Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Auditoría de TI PDF
Auditoría de TI PDF
Gua didctica
1. INFORMACIN DE LA ENTIDAD:
Los servicios que brinda, dentro de las regulaciones legales existentes, son los
siguientes:
Ahorro de dinero en efectivo o joyas.
Crdito a empresas y personas naturales.
Crdito pignoraticio.
ORGANOS DE GOBIERNO
Directorio: Constitudo por el Presidente, Vicepresidente, Secretario y 3
Vocales.
ORGANO DE CONTROL
75
Auditora de Tecnologas de Informacin. Gua didctica
ORGANO DE DIRECCIN
Gerencias mancomunadas: Son 3 gerentes con el mismo nivel jerrquico,
Gerente de Ahorros, Gerente de Crditos y Gerente Administrativo.
ORGANOS DE ASESORA
Asesora Legal.
Oficina de Desarrollo y Relaciones Pblicas.
ORGANOS DE APOYO
Oficina de Contabilidad.
Oficina de Logstica.
Oficina de Recursos Humanos.
Oficina de Tecnologas de Informacin.
ORGANOS DE LINEA
Departamento de Crditos y recuperaciones.
Departamento de Ahorros.
AGENCIAS
Principal: Crdova.
La Solucin.
Rezagados.
Sipn.
Cntaros.
La Iliada.
Cajamarca.
Chiclayo.
76
Auditora de Tecnologas de Informacin. Gua didctica
77
Auditora de Tecnologas de Informacin. Gua didctica
78
Auditora de Tecnologas de Informacin. Gua didctica
Los errores que pueden generarse por anomalas en las aplicaciones son
subsanadas por los analistas programadores, quienes realizan aplicaciones
externas que validan la informacin luego de su registro en las bases de datos; no
pueden realizar modificaciones a los programas fuente, debido a que no cuentan
con stos. La modalidad de trabajo en el mantenimiento de los sistemas de
informacin consiste en recibir de manera documentada las necesidades y
reclamos de los usuarios, para posteriormente hacer las aplicaciones respectivas
que se conecten con las bases de datos y cubrir dichas necesidades. Por lo tanto,
cada vez que los usuarios desean utilizar las nuevas aplicaciones, tienen que
utilizar un mdulo denominado COMPLEMENTOS, el cual posee todas las
aplicaciones adicionales que complementan a los sistemas de informacin
actuales. No se cuenta con un Manual de Usuario de COMPLEMENTOS, debido a
que los usuarios conocen con mucha precisin el funcionamiento de estas
aplicaciones, adems, es imposible hacer una actualizacin del Manual de
Usuario, debido a que continuamente se hacen mejoras a las aplicaciones y se
crean otras. Mantener actualizado un Manual de Usuario implica imprimir
continuamente ejemplares y distribuirlos a los usuarios, esto retrasara la entrega
de las aplicaciones y encarecera los procesos, debido a la impresin continua. El
jefe del rea de TI argumenta: No podemos retrazar la entrega de las aplicaciones
y encarecer nuestros procesos solamente para satisfacer a normatividades que no
estn alineadas a la realidad de nuestra entidad, adems, en el Per no existe una
entidad que tenga Manuales de Usuario actualizados impresos y distribudos a
usuarios
Tampoco existe una documentacin tcnica de las aplicaciones de
COMPLEMENTOS, es decir los Manuales Tcnicos, debido a que el dinamismo
con que se crean y modifican aplicaciones es tal que sera imposible tenerlo
actualizado, adems, la impresin de esta documentacin sera solamente de
inters para los auditores, porque los analistas programadores cuentan con los
programas fuente de estas aplicaciones y conocen la estructura y funcionamiento
de estos, argumenta la jefatura de TI. Los cdigos fuente son dinmicos y no
tendra sentido imprimirlos, porque nadie podra entender la lgica, debido a que
cada analista programador tiene su propia forma de programar, claro est dentro
de los estndares establecidos por el rea de TI.
Se cuenta con la documentacin de los accesos usuarios a los diversos mdulos,
sin embargo, de acuerdo a una auditora anterior se ha evidenciado que esta no
est actualizada, existiendo usuarios que ya no laboran en la entidad y otros que
cuentan con ms accesos a los registrados en la documentacin. El rea de TI
79
Auditora de Tecnologas de Informacin. Gua didctica
80
Auditora de Tecnologas de Informacin. Gua didctica
- Existen clientes que son identificados con sus datos personales en los
documentos impresos, sin embargo, no aparecen contabilizados de manera
estadstica y financiera en los informes gerenciales de la entidad.
81
Auditora de Tecnologas de Informacin. Gua didctica
82
Auditora de Tecnologas de Informacin. Gua didctica
Sin embargo, el rea de TI, indica que esto no es responsabilidad de ellos, debido
a que el rea responsable es Seguridad Institucional. Por lo tanto, no deben
realizarse observaciones de auditora informtica en este aspecto.
Existen usuarios que pueden acceder a las carpetas compartidas de otros, debido
a que se encuentran agrupados con nmeros de IP en un mismo Dominio. Se
pudo constatar que un cajero de la Agencia de la ciudad de La Iliada puede
acceder a las carpetas compartidas de la Contadora General de la entidad, cuya
oficina se encuentra en la Oficina Principal. El cajero entrevistado indica
desconocer que tena ese acceso y que eso es responsabilidad del rea de
Tecnologas de Informacin. TI indica que esto es responsabilidad de cada
usuario, al momento de compartir sus carpetas personales; sin embargo, indican
que necesitan compartir carpetas de trabajo debido a que la tecnologa de los
sistemas de informacin necesita que estas carpetas estn compartidas para el
registro de transacciones en los archivos DBF de sus bases de datos. No se
cuenta con un registro de los accesos de usuarios a las diversas terminales de la
red informtica, debido a que segn indica TI, los accesos de los usuarios son
demasiado dinmicos para poder ser documentados: Los usuarios comparten y
restringen archivos y carpetas todos los das.
El Plan de Contingencias y Continuidad de Negocio, es copia fiel de otras
entidades financieras. Este documento fue realizado por una empresa Consultora
externa, la cual solamente cambi el nombre de la entidad a la cual le realiz la
consultora. Esta empresa consultora indica que siempre encontraba en estas
entidades las mismas necesidades y por lo tanto tena nicamente que hacer
pequeos cambios.
Nunca la entidad ha realizado una evaluacin de las acciones posteriores a las
contingencias, como por ejemplo la recuperacin de informacin. Los
responsables de TI indican que esto no puede realizarse, debido a que no pueden
interrumpir las actividades del negocio durante el tiempo que dura el simulacro.
Las copias de seguridad en CD son guardados dentro de las instalaciones de la
misma entidad, esto se debe a que las Gerencias han determinado que es mejor
as para evitar el espionaje de informacin del negocio.
El rea de Tecnologas de Informacin se ha ganado la fama de incumplidos,
debido a que casi nunca cumple con los objetivos planteados en el Plan Operativo
83
Auditora de Tecnologas de Informacin. Gua didctica
Anual. Esta rea indica que no reciben el apoyo presupuestal para el cumplimiento
de sus objetivos, y que no se comprende el enfoque que tienen sobre el rol de las
tecnologas de informacin en la entidad. Indican que todas las entidades
financieras ms importantes han logrado ventajas competitivas gracias a la
implementacin de tecnologas de informacin modernas, pero la Caja Popular
cree que para los clientes solamente es importante que se les de mayores tasas
de inters en ahorros, y menores tasas de inters en crditos.
Las Gerencias Mancomunadas indican que los objetivos y actividades planteadas
por el rea de TI no estn alineadas a los objetivos institucionales de la entidad, en
especial al sector de mercado al cual est orientada y la diferenciacin que
persigue en relacin a sus competidores. Existen objetivos difusos y otros
ambiguos que no son sustentados con los indicadores precisos y lo recursos
adecuados.
84