Primer Trabajo - Aus - Grupo de Trabajo 4
Primer Trabajo - Aus - Grupo de Trabajo 4
Primer Trabajo - Aus - Grupo de Trabajo 4
Título:
Grupo de trabajo:
04.
Materia:
Auditoría de Sistemas.
Grupo teórico:
01.
Docente:
Ciclo académico:
I/2022.
Para el desarrollo de la actividad de auditoría de sistemas de TI dentro de la entidad Banco Agrícola, S.A.,
es necesario la creación de una unidad de auditoría de sistemas que será la encargada de ejecutar una
labor independiente y objetiva, tendiente a contribuir y garantizar la independencia de la administración y el
equipo de auditoría que lleva a cabo sus funciones bajo la responsabilidad directa del gobierno
corporativo. Esto se hace posible con el establecimiento de un memorándum de planificación en el cual
presentamos los lineamientos y las funciones de la unidad de auditoría de sistemas a nivel corporativo
dentro del estatuto de auditoría, el conocimiento del cliente a nivel general que permita entablar un análisis
sobre las diferentes características de la misma, con el propósito de alinearse con la misión, visión y
objetivos que esta mantiene en su entorno.
General:
Desarrollar una auditoría de sistemas bajo el enfoque ISACA e IASB, tomando en cuenta criterios de
COBIT 2019, ITAF 3, las ISO 27000 y demás sistemas de evaluación de riesgos informáticos.
Específicos:
Conocer generalidades del cliente, sistema de información, leyes y normativas a las cuales se regula
para así desempeñar una evaluación del control interno acorde al giro de la entidad.
Verificar el cumplimiento de las políticas, manuales e instructivos establecidos por la entidad en cuanto
a la seguridad de la información.
MEMORÁNDUM
DE PLANEACIÓN
Índice
I. Introducción.
1) Propósito.
Objetivos.
Garantizar la independencia con la administración y equipo de auditoría que lleva a cabo sus funciones
bajo la responsabilidad directa de gobierno corporativo en todo el proceso de la actividad de auditoría
interna de sistemas e informar en cuestiones administrativas directamente al representante legal de la
sociedad.
Metas.
Establecer un ambiente de trabajo donde se eviten las circunstancias que pudiesen comprometer la
independencia y la objetividad de la administración y del equipo de auditoría, en caso de existir debe
comunicarse.
Brindar servicios independientes y objetivos de aseguramiento y consulta que contribuyen a generar
valor a la sociedad a través de la minimización de riesgos de los recursos de TI.
7
Deak & Asociados, S.A. de C.V. x
Misión.
Desarrollar una evaluación del control interno establecido por la sociedad que contribuya a detectar y
corregir errores e irregularidades y asegurar los recursos de TI. Además, determinar la fiabilidad de las
operaciones, mediante pruebas selectivas utilizando como marco de referencia las Normas
Internacionales de Auditoría de Sistemas que son emitidas por el Consejo Normativo de la Asociación
de Auditoría y Control de Sistemas de Información ISACA.
Visión.
Objetivo General.
Objetivos Específicos.
Realizar una auditoría de sistemas utilizando el marco de Trabajo de Prácticas Profesionales para
Auditoría y Aseguramiento de SI (por sus siglas en ingles ITAF)
Identificar las posibles desviaciones en el uso del software que entorpezcan el cumplimiento de la
consecución de los objetivos establecidos.
Corregir las deficiencias de los controles internos establecidos por la administración que salvaguardan
los recursos de TI.
8
Deak & Asociados, S.A. de C.V. x
La función de auditoría está orientada a evaluar los siguientes elementos y funcionamiento del Sistema.
Hardware.
Software.
Seguridad física y lógica.
Procesamiento electrónico de datos.
PEP (Aspectos contables).
Leyes y reglamentos asociados a TI.
9
Deak & Asociados, S.A. de C.V. x
El presente estatuto de auditoría establece que la administración es quien define las funciones y las
competencias de auditoría interna y además se especifica su contribución al gobierno corporativo.
Por ende, el equipo de auditoría brinda sus servicios de manera independiente cumpliendo además con los
objetivos de aseguramiento y funcionamiento del sistema, contribuyendo a garantizar la fiabilidad de los
recursos de TI, así como la consecución de los objetivos mediante la aplicación de metodologías de
evaluación para la mejora de la eficacia del proceso de gestión de riesgos y control.
Asimismo, el equipo de auditoría examina la seguridad y el funcionamiento del sistema de conformidad con
las Normas Internacionales de Auditoría de Sistemas emitidas por ISACA, las cuales requieren la
planeación y ejecución de la auditoría para obtener una seguridad razonable y evidencia suficiente y
apropiada que provean una base para expresar nuestra opinión.
2) Responsabilidad.
2.1 Independencia de la función de auditoría como lo describen los Estándares 1002 y 1003.
Para garantizar su independencia, el equipo de auditoría lleva a cabo sus funciones bajo la responsabilidad
de la administración e informa de manera directa al representante legal. Tanto el equipo de auditoría como
la administración no tienen la responsabilidad sobre las actividades que se auditan, y en el desempeño de
sus funciones deberán evitar conflicto de intereses.
Toda circunstancia que pudiera comprometer la independencia y objetividad entre el auditado y el auditor
debe comunicarse.
La función de auditoría es una actividad independiente de las actividades operativas que se llevan a cabo
en Banco Agrícola, Para garantizar la independencia organizacional de la función de auditoría, el equipo de
Auditoría debe informar a la junta general de accionista lo siguiente:
10
Deak & Asociados, S.A. de C.V. x
La independencia antes mencionada se deberá evaluar anualmente para la función de auditoría y antes de
cada compromiso con los profesionales.
➢ Intereses financieros
➢ Colegas dentro de la empresa.
➢ Familiares ocupando puestos claves dentro de la organización
La auditoría lleva a cabo sus funciones con pericia y la debida diligencia profesional. De tal manera, se
asegura de poseer y mantener, colectivamente, las competencias y los conocimientos necesarios para el
desempeño eficiente de sus funciones.
Los miembros de Auditoría Interna tienen la obligación de salvaguardar y proteger los intereses de Banco
Agrícola, Asumiendo las siguientes responsabilidades:
11
Deak & Asociados, S.A. de C.V. x
El equipo de Auditoría interna deberá trabajar en conjunto con el auditor externo para garantizar el
cumplimiento de la seguridad de los recursos de TI y el funcionamiento de los sistemas; deberá:
• Llevar a cabo las diferentes actividades deberá programar reuniones y coordinar el trabajo a realizar.
• Proporcionarles acceso a los documentos, herramientas, programas u otra información necesaria que
este requiera para llevar a cabo las diferentes actividades deberá programar reuniones y coordinar el
trabajo a realizar.
• El auditor interno debe considerar el trabajo planificado por el auditor externo, cuando se elabore el
plan de auditoría para el próximo periodo.
a) Las actividades de auditoría que se han planeado se ejecuten en un 100% y sea factible identificar las
posibles fallas en el software que se utiliza.
c) El equipo de auditoría se reunirá de manera periódica al menos una vez por mes para evaluar los
avances en las revisiones y condiciones en las que se encuentre el sistema
d) Se expongan los resultados sobre la seguridad y funcionamiento del sistema a través de la Carta a la
Gerencia en las que se detallen: evaluación del control interno, recomendaciones y sus respectivos
hallazgos (condición, criterio, causa, efecto) encontrados en los diversos componentes.
e) Emitir un informe final el cual contendrá el informe de auditoría y el dictamen con la conclusión.
12
Deak & Asociados, S.A. de C.V. x
Reunirse con el equipo de auditoría para discutir los problemas o fallas que se identifiquen durante el
proceso e involucrarse en diferentes actividades solicitadas por el equipo de auditoría cuando sea
necesario.
La auditoría interna se reunirá con la administración al menos una vez al mes, y de no ser posible
comunicar por escrito las observaciones y recomendaciones.
3) Autoridad.
El equipo de auditoría tiene acceso a todo lo que se consideren necesarios para el desempeño de la
función de auditoría tales como:
Información relevante.
Sistemas.
Personal clave.
Política de gestión de riesgos.
Para el cumplimiento de sus funciones el equipo auditor podrá requerir acceso permanente a los datos y
sistema informático.
El requerimiento de información por parte del auditor deberá ser entregado en el menor tiempo posible
previo a su solicitud, además dicha información deberá ser fiel e íntegra.
13
Deak & Asociados, S.A. de C.V. x
No se restringe al equipo de auditoría de realizar los diferentes mecanismos diseñados y planeados para
realizar su función de auditoría.
Auditoría interna diseñará los mecanismos y procesos que considere convenientes para realizar su función
en el plan de auditoría basado en los riesgos, con la única limitante que debe coordinar el trabajo a realizar
con auditoría externa.
El equipo de auditoría incluirá líneas de responsabilidad para la gerencia, tendrá acceso libre y sin
restricciones a la junta directiva y a sus miembros para realizar la función de auditoría requerida.
4.2 Informe.
a) Formato
b) Contenido
✓ Alcance
✓ Acciones realizadas
✓ Hallazgos
✓ Recomendaciones
✓ Respuestas de la dirección
✓ Acciones correctivas tomadas
c) Destinatario
Después de terminado el informe sobre la función de auditoría este será distribuido a las partes
14
Deak & Asociados, S.A. de C.V. x
Los profesionales de auditoría y aseguramiento de SI deben incluir una declaración en su trabajo, cuando
corresponda, de que la función de auditoría y profesionales se adherirá y actuará de acuerdo con todos los
estándares y lineamientos de auditoría para el aseguramiento de SI emitidas por ISACA.
4.5 Proceso de aseguramiento de la calidad.
Para una comprensión de las necesidades y expectativas relevantes de la empresa Banco Agrícola, S.A.,
con la función de auditoría se deben de realizar entrevistas, encuestas de satisfacción del cliente, de
desempeño de la asignación entre otras más.
Estas necesidades deben ser evaluadas contra el estatuto de auditoría con una visión para mejorar el
servicio o el cambio de la prestación, según sea necesario. Revisiones externas de calidad permiten a la
función de auditoría evaluar su cumplimiento con los estándares aplicables, el marco de trabajo de riesgos
de la empresa y control, uso óptimo de recursos y uso de las buenas prácticas.
Se debe realizar una revisión de calidad externa independiente de la función de auditoría al menos cada
cinco años para mantener la conformidad con los Estándares de Auditoría y Aseguramiento de SI de
ISACA.
15
Deak & Asociados, S.A. de C.V. x
Se acordó que habrá sanciones cuando alguna de las partes no cumpla con sus responsabilidades.
Obtener la aprobación de los encargados del gobierno de las modificaciones al estatuto de auditoría.
a) Estándares.
b) Guías.
c) Políticas.
d) Marcos de trabajo.
e) Manuales, otros.
16
Deak & Asociados, S.A. de C.V. x
General.
Desarrollar una auditoría al sistema de la entidad Banco Agrícola, S.A., con base al marco de Trabajo
para Prácticas Profesionales de Aseguramiento y Auditoría de Sistemas de Información (por sus siglas
en inglés ITAF), con la finalidad de llevar a cabo la verificación en el proceso de manera confiable,
íntegro y seguro, de tal forma que determine y evalúe los riesgos contenidos en los procedimientos que
posee la entidad, para que facilite una opinión sobre el efectivo funcionamiento del sistema operativo.
Específicos.
Evaluar si la entidad cuenta con los niveles de seguridad apropiados, con relación a los diversos
factores (hardware, software, seguridad física y lógica, redes, telecomunicaciones, recursos humanos,
control interno) y con el volumen de información que se maneje en dicha aplicación.
Examinar los controles establecidos del sistema, para tener seguridad a que incluyan medidas de
seguridad lógica, capaces de prevenir accesos no autorizados a la información procesada en el
sistema, a fin de reducir el riesgo de transferencia, modificación, pérdida, o divulgación accidental o
intencional de la misma.
Verificar las políticas y procedimientos del control interno informático.
Revisar la existencia del manual de usuario del sistema, así como su contenido y su disponibilidad para
las personas que lo utilizan.
Evaluar controles de calidad en acceso, procedimientos y salidas de información, orientados a
mantener la integridad de los datos que ahí se almacenan.
Analizar las consultas y los reportes generados por el sistema y determinar si estos son útiles,
adecuados y oportunos para los usuarios.
Formular cartas de gerencia sobre la base de auditoría, en la que se incluyan recomendaciones que
ayuden a mejorar los procedimientos de control interno de la empresa relacionados con TI.
Emitir una opinión razonable del funcionamiento del sistema empleado por la entidad.
17
Deak & Asociados, S.A. de C.V. x
Realizar una auditoría en base al marco de referencia para Prácticas Profesionales de Aseguramiento y
Auditoría de Sistemas de Información (ITAF) en las áreas de: hardware, software, seguridad física, lógica,
procesamiento electrónico de datos, recursos humanos y control interno; evaluando el buen funcionamiento
y seguridad del sistema, así como la existencia de planes de contingencias en caso de desastres,
evaluación de políticas y procedimientos de control interno en el área de sistema de información.
I. Niveles de seguridad:
1) Seguridad física.
2) Seguridad lógica.
3) Panorama Técnico.
4) Valores parametrizables.
5) Pistas de auditoría.
II. Funcionamiento:
1) Origen de datos.
2) Entrada de datos.
3) Proceso de datos.
4) Salida de información.
5) Recursos humanos.
Deak y Asociados S.A. de C.V., ha sido contratada por la Junta General de Accionistas de la sociedad
Banco Agrícola Comercial, S.A. para llevar a cabo la auditoría del sistema operativo empleado por la
entidad, por el periodo del 01 de enero al 31 de diciembre de 2021, para expresar nuestra opinión sobre el
funcionamiento y la seguridad del sistema, que se procese con eficiencia, eficacia y economía.
18
Deak & Asociados, S.A. de C.V. x
• El plazo para considerar será de 30 días posteriores a la conclusión del trabajo de campo,
notificando a la Junta General de Accionistas la discusión del borrador con 7 días de anticipación.
• Se emitirán informes de avance (carta de gerencia) que reflejen los resultados de la auditoría en
las fechas convenientes.
19
Deak & Asociados, S.A. de C.V. x
Ubicación geográfica: Centro Financiero San José de la Montaña Direccion: 1°a Calle Poniente y 67
Avenida Norte, San Salvador, El Salvador.
Misión.
20
Deak & Asociados, S.A. de C.V. x
Visión.
Ser una organización comprometida con la excelencia, que satisface las necesidades financieras de los
clientes, con soluciones integrales e innovadoras.
Valores.
✓ Calidez: El compromiso que tenemos de crear experiencias gratas con todas las personas con las
cuales nos relacionamos.
✓ Cercanía: Es la convicción que tenemos por reconocer al otro como ser humano, interesarnos por sus
emociones, escucharlo y construir una relación de largo plazo.
✓ Inclusión: Construir, con nuestras acciones, una banca en la que todos seamos importantes para
hacer una sociedad justa y equitativa.
✓ Respeto: Sensibilidad que reflejamos en nuestro comportamiento para situarnos en el lugar del otro,
interesarnos por sus emociones, ser receptivos con sus necesidades y hacer de la confianza la base
fundamental de nuestras relaciones.
21
Deak & Asociados, S.A. de C.V. x
Junta Directiva
Mauricio Rodríguez
Olivia Martínez
Vicepresidente de
Oficial de Cumplimiento
Auditoría Interna
Rafael Barraza
Presidente Ejecutivo
22
Deak & Asociados, S.A. de C.V. x
El 24 de marzo de 1,955 nace dicha entidad financiera bajo el nombre de Banco Agrícola Comercial. La
primera sucursal del Banco estaba ubicada en San Salvador, en la Quinta Avenida Sur No 124. Inició sus
operaciones con un capital social de ¢1'000,000 (un millón de colones salvadoreños), aportado por 24
accionistas, y un capital laboral compuesto por 14 empleados.
Su fundador fue el empresario Don Luis Escalante Arce, que llevó al banco a un nivel de reconocimiento
nacional y regional, en 1956 inició la expansión del banco al interior de la república, instalando en
Sonsonate su primera sucursal fuera de San Salvador. Desde el año 1982 el banco cumpliendo su
responsabilidad social se convierte en el banco oficial de Teletón El Salvador, título que sigue ostentando
hasta la fecha, por más de 38 años. En 1989 Banco Agrícola, finaliza su nacionalización, al colocar
sucursales a lo largo y ancho de El Salvador.
Uno de los años más importantes en la historia del banco es el año 1992, en este año ingresa como
presidente del banco, el Ing. Archie Baldocchi (†), uno de los más reconocidos empresarios del país y es él
quien introduce al Banco Agrícola a la era de la tecnología al crear conceptos de E-banca, la página web
del banco y los servicios electrónicos. En el año 2006 el Grupo Bancolombia uno de los grupos financieros
más importantes de la región sudamericana, adquiere la totalidad de las acciones del Banco Agrícola. Por
decisión de la empresa colombiana el banco mantiene su nombre y su identidad visual. El 24 de mayo de
2013, Banco Agrícola cambia su logo, por el logo de Bancolombia, pero conserva el nombre de "Banco
Agrícola".
Banco Agrícola Comercial, S.A. es una institución financiera que centra su actividad en la captación de
depósitos de personas físicas y jurídicas, la prestación de servicios de pagos cobros mediante la
plataforma de E-banca, la concesión de créditos y financiación del comercio nacional e internacional. Estas
actividades básicas se complementan con las de comercio de divisas por cuenta propia y de clientes, así
como en el comercio de valores, también por cuenta propia y/o de clientes.
23
Deak & Asociados, S.A. de C.V. x
➢ Pagos.
➢ Transferencias.
➢ Consultas.
➢ Remesas.
➢ Cobros/Pagos.
(Las opciones en punto indican que se pueden realizar, además de manera presencial, mediante la
aplicación del Banco Agrícola).
4. MARCO REGULATORIO.
Esta norma técnica es aplicable debido a que se encarga de regular la ciber seguridad de las entidades
financieras, por medio de los cuales se recopila, procesa, transmite y se almacena la información de los
productos y servicios financieros que las referidas entidades ofrecen a sus clientes en canales digitales.
Dentro de su artículo 2, enuncia a los sujetos obligados para el cumplimiento tales como bancos
constituidos en El Salvador, sociedades de ahorro crédito, bancos cooperativos y federaciones de bancos
cooperativos.
a) Afiliación o suscripción: incorporación de productos y servicios financieros, por parte del cliente, para
efectos de realizar operaciones o transacciones en canales digitales;
24
Deak & Asociados, S.A. de C.V. x
25
Deak & Asociados, S.A. de C.V. x
26
Deak & Asociados, S.A. de C.V. x
Estas normas obligan a las entidades bancarias a implementar o actualizar las herramientas y mecanismos
para monitorear redes y demás infraestructura tecnológica que permita detectar oportunamente eventos de
seguridad o ciberseguridad, actividad o comportamientos inusuales, o movimientos laterales. Estas
además deberán incluir, la inteligencia de amenazas para procurar mantenerse informado sobre amenazas
e indicadores de compromiso de otras fuentes confiables (Art. 4).
Gestión de vulnerabilidades.
Esto es aplicado en ambas normas ya que las entidades deberán contar con procesos para la gestión de
vulnerabilidades que consideren la identificación, evaluación, tratamiento y comunicación de las medidas
de seguridad en la infraestructura tecnológica, mediante la ejecución de pruebas de penetración o intrusión
y de escaneos de vulnerabilidades. Se deberán remediar o mitigar todas las brechas de seguridad, no solo
las clasificadas como críticas y de alto riesgo.
Las entidades Bancarias deberán contar con herramientas para prevenir la suplantación de identidad ante
amenazas basadas en correos electrónicos de phishing, spam, spear-phishing, entre otros y deben
considerar la idoneidad de estas herramientas, de tal manera que sean consistentes con el tamaño de la
27
Deak & Asociados, S.A. de C.V. x
• Las entidades harán campaña sobre educación financiera para dar a conocer a los clientes las
medidas de ciberseguridad que deben aplicar en los distintos canales digitales.
• Las entidades deben de notificar a sus clientes los medios oficiales a través de los cuales comunicaran
los productos o servicios que ofrecen.
• Las entidades deberán contar con herramientas de prevención de pérdida de datos para tener una
visibilidad ante dicho evento, de tal forma que se fortalezca la detección y prevención de la exfiltración
de datos.
• Las entidades deberán de cifrar la información crítica en reposo o en tránsito, incluso en dispositivos de
almacenamiento extraíbles y móviles, debiendo asegurarse de que los protocolos utilizados son
seguros.
• Las entidades deberán contar en su infraestructura tecnológica con protocolos que realicen las
funciones de autenticación de los usuarios; la autorización y uso de los de recursos o servicios; y el
registro de la actividad de los usuarios para el respectivo seguimiento.
Gestión de activos.
Las entidades deberán mantener actualizado el inventario de activos de información críticos e identificar los
datos y la tecnología asociada para priorizar acciones, en concordancia con lo regulado en las “Normas
Técnicas para la Gestión de la Seguridad de la Información” (NRP-23).
Registro y seguimiento.
28
Deak & Asociados, S.A. de C.V. x
Las entidades deberán contar con planes de respuesta para mitigar el impacto ante un incidente de
ciberseguridad. Estos planes deben ser probados para comprobar la capacidad de respuesta e identificar
brechas oportunamente, en concordancia con lo regulado en las “Normas Técnicas para la Gestión de la
Seguridad de la Información” (NRP-23).
4.3. Afiliación, Identificación y Autenticación de los Clientes por medio de Canales Digitales (NRP-
32).
Las entidades que realicen operaciones y presten servicios financieros por medio de canales digitales,
deberán informar a sus clientes de forma escrita o a través de medios electrónicos, al momento de activar
por primera vez el uso del canal digital, como mínimo, lo siguiente:
29
Deak & Asociados, S.A. de C.V. x
d) Deberán informar a sus clientes que la entidad no le requerirá bajo ningún medio y bajo ninguna
condición la información sobre sus factores de autenticación.
Usuarios (Clientes).
i. Cuando la inactividad alcance los ciento ochenta segundos en canales digitales y hasta cinco
minutos para banca de empresa;
ii. Cuando el período de inactividad alcance como máximo, los treinta segundos en las operaciones
realizadas mediante cajeros automáticos, kioskos y puntos de ventas; y
iii. Cuando se detecten sesiones simultáneas.
b) Para los casos de inicio de sesión por medio de Banca por Internet o Banca Móvil se deberá remitir
mensaje al cliente, por los medios electrónicos que disponga la entidad, notificando acerca del inicio de
sesión; y
c) Las entidades que mediante su sitio web ofrezcan enlaces a páginas web de terceros, deberán
comunicar a sus clientes que, al momento de ingresar a éstos, su seguridad no depende ni es
responsabilidad de dicha entidad.
Las transacciones realizadas por medio de canales digitales deberán ser tratadas y aplicadas bajo los
criterios establecidos en los literales j) y l) del artículo 18 de Ley de Protección al Consumidor. Hace
30
Deak & Asociados, S.A. de C.V. x
Los bancos deberán generar una confirmación inmediata al cliente, sobre las transacciones que se realicen
por medio de canales digitales, por medio de mensajes de texto a su dispositivo móvil registrado u otro
medio electrónico, que le servirá para determinar que la misma se ha completado, salvo aquellos casos en
que el cliente haya manifestado expresamente no querer recibirlas, lo cual deberá estar debidamente
documentado por la entidad.
Asimismo, tendrán que enviar vía electrónica la notificación que deberá incluir, como mínimo la fecha, hora,
tipo de producto, tipo de transacción, número de referencia y monto de la operación. En caso de que la
transacción no sea exitosa deberá enviarse un mensaje al cliente notificando que la transacción solicitada
no fue completada. En cada transacción que realicen, deberán implementar mecanismos de no repudio.
Art. 33.- La entidad deberá contar con información del número y monto de las transacciones realizadas por
cliente y tipo de producto, por medio de canales digitales, monitoreando además, el cumplimiento de los
límites y otras medidas prudenciales que se hayan establecido, dependiendo del producto o servicio de que
se trate, e identificando en tiempo real posibles operaciones, inusuales, irregulares o sospechosas de
acuerdo al perfil del cliente y los hábitos de uso de sus productos y servicios financieros, generando las
alertas correspondientes sobre tales operaciones.
Asimismo, las entidades deben notificar en forma inmediata a los clientes, las alertas asociadas a las
operaciones realizadas a través de los canales digitales, que se desvíen del perfil transaccional del cliente,
determinado de manera oportuna y de forma automática por la entidad, a través de los medios que esta
estime conveniente para el cliente. La notificación deberá realizarse siempre y cuando no exista un aviso
por parte del cliente que permita relacionar razonablemente las operaciones que generaron la alerta.
31
Deak & Asociados, S.A. de C.V. x
Los bancos establecen procesos y mecanismos automáticos para bloquear preventivamente el acceso a
cualquiera de los canales digitales, en los casos siguientes:
c. Cuando los sistemas de seguridad detecten un ataque informático que comprometa los datos o
información de los clientes; y
d. Cuando existan situaciones que comprometan la seguridad de los sistemas de información y del
cliente.
Atención al cliente.
Las entidades bancarias deberán poner a disposición del cliente un mecanismo que permita lo siguiente:
a) Obtener el historial de transacciones realizadas que como mínimo incluirá el número de referencia,
monto, fecha, hora, tipo de transacción, tipo de producto; y
Asimismo, las entidades proveerán a sus clientes de un número telefónico y otros medios alternativos de
contacto, tales como correo electrónico, para una comunicación permanente con la entidad, incluyendo el
debido soporte técnico.
32
Deak & Asociados, S.A. de C.V. x
5.1. Software.
Ingresar:
• Número de cliente
• Usuario
• Contraseña
• Token
Cuando ingrese a la plataforma podrá visualizar las Actividades realizadas, consultar los estados de
cuentas, así como las operaciones realizadas y saldos disponibles., también podrá verificar las tarjetas de
créditos, prestamos e inversiones.
33
Deak & Asociados, S.A. de C.V. x
Ingresar:
• Usuario
• Contraseña
34
Deak & Asociados, S.A. de C.V. x
Para realizar las operaciones se debe color monto, número de cuenta, correo
electrónico o digitara NPE, esto dependerá del tipo de transacciones que se
desee realizar. Cabe mencionar que toda transacción solicita corroborar datos o
información mediante un mensaje para hacer las operaciones de manera exitosa
y evitar errores al aplicarlas.
35
Deak & Asociados, S.A. de C.V. x
✓ BANCA MÓVIL:
Sistema operativo Android (desde 6.0), iOS (desde 10.3) o Android EMUI (desde 6.0).
Conexión estable a wifi o datos móviles.
Tener al menos un producto a título personal con Banco Agrícola que permita hacer transacciones a través de Banca
Móvil (Cuenta de Ahorro, Cuenta Corriente, Tarjeta de Crédito, entre otros).
Costos y comisiones
Beneficios
✓ Ahorre tiempo realizando sus transacciones sin tener que visitar una agencia.
✓ Proteja su acceso y autorización de transacciones por medio del doble factor de autenticación.
36
Deak & Asociados, S.A. de C.V. x
Recarga de Celular
Recarga tu celular o el de tus amigos cuando lo necesites.
Pago de Servicios
Paga tus recibos con el NPE o escaneando el código de barras.
Cobra tu Remesa
Cobra tu remesa utilizando el código que te envía tu ser querido.
Transferencias UNI
Transferencias QR
Compra en comercios que posean código QR de forma más ágil.
Notificación de viajero
Gestiona tu notificación de viajero para poder usar tus tarjetas al viajar.
transfer365
Realiza transferencias entre bancos por medio de la infraestructura de pagos de Banco Central de
Reserva.
Mi primer Login
Ingrese por primera vez a su e-banca Empresarial.
37
Deak & Asociados, S.A. de C.V. x
Consultas
Consulte todos sus productos asociados.
Transferencias a terceros
Realice transferencias a cuentas Banco Agrícola de terceros.
38
Deak & Asociados, S.A. de C.V. x
Inicio
Afirmativo
Insertar usuario y
contraseña
Negativo
si
Procesar
En caso de e-banca
Operación realizada empresarial
Autorizar
Fin
39
Deak & Asociados, S.A. de C.V. x
5.2. Hardware.
40
Deak & Asociados, S.A. de C.V. x
41
Deak & Asociados, S.A. de C.V. x
42
Deak & Asociados, S.A. de C.V. x
Fabricante: Microsoft
Adaptador de CA de Microsoft
Fabricante: Microsoft
43
Deak & Asociados, S.A. de C.V. x
Ubicación: IP_10.64.32.49(0)
44
Deak & Asociados, S.A. de C.V. x
S1 -> D3
S2 -> D3
S3 -> D3
S4 -> D3
S5 -> D3
Ubicación: IP_10.64.32.49(0)
Ubicación: IP_10.64.32.49(0)
45
Deak & Asociados, S.A. de C.V. x
✓ Los equipos para uso interno se instalarán en lugares adecuados, lejos de polvo y tráfico de personas.
✓ Las instalaciones se apegarán estrictamente a los requerimientos de los equipos, cuidando las
especificaciones del cableado y de los circuitos de protección necesarios.
✓ Para instalaciones de red interna, el usuario deberá garantizar las conexiones eléctricas en la
ubicación requerida de su escritorio, caso contrario deberá colocarse en donde exista el toma corriente
más cercano.
c) Servicio de mantenimiento.
La Unidad de Informática junto al Personal Técnico son los autorizados de llevar a cabo los servicios y
reparaciones al equipo informático.
✓ El Mantenimiento preventivo es aplicado dos veces al año y el correctivo de forma inmediata durante la
persistencia de la falla en el equipo.
✓ Los usuarios deberán asegurarse de respaldar la información que considere relevante cuando el
equipo sea enviado a reparación, en caso que se tenga que formatear, el Técnico tiene la obligación de
hacer Backup del equipo y recuperar nuevamente el contenido en la PC del usuario, en casos de
perdidas irrecuperables de información por la falla del equipo que no lo permite se le notifica al usuario
antes de proceder con su autorización.
Google Developers.
19/12/2019
46
Deak & Asociados, S.A. de C.V. x
09/12/2019
ESEN / UDB
47
Deak & Asociados, S.A. de C.V. x
El usuario que tenga bajo su resguardo algún equipo de cómputo será responsable de su uso y custodia;
en consecuencia, responderá por dicho bien de acuerdo a la normatividad vigente en los casos de robo,
extravío o pérdida del mismo.
El usuario deberá dar aviso de inmediato a la Gerencia de Informática cuando se dé la desaparición, robo o
extravío del equipo de cómputo, equipos de telecomunicación o accesorios bajo su responsabilidad.
✓ Se deberán definir los tiempos estimados de vida útil de los equipos de cómputo y
telecomunicaciones para programar con anticipación su renovación.
✓ Cuando las áreas requieran de un equipo para el desempeño de sus funciones ya sea por
sustitución o para mejora del desempeño de sus actividades, estas deberán realizar una consulta a
la unidad de Informativa a fin de que se seleccione el equipo adecuado.
✓ Una vez pasado los 5 o 10 años de la vida útil del equipo se deberán realizar los procedimientos de
gestión de la renovación del equipo
5.3. Seguridad.
48
Deak & Asociados, S.A. de C.V. x
Las puertas de acceso a los centros de datos deben ser preferentemente de vidrio transparente, para
favorecer el control del uso de los recursos de cómputo. El centro de datos debe ser un área restringida,
además de:
49
Deak & Asociados, S.A. de C.V. x
✓ Crear usuarios con perfil específico para auditores externos, pasantes, o personal temporal, los
mismos que deben ser eliminados una vez terminada su actividad.
50
Deak & Asociados, S.A. de C.V. x
✓ No usar los nombres de bases de datos y/o aplicaciones como nombres de usuarios y password
predeterminados.
✓ Obtención de logs, para conocer el estado de las aplicaciones o bases de datos ya que estos informan
si existen warnings.
✓ No compartir cuentas de usuarios entre funcionarios.
✓ Crear contraseñas que incluya combinaciones de letras mayúsculas, minúsculas, signos y números.
✓ No usar contraseñas que sean de fáciles de asumir (datos personales).
✓ Realizar cambios periódicos de contraseñas y registrarlos en una bitácora con fecha de creación, fecha
de caducidad y técnico que lo asigna.
✓ El password de Administrador de red debe ser conocido únicamente por el Administrador de Red y la
persona encargada de Seguridad.
✓ Dar permisos a los usuarios que manejan bases de Datos según sus funciones.
51
Deak & Asociados, S.A. de C.V. x
52
Deak & Asociados, S.A. de C.V. x
d) Planes de contingencia.
La unidad informática realiza diariamente las copias de respaldo de las Bases de Datos del sistema de
Información, aplicativos e imágenes que se procesan en los servidores de producción en forma automática
y manual.
✓ Las Bases de Datos deberán tener una réplica en uno o más equipos remotos alojados en un lugar
seguro (Cloud) que permita tener contingencia y continuidad de negocio. Además de generar copias en
Medios magnéticos: DVD, Discos duros y en server de respaldo interno.
53
Deak & Asociados, S.A. de C.V. x
54
Deak & Asociados, S.A. de C.V. x
Al deshabilitar la instalación o el uso de las cookies, es posible que se pierdan o afecten algunas
funcionalidades del sitio, por ejemplo:
Consejos de Seguridad.
Le presentamos medidas importantes que debe tomar para efectuar sus transacciones electrónicas de
forma segura.
55
Deak & Asociados, S.A. de C.V. x
El proceso que se llevará a cabo para la determinación de áreas críticas se caracteriza por ser sistémico,
independiente y documentado con el propósito de obtener evidencias y evaluarlas para determinar la
extensión en que se cumplen los criterios establecidos.
56
Deak & Asociados, S.A. de C.V. x
Por tanto, la auditoría deberá contener la evaluación y comprobación de la estructura y los sistemas de
control interno, la planeación adecuada y conveniente, y la obtención de la evidencia objetiva y suficiente
que permita llegar a una conclusión razonable sobre la cual se sustente la opinión que se emita. La
auditoría comprende las siguientes áreas críticas y corresponden, además, a las áreas que serán
evaluadas, estas son:
Hardware.
Software.
Seguridad lógica.
Seguridad física.
Redes.
Telecomunicaciones.
Procesamiento Electrónico de Datos (PED).
Leyes y reglamentos asociados a las Tecnologías de Información (TI).
57
MATERIALIDAD
58
Deak & Asociados, S.A. de C.V. x
59
Deak & Asociados, S.A. de C.V. x
60
Deak & Asociados, S.A. de C.V. x
61
Deak & Asociados, S.A. de C.V. x
62
Deak & Asociados, S.A. de C.V. x
63
Deak & Asociados, S.A. de C.V. x
• Trimestrales.
• • Frecuencia del reporte del resultado de las
Mensuales.
mediciones.
• Mensuales.
• Semanales
64
Deak & Asociados, S.A. de C.V. x
65
Deak & Asociados, S.A. de C.V. x
66
Deak & Asociados, S.A. de C.V. x
Frecuencia/Periodo.
Frecuencia de la recolección de datos.
Frecuencia del análisis de datos.
Frecuencia del reporte del resultado de las
Anual.
mediciones.
Revisión de la medición.
Periodo de la medición.
67
Deak & Asociados, S.A. de C.V. x
68
Deak & Asociados, S.A. de C.V. x
69
Deak & Asociados, S.A. de C.V. x
Control/Proceso.
• Mecanismos de acceso: debe existir seguridad
contra cualquier tipo de ataque interno o
externo a la red.
70
Deak & Asociados, S.A. de C.V. x
71
Deak & Asociados, S.A. de C.V. x
72
Deak & Asociados, S.A. de C.V. x
73
Deak & Asociados, S.A. de C.V. x
detectadas mensualmente.
Especificación de la medida base.
• Numero de medidas de seguridad y
protección en la adquisición de los sistemas
de la entidad y sus medios de transmisión
Medida base.
adquiridos por la entidad.
• Número de demandas por incumpliendo
tributarios por el mal uso de los software.
Método de medición. • Contar los incumplimientos en la
infraestructura para el uso de los sistemas.
• Reportes de posibles infracciones aún
existentes.
• Causas del incumplimiento.
Tipo de método de medición. Objetivo.
0 - No existe control.
1- Los controles son bajos (5 ataques o más que
se han hecho efectivos).
Escala. 2- Los controles son moderados (3 ataques
efectivos).
3- Los controles son muy altos (0 o 1 ataque
efectivo).
Tipo de escala. Ordinal.
Unidad de medición. Software de la entidad.
Especificación de medida derivada.
El uso de redes Wifi, Móviles y la infraestructura
Medida derivada. de red cumplen con las políticas de manejo y
seguridad informática.
Sumatoria de infraestructura de las redes wifi,
Función de medición.
móvil totales e información dañados por el mal uso
Especificación del indicador.
Indicador. Cantidad de usuario que aplican adecuadamente
las leyes y reglamentos.
Total de información generada por el software
Modelo analítico. bancario entre total de información generada por
las plataformas que no cumplen con las leyes y
74
Deak & Asociados, S.A. de C.V. x
reglamentos.
Especificación de los criterios de decisión.
Criterios de decisión. Valor 3 = moderados
Resultados de la medición.
Si ocurren 3 incidentes se consideraría normal,
cualquier otro número de incidentes por arriba del
Interpretación del indicador.
valor satisfactorio pudiera ser perjudicial para el
banco.
Partes interesadas.
• Cliente de la medición. • Empleados del área de contabilidad y demás
• Revisor de la medición. relacionadas.
• Propietario de la información. • Supervisor de informática.
• Recolector de la información. • Gerente de informática.
• Comunicador de la información. • Supervisor de informática.
• Supervisor de informática.
Frecuencia/ Período.
• Frecuencia de la recolección de datos.
• Frecuencia del análisis de datos.
• Frecuencia del reporte del resultado de las
Semanal
mediciones.
• Revisión de la medición.
• Período de la medición.
75
Deak & Asociados, S.A. de C.V. x
• Datos en la nube.
• Servidores externos.
• Servidores internos.
Atributos. Pérdida de información.
Especificación de la medida base.
Incendios, caídas de sistemas o choques
Medida base.
eléctricos.
Método de medición. Contar número de incidentes causados.
Tipo de método de medición. Objetivo.
0 - No existe control.
1- Los controles son bajos (5-4 incidentes).
Escala. 2- Los controles son moderados (3 incidentes).
3- Los controles son muy altos (0 o 1
incidentes).
Tipo de escala. Ordinal.
Especificación de los criterios de decisión.
Criterios de decisión. Valor 3= moderados.
Resultados de la medición.
Se considera un valor satisfactorio que
ocurrieren 2 incidentes de tener problemas de
Interpretación del indicador.
comunicación por arriba de eso pudiese afectar
a la institución
Partes interesadas.
• Cliente de la medición. • Gerencia de seguridad.
• Revisor de la medición. • Supervisor de informática.
• Propietario de la información. • Gerente de informática.
• Recolector de la información. • Supervisor de informática.
• Comunicador de la información. • Supervisor de informática.
Frecuencia/ Período.
• Frecuencia de la recolección de datos
• Frecuencia del análisis de datos.
• Frecuencia del reporte del resultado de las
Semanal.
mediciones.
• Revisión de la medición.
• Período de la medición.
76
EVALUACIÓN DE
RIESGOS
77
Deak & Asociados, S.A. de C.V. x
Esta evaluación consiste en la determinación del grado de criticidad del riesgo de control y de detección.
Los aspectos claves que se han tomado en cuenta son:
Asimismo, se incluyen:
78
Deak & Asociados, S.A. de C.V. x
Riesgo •0 - 1.99
alto
Riesgo •2 - 3.99
medio
Riesgo •4 - 5
bajo
➢ Riesgo alto: posee una calificación entre 0 y 1.99, lo cual significa que la entidad tiene controles
inadecuados o carecen de ellos.
➢ Riesgo medio: posee una calificación entre 2 y 3.99, lo cual hace referencia a que la entidad sí tiene
controles, pero no son lo suficientemente apropiados y son mal aplicados.
➢ Riesgo bajo: posee una calificación entre 4 y 5, esto significa que los controles están siendo aplicados
de forma correcta y adecuada.
El riesgo que existe sobre emitir una conclusión incorrecta con base a los hallazgos del proceso de
auditoría es:
a) Riesgos de control:
Este tipo de riesgo es en el que puede suceder un error en una determinada área de auditoría y puede ser
material, individual o una combinación con otros errores, no será prevenido, detectado ni corregido
oportunamente por el sistema de control interno. El riesgo de control asociado con los procedimientos de
validación de datos por el ordenador generalmente es bajo debido a que los procesos se aplican
coherentemente. Los profesionales deberán evaluar el riesgo de control alto al menos que existan
79
Deak & Asociados, S.A. de C.V. x
b) Riesgos de detección:
Es el riesgo que existe cuando los procedimientos sustantivos de los profesionales no detecten un error
que podría ser material, individual o una combinación con otros errores.
Para determinar el nivel de pruebas sustantivas requeridas, los profesionales deben considerar tanto el
análisis del riesgo inherente como las conclusiones sobre el riesgo de control tras las pruebas de
cumplimiento.
Criticidad de riesgos.
En esta área, la función de auditoría y aseguramiento del sistema de información, deberá utilizar un
enfoque apropiado y el apoyo de metodología de análisis de riesgos para desarrollar el plan de auditoría de
sistemas de información (SI), y proceder a determinar las prioridades para la asignación efectiva de
recursos de auditoría. Para ello es necesario realizar o elaborar un mapa de calor para cada área a
evaluar, donde se determine el riesgo. Lo siguiente representa un mapa de calor:
1
PROBABILIDAD
2
3
1 2 3
IMPACTO
80
Deak & Asociados, S.A. de C.V. x
El fin de la valoración de riesgos es el apoyo a la toma de decisiones, esto implica realizar una
comparación de los resultados del análisis y criterios establecidos del riesgo para determinar o identificar
cuando se requiere una acción adicional.
Realizar un Mantener
Considerar Reconsiderar
No hacer nada análisis controles
alternativas los objetivos
adicional existentes
Consiste en seleccionar o implementar alternativas u opciones para abordar los riesgos, tales como:
81
CUESTIONARIOS
DE CONTROL
INTERNO
82
Deak & Asociados, S.A. de C.V. x
OBSERVACIONES PONDERACIÓN
N° PREGUNTAS COMENTARIO
N/A SI NO REF. DEL RIESGO
¿Existe un departamento de
1 Informática dentro de la entidad? x 0.33
¿Las instalaciones donde se
Toda la entidad cuenta con
encuentran los equipos
2
informáticos cuentan con aire x un sistema de aire 0.33
acondicionado.
acondicionado?
¿Existen políticas para
3 resguardar los activos x 0.33
informáticos de la organización?
¿La unidad cuenta con toma
4 corrientes polarizados? x 0.33
¿Cada computadora cuenta con Se comparten los
5 un regulador de voltaje? x reguladores de voltaje. 0.33
¿La empresa realiza
6 mantenimientos a los equipos con x 0.33
periódicamente?
¿Existen detectores de humo
7 dentro de las instalaciones de la x 0.33
entidad?
¿Existen Cables en el Suelo que
8 estorban a los usuarios? x 0.33
¿Existen cables de red de datos
9 sin protección o sin gabinetes? x 0.33
¿Existen rótulos donde se
prohíba la entrada de alimentos o
10 x 0.33
bebidas en los lugares donde se
encuentren los equipos?
83
Deak & Asociados, S.A. de C.V. x
TOTALES 4.62
OBSERVACIONES PONDERACIÓN
N° PREGUNTAS COMENTARIO
N/A SI NO REF. DEL RIESGO
¿La entidad posee un
1
departamento de informática? x 0.33
¿La entidad cuenta con personal
2 para dar mantenimiento o
soporte, técnico a los sistemas x 0.33
que posee la entidad?
¿La entidad Cuenta con políticas
3 que garantizan la seguridad del 0.33
x
Sistema?
¿Se capacita al personal sobre el 0.33
4 uso correcto de los sistemas? x
84
Deak & Asociados, S.A. de C.V. x
TOTALES 4.62
85
Deak & Asociados, S.A. de C.V. x
OBSERVACIONES PONDERACIÓN
N° PREGUNTAS COMENTARIO
N/A SI NO REF. DEL RIESGO
¿El manual de políticas de la
1 entidad incluye controles de TI x 0.33
sobre el área de seguridad lógica?
¿Las políticas de seguridad
2 muestran un lenguaje entendible x 0.33
por todo el personal de la entidad?
¿Qué controles posee la entidad • Acceso a programas
3 con respecto a la seguridad y otros por medio de 0.33
lógica? criptografía.
¿Se ha realizado una planificación x • Acceso limitado al
4 estratégica del sistema de x personal. 0.33
información que posee la entidad? • Control de
¿El departamento de TI dispone información.
5 de especialistas en el área? x 0.33
¿En la entidad existe un
responsable del departamento de
6 TI asignado a cada área de x 0.33
la entidad que controle la
seguridad lógica?
¿Existen controles de acceso
7 lógicos a los sistemas de x 0.33
información?
¿Es posible acceder al sistema sin
8 contraseña? x 0.33
Existe limite en el número de
9 intentos fallidos para la x
autenticación en el sistema
86
Deak & Asociados, S.A. de C.V. x
TOTALES 3.96
87
Deak & Asociados, S.A. de C.V. x
TOTALES
4.5
88
Deak & Asociados, S.A. de C.V. x
OBSERVACIONES
PONDERACIÓN DEL
N° PREGUNTAS COMENTARIO
N/A SI NO REF RIESGO
¿Existen políticas de controles .
1 de acceso a la red? X 0.33
89
Deak & Asociados, S.A. de C.V. x
¿Poseen mecanismo de
10 X 0.33
detección de intrusos?
¿Seposeen firewall para el área
11 X 0.33
de redes?
¿Se cuenta con un control para
12 salvaguardar la información de x 0.33
las redes?
¿Existen procedimientos de
13 x 0.33
respuesta a caídas del sistema?
Se realizan parámetros de
14 x 0.33
medición desempeño de la red
¿Se realizan simulación de
15 x 0.33
ataques a la red?
TOTALES 5.00
OBSERVACIONES PONDERACIÓN
N° PREGUNTAS COMENTARIO
N/A SI NO REF. DEL RIESGO
¿Existen políticas relacionadas al
1 control y manejo de las x 0.50
telecomunicaciones?
¿El equipo de comunicaciones
2 está en un lugar cerrado y con x 0.50
acceso limitado?
90
Deak & Asociados, S.A. de C.V. x
TOTALES 4.5
91
Deak & Asociados, S.A. de C.V. x
OBSERVACIONES PONDERACIÓN
N° PREGUNTAS COMENTARIO
N/A SI NO REF. DEL RIESGO
¿La entidad cuenta con políticas
1 para el manejo y control del PED? x 0.41
¿Los usuarios del software
contable realizan procesos de 0.41
2 x
autenticación antes de ingresar al
sistema?
¿Se tienen establecidas cuales son
las funciones de cada usuario del
sistema, así como también los 0.41
3 x
módulos a los cuales tiene acceso
y las actividades que pueden o no
realizar?
¿El personal está capacitado para
4 usar los medios de procesamientos 0.41
x
de datos?
5 ¿Se cuenta con soporte técnico? x 0.41
¿Se cuenta con una bitácora para el
control de las actividades que se
realizan dentro del sistema, tales 0.41
6 x
como: crear, modificar, ¿eliminar y
trasferir información?
¿Existen procesos para validar
información de cálculos aritméticos
de los registros y 0.41
7 x
controles contables de la entidad?
92
Deak & Asociados, S.A. de C.V. x
TOTALES 5.00
93
Deak & Asociados, S.A. de C.V. x
OBSERVACIONES PONDERACIÓN
N° PREGUNTAS COMENTARIO
N/A SI NO REF. DEL RIESGO
¿Se tiene un registro consolidado de
todos los requisitos legales y
reglamentarios aplicables
1 relacionados al uso e x 0.41
implementaciones de TI; y estos son
comunicados a los empleados?
¿Se capacitan a los empleados
2 acerca de las leyes y reglamentos x 0.41
aplicables?
¿Los sistemas cumplen con los
3 requerimientos tales como 0.41
x
aspectos tributarios y legales?
¿La empresa tiene los derechos y
4 la licencia certificada de todos los 0.41
x
softwares que utiliza?
¿La entidad lleva un control sobre el
5 vencimiento de las licencias en 0.41
funcionamiento?
¿Los respaldos de información
6 electrónica, se han mantenido de 0.41
acuerdo al tiempo que estipula la x
legislación
¿Se mercantilasesoramiento
efectúa y tributaria
vigente?
independiente cuando surgen
7 modificaciones en las legislaciones, 0.41
x
regulaciones y estándares
aplicables?
¿Se revisa y ajusta con regularidad
las políticas, los principios, los
estándares, los procedimientos y las 0.41
8 metodologías para que estas se x
mantengan acorde a las diferente
leyes y reglamentos aplicables?
¿Se gestionan las deficiencias de
cumplimiento en las políticas, 0.41
9
estándares y procedimientos dentro x
de plazos razonables?
94
Deak & Asociados, S.A. de C.V. x
95
MATRIZ DE
RIESGO Y
ANÁLISIS
96
7.5 Matriz de riesgo y análisis
MATRIZ DE HARDWARE
MATRIZ DE RIESGOS, BANCO AGRÍCOLA, S.A.
DEPARTAMENTO DE SISTEMAS
ÁREA: HARDWARE
97
MAPA DE RIESGOS
4 R1
3 R6 R2, R4
IMPACTO
BAJO
MEDIO
2 R3 R5 ALTO
1 2 3 4
PROBABILIDAD
IMPACTO
PROBABILIDAD
1 - Pequeño 2 - Moderado 3 - Grande 4 - Catástrofe
4 - Casi seguro que sucede Bajo (4) Medio (8) Alto (12) Alto (16)
3 - Muy probable Bajo (3) Bajo (6) Medio (9) Alto (12)
2 - Es posible Bajo (2) Bajo (4) Bajo (6) Medio (8)
1 - Es raro que suceda Bajo (1) Bajo (2) Bajo (3) Bajo (4)
98
MATRIZ DE SOFTWARE
MATRIZ DE RIESGOS, BANCO AGRÍCOLA, S.A.
DEPARTAMENTO DE SISTEMAS
ÁREA: SOFTWARE
100
MAPA DE RIESGOS
4 R8, R13
R9, R14,
3
IMPACTO
BAJO
R15
MEDIO
2 R10, R12 R7, R11 ALTO
1 2 3 4
PROBABILIDAD
PROBABILIDAD
1 - Pequeño 2 - Moderado 3 - Grande 4 - Catástrofe
4 - Casi seguro que sucede Bajo (4) Medio (8) Alto (12) Alto (16)
3 - Muy probable Bajo (3) Bajo (6) Medio (9) Alto (12)
2 - Es posible Bajo (2) Bajo (4) Bajo (6) Medio (8)
1 - Es raro que suceda Bajo (1) Bajo (2) Bajo (3) Bajo (4)
101
MATRIZ DE SEGURIDAD LÓGICA
MATRIZ DE RIESGOS, BANCO AGRÍCOLA, S.A.
DEPARTAMENTO DE SISTEMAS
ÁREA: SEGURIDAD LÓGICA
102
MAPA DE RIESGOS
4 R16, R20
3 R17, R21
IMPACTO
BAJO
2 R19 R18 MEDIO
ALTO
1
1 2 3 4
PROBABILIDAD
PROBABILIDAD
1 - Pequeño 2 - Moderado 3 - Grande 4 - Catástrofe
4 - Casi seguro que sucede Bajo (4) Medio (8) Alto (12) Alto (16)
3 - Muy probable Bajo (3) Bajo (6) Medio (9) Alto (12)
2 - Es posible Bajo (2) Bajo (4) Bajo (6) Medio (8)
1 - Es raro que suceda Bajo (1) Bajo (2) Bajo (3) Bajo (4)
103
MATRIZ DE SEGURIDAD FÍSICA
MATRIZ DE RIESGOS, BANCO AGRÍCOLA, S.A.
DEPARTAMENTO DE SISTEMAS
ÁREA: SEGURIDAD FÍSICA
104
MAPA DE RIESGOS
4 R22
BAJO
MEDIO
2 R26 ALTO
1 2 3 4
PROBABILIDAD
PROBABILIDAD
1 - Pequeño 2 - Moderado 3 - Grande 4 - Catástrofe
4 - Casi seguro que sucede Bajo (4) Medio (8) Alto (12) Alto (16)
3 - Muy probable Bajo (3) Bajo (6) Medio (9) Alto (12)
2 - Es posible Bajo (2) Bajo (4) Bajo (6) Medio (8)
1 - Es raro que suceda Bajo (1) Bajo (2) Bajo (3) Bajo (4)
105
MATRIZ REDES DE DATOS
Una persona se hace pasar por otra 1. Políticas de controles de acceso Cuando se utiliza el servicio por telecomunicación es muy
1. Certificaciones Digitales.
con el fin de obtener un beneficio através de usuarios y contraseñas. probable que el tercero en cuestión sea falso, aunque se
R-32 3 - Es posible 4 - Grande MEDIO BAJO 2. Controles de Acceso atraves de
propio, se está cometiendo un 2. Revisión de reporte clientes pasen los filtros de seguridad siempre sucede.
Usuarios y Contraseñas.
delito de suplantación de identidad registrados en la plataforma.
Transmisión no cifrada de datos 2. Verificar el listado de usuarios y 1. Encriptamiento de Datos y Archivos Los errores críticos no son modificados y se da una
R-33 3 - Es posible 4 - Grande MEDIO BAJO
críticos revisar que todos estos hayan sido del Programa cadena de errores al usuario.
106
MAPA DE RIESGOS
R27,R29,
4 R30
R32, R33
IMPACTO
3
BAJO
MEDIO
2 R28 R31 ALTO
1
1 2 3 4
PROBABILIDAD
IMPACTO
PROBABILIDAD
1- Pequeño 2-Moderado 3-Grande 4-Catástrofe
4- Casi seguro que sucede BAJO (4) MEDIO (8) ALTO (12) ALTO (16)
3- Muy probable BAJO (3) BAJO (6) MEDIO (9) ALTO (12)
2- Es posible BAJO (2) BAJO (4) BAJO (6) MEDIO (8)
1- Es raro que suceda BAJO (1) BAJO (2) BAJO (3) BAJO (4)
107
MATRIZ DE TELECOMUNICACIONES
RIESGO DE RIESGO DE
N° TIPO DE RIESGO PROBABILIDAD IMPACTO PRUEBA INFORMACIÓN A VALIDAR FACTORES QUE INTERVIENEN EN LA VALORACIÓN DE RIESGOS
CONTROL DETECCIÓN
1. Verificar planificación de
El impacto es insignificante porque se ponen a disposición diferentes
respuesta para solucionar el 1. Tiempos de respuesta
2 - Es raro que hardware para garantizar la alta disponibilidad, o en franquear períodos
R-34 Fallo de líneas teléfonicas 1 - Insignificante BAJO MEDIO problema por proveedores y para solucionar
suceda de caída mediante sistemas de espera o stand by.
personal técnico.
108
MAPA DE RIESGOS
4 R34
BAJO
3 R35
MEDIO
IMPACTO
ALTO
2 R36
1 2 3 4
PROBABILIDAD
IMPACTO
PROBABILIDAD
1- Pequeño 2-Moderado 3-Grande 4-Catástrofe
4- Casi seguro que sucede BAJO (4) MEDIO (8) ALTO (12) ALTO (16)
3- Muy probable BAJO (3) BAJO (6) MEDIO (9) ALTO (12)
2- Es posible BAJO (2) BAJO (4) BAJO (6) MEDIO (8)
1- Es raro que suceda BAJO (1) BAJO (2) BAJO (3) BAJO (4)
109
MATRIZ DE PED (ASPECTOS CONTABLES)
RIESGO DE RIESGO DE
N° TIPO DE RIESGO PROBABILIDAD IMPACTO PRUEBA INFORMACIÓN A VALIDAR
CONTROL DETECCIÓN
1. Reportes de Ventas.
1. Revisión de Reportes de ventas y
R-38 Registros contables de las ventas realizadas 3 - Es posible 4 - Grande MEDIO BAJO 2. Emisión de registro de facturación a
emisiones de documentos contables.
clientes.
110
MAPA DE RIESGOS
4 R38, R40
MEDIO
ALTO
2
1 R41
1 2 3 4
PROBABILIDAD
IMPACTO
PROBABILIDAD
1- Pequeño 2-Moderado 3-Grande 4-Catástrofe
4- Casi seguro que sucede BAJO (4) MEDIO (8) ALTO (12) ALTO (16)
3- Muy probable BAJO (3) BAJO (6) MEDIO (9) ALTO (12)
1- Es raro que suceda BAJO (1) BAJO (2) BAJO (3) BAJO (4)
111
MATRIZ DE SOFTWARE
RIESGO DE RIESGO DE
N° TIPO DE RIESGO PROBABILIDAD IMPACTO PRUEBA INFORMACIÓN A VALIDAR FACTORES QUE INTERVIENEN EN LA VALORACIÓN DE RIESGOS
CONTROL DETECCIÓN
Este tipo de entidades se rige por el cumplimiento de las obligaciones tributarias para operar de
1. Verificación de Cumplimiento de 1. Cumplimiento de Obligaciones este modo tener un impacto moderado al implementar políticas que velan por el cumplimiento
R-43 Incumplimiento de obligaciones tributarias 2 - Es raro que suceda 3 – Moderado ALTO BAJO
Obligaciones Tributarias. Tributarias, pago y presentaciones. de estas llevando un control de todos los pagos de diferentes impuestos, prestaciones con el
fin ir conforme a las leyes ya establecidas.
Se evaluó un riesgo posible con un impacto grande porque la falta de una protección de la
Sanciones económicas por parte de la confidencialidad adecuada a los consumidores, falta de respuesta a los reclamos de estos
1. Revisión de Políticas de Atencion al Cliente 1. Validacin de Procesos de Atención a
R-44 Defensoria del Consumidor, como 3 - Es posible 4 – Grande ALTO BAJO puede someter al banco a sanciones por el incumplimiento con diferentes leyes y reglamentos
y Respuesta a los reclamos de estos. Clientes.
del Ministerio de Economía llevando a los consumidores que no han sido adecuadamente informados sobre sus derechos y
obligaciones pueden acometer contra el banco.
Puede ser posible debido a que los sistemas de dinero electrónico pueden ser atractivos para
1. Revisar los Registros y cumplimiento de las 1. Cumplimiento de requerimientos a
el lavado de dinero cuando ofrecen límites flexibles de saldos y transacciones con un impacto
R-45 Lavado de dinero 3 - Es posible 3 – Moderado ALTO BAJO requerimientos de Facturación a Cantidades Clientes por Ventas detalladas en la Ley
moderado por que los bancos y las autoridades establecen nuevos métodos y regulaciones en
mayores de $500.00 o $10,000.00. de Lavado de Dinero.
la prevención del lavado de dinero.
Se asignó posible que esto sea debido a que pueden variar desde un caso limitado de
1. Cumplimiento de instalación de una licencia de usuario único en varios equipos hasta un problema de distribución
Piratería de software de los delitos relativos a la 1. Revisión de Permisos y Propiedad de
R-46 3 - Es posible 2 – Pequeño ALTO BAJO Permisos y Adquisiciones legales de en línea pero esto con lleva a tener impacto pequeño por que al momento de adquirir un
propiedad intelectual Software utilizados en el área Informatica.
Software. software la entidad debe evaluar todos los permisos y adquisiciones de este para no acarrear
consecuencias serias por incumplimientos.
112
MAPA DE RIESGOS
4 R42
3 R45
IMPACTO
BAJO
2 R47 R46 MEDIO
ALTO
1 2 3 4
PROBABILIDAD
IMPACTO
PROBABILIDAD
1- Pequeño 2-Moderado 3-Grande 4-Catástrofe
4- Casi seguro que sucede BAJO (4) MEDIO (8) ALTO (12) ALTO (16)
3- Muy probable BAJO (3) BAJO (6) MEDIO (9) ALTO (12)
2- Es posible BAJO (2) BAJO (4) BAJO (6) MEDIO (8)
1- Es raro que suceda BAJO (1) BAJO (2) BAJO (3) BAJO (4)
113
Deak & Asociados, S.A. de C.V. x
Equipo de trabajo.
El personal asignado para la auditoría de sistemas en Banco Agrícola, S.A., estará formado por un grupo
desempeño aceptable exigido para cumplir con las responsabilidades profesionales indicadas en el Código
de Ética Profesional de ISACA, en concordancia con los objetivos, misión y visión de la entidad:
Informes a emitir:
Cartas de Gerencia: Se comunicará a la Junta General de Accionistas por medio de Cartas a la
Gerencia los hallazgos importantes en el desarrollo de la auditoría sobre el funcionamiento y seguridad
del Sistema.
Carta de Compromiso.
Cartas de Requerimiento de información sobre el sistema.
Cartas a la Gerencia reportando el avance del trabajo.
Cartas a la Gerencia detallando los hallazgos encontrados.
Informe de Auditoría.
114
Asignación de actividades
La programación de las fechas claves en las cuales se realizará el proceso de auditoría de sistemas se detalla a continuación, las actividades tendran
como fecha de inicio el 16 de abril del presente año.
115
Pruebas sustantivas a la seguridad en operaciones en el software
12
Pruebas sustantivas a la seguridad física de sistemas de video
13 vigilancia y sistema biométrico
Tercera visita
14 Procedimientos analíticos al sistema de la base de datos
15 Pruebas sustantivas la protección de los datos personales
16 Evaluación del servicio de soporte y entrega
Fase final
17 Revisión de papeles de trabajo.
18 Elaboración y revisión informes.
19 Revisión y firma de informes final.
20 Lectura y discusión del informe con el cliente.
116
Cronogramas de tiempo.
Presupuesto de tiempo
Cronograma de tiempo SE GA AS AJ TH
112
Donde:
SE: Socio del encargo GA: Gerente de Auditoria
AS: Auditor Senior AJ: Auditor Junior
TH: Total de horas
Honorarios Presupuestados.
La obligatoriedad de disponer de un presupuesto para cada trabajo se justifica por la necesidad de determinar los
honorarios a percibir en base a la estimación de los recursos necesarios, medidos en términos de horas, así como
para comprobar, si se dispone o no de ellos antes de aceptar o continuar con el encargo:
Presupuestos de recursos.
• Papelería y útiles.
• Computadoras.
• Herramientas al sistema como; backups y copias espejos de discos duros y medios removibles, software de
busqueda de archivos, software de recuperacion de archivos borrados.
• Analisis de memorias ram, analisis de la red.
• Herramientas de normalizacion; encuestas, protocolos, modelos de dominio.
• Subcontratación de un especialista de sistemas informaticos y de TI.
• Impresor.
• Combustible.
115
PROGRAMAS PARA EL ENCARGO DE AUDITORIA DE SISTEMAS
MARCA DESCRIPCIÓN
G Obtenido de la gerencia.
PP Cumple con el requisite.
O No cumple con el requisito.
S Verificado en el Sistema.
P Verificado por el programador.
E Obtenido de empleados del área del Sistema.
l Verificado por especialista en redes.
e Verificado por el auditor.
OD Obtenido de otros documentos.
Hg Hallazgo.
116
PROGRAMAS DE AUDITORÍA
ÀREA DE HARDWARE
Objetivo de Auditoría
Realizar pruebas que permitan concluir acerca de la razonabilidad en la utilización y conservación del
hardware en las empresas que prestan servicios de Banca en Línea y Banca Móvil.
Ref.
No. Procedimient Normativ Ref. PT
Verifique el cumplimiento de oo políticas a través de un a
1 cuestionario relacionado al ingreso y salida del hardware, en la BAI09.03
empresa que presta servicios de Banca en Línea y Banca Móvil.
ÁREA DE SOFTWARE
Objetivo de Auditoría
Evaluar el grado de protección de sistemas y programas auxiliares tomando en cuenta la existencia de políticas y
procedimientos sobre el manejo adecuado de los dispositivos de cómputo, archivos magnéticos, entre otros,
con
el fin de evitar posibles daños que generen pérdidas de información.
Ref.
No. Procedimient Normativ Ref. PT
o y procedimientos a través
Verifique el cumplimiento de políticas a
1 de un cuestionario sobre la administración, uso, licencias y MEA03.03
revisiones periódicas del software en la entidad.
Revisar como se controlan y administran las licencias de software
2 adquiridas por la entidad. BAI09.05
3 Verificar si existe, un manual de protección al sistema de información BAI03.05
Revisar si existe política para la desactivación de los programas
4 por inactividad.
Comprobar por medio del ingreso a los dispositivos con wifi, ISO 270001-
5 (router). El uso de firewall como medida de protección ante A.10.4.1
instalaciones fraudulentas de software y programas.
Comprobar físicamente si se lleva un registro detallado de BAI03.05
6 programas instalados y sus actualizaciones periódicas como
medidas de mejora en los sistemas de información.
Verificar que los contratos de servicios de almacenamiento y uso AP009.05
compartido de archivos en la nube, por ejemplo (Dropbox Business)
7 se encuentren actualizados y vigentes.
Verificar si se establecen configuraciones automatizadas a los usuarios
Relacionados con la implementación de medidas de seguridad, como ISO 27001
8 Respaldo de información, que aseguren la disponibilidad de los A.10.5.1
datos.
Diagnosticar si se implementan y mantienen medidas
9 preventivas, de detección y correctivas (especialmente parches DSS05.01
de seguridad actualizado y de control de virus) dentro de la
entidad, con el objetivo de proteger los sistemas de
información.
Verificar si dentro del sistema existen programas desarrollados por el
10 área informática, con los procedimientos específicos de
funcionamiento para las actividades de Banca en línea y Banca Móvil. BAI01.10
Determinar si existe un soporte técnico en cuanto al uso de los ISO 27001
11 diferentes programas, al cual se pueda acudir en momentos de A12.5.5
consulta o fallas.
Comprobar todas las adquisiciones de software por la entidad, por BAI03.04
12
medio de los respectivos comprobantes de credito fiscal.
118
PROGRAMA DE AUDITORÍA
Normativa
OBJETIVOS DE AUDITORIA
Verificar y evaluar los controles físicos y a la protección contra daños y suministros ambientales establecidos en
el área donde se encuentra el equipo informático, que implementa la entidad, con el propósito de
inspeccionar la seguridad física de las instalaciones donde está ubicado el servidor, computadoras y
personal de informática.
No. Procedimiento Ref. Ref. PT
Normativa
Verificar a través de un cuestionario la política de control de acceso en base
a los requerimientos de seguridad para el acceso al personal en las
instalaciones de la empresa, Verificando:
1 DSSS06.03
1. Identificación para acceder a las instalaciones
DSS05.05
2. Mecanismos de control de visitas.
119
Comprobar el estado de los sistemas de ventilación de las DSS01.04
instalaciones del área informática y de TI.
8 APO01.08
Comprobar el número de toma corriente (switch), esten acorde a la
capacidad de equipos utilizados dentro de la entidad.
9 DSS01.05
Verificar si se posee la adecuada protección de los equipos por DSS01.05
medio del uso de reguladores de voltaje y UPS.
10 MEA01.03
Comprobacion física de las existencias de sistemas de drenaje y DSS01.04
pararrayos.
11 APO01.08
PROGRAMA DE AUDITORÍA
SEGURIDA LOGICA
OBJETIVOS DE AUDITORIA
Determinar y evaluar los controles establecidos en el area de informatica, para asegurar que incluyan
medidas de seguridad logica capaces de prevenir accesos no autorizados a la informacion procesada en el
sistema. A fin de reducer el riesgo de transferencia, modificación, pérdida o divulgación accidental o
intencional de la misma.
Ref.
No. Procedimient Normativ Ref. PT
o a
Verificar a través de una entrevista, si existen restricciones para APO01.02
1 DSS05.04
elacceso al departamento de sistemas informáticos.
Evaluar si se han establecido políticas de acceso a la información en
2 relación a las funciones que realice el personal. A través de DSS05.04
una verificación de check list.
120
Comprobar la existencia de politicas de cese de los derechos de
acceso a los sistemas informaticos, para empleados despedidos.
DSS05.04
5
Obtenga evidencia física sobre la legalidad de los diferentes
sistemas operativos, ofimáticos y utilitarios mediante un muestreo que
compruebe: Que la licencia esté a nombre de la entidad, posea
6 documento de adquisición, coincida el número otorgado físicamente DSS01.01
con el que se
encuentra dentro del sistema operativo y cotejarla con la factura.
Verificar por medio de un cuestionario la existencia de políticas de
7 cambio de contraseñas que garanticen el resguardo adecuado APO01.02
de la información.
Indagar si se utilizan métodos de autenticación APO01.02
8 apropiados para controlar el acceso de usuarios remotos. DSS05.04
Verificar que las contraseñas cumplan con los
requerimientosnecesarias para garantizar la seguridad de la APO01.02
9 DSS05.04
información por medio
de screenshots.
Revisar cuales son las formas de medios de almacenamiento
10 de los datos que utiliza la entidad. DSS05.02
121
PROGRAMA DE AUDITORÍA
Verificar los controles internos del sistema de Banca Online, en los seguimientos información
implementada por entidad, con el propósito de evaluar la fiabilidad de la información proporcionada por el
Software.
Ref.
No. Procedimiento Normativ Ref. PT
Evaluar físicamente si cuentan con políticas de a
APO07
1 capacitación del personal para el uso de Banca Online.
Verificación de los planes de contingencias para el respaldo de MEA02
2 información.
Evaluar los p e r m i s o s y p r o c e d imie n to s d e lo s APO09.04
3 u s u a r io s p a r a l a manipulación en el sistema.
A través de cuestionarios y entrevista evaluar si el personal APO07.01
4 tiene la aptitud para el puesto en que se desempeña.
Verificar de forma física que cuenta con la factura o
5 documento equivalente a la adquisición del software. DSS01.01
122
ANEXOS
123
CONCLUSIONES
Se pudo determinar que con base el estudio de las normas técnicas para las medidas de ciberseguridad
en los diferentes canales digitales, aplicables por las instituciones financieras, tales como bancos
constituidos en El Salvador, por el medio en el cual se procesa y se transmite la información de los
diferentes servicios financieros, tales como trasferencias bancarias, tarjetas de crédito, cuentas corrientes
de ahorro a plazo fijo entre otros.
Se logró determinar que dichas instituciones cumplen un rol importante en el cual deben de tener medidas
de ciberseguridad que les permitan a sus usuarios transacciones seguras donde no se vea afectada la
seguridad de estos, por lo cual son obligadas a monitorear comportamientos inusuales constantemente
para cumplir con dicho compromiso.
Además de ello, en dado caso la seguridad sea vulnerada, dar un registro o seguimiento en el cual le
garantice al usuario vulnerado una solución ágil y que le permita a dicho usuario encriptar la información.
Otro punto destacable es que se observó que las instituciones financieras deben de proveer todas las
herramientas necesarias para que sus clientes tengan amplio conocimiento sobre todos los servicios
financieros prestados por estas instituciones financieras, así como también después de realizar estas
transacciones, notificar a los usuarios en donde se les dé una bitácora de la ampliación de la transacción
que ha realizado con el objetivo de que los usuarios estén al tanto de los movimientos transicionales de
sus operaciones esto en base al cumplimiento de las normativas técnicas
124
RECOMENDACIONES
Se recomienda que, se mantengan las medidas de ciberseguridad, así como el hecho de actualizar las
mismas para tener una mayor certeza de la adecuada conservación de información personal, evitando así
malos usos de esta y en los servicios financieros bancarios que se realicen.
Vigilar que la información otorgada por los clientes de la entidad financiera no se utilice con otros fines
que no sean aquellos por los que se brindó determinada información. Así como el hecho que la seguridad
se encripte para evitar diversos tipos de hackeos que deterioren los sistemas informáticos de la entidad.
Por último, pero no menos importante, se recomienda a la entidad que se otorguen todas las herramientas
necesarias para poder tener mayor control de la ciberseguridad, así como para brindarle certeza a sus
clientes que todo es seguro tanto antes como durante y después de los servicios que requiera un cliente,
brindando información de sus movimientos y respondiendo sus consultas de manera oportuna y
adecuada.
125
ANEXOS
ANEXO 1: HOJA DE VIDA PROFESIONAL DE CADA UNO DE LOS MIEMBROS DEL EQUIPO DE
AUDITORÍA
CURRICULUM VITAE
DATOS PERSONALES
FORMACIÓN ACADÉMICA
Educación media.
Estudios superiores.
FORMACIÓN COMPLEMENTARIA
Diplomados:
✓ Microsoft Office.
✓ Legislación Aduanera y Fiscal.
✓ Especialización en el área de tecnología de información.
126
✓ Especialista en Normas ISO 27000.
✓ Especialización en Finanzas Empresariales.
EXPERIENCIA LABORAL
✓ Despacho Contable y Auditoria Reyes & Martínez.
✓ Asesora Empresarial
CONOCIMIENTO/HABILIDADES
• Conocimiento y manejo de Excel y Word a nivel avanzado.
• Elaboración de declaración tributaria.
• Habilidad numérica.
• Facilidad de aprendizaje, asimilación y enseñanza.
• Conocimiento y Manejo de Software Contables.
CUALIDADES
127
CURRÍCULUM VITAE
DATOS PERSONALES:
FORMACIÓN ACADÉMICA:
➢ Educación intermedia:
Técnico Vocacional Opción Contador (Instituto Nacional San Luis).
➢ Educación superior:
➢ Licenciatura en Contaduría Pública (Universidad de El Salvador).
➢ Especialización en Auditoría externa.
➢ Maestría en Consultaría Empresarial.
FORMACIÓN COMPLEMENTARIA:
128
EXPERIENCIA LABORAL:
CONOCIMIENTOS Y HABILIDADES:
CUALIDADES:
REFERENCIAS PROFESIONALES:
129
CURRÍCULUM VITAE
DATOS PERSONALES:
Nacionalidad : Salvadoreña
D.U.I. : 04804965-4
NIT : 0614-270593-153-3
Dirección de Residencia : 7ª Calle Oriente, Colonia Andes N° 2,Casa 105, San Salvador
ESTUDIOS REALIZADOS:
130
CURSOS DE ACTUALIZACIÓN Y CAPACITACION PROFESIONAL
➢ Diplomado de educación fiscal a nivel de educación superior. Impartido por Ministerio de Hacienda a través
de la Universidad de El Salvador.
➢ Seminario “Visión general de las NIIF para PYMES”, Impartido por Consultores Organizacionales
Especializados (CORESPE)
EJERCICIO PROFESIONAL
CONOCIMIENTOS ESPECIALES
ÁREA CONTABLE:
ÁREA DE AUDITORÍA:
fiscal anual.
131
Realización de una auditoría al Sistema de Tarjetas de Créditos Magnéticas a través de Cajero Automático
Tecnología Informática de una Biblioteca, utilizando la Metodología COBIT en sus dominios I y II.
ÁREA DE INFORMÁTICA:
REFERENCIAS PROFESIONALES:
132
CURRICULUM VITAE
Objetivo:
Alcanzar mis metas personales a través de un trabajo estable, en el que pueda
desarrollar todas mis capacidades y conocimientos
DATOS PERSONALES
Tel: 7945-5567
DUI: 05080201-2
NIT: 0805-151094-101-5
ISSS: 114943845
NUP: 346207880013
ESTUDIOS REALIZADOS:
133
EXPERIENCIA LABORAL:
HABILIDADES:
• Manejo de Personal
• Control de inventarios
• Cotizaciones de suministros
EQUIPOS A USAR:
CUALIDADES:
* Responsable
* Capaz de desempeñar cualquier trabajo
* Con iniciativas propias
* Capaz de trabajar bajo presión
REFERENCIA PERSONAL:
134
ESTEFANY ARIANA CHICAS FLORES
6020-4291
[email protected]
Datos Personales
Educación Superior:
Licenciatura en Contaduría Pública, Universidad de El Salvador.
Educación Media:
Bachillerato Técnico Vocacional Opción Contador “Complejo Educativo Angela de Soler”.
Educación Básica:
“Complejo Educativo Angela de Soler”.
Otros:
Centro Cultural Salvadoreño Americano.
Habilidades
135
Experiencia Profesional:
Referencias Profesionales:
136
José Alberto Hernández Vega
Datos Personales
Dirección: Col. Patricia Pasaje las Gradas casa 1087
Ciudad Delgado, Salvador.
Edad: 26 años
DUI: 05283154-6
NIT: 0614-101195-140-0
Información de contacto.
[email protected]
Tel: 2246-5405
Experiencia Profesional:
Referencias Profesionales:
137
CURRICULUM VITAE
DUI: 05178044-1
NIT: 0210-010695-103-0
AFP: 348491810010
Urbanización Villa Lourdes, Pje. 3, Pol W, No 22, Lourdes, Colon
Tel.: 7975-6882
ESTUDIOS REALIZADOS
OTROS ESTUDIOS
138
-Diplomado en Gestión Financiera 2019
139
Anexo 2:
SOLICITUD DE INCORPORACION DE CUENTAS.
Señores
Presente
Estimados:
Cordialmente,
F.__________________
Sello
140
Anexo 3:
SOLICITUD ADICIÓN DE OPCIÓN PARA USUARIO ELECTRÓNICO
Señores
Presente
Estimados:
Solicito modificar el perfil de acceso a e-banca Empresarial a los usuarios del siguiente cuadro; en el
sentido únicamente de adicionar la opción INGRESE EL NOMBRE DE LA OPCIÓN; para la sociedad
INGRESE EL NOMBRE DE LA SOCIEDAD con número de cliente: INGRESE NÚMERO DE CLIENTE
Datos de usuario:
Usuarios Nombre
XXXXX XXXXXXXXXXXXXXXXXXXXXXXXX
Atentamente
F.__________________
Nombre:
Nombre de la sociedad
Sello
141
Anexo 4:
SOLICITUD ASIGNACIÓN DE CLAVE.
Señores
Presente
Estimados:
“Favor establecer el siguiente correo electrónico para mi usuario dejando sin efecto el correo
electrónico anterior”.
Cordialmente,
F.__________________
Sello
142