CONTENIDO

1. GENERALIDADES DEL ÁREA DE COBRANZAS DE BANCA MINORISTA – BCP.........2

1.1. Descripción del Área..........................................................................................2
1.2. Visión..................................................................................................................2
1.3. Misión.................................................................................................................2
1.4. Organigrama.......................................................................................................3
1.5. Servicios que brinda............................................................................................4
1.6. Descripción de la Unidad de trabajo: TI de Cobranza........................................5
1.6.1 Misión..........................................................................................................5
1.6.2 Visión..........................................................................................................5
1.6.3 Objetivos Clave...........................................................................................5
1.6.4 Acciones Claves..........................................................................................5
1.6.5 Proyectos Claves.........................................................................................6
1.6.6 Organización TI...........................................................................................6
2. PROGRAMA DE TRABAJO...........................................................................................................7
3. INFORME DE AUDITORÍA............................................................................................................8
3.1. Informe Relativo al Examen...............................................................................8
3.1.1 Motivo del Examen.....................................................................................8
3.1.2 Naturaleza y Objetivos................................................................................8
3.1.3 Alcance........................................................................................................8
3.1.4 Comunicación de Observaciones................................................................8
3.2. Informe Relativo a la Entidad examinada...........................................................8
3.2.1 Antecedentes y Base legal...........................................................................8
3.2.2 Relación de las personas comprendidas en las Observaciones...................9
3.3. Puntos de Control................................................................................................9
3.4. Puntos de Atención.............................................................................................9
3.5. Observaciones Resumidas..................................................................................9
3.6. Conclusiones.....................................................................................................10
3.7. Recomendaciones.............................................................................................10
4. HALLAZGOS..................................................................................................................................10
4.1. Hallazgo Nro.1..................................................................................................10
4.2. Hallazgo Nro.2..................................................................................................11
4.3. Hallazgo Nro.3..................................................................................................11
1. Generalidades del Área de Cobranzas de Banca Minorista – BCP.

.1. Descripción del Área

Brinda servicios a personas y pequeñas empresas con ventas anuales inferiores a

US$1.5 millones, con el objetivo de establecer relaciones rentables de largo plazo
con los clientes mediante estrategias orientadas a satisfacer las necesidades
específicas de cada segmento. Para una mejor atención ha clasificado a sus
clientes en:

Banca de Consumo: Atiende a cerca de 2.5 millones de clientes ofreciéndole

productos crediticios como préstamos hipotecarios y tarjetas de crédito, además
de productos de ahorro como fondos mutuos, empleando una estrategia de venta
cruzada de productos.

Banca Exclusiva: administra a un selecto grupo de personas naturales que son

claves para el Banco por el alto volumen de negocio activo y pasivo que generan.

Banca Pequeña empresa: El banco ofrece una serie de productos que incluyen
capital de trabajo con productos de crédito revolvente y no revolvente,
financiamiento de activos fijos y operaciones de arrendamiento financiero,
descuento de letras entre otras.

Banca de Negocios: atiende aproximadamente a 10,000 clientes que facturan

ventas anuales entre US$300 mil y US$1 millón.

.2. Visión

“Promover el éxito de nuestros clientes con soluciones financieras adecuadas

para sus necesidades, facilitar el desarrollo de nuestros colaboradores,
generar valor para nuestros accionistas y apoyar el desarrollo sostenido del
país.”

.3. Misión

“Brindar servicios a personas y pequeñas empresas así como a instituciones

sin fines de lucro una atención de calidad que satisfagan las necesidades
específicas de cada segmento estableciendo relaciones rentables a largo
plazo”
 .4. Organigrama
Gerencia de Área Cobranza Banca
Minorista
Rafael Wong Alejos

Gerencia de Gerencia Información

Gerencia de Gerencia de Gerencia Estrategias Gerencia Procesos
Negociación y y Análisis de
Cobranza Telefónica Cobranza de Campo de Cobranza de Cobranza
Recupero Cobranza
María Elena Garavito Tomás Gagliardi Shen Tay Wo Chong Carlos Villalobos Tello
Marco Tello Marcos Badell

 Gerencia de Cobranza de Campo

Gerencia de Cobranza de
Campo
Tomás Gagliardi

Subgerencia Subgerencia Subgerencia Subgerencia

Cobranza Campo Cobranza Campo Cobranza Campo Cobranza Campo
Lima Activa Lima Castigada Norte 1 Norte 2
Renso Rengifo Pedro Rouillon Verónica Aznarán Omar Ruiz

Subgerencia Subgerencia
Subgerencia
Cobranza Campo Cobranza Campo
Cobranza Campo Sur
Norte y Sur Chico Centro Oriente
Henry Salas
Luis Sánchez Luis Obando

 Gerencia Negociación y Recupero

Gerencia Negociación y
Recupero
Marco Tello

Subgerencia Subgerencia Subgerencia

Negociación Cobranza Judicial Outsourcing
Romy Vásquez Marco Tello José Luis Galarza

 Gerencia de Procesos de Cobranza

Gerencia Procesos de
Cobranza
Carlos Villalobos

Subgerencia
Subgerencia Mejora Subgerencia Soporte
Tecnología e Subgerencia Control
de Procesos de Operativo y
Información de Operativo
Cobranza Administrativo Cobranza Julio García
Karina Campoblanco Antonio Nastasi Liliana Alvarez
Fuente: BCP
.5. Servicios que brinda
Entre los servicios que brinda los listamos en el siguiente cuadro.

SERVICIOS DESCRIPCIÓN

Optimización de labor de discado de llamadas y gestión (Integración

voz y datos). Mayor productividad en los contactos con clientes.
Administración de grandes volúmenes de registros, por diferentes
Call Center.
criterios, minimizando costos.

A través de nuestro aplicativo administrador de Cobranza, se genera

Envío automatizado y envía correspondencia individual y masiva personalizada de
y  masivo de acuerdo al perfil del cliente.
notificaciones.

Gestiones y personal de campo que se administran a través de zonas

de cobranza y cartera asignada.
Profesionales de Cobranzas calificados que ejecutan estrategias y
Cobranza de campo
aplican distintas técnicas para lograr la mayor efectividad de
y pre judicial.
recupero de la cartera.

Este servicio permitirá optimizar el Negocio Base de la empresa,

logrando incrementar sus ingresos, haciéndola más rentable. Nos
Administración de encargamos del manejo de sus cuentas por cobrar antes de caer en
cartera. estado de morosidad, hasta un posible proceso judicial.

Tenemos profesionales en cobranza, altamente calificados y

capacitados en negociación efectiva que permite recuperar las
Negociación y deudas contraídas con nuestro cliente, cuidando la imagen de éste,
atención al cliente. brindando una óptima calidad de servicio.

Completo Staff de abogados, por lo cual se garantiza un estricto

seguimiento a los procesos judiciales y administrativos, permitiendo
ejercer un adecuado control de los casos asignados, optimizando el
tiempo de recupero de las obligaciones. Especialistas en:
 Cobranza Judicial.
- Recuperación Judicial de bienes y Saneamiento administrativo de
los mismos.

Fuente: BCP

.6. Descripción de la Unidad de trabajo: TI de Cobranza

 1.1.1 Misión

“Desarrollar soluciones tecnológicas integrales que permitan mayor eficiencia,

agilidad, productividad y manteniendo la estabilidad operativa”

1.1.2 Visión

“Ser reconocidos como socios tecnológicos del negocio de Cobranza.”

1.1.3 Objetivos Clave

 Centralizar y administrar todos los requerimientos tecnológicos del Área de

Cobranzas.

 Continuar desarrollando soluciones tecnológicas integrales de manera ágil y

eficiente.

 Asegurar estabilidad operativa y continuidad de servicios de los aplicativos

críticos.

 Definir e implementar el Modelo de datos de Cobranza asegurando calidad y

consistencia en la información.

1.1.4 Acciones Claves

 Controlar la ejecución de iniciativas y proyectos asignados en base al tiempo,

costos y presupuesto asignados.

 Levantar, documentar y formalizar los procedimientos y cambios relacionados

a los aplicativos core que administran basados en los estándares ya definidos
en Sistemas.

 Gestionar el portafolio de aplicaciones, identificando oportunidades de

reducción de aplicaciones (bajo uso, poco valor, etc).

 Aplicar metodologías de desarrollo rápido pero asegurando la buena calidad

de los entregables.

 Actualizar las aplicaciones y servidores con los estándares definidos por el

Banco.

 Revisar, integrar y optimizar el modelo de datos de Cobranzas con relación al

modelo de datos del banco.

 Definir y aplicar mecanismos y procedimientos periódicos de administración y

continuidad operativa en los aplicativos a cargo.

1.1.5 Proyectos Claves

  Definir e implementar la infraestructura necesaria que soporte el crecimiento
y la integración con empresas de Outsourcing.

 Definir una solución robusta y flexible alineada a las nuevas necesidades de

Negociación.

 Implementar, integrar y robustecer el modelo de información de cobranzas.

 Fortalecer los canales alternos de Cobranzas.

 Implementar soluciones tecnológicas que automaticen y faciliten el trabajo de

cobranza judicial.

 Definir y aplicar mecanismos y procedimientos periódicos que aseguren la

estabilidad y continuidad operativa.

1.1.6 Organización TI

Fuente: BCP

2. Programa de Trabajo.
PLAN DE AUDITORÍA

Evaluar la instalación y niveles de seguridad de los sistemas de información del área de TI de

Objetivo General Cobranzas del Banco de Crédito del Perú BCP basado en el marco de trabajo COBIT.
  Instalar y Acreditar Soluciones y Cambios –Plan de Implantación.
Objetivos Específicos  Garantizar la Seguridad de los Sistemas-Administración de cuentas de usuario.

Norma de Referencia COBIT framework.

Fecha de Auditoría 02 de Mayo del 2012
Fecha de entrega de 09 de Mayo del 2012
Informe de Auditoría
PLAN DE TRABAJO
Objetivos Específicos Actividades RR HH Tiempo (días)
A1: Levantamiento de información sobre
los actuales planes de implantación de los Jorge Rojas(JR) 1
nuevos sistemas.
A2: Verificación de la existencia de
Richard
procesos formales en relación a los planes 2
Instalar y Acreditar Chavez(RC)
de implantación para el propósito deseado.
Soluciones y Cambios –
A3: Verificación de la conformidad a los
Plan de Implantación
requerimientos de los usuarios en la
Jonathan Pozo(JP) 2
instalación y acreditación de cambios y
soluciones nuevas.
A4: Análisis de la información. JR, RC y JP 1
A5: Levantamiento de información sobre
los procedimientos de solicitud,
establecimiento, emisión, suspensión, Jonathan Pozo(JP) 1
modificación y cierre de cuentas y
privilegios.
A6: Verificación de la buena gestión de
Garantizar la Seguridad Jorge Rojas(JR) 2
accesos por parte del área de TI.
de los Sistemas-
A7: Verificación de las cuentas y privilegios
Administración de Richard
asociados a los usuarios y su correcto 2
cuentas de usuario Chavez(RC)
funcionamiento.

A8: Análisis de la información. JR, RC y JP 1

A9: Elaboración del informe. JR, RC y JP 1

10 Actividades 7*
Fuente: Elaboración propia.

*El total de días es 7 y es consecuencia de trabajar actividades en paralelo, siendo las

de levantamiento de información, verificación y análisis de información (A1-A8), luego
terminamos con la elaboración del informe (A9).

3. Informe de Auditoría.
.1. Informe Relativo al Examen.

3.1.1 Motivo del Examen.

El motivo que propicia la realización de la auditoria es detectar cual anomalía en

los sistemas de información respecto a su funcionalidad, seguridad y si cumple con
 el objetivo para las que fueron desarrolladas según el giro del negocio y el soporte
que den al mismo.
Permitiendo así poder brindar las recomendaciones oportunas y para su posterior
mejora.

3.1.2 Naturaleza y Objetivos.

 Naturaleza: Auditoria del Tipo Especial a sistemas de información (SI).

 Objetivos: Emitir recomendaciones acerca de la conformidad de los SI con los

motivos descritos en la presente auditoria, los principios de auditoría
generalmente aceptados y las disposiciones legales vigentes.

3.1.3 Alcance.

El alcance abarca toda la funcionalidad de los Sistemas de información en cuestión

del correcto funcionamiento planificado y el entorno en el cual es ejecutado y
utilizada por los usuarios (gestión de accesos).

Duración de la auditoria: 7 días donde se evaluará el sistema desarrollado, el

acceso y seguridad a los datos.

3.1.4 Comunicación de Observaciones.

Los resúmenes de observaciones van dirigidos al área de Tecnología de Información

del Área de Cobranzas de Banca Minorista del BCP encargada del mantenimiento del
módulo.

.2. Informe Relativo a la Entidad examinada.

.2.1 Antecedentes y Base legal.

El área de TI de la Banca Minorista de BCP es auditada anualmente por la División de

Auditoría Interna de la misma organización, esto tal cual es programado en el Plan
Anual de Auditoría.

.2.2 Relación de las personas comprendidas en las Observaciones

 Renzo Herrera Sechin (Subgerente Adjunto de Seguridad de la

Información)
 Enrique Pérez (Subgerente Adjunto de desarrollo de aplicación)
 Liliana Álvarez (Subgerente de Tecnología e información de
cobranzas)
 .3. Puntos de Control

La auditoria se llevara a cabo realizando la evaluación en los siguientes puntos de

control:
 Sistema de Información principal
 Aplicaciones in House
 Base de datos.
 Entornos de prueba de aplicaciones.

.4. Puntos de Atención

La auditoria a plantear se centra en los siguientes puntos de atención que serán

evaluados:
 Plan estratégico de TI
 Plan de Respaldo o contingencia de SI
 Plan de Gestión de accesos a Usuarios
 Políticas de seguridad informática

.5. Observaciones Resumidas

El trabajo de auditoría está dirigido a evaluar los niveles de seguridad de los sistemas de
información del área de TI que se utiliza en la Banca Minorista – BCP.

En la que observamos lo siguiente:

 Observación resumida 1:
o Al realizar la auditoria a los sistemas de información descritos
anteriormente, se detectó que no cuentan con un control de accesos de
usuarios, es decir, que cualquier usuario puede entrar a la pc de otro
usuario tan solo con la clave y contraseña del primero, pudiendo ser
susceptible de alterar la información.

 Observación resumida 2:
o No existe un plan de contingencia en caso de perdida de la data,
incidentes, retrasos en la comunicación, etc; lo que hace que su riesgo
sea cada vez mayor, debido a la constante y creciente información
procesada

 Observación resumida 3:
 o Se detectó que no cuentan con un ambiente para pruebas de los
aplicativos propios del banco, teniendo que ser puestas a prueba en
producción, lo que hace que el tiempo y costo, en caso se tenga algún
fallo , sea mayor a lo que pudo ser si lo hubiésemos probado.

.6. Conclusiones

 El área de TI del banco necesita un área de pruebas para manejar de mejor

manera los posibles fallos de los aplicativos In House; lo cual hace
preponderante tener este ambiente para una mejor gestión de nuestros
aplicativos y de su correcto funcionamiento
 Al no tener un plan de contingencia para la seguridad de la información, se
hace cada vez mas susceptible de que la data pueda ser alterada o
procesada de manera indebida, lo que ocasionaría retrasos en los procesos
e influiría de manera negativa a nuestros costos.

.7. Recomendaciones

 Restructurar, en caso sea necesario, el plan de infraestructura, de manera

que incluya un plan de contingencia que pueda prevenir posibles incidentes o
mitigar el riesgo que ellos puedan producir.
 Implementar un ambiente para pruebas, con los equipos necesarios, tanto
hardware como software, para testear nuestros aplicativos y así poder corregir
fallos en el mismo, lo cual ahorraría tiempo y costos a la empresa.

4. Hallazgos

.1. Hallazgo Nro.1

HALLAZGO N° 1
1. Sumilla
No se cuenta en el plan de implantación con una relevancia en la contingencia de incidentes.
 El sistema de información principal no cuenta con una aplicación de respaldo o plan de contingencia, y
2. Condición
debido a que últimamente ha sufrido numerosos incidentes, desde llegada tardía de la data así como
caídas debido a problemas de host, es de gran importancia poseer un nuevo plan de Contingencia.

3. Criterio Según COBIT 4.1 en el dominio 3, Adquirir e Implantar, se requiere tener planes de respaldo que
verifiquen que el negocio no sea interrumpido debido a problemas de Sistemas.

Falta de definición de una estructura de contingencia; posición de escenarios ante cualquier tipo de
4. Causa
situación todo ello debidamente estructurado en el plan de implantación, de tal manera que negocio no
se vea afectado, y menos se sienta incomodidades por parte del usuario.

Existente inestabilidad de la operativa, debido a la deficiencia de los planes de contingencia respecto al

5. Efecto
funcionamiento del sistema de información que de por si es tercerizado y cuya solución de un problema
demora un tiempo de perdida muy amplia.

Reestructuración del proceso de desarrollo del plan de implantación, para prever situaciones o
6. Recomendación
inconvenientes, y que sean medibles a través del tiempo de tal manera que se perciba una estructura
más robusta.
Fuente: Elaboración propia.

.2. Hallazgo Nro.2

HALLAZGO N°2
1. Sumilla No cuenta con ambientes de prueba para las aplicaciones In House siendo estas probadas en
Producción.

No se ha construido un ambiente de prueba debido a la falta de alineación de políticas interna de TI

2. Condición
Cobranza con el Área de Sistemas, esto genera una falta de especificación en los requerimientos de
información en los datos de pruebas y alta disponibilidad que deberían de poseer ellos.

Según COBIT 4.1 en el dominio 1, Planear y Organizar, es necesario definir y establecer un entorno
3. Criterio
seguro de pruebas representativo del entorno de operaciones planeado relativo a seguridad, controles
internos, practicas operativos, calidad de los datos y requerimientos de privacidad, y cargas de trabajo.

La falta de alineamientos para la alineación de requerimientos en infraestructura para ambientes de

4. Causa
pruebas; teniendo grandes prioridades en la cartera de proyectos de mejoras de aplicaciones y
sistemas.
5. Efecto Riesgos dentro de los activos de información; orientado el negocio hacia márgenes de errores los
cuales tienen un alto potencial de ser subsanados.

Diseñar un proyecto para ambientes de prueba, empezando por los Sistemas Web, que pueden generar
6. Recomendación
un ambiente de prueba en la nube; generando así pequeños escenarios de casuística; y finalmente
generar políticas y acuerdos para diseño de una política de infraestructura de pruebas.

Fuente: Elaboración propia.

.3. Hallazgo Nro.3

HALLAZGO N°3
1. Sumilla Se debe de verificar la generación, permanencia y caducidad de los roles y accesos de los usuarios de
tal manera que se garantice la realización de la operativa de las Cobranzas.

Existen errores dentro de los procesos de generación, debido a que no son correctamente brindados
habiendo numerosas quejas de parte de los usuarios.
2. Condición En la revisión de la perpetuidad de los accesos se viene a dar errores quitando roles y accesos a
usuarios principales o expertos que tienen un grado de criticidad en la operativa del negocio.
No existe un proceso definido de caducidad de usuarios por lo cual existen algunos que ya no
pertenecen a la organización y sus permisos siguen vigentes.

Según COBIT 4.1 en el dominio 1, Planear y Organizar, es necesario garantizar que la solicitud,
establecimiento, emisión, suspensión, modificación y cierre de cuentas de usuario y de los privilegios
relacionados, sean tomados en cuenta por un conjunto de procedimientos de la gerencia de cuentas de
usuario. Debe incluirse un procedimiento de aprobación que describa al responsable de los datos o del
3. Criterio
sistema otorgando los privilegios de acceso. Estos procedimientos deben aplicarse a todos los usuarios,
incluyendo administradores (usuarios privilegiados), usuarios externos e internos, para casos normales
y de emergencia. Los derechos y obligaciones relativos al acceso a los sistemas e información de la
empresa deben acordarse contractualmente para todos los tipos de usuarios. Realizar revisiones
regulares de la gestión de todas las cuentas y los privilegios asociados.

No existen procesos definidos en coordinación con la gerencia los cuales mantengan un grado de
4. Causa
agilidad y flexibilidad debido a la necesidades de los usuarios para poder administrar sus roles y
permisos.

Problemas asociados a los usuarios, e interrupción de procesos operativos y de gestión de Cobranzas;

5. Efecto
teniendo gran relevancia la información para poder realizar los cobros. Esto debe de ser verificable
dentro de coordinación de la gerencia de Procesos y la Gerencia de Tecnologías de la Información.

Se recomienda desarrollo de matrices de roles, responsabilidades y privilegios los cuales sean

administrados mediante puestos y los cuáles sean administrados en la gerencia de Procesos, y
6. Recomendación
gestionados mediante una aplicación los cuales centralice una base de Datos de Seguridad dentro del
Área de Cobranzas; aplicando así principios de generación, verificación, cambios y caducidad de los
accesos y roles
Fuente: Elaboración propia.