajas.
1.2. Organigrama:
1.3. Foda De La Empresa:
FACTORES INTERNOS
FACTORES EXTERNOS
FortalezasF1.Constante innovación tecnológica.F2.Brindar servicios al alcance de todos.F3.Continúa capacitación y preparación de empleadosF4.Actuar y brindar servicios en Regiones donde se encuentran constituidas, en mayor cantidad, las PYMES.F5.Trabajar con la mejor infraestructura y en lugares en donde no llegan otras entidades financieras.
DebilidadesD1.Demasiados gastos de personal.D2.No tener objetivos claros para enfocar esfuerzos.D3.No se otorgan oportunidades ni se reconocen las habilidades del personal.D4.No se cuenta con un área de investigación y desarrollo.D5.No otorgan créditos hipotecarios.
OportunidadesO1.Existen sectores poblacionales que no tienen acceso al sistema financiero.O2.Acelerado crecimiento de las Pymes.O3.El mercado de actividad agrícola ancashino es considerado un sector potencial en crecimiento.O4.Créditos personales en los que las CMAC han adquirido una participación importante.O5.Proyección Social.
FO(MAXI-MAXI)
AmenazasA1.La baja de las tasas de interés de los bancos (debido a las legislaciones financieras), quita mercado para actuar.A2.El ingreso al mercado de nuevas instituciones financieras.A3.Variación del dólar.A4.Incremento de prestamistas informales.
1.4. Principales Procesos Del Área De Créditos:
La “Caja Municipal de Ahorro y Crédito del Santa” en el área de créditos presenta los siguientes procesos:
1.4.1. Antecedentes generales de Crédito:Como es de conocimiento general, las instituciones que por excelencia se dedican a otorgar créditos de distintas naturalezas son los bancos e instituciones financieras.
A lo largo de todo el proceso de crédito se torna amplio y complejo el análisis que es necesario involucrar en sus líneas aspectos generales como:
Determinación de un mercado objetivo. Evaluación del crédito. Evaluación de condiciones en que se otorgan. Aprobación del mismo. Documentación y desembolso. Administración del crédito en referencia.
1.4.2. Evaluación de créditos en instituciones financieras:Todos los bancos en general persiguen un solo objetivo que es el de colocar dinero, y su utilidad fluye del diferencial entre las tasas de captación y colocación del dinero prestado.
1.4.3. Historia mundial del crédito:
A lo largo de toda la evolución del riesgo crediticia y desde sus inicios el concepto de análisis y criterios utilizados han sido los siguientes: desde principios de 1930 la herramienta clave de análisis ha sido el balance. A principios de 1952, se cambiaron al análisis de los estados de resultados, lo que más importaban eran las utilidades de la empresa. Desde 1952 hasta nuestros tiempos el criterio utilizado ha sido el flujo d caja. Se otorga un crédito si un cliente genera suficiente caja para pagarlo, ya que los créditos no se pagan con utilidad, ni con inventarios ni menos con buenas intenciones, se pagan con caja.
1.4.4. Departamentos de riesgos crediticios :Este departamento debe perseguir los siguientes objetivos: que los riesgos de la institución financiera se mantengan en niveles razonables que permitan buena rentabilidad a la misma; formación del personal en análisis de crédito permite dar solidez al momento de emitir un criterio.
La principal función de los departamentos y/o áreas de riesgos crediticio es determinar el riesgo que significará para la institución otorgar un determinado crédito y para ello es necesario conocer a través de un análisis cuidadoso los estados financieros del cliente, análisis de los diversos puntos tanto cualitativos como cuantitativos que en conjunto permitirá tener una mejor visión sobre el cliente y la capacidad para poder pagar dicho crédito.
1.4.5. Objetivos y funciones del área o departamento de riesgos:
Mantener niveles relativamente bajos de un riesgo crediticio, además que permitan tener una buena rentabilidad y permanencia del mismo.Es muy importante mantener al personal con capacitación constante sobre las tendencias de las economías en el país y tener constante capacitación en el tema de finanzas y decisiones financierasEs importante que los departamentos de tener a mano estudios de mercado y estudios sectoriales.Crear sistemas estándares de evaluación de créditosRealizar estudios de segmentoDetectar aquellos créditos con riesgos superiores a lo normal para hacerles seguimiento más minuciosoPreparar un sin número de análisis para futuros ejecutivos de cuentasRealizar estudios sectorialesContar con información bibliográfica al alcance para posibles consultas, además de estar al tanto y al día de las publicaciones de la prensa en lo que se refiere al movimiento macroeconómico y las tendencias políticas y monetarias
1.4.6. Clasificación de los créditos:
Los créditos se pueden clasificar de acuerdo a los siguientes puntos:
Créditos para grandes y medianas empresas (Corporativos). Pequeñas empresas y comercio (Créditos PYME). Crédito de personas (créditos de consumo).Sin embargo es necesario recalcar que es análisis deberá realizarse de acuerdo a cada caso específicamente
1.4.7. Principios básicos de política crediticia:
El tipo de cliente debe corresponder al mercado objetivo definido por la institución ya que la evaluación y administración es completamente distintaEl mercado objetivo debe al menos definir un mercado objetivo de clientes a operar, el riego que está dispuesto a aceptar, la rentabilidad mínima con que se trabajara, el control y seguimiento que se tendrán salvo excepciones no debe otorgarse crédito a empresas sin fines de lucro, como cooperativas, clubes, etc.Las políticas generales son: Riesgo de la cartera Riesgo por cliente
Posición respecto al destino Requerimiento de información
1.4.8. Análisis De Créditos:Generalidades:Todo crédito debe pasar por una etapa de evaluación previa por simple y rápida que esta sea.Todo crédito por fácil y bueno y bien garantizado que parezca tiene riesgo.El análisis de crédito no pretende acabar con el 100% de la incertidumbre del futuro, sino que disminuya.Es necesario en importante contar con buen criterio y sentido común.
Aspectos necesarios en la evaluación de un crédito:En el proceso de evaluación de un crédito para una empresa se debe contemplar una evaluación profunda tanto de sus aspectos cualitativos como cualitativos .Es necesario considerar el comportamiento pasado del cliente tanto como cliente de la misma institución como de las demás instituciones.La decisión crediticia se la debe tomar en base a antecedentes históricos o presentes.Es necesario considerar en los análisis de crédito diferentes consideraciones que se pueden dar con el fin de anticipar los problemas.Después de haber realizado un análisis concienzudo del crédito es necesario tomar una decisión por lo que se recomienda escoger 4 o 5 variables de las tantas que se dieron para su elaboración.En lo que se refiere a casos de garantía, debe tratarse en la mejor forma posible tener la mejor garantía y que tenga una relación con el préstamo de 2 a 1 esto con el fin de poder cubrir ampliamente el crédito.
Aspectos necesarios en el análisis: Seriedad Simulación de capacidad de pago Situación patrimonial Garantías
Riesgo Del Crédito:Desde el punto de vista del crédito:
Riesgo como viabilidad de retorno del crédito Riesgo como probabilidad de perdida Riesgo país o del marco institucional Riesgo de sector Riesgo financiero
riesgo de mantenimiento de valor de la moneda Vs precios riesgos cambiarios (macroeconómicos –globales) riesgo de fluctuaciones de las tasas de interés riesgo de descalces de plazos
Riesgo operacional riesgo de mercado riesgos tecnológico riesgo de eficiencia (costos) riesgos de abastecimiento riesgo de cobranza riesgo de dirección o capacidad gerencial
Riesgo operacionales especiales riesgo por otorgamiento de anticipos riesgo de toma de posición riesgo de concesiones VS. Dominio de pertenencias riesgo por no renovación de fuente productiva riesgo de irregularidades del mercado cierres de mercado
Riesgo de cobranza Riesgo de situación patrimonial Riesgo de seriedad y moralidad
adulteración de información actos ilegales sobregiros reiterados solicitudes inusuales o excesivas atrasos continuos en pago de capital e intereses incumplimiento de contratos documento de favor recibidos compra de IVA
Riesgo de las garantías
1.4.9. Análisis de crédito a empresas grandes y medianas:
Antecedentes generales del crédito: Destino del crédito Es necesario bajo todo concepto conocer el destino de los fondos que otorga
la institución financiera ya que esto pueden ayudar a la institución a: Para comprobar la coherencia con las políticas de crédito de la institución Para poder evaluar correctamente el crédito Para poder fijar condiciones acordes a las necesidades para poder ejercer control sobre el deudor.
Causas más comunes para una solicitud de crédito:
Aumento de Activo Circulante Aumento de Activos Fijos Gastos Disminución de pasivos.
Primera entrevista de crédito:
Monto y propósito del crédito Fuentes primarias de pago Fuentes secundarias Proveedores Datos financieros Seguros Planta y equipos Historia del negocio Naturaleza del negocio Ambiente comercial Personal Principales cabezas en el negocio y experiencia en el mismo Relación banca negocio
Disponibilidad de información para evaluar un crédito:
Información de otros clientes del mismo sector Información de proveedores Información de consumidores Información de acreedores Bases de datos de los bancos, etc.
1.4.10. Procedimientos paso a paso para la concesión y/u otorgamiento de un crédito:
Requerimiento de información del cliente:
Empresas o personas jurídicas:
Solicitud de la operación
Perfil empresarial destacando la actividad de las empresa, su plan
estratégico de la gestión y/o curriculum vitae
Avalúos de los bienes a ser otorgados en garantía ya sean muebles o
inmuebles
Estados financieros de la empresa (recomendable de las dos últimas
gestiones)
Flujo de caja proyectado con los supuestos considerados en dicha
proyección (recomendable por el periodo de crédito)
Formularios de: información básica, declaraciones patrimoniales,
información confidencial ante DATACIC y SIBEF
Cédulas de identidad
Documentación legal de la empresa (constitución, poderes, RUC, Matricula de comercio, Padrón Municipal, comprobante de pago de IUE, Actas de directorios, estatutos, actas de elección de directorio, etc.)
1.4.11. Circuito del crédito:
Presentación de solicitud y carpeta crediticia
Evaluación del crédito por parte del oficial
Elaboración del informe de recomendación y/o conformidad.
Presentación al comité de crédito y o departamento de riesgo crediticio
Aprobación por parte del Banco BISA S.A. notificación al cliente
Previsión de fondos cual fuera su destino
Elaboración de contrato de crédito en base a las condiciones negociadas
originalmente
Firma del contrato por los solicitante y los representantes de la institución
Presentación de una póliza de seguro por el bien otorgado en hipoteca con la
debida subrogación de derechos a favor del banco
Elaboración de un file o carpeta de crédito con el nombre completo del cliente
Elaboración de la hoja de ruta para desembolso correspondiente ya sea en
cheque o abono a la cuenta del cliente
Elaboración del plan de pagos con sus respectivas fechas de vencimientos
Administración por parte del oficial de cuenta.
1.4.12. Análisis del crédito (análisis cuantitativo y cualitativo):
Consideraciones De Importancia:
Se debe considerar las variables macroeconómicas que afectan aun país,
tales como políticas de incentivo a importaciones o exportaciones, políticas
tributarias, costo del dinero, movimiento de capital de Entes Capitalistas, política
monetaria, precios internacionales, conflictos internacionales, inflación,
crecimiento económico mediterraneidad de un país, pobreza y subdesarrollo,
dependencia de otros países, desarrollo social de un país, huelgas sindicales o
problemas sociales, etc.
Otras de las variables de mucha importancia es el análisis del sector de la
empresa, variable como vulnerabilidad del sector, desarrollo, F.O.D.A.,
dependencia de otros sectores, estancamiento por diferentes razones, poco
incentivo del gobierno, poco interés por parte de inversionista, fuerte inversión
inicial, etc.
De preferencia se debe analizar balances de las tres últimas gestiones
Balance con antigüedad no mayor a 6 meses
Calificación de la auditoria, hay que tener en cuenta que no todos los
auditores califican
Los comentarios deben ser de fondo y no de forma, deben permitirnos
identificar las causas y dar respuestas sobre el rubro
Los comentarios del balances deben responder a los porque.
Deben analizarse los balances consolidados en caso de Grupos Económicos
manteniendo cuidado de consolidar cada una de las cuentas.
1.4.13. Depuración y análisis de las cuentas del balance:
Antes de analizar un balance es necesario tomar en cuenta los siguientes aspectos:
Depuración de datos (Ej. Cuentas por cobrar incobrables se debe eliminar
contra el patrimonio, lo mismo so existe un activo sobrevaluado, cuentas
corrientes socios debe eliminarse contra patrimonio, etc.)
Sector al que pertenece la empresa
Descripción y detalle de cada una de las partidas del balance
Forma de contabilización de las cuentas
Valorización
Política de administración
Evolución tendencias, etc. (mientras mayor sea el monto mayor será la
importancia de análisis)
Solicitar preferentemente balance auditado por una auditora confiable
Cerciorarse de que el balance que se está analizando tenga la firma de la
persona responsable del balance.
1.4.14. Análisis de las cuentas comerciales por cobrar:
Formas de documentación de las cuentas por cobrar o deudores por venta,
que proporción y cuál es el respaldo de cada una de ellas en caso de no poder
cobrarlas.
Utilización de Factoring en la cobranza o para tener liquidez inmediata
Principales deudores
Grado de concentración que existe en cada uno de ellos
Comportamiento pasado de esas cuentas
Porcentaje de incortabilidad de los últimos meses
Comparación de la cartera de clientes con otras empresas del mismo sector
Verificar la contabilización. Podrían no incluir IVA
Política de administración de las cuentas por cobrar (Beneficios de mantener
cuentas por cobrar, intereses vs sus costos por la administración
Se debe tener en cuenta que el volumen de las cuentas por cobrar depende
del porcentaje de ventas a crédito, volumen de ventas y plazo promedio de
ventas.
Políticas de crédito: se refiere a la forma de seleccionar a sus clientes, criterio
de evaluación.
Condiciones de crédito: porcentaje de ventas a crédito, plazo, formas de
reajustes de tasas de interés, formas o tipos de documentación, tipos de
descuentos por pronto pago, garantías en caso de pedir.
Políticas de cobranza: de tipo prejudicial, que trato les dan a los clientes con
retraso de 30 días o más, que tipo de acciones se toman, forma de cobranza,
vía fax, cartas, etc., cobranza judicial, tipos de procedimientos, embargos, etc.
Evolución y tendencia de las cuentas por cobrar.
1.4.15. Análisis del inventario:
Necesario realizar análisis de las partidas que componen el inventario. Materia
prima productos en proceso, productos terminados, suministros, repuestos,
materias primas en tránsito. Se deberá analizar cada uno de ellos
En caso de materia prima , esta es importada o nacional, si es local existe
problemas de abastecimiento, si es importada el tiempo de
aprovisionamiento.
Obsolescencia de los inventarios, tanto por nueva tecnología como por
desgaste
Tiempo de rotación
Tienen seguro contra incontinencias
Deberá realizarse la inspección visual de dicha mercadería.
Se debe saber la forma de contabilización de los inventarios
Correcta valorización y la moneda empleada para su contabilización
Se bebe conocer la política de administración de los inventarios: con quienes
se abastecen, que tan seguro es, preocupación por tener bajos precios y mejor
calidad; cuantos meses de ventas mantienen en materia prima, productos en
proceso y productos terminados; cual es la rotación de los inventarios fijada o
determinada; estokeamiento en épocas del año.
Áreas involucradas en la administración ya sea el Gerente de Producción,
Gerente de Marketing, Gerente. de Ventas o Finanzas, etc.
Conocer como se realiza el control de los inventarios en forma manual o
computarizada. Tecnología empleada
Naturaleza y liquidez de los inventarios.
Características y naturaleza del producto
Características del mercado
Canales de distribución
Analizar la evolución y tendencia
1.4.16. Análisis del activo fijo:
Descripción de los activos fijos uno por uno para tener conocimiento del tipo de activos fijos que dispone la empresa y si corresponde a su actividad o rubro. El análisis de esta cuenta está ligado:
Existencia de la propiedad
Forma de contabilización de los activos fijos
Valorización, revalorización, depreciación, desgaste físico y moral
Política de administración de los activos fijos
Tecnología y modernización
Antigüedad de cada uno de los activos
Mantenimiento periódico que se realizan a cada uno de ellos
Políticas utilizadas para el buen manejo del activo de la empresa
Cual la proporción de los activos productivos e improductivos que no generan
recursos a la empresa
Es necesario separar los activo pertenecientes a los socios de la empresa y de
la empresa esto para poder tener un análisis más objetivos
Su evolución y tendencia en las gestiones
1.4.17. Obligaciones Bancarias:
Análisis de la composición de las obligaciones bancarias, de largo y corto plazo.
Considerando la concentración correcta de obligaciones tanto en el pasivo
circulante como en pasivo no circulante
Análisis de las garantías que respaldan dichos créditos y cual la proporción de
garantías ofrecidas versus créditos solicitados
Análisis de las formas de amortización ya que de esto dependerá como pueda
cumplir el cliente ya que no todas las actividades tienen el mismo ciclo
operativo ( agrícola, comercio, construcción, servicios, etc.)
Administración de las obligaciones ( manual, computarizadas, si existen
reportes)
Tasas de intereses y plazos a los que está pactado cada crédito
Objetos concretos de cada uno de los pasivos bancarios solicitados y cual el
efecto que ha tenido en la empresa
Análisis del impacto en el balance de la obligación solicitada a banco. Esto es
importante porque determinará el endeudamiento de la empresa y cual su
estructura de pasivos bancarios
Quienes son los entes finananciadores; instituciones privadas, de incentivo , de
desarrollo , etc.
1.4.18. Obligaciones Comerciales:
Cuál es la política de otorgaciones de crédito por parte de los proveedores
hacia la empresa.
Formas de pago, tasas de interés, comisiones, descuentos (cual la
modalidad de pago; letras, avales.
Indicadores Financieros:
Razón de liquidez
Test ácido
Rotación de cuentas por cobrar
Rotación de inventarios
Ciclo operacional
Rotación de cuentas por pagar
Leverage: Deuda total/Ventas Total
Rentabilidad sobre activos
Rentabilidad sobre patrimonio
Ventas/Activo total
Ventas/Activo fijo
Resultado bruto/ventas
Resultado operacional/ventas
Utilidad neta/ventas.
Limitaciones De Las Razones Financieras:
Estáticos e históricos no productivos
Requieren de información complementaria para mejor interpretación
Calidad y oportunidad
Contabilidad manipulada
Métodos contables cambiantes
Pasivos no reconocidos
Aspectos Cualitativos Del Análisis :
a) Análisis del negocio
b) Historia de la empresa
c) Dueños
d) Administración
e) Calidad empresarial
f) Organización
g) Organigrama
h) Sistemas gerenciales (técnicas de administración)
i) Sistemas de información
j) Canales de comunicación(verticales /horizontales)
k) Objetivos y metas
l) Políticas y procedimientos para cumplir las metas
m) Recursos humanos
n) Abastecimiento
o) Producción
p) Análisis sectorial
q) Proyecciones.
Capitulo 2:
2.1. Marco Teórico de COBIT:
COBIT (Control Objectives Control Objectives for Information and related Technology) es el marco aceptado internacionalmente como una buena práctica para el control de la información, TI y los riesgos que conllevan. COBIT se utiliza para implementar el gobierno de IT y mejorar los controles de IT. Contiene objetivos de control, directivas de aseguramiento, medidas de desempeño y resultados, factores críticos de éxito y modelos de madurez. Para ayudar a las organizaciones a satisfacer con éxito los desafíos de los negocios actualmente, el IT Governance Institute® (ITGI) ha publicado la versión de COBIT® 4.1
COBIT es un framework de Gobierno de TI y un conjunto de herramientas de soporte para el gobierno de T.I. que les permite a los gerentes cubrir la brecha entre los requerimientos de control, los aspectos técnicos y riesgos de negocio.
COBIT hace posible el desarrollo de una política clara y las buenas prácticas para los controles de T.I. a través de las organizaciones.
COBIT enfatiza en la conformidad a regulaciones, ayuda a las organizaciones a incrementar el valor alcanzado desde la TI, permite el alineamiento y simplifica la implementación de la estructura COBIT.
La última versión, COBIT® 4.1, enfatiza el cumplimiento normativo, ayuda a las organizaciones a incrementar el valor de T.I., apoya el alineamiento con el negocio y simplifica la implantación de COBIT. Esta versión no invalida el trabajo efectuado con las versiones anteriores del COBIT, sino que puede ser empleado para mejorar el trabajo previo. Cuando importantes actividades son planeadas para iniciativas de Gobierno de T, o cuando se prevé la revisión de la estructura de control de la empresa, es recomendable empezar con la más reciente versión de COBIT.El modelo COBIT para auditoría y control de sistemas de información
La evaluación de los requerimientos del negocio, los recursos y procesos IT, son puntos bastante importantes para el buen funcionamiento de una compañía y para el aseguramiento de su supervivencia en el mercado.
El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso.
La estructura del modelo COBIT propone un marco de acción donde se evalúan los criterios de información, como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la tecnología de información, como por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación sobre los procesos involucrados en la organización.
El COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios.
“La adecuada implementación de un modelo COBIT en una organización, provee una herramienta automatizada, para evaluar de manera ágil y consistente el cumplimiento de los objetivos de control y controles detallados, que aseguran que los procesos y recursos de información y tecnología contribuyen al logro de los objetivos del negocio en un mercado cada vez más exigente, complejo y diversificado”, señaló un informe de ETEK.
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de tecnología. Vinculando tecnología informática y prácticas de control, el modelo COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores.
COBIT se aplica a los sistemas de información de toda la empresa, incluyendo los computadores personales y las redes. Está basado en la filosofía de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos.
El conjunto de lineamientos y estándares internacionales conocidos como COBIT, define un marco de referencia que clasifica los procesos de las unidades de tecnología de información de las organizaciones en cuatro “dominios” principales, a saber:
- Planificación y organización - Adquisición e implantación - Soporte y Servicios - Monitoreo
Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de información, como de la tecnología que la respalda. Estos dominios y objetivos de control facilitan que la generación y procesamiento de la información cumplan con las
características de efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.
Asimismo, se deben tomar en cuenta los recursos que proporciona la tecnología de información, tales como: datos, aplicaciones, plataformas tecnológicas, instalaciones y recurso humano.
“Cualquier tipo de empresa puede adoptar una metodología COBIT, como parte de un proceso de reingeniería en aras de reducir los índices de incertidumbre sobre vulnerabilidades y riesgos de los recursos IT y consecuentemente, sobre la posibilidad de evaluar el logro de los objetivos del negocio apalancado en procesos tecnológicos”, finalizó el informe de ETEK.
2.2. Modelamiento de Casos de Usos del Negocio (COBIT) :
Auditores de T.I
Procesar Planificación y organización de T.I
Procesar Adquisión e Implementación de T.I
<<include>>
Procesar Prestaciones y Soportes de T.I
<<include>>
Departamento Credito
Procesar Monitores y Control de T.I
<<include>>
2.3. Modelamiento de Casos de Uso de Cada Dominio:
2.3.1. Dominio: Planificación y organización:
2.3.2. Dominio: Adquisición e implementación:
Diagrama Casos de Uso DOMINIO1:Planificacion y Organizacion de las TI
D1P1.Definicion de un plan estrategico
D1P2.Definicion de la Arquitectura de...
<<include>>
D1PO3.Determinar la Direccion Teconologica
<<include>>
D1PO4.Definicion de la Organizacion de TI
<<include>>
D1PO5.Manejo de la Inversion
<<include>>
D1PO6.Definicion de la Organizacion y Relacion...
<<include>>
D1PO7.Administracion de RR.HH
<<include>>D1PO8.Cumplir con los Requerimientos Externos
<<include>>
D1PO9.Evaluacion de Riesgos TI
<<include>>
D1PO10.Administracion de Proyectos de TI
<<include>>
DTI
D1PO11.Administracion de Calidad
<<include>>
AI1. Identificacion de Soluciones Automatizadas
AI2. Adquisisicon y mantenimiento del Softw...
<<include>>
AI3. Adquisicion y Mantenimiento de...
<<include>>
AI4. Desarrollo y Manteniemto...
<<include>>
AI5.Instalacion y Aceptacion de los Sistemas
<<include>>
DTI
AI6. Administracion de los Cambios
<<include>>
2.3.3. Dominio: Prestación y soporte:
2.3.4. Dominio: Monitoreo y Control de TI:
DS1. Definicion de Niveles de Servicio
DS2. Administracion de Servicios prestados ...
<<include>>
DS3. Administracion de Desempeño y Capacidad
<<include>>
DS4. Asegurar el servicio Continuo
<<include>>
DS5. Garantizar la Seguridad de Sistemas
<<include>>
DS6. Educaion y Entrenamientos de Usuarios
<<include>>
DS7. Identificaion y Asignacion de costos
<<include>>
DS8. Apoyo y Asistencia a los Clientes de TI
<<include>>
DS9. Administracion de la Configuracion
<<include>>
DS10. Administracion de Problemas
<<include>>
DS11. Administracion de Datos
<<include>>
DS12. Administracion de las Instalaciones
<<include>>
DTI
DS13. Administracion de la Operacion
<<include>>
MC1. Monitoreo del Proceso
MC2. Evaluar lo adecuado del Control Interno
MC3. Obtencion de Aseguramie...
DTIMC4. Proveer Auditoria
Independiente<<include>> <<include>>
<<include>>
2.4. Modelamiento de Diagrama de actividades del Dominio 1 “Planificación y Organización de las TI”:2.4.1. PO1. Definición de un plan estratégico:
Procesar el Inventario de Soluciones e Infraestructura de TI
1.Evaluar la automatizacion del Negocio
2.Evaluar la funcionalidad TI
3.Evaluar la Estabil idad TI
4.Evaluar la Complej idad TI
5.Evaluar Costo TI
6.Evaluar FODA de TI
1.Evaluar la automatizacion del Negocio
2.Evaluar la funcionalidad TI
3.Evaluar la Estabil idad TI
4.Evaluar la Complej idad TI
5.Evaluar Costo TI
6.Evaluar FODA de TI
Adaptar los planes de TI a largo plazo a los cambios organizacionales
Estudio oportuno de factibil idad de TI
Definir Objetivos y Necesidades de TI en funcion de los obejitos del Negocio
1.Definir planes a Corto plazo de TI (1 año)
Elaborar diagnostico de PETI a corto plazo
Elaborar direccionamiento de PETI a corto plazo
2.Planes a Largo plazo(+de 5 años)
Elaborar diagnostico de PETI a largo plazo
Elaborar Direccionamiento a largo plazo
1.Definir planes a Corto plazo de TI (1 año)
Elaborar diagnostico de PETI a corto plazo
Elaborar direccionamiento de PETI a corto plazo
2.Planes a Largo plazo(+de 5 años)
Elaborar diagnostico de PETI a largo plazo
Elaborar Direccionamiento a largo plazo
Elaborar diagnostico de PETI a corto plazo
Elaborar direccionamiento de PETI a corto plazo
Elaborar diagnostico de PETI a largo plazo
Elaborar Direccionamiento a largo plazo
DTI
2.4.2. PO2. Definición de la Arquitectura de Información:
2.4.3. PO3. Determinación de la dirección Tecnológica:
Documentacion Consistente con las necesidades de la informacion
Procesar diccionario de datos con actualizacion permanente en funcion de las necesidaes de la informacion
Procesar la ubicacion de datos en clases de informacion
Capacidad de adaptabilidad de la infraestructura de TI en funcion de los requerimientos del negocio y planes a corto y largo plazo de TI
Adecuar la Arquitectura del sistema
Adecuar la Infraestructura tecnologica
Adecuar las Estrategias de Migracion
Adecuar la Arquitectura del sistema
Adecuar la Infraestructura tecnologica
Adecuar las Estrategias de Migracion
El monitoreo de desarrollos tecnologicos que seran tomados en consideracion durante el desarrollo y manteniento del plan infraestructura tecnologica.
desarrollo del plan de Infraestructuta Tecnologica
Mantenimeinto del plan de infraestructura tecnologica
Realizar planes de Contingencia;donde se evaluara el plan de infraestructura tecnologica.
Realizar de adquisicion;donde se reflejan las necesidades identificadas del plan de infraestructura tecnologica.
desarrollo del plan de Infraestructuta Tecnologica
Mantenimeinto del plan de infraestructura tecnologica
2.4.4. PO4. Definición de la Organización y de las Relaciones de TI:
Encargado de vigilar las funciones de servicios de informacion y sus actividades
Designar formalmente a los propietarios y custodios de los datos
supervisar que las funciones y responsabilidades sean llevadas a cabo
Segregar funciones;que permitan qu eun solo individuo resuelva un proceso critico
Designra roles y actividades;donde cada persona debe cumplirlas, conocerlas.
Describir los puestos;es decir,debe delinear la responsabilidad de cada autoridad
Evaluar los requerimientos regularmente del personal.
Definir e identificar al personla clave de TI
GerenciaComite de Direccion
2.4.5. PO5. Manejo de la Inversión:
Se debera investisgar diferentes alternativas de financiamiento
Control de los gastos reales
Justificar los costos y beneficios
Contabilidad
2.4.6. PO6. Comunicación de la dirección y relación de TI:
Tener en cuenta el codigo de etica/conducta
Tener en cuenta las directrices tecnologicas
Tener en cuenta el compromiso de la calidad
Definir una filosofia de calidad
Documentar una filosofia de calidad
Mantener uan filosofia de calidad
Definir una filosofia de calidad
Documentar una filosofia de calidad
Mantener uan filosofia de calidad
Definir las politicas de seguridad y control interno
Gerencia
2.4.7. PO7. Administración de RRHH:
2.4.8. PO8. Cumplir con los requerimientos Externos:2.4.9. PO9. Evaluación de Riesgos TI:
Reclutamiento y Promocion
Maximizar los requerimientos de calificaciones;teniendo como base la educacion,entrenamiento y expereriencias apropiadas
Capacitacion al Personal
Evaluar objetivamente el desmpeño de los empleados
definir y mantener los procedimientos para los requerimientos de uso externo
cumplir las leyes,regulaciones y contratos
Buscar asistencia legal y modificaciones
Seguridad con respecto al ambiente del trabajo
Privacidad
Propiedad intelectual
Flujo de datos externos y captografia
2.4.10. PO10. Administración de proyectos de TI:
Identificar,definir y actualizar regularmente los riesgos TI
definir los alcances,limites de los riesgo y la metodologia para los riesgos
actualizar la evaluacion de riesgos
Tener una metodoligia para la evaluacion de riesgos
Medir los riesgos Cualitativos y -cuantitativos
Definir un plan de accion contra los riesgos
Aceptacion de los riesgos dependiendo de l aidentificaion de estos.
DTI
Definir un marco de referencia general para la organizacion de Proyectos;que defien el alcance y limites del mismo
Involucrar a los usuarios en el desarrollo,implementando o modificando los proyectos
Designar responsabilidades a los miembros del personal
Aprobar las fases del proyectos por parte de los miembros
Presupuestar los costos y horas del personal
Los planes y metodologias de aseguramiento de calidad deben ser revisados
Tener planes de evaluacion de riesgos para minimizar los factores de riesgo.
Tener planes de prueba,entrenamiento y revision post implementacion
2.4.11. PO11. Administración de Calidad:
Definir y mantener regularmente un plan de calidad
Tener en cuenta las responsabilidades de aseguramiento de calidad para que determinen los tipos de aseguramiento
tener metodologias del ciclo de vida para el desarrollo del sistema
Documentar pruebas de sistemas y programas
Revision y reportes de aseguramiento de calidad
2.5. Modelamiento de Diagrama de actividades del Dominio 2 “Adquisición y Planificación de TI”:2.5.1. AI1. Identificación de Soluciones Automatizadas:
2.5.2. AI2. Adquisición y mantenimiento del Software aplicativo:
Definir los requerimientos de informacion para la aprobacion del proyecto
Realizar un estudio de factibilidad del proyecto aprobado
Realizar una arquitectura de informacion para modelar los datos del estudio de factibilidad
Controlar Relacion Costo-Beneficio
Realizar Pistas de Auditoria
Procesar los requerimientos del usuario para realizar un software facil de usar
Procesar requerimientos de archivo,entrada,proceso y salida
Modelar interfaz del Software de facil uso del usuario
Realizar pruebas funcionales antes de la ejecucion del proyecto establecido
Controlar los requerimientos funcionales y documentar manuales de uso del software para los usuarios
2.5.3. AI3. Adquisición y mantenimiento de la Infraestructura Tecnológica:
2.5.4. AI4. Desarrollo y Mantenimiento de Procedimientos:
Evaluar la tecnologia a usar sobre el actual sistema general
Realizar mantenimientos continuos al Hardwar
Realizar mantenimiento y seguridad del Software
Realizar manuales de procedimientos de usuarios y controles
Realizar manuales de operaciones y controles
Realizar materiales de entrenamiento enfocados al uso del sistema
2.5.5. AI5. Instalación y Aceptación de los Sistemas:
2.5.6. AI6. Administración de los Cambios:
Capacitar al personal de acuerdo al plan de entrenamiento
Realizar la conversion de los datos del antiguo sistemas al nuevo sistema
Realizar pruebas especificas ya sea de cambio,desempeño u operacional
Acreditacion del Sistema para la aceptacion de la Gerencia
Realizar revisiones post con el fin de ver si los resultados son los deseados
Identificar los cambios internos como de los proovedores
Realizar procedimientos de categorizacion, priorizacion y emergencia
Evaluar el impacto que producen los cambios
Autorizar los cambios al sistema
Distribuir el software autorizado con sus medidas de control
2.6. Modelamiento de Diagrama de actividades del Dominio 3 “Prestación y Soporte de TI”:
2.6.1. DS1.Definicion de niveles de Servicio:
Convenios formales
determinar disponibilidad
determinar confiabilidad
determinar desempeño
determinar capacidad de crecimiento
niveles de soporte proporcionados al usuario
plan de contingencia / recuperación
nivelmínimo aceptable de funcionalidad ...
restricciones (límites en lacantidad de trabajo)
cargos por servicio
instalaciones de impresión central (disponibilidad)
distribuciónde impresión central y procedimientos de cambio.
determinar disponibilidad
determinar confiabilidad
determinar desempeño
determinar capacidad de crecimiento
niveles de soporte proporcionados al usuario
plan de contingencia / recuperación
nivelmínimo aceptable de funcionalidad ...
restricciones (límites en lacantidad de trabajo)
cargos por servicio
instalaciones de impresión central (disponibilidad)
distribuciónde impresión central y procedimientos de cambio.
Definición de las responsabilidades de los usuarios y de la función de servicios de información
desempeño que aseguren que la manera y las responsabilidadessobre lasrelaciones que rigen el desempeño entre todas las partes involucradas
Asignando un gerente de nivel de servicio que sea responsable de monitorear y reportar los alcances de los criterios de desempeño
Provisiones para elementos sujetos a cargos en los acuerdos de niveles de servicio
Garantias de integridad
Convenios de confidencialidad
Implementacion de un programa de mejoramiento del servicio
2.6.2. DS2. Administracion de Servicio prestadospor terceros:
2.6.3. DS3. Administracion de Desempeño y Calidad:
Acuerdos de servicios con terceras partes a traves de contratos
nivel de procesamientos requeridos
nivel de seguridad
nivel de monitoreo
Nivel de requerimientos de contingencia
nivel de procesamientos requeridos
nivel de seguridad
nivel de monitoreo
Nivel de requerimientos de contingencia
Acuerdos de confidencialidad
Requerimientos legales
Monitoreo de la entrega de servicio
Requerimientos de disponibilidad y desempeño de los servicios
Monitoreo y reporte de los recursos
Utilizar herramientas de modelado
requerimientos de capacidad
requerimientos de confiabilidad de cinfiguracion
requerimientos de desempeño
requerimientos de disponibilidad
requerimientos de capacidad
requerimientos de confiabilidad de cinfiguracion
requerimientos de desempeño
requerimientos de disponibilidad
Administracion de capacidad estableciendo un proceso de planeacion
Implementacion de mecanismos de tolerancia de fallas
2.6.4. DS4. Asegurar el Servicio continuo:
2.6.5. DS5. Garantizar la Seguridad de los Sistemas:
Planificación de Severidad
Plan Documentado
Procedimientos Alternativos
Respaldo y Recuperación
Pruebas y entrenamiento sistemático y singulares
Autorizacion, autenticacion y el acceso logico junto con el uso de los recursos de TI
Perfiles e identificación de usuarios
Administración de llaves criptográficas
Manejo, reporte y seguimiento de incidentes implementado capacidad para la atención de losmismos
Prevención y detección de virus tales como Caballos de Troya
Utilizacion de Firewalls si existe una conexion con Internet u otras redes publicas en laorganizacion
2.6.6. DS6. Educacion y Entrenamiento de Usuarios:
2.6.7. DS7. Identificacion y asignacion de costos:
Curriculum de entrenamiento estableciendo y manteniendo procedimientos
Campañas de concientización
definiendo los grupos objetivos
identificar y asginar entrenadores
organizar oportunamente las sesiones de entrenamiento
definiendo los grupos objetivos
identificar y asginar entrenadores
organizar oportunamente las sesiones de entrenamiento
Técnicas de concientización
Los elementos sujetos a cargo
recursos identificables
recursos medibles
recursos predecibles para los usuarios
recursos identificables
recursos medibles
recursos predecibles para los usuarios
Procedimientos y políticas de cargo que fomenten el uso apropiado de los recursos
Tarifas definiendo e implementando procedimientos de costeo
analizados monitoriados
evaluadosasegurando al mismo tiempo la economia
analizados monitoriados
evaluadosasegurando al mismo tiempo la economia
2.6.8. DS8. Apoyo y asistencia a los clientes TI:
2.6.9. DS9. Administracion de la configuracion:
Consultas de usuarios y respuesta a problemas
Monitoreo de consultas y despacho
Análisis y reporte de tendencias adecuado de las preguntas de los clientes y su solución
tiempos de respuesta
identificacion de tendencias
tiempos de respuesta
identificacion de tendencias
Registro de activos estableciendo procedimientos
Administración de cambios en la configuración
Chequeo de software no autorizado
Controles de almacenamiento de software
2.6.10. DS10. Administracion de Problemas:
2.6.11. DS11. Administracion de Datos:
Asegurar que los problemas e incidentes sean resueltos
sistema de manejo de problemas
registre y dé seguimiento a todos losincidentes
conjunto de procedimientos de escalamiento de problemas
registre y dé seguimiento a todos losincidentes
conjunto de procedimientos de escalamiento de problemas
Este sistema de administración de problemas
realizar un seguimiento de las causas a partir de un incidente dado
realizar un seguimiento de las causas a partir de un incidente dado
Asegurar que los datos
permanezcan completos
permanezacan precisos
permanezcan validos durnte su entrada, actualizacion, salida y almacenamiento
permanezcan completos
permanezacan precisos
permanezcan validos durnte su entrada, actualizacion, salida y almacenamiento
lograr a través de una combinación efectiva de controles generales
lograr aplicación sobre lasoperaciones de TI
Este proceso deberá controlar los documentos fuentes
crear también procedimientosque validen los datos de entrada
correjir o detectar los datos erróneos
procedimientos de validación para transacciones erróneas
2.6.12. DS12. Administracion de las Instalaciones:
2.6.13. DS13. Administracion de la Operación:
Proporcionar un ambiente físico deprotecion contra peligros naturales o fallas humanas
protejer al equipo
protejer al personal de TI
protejer al equipo
protejer al personal de TI
intalacion de controles fisicos y ambientales
Asegurar las funciones importantes de soporte de TI
lograr a través de una calendarización de actividades de soporte
registrada y completada en cuanto al logro de todas las actividades
registrada y completada en cuanto al logro de todas las actividades
2.7. Modelamiento de Diagrama de actividades del Dominio 4 “Procesar Monitoreo y Control de TI”:
2.7.1. MC1. Monitoreo del Proceso:
2.7.2. MC2. Evaluar lo adecuado del Control Interno:
evaluar el desempeño de los procesos de laorganización
definir indicadores claves de desempeño
compararlos con los niveles objetivos propuestos
definir indicadores claves de desempeño
compararlos con los niveles objetivos propuestos
confeccionar informes que indiquen el avance de la organizaciónhacia los objetivos propuestos.
medir el grado de satisfacción del los clientes identificar deficiencias en los
niveles de servicio
establecer objetivos de mejoramiento
medir el grado de satisfacción del los clientes identificar deficiencias en los
niveles de servicio
establecer objetivos de mejoramiento
monitorear la efectividad de los controles internos
realizar actividades administrativas y de supervisión, comparaciones, reconciliaciones y otras acciones rutinarias
evaluar su efectividad
emitir reportes sobre ellos en forma regular
realizar actividades administrativas y de supervisión, comparaciones, reconciliaciones y otras acciones rutinarias
evaluar su efectividad
emitir reportes sobre ellos en forma regular
2.7.3. MC3. Obtención de Aseguramiento Independiente:
2.7.4. MC4. Proveer Auditora Independiente:
implementar nuevos servicios de tecnología de información que resulten críticos
trabajar con nuevos proveedores de servicios de tecnología de información
adoptar trabajos rutinarios
hacer evaluaciones periódicas sobre la efectividadde los servicios de TI
hacer evaluaciones periódicas sobre la efectividadde los proveedores de los servicios de TI
asegurarse el cumplimiento de los compromisos contractuales de los servicios de TI
asegurarse el cumplimiento de los compromisos contractuales de los proveedores de los servicios de TI
hacer evaluaciones periódicas sobre la efectividadde los servicios de TI
hacer evaluaciones periódicas sobre la efectividadde los proveedores de los servicios de TI
asegurarse el cumplimiento de los compromisos contractuales de los servicios de TI
asegurarse el cumplimiento de los compromisos contractuales de los proveedores de los servicios de TI
obtener una certificación o acreditación independiente de seguridad y controlinterno
establecer los estatutos para la función deauditoria
destacar en el documento la responsabilidad, autoridad y obligaciones de la auditoria
elaborar el documento
establecer que el auditor no esté relacionado con la sección o departamento auditado, e inclusive con la propia empresa
establecer el respeto a la ética y los estándaresprofesionales
requerir proporcionar un reporte final con todoa la información acerca de la auditoría
destacar en el documento la responsabilidad, autoridad y obligaciones de la auditoria
elaborar el documento
establecer que el auditor no esté relacionado con la sección o departamento auditado, e inclusive con la propia empresa
establecer el respeto a la ética y los estándaresprofesionales
requerir proporcionar un reporte final con todoa la información acerca de la auditoría