COMISION NACIONAL DE BANCOS AUDITORIA DE SISTEMAS
Tendencias Mundiales sobre la Auditoria de Sistemas -- Basilea II Otros Riesgos de envergadura se están desarrollando a parte de los riesgos de crédito, mercado, pais, reputación, estrategico, tasa de Interes etc. : La desregulación y globalización de servicios financieros Uso intensivo en tecnología más sofisticada la cual posee el potencial de transformar el riesgo de error de los procesos manuales en riesgos de fallas de sistemas Las adquisiciones a gran escala, las fusiones y consolidaciones prueban la viabilidad de nuevos sistemas integrados Crecimiento del comercio electrónico : Fraude Interno Fraude externo Problemas en la seguridad de los sistemas Entidades financieras actuando como proveedor de un gran numero de servicios, crea la necesidad de un continuo apoyo a los controles internos, y sistemas de seguridad y de respaldo. El uso creciente de outsourcing o tercerización Riesgo Operacional El riesgo de pérdida que resulta de procesos internos inadecuados o fallas en ellos por personas y sistemas o por eventos externos
ROL DEL DIRECTORIO Y DE LA ALTA GERENCIA -- - RIESGO OPERACIONAL --- Entenderlo como una categoría de riesgo distinta que debe ser administrada Aprobar y revisar periódicamente el esquema de gestión El esquema debe proporcionar una definición a nivel corporativo Deben asegurar que el esquema de la entidad financiera esté sujeto a una auditoria efectiva e integral La Alta Gerencia debe tener la responsabilidad de implementar la estrategia aprobada por el consejo de administración La Alta Dirección debe también tener responsabilidad en el desarrollo de políticas, procesos y procedimientos para la gestión en todas las actividades, productos y sistemas de la entidad financiera Involucrar a los funcionarios para la formación de un rol staff (Comité de Riesgo) de administración de riesgo para identificar, medir, controlar, monitorear y valorar los diversos riesgos asumidos en sus operaciones
ROL DEL COMITÉ DE RIESGO --- RIESGO OPERACIONAL --- Supervisar el desempeño y el cumplimiento de la administración del riesgo Aprobar la metodología que administrara el riesgo Revisar la metodología cuanto menos 2 veces al año Aprobar las estrategias de comunicación y difundirla en toda la organización Recomendar a la junta directiva la modificación de los límites de exposición de riesgo Conocer y evaluar los resultados obtenidos en la cuantificación de las exposiciones de Riesgo
ROL DE LA AUDITORIA INTERNA --- RIESGO OPERACIONAL --- No debe ser directamente responsable de la gestión de los riesgos operativos Evaluar la políticas emanadas por el directorio Evaluar los procedimientos establecidos para la administración del riesgo Incluir en el plan el rol de la auditoria como actividades permanentes
ROL DEL SUPERVISOR --- RIESGO OPERACIONAL --- Evaluar la participación del directorio, la estructura gerencial de la institución, políticas, procedimientos, practicas Asegurarse que existen mecanismos incorporados para la identificación, evaluación, seguimiento, y control/mitigación de todos los riesgos Evaluar el marco de control interno, seguridad de información, calidad de la información, de los productos y servicios entregados a los clientes, plan de continuidad del negocio
Presentación Estructural de A.S.
Presentación Estructural de A.S. Jefe Division Auditoria de Sistemas Auditor de Sistemas Auditor de Sistemas Auditor de Sistemas Auditor de Sistemas (1) (2) (7) (8)
METODOLOGIA UTILIZADA La metodología utilizada se basa en un análisis profundo de riesgo tecnológico y operacional que aplica a cada centro de cómputo un examen de 189 actividades agrupados por áreas críticas para luego presentar un informe de deficiencias, riesgos potenciales y la recomendación a cada riesgo. Dentro de estas actividades se aplica incondicionalmente un análisis de datos de los módulos de préstamos, depósitos, inversiones, lavado de activos y análisis de central de riesgos, cuadres de auxiliares vrs contabilidad soportado por la revision de sús procedimientos y procesos documentados y certificados.
Resumen de la Metodología de Auditoria de Sistemas Cuadre de Archivos Físicos y Saldos Contable 5 Generar Archivo Estándar 1 Genera Cuadros para auditoria Financiera 1 Análisis de Datos (Inconsistencias) 18 Presentaciones 4 Revisar Proceso de Préstamos 19 Basilea II Revisar Proceso de Tarjeta de Créditos 19 Revisar Proceso de Depósitos Ahorro y Cheques 22 Revisar Proceso de Depósitos a Termino 14 Gestión de Informática 11 Desarrollo 11 Operación 14 Administración del Centro de Computo 12 Seguridad Física 9 Seguridad Lógica 6 Controles de Auditoria del Sistema 8 Seguridad en Comunicaciones 10 Derechos de Autor 2 Auditoria Interna 3 189
Planeación de Auditoria de Sistemas La planeación de las auditorias de sistemas están condicionadas por la programación que las Superintendencias estimen conveniente, ingresando a la institución supervisada una semana antes que los auditores financieros para la elaboración de cuadros. Superintendencia de Bancos, Financieras y Asociaciones de Ahorro y Prestamo Planeacion de examenes durante el 20 Instituciones BGA Banco de los Trabajadores Banco Uno, S.A. Banco Promerica, S.A. Banco Futuro, S.A. Banco de Honduras, S.A. BANCOCCI BANCATLAN FICENSA Banco de America Central Honduras, S.A. Lloyds Bank (Banco Cuscatlan, S.A.) Banco del Pais, S.A. Banco Mercantil, S.A. Banco FICOHSA Banco Continental, S.A. BANHCAFE BANADESA BANTRAL La Constancia, AHPSA. Metropolitana, AHPSA Arrendamientos y Creditos, S.A. Corporacion Financiera Internacional, S.A. Financiera del Caribe, S.A. Corporacion de Inversiones Mercantiles, S.A. Financiera Popular Ceibeña, S.A. Compania Financiera, S.A. Financiera Credi Q, S.A. Financiera Solidaria, S.A. Financiera Insular, S.A. Enero Febrero Marzo Abril Mayo J 29-2 5-9 12-16 19-23 26-30 2-6 9-13 16-20 23-27 1-5 8-12 15-19 22-26 29-2 5-9 12-16 19-23 26-30 3-7 10-14 17-21 24-28 31-4 7-11 Planeacion Desarrollo Examen CAMEL Elaboracion de Reporte de Examen Vacaciones Capacitacion Masiva al personal de Inspeccion Bancaria Institucion no supervisada, se asigna supervisor para que monitoree los trabajos especiales que se realicen. Nota: La capacitacion en el exterior que se autorice al personal tecnico de esta Superintendencia se realizara de conformidad con lo programado por el Directorio de la CNBS en el presupuesto.
FLUJO DE INFORMACION
Calidad : Acceso, Cuadre, Generación de Informes para Auditores Financieros Requerimientos SYBASE DB2 AS400 ORACLE Institución Cuadre Archivo Estandar Proceso Generar el Archivo Estandar Auditores Financieros Reportes de Datos B
Riesgo Tecnológico y Gestión Informática B BASE DE DATOS GESTION Y PERSONAL COMUNICACIONES REDES SEGURIDAD FISICA SEGURIDAD ESTRUCTURA INTERNA HACKING C
C Procesos. Manual de procedimientos Institucional Revisión de los procesos Documentados y codificación de: Apertura de cuentas Ingreso y validación de clientes Calculo de intereses normales, Intereses y días en mora,etc... Es imprescindible para el buen funcionamiento de los procesos del negocio abordar el tema de productos y servicios. D
Calidad: Analisis datos de Central de Riesgos. D DB, Institución Archivos Reportados A la CNBS Identidades Archivo Estandar Archivo Estandar En esta etapa se efectúa un análisis de los datos de Créditos reportados por la institución supervisada a la CNBS y los datos almacenados en el Banco, aplicando dos tipos de validaciones: (A y C) Tipo A: Validación de datos interna Tipo C: Cruce de los datos de la Institución y la Central de Riesgos El resultado un informe Reflejando el numero de inconsistencias en los datos de la Institución y la reportada a la CNBS E
E Calidad: Analisis datos Lavado de Activos. DB de Transacciones de la Institución Archivos Reportados A la CNBS Archivo Estandar En esta etapa se efectua un analisis de los datos de Creditos reportados por la institución supervisada a la CNBS y los datos almacenados en el Banco, aplicando dos tipos de validaciones: (A y C) Tipo C: Cruce de los datos de la Institución y la Central de Riesgos El resultado un informe Reflejando el numero de inconsistencias en los datos de la Insitutución y la reportada a la CNBS F
Cargar ultimo informe de Auditoria a la PC Ir a papeles de trabajo, trabajo de campo Copiar Informe de la PC En la Base de Datos De la CNBS
Puntos de revisión Fechas: Anterior y Actual de la Auditoria Ingreso de texto de la deficiencia Estado de la revisión
PRESTAMOS Descripcion Balance Auxiliar Prestamos Diferencia Prestamos a la Vista 49,932,341.29 49,936,227.07 3,885.78 Documentos Descontados 9,880,099.03 9,880,099.03 0.00 Prestamos Fiduciarios 249,154,977.70 249,154,977.70 0.00 Prestamos Prendarios 62,181,223.99 62,331,223.99-150,000.00 Prestamos Hipotecarios 208,840,200.94 208,840,200.94 0.00 Prestamos a Instituciones Financieras 20,601,000.00 20,601,000.00 0.00 Prestamos Sectoriales 9,361,000.00 9,361,000.00 0.00 Prestamos Doctos Negociaciones 315,380.34 315,380.34 0.00 Total Moneda Nacional 610,266,223.29 610,420,109.07-146,114.22 Intereses Descripción Balance Auxiliar Diferencia MONEDA NACIONAL INTERESES Y DIVIDENDOS POR COBRAR Sobre Cartera de Fondos Propios 5,797,258.37 5,797,036.92 221.45 MONEDA EXTRANJERA Sobre Prestamos Descuentos y Negociaciones 3,523,676.64 3,523,677.16-0.52 Total Saldo Intereses 9,320,935.01 9,320,714.08 220.93 F INFORMES DE AUDITORIA DE SISTEMAS Banco XYZ Riesgo Operativo y Tecnológico Área Informática La institución tiene una estructura organizacional inadecuada en el área de sistemas, alta dependencia del personal de informática centralización de funciones que se incrementa por la no existencia de documentación adecuada de programas, manuales técnicos, de procesos, plan de contingencia probados y actualizados, además es notoria la falta de una administración adecuada de los recursos asignados un signo de lo anterior es la compra de un servidor en marzo del 2002 por un valor cercano a un millón de lempiras y el cual no ha sido utilizado, lo que demuestra una inmovilización de recursos importante. Se tiene también, un bajo nivel de seguridad del servidor de producción. Existe un exceso de confianza administrativa por la realización de modificaciones a los datos sin contar con la solicitud y documentación adecuada; todo esto constituye un riesgo potencial para la continuidad y confiabilidad de las operaciones de la institución. Informe de deficiencias Informe de Auditoria de Sistemas BANCO XYZ Septima Etapa: Preparar Informes. Adicionalmente no existe una supervisión adecuada por parte de auditoria interna sobre las actividades que se realizar en informática como ser producción, certificación de nuevos proyectos y modificación de los existentes. En conclusión el sistema de información de Banco XYZ se considera funcional y aceptable a las necesidades de la Institución pese que el departamento de informática carece de procedimientos de registro y documentación que soporte los programas y actividades del área así como la falta de una supervisión por el departamento de Auditoria Interna que minimice a futuro los riesgos potenciales e incremente el control y seguimiento sobre las proyectos y procesos del Banco, además es evidente la inexistencia de planes de sucesión de ejecutivos claves en caso de contingencia. Recursos Humanos El recurso humano con que cuenta la Institución, de acuerdo a las responsabilidades asignadas, desarrolla sus actividades en forma profesional, no obstante que el departamento de recursos humanos no cuenta con el perfil formal y manuales de funciones de los puestos de acorde al organigrama actual de la Institución, lo cual está en proceso de implementación, por otra parte no existe un plan de carrera y capacitación por cada puesto, asimismo no hay planes de sucesión de funcionarios clave, principalmente en el área de informática fomentando la centralización y excesiva dependencia en dos personas, lo cual no se considera apropiado de acuerdo a las sanas prácticas bancarias. Por otra parte el área de recursos humanos cuenta con los manuales y políticas debidamente actualizadas y son aplicables a la gestión de recursos humanos, lo que incide en un adecuado manejo de personal por parte de la Gerencia de Recursos Humanos. Prestamos Anexo 1 Existen diferencias de saldos en moneda nacional entre el balance y el archivo maestro de préstamos por un total de Lempiras -146,114.22. Cuadro 1 Intereses Existen diferencias de saldos de interés entre el balance y el archivo maestro de préstamos por un valor de Lps. 220.93 Cuadro 2 Resumen Ejecutivo Análisis de datos de Lavado de Activos Informe de Inconsistencias de Cuadres, datos etc. Informe de análisis de datos de Central de Riesgos Julio 2003 Comisión Nacional de Bancos y Seguros Gerencia de Informática División de Auditoria de Sistemas LAVADO DE ACTIVOS BANCO XYZ Revisión de los Datos Recibidos al 31 de Mayo de 2003 Básicamente se consideraron dos areas para la revision de los datos las cuales son las siguientes: Transacciones no reportadas según CNBS El procedimiento que se aplico fue la normativa, al historico de movimientos de CAPTACIONES de la institución. Inconsistencias encontradas en los datos reportados en el capturador Aquí se revisaron 21 diferentes errores que pueden ocurrir, los cuales se describen al momento de tratar este punto. Notas. 1. Al mencionar Transacciones Financieras hacemos dos agrupaciones UNICAS y MULTIPLES a pesar que este ultima agrupación no es contemplada en la normativa de la CNBS, se muestra solamente para datos informativos. Transacciones no reportadas según CNBS Cuadro 1 (Resumen de Operaciones No Reportadas Según CNBS) Rubro Tx Efectivo Unicas No Reportadas Lempiras/Credito 1 Financieras Unicas No Reportadas Lempiras/Credito 14 Financieras Unicas No Reportadas Lempiras/Debito 72 Financieras Multiples No Reportadas Lempiras 81 Financieras Multiples No Reportadas Dolares 8 A continuación se muestran los detalles del resumen anterior: Cuadro 2 (Efectivo Unicas No Reportadas Lempiras/Credito) Numero Cuenta Fecha Valor 101993755 20030506-500,000.00 BANCO XYZ Informe de Auditoria de Sistemas Análisis de la calidad de datos que reportan a la Central de Riesgos Conforme revisión efectuada a Banco XYZ S.A. a la información que manejan en sus sistemas internos y con el propósito de comprobar la calidad y veracidad de los datos que son reportados a la Central de Riesgos. La primera fase de este proceso incluyo el análisis como el Banco XYZ almacena su información de cartera en el computador de producción. Luego se procedió a realizar dos tipos de validaciones, las que denominamos A y C. Para las de tipo A se desarrollaron programas que verificaban la calidad de los datos almacenados en la base de datos de la institución; procesados para crear los archivos de Central de Riesgos y paralelamente ser revisados conforme a parámetros básicos establecidos por esta Comisión y para las de tipo C se desarrollaron programas que validan la información reportada por el Banco XYZ a la CNBS contra lo que existía en su base de datos. De la revisión efectuada se concluye que pese a que existe un proceso automático de crear el archivo para alimentar el capturador de datos de Central de Riesgos existen algunas diferencias que ocasiona discrepancia entre el archivo que sirve como fuente y el presentado a la Comisión Nacional de Banca y Seguro.
Herramienta para Auditoria La División de Auditoria de Sistemas cuenta con una herramienta que servirá para administrar el proceso de auditoria, generar el reporte final, establecer pesos y calificaciones a cada deficiencia encontrada, actualmente esta herramienta se encuentra en su etapa inicial. Esta herramienta fue desarrollada por personal de la CNBS y ajustada a las necesidades de la Auditoria de Sistemas Su segunda etapa comprende el establecimiento de pesos, calificaciones, etc y almacenamiento de las deficiencias encontradas en una Base de Datos Centralizada.
PROYECCION ESTRUCTURAL A FUTURO Jefe. División Secretaria Supervisor y Soporte para Riesgo Tecnológico (1) Supervisor Riesgo Operativo y Seguimiento de Auditorias de Sistemas (2) A.S. 2 A.S. 2 A.S. 2 A.S. 2 A.S. 2 A.S. 2 A.S. 1 A.S. 1 A.S. 1 A.S. 1 A.S. 1 A.S. 1 Bancos Seguros Otras Instituciones
PROYECCION A FUTURO METODOLOGIA Incluir un sistema de medición de las auditorias dando peso a cada deficiencia o punto de revisión Emitir Circular Riesgo Operacional y Tecnologico Establecer estandares de aceptabilidad a cada punto de revisión (BALANCE SCORE CARD) Crear una base de datos unificada de las deficiencias y riesgos encontrados en cada auditorias para dar seguimiento y contar con historia de cada Institución.
MUCHAS GRACIAS