2021 El BANCO CORDOBES (BC) tiene un entorno informático y un auditor de sistemas externo encuentra estas situaciones:
1. En la última reunión del comité de Informática se ha criticado el servicio
recibido y uno de los asistentes ha dicho “aquí lo que hay que hacer es un outsourcing”, con lo que Informática está preparando un informe para rebatir esta idea y llevarlo a la próxima reunión del Comité. Se ha dicho a la entidad auditora que en el informe se pronuncie sobre esta posibilidad.
2. Las pruebas se realizan con datos ficticios, a excepción del caso de
Contabilidad, porque el Jefe de Contabilidad prefiere que se haga así y considera que “hay que confiar en Informática”.
3. No existe función de “atención al usuario” y los problemas llegan dirigidos a
Desarrollo, Técnica de Sistemas, Operación del Ordenador...
4. Las compras las realiza (y a veces toma las decisiones basándose en el
precio) el Departamento de Compras para mayor transparencia (se habían detectados casos de corrupción cuando las realizaba Informática)
5. La decisión sobre alquiler, compra o leasing de equipos viene dada por el
Departamento Financiero.
6. Las utilidades de uso restringido sólo pueden usarlas los técnicos de
sistemas para evitar errores.
7. Se están criptografiando los soportes enviados al exterior (intercambio con
otras entidades y respaldo) mediante un algoritmo desarrollado en la Entidad y cuyo programa fuente está protegido y guardado en la caja fuerte del banco.
8. No hay paquete de seguridad. Existen controles como que cuando se
imprime la nómina baja al centro de procesos el Subdirector de Recursos Humanos y verifica que nadie mira los listados mientras salen y después se los lleva “debajo del brazo”. Solución 1) Primeramente se debe atender a los principios de confianza de un auditor: el cual puede aceptar indicaciones del auditado como válidas. Así como también, tener disposición de dialogo para aclarar dudas o conflictos que pudieran surgir, como es el caso de esta situación. Por lo cual, el auditor debe prestar atención a la versión que da tanto el comité como el grupo de Informática y a partir de ahí, sacar sus conclusiones y exponerlas en su informe final, sin dejarse llevar de alguna influencia. 2) Este es un claro ejemplo de lo que no se debe hacer. A pesar de que se debe confiar en la informática; todo sistema de información está expuesto a fallos por lo que no es apropiado no usar datos de prueba en el área de contabilidad o cualquier otra, ya que de esta forma se minimizan los fallos que pudieran presentarse a futuro. 3) Una excelente atención al cliente optimiza las relaciones con los consumidores. De tal manera que los clientes satisfechos no solo compran más, sino que recomiendan el servicio ofrecido a otras personas lo cual es una buena opción para toda empresa. Que no haya un área de atención al cliente para las quejas podría tener un efecto adverso a lo anteriormente mencionado y, además, podría desconocerse en que se está fallando. 4) Ante esta situación se está actuando de manera correcta, puesto que tener a cargo de la compra de todo aquello necesario para la empresa a personas que sepan sobre el tema resulta beneficioso, donde quizás podría haber inconvenientes es la intuición de compra con base a los precios, ya que más barato o caro no necesariamente significa mejor. 5) Es una buena práctica que el departamento financiero esté al tanto de los gastos, siempre y cuando se haga con transparencia, puesto que si en un determinado caso se hace necesaria la compra obligatoria de algún elemento de hardware, por ejemplo, ellos determinarán las condiciones de esta compra dado el presupuesto disponible o la urgencia de dicha compra. 6) No es correcto que los técnicos de sistemas puedan acceder a dichas utilidades ya que estas contienen información, en este y muchos casos, de carácter confidencial para la empresa lo cual en manos equivocadas puede ser un error garrafal. 7) Esta es una buena práctica de seguridad lógica y física ya que se tiene un control sobre posibles situaciones que atenten contra la integridad del programa que se utiliza para criptografiar los soportes. 8) Definitivamente esta es una acción poco prudente por parte del subdirector, aunque también se debe hacer mención sobre el “control” que se tiene cuando se imprimen los listados que no es para nada segura ya que nada garantiza que no hay alguien que esté mirando dicha información. En resumen, quitando el buen cuidado que tienen sobre el programa utilizado para criptografiar los soportes que envían al exterior, en el Banco Cordobés, se evidencian ciertas faltas de seguridad que son muy críticas a la hora de dar, entre otras cosas, consistencia a la información que maneja la entidad bancaria, ya que esta podría sufrir de alteraciones debido al poco cuidado que se le presta en materia de seguridad.