Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SEDE CUENCA
Tesis previa a la
obtención del
Título de Ingeniero
en Contabilidad y
Auditoría.
AUTORES:
DIRECTORA:
CUENCA – ECUADOR
2012
DECLARACIÓN DE RESPONSABILIDAD
Los conceptos desarrollados, análisis realizados, así como las conclusiones del
presente trabajo, son de exclusiva responsabilidad de los autores.
Cuenca, 21 de Octubre de 2012
A mis papás porque siempre deseaban que sus hijos prosperaran y aunque no esté
con nosotros nuestro padre dedico de todo corazón este trabajo, que DIOS le cuide
donde sea que se encuentre.
A mi nena preciosa, Nicole Anahí que es lo más bello que tengo en éste mundo, te
AMO BEBE.
A mi tía Teresa, gracias de verdad por todo lo que ha hecho por mi, por los consejos
dados, el apoyo incondicional que me ha enseñado.
Mauricio Salinas
AGRADECIMIENTO
A la Ing. Irene Buele por su apoyo, dirección y guía para la realización de esta Tesis.
A todos los compañeros/as, amigos/as por sus consejos a seguir luchando por una
superación y que siempre sea con beneficio común.
Los Autores
Primero quiero agradecer a mi madre por el don de la vida que me ha
regalado, y a DIOS por la fuerza y las ganas de luchar cada día.
Quiero agradecer una y mil veces más a DIOS por regalarme al más bello
ser del mundo que fue siempre el centro de mi inspiración para seguir
adelante con éste sueño: mi bebe Nicole Anahí Salinas Peláez, así como a
ROUS mamá de mi princesa, de verdad gracias por estar pendiente de mi
nena mientras estaba lejos, las quiero mucho a las dos.
Mauricio.
A Dios por todas sus Bendiciones, su ayuda, protección día a día y
direccionamiento durante nuestra la vida.
A mis Padres por darme ese don maravilloso de nacer, por brindarme
confianza, amor, formación ética-moral, y fortaleza en cada momento. A
todos mis hermanos/as por su incondicional apoyo y motivación.
INTRODUCCIÓN...........................................................................................................10
CAPÍTULO I....................................................................................................................12
1. FUNDAMENTACIÓN TEÓRICA.......................................................................12
1.1 RIESGO.............................................................................................................13
1.2 CONCEPTO......................................................................................................13
1.3 TIPOS DE RIESGO..........................................................................................13
1.3.1 RIESGO FINANCIERO............................................................................15
1.3.2 RIESGO LEGAL.......................................................................................15
1.3.3 RIESGO DE REPUTACIÓN.....................................................................16
1.3.4 RIESGO DE CONTROL...........................................................................16
1.3.5 RIESGO INHERENTE..............................................................................16
1.3.6 RIESGO RESIDUAL.................................................................................16
1.4 RIESGO OPERATIVO.....................................................................................17
1.4.1 CONCEPTO...............................................................................................17
1.4.2 IMPORTANCIA........................................................................................17
1.4.3 CLASIFICACIÓN.....................................................................................18
1.4.3.1 PROCESOS................................................................................................19
1.4.3.2 PERSONAS...............................................................................................21
1.4.3.3 TECNOLOGÍAS DE INFORMACIÓN (TI).............................................23
1.4.3.4 EVENTOSEXTERNOS.............................................................................29
1.5 ADMINISTRACIÓN DE RIESGO...................................................................29
1.5.1 IDENTIFICACIÓN DE ÁREAS CRÍTICAS............................................31
1.5.2 IDENTIFICACIÓN Y EVALUACIÓN DE VULNERABILIDADES Y
AMENAZAS............................................................................................................33
1.5.3 IDENTIFICACION DEL RIESGO...........................................................34
1.5.4 PROBABILIDAD E IMPACTO................................................................35
1.5.5 DETERMINACION DE LA PROBABILIDAD.......................................36
1.5.6 DETERMINACIÓN DEL IMPACTO......................................................37
1.5.7 MEDICIÓN O VALORIZACIÓN DEL RIESGO.....................................38
1.5.8 CLASIFICACIÓN Y DETERMINACIÓN DE LA GRAVEDAD DEL
RIESGO....................................................................................................................39
1.5.9 RESPUESTA AL RIESGO........................................................................39
1.5.10 EVALUACIÓN DE CALIDAD DE LA GESTIÓN..................................41
2
1.5.11 PLAN DE MITIGACIÓN..........................................................................42
CAPÍTULO II..................................................................................................................43
2. ANTECEDENTES DE LA COOPERATIVA DE AHORRO Y CRÉDITO
FASAYÑAN LTDA......................................................................................................43
2.1.1 CREACIÓN...............................................................................................44
2.1.2 ESTRUCTURA..........................................................................................44
2.1.3 OBJETIVOS...............................................................................................46
2.1.4 MISIÓN......................................................................................................46
2.1.5 VISIÓN......................................................................................................47
2.1.6 UBICACIÓN..............................................................................................47
2.1.7 ANÁLISIS INTERNO...............................................................................48
2.1.8 ANÁLISIS EXTERNO..............................................................................59
3. ANÁLISIS SITUACIONAL DE LA COOPERATIVA DE AHORRO Y
CRÉDITO FASAYÑAN LTDA....................................................................................62
3.1 EVALUACIÓN DE CONTROL INTERNO....................................................63
3.1.1 PREGUNTAS GENERALES....................................................................63
3.1.2 PROCESOS................................................................................................65
3.1.3 PERSONAS...............................................................................................76
3.1.4 TECNOLOGÍA DE INFORMACIÓN.......................................................77
3.1.5 EVENTOS EXTERNOS............................................................................81
3.1.6 RESUMEN DE LOS PRINCIPALES RIESGOS......................................82
3.2 IDENTIFICACIÓNDE RIESGOS....................................................................83
3.2.1 GENERALES.............................................................................................84
3.3.1 PROCESOS................................................................................................86
3.3.2 PERSONAS...............................................................................................92
3.3.3 TECNOLOGÍA DE INFORMACIÓN......................................................94
3.3.4 EVENTOS EXTERNOS............................................................................99
3.5 IDENTIFICACIÓN DEL ORIGEN DEL RIESGO Y POTENCIALES
CONSECUENCIAS...................................................................................................100
3.5.1 GENERALES...........................................................................................101
3.5.2 PROCESOS..............................................................................................104
3.5.3 PERSONAS.............................................................................................108
3.5.4 TECNOLOGÍA DE INFORMACIÓN.....................................................110
3.5.5 EVENTOS EXTERNOS..........................................................................114
3.6 DETERMINACIÓN DE LA PROBABILIDAD E IMPACTO......................115
3
3.6.1 PREGUNNTAS GENERALES...............................................................116
3.6.2 PROCESOS..............................................................................................118
3.6.3 PERSONAS.............................................................................................120
3.6.4 TECNOLOGÍA DE LA INFORMACIÓN..............................................121
3.6.5 EVENTOS EXTERNOS..........................................................................124
3.7 GRAVEDAD, RESPUESTA DEL RIESGO Y RIESGO RESIDUAL..........126
3.7.1 PREGUNTAS GENERALES..................................................................126
3.7.2 PROCESOS..............................................................................................129
3.7.3 PERSONAS.............................................................................................134
3.7.4 TECNOLOGÍA DE LA INFORMACIÓN..............................................136
3.7.5 EVENTOS EXTERNOS..........................................................................140
3.8 MAPA DE RIESGOS......................................................................................141
3.8.1 RESUMEN DEL RIESGO RESIDUAL..................................................148
CAPITULO IV...............................................................................................................149
4. PLAN DE MITIGACIÓN...................................................................................149
4.1 FILOSOFÍA.....................................................................................................150
4.1.1 MISIÓN....................................................................................................150
4.1.2 VISIÓN....................................................................................................150
4.2 OBJETIVOS DEL PLAN DE MITIGACIÓN................................................150
4.3 IMPORTANCIA.............................................................................................151
4.4 PLAN DE MITIGACIÓN...............................................................................151
4.5 ACTIVIDADES Y DIAGRAMA DE GANTT DE LA COOPERATIVA
DE AHORRO Y CRÉDITO FASAYÑAN LTDA., AÑO 2013................................180
CONCLUSIONES.........................................................................................................182
RECOMENDACIONES................................................................................................184
BIBLIOGRAFÍA............................................................................................................185
4.6 ANEXOS.........................................................................................................188
VENTANILLAS DE SEGURIDAD CON BLINDAJE MÓVIL PARA SU
INSTALACIÓN EN BARRAS DE MOSTRADORES..............................................213
4
ÍNDICE DE ILUSTRACIONES
5
INDICE DE TABLAS
6
TABLA 24:IDENTIFICACIÓN DEL RIESGO-ÁREA-PROCESOS............................86
TABLA 25: IDENTIFICACIÓN DEL RIESGO-ÁREA-PROCESOS...........................87
TABLA 26: IDENTIFICACIÓN DEL RIESGO-ÁREA-PROCESOS...........................88
TABLA 27:IDENTIFICACIÓN DEL RIESGO -ÁREA-PROCESOS...........................89
TABLA 28: IDENTIFICACIÓN DEL RIESGO -ÁREA-PROCESOS..........................90
TABLA 29: IDENTIFICACIÓN DEL RIESGO -ÁREA-PROCESOS..........................90
TABLA 30: IDENTIFICACIÓN DEL RIESGO -ÁREA-PERSONAS..........................92
TABLA 31: IDENTIFICACIÓN DEL RIESGO -ÁREA-PERSONAS..........................93
TABLA 32: IDENTIFICACIÓN DEL RIESGO -ÁREA-TECNOLOGÍAS DE
INFORMACIÓN..............................................................................................................94
TABLA 33: IDENTIFICACIÓN DEL RIESGO -ÁREA-TECNOLOGÍAS DE
INFORMACIÓN..............................................................................................................95
TABLA 34: IDENTIFICACIÓN DEL RIESGO -ÁREA-TECNOLOGÍAS DE
INFORMACIÓN..............................................................................................................96
TABLA 35: IDENTIFICACIÓN DEL RIESGO -ÁREA-TECNOLOGÍAS DE
INFORMACIÓN..............................................................................................................97
TABLA 36: IDENTIFICACIÓN DEL RIESGO -ÁREA-TECNOLOGÍAS DE
INFORMACIÓN..............................................................................................................98
TABLA 37: IDENTIFICACIÓN DEL RIESGO -ÁREA- EVENTOS EXTERNOS.....99
TABLA 38: ORIGEN DEL RIESGO Y POTENCIALES CONSECUENCIAS-
PREGUNTAS GENERALES........................................................................................101
TABLA 39: ORIGEN DEL RIESGO Y POTENCIALES CONSECUENCIAS-
PREGUNTAS GENERALES........................................................................................102
TABLA 40. ORIGEN DEL RIESGO Y POTENCIALES CONSECUENCIAS-
PREGUNTAS GENERALES........................................................................................103
TABLA 41: ORIGEN DEL RIESGO Y POTENCIALES CONSECUENCIAS-
AREA-PROCESOS.......................................................................................................104
TABLA 42: ORIGEN DEL RIESGO Y POTENCIALES CONSECUENCIAS-
ÁREA-PROCESOS.......................................................................................................105
TABLA 43: ORIGEN DEL RIESGO Y POTENCIALES CONSECUENCIAS-
ÁREA-PROCESOS.......................................................................................................106
TABLA 44: ORIGEN DEL RIESGO Y POTENCIALES CONSECUENCIAS-
ÁREA-PROCESOS.......................................................................................................107
TABLA 45: ORIGEN DEL RIESGO Y POTENCIALES CONSECUENCIAS-
ÁREA-PERSONAS.......................................................................................................108
TABLA 46: ORIGEN DEL RIESGO Y POTENCIALES CONSECUENCIAS-
ÁREA-PERSONAS.......................................................................................................109
TABLA 47: ORIGEN DEL RIESGO Y POTENCIALES CONSECUENCIAS-
ÁREA-TECNOLOGÍA DE INFORMACIÓN..............................................................110
TABLA 48: ORIGEN DEL RIESGO Y POTENCIALES CONSECUENCIAS-
ÁREA- TECNOLOGÍA DE LA INFORMACIÓN.......................................................111
TABLA 49: ORIGEN DEL RIESGO Y POTENCIALES CONSECUENCIAS-
ÁREA-TENOLOGÍA DE LA INFORMACIÓN...........................................................112
7
TABLA 50: ORIGEN DEL RIESGO Y POTENCIALES CONSECUENCIAS-
ÁREA-TENOLOGÍA DE LA INFORMACIÓN...........................................................113
TABLA 51: ORIGEN DEL RIESGO Y POTENCIALES CONSECUENCIAS-
ÁREA-EVENTOS EXTERNOS....................................................................................114
TABLA 52: PROBABILIDAD E IMPACTO/PREGUNTAS GENERALES..............116
TABLA 53: PROBABILIDAD E IMPACTO/PREGUNTAS GENERALES..............117
TABLA 54: PROBABILIDAD E IMPACTO/ÁREA- PROCESOS.............................118
TABLA 55: PROBABILIDAD E IMPACTO /AREA-PROCESOS.............................119
TABLA 56: PROBABILIDAD E IMPACTO /ÁREA-PERSONAS............................120
TABLA 57: PROBABILIDAD IMPACTO /ÁREA-TECNOLOGÍA DE LA
INFORMACIÓN............................................................................................................121
TABLA 58: PROBABILIDAD IMPACTO /ÁREA-TECNOLOGÍA DE LA
INFORMACIÓN............................................................................................................122
TABLA 59: PROBABILIDAD IMPACTO /ÁREA-TECNOLOGÍA DE LA
INFORMACIÓN............................................................................................................123
TABLA 60: PROBABILIDAD E IMPACTO /ÁREA EVENTOS EXTERNOS.........124
TABLA 61: VALORIZACIÓN, GRAVEDAD Y RESPUESTA AL
RIESGO/GENERALES.................................................................................................126
TABLA 62: VALORIZACIÓN, GRAVEDAD Y RESPUESTA AL
RIESGO/GENERALES.................................................................................................127
TABLA 63: VALORIZACIÓN, GRAVEDAD Y RESPUESTA AL
RIESGO/GENERALES.................................................................................................128
TABLA 64: VALORIZACIÓN, GRAVEDAD Y RESPUESTA AL RIESGO/
ÁREA PROCESOS........................................................................................................129
TABLA 65: VALORIZACIÓN, GRAVEDAD Y RESPUESTA AL RIESGO/
ÁREA PROCESOS........................................................................................................130
TABLA 66: VALORIZACIÓN, GRAVEDAD Y RESPUESTA AL RIESGO/
ÁREA PROCESOS........................................................................................................131
TABLA 67: VALORIZACIÓN, GRAVEDAD Y RESPUESTA AL RIESGO/
ÁREA PROCESOS........................................................................................................132
TABLA 68: VALORIZACIÓN, GRAVEDAD Y RESPUESTA AL RIESGO/
ÁREA PROCESOS........................................................................................................133
TABLA 69: VALORIZACIÓN, GRAVEDAD Y RESPUESTA AL RIESGO/
ÁREA –PERSONAS......................................................................................................134
TABLA 70: VALORIZACIÓN, GRAVEDAD Y RESPUESTA AL RIESGO/
ÁREA –PERSONAS......................................................................................................135
TABLA 71:VALORIZACIÓN, GRAVEDAD Y RESPUESTA AL RIESGO/ ÁREA
–TECNOLOGÍA DE LA INFORMACIÓN..................................................................136
TABLA 72: VALORIZACIÓN, GRAVEDAD Y RESPUESTA AL RIESGO/
ÁREA –TECNOLOGÍA DE LA INFORMACIÓN......................................................137
TABLA 73: VALORIZACIÓN, GRAVEDAD Y RESPUESTA AL RIESGO/
ÁREA –TECNOLOGÍA DE LA INFORMACIÓN......................................................138
8
TABLA 74: VALORIZACIÓN, GRAVEDAD Y RESPUESTA AL RIESGO/
ÁREA –TECNOLOGÍA DE LA INFORMACIÓN......................................................139
TABLA 75: VALORIZACIÓN, GRAVEDAD Y RESPUESTA AL RIESGO/
ÁREA EVENTOS EXTERNOS....................................................................................140
TABLA 76: SEMAFORIZACIÓN / MAPA DE RIESGOS.........................................141
9
INTRODUCCIÓN
Hay que tener presente el riesgo que conlleva la adquisición de nuevas tecnologías,
debemos reconocer la existencia de vulnerabilidades para así poder dentro de lo
posible neutralizar, minimizar su impacto dentro de la entidad, evaluando los efectos
que podrían surgir en caso de que se materializaran los riesgos ya que toda
transacción se procesan a través del computador. Por la facilidad que tienen las
personas para acceder a las diferentes tipo de redes y por su impericia puede afectar
significativamente al proceso del negocio, lo cual, involucra una responsabilidad
para la Alta Dirección respecto a la administración de los riesgos, ya que el de no
hacerlo o no tener un debido plan de mitigación y respuesta a los riesgos, acarrearan
incuantificables pérdidas hasta una posible desaparición de la Entidad.
1
administración de procesos, las personas, la tecnología y los eventos externos en
forma efectiva y sustentable bajo un adecuado ambiente de control.
1
CAPÍTULO I
FUNDAMENTACIÓN
TEÓRICA .
1
1.1 RIESGO
1.2 CONCEPTO
Según resolución No JB-2004-631 de 22 de enero del 2004, de la
Superintendencia de Bancos y Seguros del Ecuador define el riesgo como:
“Riesgo es el potencial de que una amenaza determinada explote las
vulnerabilidades de un activo o grupo de activos ocasionando pérdida o daño a
la organización.”1
1.3TIPOS DE RIESGO
En la siguiente figura se resume los tipos de riesgo existentes, los mismos que
más adelante explicaremos.
1
Superintendencia de Bancos y Seguros-Republica Del Ecuador, Título X: De la Gestión y
Administración de Riesgos. Capitulo I: De La Gestión Integral Y Control De Riesgos (de 22 Enero de
2004)
1
Ilustración 1 Tipos de Riesgo.
RIESGOS FINANCIEROS
Riesgo de Mercado
Riesgo de Crédito Riesgo OperativoRiesgo de Reputación
Riesgo Legal
Riesgo de Liquidez
Riesgo de ControlResgo Inherente
No disponer de efectivo, inmediato. tema juridico Dado dentro de la empresa. Propio del trabajo.
14
1.3.1 RIESGO FINANCIERO
2
Superintendencia de Bancos y Seguros-Titulo X-Capitulo v-Administración del Riesgo.
3
LIBRO I.- NORMAS GENERALES PARA LA APLICACIÓN DE LA LEY GENERAL DE
INSTITUCIONES DEL SISTEMAS FINANCIERO-TITULO X-CAPITULO I (Resolución No JB-
2005-834 de 20 de octubre del 2005).
1
1.3.3 RIESGO DE REPUTACIÓN.-Relacionado con el desprestigio que
pueda ocasionar por ejemplo el no concretar oportunidades de negocio
por falta de capacitación del personal clave, fraude o errores en la
ejecución de alguna operación.
1
1.4RIESGO OPERATIVO
1.4.1 CONCEPTO
1.4.2 IMPORTANCIA
4
“CAJAS GUIJARROJohn “Modelos de Enfoque de Medición Avanzado del Riesgo Operativo
(EMA)", Contribuciones a la Economía, Grupo Eumed.net (Universidad de Málaga), Mayo 2011.
1
1.4.3 CLASIFICACIÓN
PROCESOS
Gobernantes Productivos Apoyo
Incorporación PPEerRmSaOneNnAciSa
Desvinculación
O
TECNOLOGIA DE LA INFORMACI N
Manuales,Politicas de Controles: Integridad, Disp nibilidad y Confidencialidad
Reglamentosseguridad de o
Internos, etc.informacion.
EVENTOS EXTERNOS
Eventos fuerza mayor o caso fortuito
1
Tecnología de la Información, y Eventos Externos, los mismos que deben
ser administrados adecuadamente con el propósito de minimizar cada una
de las probabilidades de caer en pérdidas financieras atribuibles al riesgo
operativo, dichos factores deben estar relacionados entre sí que a
continuación describimos.
1
Ilustración 3 Ilustración 3 Políticas para la continuidad del negocio
Identificados los procesos críticos, se implantaran las siguientes políticas con el fin de evitar incurrir en p
procesos Determinacion de
Diseño claro de
responsables de los Difusio n y comunicacion de
adaptables y dinámicos. procesos, que entre otras los procesos, buscando su
Descripcion en secuencia actividades mantienen total aplicacion.
lógicayordenada de contactocon clientes Actualizacion constante de procesos.
d tareas.y
controles,activi ades internos y externos.
5
Superintendencia de Bancos y Seguros del Ecuador.
2
1.4.3.2 PERSONAS.- Las instituciones controladas deben administrar el capital
humano de forma adecuada, e identificar apropiadamente las fallas o
insuficiencias asociadas al factor “personas”, tales como: falta de personal
adecuado, negligencia, error humano, nepotismo de conformidad con las
disposiciones legales vigentes, inapropiadas relaciones interpersonales y
ambiente laboral desfavorable, falta de especificaciones claras en los términos
de contratación del personal, entre otros. Y se lograra esto definiendo
formalmente políticas, procesos y procedimientos tales como:
2
Las instituciones no tomarán en cuenta solamente la experiencia
profesional, formación académica, si no que evaluarán valores, actitudes y
habilidades personales que ayudarán a la excelencia institucional.
2
1.4.3.3 TECNOLOGÍAS DE INFORMACIÓN (TI).
Importancia del manejo de la TI.
Ilustración 4 Importancia de TI
2
a) Con el objeto de garantizar que la administración de la tecnología de
información soporte adecuadamente los requerimientos de operación
actuales y futuros de la entidad, las instituciones controladas deben
contar al menos con lo siguiente:
El apoyo y compromiso formal del directorio u organismo que haga sus veces y la alta gerencia.
Un plan funcional de TI alineado con el plan estratégico institucional; y un plan operativo que e
Un responsable de la información que se encargue principalmente de definir y autorizar de mane
Difusión y comunicación a todo el personal involucrado de las mencionadas políticas, procesos
2
Un procedimiento de clasificación y control de activos de tecnología de
información, que al menos considere, su registro e identificación, así
como los responsables de su uso y mantenimiento, especialmente de los
más importantes.
6
Superintendencia de Bancos y Seguros del Ecuador.
2
Políticas y procedimientos de seguridad de la información que
establezcan sus objetivos, importancia, normas, principios, requisitos de
cumplimiento, responsabilidades y comunicación de los incidentes
relativos a la seguridad; considerando los aspectos legales, así como las
consecuencias de violación de estas políticas.
2
autorizado y daños a los equipos de computación y a la información en
ellos procesada, almacenada o distribuida.
2
e) Con el objeto de garantizar la continuidad de las operaciones, las
instituciones controladas deben contar al menos con lo siguiente:
2
mantenimiento de aplicaciones, con la aceptación de los usuarios
involucrados.
1.5ADMINISTRACIÓN DE RIESGO
2
no es administrado adecuadamente puede afectar el logro de los
objetivos de estabilidad a largo plazo y la continuidad del negocio.
7
Superintendencia de Bancos y Seguros-Titulo X-Capitulo v-Administración del Riesgo.
3
para la aplicación de la ley General de Instituciones del Sistema Financiero
Ecuatoriano, BASILEA, COSO, COSO ERM, Superintendencia de Bancos
y Seguros, COBIT, etc.
8
Reporte Final Asociación de Supervisores Bancarios de las Américas (ASBA), entidad que tiene
como objetivo desarrollar, diseminar promover prácticas de supervisión bancaria y apoyar el
desarrollo de competencias y de recursos en supervisión bancaria en las Américas a través de la
efectiva capacitación con estándares internacionales.
3
Ilustración 7:Áreas críticas
1. P 2. PERSONAS
ROCESOS
Definir y form Las entidades Financieras
alizar de manera
adecuada sus procesos basado en la establecerán políticas, procesos y
planificación estr atégica y las políticas procedimientos para una correcta
establecidas para una mejor administración de capital humano
identificación de: para identificar sus áreas críticas
Diseño de procesos inadecuado, como:
Proceso no documentado o Perfil inadecu ado, Asignación
documentación incompleta, inadecuada de personal, Pérdida del
Implementación inadecuada de personal clave, Negligencia
procesos, Falta de automatización de (descuido – olvido), Falta de
los procesos, Ausencia de políticas o
políticas inadecuadas, Capacidad capacitación y entrenamiento,
instalada insuficiente, Debilidades en el Ausencia de reglamentos internos,
control interno, Debilidades en la Proceso de selección de personal
seguridad física inadecuado, Accidente de trabajo,
Contratos inadecuados, Selección Enfermedad laboral, Actividades no
inadecuada de los proveedores, autorizadas, Divulgación de
Información que carece de
información no autorizada,
ÁREAS
3. TECNOLOGÍA DE LA CRÍTICAS
4. EVENT OS EXTERNOS
INFORMACIÓN
Eventos que pudieran ocasionar
Definir políticas y procedimientos pérdidas financieras derivadas de
adecuados para una correcta fallas en los servicios como pueden
administración de la Tecnología de ser:
Información identificando sus áreas
críticas como: Fallas en el suministro de energía
Falta de capacidad de las Catástrofes naturales
telecomunicaciones, y hardware, Disturbios civiles
Debilidades en la seguridad Actos terroristas
informática, Errores en el diseño de Incumplimiento de contratos de
las interfaces,en el diseño de los terceros
aplicativos, y en la parametrización de Fraude externo/ Asalto/ Robo
las transaccio n es, Fallas en la Negligencia profesional de terceros
asignación de perfiles de usuarios, Cambios en las regulaciones/ Leyes
Fallas en el funcionamiento de Disposiciones gubernamentales
hardware, Mal funcionamiento de Intrusión en los sistemas informáticos
software, Fallas en redes, y en Intrusión en instalaciones físicas
equipos. Daños de terceros
3
Ilustración 9: Formato de vulnerabilidades y amenazas
FACT.
ACTIVIDADE PRODUCT PROCES RESPONSABL DE
Nro.
S O O ES RIESG
O
PROCESOS PERSONAS
TECNOLOGIA DE LA INFORMACION
EVENTOS EXTERNOS
FUENTES
RIESGO
OPERATIV O Fraude interno Fraude externo
Relaciones y Seguridad Laboral
Clientes, Producto y Prácticas Comerciales.
EVENTOS
Daños o Pérdidas de Activo Interrupción del Negocio y istemas
Ejecución, Entrega y Gestión de Procesos.
s
S
9
LIBRO I.- Normas Generales para la Aplicación de la Ley General de Instituciones del Sistema
Financiero/Anexo Nro. 1/pag.265.11.
3
Fuente: Superintendencia de Bancos y Seguros del Ecuador
Realizado por: Los autores
Cada uno de los eventos de riesgo operativo así como sus deficiencias serán
identificados en relación con los cuatro pilares que comprende el riesgo
operativo utilizando de una metodología formal, debidamente documentada
y aprobada. Dicha metodología podrá incorporar la utilización de las
herramientas que más se ajusten a las necesidades de la institución, entre las
cuales podrían estar: autoevaluación, mapas de riesgos, indicadores, tablas
de control (scorecards), bases de datos u otras.
3
Para todos los riesgos operativos materiales que han sido identificados, la
entidad debería decidir si usa procedimientos apropiados de control y/o
mitigación de los riesgos o asumirlos para los que no pueden ser
controlados, la institución financiera debería decidir si los acepta, mitiga,
traslada o eliminar la actividad que origina dicho riesgo. Debería cada
institución también contar con estrategias de mitigación, como los
seguros.
Calificación
Significado de la probabilidad
probabilidad
Baja Es muy poco factible que el hecho se presente
Media Factible que el hecho se presente
Alta Muy factible que el hecho se presente
Elaborado por: Los Autores
Fuente: UrbiCADarchitecture S.I. Metodología de Matriz de supervisión de riesgos.
3
1.5.6 DETERMINACIÓN DEL IMPACTO.
Calificación
Significado del impacto
del impacto
Bajo Sin registro histórico y factor de riesgo imperceptible
Medio Ocurrencia entre 6 y 11 años con factor de riesgo moderado
ALTO Ocurrencia entre 1 y 5 años con factor de riesgo moderado
Elaborado por: Los Autores
Fuente: Organización Mundial de la Propiedad Intelectual (OMPI)10
10
La Organización Mundial de la Propiedad Intelectual (OMPI) es el organismo del sistema de
organizaciones de las Naciones Unidas dedicado al uso de la propiedad intelectual (patentes, derecho
de autor, marcas, diseños (dibujos y modelos), etc.) como medio de estimular la innovación y la
creatividad.
3
Ilustración 14: Probabilidad de ocurrencia
Probabilidad de ocurrencia
Impacto Bajo Medio Alto
4 5 5
Alto
Moderado Alta Alta
3 3 5
Medio
Media Media Alta
1 2 4
Bajo Insignificante Baja Moderado
Elaborado por: los Autores
Fuente: Manual Normativo de Riesgos Tecnológico/Noviembre 2009, pag. 19
3
1.5.8 CLASIFICACIÓN Y DETERMINACIÓN DE LA GRAVEDAD DEL
RIESGO
3
efecto sobre la probabilidad e impacto del riesgo, así como los costes y
beneficios, y selecciona aquella que sitúe el riesgo residual dentro de las
tolerancias al riesgo establecidas11.
4
1.5.10 EVALUACIÓN DE CALIDAD DE LA GESTIÓN.
Control Efectividad
Ninguno 1
Bajo 2
Medio 3
Alto 4
destacado 5
Elaborado por: los Autores
Fuente:UrbiCADarchitecture S.I-Metodología de supervisión de riesgo
Probabilidad
Nro.
Factores de
Gravedad
x impacto
Nivel de
impacto
Riesgo de la Riesgo
Riesgo
de
entidad ejecutada
4
1.5.11 PLAN DE MITIGACIÓN
RESPONSABLE
INDICADORES
DESCRIPCIÓN
DEL RIESGO
ACTIVIDAD
PRIORIDAD
MEDIDAS
TIEMPO
RIESGO
ÁREA
No.
1.
Elaborado por: los autores
4
CAPÍTULO II
ANTECEDENTES DE LA
COOPERATIVA DE AHORRO Y
CRÉDITO FASAYÑAN LTDA.
4
2.1.1 CREACIÓN.
2.1.2 ESTRUCTURA
12
Plan estratégico 2009/2013 de la COOAC FASAYÑAN LTDA.
La Dirección Nacional de Cooperativas es un organismo técnico encargado de la asesoría,
fiscalización, educación y registro de los diferentes tipos de cooperativas.- información de acuerdo
IEPS (Instituto Nacional de Economía Popular y solidaria del Ecuador.
13
Plan estratégico 2009/2013 de la COOAC FASAYÑAN LTDA.
4
Ilustración 20: Organigrama de la COOPERATIVA FASAYÑAN LTDA.
ASAMBLEA GENERAL
Consejo De Vigilancia
Consejo De Administración
45
2.1.3 OBJETIVOS
Participar del 25% del mercado cantonal hasta el año 2013 con base a los
principios institucionales.
Contar con un patrimonio técnico del 15% sobre activos hasta finales del
2013.
Incrementar a la cartera un 30% anual a partir de la cartera del año 2009.
Mantener una cartera en riesgo no mayor al 4% anual.
Mejorar las captaciones de ahorro y plazo fijo.
Lograr una rentabilidad del 5% sobre activos hasta finales del 2013.
Mejorar la imagen institucional de la Cooperativa.
Lograr que el 80% de los clientes renueven sus créditos.
Brindar servicios de capacitación y asesoramiento a socios agricultores,
comerciantes, artesanos y más emprendedores.
2.1.4 MISIÓN
4
2.1.5 VISIÓN
2.1.6 UBICACIÓN
Delegsol
La Unión
Chordeleg y
Gualaceo
4
Ilustración 21:Mapa de las oficinas de la COOAC FASAYÑAN LTDA.
CLIENTES INTERNOS
4
Ilustración 22: Demandas de los clientes
CLIENTE DEMANDAS
DIRECTORIO Mayores dietas
Dedicar mayor tiempo para la cooperativa
Mayor conocimiento de normas y reglamentos
internos
Capacitarse continuamente
EMPLEADOS Constar con equipos funcionales
Un sistema contable eficiente
Que existan incentivos sobre resultados
Ambiente físico confortable
Elaborado por: Cooperativa de Ahorro y Crédito Fasayñan Ltda.
Fuente: Plan estratégico 2009/2013 de la COOAC FASAYÑAN LTDA.
CLIENTES EXTERNOS
4
Ilustración 23: Demanda de clientes externos.
CLIENTE DEMANDAS
ORGANIZACIÓN DE Tasa de interés más baja
PRODUCTORES Agilidad y oportunidad en la entrega de los
créditos
Mayores montos con garantía hipotecaria}
Menor monto de encaje
MICROEMPRESARIOS Montos más elevado
DE CHORDELEG Mayor agilidad en la entrega de los créditos
Plazos más largos
MICROEMPRESARIOS Que los montos sean mayores y más créditos
LOCALES Menor tiempo en la entrega de los créditos
SOCIOS EN GENERAL Mayor agilidad en la entrega de los créditos
Mejorar información antes del crédito
ORGANIZACIONES Una organización ligada a los procesos
SOIALES organizativos de la parroquia.
Elaborado por: Cooperativa de Ahorro y Crédito Fasayñan Ltda.
Fuente: Plan estratégico 2009/2013 de la COOAC FASAYÑAN LTDA.
ESTRATEGIAS
5
ÁREAS ESTRATÉGICAS PRIORITARIAS
5
OBJETIVOS, PRODUCTOS A OFRECER Y ESTRATEGIAS POR
SEGMENTOS DE CLIENTES.
MYPE RURAL
MYPE URBANA
MIGRANTES
INDIVIDUAL RURAL
5
CARACTERIZACIÓN DE LOS PRODUCTOS FINANCIEROS
MICRO EMPRESARIAL
Financiamiento actividades productivas diversas en las ramas de: artesanía,
servicios, comercialización, trasformación.
Grupo meta
Microempresarios que tenga su negocio en funcionamiento dentro de las
áreas de influencia de la cooperativa.
CRÉDITO INVERSIÓN
Financiamiento de inversiones no productivas como: adquisiciones de
terrenos, casa, vehículos
Grupo meta
Migrantes y socios individuales del área de influencia de la cooperativa
CRÉDITO EFLS
Destinado a capital de trabajo de EFL´s afine
Grupo meta
Estructuras financieras locales (EFL´s), afines
CREDI AGROPECUARIO
Financiamiento actividades productivas agropecuarias
Grupo meta
Agricultores del área de influencia de la cooperativa
CREDI CASH
Requerimientos urgentes y emergentes
Grupo meta
Socios individuales dentro de la zona de influencia con buen historial
crediticio y mínimo seis meses de socio.
CREDI CONSUMO
Requerimiento de libre disponibilidad
Grupo meta
Socios individuales dentro de la zona de influencia.
5
FODA DE LA COOPERATIVA DE AHORRO Y CREDITO FASAYÑAN
LTDA.
FACTORESINTERNOS
Ilustración 25: FODA-Factores Internos
POSICIÓN PRODUCTO-MERCADO
FORTALEZASDEBILIDADES
La cooperativa ofrece una tasa La cooperativa no cuenta con
para los ahorros a la vista muy análisis de los diferentes segmentos
competitiva. del mercado tanto en el ámbito
territorial como económico, por lo
Los ahorros de los socios no que sus productos financieros son
tienen recargos por comisiones ni generales.
costo de mantenimiento de la
cuenta. Si bien la cooperativa tiene
captaciones locales importantes no
Existe una diversidad de ha logrado captar recursos de
productos financieros para ahorro personas con mejor posición
crédito. económica quienes tienen en su
mayoría en otros bancos y de
La cooperativa cuenta con manera informal.
servicios complementarios al
ahorro y crédito que pueda generar
un valor agregado a los socios
tales como: cobros de agua, luz,
traslado de remesas y otras.
5
POSICIÓN FINANCIERA
Ilustración 26:FODA-Posición Financiera
POSICIÓN PRODUCTO-MERCADO
FORTALEZAS DEBILIDADES
Existe un crecimiento progresivo
e importante de las cunetas de Patrimonio está dentro de las normas
activo y pasivo de la cooperativa. de prudencia financiera, sin embargo
su crecimiento es menor en relación
El nivel de patrimonio frente al a los activos.
activo cumple con las normas de
prudencia financiera vigentes en
el país.
La demanda de cartera ha
mantenido una tendencia
creciente.
5
POSICIÓN ORGANIZACIONAL
Ilustración 27: FODA-Posición Organizacional
POSICIÓN PRODUCTO-MERCADO
FORTALEZASDEBILIDADES
La cooperativa cuenta con manual de funciones,
reglamento de crédito, manual de productos
En general la financieros, sin embargo los mismos son poco
cooperativa es una
conocidos por los integrantes del directorio y
organización sólida,
estable que está en empleados por lo tanto no se le pone en práctica.
franco proceso de
crecimiento. Las instrucciones internas desde el consejo en
Administración hacia gerencia y de esta hacia los
empleados son verbales, existiendo el riesgo que
Dentro del las mismas no se cumplan y no existen ningún
administrativo existe
respaldo para poder dar seguimiento.
agilidad y eficiencia
en la toma de
decisiones internas. El crédito es el principal activo de la cooperativa,
el mismo que es manejado eficientemente en
cuanto a la morosidad, sin embargo no se cuenta
con un manual de proceso de crédito que describa
las diferentes etapas desde el tramite hasta la
recuperación total del crédito.
5
POSICIÓN GESTION DE RECURSOS HUMANOS
Ilustración 28: FODA-Posición Recursos Humanos
POSICIÓN PRODUCTO-MERCADO
FORTALEZASDEBILIDADES
La cooperativa cuenta con el Los integrantes del directorio tienen
personal necesario para prestar un voluntad de trabajo, asisten
servicio necesario. constantemente a las reuniones, sin
embargo la mayoría desconocen
El equipo administrativo por lo procedimientos básicos, poniendo en
general cumple con riesgo la gobernabilidad de la
responsabilidad las actividades organización.
encomendadas.
Gerencia no cuenta con las
La cooperativa atiende a sus herramientas necesarias para que su
socios los seis días de la semana gestión sea más técnica.
dando las facilidades necesarias
para realizar sus transacciones. El riesgo está concentrado en la
seguridad tanto de la matriz como de
El sistema de remuneración de la la agencia.
cooperativa es atractivo, cumple
con todas las leyes laborales lo Existe aparente voluntad al cambio,
que permite al equipo sin embargo al momento de aplicar
administrativo trabajar con mayor existe resistencia.
seguridad.
5
FACTORES EXTERNOS
Ilustración 29: FODA-Factores Externos
OPORTUNIDADES AMENAZAS
El cantón Chordeleg ofrece la opción de ampliar el mercado con nuevos
socios.
Si bien existe un flujo de remesas importantes
La migración es un fenómeno de magnitud en la zona de influencia de la desde EE.UU, es cierto también que mucha
cooperativa, por lo tanto existe una cantidad importante de remesas que gente no tiene el mismo nivel de ingresos, esto
debe ser aprovechado. podría causar cierto tipo de dependencia de los
recursos externos.
La zona también se caracteriza por un rápido crecimiento urbano,
abriéndose la oportunidad para la colocación de crédito. La inversión en actividades productivas es muy
baja en la zona, no es la prioridad en la
La cooperativa cuenta con apoyo de organismos de Desarrollo y de crédito actualidad, esto provoca que mayor cantidad de
como: FEPP, BANCA ITALIANA, CODESARROLLO, REFLA, entre las créditos de la cooperativa no genere riqueza
más importantes. como estipula sus objetivos.
La zona como efecto de la migración ha generado fuentes de empleo sobre A nivel de país sobre todo, esto genera
todo en el sector de la construcción, esto implica mayores ingresos para los nerviosismo en los socios y podría repercutir
socios que pueden ser aprovechados como captaciones locales. negativamente en el crecimiento de la
cooperativa.
Principal tiene dos vías de acceso que les comunica con los cantones Sigsig
y Chordeleg, que están en buenas condiciones, sin embargo es importante Principal es una parroquia aislada del cantón,
para facilitar el flujo de personas hacia la cooperativa. esto genera cierta inseguridad, debido a la
ausencia de control policial, provocando riesgo
EL Sistemas de telecomunicaciones es bueno en la parroquia, se cuenta para los intereses de la organización.
con telefonía convencional, internet, etc. facilitando las comunicaciones
externas, dando cabida para ejecutar el servicio de remesas.
Elaborado por: Los Autores
Fuente: Plan Estratégico 2009-2013 de la Cooperativa de Ahorro y Crédito Fasayñan Ltda.
58
2.1.8 ANÁLISIS EXTERNO
ANALISÍS POLITICO
Especificas
Manual de funciones año 2006
Manual de política Laboral año 2006
Manual de créditos año 2006
Reglamento de Elecciones de la Cooperativa de Ahorro y Crédito
Fasayñan Ltda. Año 2009-2011
Reglamento de reuniones y dietas del directorio
16
Reglamento De Captaciones De La Cooperativa De Ahorro Y Crédito Fasayñan Ltda., Periodo 2011-
2013.
5
ANÁLISIS ECONÓMICO
Microcrédito
Microcrédito Acumulación Ampliada 22.44 25.5
Acumulación Ampliada
Microcrédito
Microcrédito Acumulación Simple 25.2 27.5
Acumulación Simple
Microcrédito
Microcrédito Minorista 28.82 30.5
Minorista
Fuente: Banco Central del Ecuador. Tasas de Interés octubre/2012
6
2. TASAS DE INTERÉS PASIVAS EFECTIVAS PROMEDIO POR
INSTRUMENTO
Tasas Referenciales % anual Tasas Referenciales % anual
Depósitos de
Depósitos monetarios 0.6 0.63
Tarjetahabientes
ANÁLISIS CULTURAL
Teniendo en cuenta la dimensión socio-cultural COOPERATIVA DE
AHORRO Y CRÉDITO FASAYÑAN LTDA., tiene en cuenta las variables
demográficas tales como: la tasa de crecimiento de la población, los
componentes de una sociedad comparten una serie de valores y creencias,
algunos de ellos son irrelevantes para una empresa, otros repercuten sobre su
forma de actuar. La forma en que la sociedad contempla la actividad
empresarial produce consecuencias en la actividad real de las organizaciones.
“Dentro de las actividades culturales la institución ha venido desde su creación
colaborando y dirigiendo múltiples eventos realizados cada año ya sea
presentados por comunidad, como por ejemplo proyectos que presente la
escuela, colegio o guardería de la localidad, también aceptan proyectos de la
Fundación Fuente de Vida que es una fundación para personas discapacitadas y
por ultimo apoyan en los proyectos vacacionales de los niño de la
comunidad”17
Srta. CASTRO Norma. Ex gerente, Oficial de Crédito de la Cooperativa Fasayñan Ltda./ 2012
17
6
CAPÍTULO III
ANÁLISIS
SITUACIONAL DE LA
COOPERATIVA DE
AHORRO Y CRÉDITO
FASAYÑAN LTDA.
6
3.1 EVALUACIÓN DE CONTROL INTERNO
6
Tabla 3: Cuestionario aplicado a la COOAC FASAYÑAN LTDA.Preguntas generales
PREGUNTAS GENERALES
Área Operativa: Hoja 2/2
Nro. PREGUNTA RESPUESTA
1 PREGUNTAS GENERALES SI NO
¿Cuenta la cooperativa con un Comité de
administración integral de riesgos, que es el órgano
creado por el directorio u organismo que haga sus
veces de la institución del sistema financiero, el mismo
1.7 que es responsable del diseño de las políticas, sistemas, 0
metodologías, modelos y procedimientos, para la
eficiente gestión integral de los riesgos y de manera
específica en los identificados en la actividad que
efectúa la entidad?
¿la cooperativa cuenta con una Unidad de
administración integral de riesgos.- que es un órgano
autónomo responsable de identificar, medir,
1.8 monitorear, controlar/mitigar y divulgar cada uno de 0
los riesgos identificados que enfrenta la institución del
sistema financiero y su concordancia con las políticas
que al efecto han sido emitidas por ella?
¿Existe un control de entrada y salida de información
1.9
para que la misma sea confiable? 1
6
Tabla 4: Cuestionario aplicado a la COOACFASAYÑAN LTDA. Área: Verificación de identidad
Área Operativa: 3.1.2 PROCESOS
1.1 Verificación de Identidad Hoja 1/1
RESPUESTA
Nro. PREGUNTA
SI NO
¿Recibe a las personas que se presentan
6
Tabla 5: Cuestionario aplicado a la COOACFASAYÑAN LTDA. Área -Caja
Área Operativa PROCESOS
Hoja 1/1
1.2 CAJA
RESPUESTA
Nro. PREGUNTA
SI NO
1.2.1 ¿Existe procedimientos escritos del uso de la caja? 0
1.2.2 ¿Existen formatos para reportes de caja? 1
¿Se realizan arqueos de caja sorpresivos del fondo
1.2.3 de caja? 0
¿Cada cajero prepara y firma el reporte de cuadre de
1.2.4 caja diario detallado el efectivo en su caja, de 1
acuerdo a la cantidad de billetes y monedas?
¿El efectivo de cada caja es conciliado diariamente
1.2.5 con el sistema? 1
¿Las diferencias encontradas son reportadas
1.2.6 y revisadas por un superior? 1
¿Las transferencias de dinero entre cajeros son
1.2.7 supervisadas y autorizadas? 1
¿Se limita a los cajeros que puedan laborar en otros
1.2.8 departamentos? 1
¿El cajero verifica minuciosamente los documentos,
1.2.9 firmas de los socios? 1
6
Tabla 6: Cuestionario aplicado a la COOAC FASAYÑAN LTDA. Área -Pagos
Área Operativa: PROCESOS
1.3 PAGOS Hoja ½
RESPUESTA
Nro. PREGUNTA
SI NO
¿Selecciona, entre las opciones mostradas por el
sistema, la cuenta de ahorro indicada por el
1.3.1 1
cooperativista o socio y consulta los datos generales
de la misma?
¿Verifica que el cooperativista o socio sea titular de
1.3.2 una cuenta activa, requiriéndole su cédula de 1
identidad, su libreta de ahorros?
¿Efectúa el control de firmas (legitimidad y forma)
en el caso que no se presente personalmente el
cooperativista titular, se requerirá al presentante la
1.3.3 1
correspondiente autorización escrita firmada por
aquél y se verifica la coincidencia de ésta con la que
brinda el sistema?
¿De no contar con la imagen de la firma, se
1.3.4 comprueba a través de fax enviado por la 1
Cooperativa donde está radicada la cuenta?
¿Si no es posible comprobar la titularidad de la
cuenta o ésta no se encuentre activa, se informa a
1.3.5 quien pretende efectuar el retiro que no es posible 1
procesar dicha operación?
¿De lo contrario, se ingresa el tipo de operación
“Retiro de Ahorros”, el monto indicado por el
1.3.6 1
cooperativista y la forma de pago, y se procesa la
operación?
¿Si no existen dudas sobre la identidad de la persona
se ingresa al módulo de Operaciones Financieras del
1.3.7 1
sistema e ingresa los datos de la misma a fin de
obtener el listado de cuentas?
¿El sistema valida que la cuenta disponga de saldo
suficiente para realizar la operación, si el sistema
1.3.8 rechaza la operación, se informa al cooperativista o 1
socio que su saldo no es suficiente y que puede
intentar retirar un monto menor?
¿Si la operación es aprobada, en forma automática se
1.3.9 dispondrá para imprimir el comprobante de la 1
operación?
¿Realiza impresiones del comprobante de la
1.3.10 1
operación?
6
Tabla 7: Cuestionario aplicado a la COOAC FASAYÑAN LTDA. Área -Pagos
Área Operativa: PROCESOS
1.3 PAGOS Hoja 2/2
RESPUESTA
Nro. PREGUNTA
SI NO
¿Solicita la firma del cooperativista sobre 2 (dos)
copias de los comprobantes impresos, archiva uno en la
1.3.11 documentación de caja y el restante se archiva como 1
documentación de control?
¿Sella la copia restante y entrega al solicitante junto
1.3.12 con el dinero? 0
Elaborado por: Los Autores
Fecha: Junio- 2012
6
Tabla 9: Cuestionario aplicado a la COOAC FASAYÑAN LTDA. Área -Recaudación
Área
PROCESOS
Operativa:
1.4 RECAUDACIÓN Hoja 2/2
RESPUESTA
Nro. PREGUNTA
SI NO
¿Verifica el monto del depósito a efectuar, si el mismo es
igual o superior al indicado, o si contiene alguna de las
1.4.9 características establecidas en la “Ley Contra el Delito de 0
Lavado de Activos” como sujeto a ser informado a la
Superintendencia de Bancos y Seguros (SBS).?
¿Si el monto del depósito contiene alguna de las
características indicadas en el párrafo anterior, confecciona
1.4.10 formulario de declaración de licitud de fondos y 0
transacciones y solicita al depositante lo complete en las
partes pertinentes y lo firme?
¿Si la persona no completa y firma el formulario indicado,
deja sin efecto la operación, reintegrándole la
1.4.11 1
documentación, de lo contrario, continúa con los pasos
siguientes?
¿Ingresa el tipo de operación “Depósito de
1.4.12 Ahorro”/“Depósito de Aportaciones” y el monto indicado 1
por el cooperativista?
¿Para imprimir el comprobante de la operación dispone en
1.4.13 1
forma automática?
1.4.14 ¿Realiza impresiones del comprobante de la operación? 1
¿Solicita la firma del cooperativista en las dos copias, una
1.4.15 de las cuales se archiva en la documentación de caja y la 1
otra se entrega al socio?
Elaborado por: Los Autores
Fecha: Junio- 2012
6
Tabla 10: Cuestionario aplicadoa la COOAC FASAYÑAN LTDA. Área –Servicios Básicos
Área Operativa: PROCESOS
1.5 PAGO DE SERVICIOS BÁSICOS Hoja 1/ 1
RESPUESTA
Nro. PREGUNTA
SI NO
¿Existe un manual de procesos para el pago servicios
1.5.1 básicos? 0
7
Tabla 11: Cuestionario aplicado a la COOAC FASAYÑAN LTDA. Área –Identificación Remesa
Área Operativa: PROCESOS
1.6.1 IDENTIFICACIÓN DE LA REMESA Hoja 1/ 2
RESPUESTA
Nro. PREGUNTA
SI NO
¿Verifica que los datos incluidos en la documentación
1.6.1.1 presentada sean coincidentes con la persona y con la 1
información que ésta provea?
¿Si existen dudas con respecto a la veracidad de la
documentación presentada, se solicita la
1.6.1.2 complementación de la documentación presentada con 1
Libreta de aportaciones o documentación personal que
acrediten su identidad?
¿Si luego del análisis de la documentación adicional la
1.6.1.3 identidad de la persona no pudo verificarse con certeza, 1
se envía a Gerencia para su revisión?
¿Si no existen dudas sobre la identidad de la persona se
1.6.1.4 ingresa al módulo de Pago de Remesas del sistema? 1
7
Tabla 12: Cuestionario aplicado a la COOAC FASAYÑAN LTDA. Área –Pago de Remesas
Área Operativa: PROCESOS
1.6.2 Pago de Remesas Hoja 1/
RESPUESTA
Nro. PREGUNTA
SI NO
¿Una vez verificada la identidad del afiliado e
identificada la remesa que se corresponda con los datos
1.6.2.1 1
y documentación suministrada, se ingresa al módulo de
Pago de Remesas del sistema de la cooperativa?
¿Se ingresa a la remesa correspondiente, se indica la
1.6.2.2 forma de pago y se procesa el pago de la misma? 1
¿En forma automática, se dispondrá para impresión el
1.6.2.3 comprobante de la operación? 1
¿Realiza 2 (dos) impresiones del comprobante de la
1.6.2.4 operación? 1
¿Solicita la firma del beneficiario sobre 2 (dos) copias
de los comprobantes impresos? Archiva uno en la
documentación de caja para su control y el restante se
1.6.2.5 entrega al socio. Si el pago requiere de la autorización 1
de gerencia, ¿firma éste las dos copias y solicita que
inserte la leyenda “autorizado”?
7
Tabla 13: Cuestionario aplicado a la COOAC FASAYÑAN LTDA. Área –Crédito
Área Operativa: PROCESOS
1.7 CRÉDITO Hoja 1/ 2
RESPUESTA
Nro. PREGUNTA
SI NO
¿Los formularios de solicitudes de créditos de deudor y
1.7.1 fiador tienen un número correlativo? 1
¿Son verificadas las recomendaciones dentro del
1.7.2 proceso de aprobación del crédito? 1
¿Cuentan los ejecutivos o jefes del área con metas
1.7.3 mensuales por otorgamiento de crédito? 1
¿Los jefes de crédito realizan visitas de campo para
1.7.4 promocionar los créditos? 1
¿La institución cuenta con niveles de aprobación para
1.7.5 el otorgamiento de Crédito? 1
¿Al momento de la atención al socio del crédito, piden
al mismo referencias básicas, le informan sobre las
1.7.6 políticas de crédito, cuál será la inversión del crédito, 1
información de actividad, ingresos, gastos, etc.?
¿Previa a la calificación del socio se verifica en central
1.7.7 de riesgos la misma? 1
¿En la apertura de cuentas se revisa documentación, se
1.7.8 llena solicitud de ingreso, luego se ingresa información 1
al sistema, procediendo a la apertura de cuentas?
¿En la entrega de solicitud y requisitos para crédito, los
1.7.9 mismos son de acuerdo al tipo de crédito? 1
¿La fecha de visitas, se acuerda en la recepción de
1.7.10 solicitudes? 1
¿Verifica la inversión propuesta y la existencia de la
1.7.11 actividad a financiar? 1
¿En la inspección, cuando el crédito es hipotecario,
1.7.12 existe personal específico para visitar el bien a 1
hipotecar y elaborar el informe respectivo?
¿Dentro de la calificación del riesgo, se verifica
1.7.13 información presentada por el socio, mediante llamadas 1
o visitas, etc.?
¿El análisis socioeconómico del socio, se realiza
1.7.14 mediante formato de análisis de crédito, en el mismo 1
que se analiza las cinco C?
Elaborado por: Los Autores/ Junio- 2012
7
Tabla 14: Cuestionario aplicado a la COOAC FASAYÑAN LTDA. Área –Crédito
Área Operativa: PROCESOS
1.7 CREDITO Hoja 2/ 2
RESPUESTA
Nro. PREGUNTA
SI NO
¿En la carpeta de crédito de contener tabla de
1.7.15 amortización en caso de un segundo crédito? 1
¿El consejo de administración para la realización de
1.7.16 1
créditos necesita de mayoría simple?
¿En la aprobación del crédito, gerencia realiza un
1.7.17 informe mensual de todos los créditos aprobados en el 1
mismo periodo?
¿En caso de créditos hipotecarios, el socio hace la
1.7.18 1
minuta?
¿En caso de crédito hipotecario inscribe la hipoteca en
1.7.19 la registraduría de la propiedad del cantón respectivo? 1
7
Tabla 15: Cuestionario aplicado a la COOAC FASAYÑAN LTDA. Área –Compras
Área Operativa: PROCESOS
1.8 COMPRAS Hoja 1/ 1
RESPUESTA
Nro. PREGUNTA
SI NO
¿Existe guías para la selección adecuada de los
1.8.1 proveedores? 1
¿La Cooperativa determina los requerimientos de
1.8.2 compras? 1
7
Tabla 16: Cuestionario aplicado a la COOAC FASAYÑAN LTDA. Área –Personas
Área Operativa: 3.1.3 PERSONAS
2 PERSONAS Hoja 1/ 1
RESPUESTA
Nro. PREGUNTA
SI NO
¿Existe un manual de procesos de incorporación del
2.1 nuevo personal? 0
Cuál de los siguientes procesos se toma en cuenta en
2.2 el manual de incorporación del personal:
2.3 Planificación de necesidades 1
2.4 Reclutamiento 1
2.5 Selección 1
2.6 Contratación e inducción. 1
¿Existe un manual de procesos de permanencia del
2.7 personal? 0
7
Tabla 17: Cuestionario aplicado a la COOAC FASAYÑAN LTDA. Área –Tecnología
Área Operativa: 3.1.4 TECNOLOGÍA DE INFORMACIÓN
3 TECNOLOGIA Hoja 1/ 4
RESPUESTA
Nro. PREGUNTA
SI NO
Con el objeto de garantizar que la administración
de la Tecnología de Información soporte
3.1 adecuadamente los requerimientos de la entidad, la
Cooperativa cuenta con:
3.1.1 ¿Apoyo de la Gerencia y Directorio? 1
¿Un plan funcional de TI alineado con plan estratégico
3.1.2 de la Cooperativa? 0
¿Un POA que establezca las actividades a ejecutar de
3.1.3 la TI para el logro de objetivos? 1
¿Un responsable de la información que se encargue de
3.1.4 los accesos, cambios funcionales a las aplicaciones, 1
monitoreo de controles?
¿Difusión y comunicación de políticas, procesos y
3.1.5 procedimientos al personal involucrado para asegurar 1
su implementación?
Con el objeto de garantizar que las operaciones de
3.2 TI satisfagan los requerimientos de la entidad la
Cooperativa cuenta con:
Manuales o reglamentos internos aprobados por el
3.2.1 directorio que establezcan:
Responsabilidades y procedimientos para la
3.2.2 operación 1
¿Uso de las instalaciones de procesamiento de la
3.2.3 información? 1
7
Tabla 18: Cuestionario aplicado a la COOAC FASAYÑAN LTDA. Área –Tecnología
TECNOLGÍA
Área Operativa: Hoja 2/ 4
3 TECNOLOGIA RESPUESTA
Nro. PREGUNTA SI NO
Con el objeto de garantizar que los recursos y
servicios provistos por terceros, se administren con
3.3
base en responsabilidades y estén sometidas a un
monitoreo, la Cooperativa cuenta con:
¿Responsabilidad de la empresa proveedora de la
3.3.1 tecnología en caso de ser vulnerables sus sistemas? 0
¿Transferencia del conocimiento por parte del
3.3.2 1
proveedor?
3.3.3 ¿Entrega documentación técnica y de usuario?
Con el objeto de garantizar que el sistema de
administración de seguridad satisfaga las
necesidades de la Cooperativa para salvaguardar la
3.4
información contra el uso, modificación no
autorizados, daños y pérdidas, la cooperativa
cuenta con:
¿Políticas y procedimientos de seguridad de la
información que establezcan sus objetivos,
3.4.1 0
importancia, normas, principios, requisitos de
cumplimiento, y responsabilidades?
¿La identificación de los requerimientos de seguridad
3.4.2 0
relacionados con la tecnología de información?
¿Los controles necesarios para asegurar la integridad,
3.4.3 disponibilidad y confidencialidad de la información 0
administrada?
¿Un sistema de administración de las seguridades de
acceso a la información, que defina las facultades y
3.4.4 atributos de los usuarios, desde el registro, eliminación 1
y modificación, pistas de auditoría?
¿Niveles de autorización de accesos que garanticen
3.4.5 una adecuada segregación de funciones y reduzcan el 1
riesgo de error o fraude?
¿Sistemas de control y autenticación para evitar
3.4.6 accesos no autorizados? 1
¿Controles adecuados para detectar y evitar la
instalación de software no autorizado o sin la
3.4.7 respectiva licencia, desinfección de virus informáticos 0
y demás software maliciosos?
Elaborado por: Los Autores/ Junio- 2012
7
Tabla 19: Cuestionario aplicado a la COOAC FASAYÑAN LTDA. Área –Tecnología
Área TECNOLOGÍA Hoja 3/ 4
Operativa
3 TECNOLOGIA RESPUESTA
Nro. PREGUNTA SI NO
¿Controles formales para proteger la información
contenida en documentos, medios de almacenamiento u
3.4.8 otros dispositivos externos para la utilización o 0
divulgación no autorizada de información para fines
contrarios a los intereses de la entidad?
¿Un procedimiento de clasificación y control de activos
3.4.9 de TI con su respectivo registro e identificación así como 0
responsable de su uso y mantenimiento?
¿Instalaciones de procesamiento de información crítica en
áreas protegidas con los suficientes controles que eviten el
3.4.10 acceso de personal no autorizado y daños a los equipos de 0
computación y a la información en ellos procesada,
almacenada o distribuida?
¿Un plan para evaluar el desempeño del sistema de
3.4.11 administración de la seguridad de la información? 0
7
Tabla 20: Cuestionario aplicado a la COOAC FASAYÑAN LTDA. Área –Tecnología
Área
TECNOLOGÍA Hoja 4/ 4
Operativa:
3 TECNOLOGIA RESPUESTA
Nro. PREGUNTA SI NO
Con el objeto de garantizar la continuidad de las
3.5 operaciones, la Cooperativa cuenta con:
¿Controles para minimizar riesgos de los equipos de
computación ante eventos imprevistos, como: fallas,
3.5.1 0
daños o insuficiencia de los recursos de TI; robo;
incendio; inundaciones; entre otros?
¿Políticas y procedimientos de respaldo de información
periódicos, que aseguren al menos que la información
3.5.2 1
crítica pueda ser recuperada en caso de falla de la TI o
con posterioridad a un evento inesperado?
¿Mantener los sistemas de comunicación y redundancia
3.5.3 los mismos que permitan garantizar la continuidad de sus 1
servicios?
¿Información de respaldo y procedimientos de
restauración en una ubicación remota, garantizando su
3.5.4 0
disponibilidad ante eventos de desastre en el centro de
procesamiento?
Con el objeto de garantizar que el proceso de
adquisición, desarrollo, implementación y
3.6
mantenimiento de las aplicaciones satisfagan los
objetivos del negocio, la Cooperativa cuenta con:
Una metodología que permita la adecuada administración
y control del proceso de compra de software y del ciclo
3.6.1 0
de vida de desarrollo y mantenimiento de aplicaciones,
con la aceptación de los usuarios involucrados.
¿Documentación técnica y de usuario permanentemente
3.6.2 0
actualizada de las aplicaciones de la institución?
¿Controles que permitan asegurar la adecuada
3.6.3 administración de versiones de las aplicaciones puestas en 0
producción?
¿Controles que aseguren que la calidad de la información
3.6.4 sometida a migración, cumple con las características de 0
integridad, disponibilidad y confidencialidad?
Con el objeto de garantizar que la infraestructura
tecnológica que soporta las operaciones, sea
3.6.5
administrada, monitoreada y documentada de forma
adecuada, la Cooperativa cuenta con:
¿Políticas y procedimientos que permitan la adecuada
3.6.6 administración, monitoreo y documentación de las bases 0
de datos, redes de datos, software de base y hardware?
Elaborado por: Los Autores/ Junio- 2012
8
Tabla 21: Cuestionario aplicado a la COOAC FASAYÑAN LTDA. Área –Eventos Externos
Área Operativa: 3.1.5 EVENTOS EXTERNOS Hoja 1/ 1
4 EVENTOS EXTERNOS RESPUESTA
Nro. PREGUNTA SI NO
La Cooperativa cuenta con planes de
contingencia y de continuidad del negocio, en
4.1
caso de que ocurra algún evento ajeno a su
control como:
4.1.1 ¿Fallas en el suministro de energía? 0
4.1.2 ¿Catástrofes naturales? 0
4.1.3 ¿Disturbios civiles? 0
4.1.4 ¿Actos terroristas? 0
4.1.5 ¿Incumplimiento de contratos de terceros? 0
4.1.6 ¿Fraude externo/ Asalto/ Robo? 0
Elaborado por: Los Autores/ Junio- 2012
8
3.1.6 RESUMEN DE LOS PRINCIPALES RIESGOS
Vemos que todos los cinco factores incluidos “las preguntas generales”, no
cuentan con controles para contrarrestar riesgos ya sea por fallas en los
sistemas; por negligencia, impericia de las personas; procesos y eventos que
están fuera de la operatividad normal de la entidad.
Por dar algunos ejemplos clarísimos, empezamos con que la entidad no cuenta
con un Código de Ética, siendo el mismo imprescindible en una organización,
ya que moldea y limita las actitudes del personal.
8
3.2 IDENTIFICACIÓNDE RIESGOS
8
Tabla 22: Identificación de Riesgos-Preguntas Generales
ÁREA
ACTIVIDADES PRODUCTO
PROCESO RESPONSABLES FACTORES DE RIESGO
Nro.
1. Autorización y apoyo de los niveles
superiores Gerencia.
Definir la Organigrama No se actualice la estructura
2. Acopio de la información Concejo de
estructura orgánica.
3. Clasificación y registro de la Administración
orgánica de
información
acuerdo a los
4. Análisis de la información
objetivos de la Niveles Gerencia.
Desconocimiento de los cargos por
Jerárquicos 5. Diseño del organigrama de acuerdo Concejo de
cooperativa. parte del personal de la entidad
definidos a los cargos y responsabilidades Administración
3.2.1GENERALES
Errores en el ingreso de la
Definir un 1. Clasificación de la información
Información información.
proceso de 2. Ingreso para procesamiento de la Gerencia.
procesada, Espacio de almacenamiento
administración información Concejo de
almacenada y insuficiente.
de la 3. Almacenamiento de la información Administración.
trasmitida. Que la información difundida sea
Información 4. Difusión de la información.
incorrecta.
8
Tabla 23: Identificación del Riesgo-Preguntas Generales
Hoja 2 de 16
AREA ACTIVIDADES PRODUCTO FACTORES DE
PROCESO RESPONSABLES
RIESGO
1. Identificar áreas más críticas e importantes de la
cooperativa en sus diferentes oficinas
Establecer
2. Determinar la probabilidad e Impacto de las áreas
procedimientos Pérdida de información.
Procedimientos críticas
alternativos a la Gerencia. Concejo La empresa no pueda
alternativos 3. Determinar Nivel de riesgo de cada área
operatividad de Administración reaccionar ante un
definidos. 4. Desarrollar el plan de mitigación de riesgo, los
normal de la cambio.
mismos que fueron identificados en las áreas
entidad.
5. Desarrollar recomendaciones para los riesgos
encontrados.
GENERALES
8
Hoja 3 de 16
Tabla 24:Identificación del Riesgo-Área-Procesos
FACTORES DE
ÁREA Nro. ACTIVIDADES PRODUCTO PROCESO RESPONSABLES
RIESGO
persona
4. Si es así proceden a realizar la los socios.
petición del socio o cliente
5. De lo contrario será negativa la
operación.
8
Hoja 4 de 16
Tabla 25: Identificación del Riesgo-Área-Procesos
RESPONSAB FACTORES DE
ÁREA Nro. ACTIVIDADES PRODUCTO PROCESO
LES RIESGO
1. Se selecciona en el sistema la opción
requerida por el socio
2. Se verifica que sea titular de una cuenta
requiriéndole su cédula de identidad No contar con su
3. A la misma que se realiza un control de respectiva
firmas (legitimidad y forma) documentación para el
4. En caso de no presentarse el titular se sustento del socio/cliente
1. PROCESOS
8
Tabla 26: Identificación del Riesgo-Área-Procesos
Hoja 5 de 16
PRODUC RESPONSA FACTORES DE
ÁREA Nro. ACTIVIDADES PROCESO
TO BLES RIESGO
8
Hoja 6 de 16
Tabla 27:Identificación del Riesgo -Área-Procesos
FACTORES
ÁREA Nro. ACTIVIDADES PRODUCTO PROCESO RESPONSABLES
DE RIESGO
8
Tabla 28: Identificación Del Riesgo -Área-Procesos
Hoja 7 de 16
ACTIV
PRODUC RESPONS
ÁREA Nro. IDADE PROCESO FACTORES DE RIESGO
TO ABLES
S
1. Al momento de la atención al socio del crédito, Crédito otorgado sin el análisis
se piden referencias básicas como: Cuál será la respectivo.
inversión del crédito, información de actividad, No se cuente con niveles de aprobación
ingresos, gastos, e informan sobre las políticas de del otorgamiento del crédito.
crédito etc. No pedir referencias suficientes al socio
2. Previa a la calificación del socio se verifica en sobre cuál será el destino del crédito.
central de riesgos la misma No se verifique la calificación del socio
3. En la entrega se solicitud y requisitos para en la Central de Riesgos
crédito los mismos son de acuerdo al tipo de Para el estudio socioeconómico del
1. PROCESOS
Crédito de
crédito, se verifica la inversión propuesta y la socio no se analice las cinco "C".
Consumo,
existencia de la actividad a financiar. Oficial de Cuando se proceda a la recuperación
1.4 Crédito Vivienda,
4. El análisis socioeconómico del socio, se realiza Crédito. administrativa no exista políticas para
Educación
mediante formato de análisis de crédito, en el debitar de los saldos disponibles de la
Inversión,
mismo que se realiza las 5 “C”. cuenta de ahorros de los socios
5. Para dar seguimiento del crédito, en No se cubra el valor en mora del cliente
coordinación con gerencia, se realiza un muestreo con recursos del garante.
y visitas sin previo aviso. No se realice un muestreo y visitas sin
6. Cuando un cliente se encuentra en mora, se previo aviso. (Se hace seguimiento de la
puede cubrir dicho valor con recursos de garantes, cartera de morosidad.)
previo aviso al mismo. No exista un organismo que autorice el
7. Por último se archiva la documentación por castigo de la cartera vencida.
número de créditos en carpeta independiente.
Elaborado por: Los Autores/ Junio- 2012
Tabla 29: Identificación del Riesgo -Área-Procesos
Hoja 8 de 16
9
ACTIVIDADE FACTORES DE
ÁREA Nro. PRODUCTO PROCESO RESPONSABLES
S RIESGO
1. La Cooperativa determina los
requerimientos de compras
2. Verifica su presupuesto antes de realizarlas.
3. Se envía órdenes de compras a varios
Que la entidad no
proveedores con el fin de buscar la opción más
envíe órdenes de
conveniente.
compras al
4. Selecciona al que más garantías le ofrece.
proveedor.
5. Pide garantías en compras realizadas.
PROCESOS
Adquisición de Desconocimiento de
6. Tiene diferentes niveles de autorización de
bienes, Gerente/Contador/Caje mejores garantías.
1.5 Compras para la mismas.
Software y ro/ra. Productos o
7. Verifica que cumplan condiciones
Hardware. servicios no
establecidas al momento de la entrega del
cotizados.
socio.
Productos con
8. Revisa que el documento de transferencia
características no
de los bienes o servicios está legalmente
especificadas.
autorizado.
9. Registra inmediatamente en su contabilidad
las compras realizadas.
10. Controla las compras bajo inventario.
Elaborado por: Los Autores/ Junio- 2012
9
Tabla 30: Identificación del Riesgo -Área-Personas
Hoja 9 de 16
PRODUC FACTORES DE
ÁREA Nro. ACTIVIDADES PROCESO RESPONSABLES
TO RIESGO
9
Tabla 31: Identificación del Riesgo -Área-Personas
Hoja 10 de 16
ACTIVIDA PRODUCT RESPONSA
ÁREA Nro. PROCESO FACTORES DE RIESGO
DES O BLES
1. Capacitación y formación de nuevo personal. No contar con procesos
2 Evaluación de desempeño definidos de permanencia
Gerencia.
3. Rendición de cuentas del personal, en el cual se
Estabilidad Consejo de
2.2. 4. Reconocimiento al personal por su desempeño. evalúe el desempeño,
del personal. Administració
5. Seguimiento para determinar el cumplimiento de motivación, segregación de
n.
lasfunciones asignadas al personal funciones y rotación de
Establecer 6. Cuentan con un seguro para accidentes de trabajo. personal
políticas, 1. Recibir los elementos suministrados por la Que no exista procesos
procesos de compañía, por ejemplo el computador, teléfono, formalmente establecidos
PERSONAS
9
Tabla 32: Identificación del Riesgo -Área-Tecnologías de Información
Hoja 11 de 16
Nro ACTIVIDA RESPON
ÁREA PRODUCTO PROCESO FACTORES DE RIESGO
. DES SABLES
1. Tener apoyo de la Gerencia y
Un plan Directorio.
funcional. 2. Contar con un plan funcional de
3.3.3TECNOLOGÍA DE INFORMACIÓN.
9
Tabla 33: Identificación del Riesgo -Área-Tecnologías de Información
Hoja 12 de 16
9
Tabla 34: Identificación del Riesgo -Área-Tecnologías de Información
Hoja 13 de 16
seguridad satisfaga
información confidencialidad de la
las necesidades de maliciosos.
contra el uso, información.
la entidad para Gerencia Que no exista un procedimiento de
3.3 modificación 4. Contar con un sistema de
salvaguardar la administración de las Ing. Sistemas. clasificación y control de activos de TI
no
información contra seguridades de acceso a la con su respectivo registro e
autorizados,
el uso, identificación así como responsable de
daños y información.
modificación no 5. Tener un Sistemas de control su uso y mantenimiento.
pérdidas
autorizada, daños y autenticación para evitar
y pérdidas. accesos no autorizados. Que la COOPERATIVA no cuente
6. Crear controles adecuados con instalaciones de procesamiento de
para detectar y evitar la información crítica en áreas protegidas
instalación de software no
con los suficientes controles.
autorizado o sin la respectiva
licencia.
Elaborado por: Los Autores/ Junio- 2012
9
Tabla 35: Identificación del Riesgo -Área-Tecnologías de Información
Hoja 14 de 16
PRODUC RESPONSABLE FACTORES DE
ÁREA Nro. ACTIVIDADES PROCESO
TO S RIESGO
7. Hacer controles formales para proteger la
información contenida en documentos, medios de No contar con el
almacenamiento u otros dispositivos. servicio de
Garantizar que el 8. Tener un procedimiento de clasificación y transferencias y
sistema de control de activos de TI con su respectivo registro transacciones
administración de Salvaguard e identificación así como responsable. electrónicas.
ar la
TECNOLOGÍA DE LA
9
Tabla 36: Identificación del Riesgo -Área-Tecnologías deInformación
Hoja 15 de 16
ACTIVIDADE RESPONS
ÁREA Nro. PRODUCTO PROCESO FACTORES DE RIESGO
S ABLES
Desconocimiento de una metodología
1. Una metodología que permita la
que permita la adecuada
adecuada administración y control del
administración y control del proceso
Garantizar que el proceso de compra de software y del
de compra de software y del ciclo de
proceso de ciclo de vida de desarrollo y
vida de desarrollo.
TECNOLOGÍA DE LA INFORMACIÓN.
9
Tabla 37: Identificación del Riesgo -Área- Eventos Externos
Hoja 16 de 16
Catástrofes naturales
Contar con planes de
contingencia y de
continuidad del Planes de contingencia Disturbios civiles
Gerencia. Concejo de
4.1 negocio, en caso de de continuidad del
Administración
que ocurra algún negocio establecidos.
evento ajeno a su Actos terroristas
control
9
3.5IDENTIFICACIÓN DEL ORIGEN DEL RIESGO Y
POTENCIALES CONSECUENCIAS.
Una vez identificados los factores de riesgo para cada producto como
anteriormente se mencionó procedemos a realizar una descripción de las
potenciales consecuencias que originarían de darse dicho factor de riesgo, por
ejemplo el factor de riesgo de que “no se actualice la estructura orgánica
conllevaría por mencionar dos a que: la decisiones se tomen por personal no
idóneo, en las asignaciones exista doble autoridad, etc. Y de la misma manera
para cada factor de riesgo de los pilares del riesgo operativo.
100
Hoja 1 de 13
Tabla 38:Origen del riesgo y potenciales consecuencias-Preguntas Generales
10
Tabla 39: Origen del riesgo y potenciales consecuencias-Preguntas Generales
Hoja 2 de 13
ORIGEN
ACTIVIDADES FACTORES DE RIESGO DEL POTENCIAL CONSECUENCIA
RIESGO
Paralización de las actividades normales de la entidad, retraso en
Establecer
el cumplimiento de las diferentes actividades, Complicar el logro
procedimientos
Endógeno
Pérdida de información. de los objetivos de la entidad; Pérdida de tiempo y dinero;
alternativos a la
La empresa no pueda reaccionar ante un
operatividad incumplimiento con clientes y socios, La entidad corre el riesgo
cambio.
normal de la de perder información importante, en caso de darse algún evento
entidad.
negativo.
Crear un Comité
Posibilidad de incurrir con más frecuencia en riesgos.No tener una
Endógeno
de La Cooperativa no cuente con personal con
administración las competencias suficientes para elaborar o visión clara de como prevenir, identificar o contrarrestar porque
integral de ejecutar un plan para reducir riesgos. no existe un plan de contingencia para el mismo.
riesgos.
Que ingrese información que no sea de interés para las necesidades
Realizar el
de la Cooperativa.
Endógeno
control de
Que la información no cumpla con las Que salga información confidencial de la COOAC FASAYÑAN
entrada y salida
características de confidencialidad,
de la LTDA. Válida únicamente para los intereses de la misma,
integridad y disponibilidad.
información.
comprometiendo su estabilidad.
Elaborado por: Los Autores/ Junio- 2012
10
Hoja 2 de 13A
Tabla 40. Origen del riesgo y potenciales consecuencias-Preguntas Generales
ORIGEN
ACTIVIDADES FACTORES DE RIESGO DEL POTENCIAL CONSECUENCIA
RIESGO
Que se realice manualmente las
operaciones. Mayores costos, mayor consumo de tiempo en el procesamiento
Endógeno
Automatización Que no exista precisión en la entrada, de la información. Contaminación y daño ambiental.
de procesos. procesamiento y salida de la información. Disminución en la seguridad de las instalaciones y la protección
No disponibilidad inmediata de la a los trabajadores.
información
Conflictos y problemas constantes en los empleados de la
Endógeno
No contar con una normativa interna de Cooperativa.
Crear un Código
comportamiento obligatorio de todos los Mal comportamiento por parte del personal de la Institución al
de ética.
integrantes de la Cooperativa no tener establecido lo que es permitido, bueno, malo etc., frente
a una decisión o acción.
Elaborado por: Los Autores/ Junio- 2012
10
Tabla 41: Origen del riesgo y potenciales consecuencias-Area-Procesos
Hoja 3 de 13
ÁREA 3.5.2 PROCESOS
ORIGEN
ACTIVIDAD
Nro. FACTORES DE RIESGO DEL POTENCIAL CONSECUENCIA
ES
RIESGO
Al no revisar minuciosamente los documentos y firmas
de los socios/clientes, existe la posibilidad hacer la
Endógeno
Verificación Que no se verifique minuciosamente los
1.1 transacción incorrecta de la operación solicitada por el
de identidad documentos y firmas de los socios.
socio o cliente, Hacer pagos o cobros inadecuados de
los mismos.
No se comprueba si hay faltantes o sobrantes en caja y
no se puede comprobar que su manejo haya sido
Endógeno
No se realicen arqueos oportunos de caja. adecuado por parte del custodio del efectivo,
dificultando la identificación de hallazgos, para tomar
1.2 Caja las medidas de control necesarias.
La COAC FASAYÑAN, al no tener seguridad en el
Endógeno
área de caja (llaves), está expuesta algún tipo de atraco
Robos de dinero y documentos mercantiles
como robo, ya sea por parte de empleados, clientes o
cualquier otra persona.
No contar con su respectiva documentación para
Entrega de dinero a persona incorrecta; Problemas con
el sustento del socio/cliente como para la
Endógeno
las entidades controladoras al no emitir documentos de
institución.Que no se emitan comprobantes de las
1.2.1 Pagos respaldo de las transacciones efectuadas durante un
transacciones realizadas.No tener el respaldo de la
periodo determinado; Sin respaldo de documentación
persona de que hizo la transacción tanto de la
que sirva para futuras rendición de cuentas.
Cooperativa como el beneficiario.
Elaborado por: Los Autores/ Junio- 2012
10
Tabla 42: Origen del Riesgo y Potenciales Consecuencias-Área-Procesos
Hoja 4 de 13
Nro. ACTIVIDADES FACTORES DE RIESGO ORIGEN DEL RIESGO POTENCIAL CONSECUENCIA
Que el origen de los fondos no
Que existe lavado de activos; Que haya faltante de
1.2.2 Recaudación sea lícito; Que existan billetes Endógeno
dinero por recibir billetes falsos.
falsos.
Falta de pago para uno (socio) y sobrante para otro;
reclamos por parte de socio/cliente; Mala reputación
Cobro de Cobrar servicio de un usuario
1.2.3 Endógeno de la institución; desconfianza de quienes hacen uso
servicios básicos diferente.
de los servicios de la entidad; y como consecuencia la
pérdida de socios.
Desconfianza del socio/cliente perjudicado; Que la
Verificar que los entidad vea detenida su crecimiento por no uso de sus
datos del Alteración de identidad. Endógeno servicios, ya sea por nuevos como antiguos
socio/cliente socios/clientes debido a los controles deficientes
1.3 coincidan con los existentes.
datos de la
remesa y pago de Entrega de dinero a beneficiario Inconformidad y reclamos por parte de beneficiarios
la misma. Endógeno perjudicados; Faltante de dinero; Pérdida en la
diferente.
demanda de remesas sobre todo por los migrantes.
10
Tabla 43: Origen del riesgo y potenciales consecuencias-Área-Procesos
Hoja 5 de 13
Nro. ACTIVIDADES FACTORES DE RIESGO ORIGEN DEL RIESGO POTENCIAL CONSECUENCIA
10
Tabla 44:Origen del riesgo y potenciales consecuencias-Área-Procesos
Hoja 6 de 13
10
Tabla 45: Origen del riesgo y potenciales consecuencias-Área-Personas
Hoja 7 de 13
3.5.3 PERSONAS
ÁREA
ORIGEN
Nro. ACTIVIDADES FACTORES DE RIESGO DEL POTENCIAL CONSECUENCIA
RIESGO
10
Tabla 46: Origen del riesgo y potenciales consecuencias-Área-Personas
Hoja 8 de 13
ORIGEN DEL
Nro. ACTIVIDADES FACTORES DE RIESGO POTENCIAL CONSECUENCIA
RIESGO
10
Tabla 47: Origen del riesgo y potenciales consecuencias-área-Tecnología de Información
Hoja 9 de 13
ÁREA 3.5.4 TECNOLOGÍA DE INFORMACIÓN
Nro. ACTIVIDADES FACTORES DE RIESGO ORIGEN DEL RIESGO POTENCIAL CONSECUENCIA
Desconocimiento de las responsabilidades
Garantizar que la y procedimientos para la operación.
administración y No exista por escrito el uso de las Paralización de las operaciones normales de la
las operaciones instalaciones de procesamiento de la empresa por eventos inesperados y que no se
3.1 de la TI información. Endógeno puedan solucionar por la ausencia de
satisfagan los No se encuentre establecido las normas, manuales o reglamentos de las tecnologías de
requerimientos principios, y lineamientos aplicables en la información.
de la entidad. cooperativa, que establezcan respuestas a
incidentes de TI.
Desconocimiento de los sistemas a las
Garantizar que
vulnerabilidades. Total dependencia con los proveedores
los recursos y
Sistemas o equipos no estén sometidos a externos.
servicios
un monitoreo de su Eficiencia y Sistemas sin mantener la integridad,
provistos por
Efectividad. disponibilidad y confidencialidad de la
terceros, se
3.2 Que la empresa proveedora no cumpla con Endógeno información.
administren con
el contrato o con sus responsabilidades. Retraso en el cumplimiento de las
base en
Que no exista una transferencia del obligaciones con los socios/clientes.
responsabilidades
conocimiento. Paralización de las actividades de la entidad al
y estén sometidas
Que no se entregue documentación presentarse problemas en el sistema.
a un monitoreo.
técnica y de usuario.
Elaborado por: Los Autores/ Junio- 2012
11
Tabla 48: Origen Del Riesgo Y Potenciales Consecuencias-Área- Tecnología De La Información
Hoja 10/13
Nro ACTIVID ORIGEN
FACTORES DE RIESGO POTENCIAL CONSECUENCIA
. AD RIESGO
No cuente con controles adecuados Disponibilidad de ataques externos especialmente a la información
11
Tabla 49: OrigenDel Riesgo Y Potenciales Consecuencias-Área-Tenología De La Información
Hoja 11 de 13
11
Tabla 50: OrigenDel Riesgo Y Potenciales Consecuencias-Área-Tenología De La Información
Hoja 12 de 13
ORIGEN DEL
Nro. ACTIVIDADES FACTORES DE RIESGO POTENCIAL CONSECUENCIA
RIESGO
Desconocimiento de una metodología que
permita la adecuada administración y control Contar con software de versiones pasadas, es decir
Garantizar que del proceso de compra de software y del ciclo que su vida útil se terminó y que las mismas no
el proceso de de Endógeno
vida de desarrollo. cumplan con las exigencias de las operaciones de la
adquisición, Que no le garanticen el mantenimiento de entidad;
desarrollo, aplicaciones.
implementación
y
mantenimiento Consumos de tiempo mayor, lo que en lo posterior se
3,5 de las Que la Cooperativa no cuente con controles convierte en mayor gasto económico; Preocupación
aplicaciones que permitan asegurar la adecuada de mantener un registro de ficheros a modificar y
Endógeno
satisfagan los administración de versiones de las aplicaciones desactualizados; subir una vez más la aplicación
objetivos del puestas en producción. completa si es que los ficheros modificados son
negocio y que la tantos que se ha perdido la cuenta.
infraestructura
tecnológica que No existen controles que permitan asegurar que
soporta las la calidad de la información sometida a Que no esté disponible la información cuando se
operaciones, sea migración, cumple con las características de Endógeno requiera.
administrada, Que la información no sea íntegra y confidencial.
integridad, disponibilidad y confidencialidad.
monitoreada y
documentada de La entidad no cuenta con políticas y
forma procedimientos que permitan la adecuada Perder información de base de datos importante.
3,6 adecuada. administración, monitoreo y documentación de Endógeno Personal no autorizado monitoree base de datos,
las bases de datos, redes de datos, software de software y hardware.
base y hardware.
Elaborado por: Los Autores/ Junio- 2012
11
Tabla 51:Origen Del Riesgo Y Potenciales Consecuencias-Área-Eventos Externos
Hoja 13 de 13
3.5.5 EVENTOS EXTERNOS
AREA
ORIGEN DEL
Nro. ACTIVIDADES FACTORES DE RIESGO RIESGO POTENCIAL CONSECUENCIA
11
3.6 DETERMINACIÓN DE LA PROBABILIDAD E IMPACTO
11
Tabla 52: Probabilidad E Impacto/Preguntas Generales
Hoja 1 de 9
AREA 3.6.1 PREGUNNTAS GENERALES
PROBABILIDAD
FACTORES DE IMPACT
ACTIVIDADES DE
RIESGO O
OCURRENCIA
Definir la estructura No se actualice la MEDIA MEDIO
orgánica de acuerdo a estructura orgánica.
los objetivos de la Desconocimiento de los
cooperativa. cargos por parte del BAJA MEDIO
personal de la entidad
Errores en el ingreso de la
información.
Definir un proceso de Espacio de
administración de la almacenamiento ALTA ALTO
Información insuficiente.
Que la información
difundida sea incorrecta.
Falte espacio físico.
Disponibilidad de
Construir información y
infraestructura que documentación
permita alojar recursos confidencial. MEDIA ALTO
físicos relacionados con Disponibilidad al polvo.
TI. No apoyar la continuidad
de operaciones.
Mayor deterioro del
Equipos.
Establecer Pérdida de información.
procedimientos La empresa no pueda
alternativos a la reaccionar ante un cambio. BAJA ALTO
operatividad normal de
la entidad.
Elaborado por: Los Autores/ Julio- 2012
11
Tabla 53: Probabilidad E Impacto/Preguntas Generales
Hoja 2 de 9
PROBABILID
AD DE
ACTIVIDADES FACTORES DE RIESGO IMPACTO
OCURRENCI
A
Crear un Comité La Cooperativa no cuente con
de administración personal con las competencias
ALTA ALTO
integral de suficientes para elaborar o ejecutar
riesgos un plan para reducir riesgos.
11
Tabla 54:Probabilidad E Impacto/Área- Procesos
Hoja 3 de 9
AREA 3.6.2 PROCESOS
PROBABILID
AD DE
ACTIVIDADES FACTORES DE RIESGO IMPACTO
OCURRENCI
A
No se realicen arqueos oportunos
BAJA MEDIO
de caja.
Caja
Robos de dinero y documentos
ALTA ALTO
mercantiles
11
Tabla 55: Probabilidad E Impacto /Area-Procesos
Hoja 4 de 8
PROBABILIDA
ACTIVIDADE
FACTORES DE RIESGO D DE IMPACTO
S
OCURRENCIA
Crédito otorgado sin el análisis
BAJA ALTO
respectivo.
No se cuente con niveles de
aprobación del otorgamiento del BAJA MEDIO
crédito.
No pedir referencias suficientes al
socio sobre cuál será el destino del BAJA ALTO
crédito.
No se verifique la calificación del
socio en la Central de Riesgos. BAJA ALTO
11
Tabla 56: Probabilidad E Impacto /Área-Personas
Hoja 5 de 9
PROBABILIDAD
ACTIVIDADES FACTORES DE RIESGO DE IMPACTO
OCURRENCIA
No contar con un proceso
definido de incorporación del ALTA MEDIO
nuevo personal.
Personal cesado.
La desvinculación del personal no
ALTA MEDIO
se realice por medio del
organismo competente.
12
Tabla 57: Probabilidad Impacto /Área-Tecnología De La Información
Hoja 6 de 9
AREA 3.6.4 TECNOLOGÍA DE LA INFORMACIÓN
Desconocimiento de plazos de
cumplimiento de los planes.
Sin un responsable que se encargue de
ALTA ALTO
definir, autorizar los accesos y cambios.
Custodio de la información sin
Garantizar que la conocimientos de políticas.
administración y las
operaciones de la TI Desconocimiento de las
satisfagan los responsabilidades y procedimientos para
requerimientos de la la operación.
entidad. No exista por escrito el uso de las
instalaciones de procesamiento de la
ALTA ALTO
información.
No se encuentre establecido las normas,
principios, y lineamientos aplicables en la
cooperativa, que establezcan respuestas a
incidentes de TI.
Desconocimiento de los sistemas a las
vulnerabilidades.
Sistemas o equipos no estén sometidos a
Garantizar que los
un monitoreo de su Eficiencia y
recursos y servicios
Efectividad.
provistos por terceros,
Que la empresa proveedora no
se administren con base ALTA ALTO
cumpla con el contrato o con sus
en responsabilidades y
responsabilidades.
estén sometidas a un
Que no exista una transferencia
monitoreo.
del conocimiento.
Que no se entregue documentación
técnica y de usuario.
Garantizar que el
sistema de
administración de
seguridad satisfaga las
Que no cuenten con controles necesarios
necesidades de la
para asegurar la integridad, disponibilidad
entidad para ALTA ALTO
y confidencialidad de la información
salvaguardar la
administrada.
información contra el
uso, modificación no
autorizada, daños y
pérdidas.
Elaborado por: Los Autores/ Julio- 2012
12
Tabla 58: Probabilidad Impacto /Área-Tecnología De La Información
Hoja 7 de 9
PROBABILIDAD
ACTIVIDADE
FACTORES DE RIESGO DE IMPACTO
S
OCURRENCIA
No cuente con controles
adecuados para detectar y evitar
la instalación de software no
autorizado o sin la respectiva ALTA ALTO
licencia, desinfección de virus
informáticos y demás software
maliciosos.
Que no exista un procedimiento
de clasificación y control de
Garantizar que activos de TI con su respectivo
ALTA MEDIO
el sistema de registro e identificación así como
administración responsable de su uso y
de seguridad mantenimiento.
satisfaga las
necesidades de
la entidad para Que la COOPERATIVA no
salvaguardar la cuente con instalaciones de
información procesamiento de información ALTA ALTO
contra el uso, crítica en áreas protegidas con
modificación los suficientes controles.
no autorizada,
daños y
pérdidas. No contar con el servicio de
transferencias y transacciones BAJA BAJO
electrónicas.
12
Tabla 59: Probabilidad Impacto /Área-Tecnología De La Información
Hoja 8 de 9
PROBABILIDAD
ACTIVIDADES FACTORES DE RIESGO DE IMPACTO
OCURRENCIA
Desconocimiento de una
metodología que permita la
adecuada administración y
control del proceso de compra
ALTA MEDIO
de software y del ciclo de vida
Garantizar que de desarrollo.
el proceso de Que no le garanticen el
adquisición, mantenimiento de aplicaciones.
desarrollo,
implementación Que la Cooperativa no cuente
y con controles que permitan
mantenimiento asegurar la adecuada
de las administración de versiones de ALTA MEDIO
aplicaciones las aplicaciones puestas en
satisfagan los producción.
objetivos del
negocio y que la No existen controles que
infraestructura permitan asegurar que la calidad
tecnológica que de la información sometida a
soporta las migración, cumple con las ALTA MEDIO
operaciones, sea características de integridad,
administrada, disponibilidad y
monitoreada y confidencialidad.
documentada de
forma La entidad no cuenta con
adecuada. políticas y procedimientos que
permitan la adecuada
administración, monitoreo y ALTA MEDIO
documentación de las bases de
datos, redes de datos, software
de base y hardware.
12
Tabla 60: Probabilidad E Impacto /Área Eventos Externos
Hoja 9 de 9
ACTIVIDA PROBABILIDAD DE
FACTORES DE RIESGO IMPACTO
DES OCURRENCIA
Fallas en el suministro de
MEDIA ALTO
energía
12
VALORIZACIÓN, GRAVEDAD Y RESPUESTA AL RIESGO
Luego analizaremos los controles con los que cuenta la Cooperativa, cuál es su
efectividad en valores y calcularemos el promedio de dichos controles de cada factor de
riesgo, resultado que servirá para determinar el riesgo residual para proponer medidas
correctivas.
12
3.7 GRAVEDAD, RESPUESTA DEL RIESGO Y RIESGO RESIDUAL
RESPUESTA
AL RIESGO
RESIDUAL
RIESGO
EFECT
FACTORES DE RIESGO
PROM
GRAVEDAD
P I CONTROL
P (*) I
MEDI
No se actualice la estructura orgánica. 3 por la asamblea 3 3 1
A
general.
MEDIO
MEDIA
Desconocimiento de los cargos por parte del personal de la Información de
BAJA
3 4 4 0,75
entidad. solicitud de crédito.
REDUCIR
Errores en el ingreso de la información.
Espacio de almacenamiento insuficiente. ALTA 5 Ninguno 1 1 5
Que la información difundida sea incorrecta.
ALTO
ALTA
Falte espacio físico.
Disponibilidad de información y documentación confidencial.
MEDIA
12
Tabla 62: Valorización, Gravedad y respuesta al riesgo/Generales
Hoja 2/15
ÁREA PREGUNTAS GENERALES
RESPUESTA
AL RIESGO
RIESGO
EFECTIV
PROMED
CONTRO
FACTORES DE RIESGO GRAVEDAD RESIDUAL
IDAD
P I
IO
P (*) I
L
Pérdida de información.
MODER
Guardan en CD´s
REDUC
ADA
La empresa no pueda reaccionar ante un BAJA ALTO 4 2 2 2
IR
diariamente
cambio.
MODERAD
REDUCIR
con las competencias suficientes para
ALTA ALTO 5 1 1 5
elaborar o ejecutar un plan para reducir
A
riesgos.
MODERAD
Que la información no cumpla con las Obligan a cumplir lo
REDUCIR
características de confidencialidad, MEDIA ALTO 5 estipulado en el 2 2 2,5
integridad y disponibilidad. A Reglamento interno
12
Tabla 63: Valorización, Gravedad y respuesta al riesgo/Generales
Hoja 3/15
ÁREA PREGUNTAS GENERALES
RESPUESTA
AL RIESGO
RIESGO
EFECTIV
PROMED
FACTORES DE RIESGO GRAVEDAD: RESIDUAL
IDAD
P I CONTROL
IO
P (*) I
MEDIA
MEDIO
procesamiento y salida de la información. 3 MEDIA REDUCIR cuando no hay 2 2 2
No disponibilidad inmediata de la sistema
información
Observación visual
No contar con una normativa interna de sobre el
MEDIO
ALTA
12
Tabla 64: Valorización, Gravedad y respuesta al riesgo/ Área Procesos
Hoja 4/15
ÁREA 3.7.2 PROCESOS
ANÁLISIS DEL
RESPUESTA AL
Controles de la Cooperativa
RIESGO
RESIDUAL
RIESGO
FACTORES DE RIESGO GRAVED
RIESGO
PROM.
EFEC.
P I AD CONTROL
P (*) I
MEDIA
MEDIA
MEDIO
firmas de los socios.
REDUCIR
No se realicen arqueos oportunos de caja. 3 Arqueos de caja diariamente 4 4 0,75
ALTA
ALTO
ALTA
Robos de dinero y documentos mercantiles 5 responsabilidad de mantener 1 1 5
segura su área de trabajo.
No contar con su respectiva documentación para el sustento
MODERADA
del socio/cliente como para la institución. El sistema que tiene la
REDUCIR
ALTO
Que no se emitan comprobantes de las transacciones BAJA Cooperativa no se puede
4 1 2 2
realizadas. hacer la transacción sin la
No tener el respaldo de la persona de que hizo la transacción impresión del comprobante
tanto de la Cooperativa como el beneficiario.
Que el origen de los fondos no sea lícito; Que existan cuentan con un manual
REDUC
4 4 1,25
ALT
ALT
IR
billetes falsos. contra lavado de Activos
A
A
12
Tabla 65: Valorización, Gravedad y respuesta al riesgo/ Área Procesos
Hoja 5/15
ÁREA PROCESOS
RESPUESTA AL
EFECTIVIDAD
RIESGO
PROMEDIO
RIESGO
CONTROL
FACTORES DE RIESGO GRAV
RESIDUAL
P I EDAD
P (*) I
INSIGNIFICANTE
Verificar
Cobrar servicio de un usuario minuciosamente el
BAJA
BAJO
1 REDUCIR 4 4 0,25
diferente. nombre y número de
usuario.
Verificar remitente y
MEDIA
MEDIO
BAJA
3 REDUCIR 2 2 1,5
diferente. para proceder la entrega
de dinero
13
Tabla 66: Valorización, Gravedad y respuesta al riesgo/ Área Procesos
Hoja 6/15
ÁREA PROCESOS
AL RIESGO
RIESGO
FACTORES DE RIESGO GRAVEDAD:
PROM
IVIDA
CONT
RESIDUAL
EDIO
ROL
P I
P (*) I
D
Verificación de
MODERA
Crédito otorgado sin el análisis
ALTO
BAJA
4 recomendaciones 5 5 0,8
DA
respectivo.
contenidas en carpetas.
ALTO MEDIO
C IR
BAJA BAJA
3 Manual interno 5 5 0,6
del otorgamiento del crédito.
MODE
C IR
4 5 5 0,8
sobre cuál será el destino del crédito. de crédito
Hace la encargada de
No se verifique la calificación del socio crédito llamadas a: otras
ALTO
BAJA
4 2 2 2
en la Central de Riesgos. instituciones financieras,
Función Judicial.
13
Tabla 67: Valorización, Gravedad y respuesta al riesgo/ Área Procesos
Hoja 7/15
ÁREA PROCESOS
RESPUESTA
AL RIESGO
GRAVEDAD RIESGO
EFECTIV
PROMED
CONTRO
FACTORES DE RIESGO
RESIDUAL
IDAD
P I :
IO
L
P (*) I
Gerencia verifica el
MODERAD
REDUCIR
Para el estudio socioeconómico del análisis de las mismas al
ALTO
BAJA
4 5 5 0,8
socio no se analice las cinco "C". momento de aprobar el
crédito.
MODERADA
REDUCIR
administrativa no exista políticas para Se realiza cada seis
ALTO
BAJA
4 5 5 0,8
debitar de los saldos disponibles de la meses
cuenta de ahorros de los socios.
Llamado de aviso al
REDUCIR REDUCIR
No se cubra el valor en mora del MODER
ALTO
BAJA
MEDIA
13
Tabla 68: Valorización, Gravedad y respuesta al Riesgo/ Área Procesos
Hoja 8/15
ÁREA PROCESOS
AL RIESGO
RESPUESTA
PROMEDIO
RIESGO
CONTROL
EFECTIVID
FACTORES DE RIESGO GRAVEDAD
RESIDUAL
AD
P I :
P (*) I
Comisión de
ACEPTAR
No exista un organismo que autorice el
MEDIA
BAJO
BAJA
3 Vigilancia y Concejo 4 4 0,5
castigo de la cartera vencida.
de Administración.
ALTO
ALTA
5 Ninguno 1 1 5
Productos o servicios no cotizados. R
Productos con características no
especificadas.
13
Tabla 69: Valorización, Gravedad y respuesta al Riesgo/ Área –Personas
Hoja 9/15
ÁREA 3.7.3 PERSONAS
ANÁLISIS DEL RIESGO Controles de la Cooperativa
RESPUESTA
AL RIESGO
RESIDUA
FACTORES DE RIESGO
EFECTI
PROME
CONTR
GRAVEDAD:
VIDAD
L
P I
DIO
OL
P (*) I
MEDIO
ALTA
5 REDUCIR Ninguno 1 1 5
incorporación del nuevo personal.
ALTA
ALTO
BAJA
Que no se realice el reclutamiento respectivo. 4 REDUCIR 3 3 1,33
MODERADA
Reuniones entre
ALTO
BAJA
13
Tabla 70: Valorización, Gravedad Y Respuesta Al Riesgo/ Área –Personas
Hoja 10/15
ÁREA PERSONAS
AL RIESGO
REDUCIR RESPUEST
RIESGO
FACTORES DE RIESGO GRAVEDAD RESIDUAL
PROM
IVIDA
CONT
P I
EDIO
ROL
P (*) I
D
No contar con procesos definidos de permanencia
del personal, en el cual se evalúe el desempeño,
ALTA
ALTA MEDIO 5 Ninguno 1 1 5
motivación, segregación de funciones y rotación de
personal.
REDUCIR
del personal, en el cual se evalúe el desempeño,
ALTA
ALTA MEDIO 5 Ninguno 1 1 5
motivación, segregación de funciones y rotación de
personal
Personal cesado.
REDUCI
MODER
ADA
La desvinculación del personal no se realice por ALTA MEDIO 5 Actas de finiquito. 2 1,7 3,0
R
medio del organismo competente.
Actas de finiquito. 2
MODERADA
Personal cesado.
REDUCIR
Visto Bueno. 1
La desvinculación del personal no se realice por ALTA MEDIO 5 1,7 3,0
medio del organismo competente. Aviso de salida
2
del IESS.
13
Tabla 71:Valorización, Gravedad y respuesta al riesgo/Área –Tecnología De La Información
Hoja 11/15
ÁREA 3.7.4 TECNOLOGÍA DE LA INFORMACIÓN
Controles de la
RESPUESTA AL
ANÁLISIS DEL RIESGO
Cooperativa
RIESGO
RESIDUAL
FACTORES DE RIESGO
RIESGO
GRAVEDAD
P I
PROM
Ninguno CONT
P (*) I
EFEC
Desconocimiento de plazos de cumplimiento de los planes.
ALTA
Sin un responsable que se encargue de definir, autorizar los accesos y 5 1 1 5
cambios.
Custodio de la información sin conocimientos de políticas.
Desconocimiento de las responsabilidades y procedimientos para la
operación.
No exista por escrito el uso de las instalaciones de procesamiento de la
Ninguno
ALTA
información. 5 1 1 5
REDUCIR
ALTA
ALTO
No se encuentre establecido las normas, principios, y lineamientos
aplicables en la cooperativa, que establezcan respuestas a incidentes de
TI.
Desconocimiento de los sistemas a las vulnerabilidades.
Sistemas o equipos no estén sometidos a un monitoreo de su Eficiencia
y Efectividad.
Ninguno
ALTA
Que la empresa proveedora no cumpla con el contrato o con sus 5 1 1 5
responsabilidades.
Que no exista una transferencia del conocimiento.
Que no se entregue documentación técnica y de usuario.
13
Elaborado por: Los Autores/Agosto- 2012
Tabla 72: Valorización, Gravedad y respuesta al riesgo/ área –tecnología de la información
Hoja 12/15
Controles de la
ANÁLISIS DEL RIESGO
RESP. AL RIESGO
Cooperativa
RESIDUAL
RIESGO
FACTORES DE RIESGO
CONTROL
EFECTIV
GRAVEDAD:
PROM
P I
P (*) I
ALTA
ALTO
integridad, disponibilidad y confidencialidad de la información 5 Ninguno 1 1 5
administrada.
ALTA
ALTO
instalación de software no autorizado o sin la respectiva licencia, 5 Ninguno 1 1 5
desinfección de virus informáticos y demás software maliciosos.
REDUCI
ALT
A
R
Que no exista un procedimiento de clasificación y control de
activos de TI con su respectivo registro e identificación así ALTA MEDIO 5 Ninguno 1 1 5
como responsable de su uso y mantenimiento.
13
Tabla 73: Valorización, Gravedad y respuesta al riesgo/ Área –Tecnología De La Información
Hoja 13/15
ÁREA TECNOLOGÍA DE LA INFORMACIÓN
Controles de la
ANÁLISIS DEL RIESGO
RESPUESTA AL
Cooperativa
RIESGO
RIESGO
FACTORES DE RIESGO RESIDUA
EFECTIVI
PROMED
CONTRO
GRAVEDAD: L
DAD
P I
P (*) I
L
INSIGNIFIC
REDUCIR
A NTE
Ninguno
No contar con el servicio de transferencias y
BAJA
BAJO
1 1 1 1
transacciones electrónicas.
REDUCIR
Ninguno
ALTA
ALTO
ALTA
procedimientos de restauración ante eventos de 5 1 1 5
desastre.
ALTA
compra de software y del ciclo de vida de desarrollo. ALTA O
5
R o
1 1 5
Que no le garanticen el mantenimiento de
aplicaciones.
Elaborado por: Los Autores/Agosto- 2012
13
Tabla 74: Valorización, Gravedad y respuesta al riesgo/ Área –Tecnología De La Información
Hoja 14/15
ÁREA TECNOLOGÍA DE INFORMACIÓN
Controles de la
ANÁLISIS DEL RIESGO
Cooperativa
RESPUESTA RIESGO
EFECTIVIDA
PROMEDIO
FACTORES DE RIESGO
CONTROL
GRAVEDA AL RIESGO RESIDUAL
P I D:
D
P (*) I
MEDIO
ninguno
ALTA
ALTA
permitan asegurar la adecuada administración de 5 REDUCIR 1 1 5
versiones de las aplicaciones puestas en
producción.
No existe controles que permitan asegurar que la
Ninguno
MEDIO
ALTA
ALTA
calidad de la información sometida a migración, 5 REDUCIR 1 1 5
cumple con las características de integridad,
disponibilidad y confidencialidad.
La entidad no cuenta con políticas y
procedimientos que permitan la adecuada
Ninguno
MEDIO
ALTA
ALTA
administración, monitoreo y documentación de las 5 REDUCIR 1 1 5
bases de datos, redes de datos, software de base y
hardware.
13
Tabla 75: Valorización, Gravedad y respuesta al Riesgo/ Área Eventos Externos
Hoja 15/15
ÁREA 3.7.5 EVENTOS EXTERNOS
ANÁLISIS DEL RIESGO Controles de la Cooperativa
RIESGO
RESPUESTA
RESIDU
FACTORES DE RIESGO
AL
PROME
GRAVEDAD:
EFECTI
CONTR
VIDAD
P I AL RIESGO
DIO
OL
P (*) I
ALT
fallas en el suministro de energía 5 Ninguno 1 1 5
IA
ME
A
AL
T
D
ALTO
BAJA
catástrofes naturales 4 Ninguno 1 1 4
REDUCIR/ACEPTAR
MEDI
BAJA
disturbios civiles 3 Ninguno 1 1 3
MODERADA
O
ALTO
BAJA
ALTA
14
3.8 MAPA DE RIESGOS
Tabla 76: Semaforización / Mapa De Riesgos
MAPA DE RIESGO
PRIOR.
PROB.
GRAV
IMP
DESCRIPCIÓN DE LOS RIESGOS
MEDIA
MEDIA
MEDIO
A No se actualice la estructura orgánica. 3
MEDIA
MEDIO
BAJA
B Desconocimiento de los cargos por parte del personal de la entidad 3
ALTO
ALTA
ALTA
C Espacio de almacenamiento insuficiente. 1
Que la información difundida sea incorrecta.
Falte espacio físico.
Disponibilidad de información y documentación confidencial.
MEDIA
ALTO
ALTA
D Disponibilidad al polvo. 1
No apoyar la continuidad de operaciones.
Mayor deterioro del Equipos.
MODERADA
ALTO
BAJA
Pérdida de información.
E 2
La empresa no pueda reaccionar ante un cambio. MODERADA
ALTO
ALTA
14
MEDIO
ALTA
ALTA
No contar con una normativa interna de comportamiento obligatorio
I 1
de todos los integrantes de la Cooperativa.
MEDIA
MEDIO
BAJA
Que no se verifique minuciosamente los documentos y firmas de
J 3
los socios.
MEDIA
MEDIO
BAJA
K No se realicen arqueos oportunos de caja. 3
ALTO
ALTA
ALTA
L Robos de dinero y documentos mercantiles 1
MODERADA
No contar con su respectiva documentación para el sustento del
socio/cliente como para la institución.
ALTO
BAJA
M Que no se emitan comprobantes de las transacciones realizadas. 2
No tener el respaldo de la persona de que hizo la transacción tanto
de la Cooperativa como el beneficiario.
ALTO
ALTA
ALTA
N Que el origen de los fondos no sea lícito; Que existan billetes falsos. 1
INSIGNIFICANTE
BAJO
BAJA
P Alteración de identidad. 3
MEDIA
MEDIO
BAJA
14
MEDIA
MEDIO
BAJA
No se cuente con niveles de aprobación del otorgamiento del
S 3
crédito.
MODERADA
ALTO
BAJA
No pedir referencias suficientes al socio sobre cuál será el destino
T 2
del crédito.
MODERADA
ALTO
BAJA
U No se verifique la calificación del socio en la Central de Riesgos. 2
MODERADA
ALTO
BAJA
Para el estudio socioeconómico del socio no se analice las cinco
V 2
"C".
MODERADA
Cuando se proceda a la recuperación administrativa no exista
ALTO
BAJA
W políticas para debitar de los saldos disponibles de la cuenta de 2
ahorros de los socios.
MODERADA
ALTO
BAJA
14
MEDIO
ALTA
ALTA
No contar con un proceso definido de incorporación del nuevo
AB 1
personal.
MODERADA
ALTO
BAJA
AC Que no se realice el reclutamiento respectivo. 2
MODERADA
ALTO
BAJA
AD No seleccionar a la persona más idónea. 2
MODERADA
ALTO
BAJA
AE Que no se contrate al personal adecuado. 2
MEDIA
MEDIA
MEDIO
AF La institución no planifique las necesidades. 3
ALTA
A
el cual se evalúe el desempeño, motivación, segregación de 1
G
funciones y rotación de personal MODERADA
Personal cesado.
MEDIO
ALTA
A
La desvinculación del personal no se realice por medio del 2
H
organismo competente.
ALTA
ALTA
AJ la información. 1
No se encuentre establecido las normas, principios, y lineamientos
aplicables en la cooperativa, que establezcan respuestas a incidentes
de TI.
14
Desconocimiento de los sistemas a las vulnerabilidades.
Sistemas o equipos no estén sometidos a un monitoreo de su
Eficiencia y Efectividad.
ALTO
ALTA
ALTA
A
Que la empresa proveedora no cumpla con el contrato o con sus 1
K
responsabilidades.
Que no exista una transferencia del conocimiento.
Que no se entregue documentación técnica y de usuario.
Que no cuenten con controles necesarios para asegurar la
ALTO
ALTA
ALTA
AL integridad, disponibilidad y confidencialidad de la información 1
administrada.
ALTO
ALTA
ALTA
A
instalación de software no autorizado o sin la respectiva licencia, 1
M
desinfección de virus informáticos y demás software maliciosos.
MEDIO
ALTA
ALTA
AN de TI con su respectivo registro e identificación así como 1
responsable de su uso y mantenimiento.
ALTO
ALTA
ALTA
A
procesamiento de información crítica en áreas protegidas con los 1
O
suficientes controles.
INSIGNIFICANTE
BAJO
No contar con el servicio de transferencias y transacciones BAJA 5
AP
electrónicas.
ALTO
ALTA
ALTA
ALTA
ALTA
ALTA
14
La entidad no cuenta con políticas y procedimientos que permitan la
MEDIO
ALTA
ALTA
AU adecuada administración, monitoreo y documentación de las bases 1
de datos, redes de datos, software de base y hardware.
MEDIA
ALTO
ALTA
AV Fallas en el suministro de energía 1
MODERADA
ALTO
BAJA
A
Catástrofes naturales 2
W
MEDIA
MEDIO
BAJA
AX Disturbios civiles 3
MODERADA
ALTO
BAJA
AY Actos terroristas 2
MODERADA
ALTO
BAJA
14
INSIGNIFICA
NTE BAJA MEDIA MODERADA ALTA
ZONAS DE GRAVEDAD
1 2y3 4 5
I AB A AO
C N
U
AI AQ
A
A F
G
T
ALTA
3 AH AM
A
L AL
N
A AS A KA J
R
A
PROBABILIDAD
B D
A
MEDIA
Z
2 A A
H
F V
A
A
A
W E M G
E
A A
P Y R U
X Z
BAJA
1 Q S K A A
O W X D V
A A A
J B
P C Y
T
IMPACTO
1 2 3
14
3.8.1 RESUMEN DEL RIESGO RESIDUAL
Luego analizar los controles con los que cuenta la Cooperativa, cuál es su
efectividad en valores y calcular el promedio de dichos controles de cada factor
de riesgo, procedemos a calcular el riesgo residual, el mismo que es resultado
de dividir el resultado de la gravedad para el promedio de la efectividad de los
controles internos de la entidad.
14
CAPITULO IV
PLAN DE
MITIGACIÓN
14
4.1 FILOSOFÍA
4.1.1 MISIÓN
La COOPERATIVA DE AHORRO Y CRÉDITO FASAYÑAN
LTDA, es:“una entidad financiera local, forma parte de redes y
otras organizaciones de integración cooperativista, que mediante
los servicios financieros y no financieros de alta calidad, crea
riqueza local y brinda mejores oportunidades de vida a los
socios agricultores, comerciantes, artesanos y más
emprendedores de la parroquia, principal y sectores aledaños al
cantón Chordeleg, enmarcándose en la solidaridad e igualdad
social.
4.1.2 VISIÓN
Para el año 2013 la cooperativa es una estructura financiera
solvente, confiable y eficiente con productos financieros y no
financieros, orientada a dinamizar el desarrollo local
fortaleciendo los sectores productivos, comerciales y de servicio
con dirigentes y personal capacitados, motivados y
comprometidos con la comunidad. Cuenta con tecnología
adecuada, con cobertura local y cantonal”18
15
4.3 IMPORTANCIA
15
N° 1 La Cooperativa no cuente con personal con las competencias
ÁREA: General suficientes para elaborar o ejecutar un plan para reducir riesgos.
OBJETIVO: Crear un Comité de administración integral de riesgos RESPUESTA AL RIESGO: Reducir
DESCRIPCIÓN DEL RIESGO
ECONÓMICOS
PRIORIDAD
TIEMPO
D. PLAZO
INICIO
FIN
1.1 Crear un comité de Gerente. Verificar el acta de la
02/01/2013
12/01/2013
GERENCIA. $
administración de riesgos, o 2 Miembros del concejo de 10 creación del concejo de
C.ADMINISTRACION. 200.00
elegir un responsable. administración. administración.
13/01/2013
16/01/2013
organizacional como GERENCIA Miembros del concejo de $ estructura
2 3
fundamento de las actividades C.ADMINISTRACIÓN. administración. 100.00 organizacional esté
de administración de riesgos. actualiza.
17/01/2013
28/01/2013
riesgos acorde a las 2 INTEGRAL DE 11
RIESGOS impresora 200.00 respaldadas por escrito y
circunstancias de la
Suministro de oficina. aprobadas por el concejo
institución
de Administración.
15
Miembros de la Asamblea general, Constatar que las actas
1.4 Involucrar a la dirección
general en las actividades de COMITÉ DE del Comité o responsable de se encuentren firmadas
administración de riesgos. $ por los involucrados
03/02/2013
ADMINISTRACIÓN
administración de riesgos, 2 5
29/01/201
INTEGRAL DE Reuniones. 100.00 (Dirección General y C.
mediante un acuerdo de RIESGOS Firmas de actas y acuerdos. de Administración de
Cooperación.
Computador/impresora Riesgos).
15
N° 2 DESCRIPCIÓN DEL RIESGO
ÁREA: General No contar con una normativa interna de comportamiento obligatorio
OBJETIVO: Crear un Código de ética. de todos los integrantes de la Cooperativa.
RESPUESTA AL RIESGO: Reducir
ECONÓMICOS
PRIORIDAD
TIEMPO
D. Plazo
Inicio
Fin
16/01/2013 05/01/2013
02/01/2013
GERENCIA Gerente, Miembros Verificar el acta de la
2.1 Establecer una comisión para $
1 CONCEJO DE del concejo de 3 creación de la comisión
que realice el código de ética. 50.00
ADMINISTRACIÓN. administración. de ética.
Miembros de la
Verificar que el
06/01/2013
COMISION Comisión de ética,
2.2 Establecer el documento del $ documento del código de
1 ENCARGADA DEL Computador, 10
código de ética 500.00 ética este creado y
CÓDIGO DE ÉTICA. Suministros de
aprobado.
oficina.
Gerente, Miembros
16/02/2013
2.3 Socializar el documento de
GERENCIA. de la C. encargada
17/01/2013
código de ética, en el cual se Listado de los empleados
COMISIÓN del Código de Ética, $
establece el comportamiento de lo 1 30 participantes de las
ENCARGADA DEL Personal notificado, 100.00
que es permitido, bueno, malo etc., charlas de socialización.
CÓDIGO ÉTICA. Suministros de
frente a una decisión o acción.
oficina, Computador.
15
N° 3 DESCRIPCIÓN DEL RIESGO: Robos de dinero y documentos
ÁREA: Procesos mercantiles
OBJETIVO: Establecer medidas de seguridad Física en las áreas de RESPUESTA AL RIESGO: Reducir
recepción de dinero.
ECONÓMICOS
PRIORIDAD
TIEMPO
D. PLAZO
INICIO
FIN
3.1 Instalar protecciones de
05/01/2013
04/02/2013
seguridad en los cajones de Total de cajas con
PERSONA Económicos. $
recepción de dinero con candados ó 1 30 protecciones / total de
CONTRATADA Persona contratada. 600.00
cerraduras que contengan códigos cajas
para abrirlos.
15
N° 4
ÁREA: Procesos Desconocimiento de mejores garantías.
OBJETIVO: Crear un manual para compras y pagos. Productos o servicios no cotizados.
DESCRIPCIÓN DEL RIESGO: Que la entidad no envié ordenes Productos con características no especificadas.
de compras al proveedor.
ECONÓMICOS
PRIORIDAD
TIEMPO
D. PLAZO
INICIO
FIN
09/01/2013
06/01/2013
4.1 El Concejo de Administración Miembros del
CONCEJO DE $ Verificar la delegación de
delegará una Comisión para la 1 concejo de 3
ADMINISTRACIÓN 50.00 la comisión
elaboración del manual de administración.
compras.
Suministros de
21/02/2013
oficina.
COMISIÓN DE LA Miembros de la
05/02/2013
4.2 La Comisión hará el
ELABORACIÓN DEL Comisión encargada $ Constatar procesos de
levantamiento de los procesos de 1 16
MANUAL DE del manual de 350.00 compras levantados.
la Institución. COMPRAS compras.
Computador
Impresora
15
Comisión encargada
del manual de
22/02/2013
09/03/2013
4.3 La Comisión establecerá un COMISIÓN
ENCARGADO DEL
compras. $ Verificar el documento
documento formal que será 1 15
MANUAL DE Computador. 500.00 de compra aprobado.
aprobado por la Junta General COMPRAS Suministros de
oficina.
Suministros de
oficina.
Miembros de la
Comisión encargada
04/03/2013
10/03/2013
4.4 Socializar a los empleados que GERENCIA. del manual de Verificar que los
$
se encuentren involucrados en el 1 CONSEJO DE compras. 6 empleados conozcan el
ADMINISTRACION Computador 100.00
proceso de compra. proceso de compra.
Impresora
Miembros
involucrados en el
proceso de compra.
15
N° 5 DESCRIPCIÓN DEL RIESGO: No contar con procesos definidos
ÁREA: Personas de permanencia del personal, en el cual se evalúe el desempeño,
OBJETIVO: Establecer políticas, procesos de incorporación, motivación, segregación de funciones y rotación de personal.
permanencia y desvinculación del personal. RESPUESTA AL RIESGO: Reducir
ECONÓMICOS
PRIORIDAD
TIEMPO
D. PLAZO
INICIO
FIN
23/03/2013 20/02/2013 07/02/2013
Cantidad de vacantes
ENCARGADO/DOS
5.2 Determinar perfiles que se Miembro/os de $ Verificar perfiles acordes
3 DE TALENTO 12
exigirá a cada cargo. HUMANO Talento Humano 150.00 al cargo.
ENCARGADO/DOS
5.3 Realizar el reclutamiento de Miembro/os de $ Verificar carpetas
3 DE TALENTO 30
carpetas. HUMANO Talento Humano 50.00 recibidas.
15
31/03/2013 25/03/2013
24/03/2013
5.4 Seleccionar las carpetas con ENCARGADO/DOS
Miembro/os de $ Verificar carpetas
mayor relación al perfil demandado 3 DE TALENTO 1
HUMANO
Talento Humano 20.00 seleccionadas.
por la institución.
26/03/2013
GERENCIA.
Talento Humano. realizadas a los
seleccionados/as con el fin de ENCARGADO/DOS $
3 Suministros de 5 aspirantes.
determinar, y contratar a la persona DE TALENTO 60.00
HUMANO oficina Verificar contratos de
que cumple con el perfil que la
Computadoras trabajo.
Institución financiera busca.
15
N° 6 DESCRIPCIÓN DEL RIESGO:
ÁREA: Personas No contar con procesos definidos de permanencia del personal, en el
OBJETIVO: Establecer políticas, procesos de incorporación, cual se evalúe el desempeño, motivación, segregación de funciones y
permanencia y desvinculación del personal. rotación de personal.
RESPUESTA AL RIESGO: Reducir
ECONÓMICOS
PRIORIDAD
TIEMPO
D. PLAZO
INICIO
FIN
Gerente, Miembros de
6.1 Talento Humano o la persona GERENCIA talento humano o
21/02/2013
01/03/2013
encargada de dicha función elaborará TALENTO Documento elaborado y
persona encargada. $
procesos de permanencia del personal 1 HUMANO 8 aprobado por la Junta
PERSONA Computador, 320.00
y será aprobado por la Junta General General
ENCARGADA Suministros de oficina,
o Departamento competente.
Impresora.
6.2 La persona encargada de personal
evaluará el desempeño de cada Encargado del
empleado, teniendo en cuenta las personal.
15/02/2013
17/03/2013
responsabilidades específicas del Suministros de oficina.
ENCARGADO DEL
trabajo, para conocer el compromiso Personal de la $ Verificar resultado de la
1 PERSONAL 30
que tienen con el cumplimiento de la Institución. 430.00 evaluación
misión y visión de la Cooperativa y Material didáctico para
conocer las deficiencias del personal. capacitación.
Tal evaluación será determinante para
brindar entrenamiento continuo.
16
23/03/2013
6.3 Talento humano o el encargado Miembros del Talento
del personal, dará indicaciones Humano o persona
18/03/2013
TALENTO
apropiadas para mejorar su actuación HUMANO encargada. $ Recomendaciones
1 5
o conducta, siempre que sea PERSONA Evaluación realizada 50.00 sugeridas.
necesario, dejando constancia de las ENCARGADA Suministros de oficina
mismas. Computador.
6.4 El responsable analizará funciones
09/04/201
25/03/2013
de cada área y determinará el número TALENTO Número de empleados.
Miembros de Talento $
de empleados de la Cooperativa, y 1 HUMANO Ó 15 Funciones determinada.
PERSONA Humano. 250.00
segregará o delimitará adecuadamente Funciones modificadas.
3
las funciones. ENCARGADA
13
30/06/20
01/01/20
6.5 El encargado controlará mediante Verificar formatos
PERSONA $
formato que se cumpla la asignación 1 Persona encargada. 180 utilizados para el
13
ENCARGADA 100.00
de funciones. control.
16
N° 7 DESCRIPCIÓN DEL RIESGO:
ÁREA: Personas Personal cesado.
OBJETIVO: La desvinculación del personal no se realice por medio del
Establecer políticas, procesos de incorporación, permanencia y organismo competente.
RESPUESTA AL RIESGO: Reducir
desvinculación del personal.
ECONÓMICOS
PRIORIDAD
TIEMPO
D. PLAZO
INICIO
FIN
7.1 El encargado debe restringir el
acceso del empleado antes de
notificar el cese y vigilar que el Cámaras de Verificar cámaras de
01/01/2013
30/06/2013
PERSONA
mismo accediera a información vigilancia. $ vigilancia.
3 ENCARGADA DEL 180
privada de la institución, PERSONAL Encargado del 200.00 Constatar con guardia de
especialmente si copiara o personal. seguridad.
descargara grandes cantidades de
datos.
7.2 El encargado del personal de la
30/06/2013
institución observará, conocerá, y Persona encargada.
Constatar áctas de
01/01/2013
determinara el motivo de la PERSONA Computador.
$ faniquito legalizadas.
desvinculación del empleado, y 3 ENCARGADA DEL Internet. 180
PERSONAL 120.00 Verificar aviso de salida
realizará el respectivo trámite por Personal a
del IESS.
medio de los organismos desvincularse.
competentes, (MRL, IESS, etc.).
16
N° 8 Desconocimiento de plazos de cumplimiento de los planes.
ÁREA: Tecnología de Información Sin un responsable que se encargue de definir, autorizar los accesos
OBJETIVO: y cambios. Custodio de la información sin conocimientos de
Garantizar que la administración y las operaciones de la TI políticas.
satisfagan los requerimientos de la entidad.
DESCRIPCIÓN DEL RIESGO: RESPUESTA AL RIESGO: Reducir
ECONÓMICOS
PRIORIDAD
TIEMPO
D. PLAZO
INICIO
FIN
8.1 Contratar una persona que sea
responsable de la Tecnología de
Información, que controle las claves Gerente
02/01/2013
07/01/2013
de acceso a sistemas y la seguridad, GERENCIA Miembros del concejo
$ Verificar
con el objeto de prevenir que personas 1 CONCEJO DE de administración. 5
ADMINISTRACIÓN. 1,500.00 contrato
no autorizadas puedan modificar, leer Acta de
o borrar información de las bases de nombramiento.
datos o realizar transacciones no
autorizadas para su procesamiento.
20/01/2013
Gerente, Responsable
08/01/2013
8.2 Establecer los planes de TI para de TI.
GERENTE $ Constatar planes
cumplir la misión y metas de la 1 Impresora, 12
RESPONSABLE DE TI 300.00 establecidos.
Cooperativa. Suministros de
oficina, Computador.
16
04/02/2013
8.3 Socializar mediante charlas ante
Verificar el acta
toda la Cooperativa la política de que
de las charlas
no se debe fomentar que se comparta
RESPONSABLE DE TI. Responsable de TI. efectuadas.
21/01/2013
la información de cuentas de usuario
GERENCIA. Gerente. $ Verificar listado
o, mejor todavía, debe prohibirse por 1 14
CONCEJO DE Miembros del concejo 520.00 de asistencia a
completo y que todo trabajador debe ADMINISTRACIÓN de Administración. las charlas por
cerrar el ordenador cuando salga del
parte de los
área de trabajo o utilizará contraseñas
empleados.
para el salvapantallas o para el inicio.
16
N° 9 DESCRIPCIÓN DEL RIESGO:
ÁREA: Tecnología de Información Desconocimiento de las responsabilidades y procedimientos para la
OBJETIVO: operación.
No exista por escrito el uso de las instalaciones de procesamiento de
Garantizar que la administración y las operaciones de la TI la información.
satisfagan los requerimientos de la entidad. No se encuentre establecido las normas, principios, y lineamientos
aplicables en la cooperativa, que establezcan respuestas a incidentes
de TI.
RESPUESTA AL RIESGO: Reducir
ECONÓMICOS
PRIORIDAD TIEMPO
D. PLAZO
INICIO
FIN
07/03/2013
9.1 El responsable de la Tecnología
de la Información elaborará
Manuales y reglamentos Persona encargada
05/02/2013
relacionados con la TI, que de TI.
RESPONSABLE DE $ Constatar manuales
contengan normas, principios y 1 Computador. 30
TI. 600.00 elaborados y aprobados.
lineamientos, que establezcan Suministros de
respuestas a incidentes de TI como Oficina.
responsabilidades y procedimientos
para la operación.
16
N° 10 Desconocimiento de los sistemas a las vulnerabilidades.
ÁREA: Tecnología de Información Sistemas o equipos no estén sometidos a un monitoreo de su
OBJETIVO: Eficiencia y Efectividad.
Garantizar que los recursos y servicios provistos por terceros, se Que la empresa proveedora no cumpla con el contrato o con sus
administren con base en responsabilidades y estén sometidas a un responsabilidades.
monitoreo. Que no exista una transferencia del conocimiento.
DESCRIPCIÓN DEL RIESGO: Que no se entregue documentación técnica y de usuario.
RESPUESTA AL RIESGO: Reducir
ECONÓMICOS
PRIORIDAD
TIEMPO
D. PLAZO
INICIO
FIN
09/01/2013
10.1 Elaborar un cronograma de
Gerente.
02/01/2013
GERENCIA. Verificar cronograma de
mantenimiento del hardware de
PERSONA Encargado de la TI. $
manera que sea enviado a la 1 7 mantenimiento elaborado
ENCARGADA DE Suministros de oficina. 220.00
empresa proveedora y se pueda LA TI. y aprobado.
Computador.
exigir su fiel cumplimiento.
15/01/2013
10.2 Realizar procedimientos para
10/01/2013
PERSONA Encargado de la TI.
la evaluación del impacto que la $ Verificar procedimientos
1 ENCARGADA DE Suministros de oficina. 5
nueva adquisición pueda causar en LA TI. 360.00 realzados.
Computador.
el sistema.
16
10.3 Hacer un previo contrato de Gerente.
16/01/2013
17/01/2013
asesoramiento a todo el personal Presidenta.
GERENCIA. $ Constatar contrato
involucrado de la tecnología por 1 Encargado de la TI. 1
PRESIDENTA. 100.00 efectuado.
parte del proveedor siempre y Suministros de oficina.
cuando esto lo a medite. Computador.
16
N° 11 DESCRIPCIÓN DEL RIESGO:
ÁREA: Tecnología de Información Que no cuenten con controles necesarios para asegurar la integridad,
OBJETIVO: disponibilidad y confidencialidad de la información administrada.
Garantizar que los recursos y servicios provistos por terceros, se RESPUESTA AL RIESGO: Reducir
administren con base en responsabilidades y estén sometidas a un
monitoreo.
ECONÓMICOS
PRIORIDAD
TIEMPO
D. PLAZO
INICIO
FIN
09/03/2013
11.1 Deben realizar inspecciones
periódicas para comprobar, en especial,
04/03/2013
que no se haya conectado en las máquinas PERSONA Encargado de TI. Verificar el informe de
$
dispositivos inalámbricos, componentes de 1 ENCARGADA DE Câmara de 5 las inspecciones
100.00
registradores de tecleo o módems no LA TI. vigilância. realizadas.
autorizados y que no se haya instalado
otro software más que el autorizado.
16
PERSONA
ENCARGADA DE
Gerente.
11.2 Establecer y socializar practicas de LA TI.
10/03/2013
27/03/2013
Encargado de la TI. Constatar prácticas de
seguridad para los visitantes externos y de GERENCIA. $
1 Computador. 17 seguridad establecidas y
otros departamentos u oficinas de la CONCEJO DE 350.00
Suministros de aprobadas.
entidad. VIJILANCIA.
oficina
CONCEJO DE
ADMIINSTRACIÓN.
31/03/2013
11.3 Observar los protocolos y
PERSONA Gerente. Verificar los protocoles
28/03/2013
procedimientos establecidos para la
ENCARGADA DE Encargado de la TI. $ y procedimientos
protección de la información 1 3
LA TI. Protocoles 100.00 establecidos y aprobados
confidencialidad y garantizar la
GERENCIA. establecidos. existen
preservación de la memoria institucional.
16
N° 12 DESCRIPCIÓN DEL RIESGO:
ÁREA: Tecnología de Información No cuente con controles adecuados para detectar y evitar la
OBJETIVO: instalación de software no autorizado o sin la respectiva licencia,
Garantizar que los recursos y servicios provistos por terceros, se desinfección de virus informáticos y demás software maliciosos.
administren con base en responsabilidades y estén sometidas a un RESPUESTA AL RIESGO: Reducir
monitoreo.
ECONÓMICOS
PRIORIDAD
TIEMPO
D. PLAZO
FIN
Encargado de
013
PERSONA Verificar que las contraseñas
12.2 Utilizar una forma más segura de Encargado de $
013
1 ENCARGADA DE 1 contengan características
autentificación que las contraseñas fijas. la TI. 400.00
LA TI. especiales.
12.3 La persona encargada de la
PERSONA
Tecnologías de información creará Encargado de $ Verificar que el inventario
1 ENCARGADA DE 3
contraseñas que no sigan un patrón que la TI. 80.00 esté actualizado
LA TI.
sea fácil de predecir.
013 3
Verificar en las constancias
013
12.4 Verificar que las contraseñas Encargado de $
1 GERENCIA 2 el nivel de seguridad y el
cumplan con características especiales. la TI. 30.00
cumplimiento sus políticas
17
N° 13
ÁREA: Tecnología de Información DESCRIPCIÓN DEL RIESGO:
OBJETIVO: Que no exista un procedimiento de clasificación y control de activos
Garantizar que los recursos y servicios provistos por terceros, se de TI con su respectivo registro e identificación así como
administren con base en responsabilidades y estén sometidas a un responsable de su uso y mantenimiento
monitoreo.
RESPUESTA AL RIESGO: Reducir
ECONÓMICOS
PRIORIDAD
TIEMPO
D. PLAZO
INICIO
FIN
3.1 Realizar semestralmente y Responsable de TI.
25/02/2013
30/06/2013 03/03/201
PERSONA Verificar que el
mantener un inventario actualizado Suministro de $
1 ENCARGADA DE LA 6 inventario esté
de todo el software y hardware TI. oficina. 120.00
actualizado
autorizado, instalado o permitido. Computador.
3
13.2 El responsable de la seguridad
de los sistemas debe ser
independiente de las áreas que los
Verificar en las
utilizan, y su función principal es la Responsable de TI.
01/01/2013
PERSONA constancias el nivel de
de evaluar el nivel de seguridad de Suministro de $
1 ENCARGADA DE LA 180 seguridad y el
los sistemas, administrar los TI. oficina. 400.00
cumplimiento de las
accesos y comprobar el Computador.
políticas de seguridad
cumplimiento de las políticas de
seguridad, dejando constancia de
las mismas.
17
N° 14
ÁREA: Tecnología de Información DESCRIPCIÓN DEL RIESGO:
OBJETIVO: Que la COOPERATIVA no cuente con instalaciones de
Garantizar que los recursos y servicios provistos por terceros, se procesamiento de información crítica en áreas protegidas con los
administren con base en responsabilidades y estén sometidas a un suficientes controles.
monitoreo. RESPUESTA AL RIESGO: Reducir
ECONÓMICOS
PRIORIDAD
TIEMPO
D. PLAZO
INICIO
FIN
04/02/2013
Gerente.
14.1 Determinar el área de
02/02/2013
GERENCIA Recursos Verificar estudios
procesamiento de información y $
1 PERSONA Económicos. 2 técnicos.
contratar el personal especializado ENCARGADA DE TI. Personal contratado. 40.00
Constatar contratos
para su estudio técnico.
10/02/2013
14.2 Adecuar el área con medidas Verificar seguridades
05/02/2013
PERSONA
que garanticen la confidencialidad $ físicas, lógicas y
1 ENCARGADA DE LA Encargado de la TI. 5
de la información y procuren su TI. 1,000.00 disponibilidad de a
seguridad tanto física como lógica. información.
17
N° 15
ÁREA: Tecnología de Información DESCRIPCIÓN DEL RIESGO:
OBJETIVO: Que no cuente con Información de respaldo y procedimientos de
Garantizar que los recursos y servicios provistos por terceros, se restauración ante eventos de desastre.
administren con base en responsabilidades y estén sometidas a un RESPUESTA AL RIESGO: Reducir
monitoreo.
ECONÓMICOS
PRIORIDAD
TIEMPO
D. PLAZO
INICIO
FIN
01/07/2013
15.1 El encargado de TI, respaldará
continuamente toda la información ENCARGADO DE
Verificar y comprobar
en una ubicación remota al centro PERSONA TI.
02/01/2013
que la información de
principal de procesamiento de ENCARGADA DE Disco duro u otro $
1 180 respaldo se encuentre en
información como medios de TI. medio de 60.00
ubicada en un lugar
almacenamiento que garantice su GERENCIA. almacenamiento.
seguro.
disponibilidad ante inventos de Gerente.
desastre.
17
N° 16 soporta las operaciones, sea administrada, monitoreada y
ÁREA: Tecnología de Información documentada de forma adecuada.
OBJETIVO: DESCRIPCIÓN DEL RIESGO:
Garantizar que el proceso de adquisición, desarrollo, Desconocimiento de una metodología que permita la adecuada
administración y control del proceso de compra de software y del
implementación y mantenimiento de las aplicaciones satisfagan los
ciclo de vida de desarrollo.
objetivos del negocio y que la infraestructura tecnológica que Que no le garanticen el mantenimiento de aplicaciones.
RESPUESTA AL RIESGO: Reducir
ECONÓMICOS
PRIORIDAD
TIEMPO
D. PLAZO
INICIO
FIN
30/03/2013
16.1 El encargado de TI, Elaborará
un proceso de compra que PERSONA
13/03/2013
Verificar el proceso de
garantice: la adquisición, ENCARGADA DE Encargado de TI. $
1 17 compra elaborado y
desarrollo, implementación y TI. Gerente 200.00
aprobado.
mantenimiento de hardware y GERENCIA.
software.
17
N° 17 soporta las operaciones, sea administrada, monitoreada y
ÁREA: Tecnología de Información documentada de forma adecuada.
OBJETIVO: DESCRIPCIÓN DEL RIESGO:
Garantizar que el proceso de adquisición, desarrollo, Que la Cooperativa no cuente con controles que permitan asegurar la
implementación y mantenimiento de las aplicaciones satisfagan los adecuada administración de versiones de las aplicaciones puestas en
producción.
objetivos del negocio y que la infraestructura tecnológica que
RESPUESTA AL RIESGO: Reducir
ECONÓMICOS
PRIORIDAD TIEMPO
D. PLAZO
INICIO
FIN
GERENCIA. Gerente.
30/06/2013
17.1 Manténgase informado de
01/01/2013
CONCEJO DE Miembros de
todas las últimas versiones de $ Verificar nuevas
1 ADMINISTRACIÓN. concejo de 180
sistemas operativos y aplicaciones 50.00 versiones actualizadas.
ENCARGADO DE Administración.
de sus proveedores.
TI. Encargado de TI.
17.2 Siempre que haya disponible
30/06/2013
GERENCIA.
01/01/2013
un nuevo parche, deberá instalarse
PERSONA Encargado de TI. $ Verificar actualizaciones
tan pronto como sea posible y 1 180
ENCARGADA DE Gerente. 600.00 de parches instalados.
dejando respaldo de las nuevas
LA TI.
versiones instaladas.
17
N° 18 soporta las operaciones, sea administrada, monitoreada y
ÁREA: Tecnología de Información documentada de forma adecuada.
OBJETIVO: DESCRIPCIÓN DEL RIESGO:
Garantizar que el proceso de adquisición, desarrollo, No existen controles que permitan asegurar que la calidad de la
información sometida a migración, cumple con las características de
implementación y mantenimiento de las aplicaciones satisfagan los
integridad, disponibilidad y confidencialidad.
objetivos del negocio y que la infraestructura tecnológica que
RESPUESTA AL RIESGO: Reducir
ECONÓMICOS
PRIORIDAD
TIEMPO
D. PLAZO
INICIO
FIN
01/01/2013
30/06/2013
18.1 El encargado de TI, debe GERENCIA HUMANOS
$ Verificar los controles
establecer controles para garantizar 1 CONCEJO DE TECNOLÓGICOS 180
ADMINISTRACION ECONÓMICOS 500.00 establecidos y aprobados.
que la información sometida a
migración sea íntegra, confiable y
esté disponible.
17
N° 19 soporta las operaciones, sea administrada, monitoreada y
ÁREA: Tecnología de Información documentada de forma adecuada.
OBJETIVO: DESCRIPCIÓN DEL RIESGO:
Garantizar que el proceso de adquisición, desarrollo, La entidad no cuenta con políticas y procedimientos que permitan la
adecuada administración, monitoreo y documentación de las bases
implementación y mantenimiento de las aplicaciones satisfagan los
de datos, redes de datos, software de base y hardware.
objetivos del negocio y que la infraestructura tecnológica que RESPUESTA AL RIESGO: Reducir
ECONÓMICOS
PRIORIDAD
TIEMPO
D. PLAZO
INICIO
FIN
07/05/2013
19.1 El encargado de TI, debe crear
23/03/2013
políticas, procedimientos o PERSONA Responsable de TI.
$ Constatar las políticas
mecanismos para un monitoreo de 1 ENCARGADA DE Base de datos. 45
400.00 elaboradas y establecidas.
las bases de datos, redes de datos TI. Redes de datos.
quedando respaldados en un
documento pertinente.
17
N° 20
ÁREA: Eventos Externos
OBJETIVO:
Contar con planes de contingencia y de continuidad del negocio, en caso de que ocurra algún evento ajeno a su control
DESCRIPCIÓN DEL RIESGO:
Fallas en el suministro de energía
RESPUESTA AL RIESGO: Reducir
ECONÓMICOS
PRIORIDAD TIEMPO
D. PLAZO
INICIO
FIN
20.1 El encargado de compras
10/06/2013
analizará los requerimientos de la
11/04/2013
PERSONA
Cooperativa, y verificará las Encargado de $ Verificar el generador
1 ENCARGADA DE 60
necesidades como las COMPRAS compras. 2,000.00 eléctrico.
características del generador de
energía.
17
N° 21
ÁREA: Eventos Externos
OBJETIVO:
Contar con planes de contingencia y de continuidad del negocio, en caso de que ocurra algún evento ajeno a su control
DESCRIPCIÓN DEL RIESGO:
Fraude externo /asalto y robo
ECONÓMICOS
TIEMPO
PRIORIDAD
D. PLAZO
INICIO
FIN
21.1 El encargado de compras
09/05/2013
analizará los requerimientos de la
19/04/2013
GERENCIA Gerente Verificar la existencia
Cooperativa, y verificará las $
CONCEJO DE Concejo de 20 física de cámaras de
necesidades como las ADMINISTRACIÓN. Administración 1,200.00
seguridad.
características para la compra de
cámaras de seguridad. 1
15/06/2013
Gerente.
16/05/2013
GERENCIA.
21.2 Contar con guardias de
CONCEJO DE Miembros del $
seguridad en todas las oficinas de 30 Constatar contratos.
ADMINISTRACION. Concejo de 1,000.00
la institución. VIJILANCIA Administración.
17
4.5ACTIVIDADES Y DIAGRAMA DE GANTT DE LA
COOPERATIVA DE AHORRO Y CRÉDITO FASAYÑAN
LTDA., AÑO 2013
18
DIAGRAMA DE GANTT
18
CONCLUSIONES
Y por último tengamos presente que el estudio del riesgo operativo es cada vez
más imprescindible en las organizaciones, y cada empresa debería buscar la
18
manera de implementar el mismo por la gran ayuda que brinda para la
detección de riesgos asociados con personas, Tecnología de la Información,
procesos y eventos ajenos a su operatividad normal.
18
RECOMENDACIONES
18
BIBLIOGRAFÍA
LIBROS
LARA JARO Alfonso, Medición y Control de Riesgos Financieros, 3ra.
Edición, Editorial Limusa, México, 2005.
SITIOS WEB:
http://www.safety-
management.eu/swf/SeminarioE_RISK/GESTOR_RISK.htm
http://www.fi.uba.ar/archivos/posgrados_apuntes_cadena_accidente
http://es.wikipedia.org/wiki/Riesgo
http://www.safety-
management.eu/swf/SeminarioE_RISK/GESTOR_RISK.htm
http://www.wipo.int/about-wipo/es/oversight/audit/risk_assessment.html
www.wipo.int/about-wipo/es/oversight/audit/risk_assessment.html
http://www.metlifeafore.com.mx/wps/portal/afore/Afore/AdminSiefores?inner
T=4
http://www.cemla.org/old/actividades/2010/2010-05-
EducacionFinanciera/MatrizRiesgo-BrunoBV28.pdf
http://tesis.uson.mx/digital/tesis/docs/14039/Capitulo6.pdf
www.sbif.cl/sbifweb3/internet/archivos/publicacion_8511.pdf
18
http://www.sbs.gob.pe/repositorioaps/0/0/jer/REGUL_PROYIMP_BASIL_FU
NSBS/Riesgo_Operativo-AMedina.pdf
http://riesgooperativo.blogspot.com/
http://blogs.gestion.pe/riesgosfinancieros/2012/04/principios-de-gestion-del-
ries.html
http://www.pwc.com/es_VE/ve/asesoria-gerencial/boletin/assets/boletin-
advisory-edicion-08-2008.pdf
http://diccionariodecontabilidad-a.blogspot.com/
http://www.accesor.com/esp/art2_query.php?sec=5
www.oas.org/juridico/MLA/sp/ecu/sp_ecu_lavado.pdf
http://www.felaban.com/archivos_siri/ANEXO%2012%20ECUADOR%20Res
olucion%20JB%202010%201683.pdf
http://riesgoyderivados.blogspot.com/2009/02/administracion-del-riesgo-de-
credito.html
http://www.hrratings.com/docs/metodologia/Metodologia%20para%20Califica r
%20IFNB%20WEB.pdf
http://ri.biblioteca.udo.edu.ve/bitstream/123456789/444/1/TESIS-
658.151_B592b_01.pdf.
http://www.unal.edu.co/gerencia_finad/tesoreria/docs/TES_5_IN_efectuar_arq
ueos.pdf
http://es.scribd.com/doc/77792503/13-COSO-I-Vrs-COSO-II
http://www.cubaindustria.cu/contadoronline/control%20interno/Caja%20y%20
Banco/ARQUEO%20DE%20CAJA.htm
http://www.sbs.gob.ec/medios/PORTALDOCS/downloads/normativa/decreto_
194_cooperativas_29_dic_09.pdf
18
CONSULTADA
http://www.google.com.ec/url?sa=t&rct=j&q=potencial%20consecuencia%20a
l%20no%20hacer%20arqueos%20de%20caja%20sorpresivos&source=
web&cd=7&ved=0CFcQFjAG&url=http%3A%2F%2Fevidencias7084
1.wikispaces.com%2Ffile%2Fview%2Fguia%2B5%253D).doc&ei=63c
NULMNhf7wBKrskLsK&usg=AFQjCNFALtok_MsvY3E7uS4VjzOL
NCct3w
http://www.clubcalidad.com/V2/html/downloads/documentaciones/Manual_pr
ocedimientos_incorporacion_de_la_igualdad_en_la_gestion_empresaria
l.pdf
http://www.espoch.edu.ec/Descargas/vicinvestigacionpub/340024_MODULO
RRHH161105.pdf
http://www.uhu.es/asuncion.gravalos/docencia/asignatura01/archivos/Tema%2
04%20alumnos. Pdf
18
4.6 ANEXOS
RESPUESTA
PONDERACIÓN
CALIFICACIÓN
PONDERADA
Nro. PREGUNTA
1 PREGUNTAS GENERALES SI NO
1.1 ¿La Entidad cuenta con una estructura 1 0 10%
orgánica funcional definida?
1.2 ¿Dentro de esta estructura orgánica existen
niveles jerárquicos Gerencia General,
Vicepresidentes ejecutivos, Gerentes 1 8% 8%
departamentales responsables de ejecutar
las disposiciones de la Junta o Asamblea
General?
1.3 ¿La entidad cuenta con un proceso de
administración de la Información en la cual
se captura, procesa, almacena y trasmite
información, independiente del medio que
1 8% 8%
se utilice; sea impreso, escrito en papel,
almacenado electrónicamente, trasmitido
por correo o por medios electrónicos o
presentado en imágenes?
1.4 ¿La entidad cuenta con infraestructura que
permite alojar los recursos físicos
1 7% 7%
relacionados con la tecnología de
información?
1.5 ¿La cooperativa cuenta con procedimientos
alternativos a la operatividad normal cuya
finalidad es la de permitir su 1 6% 6%
funcionamiento, en cualquier evento
inesperado?
18
1.6 ¿La cooperativa tiene establecido esquemas
eficientes y efectivos de administración y
control de todos los riesgos a los que se 0 7% 0%
encuentran expuestas en el desarrollo del
negocio?
1.7 ¿Cuenta la cooperativa con un Comité de
administración integral de riesgos, el
mismo que es responsable del diseño de las
políticas, sistemas, metodologías, modelos
0 7% 0%
y procedimientos, para la eficiente gestión
integral de los riesgos y de manera
específica en los identificados en la
actividad que efectúa la entidad?
1.8 ¿la cooperativa cuenta con una Unidad de
administración integral de riesgos.- que es
un órgano autónomo responsable de
identificar, medir, monitorear,
controlar/mitigar y divulgar cada uno de los 0 8% 0%
riesgos identificados que enfrenta la
institución del sistema financiero y su
concordancia con las políticas que al efecto
han sido emitidas por ella?
1.9 ¿Existe un control de entrada y salida de
información para que la misma sea 1 10% 10%
confiable?
1.10 ¿Los procesos están totalmente 0 9% 0%
automatizados?
1.11 ¿El personal con el que cuenta la
Cooperativa es suficiente para llevar a cabo 1 9% 9%
todas sus operaciones?
1.12 ¿Se supervisan las actividades que realizan 1 6% 6%
los empleados?
1.13 ¿Cuenta la Cooperativa con un plan de
0%
contingencia, para contrarrestar 0 5%
deficiencias en los procesos?
TOTAL 1 NC 64%
18
Área PROCESOS
PONDE
CALIFI
RESPUES
ACIÓN
Nro.
ACIÓN
R ADA
PONDE
PREGUNTA
C
SI NO
R
1.1 VERIFICACIÓN DE IDENTIDAD
1.1.2 ¿Recibe a las personas que se presentan 1 6% 0.06
manifestando el deseo de realizar una
operación financiera a través del sistema?
1.1.3 ¿Solicita los detalles de la operación? 1 6% 0.06
1.1.4 ¿Solicita cédula de identidad o documentación 1 25% 0.25
que permita verificar la identidad del
solicitante?
1.1.5 ¿Verifica que los datos incluidos en la 1 23% 0.23
documentación presentada sean coincidentes
con la persona y con la información que ésta
provea?
1.1.6 ¿Si existen dudas con respecto a la veracidad 1 19% 0.19
de la documentación presentada, se solicita la
complementación de la documentación
presentada con Libreta de Aportaciones o
documentación personal que acrediten su
identidad?
1.1.7 ¿Si luego del análisis de la documentación 0 16% 0
adicional la identidad de la persona no puede
verificarse con certeza, se envía Gerencia para
su revisión?
1.1.8 ¿Si no existen dudas sobre la identidad de la 1 5% 0.05
persona se ingresa al módulo de Operaciones
Financieras del sistema e ingresa los datos de
la misma a fin de obtener el listado de
cuentas?
Elaborado por: Los Autores/Junio- 2012 1 NC 84%
NR 16%
19
Área CAJA
PONDERACIÓN
CALIFICACIÓN
Nro. PREGUNTA RESPUESTA
PONDERADA
1.2 CAJA
SI NO
1.10 0 15% 0
¿Existen un control restringido sobre las
llaves de las cajas?
1 NC 0.71
19
Área PAGOS
RESPUESTA
PONDERACIÓN
CALIFICACIÓN
PONDERADA
Nro. PREGUNTA
1.3 PAGOS SI NO
1.3.1 ¿Selecciona, entre las opciones mostradas
por el sistema, la cuenta de ahorro indicada
1 3% 0.03
por el cooperativista o socio y consulta los
datos generales de la misma?
1.3.2 ¿Verifica que el cooperativista o socio sea
titular de una cuenta activa, requiriéndole su 1 11% 0.11
cédula de identidad, su libreta de ahorros?
1.3.3 ¿Efectúa el control de firmas (legitimidad y
forma) en el caso que no se presente
personalmente el cooperativista titular, se
requerirá al presentante la correspondiente 0 15% 0
autorización escrita firmada por aquél y se
verifica la coincidencia de ésta con la que
brinda el sistema?
1.3.4 ¿De no contar con la imagen de la firma, se
comprueba a través de fax enviado por la 1 9% 0.09
Cooperativa donde está radicada la cuenta?
1.3.5 ¿Si no es posible comprobar la titularidad de
la cuenta o ésta no se encuentre activa, se
1 4% 0.04
informa a quien pretende efectuar el retiro
que no es posible procesar dicha operación?
1.3.6 ¿De lo contrario, se ingresa el tipo de
operación “Retiro de Ahorros”, el monto
1 3% 0.03
indicado por el cooperativista y la forma de
pago, y se procesa la operación?
19
1.3.7 ¿Si no existen dudas sobre la identidad de la
persona se ingresa al módulo de
Operaciones Financieras del sistema e 1 3% 0.03
ingresa los datos de la misma a fin de
obtener el listado de cuentas?
1.3.8 ¿El sistema valida que la cuenta disponga de
saldo suficiente para realizar la operación, si
el sistema rechaza la operación, se informa
1 4% 0.04
al cooperativista o socio que su saldo no es
suficiente y que puede intentar retirar un
monto menor?
1.3.9 ¿Si la operación es aprobada, en forma
automática se dispondrá para imprimir el 1 8% 0.08
comprobante de la operación?
1.3.10 ¿Realiza impresiones del comprobante de la
1 9% 0.09
operación?
1.3.11 ¿Cuántas?..................2 1 5% 0.05
19
Área procesos
PONDERACIÓN
RESPUESTA
PONDERADA.
Nro. PREGUNTA
CALIFICACIÓ
1 PROCESOS
N
1.4 RECAUDACIÓN SI NO
¿Existen políticas y manuales de
1.4.1 1 9% 0.09
recuperación de cartera vencida?
¿Existe un monitoreo diario de la cartera en
1.4.2 1 7% 0.07
mora?
¿Existe una buena coordinación entre el
19
¿Si el monto del depósito contiene alguna de
las características indicadas en el párrafo
anterior, confecciona formulario de
1.4.1
10% 0
0 declaración de licitud de fondos y
transacciones y solicita al depositante lo
complete en las partes pertinentes y lo firme?
0
¿Si la persona no completa y firma el
formulario indicado, deja sin efecto la
1.4.1 operación, reintegrándole la documentación,
1 8% 0.08
1
de lo contrario, continúa con los pasos
siguientes?
¿Ingresa el tipo de operación “Depósito de
1.4.1 Ahorro”/“Depósito de Aportaciones” y el
1 4% 0.04
2
monto indicado por el cooperativista?
¿Para imprimir el comprobante de la
1.4.1
1 4% 0.04
3 operación dispone en forma automática?
¿Realiza impresiones del comprobante de la
1.4.1
1 4% 0.04
4 operación?
¿Solicita la firma del cooperativista en las
dos copias, una de las cuales se archiva en la
1.4.1
1 9% 0.09
5 documentación de caja y la otra en archivo
especial para operaciones de la cooperativa?
19
Área PROCESOS
RESPUESTA
PONDERACIÓN
Nro. PREGUNTA
PONDERADA
CALIFICACIÓ
1 PROCESOS
PAGO DE TELEFONO
N
1.5 SI NO
¿Existe un manual de procesos para el pago del 10
1.5.1 teléfono? 0 0
%
¿Solicita el número de teléfono al socio? 10
1.5.2 1 0.1
%
¿Escoge entre las opciones mostradas por 0.0
1.5.3 el sistema, la opción requerida por el 1 7%
7
cliente?
¿Ingresa el número al sistema? 0.0
1.5.4 1 4% 4
¿El sistema indica el monto a pagar? 0.0
1.5.5 1 4%
4
¿Informa al socio o cliente el valor? 0.0
1.5.6 1 4%
4
¿Cobra el valor, e ingresa al sistema para impresión 22 0.2
1.5.7 de documento? 1
% 2
¿Imprime el documento y entrega al socio o cliente? 25 0.2
1.5.8 1
% 5
¿Automáticamente se envía la información a la 14 0.1
1.5.9 central de cobros? 1
% 4
1 NC 0.9
Elaborado por: Los Autores/ Junio- 2012 NR 10
19
Área POCESOS
RESPUEST
Nro. PREGUNTA
PONDERACION
A
CALIFICACIÓ
PONDERADA.
1 PROCESOS
1.6 REMESAS SI NO
N
¿Verifica que los datos incluidos en la
documentación presentada sean coincidentes
1.6.1.1 1 18% 0.18
con la persona y con la información que ésta
provea?
¿Existen dudas con respecto a la veracidad de
la documentación presentada, se solicita la
complementación de la documentación
1.6.1.2 1 17% 0.17
presentada con Libreta de aportaciones o
documentación personal que acrediten su
identidad?
¿Si luego del análisis de la documentación
adicional la identidad de la persona no pudo
1.6.1.3 1 16% 0.16
verificarse con certeza, se envía General para
su revisión?
¿Si no existen dudas sobre la identidad de la
1.6.1.4 persona se ingresa al módulo de Pago de 1 7% 0.07
Remesas del sistema?
¿Ingresa al módulo de Pago de Remesas del
1.6.1.5 sistema e introduce el código de remesa 6% 0
informado por la persona y consulta la misma? 0
¿Verifica que la remesa se encuentre a nombre
1.6.1.6 de la persona y que los datos de la misma se 1 20% 0.2
correspondan con los suministrados por ésta?
¿En caso que la persona desconozca el código
de remesa, o que el código suministrado sea
1.6.1.7 incorrecto o los datos de la remesa no se 1 16% 0.16
correspondan con la persona, que acciones
toma?
1.00 NC 0.94
Elaborado por: Los Autores/ Junio- 2012 NR 6%
19
Área PROCESOS
PONDERACIÓN
RESPUESTA
Nro. PREGUNTA
PONDERADA.
CALIFICACIÓ
1 PROCESOS
1.6 REMESAS
N
1.6.2 PAGO DE REMESAS SI NO
¿Una vez verificada la identidad del afiliado e
identificada la remesa que se corresponda con los
1.6.2. datos y documentación suministrada, se ingresa al
1 9 9
1 módulo de Pago de Remesas del sistema de la
cooperativa?
19
Área PROCESOS
E STA
PONDERAD
PONDERAC
CALIFICAC
Nro. PREGUNTA
RESPU
I ÓN
1 PROCESOS
I ÓN
1.7 CRÉDITO SI NO
A
¿Los formularios de solicitudes de créditos de
1.7.1 deudor y fiador tienen un número correlativo? 1 3% 0.03
¿Son verificadas las recomendaciones dentro del
1.7.2 proceso de aprobación del crédito? 1 4% 0.04
¿Cuentan los ejecutivos con metas mensuales por
1.7.3 otorgamiento de crédito? 1 2% 0.02
¿Los jefes de crédito realizan visitas de campo
1.7.4 para promocionar los créditos? 1 4% 0.04
¿La institución cuenta con niveles de aprobación
1.7.5 para el otorgamiento de Crédito? 1 5% 0.05
¿Al momento de la atención al socio del crédito,
piden al mismo referencias básicas, le informan
1.7.6 sobre las políticas de crédito, cuál será la 1 5% 0.05
inversión del crédito, información de actividad,
ingresos, gastos, etc.?
¿Previa a la calificación del socio se verifica en
1.7.7 central de riesgos la misma? 1 5% 0.05
¿En la apertura de cuentas se revisa
documentación, se llena solicitud de ingreso,
1.7.8 1 3% 0.03
luego se ingresa información al sistema,
procediendo a la apertura de cuentas?
¿En la entrega de solicitud y requisitos para
1.7.9 crédito, los mismos son de acuerdo al tipo de 1 4% 0.04
crédito?
¿La fecha de visitas, se acuerda en la recepción
1.7.10 de solicitudes? 1 2% 0.02
¿Verifica la inversión propuesta y la existencia
1.7.11 de la actividad a financiar? 1 4% 0.04
¿En la inspección, cuando el crédito es
hipotecario, existe personal específico para
1.7.12 1 3% 0.03
visitar el bien a hipotecar y elaborar el informe
respectivo?
¿Dentro de la calificación del riesgo, se verifica
1.7.13 información presentada por el socio, mediante 1 4% 0.04
llamadas o visitas, etc.?
¿El análisis socioeconómico del socio, se realiza
1.7.14 mediante formato de análisis de crédito, en el 1 4% 0.04
mismo que se analiza las cinco C?
19
¿En la carpeta de crédito debe contener tabla de
1.7.15 amortización en caso de un segundo crédito? 1 3% 0.03
¿El consejo de administración para la realización
1.7.16 de créditos necesita de mayoría simple? 1 0
¿En la aprobación del crédito, gerencia realiza un
1.7.17 informe mensual de todos los créditos aprobados 1 5% 0.05
en el mismo periodo?
¿En caso de créditos hipotecarios, el socio hace
1.7.18 la minuta? 1 2% 0.02
¿En caso de crédito hipotecario inscribe la
1.7.19 hipoteca en la registraduría de la propiedad del 1 2% 0.02
cantón respectivo?
¿Los costos de la hipoteca son asumidos por el
1.7.20 socio? 1 3% 0.03
97% NC 0.88
NR 9%
Elaborado por: Los Autores/ Junio- 2012
20
Área PROCESOS
RESPUEST
PONDERACIÓN
Nro. PREGUNTA
PONDERADA.
CALIFICACIÓ
A
1 PROCESOS
N
1.8 COMPRAS SI
O
¿Existe guías para la selección adecuada de los
1.8.1 proveedores? 1 5% 5%
¿La Cooperativa determina los requerimientos de
1.8.2 compras? 1 6% 6%
¿Verifica su presupuesto antes de realizar la
1.8.3 compra? 1 8% 8%
¿Solicita algunos proveedores que coticen los
1.8.4 productos o servicios que requieren? 1 5% 5%
20
Área PERSONAS
PERSONAS
CALIF
POND.
POND
Nro.
PREGUNTA SI NO
¿Existe un manual de procesos de incorporación
2.1 del nuevo personal? 0 6% 0
¿Cuál de los siguientes procesos se toma en
2.2 cuenta en el manual de incorporación del 0
personal?
2.3 Planificación de necesidades 1 4% 0.04
2.4 Reclutamiento 1 5% 0.05
2.5 Selección 1 5% 0.05
2.6 Contratación e inducción. 1 5% 0.05
Existe un manual de procesos de permanencia
2.7 del personal? 0 4% 0
20
Área TECNOLOGIA
3 PREGUNTA SI NO
PONDERACIÓN
CALIFICACIÓN
PONDERADA.
Con el objeto de garantizar que la
administración de la Tecnología de
Información soporte adecuadamente los
3.1 requerimientos de la entidad, la Cooperativa
cuenta con:
20
Área TECNOLOGÍA
Nro. PREGUNTA SI NO
PONDERACIÓN
CALIFICACIÓN
PONDERADA.
Con el objeto de garantizar que los recursos y
servicios provistos por terceros, se
administren con base en responsabilidades y
3.3 estén sometidas a un monitoreo, la
Cooperativa cuenta con:
¿Responsabilidad de la empresa
3.3.1 proveedora de la tecnología en caso de ser 7% 0
vulnerables sus sistemas? 0
¿Transferencia del conocimiento por
3.3.2 parte del proveedor? 1 7% 0.07
¿Entrega documentación técnica y de
3.3.3 0
usuario?
Con el objeto de garantizar que el sistema de
administración de seguridad satisfaga las
necesidades de la Cooperativa para
3.4 salvaguardar la información contra el uso,
modificación no autorizados, daños y
pérdidas, la cooperativa cuenta con:
20
¿Controles adecuados para detectar y evitar la
instalación de software no autorizado o sin la
3.4.7 respectiva licencia, desinfección de virus 8% 0
informáticos y demás software maliciosos?
0
¿Controles formales para proteger la información
contenida en documentos, medios de
almacenamiento u otros dispositivos externos
3.4.8 para la utilización o divulgación no autorizada de 7% 0
información para fines contrarios a los intereses
de la entidad?
0
¿Un procedimiento de clasificación y control de
activos de TI con su respectivo registro e
3.4.9 identificación así como responsable de su uso y 7% 0
mantenimiento?
0
¿Instalaciones de procesamiento de información
crítica en áreas protegidas con los suficientes
controles que eviten el acceso de personal no
3.4.10 autorizado y daños a los equipos de computación 8% 0
y a la información en ellos procesada,
almacenada o distribuida?
0
¿Un plan para evaluar el desempeño del sistema
3.4.11 de administración de la seguridad de la 5% 0
información? 0
¿Cuentan con el servicio de transferencias y
3.4.12 transacciones electrónicas? 5% 0
¿Cuentan con políticas y procedimientos de
seguridad de la información que garanticen que
las operaciones sólo pueden ser realizadas por
3.4.13 personas debidamente autorizadas; que el canal 5% 0
de comunicaciones utilizado sea seguro,
mediante técnicas de encriptación de
información?
100% NC 0.21
Elaborado por: Los Autores/ Junio- 2012 NR 79%
20
Área Tecnología
PONDERACIÓN
CALIFICACIÓN
N
PONDERADA.
Nro. PREGUNTA SI
O
¿Información de respaldo y
procedimientos de restauración en una ubicación
12
3.5.4 remota, garantizando su disponibilidad ante 0
%
eventos de desastre en el centro principal de
procesamiento? 0
Con el objeto de garantizar que el proceso de
adquisición, desarrollo, implementación y
3.6 mantenimiento de las aplicaciones satisfagan 0
los objetivos del negocio, la Cooperativa
cuenta al menos con:
Una metodología que permita la adecuada
administración y control del proceso de compra
12
3.6.1 de software y del ciclo de vida de desarrollo y 0
mantenimiento de aplicaciones, con la aceptación %
de los usuarios involucrados.
0
¿Documentación técnica y de usuario
permanentemente actualizada de las aplicaciones 12
3.6.2 0
de la institución? %
0
¿Controles que permitan asegurar la
3.6.3 adecuada administración de versiones de las 9% 0
aplicaciones puestas en producción? 0
20
¿Controles que permitan asegurar que la calidad
de la información sometida a migración, cumple 12
3.6.4 con las características de integridad, 0
%
disponibilidad y confidencialidad?
0
Con el objeto de garantizar que la
infraestructura tecnológica que soporta las
3.6.5 operaciones, sea administrada, monitoreada y
documentada de forma adecuada, la
Cooperativa cuenta con:
¿Políticas y procedimientos que permitan
la adecuada administración, monitoreo y
3.6.6 documentación de las bases de datos, redes de 7%
datos, software de base y hardware?
0
100
NC 0.22
%
78
Elaborado por: Los Autores/ Junio- 2012 NR %
20
Área EVENTOS EXTERNOS
Nro. PREGUNTA SI NO
POND.
POND.
La Cooperativa cuenta con planes de
CALIF
4.1 contingencia y de continuidad del negocio,
en caso de que ocurra algún evento ajeno a
.
su control como:
4.1.1 ¿Fallas en el suministro de energía? 0 15% 0
100% NC 0
NR 100%
Elaborado por: Los Autores/ Junio- 2012
20
RESUMEN DE LA FUENTE DE LOS COSTOS
El resultado económico se obtuvo utilizando una regla de tres, por ejemplo si los
miembros de administración perciben un sueldo de $1800, en conjunto y los días
de plazo para realizar la actividad: “Crear un comité de administración de riesgos,
o elegir un responsable.", son 10, entonces multiplicamos los días por el sueldo y
dividimos para 30, que son los días laborados mensualmente de acuerdo
Ministerio de Relaciones Laborales.
En algunos caso los días plazo para ejecutar dicha actividad son 180, es decir,
como es obvio son 6 meses que tienen de tiempo para ejecutar la misma, esto
debido a que por ejemplo la medida: El responsable de la seguridad de los
sistemas debe ser independiente de las áreas que los utilizan, y su función
principal es la de evaluar el nivel de seguridad de los sistemas, administrar los
accesos y comprobar el cumplimiento de las políticas de seguridad, dejando
constancia de las mismas.", no puede ser llevada a cabo en unos días específicos,
por lo que procedimos a indicar que esa medida se realizará en un periodo
completo, ya sea trimestral, anual ó semestral en éste caso.
20
ANEXOS
Características Técnicas
Marca: PORTEN
Modelo: PG6000D
RPM: 3600
A/C Salida: 4500W
A/C Salida de Emergencia: 6000W
A/C Voltaje: 120V/240V
A/C Frecuencia: 60 Hz
Amperaje VAC Promedio a 120V/240V: 27.1 / 13.55
Amperaje VAC Máximo a 120V / 240V: 33.9 / 16.9
Cilindrada del Motor: 418cc
Tipo de Motor: Diesel
Fabricante del Motor: PORTEN
Potencia del Motor: 9 HP
Aceite Recomendado: 15W40
Encendido: Eléctrico
Batería: Incluida
Tamaño de Batería: 12V 24-32A
Indicador de Nivel Combustible: Si
Capacidad del Tanque (Galones): 3.2 gl
21
Horas de Operación al 50% con Tanque Lleno: 9.5 hrs
Peso: 363.76 lbs. / 165 kg
Alto: 56.5 cm
Ancho: 77 cm
Largo: 95 cm
Incluye Tablero de Transferencia Automática
Precio: $ 2,482.14
21
VANDEJA PASAMONEDAS
Versátil bandeja pasa monedas para las operaciones de pagos y recibos con depresiones
de agarre especiales para tomar las monedas con facilidad.
http://www.sitec.de
21
VENTANILLAS DE SEGURIDAD CON BLINDAJE MÓVIL PARA SU
INSTALACIÓN EN BARRAS DE MOSTRADORES
21
VENTANILLA DE SEGURIDAD P 3001
http://www.sitec.de
21
CAPACITACIÓN
Aunque hubo el temor de que los costos para las Tecnologías que ofrece el, subirían de
costo; desde el 1 de marzo rige una tabla con los nuevos valores, pero para cursos que
imparte el Secap a medianas y grandes empresas.
El organismo tiene un instructor de planta y para los cursos que en el Secap imparten
contratan a profesionales. Ellos ganaban 5 dólares por hora. Jaramillo reconoció que la
suma de horas al mes no cubría ni el sueldo básico. Con el incremento pagarán al
instructor por hora 13 dólares. Con la medida también expanden las
ÁREAS DE INSTRUCCIÓN
Su planificación
21