280 likes | 467 Views
COMISION NACIONAL DE BANCOS. AUDITORIA DE SISTEMAS. Tendencias Mundiales sobre la Auditoria de Sistemas -- Basilea II. Otros Riesgos de envergadura se están desarrollando a parte de los riesgos de crédito, mercado, pais, reputación, estrategico, tasa de Interes etc. :.
E N D
COMISION NACIONAL DE BANCOS AUDITORIA DE SISTEMAS
Tendencias Mundiales sobre la Auditoria de Sistemas -- Basilea II Otros Riesgos de envergadura se están desarrollando a parte de los riesgos de crédito, mercado, pais, reputación, estrategico, tasa de Interes etc. : Uso intensivo en tecnología más sofisticada la cual posee el potencial de transformar el riesgo de error de los procesos manuales en riesgos de fallas de sistemas • Crecimiento del comercio electrónico : • Fraude Interno • Fraude externo • Problemas en la seguridad de los sistemas La desregulación y globalización de servicios financieros Las adquisiciones a gran escala, las fusiones y consolidaciones prueban la viabilidad de nuevos sistemas integrados Entidades financieras actuando como proveedor de un gran numero de servicios, crea la necesidad de un continuo apoyo a los controles internos, y sistemas de seguridad y de respaldo. El uso creciente de outsourcing o tercerización Riesgo Operacional El riesgo de pérdida que resulta de procesos internos inadecuados o fallas en ellos por personas y sistemas o por eventos externos
ROL DEL DIRECTORIO Y DE LA ALTA GERENCIA --- RIESGO OPERACIONAL --- • Entenderlo como una categoría de riesgo distinta que debe ser administrada • Aprobar y revisar periódicamente el esquema de gestión • El esquema debe proporcionar una definición a nivel corporativo • Deben asegurar que el esquema de la entidad financiera esté sujeto a una auditoria efectiva e integral • La Alta Gerencia debe tener la responsabilidad de implementar la estrategia aprobada por el consejo de administración • La Alta Dirección debe también tener responsabilidad en el desarrollo de políticas, procesos y procedimientos para la gestión en todas las actividades, productos y sistemas de la entidad financiera • Involucrar a los funcionarios para la formación de un rol staff (Comité de Riesgo) de administración de riesgo para identificar, medir, controlar, monitorear y valorar los diversos riesgos asumidos en sus operaciones
ROL DEL COMITÉ DE RIESGO--- RIESGO OPERACIONAL --- • Supervisar el desempeño y el cumplimiento de la administración del riesgo • Aprobar la metodología que administrara el riesgo • Revisar la metodología cuanto menos 2 veces al año • Aprobar las estrategias de comunicación y difundirla en toda la organización • Recomendar a la junta directiva la modificación de los límites de exposición de riesgo • Conocer y evaluar los resultados obtenidos en la cuantificación de las exposiciones de Riesgo
ROL DE LA AUDITORIA INTERNA--- RIESGO OPERACIONAL --- • No debe ser directamente responsable de la gestión de los riesgos operativos • Evaluar la políticas emanadas por el directorio • Evaluar los procedimientos establecidos para la administración del riesgo • Incluir en el plan el rol de la auditoria como actividades permanentes
ROL DEL SUPERVISOR--- RIESGO OPERACIONAL --- • Evaluar la participación del directorio, la estructura gerencial de la institución, políticas, procedimientos, practicas • Asegurarse que existen mecanismos incorporados para la identificación, evaluación, seguimiento, y control/mitigación de todos los riesgos • Evaluar el marco de control interno, seguridad de información, calidad de la información, de los productos y servicios entregados a los clientes, plan de continuidad del negocio
Presentación Estructural de A.S. Jefe Division Auditoria de Sistemas Auditor de Sistemas Auditor de Sistemas Auditor de Sistemas Auditor de Sistemas (8) (1) (2) (7)
METODOLOGIA UTILIZADA La metodología utilizada se basa en un análisis profundo de riesgo tecnológico y operacional que aplica a cada centro de cómputo un examen de 189 actividades agrupados por áreas críticas para luego presentar un informe de deficiencias, riesgos potenciales y la recomendación a cada riesgo. Dentro de estas actividades se aplica incondicionalmente un análisis de datos de los módulos de préstamos, depósitos, inversiones, lavado de activos y análisis de central de riesgos, cuadres de auxiliares vrs contabilidad soportado por la revision de sús procedimientos y procesos documentados y certificados .
Cuadre de Archivos Físicos y Saldos Contable 5 Generar Archivo Estándar 1 Genera Cuadros para auditoria Financiera 1 Análisis de Datos (Inconsistencias) 18 Presentaciones 4 Revisar Proceso de Préstamos 19 Revisar Proceso de Tarjeta de Créditos 19 Revisar Proceso de Depósitos Ahorro y Cheques 22 Revisar Proceso de Depósitos a Termino 14 Gestión de Informática 11 Desarrollo 11 Operación 14 Administración del Centro de Computo 12 Seguridad Física 9 Seguridad Lógica 6 Controles de Auditoria del Sistema 8 Seguridad en Comunicaciones 10 Derechos de Autor 2 Auditoria Interna 3 189 Resumen de la Metodología de Auditoria de Sistemas Basilea II
Planeación de Auditoria de Sistemas La planeación de las auditorias de sistemas están condicionadas por la programación que las Superintendencias estimen conveniente, ingresando a la institución supervisada una semana antes que los auditores financieros para la elaboración de cuadros.
Archivo Estandar Requerimientos Institución Cuadre Proceso Generar el Archivo Estandar Reportes de Datos Calidad : Acceso, Cuadre, Generación de Informes para Auditores Financieros Auditores Financieros SYBASE DB2 AS400 B ORACLE
B SEGURIDAD FISICA BASE DE DATOS Riesgo Tecnológico y Gestión Informática GESTION Y PERSONAL SEGURIDAD COMUNICACIONES ESTRUCTURA INTERNA C REDES HACKING
C Revisión de los procesos Documentados y codificación de: Apertura de cuentas Ingreso y validación de clientes Calculo de intereses normales, Intereses y días en mora,Etc... Es imprescindible para el buen funcionamiento de los procesos del negocio abordar el tema de productos y servicios. Manual de procedimientos Institucional Procesos. D
D Tipo A: Validación de datos interna Identidades Archivo Estandar DB, Institución Tipo C: Cruce de los datos de la Institución y la Central de Riesgos Calidad: Analisis datos de Central de Riesgos. Archivo Estandar Archivos Reportados A la CNBS El resultado un informe Reflejando el numero de inconsistencias en los datos de la Institución y la reportada a la CNBS En esta etapa se efectúa un análisis de los datos de Créditos reportados por la institución supervisada a la CNBS y los datos almacenados en el Banco, aplicando dos tipos de validaciones: (A y C) E
E Tipo C: Cruce de los datos de la Institución y la Central de Riesgos DB de Transacciones de la Institución Archivo Estandar Archivos Reportados A la CNBS Calidad: Analisis datos Lavado de Activos. El resultado un informe Reflejando el numero de inconsistencias en los datos de la Insitutución y la reportada a la CNBS En esta etapa se efectua un analisis de los datos de Creditos reportados por la institución supervisada a la CNBS y los datos almacenados en el Banco, aplicando dos tipos de validaciones: (A y C) F
Ir a papeles de trabajo, trabajo de campo Copiar Informe de la PC En la Base de Datos De la CNBS Cargar ultimo informe de Auditoria a la PC
Puntos de revisión Fechas: Anterior y Actual de la Auditoria Ingreso de texto de la deficiencia Estado de la revisión
INFORMES DE AUDITORIA DE SISTEMAS F Informe de deficiencias Resumen Ejecutivo Septima Etapa: Preparar Informes. Informe de Inconsistencias de Cuadres, datos etc. Análisis de datos de Lavado de Activos Informe de análisis de datos de Central de Riesgos
Herramienta para Auditoria • La División de Auditoria de Sistemas cuenta con una herramienta que servirá para administrar el proceso de auditoria, generar el reporte final, establecer pesos y calificaciones a cada deficiencia encontrada, actualmente esta herramienta se encuentra en su etapa inicial. • Esta herramienta fue desarrollada por personal de la CNBS y ajustada a las necesidades de la Auditoria de Sistemas • Su segunda etapa comprende el establecimiento de pesos, calificaciones, etc y almacenamiento de las deficiencias encontradas en una Base de Datos Centralizada.
Jefe. División Secretaria Supervisor y Soporte para Riesgo Tecnológico (1) Supervisor Riesgo Operativo y Seguimiento de Auditorias de Sistemas (2) A.S. 2 A.S. 2 A.S. 2 A.S. 2 A.S. 2 A.S. 2 A.S. 1 A.S. 1 A.S. 1 A.S. 1 A.S. 1 A.S. 1 Otras Instituciones Bancos Seguros PROYECCION ESTRUCTURAL A FUTURO
PROYECCION A FUTURO METODOLOGIA • Incluir un sistema de medición de las auditorias dando peso a cada deficiencia o punto de revisión • Emitir Circular Riesgo Operacional y Tecnologico • Establecer estandares de aceptabilidad a cada punto de revisión (BALANCE SCORE CARD) • Crear una base de datos unificada de las deficiencias y riesgos encontrados en cada auditorias para dar seguimiento y contar con historia de cada Institución.