UNIDAD DE AUDITORIA INTERNA

INFORME No. 00X – AAA – 2XXX

DE : AUDITOR INTERNO
……………………………………………………

A : PRESIDENTE DEL DIRECTORIO

……………………………………………………

FECHA : 31 de diciembre del 2XXX

ASUNTO : RIESGOS DE OPERACION Y TECNOLOGIA DE INFORMACIÓN

I. MOTIVO DE LA EVALUACION

Cumplimiento del Plan Anual de Auditoria Interna del periodo 2XXX, en el cual el presente examen está
incluido como una actividad permanente.

II. OBJETIVO Y ALCANCE DE LA EVALUACION

Los Objetivos del examen son los siguientes:

- Verificar el cumplimiento del Manual de Riesgos de Operación.

- Evaluar la eficacia de los controles implementados en los “casos tipo” de fraude que pudieran ocurrir
o evitar la reincidencia de las modalidades ya ocurridas.
- Verificar el cumplimiento de las actividades el Comité de Contingencia y Seguridad.
- Evaluar el cumplimiento de las acciones de la Agenda de Trabajo anual 2XXX para la Gestión de la
Unidad de Sistemas.
- Iniciar acción correctiva cuando las políticas, prácticas, procedimientos y controles internos son
deficientes o cuando existe incumplimiento de las normas generales.

III. ALCANCE
El examen comprende la gestión realizada en la entidad en cumplimiento de las normas internas, al 31 de
aaaa del 2XXX

IV. PROCEDIMIENTOS Y TECNICAS UTILIZADAS

- Inspección
- Verificación.
- Confirmación
- Análisis, Comparación, Conciliación y Revisión.

V. RESULTADOS DEL EXAMEN

De la aplicación del Programa de Auditoria, así como de las técnicas requeridas, se presenta el Informe
con los resultados obtenidos con las observaciones y recomendaciones pertinentes.

1. RIESGOS DE OPERACIÓN

RIESGO MEDIDAS DE MITIGACION Calendario VERIFICACION

PROMOCION DE CREDITOS
Perder clientes potenciales por
no informar adecuadamente.
UAI
Capacitar cuando se incorpora a nuevo
personal en general y en particular a
los Analistas de Créditos, Promotores
de Ventas, Plataforma y Asistentes
 Administrativos, en el conocimiento
integral de los productos y servicios
financieros que ofrece la entidad, y
evaluar el resultado de la capacitación.

Entrenar cada seis meses o cuando se

lance un nuevo producto crediticio a
personal en general y en particular a
los Analistas de Créditos, Promotores
de Ventas, Plataforma y Asistentes
Administrativos, en el conocimiento
integral de los productos y servicios
financieros que ofrece la entidad. Y
Evaluar el resultado de la capacitación.

Reunir cada tres meses a los

administradores de agencia para
exponer los productos crediticios de la
institución. Actividad Replanteada a
ejecutarse semestralmente.

Difundir la capacitación recibida al

personal de la agencia después de
cada reunión.
RECEPCION DE SOLICITUD Y EVALUACION DE CREDITOS

Evaluación limitada en cuanto a Capacitar y evaluar periódicamente a

aspectos legales, garantías y
conceptos sobre la materia
evaluada.
los Analistas de Créditos, en los
siguientes temas:
Tecnología crediticia:
Contratos y Aspectos Legales.
RRPP y cargas de propiedades.
Depreciación, inventarios, costos,
planillas, tributos.
Calidad de servicio
Proporcionar herramienta estándar
para elaboración del Flujo de Caja.

Deteriorar la calidad de la Aprobar verificación y control de la

Cartera por recibir y aceptar documentación, a cargo de un
documentación falsa. Supervisor de Créditos.

RIESGO MEDIDAS DE MITIGACION Calendario VERIFICACION

UAI
ELABORACION DEL PLAN PRESUPUESTAL

Gerentes de área, Jefes de - Evaluar la ejecución presupuestal,

Unidad y Administradores de periódicamente.
Agencia Realizan proyección de
gastos sin prever las - Reajustar Presupuesto Anual
necesidades futuras con mayor según resultados de evaluación
aproximación. periódica.

CONTROL DE ACTIVOS FIJOS Y NO DEPRECIABLES

Perdida o deterioro de activos - Contar con software logístico con

por rotación de mobiliario. equipos electrónicos para
 inventariar.

- Formalizar y aplicar el proceso de

control de ingreso y salida de
activos fuera de instalaciones,
agencias, y oficinas de la
institución.

- Diseñar el sistema de control de

inventarios automatizado
2. RIESGOS ESTRATEGICOS

RIESGO MEDIDAS DE MITIGACION Calendario VERIFICACION

UAI
MERCADOS
Sobreendeudamiento del Establecer un número máximo de
mercado financiero por mayor entidades financieras con las que debe
competencia. tener crédito el cliente.
Llegar al tope de colocaciones en - Formular programas de
mercados saturados. fidelización de clientes.

- Ejecutar programas de fidelización

de clientes y mantenimiento de
calidad de cartera.
PRODUCTOS Y SERVICIOS
No retroalimentar - Implementar en el nuevo sistema
adecuadamente el sistema de informático una central de
información luego del contacto información sobre calidad de
positivo o negativo con los servicio.
mercados explorados. - Analizar mensualmente la
información contenida en el
sistema y reporta a GC.
- Implementar las medidas
correctivas y las mejoras en la
atención al cliente.
ORGANIZACIÓN ( ESTRUCTURA / SISTEMA DE INFORMACION )
Falta de información oportuna - Implementar en el nuevo sistema
para toma de decisiones. informático.
- Definición de necesidades de
información.
- Definición de necesidades de
información.
- Definición de necesidades de
información.
- Desarrollo del SIG

Deficiente atención de Identificar y atender los servicios que

necesidades a las unidades de debe ofrecer al resto de unidades de la
negocios. empresa (cliente interno)

3. RIESGOS DE LIQUIDEZ Y DE MERCADO

RIESGO MEDIDAS DE MITIGACION Calendario VERIFICACION

UAI
IDENTIFICACION Y CONTROL DE RIESGOS DE MERCADO
No realizar los análisis - Unidad de Riesgos debe solicitar
necesarios, o efectuar un análisis información.
limitado. No se cuenta con
información de riesgos para toma - UR debe realizar informes
de decisiones. semestralmente.
4. RIESGO CREDITICIO

RIESGO MEDIDAS DE MITIGACION Calendario VERIFICACION

UAI
REGLAMENTO

Pérdida de Clientes, por rigidez - Actualizar Manual de Créditos,

de Manual de créditos. simplificando requisitos a exigir.

TIPOS DE CREDITO

Inadecuada evaluación de - Formular Manual de procesos y

créditos comerciales. procedimientos para otorgar
créditos comerciales.

- Capacitar a Analistas de Créditos

en gestión de Créditos
Comerciales.
TIPOS Y PRODUCTOS DE CREDITO
Incorporación de Analistas de Formar Analistas de Créditos en
Créditos que no conocen la conocimiento y manejo de la tecnología
actividad agrícola, ni el área crediticia rural.
rural.
SISTEMA DE EVALUACION
Desembolsar créditos con firmas - Instruir al asistente de plataforma
incompletas y Documentación el cumplimiento de sus funciones
insuficiente de la garantía de Verificar las firmas completas
adjuntada al expediente. en el expediente de créditos,
pagaré y verificar la existencia de
los demás documentos.
- Verificar mensualmente mediante
una muestra de 20 créditos la
documentación requerida, las
firmas completas en el expediente
y en el pagare; reportando a GC.
DEGRADAMIENTO DE LA CALIFICACION DE CREDITOS
No ingresar datos del cónyuge y - Verificar y Reportar a GC que los
garantes en el sistema asistentes de plataforma cumplen
informático. con el ingreso de los datos
especificados en el Memo en el
software actual.
- Implementar las medidas
correctivas y Aplicar medidas
disciplinarias en caso de
incumplimiento.
Otorgar crédito sin cobertura de - Capacitar a los Analistas de
garantía requerida, debido a una Créditos en temas de garantías:
inadecuada aplicación del Reconocimiento de validez de
Manual de créditos, y documentos mediante sus
desconocimiento de temas características, Valorización a
legales de garantías. precios de mercado,
Realizabilidad, Contingencias
Legales.
- Verificar mensualmente mediante
una muestra de 20 créditos la
validez de los documentos de las
garantías contenidas en el
expediente; reportando a GC.
CONCLUSIONES GENERALES EN LA GESTION DE RIESGOS OPERATIVOS
…

RECOMENDACIONES
…

ANALISIS DE LA EFICACIA DE CONTROLES PARA CASOS “ TIPO DE FRAUDE”

…

RIESGOS INFORMATICOS: PLAN DE CONTINUIDAD DE NEGOCIOS - SEGUIMIENTO

1. EVALUACION DE RIESGOS DE SEGURIDAD FISICA DE LA INFORMACION

RIESGO CALENDARI VERIFICACION DE

O AUDITORIA INTERNA
DE LA INFRAESTREUCTURA DE RED
Mal funcionamiento de - Certificar puntos de Red en Trimestral
puntos de red. todas las Agencias.
- Revisión y evaluación periódica
de los puntos de red.
DE LOS SERVIDORES
Disco Duro lleno o falta de - Implementar procedimientos de Trimestral
capacidad de depuración de información
almacenamiento en los histórica.
servidores.
Pérdida o daño Mantener en stock discos duros de Trimestral
permanente de disco de respaldo.
uno de los servidores.
Falta el dispositivo de - Revisión periódica del estado Trimestral
energía auxiliar (UPS), al de los UPS.
momento de un corte de - Realización de simulacros para
fluido eléctrico. probar los dispositivos de Trimestral
respaldo eléctrico.
Falla de componentes - El servidor debe tener Trimestral
internos del servidor. componentes redundantes de
Ejemplo: ventilador manera que ante la falla de un
(cooler) del procesador, dispositivo, el segundo entre en
fuente de poder, monitor. operación.
- Tener un stock mínimo de
dispositivos con características Trimestral
similares a las actualmente
instaladas para reemplazo
frente averías o fallas.

5. DE LAS ESTACIONES CLIENTES

RIESGO CALENDARI VERIFICACION DE

O AUDITORIA INTERNA
Pérdida total de la - Toda información crítica debe Trimestral
estación cliente. estar salvada mediante
procedimientos de obtención de
copias de respaldo.
- Contar con un pequeño parque
de estaciones cliente de
reemplazo, para permitir que el Trimestral
usuario continúe su labor
mientras se adquiere un nuevo
equipo o se repara el anterior.
6. DEL CENTRO DE COMPUTO
RIESGO CALENDARI VERIFICACION DE
O AUDITORIA INTERNA
Ataques por vandalismo El personal de vigilancia y seguridad Permanente
que afecte la debe prestar especial atención a la
infraestructura del Centro protección de dicha área la cual es
de Cómputo. tan crítica como una bóveda de
seguridad.

7. DE LAS INSTALACIONES ELECTRICAS

RIESGO CALENDARI VERIFICACION DE
O AUDITORIA INTERNA
Cortes o fluctuaciones de Evaluar la contratación de un Anual
energía eléctrica. experto eléctrico que efectúe
evaluaciones periódicas al cableado
eléctrico.

8. DE LA DISTRIBUCION DE RECURSOS INFORMATICOS

RIESGO CALENDARI VERIFICACION DE
O AUDITORIA INTERNA
Efectuar una mala Establecer una política de Anual
distribución de recursos distribución de recursos informáticos
informáticos por no tener de acuerdo a las exigencias de los
una política de distribución requerimientos de cada área y/o
adecuada. usuario, referido a capacidad de
procesamiento, almacenamiento o
resolución gráfica.
Perder el control de la Implementar una herramienta que Trimestral
ubicación de recursos facilite efectuar seguimiento de
informáticos por no tener ubicación de equipos y bitácora de
un registro, inventario y eventos sobre el mismo. (hoja de
ubicación actualizada de vida)
los mismos.

EVALUACION DE RIESGOS DE SEGURIDAD LOGICA DE LA INFORMACION

9. DEL ACCESO A LOS SISTEMAS DE INFORMACION

RIESGO CALENDARI VERIFICACION DE
O AUDITORIA INTERNA
No contar con adecuada - comprometer al usuario para el Permanente
administración de accesos buen uso de sus cuentas
y permisos. otorgadas.
- El jefe de Sistemas deberá
tener en un sobre lacrado con
las contraseñas del usuario Permanente
master, debiendo actualizar un
cuaderno de control, cuando
exista la necesidad de romper
el sobre lacrado (anotando
fecha, hora, motivo, etc.)

10. DEL RESPALDO DE DATOS Y APLICACIONES

RIESGO CALENDARI VERIFICACION DE
O AUDITORIA INTERNA
Efectuar mal los Backups Los documentos que contienen el Anual
por desconocimiento o Plan de Backup, procedimientos y
incumplimiento de los normas correspondientes deben ser
procedimientos normas o difundido a todas las personas
metodologías para la involucradas, de modo que el
elaboración y control de desconocimiento del tema no sea
los mismos. una causa de justificación.
Efectuar mal las copias de - El control de las copias debe Mensual
seguridad por no contar ser llevado mediante
con procedimientos inventarios mensuales.
formales para el registro y - Reemplazar en forma periódica
control de los (cada 10 meses) los
procedimientos de dispositivos de backup para
respaldo. evitar los deterioros
posteriores.

11. DE LA PROTECCION CONTRA VIRUS INFORMATICOS

RIESGO CALENDARI VERIFICACION DE
O AUDITORIA INTERNA
Poco conocimiento de los Tener preparado alternativas de Diario
usuarios por falta de acción por parte del soporte técnico
comunicación. ante cualquier incidente en que se
sospeche de infección.
Pérdida de información - Asegurarse que cada usuario
por no contar con que tiene acceso a las
protección antivirus o el computadoras conozca la
software de protección forma de reportar la sospecha
antivirus no este de un incidente en que este
actualizado. envuelto un posible ataque de
virus.
- Verificar y mantener
actualizada la versión del
software antivirus utilizada
debido a que constantemente
aparecen nuevos virus cuya
vacuna recién es colocada en
las últimas versiones de los
paquetes de detección.

12. DE ADQUISICION DE BIENES, SELECCIÓN DE SERVICIOS Y DISTRIBUCION DE EQUIPOS

RIESGO CALENDARI VERIFICACION DE
O AUDITORIA INTERNA
No contar con un control Elaborar un informe legal y técnico Anualmente
normativo para los que sustente el contrato a aprobar.
contratos de proveedores.

No contar con una - Evaluar experiencia en trabajos Anualmente

selección y evaluación similares.
uniforme para todos los - Evaluar nivel de soporte Anualmente
proveedores. comprobado.
- Evaluar alianzas estratégicas y Anualmente
presencia nacional como
internacional.
- Evaluar la situación financiera e Anualmente
infraestructura.
- Evaluar niveles de certificación Anualmente
del personal de la empresa.
 RIESGO CALENDARI VERIFICACION DE
O AUDITORIA INTERNA
No contar con un control - Evaluar la infraestructura Anualmente
para evaluar y seleccionar tecnológica que soportará el
servicios informáticos. servicio a contratar.
- Se debe evaluar y analizar el Según
costo/beneficio de los servicios requerimiento
a contratar.
- Evaluar y medir el alcance del
servicio a contratar.
- Evaluar el tiempo y el nivel de
garantía ofrecido por el postor
de servicios informáticos.
No contar con un control - Evaluar y verificar la relación de
para evaluar y seleccionar empresas del mercado que
servicios informáticos. hayan adquirido servicios
similares.
- Al seleccionar los servicios
informáticos en la entidad se
debe sustentar con un informe
técnico evaluado por el área de
soporte de sistemas.
- Para evaluar servicios
informáticos se sugiere hacer
previa solicitud de
requerimientos aprobada por el
área o Unidad que solicitó el
requerimiento.
No contar con un - Conformar equipos de trabajo
seguimiento del estado de para verificar el estado de los
los equipos y activos tecnológicos.
actualización de los - Reportar inmediatamente los
inventarios de activos cambios ocurridos en el
tecnológicos, archivos y inventario actual de activos
software base. tecnológicos (disminución de
Memorias RAM. Capacidad de
disco, cambio de discos,
conflictos de IP, cambio de
teclado, cambio de mouse,
rotación o traslado de activos,
entre otros).
No contar con un registro - Establecer políticas para llevar Anualmente
de las garantías otorgadas a cabo el control de garantías
por los proveedores. de recursos tecnológicos.
- Logística deberá alcanzar una Permanente
copia del documento de
adquisición de equipos al área
de soporte de sistemas para
llevar un control de vigencia de
las garantías de los equipos y
facilitar la labor de
mantenimiento correctivo.
- El área de soporte de sistemas Permanente
deberá contar con un registro
debidamente actualizado de las
garantías de equipos existentes
y vigentes en la entidad.

13. DE LA CAPACITACION Y ENTRENAMIENTO

 RIESGO CALENDARI VERIFICACION DE
O AUDITORIA INTERNA
No contar con un En el Plan de Capacitación se debe Anualmente
programa de capacitación identificar el tipo de capacitación a
al personal de sistemas brindar:
como a los usuarios de las  Sistemas operativos
unidades respectivas.  Base de datos
 Plataforma de correo
 Herramientas de
desarrollo
 Software especializado
 Herramientas de gestión
 Aplicativos
No contar con un Al término de cada entrenamiento y Anualmente
Programa de capacitación se deberá entregar a
entrenamiento a usuarios los participantes los documentos
finales. que certifiquen el haber recibido el
entrenamiento y estar aptos para
ponerlo en práctica.

No contar con un - Garantizar el aprendizaje de los Anualmente

programa de temas expuestos por parte de
entrenamiento a usuarios los usuarios en entrenamiento
finales. a través de controles,
aplicación de talleres y
exámenes de conocimientos.
- El usuario es responsable del
cuidado y manejo de la
información entregada en la
capacitación: manuales, guías,
folletos, otros.

14. DE LA ADMINISTRACION DE BASE DE DATOS

RIESGO CALENDARI VERIFICACION DE
O AUDITORIA INTERNA
Falta de mediciones del Medir en forma periódica el Octubre 2006
rendimiento y estado de la rendimiento, optimizar y controlar el
base de datos. tamaño y el espacio en disco.
Falta de control del Es necesario que las Trimestral
rendimiento de software configuraciones del software de
de ofimática. ofimática se verifiquen en forma
periódica.
No contar con - Comprometer al usuario final el Marzo 2006
procedimientos buen uso de las aplicaciones y
predeterminados para la el manejo de ellas.
instalación de software de - Dado que las instalaciones son
aplicaciones o de recurrentes es necesario contar
ofimática. con un documento (archivado
en la PC y por escrito) que
contenga las instrucciones de
la instalación.

II. CONCLUSIONES

AUDITOR INTERNO