Documente Academic
Documente Profesional
Documente Cultură
Banca Pequeña empresa: El banco ofrece una serie de productos que incluyen
capital de trabajo con productos de crédito revolvente y no revolvente,
financiamiento de activos fijos y operaciones de arrendamiento financiero,
descuento de letras entre otras.
.2. Visión
.3. Misión
Gerencia de Cobranza de
Campo
Tomás Gagliardi
Subgerencia Subgerencia
Subgerencia
Cobranza Campo Cobranza Campo
Cobranza Campo Sur
Norte y Sur Chico Centro Oriente
Henry Salas
Luis Sánchez Luis Obando
Gerencia Negociación y
Recupero
Marco Tello
Gerencia Procesos de
Cobranza
Carlos Villalobos
Subgerencia
Subgerencia Mejora Subgerencia Soporte
Tecnología e Subgerencia Control
de Procesos de Operativo y
Información de Operativo
Cobranza Administrativo Cobranza Julio García
Karina Campoblanco Antonio Nastasi Liliana Alvarez
Fuente: BCP
.5. Servicios que brinda
Entre los servicios que brinda los listamos en el siguiente cuadro.
SERVICIOS DESCRIPCIÓN
Fuente: BCP
1.1.2 Visión
1.1.6 Organización TI
Fuente: BCP
2. Programa de Trabajo.
PLAN DE AUDITORÍA
10 Actividades 7*
Fuente: Elaboración propia.
3. Informe de Auditoría.
.1. Informe Relativo al Examen.
3.1.3 Alcance.
El trabajo de auditoría está dirigido a evaluar los niveles de seguridad de los sistemas de
información del área de TI que se utiliza en la Banca Minorista – BCP.
Observación resumida 1:
o Al realizar la auditoria a los sistemas de información descritos
anteriormente, se detectó que no cuentan con un control de accesos de
usuarios, es decir, que cualquier usuario puede entrar a la pc de otro
usuario tan solo con la clave y contraseña del primero, pudiendo ser
susceptible de alterar la información.
Observación resumida 2:
o No existe un plan de contingencia en caso de perdida de la data,
incidentes, retrasos en la comunicación, etc; lo que hace que su riesgo
sea cada vez mayor, debido a la constante y creciente información
procesada
Observación resumida 3:
o Se detectó que no cuentan con un ambiente para pruebas de los
aplicativos propios del banco, teniendo que ser puestas a prueba en
producción, lo que hace que el tiempo y costo, en caso se tenga algún
fallo , sea mayor a lo que pudo ser si lo hubiésemos probado.
.6. Conclusiones
.7. Recomendaciones
4. Hallazgos
HALLAZGO N° 1
1. Sumilla
No se cuenta en el plan de implantación con una relevancia en la contingencia de incidentes.
El sistema de información principal no cuenta con una aplicación de respaldo o plan de contingencia, y
2. Condición
debido a que últimamente ha sufrido numerosos incidentes, desde llegada tardía de la data así como
caídas debido a problemas de host, es de gran importancia poseer un nuevo plan de Contingencia.
3. Criterio Según COBIT 4.1 en el dominio 3, Adquirir e Implantar, se requiere tener planes de respaldo que
verifiquen que el negocio no sea interrumpido debido a problemas de Sistemas.
Falta de definición de una estructura de contingencia; posición de escenarios ante cualquier tipo de
4. Causa
situación todo ello debidamente estructurado en el plan de implantación, de tal manera que negocio no
se vea afectado, y menos se sienta incomodidades por parte del usuario.
Reestructuración del proceso de desarrollo del plan de implantación, para prever situaciones o
6. Recomendación
inconvenientes, y que sean medibles a través del tiempo de tal manera que se perciba una estructura
más robusta.
Fuente: Elaboración propia.
HALLAZGO N°2
1. Sumilla No cuenta con ambientes de prueba para las aplicaciones In House siendo estas probadas en
Producción.
Según COBIT 4.1 en el dominio 1, Planear y Organizar, es necesario definir y establecer un entorno
3. Criterio
seguro de pruebas representativo del entorno de operaciones planeado relativo a seguridad, controles
internos, practicas operativos, calidad de los datos y requerimientos de privacidad, y cargas de trabajo.
Diseñar un proyecto para ambientes de prueba, empezando por los Sistemas Web, que pueden generar
6. Recomendación
un ambiente de prueba en la nube; generando así pequeños escenarios de casuística; y finalmente
generar políticas y acuerdos para diseño de una política de infraestructura de pruebas.
HALLAZGO N°3
1. Sumilla Se debe de verificar la generación, permanencia y caducidad de los roles y accesos de los usuarios de
tal manera que se garantice la realización de la operativa de las Cobranzas.
Existen errores dentro de los procesos de generación, debido a que no son correctamente brindados
habiendo numerosas quejas de parte de los usuarios.
2. Condición En la revisión de la perpetuidad de los accesos se viene a dar errores quitando roles y accesos a
usuarios principales o expertos que tienen un grado de criticidad en la operativa del negocio.
No existe un proceso definido de caducidad de usuarios por lo cual existen algunos que ya no
pertenecen a la organización y sus permisos siguen vigentes.
Según COBIT 4.1 en el dominio 1, Planear y Organizar, es necesario garantizar que la solicitud,
establecimiento, emisión, suspensión, modificación y cierre de cuentas de usuario y de los privilegios
relacionados, sean tomados en cuenta por un conjunto de procedimientos de la gerencia de cuentas de
usuario. Debe incluirse un procedimiento de aprobación que describa al responsable de los datos o del
3. Criterio
sistema otorgando los privilegios de acceso. Estos procedimientos deben aplicarse a todos los usuarios,
incluyendo administradores (usuarios privilegiados), usuarios externos e internos, para casos normales
y de emergencia. Los derechos y obligaciones relativos al acceso a los sistemas e información de la
empresa deben acordarse contractualmente para todos los tipos de usuarios. Realizar revisiones
regulares de la gestión de todas las cuentas y los privilegios asociados.
No existen procesos definidos en coordinación con la gerencia los cuales mantengan un grado de
4. Causa
agilidad y flexibilidad debido a la necesidades de los usuarios para poder administrar sus roles y
permisos.