Presentacin de PowerPoint

INTEGRANTES: Santana Acua, PamelaSiccha Ayvar, HobberUgaz Jo, EnriqueCaldern arias Federico Enrique

CASO DE ESTUDIO1INFORMACIN DE LA EMPRESADESCRIPCIN DEL CASOANLISIS DEL CASOPROPUESTAS DE MEJORACONCLUSIONESRECOMENDACIONESAGENDALa Caja Municipal de Ahorro y Crdito del Santa S.A, es una institucin financiera especializada en Microfinanzas, integrante del Sistema de Cajas Municipales de Ahorro y Crdito del Per (CMAC), acta bajo la forma de Sociedad Annima, cuyo objeto social es captar recursos del pblico, teniendo la especialidad de realizar operaciones de financiamiento a las pequeas y microempresa.Fue autorizado por el Ministerio de Economa y Finanzas (MEF), mediante D.S, N 255-85-EF del 27 de Junio de 1985; otorgndose la Escritura Pblica de constitucin y estatuto el 09 de abril del 1986.La Caja Municipal de Ahorro y Crdito del Santa S.A, est regulada por el Banco Central de Reserva del Per (BCRP) y supervisada y controlada por la Superintendencia de Banca y Seguros (SBS), Federacin Peruana de Cajas Municipales (FEPCMAC) y por la Contralora General de la Repblica. CMAC del SantaRanking de Crditos, Depsitos y Patrimonio de las Cajas Municipales(Al 28 de febrero de 2015)(En miles de nuevos soles)

CMAC del Santa

En el 2003, CMAC del Santa tomo la decisin de comprar un ERP financiero para su Core Business, la tecnologa que utilizaba CMAC del Santa era una aplicacin desarrollada en Fox Pro para DOS, utilizando como motor de Base de Datos las mismas tablas que provea el lenguaje de programacin.El ERP que adquirieron fue el de CMAC Trujllo, desarrollado en lenguaje visual (Visual Basic 6.0) y con motor de Base de Datos SQL Server 2000, corriendo en un ambiente de 02 y 03 capas respectivamente.Se estableci un plan de trabajo, los participantes serian los funcionarios, personal tcnico y usuarios lderes de CMAC Del Santa y los participantes de CMAC Trujillo solo era el personal del rea de Sistemas, asimismo se estableci una metodologa de trabajo, basado en actas, informes, hitos, fases, entregables, etc; para lo cual se qued en mutuo acuerdo los detalles.

CASOAl momento de migrar la data al nuevo motor de base de datos y revisar los saldos de los crditos no exista ningn problema, pero al visualizar los saldos de los ahorros exista un descuadre, aparentemente los movimientos entre el Debe y el Haber no cuadraban, por lo que se informo al Jefe de Sistemas de CMAC Del Santa (quien era el Jefe del Proyecto) lo que haba sucedido, esto sucedi por 3 das consecutivos.

Al ser informados los funcionarios de CMAC Del Santa solicitaron una auditora financiera y de sistemas de forma inmediata, encontrndose que existi manipulacin en los sistemas de informacin de CMAC Del Santa, sucedi que un programador realizaba una especie de transaccin de ingreso de dinero fsico por ventanilla, este efectivo no ingresaba por ventanilla, pero poda visualizarse en el sistema como una transaccin normal, a la vez, este dinero era dirigido a una cuenta de ahorros mancomunada con otra persona, que ni bien se enteraba del movimiento realizaba retiros de efectivo, posteriormente se pudo saber que el desfalco llego a superar el milln de soles.

CasoAl visualizar los saldos de los ahorros exista un descuadre, aparentemente los movimientos transaccionales entre el Debe y el Haber no cuadraban, ya que existi manipulacin en los sistemas de informacin de CMAC Del Santa.

DetonanteGestin de Riesgos: No contaba con una matriz de riesgo operacional a nivel de toda la empresa o de reas crticas.

Gestin de Auditora: El rea de Auditoria, no identific movimientos anmalos.

Gestin de la Seguridad de la Informacin: No se contaba con un estndar de seguridad de la informacin (polticas, procedimientos, etc).

Gestin de TI: No existi una adecuada segregacin de funciones.

Anlisis del CasoAnlisis del CasoIntegridad: Modificacin no autorizada en el aplicativo (perfiles de usuario).

Integridad: Errores al procesar informacin que genera inconsistencias y resultados perjudiciales.

Integridad: No realizaban un cuadre diario, semanal, mensual entre el Debe y el Haber, validada por el Jefe de Operaciones, que posteriormente sea auditada.

Anlisis del CasoIntegridad y Confidencialidad: El acceso indebido a la informacin origin alteracin.

Confidencialidad: No se monitoreaba los accesos a la base de datos.

Confidencialidad: La aplicacin (sistema) permita fraudes.

Disponibilidad: Posiblemente no exista informacin contable de perodos anteriores que permita realizar una comparacin.

Gestin de Riesgos: Contar con una matriz de riesgo operacional.

Gestin de Auditora: Gestionar la auditora basada en riesgos.

Gestin de la Seguridad de la Informacin: Implementar un estndar de seguridad de la informacin.

Gestin de TI: Segregar funciones al personal de TI.

Propuesta de MejoraPropuesta de MejoraIntegridad: Verificar que los perfiles de modificacin sean administrados, coordinados y revisados por una jefatura externa a TI.

Integridad: Al procesar informacin que no genere inconsistencias debe establecerse procedimientos de certificacin.

Integridad: El jefe de Operaciones debi tener dentro de sus procedimientos realizar auditoras operativas y de caja.

Propuesta de MejoraIntegridad y Confidencialidad: Para que no exista accesos indebidos y no genere alteracin, la base de datos debe tener un password administrado nicamente por el DBA, adems contar con firewall y seguridad sobre el sistema operativo.

Confidencialidad: Para mejorar la administracin de accesos a la base de datos y que la aplicacin (sistema) no permita fraudes, se debe aplicar lo indicado en el tem anterior

Disponibilidad: Verificar a travs de backup que exista informacin contable de periodos anteriores, con ello poder realizar comparaciones.

Contar con Poltica y/o Procedimiento de Control de Accesos, debido a que un Programador no debera de tener a accesos a datos o aplicativos en produccin.

Realizar un evaluacin de riesgo operacional para definir e identificar los procesos sensibles y crticos.

El Administrador de Base de Datos realice un monitoreo de las tabla sensibles definidas despus de una anlisis de riesgos operacional.

Realizar la Segregacin de funciones aplicando el principio del mnimo privilegio.

Propuestas de mejora

Al no definir procesos y procedimientos que sean auditados ocurren problemas crticos.No implementar la segregacin de funciones pone a las compaas en riesgo de no cumplir con los requisitos regulatorios y de cumplimiento.No se realizo un anlisis de Riesgo Operacional y no se opto por una adecuada gestin del mismo.

CONCLUSIONESSe debe realizar un cuadre diario del debe y el haber al cierre de las operaciones el cual debe ser firmado por el Jefe del rea a cargo.Se debe implantar un sistema de gestin de accesos para tener un mayor control de los roles funcionales asignados para cada usuario.Se debe realizar una evaluacin del riesgo y de los controles en todos activos involucrados.Se debe monitorear sistemas sensibles.Se debe contratar una consultora para que realice varias auditorias externas.

RECOMENDACIONES