Caso de xito Cobit 5.

Una
experiencia prctica.
Pablo Caneo G.

ISACA - CHILE
Datos del Relator
Pablo Caneo Gutirrez
Oficial de Seguridad (CISO) de Grupo Ultramar
MBA en Gestin de Negocios
Posttulo Docencia Universitaria
Diplomado en RSE (Responsabilidad Social Empresarial)
Diplomado en Seguridad de la Informacin
Posee las certificaciones CISA, CGEIT, CRISC, COBIT 5, ITIL
Presidente Isaca Captulo Santiago de Chile
Docente en Postgrados Universidad de Chile y Universidad Adolfo
Ibaez
Antecedentes
Empresa es una Cooperativa de Ahorro y Crdito, fundada en 1963
La Cooperativa tiene como objetivo nico y exclusivo brindar
servicios de Intermediacin financiera en beneficio de sus socios,
para mejorar sus condiciones de vida.
La Cooperativa hoy no solo depende directamente del Ministerio de
Economa, Fomento y Reconstruccin, a travs del Departamento
de Cooperativas de dicho Ministerio sino que tambin producto de
su posicin y estructura de financiamiento y su capacidad de
manejar activos que no son propios, est siendo regulada y
controlada tambin por la Superintendencia de Bancos e
Instituciones Financieras (SBIF).
Posee una cantidad de 7.000 socios y 52 colaboradores
Su capital es de USD 28 millones
Es una de las 7 principales cooperativas del pas

ISACA - CHILE
Objetivos
Uno de los compromisos y necesidad de la Cooperativa, adems de manejar sus
principios de liquidez, operacin, atencin a clientes, entre otros, se encuentra la
necesidad de poder realizar una adecuada Gestin de Riesgos, sobre sus
operaciones, cumplimiento, control interno, tecnologa y mejora continua en sus
servicios y atencin a clientes.
La Gestin de Riesgos se basa en un proceso estructurado que comprende un
conjunto de polticas, lineamientos, procesos y procedimientos, a travs de las
cuales se pueden identificar, medir, controlar/mitigar y monitorear los diversos
riesgos a la que una Empresa puede estar expuesta.

ISACA - CHILE
Metodologa de Trabajo
1. Identificacin Proceso
2. Flujograma del Proceso
3. Matriz RACI
4. Seleccin Escenarios de Riesgos
1. Escenario 6 Informacin
2. Escenario 12 Cumplimiento Legal
5. Revisin de Cumplimiento segn escenarios
6. Recomendaciones
7. Riesgos / Escenarios
8. Controles crticos asociados para mitigar riesgos
9. Matriz de riesgos y efectos de mitigacin

ISACA - CHILE
Identificacin Proceso
Proceso Clave Retiro de capital.
Subproceso Procedimiento de giro de Capital.

Este procedimiento forma parte del proceso de operaciones de capital.

Introduccin
La responsabilidad por su ejecucin y validacin corresponde a las
reas Comercial, Finanzas y Gerencia.

Este procedimiento ser aplicable a todas las operaciones de giro de

Alcance capital de la Cooperativa. Las indicaciones del procedimiento deben
ser aplicadas por el rea comercial y controladas por Finanzas
(departamento de Tesorera y Contabilidad).
Evaluar las solicitudes de giro de capital en base a las condiciones
Objetivos establecidas para tal efecto y realizar las operaciones de manera
segura y exenta de errores.

1. Ingreso de requerimiento.
Actividades descritas en 2. Evaluacin de Requerimiento.
el 3. Reconsideracin de Requerimiento.
Procedimiento. 4. Autorizacin de requerimientos pendientes.
5. Pago de requerimientos.
6. Control de estados de requerimientos.

Evaluar las solicitudes de giro de capital en base a las condiciones

Objetivos establecidas para tal efecto y realizar las operaciones de manera
segura y exenta de errores.
Conciliaciones bancarias.
Procesos Relacionados
Cierre diario de operaciones.
Mediciones del Proceso
Revisin de Tesorera y Contable (diaria)

ISACA - CHILE
Flujograma

ISACA - CHILE
Matriz RACI

ISACA - CHILE
Escenarios de Riesgos
Se procede a seleccin de Escenarios de Riesgos ms adecuados
(de los 20 que propone COBIT), como recomendacin se sugiere
elegir dos o tres escenarios que sean los ms representativos de
acuerdo al proceso escogido
Los escenarios escogidos fueron los siguientes:
Escenario 6: Informacin (daos, fugas y acceso)
Escenario 12: Cumplimiento Legal (cumplimiento normativo)

Basado en los escenarios seleccionados se proceder a revisar

grado de cumplimiento de acuerdo a lo que este escenario seala
para cada uno de los habilitadores (catalizadores)

ISACA - CHILE
Escenario de Riesgo 6

ISACA - CHILE
Escenario de Riesgo 6

ISACA - CHILE
Escenario de Riesgo 6

ISACA - CHILE
Escenario de Riesgo 6

ISACA - CHILE
Escenario de Riesgo 6

ISACA - CHILE
Escenario de Riesgo 6

ISACA - CHILE
Escenario de Riesgo 12

ISACA - CHILE
Escenario de Riesgo 12

ISACA - CHILE
Escenario de Riesgo 12

ISACA - CHILE
Recomendaciones Escenario 6
(1) Desde el punto de la continuidad operacional es necesario que los planes de
contingencia y continuidad de negocio, tengan un procedimiento documentado y
formal, para efectuar pruebas de forma regular
(2) En el mismo sentido del punto anterior, se recomienda realizar ejercicios
peridicos para comprobar que los planes de continuidad de negocio, son adecuados
para la recuperacin frente a los resultados predeterminados, permitiendo dar
soluciones innovadoras para desarrollar posteriormente y cronometrar que el plan de
continuidad operacional va a funcionar como se esperaba. Adicionalmente se
requiere evaluar el contar con un lugar alternativo de operacin.
(3) Se recomienda evaluar la conformacin de un comit que sesione al menos una
vez al ao para revisar el plan de continuidad. Asimismo, se recomienda establecer
un plan de trabajo para realizar escenarios de prueba de dicho sistema.
(4) En relacin a la seguridad de la informacin es prudencialmente razonable la
implementacin de accesos controlados a la sala de servidores, sector de cajas,
documentos valorados como pagares, en donde quede registrado fecha, hora y del
ingreso, todo debidamente respaldado en una poltica.

ISACA - CHILE
Recomendaciones Escenario 6
(5) Tambin es necesaria la implementacin de procedimientos y tecnologa en los
procesos de impresin de documentos importante, ajustar los perfiles para que se
imprima slo lo necesario, claves para rescatar escner o impresiones.
(6) En relacin al monitoreo de las actividades es recomendable la incorporacin al
staff de la Cooperativa, de un Oficial de Cumplimiento Normativo y de seguridad de
la Informacin, con perfil TI separado de la funcin operacional que actualmente
existe y que pueda analizar la lgica de los procesos, identificar errores de manera
proactiva de los sistemas, adems que vele por la implementacin y el cumplimiento
de la normativa interna y externa, adems de la seguridad de la informacin.
(7) Para apoyar el punto anterior es necesario que la organizacin cuente con una
planificacin de capacitacin constante de la normativa vigente interna y externa,
adems de una pasanta para las nuevas incorporaciones que toque los temas
referentes a normativas.
(8) Se recomienda evaluar el costo-beneficio de implementar controles de acceso
fsico a las instalaciones de la Cooperativa: implementar mejoras en los puntos de
acceso, incorporando tecnologa: cmaras de seguridad, puertas con clave de
acceso.

ISACA - CHILE
Recomendaciones Escenario 6
(9) Desde el punto de vista de contingencia tambin es importante sealar que la
institucin cuenta con un Site de Contingencia, que podra fallar porque se encuentra
en un radio inferior a 10 kilmetros y en un evento de envergadura podra verse
afectado, adicionalmente sera adecuado que la Cooperativa cuente en la Sucursal 2
con un generador de corriente que permita aumentar los plazos para reponerse y
restablecer el servicio, como por ejemplo un corte de luz que afecte la regin.
(10) Finalmente para el Escenario de Informacin, se recomienda formalizar las
polticas de seguridad de la informacin, respecto a limitaciones en el intercambio y
uso de la informacin de los Socios de la Cooperativa.

ISACA - CHILE
Recomendaciones Escenario 12
(1) Se recomienda establecer charlas de capacitacin de normativa y cumplimiento
aplicables a la Cooperativa que incluya un registro de asistencia y evaluaciones
peridicas de conocimiento y aplicacin de la normativa aplicable externa e interna.
(2) Definir mediante polticas a los responsables de la seguridad de los datos
personales de los socios, en cada rea de trabajo
(3) Informar a todos los cargos estratgicos, cual es el apetito de riesgo de la alta
direccin para establecer una cultura de administracin de riesgos
(4) Modificar los alcances de la funcin de auditora interna, para que sta se
enfoque en los objetivos de la alta direccin y base sus revisiones en los riesgos de
la compaa.
(5) Implementar una base de datos jurdica y regulatoria que sea un repositorio nico
y de consulta generalizada, estableciendo un mantenedor.
(6) Describir de manera formal, las prcticas de cumplimiento aplicables
(7) Crear una funcin de control interno que monitoree el cumplimiento de los
controles definidos, que base su accin en los riesgos de la compaa.

ISACA - CHILE
Riesgos / Escenarios

ISACA - CHILE
Controles Crticos

ISACA - CHILE
Controles Crticos

ISACA - CHILE
Matriz de Riesgos

ISACA - CHILE
Anexos
Identificaci%25C3%25B3n y Evaluaci%25C3%25B3n de Riesgos y Controles.xlsx

ISACA - CHILE
Anexos

ISACA - CHILE
Anexos

ISACA - CHILE
Anexos

ISACA - CHILE
Preguntas

Pablo Caneo Gutirrez

pcaneo@ultramar.cl pablo.caneo@gmail.com