Primer Trabajo - Aus - Grupo de Trabajo 4

Universidad de El Salvador
Facultad de Ciencias Económicas
Escuela de Contaduría Pública
Título:
“Planificación de auditoría de sistemas: seguridad electrónica en operaciones bancarias”
Integrantes del grupo:
Nombre Carné Participación

Batres Melgar, Katerin Lisseth BM17002 100%
Chamorro Correa, José Daniel CC16064 100%
Chicas Flores, Estefany Ariana CF12007 100%
Hernández Vega, José Alberto HV15027 100%
Martínez Sánchez, José Amílcar MS14036 100%
Reyes Bernabé, Doris Nataly RB16023 100%
Rodríguez López, Katherine Esmeralda RL17043 100%
Grupo de trabajo:
04.
Materia:
Auditoría de Sistemas.
Grupo teórico:
01.
Docente:
Lic. René Augusto García.
Ciclo académico:
I/2022.
Ciudad universitaria, lunes, 16 de mayo de 2022.

INTRODUCCIÓN
Para el desarrollo de la actividad de auditoría de sistemas de TI dentro de la entidad Banco Agrícola, S.A.,
es necesario la creación de una unidad de auditoría de sistemas que será la encargada de ejecutar una
labor independiente y objetiva, tendiente a contribuir y garantizar la independencia de la administración y el
equipo de auditoría que lleva a cabo sus funciones bajo la responsabilidad directa del gobierno
corporativo. Esto se hace posible con el establecimiento de un memorándum de planificación en el cual
presentamos los lineamientos y las funciones de la unidad de auditoría de sistemas a nivel corporativo
dentro del estatuto de auditoría, el conocimiento del cliente a nivel general que permita entablar un análisis
sobre las diferentes características de la misma, con el propósito de alinearse con la misión, visión y
objetivos que esta mantiene en su entorno.
Se presenta además, un marco regulatorio en el que se enmarca la operatividad de la entidad, y su

aplicabilidad a sus respectivas operaciones, también se incorpora la planificación en cuanto al
conocimiento del área informática, manuales, políticas y procedimientos dentro de esta área, para poder
establecer una evaluación del control interno informático que nos guiara en el análisis de los riesgos y la
determinación de las áreas críticas con el único fin de establecer nuevos cambios en busca de la calidad y
mejora continua.
OBJETIVOS
General:
Desarrollar una auditoría de sistemas bajo el enfoque ISACA e IASB, tomando en cuenta criterios de
COBIT 2019, ITAF 3, las ISO 27000 y demás sistemas de evaluación de riesgos informáticos.
Específicos:
Elaborar un memorándum de planificación para el desarrollo de la auditoria en una entidad bancaria

basado en la seguridad informática.
Conocer generalidades del cliente, sistema de información, leyes y normativas a las cuales se regula
para así desempeñar una evaluación del control interno acorde al giro de la entidad.
Verificar el cumplimiento de las políticas, manuales e instructivos establecidos por la entidad en cuanto
a la seguridad de la información.
MEMORÁNDUM
DE PLANEACIÓN
Índice
1. ESTATUTO DE LA FUNCIÓN DE AUDITORÍA (Estándar 1001 y Lineamiento 2001). ................................... 7

2. PLANIFICACIÓN DE LA ASIGNACIÓN. ............................................................................................... 17
3. CONOCIMIENTO DEL CLIENTE......................................................................................................... 20
3.1.1.1 Información general de la entidad............................................................................................. 20
3.2. Misión, Visión y Valores.............................................................................................................. 20
3.3. Objetivos a corto y largo plazo. .................................................................................................... 21
3.4. Estructura organizativa. .............................................................................................................. 22
3.5. Antecedente de la entidad. ......................................................................................................... 23
3.6. Actividades comerciales de la historia. .......................................................................................... 23
4. MARCO REGULATORIO. .................................................................................................................. 24
4.1. NRP-32 Normas Técnicas sobre Medidas de Ciberseguridad en Canales Digitales. ............................ 24
4.2. Medidas de ciberseguridad NRP-32 y NPBT-06. ............................................................................ 27
4.3. Afiliación, Identificación y Autenticación de los Clientes por medio de Canales Digitales (NRP-32). ....... 29
5. CONOCIMIENTOS GENERALES DEL ÁREA INFORMÁTICA. ................................................................ 33
5.1. Software. ................................................................................................................................. 33
5.2. Hardware. ................................................................................................................................ 40
5.3. Seguridad................................................................................................................................. 48
6. FASES DEL PROCESO DE AUDITORIA.............................................................................................. 56
7. EVALUACIÓN DE CONTROL INTERNO. ............................................................................................. 56
7.1. Determinación de áreas críticas ................................................................................................... 56
7.2 Materialidad .................................................................................................................................... 59
7.3 Evaluación de riesgos. ..................................................................................................................... 78
7.4 Cuestionario de evaluación del control interno informático. .................................................................... 83
CUESTIONARIO DE EVALUACIÓN DEL CONTROL INTERNO INFORMÁTICO ........................................... 83
7.5 Matriz de riesgo y análisis ................................................................................................................. 97
8. ADMINISTRACIÓN DEL TRABAJO DE AUDITORÍA. ........................................................................... 114
CONCLUSIONES ................................................................................................................................... 124
RECOMENDACIONES ............................................................................................................................ 125
ANEXOS ............................................................................................................................................... 126
ESTATUTO DE
AUDITORÍA
Deak & Asociados, S.A. de C.V. x
Entidad: Banco Agrícola, S.A. Fecha: 16/04/2022

Elaboración: K.L.B.M.
PT: MEMORÁNDUM DE PLANIFICACIÓN DE AUDITORÍA
Revisión: K.E.R.L.
1. ESTATUTO DE LA FUNCIÓN DE AUDITORÍA (Estándar 1001 y Lineamiento 2001).
I. Introducción.
A través del presente Estatuto se manifiesta el propósito, la autoridad y la responsabilidad de la actividad

de auditoría interna de sistemas en Banco Agrícola, S.A. de conformidad con la misión, objetivos,
funciones, competencia y responsabilidades que se detallan a continuación.
1) Propósito.
1.1 Objetivos y metas del Estatuto de Auditoría.
Objetivos.
Garantizar la independencia con la administración y equipo de auditoría que lleva a cabo sus funciones
bajo la responsabilidad directa de gobierno corporativo en todo el proceso de la actividad de auditoría
interna de sistemas e informar en cuestiones administrativas directamente al representante legal de la
sociedad.
Metas.
Establecer un ambiente de trabajo donde se eviten las circunstancias que pudiesen comprometer la
independencia y la objetividad de la administración y del equipo de auditoría, en caso de existir debe
comunicarse.
Brindar servicios independientes y objetivos de aseguramiento y consulta que contribuyen a generar
valor a la sociedad a través de la minimización de riesgos de los recursos de TI.
➢ Aplicar una metodología sistemática para la revisión, evaluación y la mejora de la eficacia y

eficiencia de los procesos de gestión de riesgos, control y gobierno corporativo.
➢ Todas las actividades pueden someterse a un proceso de auditoría.
7

Revisión: K.E.R.L.
1.2 Declaración de la misión y objetivos de la función de auditoría.
Misión.
Desarrollar una evaluación del control interno establecido por la sociedad que contribuya a detectar y
corregir errores e irregularidades y asegurar los recursos de TI. Además, determinar la fiabilidad de las
operaciones, mediante pruebas selectivas utilizando como marco de referencia las Normas
Internacionales de Auditoría de Sistemas que son emitidas por el Consejo Normativo de la Asociación
de Auditoría y Control de Sistemas de Información ISACA.
Visión.
Asesorar de forma objetiva, mediante la evaluación del sistema de seguridad electrónica en

operaciones bancarias, asegurando la efectividad, transparencia y eficiencia de las operaciones.
Objetivo General.
Diseñar y presentar un informe de Auditoría de Sistemas para el área de Seguridad electrónica en

operaciones bancarias de Banco Agrícola, que determine el funcionamiento, mejoramiento y
aseguramiento de los recursos de TI, que contribuyan en la mejora de las operaciones de la sociedad,
así como también en la consecución de los objetivos mediante la aplicación de una metodología
sistemática para la evaluación y la mejora de la eficacia y eficiencia de los procesos de gestión de
riesgos, control y gobierno.
Objetivos Específicos.
Realizar una auditoría de sistemas utilizando el marco de Trabajo de Prácticas Profesionales para
Auditoría y Aseguramiento de SI (por sus siglas en ingles ITAF)
Identificar las posibles desviaciones en el uso del software que entorpezcan el cumplimiento de la
consecución de los objetivos establecidos.
Corregir las deficiencias de los controles internos establecidos por la administración que salvaguardan
los recursos de TI.
8

Revisión: K.E.R.L.
Realizar pruebas que conlleven a identificar el cumplimiento de la sociedad a los diferentes marcos
legales existentes y cumplimiento de políticas contables.
Emitir una opinión del funcionamiento de los recursos de TI de Banco Agrícola.
Evaluar de manera general el funcionamiento de los controles implementados por Banco Agrícola a la
seguridad física en los equipos de cómputos y áreas usuarias del sistema, con el fin de asegurar la
protección al equipo informático (hardware).
Evaluar los controles implementados por Banco Agrícola a la seguridad lógica en los equipos de
cómputo, capaces de prevenir el acceso no autorizado a la información procesada en el sistema, con la
finalidad de reducir el riesgo de transferencia, modificación, perdida, divulgación accidental o
intencional de información.
Establecer el grado de cumplimiento y seguridad, a los que se sujetan legalmente los procesos
automatizados.
Verificar la existencia, disponibilidad, contenido y uso adecuado del manual técnico del sistema.
Identificar los documentos fuentes, utilizados para el origen de datos ingresados al sistema.
Comprobar si en las pantallas de captura de datos, los campos están diseñados adecuadamente
según el tipo de datos a ingresar por el usuario: caracteres, dígitos, fechas y si este, valida valores y
procesos.
1.3 Ámbito de la función de auditoría.
La función de auditoría está orientada a evaluar los siguientes elementos y funcionamiento del Sistema.
Hardware.
Software.
Seguridad física y lógica.
Procesamiento electrónico de datos.
PEP (Aspectos contables).
Leyes y reglamentos asociados a TI.
9

Revisión: K.E.R.L.
1.4 Organismo que autoriza el estatuto de auditoría.
El presente estatuto de auditoría establece que la administración es quien define las funciones y las
competencias de auditoría interna y además se especifica su contribución al gobierno corporativo.
Por ende, el equipo de auditoría brinda sus servicios de manera independiente cumpliendo además con los
objetivos de aseguramiento y funcionamiento del sistema, contribuyendo a garantizar la fiabilidad de los
recursos de TI, así como la consecución de los objetivos mediante la aplicación de metodologías de
evaluación para la mejora de la eficacia del proceso de gestión de riesgos y control.
Asimismo, el equipo de auditoría examina la seguridad y el funcionamiento del sistema de conformidad con
las Normas Internacionales de Auditoría de Sistemas emitidas por ISACA, las cuales requieren la
planeación y ejecución de la auditoría para obtener una seguridad razonable y evidencia suficiente y
apropiada que provean una base para expresar nuestra opinión.
2) Responsabilidad.
2.1 Independencia de la función de auditoría como lo describen los Estándares 1002 y 1003.
Para garantizar su independencia, el equipo de auditoría lleva a cabo sus funciones bajo la responsabilidad
de la administración e informa de manera directa al representante legal. Tanto el equipo de auditoría como
la administración no tienen la responsabilidad sobre las actividades que se auditan, y en el desempeño de
sus funciones deberán evitar conflicto de intereses.
Toda circunstancia que pudiera comprometer la independencia y objetividad entre el auditado y el auditor
debe comunicarse.
La función de auditoría es una actividad independiente de las actividades operativas que se llevan a cabo
en Banco Agrícola, Para garantizar la independencia organizacional de la función de auditoría, el equipo de
Auditoría debe informar a la junta general de accionista lo siguiente:
Plan y presupuesto de recursos de auditoría.

El plan de auditoría basado en riesgos.
10

Revisión: K.E.R.L.
Desempeño del seguimiento realizado.
Seguimiento del alcance.
La independencia antes mencionada se deberá evaluar anualmente para la función de auditoría y antes de
cada compromiso con los profesionales.
Posibles causas que amenazarían la independencia:
➢ Intereses financieros
➢ Colegas dentro de la empresa.
➢ Familiares ocupando puestos claves dentro de la organización
La auditoría lleva a cabo sus funciones con pericia y la debida diligencia profesional. De tal manera, se
asegura de poseer y mantener, colectivamente, las competencias y los conocimientos necesarios para el
desempeño eficiente de sus funciones.
Los miembros de Auditoría Interna tienen la obligación de salvaguardar y proteger los intereses de Banco
Agrícola, Asumiendo las siguientes responsabilidades:
➢ Cumplir con el Código de Ética.

➢ Mantener una actitud que propicie un estado de independencia y objetividad ante las actividades
evaluadas y ante la Organización, así como evitar acciones o situaciones que menoscaben su
integridad profesional, generen conflictos de intereses y prejuicios
➢ Mantener, actualizar y enriquecer un conjunto de conocimientos, normas, técnicas, disciplinas,
metodologías y herramientas, que permitan llevar a cabo sus responsabilidades y cubrir sus objetivos
con los máximos niveles de calidad;
➢ Poseer y desarrollar las cualidades profesionales necesarias para el establecimiento de buenas
relaciones con el entorno, así como tener una buena capacidad de comunicación, tanto verbal como
escrita, con objeto de transmitir con claridad y efectividad los objetivos, las evaluaciones,
conclusiones y recomendaciones;
➢ Cumplir con los objetivos y alcances definidos por la Auditoría y Control formalizados en los planes
de auditoría, así como emitir los oportunos informes con la mayor objetividad posible.
11

Revisión: K.E.R.L.
2.2 Relación con la auditoría externa.
El equipo de Auditoría interna deberá trabajar en conjunto con el auditor externo para garantizar el
cumplimiento de la seguridad de los recursos de TI y el funcionamiento de los sistemas; deberá:
• Llevar a cabo las diferentes actividades deberá programar reuniones y coordinar el trabajo a realizar.
• Proporcionarles acceso a los documentos, herramientas, programas u otra información necesaria que
este requiera para llevar a cabo las diferentes actividades deberá programar reuniones y coordinar el
trabajo a realizar.
• El auditor interno debe considerar el trabajo planificado por el auditor externo, cuando se elabore el
plan de auditoría para el próximo periodo.
2.3 Expectativas del auditado.
La función de auditoría en la entidad contribuye a darle un seguimiento y evaluación a los esfuerzos

realizados por la administración para llevar a cabo las metas propuestas y los objetivos establecidos por la
misma, por lo cual se pretende que, al culminar los procesos de evaluación en cuanto a los recursos de TI
en el área de Banca en Línea y Banca Móvil, se obtenga lo siguiente:
a) Las actividades de auditoría que se han planeado se ejecuten en un 100% y sea factible identificar las
posibles fallas en el software que se utiliza.
b) Plazos y destinatarios para la presentación y discusión de los informes.
c) El equipo de auditoría se reunirá de manera periódica al menos una vez por mes para evaluar los
avances en las revisiones y condiciones en las que se encuentre el sistema
d) Se expongan los resultados sobre la seguridad y funcionamiento del sistema a través de la Carta a la
Gerencia en las que se detallen: evaluación del control interno, recomendaciones y sus respectivos
hallazgos (condición, criterio, causa, efecto) encontrados en los diversos componentes.
e) Emitir un informe final el cual contendrá el informe de auditoría y el dictamen con la conclusión.
2.4 Requerimientos del auditado.
12

Revisión: K.E.R.L.
La administración tiene la responsabilidad de darle cumplimiento a las recomendaciones propuestas por el
equipo de auditoría, para garantizar el fiel cumplimiento de lo que se pretende lograr y minimizar los
riesgos a los que se encuentran expuestos los recursos de TI para así lograr la seguridad del sistema y su
funcionamiento.
Reunirse con el equipo de auditoría para discutir los problemas o fallas que se identifiquen durante el
proceso e involucrarse en diferentes actividades solicitadas por el equipo de auditoría cuando sea
necesario.
2.5 Comunicación con los auditados.
La auditoría interna se reunirá con la administración al menos una vez al mes, y de no ser posible
comunicar por escrito las observaciones y recomendaciones.
3) Autoridad.
3.1 Derechos de acceso.
El equipo de auditoría tiene acceso a todo lo que se consideren necesarios para el desempeño de la
función de auditoría tales como:
Información relevante.
Sistemas.
Personal clave.
Política de gestión de riesgos.
Para el cumplimiento de sus funciones el equipo auditor podrá requerir acceso permanente a los datos y
sistema informático.
El requerimiento de información por parte del auditor deberá ser entregado en el menor tiempo posible
previo a su solicitud, además dicha información deberá ser fiel e íntegra.
13

Revisión: K.E.R.L.
3.2 Limitaciones a la función de auditoría.
No se restringe al equipo de auditoría de realizar los diferentes mecanismos diseñados y planeados para
realizar su función de auditoría.
3.3 Procesos a ser auditados.
Auditoría interna diseñará los mecanismos y procesos que considere convenientes para realizar su función
en el plan de auditoría basado en los riesgos, con la única limitante que debe coordinar el trabajo a realizar
con auditoría externa.
4) Responsabilidad final de la función de auditoría.
4.1 Estructura organizacional.
El equipo de auditoría incluirá líneas de responsabilidad para la gerencia, tendrá acceso libre y sin
restricciones a la junta directiva y a sus miembros para realizar la función de auditoría requerida.
4.2 Informe.
El equipo de auditoría presentará un informe escrito y detallado el cual incluirá:
a) Formato
b) Contenido
✓ Alcance
✓ Acciones realizadas
✓ Hallazgos
✓ Recomendaciones
✓ Respuestas de la dirección
✓ Acciones correctivas tomadas
c) Destinatario
Después de terminado el informe sobre la función de auditoría este será distribuido a las partes
14

Revisión: K.E.R.L.
interesadas.
4.3 Desempeño de la función de auditoría.
El equipo de auditoría informará según el tiempo conveniente a la dirección de su propósito,

responsabilidad y autoridad. Así también sobre el rendimiento del plan de auditoría y el presupuesto
establecido.
4.4 Cumplimiento de estándares.
Los profesionales de auditoría y aseguramiento de SI deben incluir una declaración en su trabajo, cuando
corresponda, de que la función de auditoría y profesionales se adherirá y actuará de acuerdo con todos los
estándares y lineamientos de auditoría para el aseguramiento de SI emitidas por ISACA.
4.5 Proceso de aseguramiento de la calidad.
Para una comprensión de las necesidades y expectativas relevantes de la empresa Banco Agrícola, S.A.,
con la función de auditoría se deben de realizar entrevistas, encuestas de satisfacción del cliente, de
desempeño de la asignación entre otras más.
Estas necesidades deben ser evaluadas contra el estatuto de auditoría con una visión para mejorar el
servicio o el cambio de la prestación, según sea necesario. Revisiones externas de calidad permiten a la
función de auditoría evaluar su cumplimiento con los estándares aplicables, el marco de trabajo de riesgos
de la empresa y control, uso óptimo de recursos y uso de las buenas prácticas.
Se debe realizar una revisión de calidad externa independiente de la función de auditoría al menos cada
cinco años para mantener la conformidad con los Estándares de Auditoría y Aseguramiento de SI de
ISACA.
4.6 Reglas de dotación al personal.
En el estatuto de auditoría se establece la participación de los profesionales en la realización de los

servicios de auditoría de carácter general, oportunidad y alcance de dichos servicios, para asegurar que la
independencia no se vea afectada.
15

Revisión: K.E.R.L.
4.7 Compromiso de educación continua.
El equipo de auditoría se compromete a formarse continuamente como mínimo 40 horas anuales.
4.8 Acciones acordadas en relación a la función de auditoría y conducta de los profesionales.
Se acordó que habrá sanciones cuando alguna de las partes no cumpla con sus responsabilidades.
5) Otros aspectos a tener en cuenta.
5.1 Revisión y modificación de la carta.
Es responsabilidad de la función de auditoría evaluar periódicamente según le sea conveniente si el

propósito, autoridad y responsabilidad final, como se define en el estatuto de auditoría, continúa siendo
adecuada y comunicado el resultado de la evaluación al comité de auditoría.
5.2 Aprobación de modificación a la carta.
Obtener la aprobación de los encargados del gobierno de las modificaciones al estatuto de auditoría.
5.3 Incluir documentos de referencia.
En el estatuto se incluyen documentos de referencia relacionados tales como:
a) Estándares.
b) Guías.
c) Políticas.
d) Marcos de trabajo.
e) Manuales, otros.
16

Revisión: K.E.R.L.
2. PLANIFICACIÓN DE LA ASIGNACIÓN.
2.1. Objetivos de la auditoría.
General.
Desarrollar una auditoría al sistema de la entidad Banco Agrícola, S.A., con base al marco de Trabajo
para Prácticas Profesionales de Aseguramiento y Auditoría de Sistemas de Información (por sus siglas
en inglés ITAF), con la finalidad de llevar a cabo la verificación en el proceso de manera confiable,
íntegro y seguro, de tal forma que determine y evalúe los riesgos contenidos en los procedimientos que
posee la entidad, para que facilite una opinión sobre el efectivo funcionamiento del sistema operativo.
Específicos.
Evaluar si la entidad cuenta con los niveles de seguridad apropiados, con relación a los diversos
factores (hardware, software, seguridad física y lógica, redes, telecomunicaciones, recursos humanos,
control interno) y con el volumen de información que se maneje en dicha aplicación.
Examinar los controles establecidos del sistema, para tener seguridad a que incluyan medidas de
seguridad lógica, capaces de prevenir accesos no autorizados a la información procesada en el
sistema, a fin de reducir el riesgo de transferencia, modificación, pérdida, o divulgación accidental o
intencional de la misma.
Verificar las políticas y procedimientos del control interno informático.
Revisar la existencia del manual de usuario del sistema, así como su contenido y su disponibilidad para
las personas que lo utilizan.
Evaluar controles de calidad en acceso, procedimientos y salidas de información, orientados a
mantener la integridad de los datos que ahí se almacenan.
Analizar las consultas y los reportes generados por el sistema y determinar si estos son útiles,
adecuados y oportunos para los usuarios.
Formular cartas de gerencia sobre la base de auditoría, en la que se incluyan recomendaciones que
ayuden a mejorar los procedimientos de control interno de la empresa relacionados con TI.
Emitir una opinión razonable del funcionamiento del sistema empleado por la entidad.
17

Revisión: K.E.R.L.
2.2. Alcance de la auditoría.
Realizar una auditoría en base al marco de referencia para Prácticas Profesionales de Aseguramiento y
Auditoría de Sistemas de Información (ITAF) en las áreas de: hardware, software, seguridad física, lógica,
procesamiento electrónico de datos, recursos humanos y control interno; evaluando el buen funcionamiento
y seguridad del sistema, así como la existencia de planes de contingencias en caso de desastres,
evaluación de políticas y procedimientos de control interno en el área de sistema de información.
Los componentes específicos para evaluar en el desarrollo de la auditoría son:
I. Niveles de seguridad:
1) Seguridad física.
2) Seguridad lógica.
3) Panorama Técnico.
4) Valores parametrizables.
5) Pistas de auditoría.
II. Funcionamiento:
1) Origen de datos.
2) Entrada de datos.
3) Proceso de datos.
4) Salida de información.
5) Recursos humanos.
2.3. Responsabilidad de la firma de auditoría.
Deak y Asociados S.A. de C.V., ha sido contratada por la Junta General de Accionistas de la sociedad
Banco Agrícola Comercial, S.A. para llevar a cabo la auditoría del sistema operativo empleado por la
entidad, por el periodo del 01 de enero al 31 de diciembre de 2021, para expresar nuestra opinión sobre el
funcionamiento y la seguridad del sistema, que se procese con eficiencia, eficacia y economía.
18

Revisión: K.E.R.L.
Se efectuará el trabajo basado en las Normas Internacionales de Auditoría de Sistemas emitidas por
ISACA, las cuales requieren la planificación y ejecución de la auditoría para obtener una seguridad
razonable y evidencia suficiente y apropiada que provean una base para expresar nuestra opinión
razonablemente. Además, la auditoría también incluirá la evaluación de la educación de las políticas de
control interno informático adoptadas por la entidad.
➢ Otras responsabilidades de la Firma Auditora.

✓ Nos comprometemos a poner a disposición y permitir el examen por parte Banco Agrícola
Comercial, S.A. de los papeles de trabajo, pruebas documentales y otros documentos relacionados
con los trabajos de esta Auditoría.
✓ Mantener y archivar adecuadamente los papeles de trabajo como mínimo durante un período de
diez años después de terminada la auditoría. Durante ese período, los auditores deberán proveer
prontamente los papeles de trabajo que les sean solicitados por Banco Agrícola Comercial, S. A.
✓ Durante la ejecución de la auditoría los auditores deberán mantener comunicación con los
auditados a fin de que se pueda aclarar situaciones que pudieran ser observadas.
2.4. Tipos de informe para presentar.
1. Se informará a la administración sobre la seguridad y funcionamiento del sistema, que deberá

estar de acuerdo con Normas Internacionales de ISACA.
2. Emitir Cartas a la Gerencia conteniendo observaciones, criterios, causas, efectos, así como
recomendaciones de evaluaciones preliminares del control interno, así como los hallazgos
encontrados en el Sistema Operativo.
3. Emitir informe final el cual contendrá el informe de auditoría y el dictamen con nuestra opinión.
2.5. Plazos y destinatarios para la presentación y discusión de los informes.
• El plazo para considerar será de 30 días posteriores a la conclusión del trabajo de campo,
notificando a la Junta General de Accionistas la discusión del borrador con 7 días de anticipación.
• Se emitirán informes de avance (carta de gerencia) que reflejen los resultados de la auditoría en
las fechas convenientes.
19

Revisión: K.E.R.L.
• El borrador de informe final será entregado y presentado a la junta general de accionistas de la

empresa Banco Agrícola Comercial, S.A., para discusión y presentación de pruebas de descargo;
los informes de avance serán presentados de igual forma.
• El informe final será presentado a los accionistas de Deak y Asociados, S.A. de C.V., la cual
incluirá un resumen de los principales procedimientos de auditoría empleados en la ejecución y
contenidos en su planificación.
3. CONOCIMIENTO DEL CLIENTE.
3.1. Generalidades de la entidad.
3.1.1.1 Información general de la entidad.
Razón social: Banco Agrícola Comercial, S. A.
Fecha de constitución: 24 de marzo de 1955.
Ubicación geográfica: Centro Financiero San José de la Montaña Direccion: 1°a Calle Poniente y 67
Avenida Norte, San Salvador, El Salvador.
Correo electrónico: [email protected]
Giro o actividad económica: Otros.
Número de identificación tributaria: 0614-240355-004-6
Número de registro contribuyente: 315798-4
Representante legal: Rodolfo Roberto Schildknecht Scheidegger
3.2. Misión, Visión y Valores.
Misión.
20

Revisión: K.E.R.L.
Asegurar el financiamiento de las actividades productivas del sector agropecuario, para garantizar el
incremento de la producción, satisfacer la demanda alimentaria de la población y modernizar la producción
de renglones exportables y de otros que sirven de soporte al desarrollo de la agroindustria nacional.
Visión.
Ser una organización comprometida con la excelencia, que satisface las necesidades financieras de los
clientes, con soluciones integrales e innovadoras.
Valores.
✓ Calidez: El compromiso que tenemos de crear experiencias gratas con todas las personas con las
cuales nos relacionamos.
✓ Cercanía: Es la convicción que tenemos por reconocer al otro como ser humano, interesarnos por sus
emociones, escucharlo y construir una relación de largo plazo.
✓ Inclusión: Construir, con nuestras acciones, una banca en la que todos seamos importantes para
hacer una sociedad justa y equitativa.
✓ Respeto: Sensibilidad que reflejamos en nuestro comportamiento para situarnos en el lugar del otro,
interesarnos por sus emociones, ser receptivos con sus necesidades y hacer de la confianza la base
fundamental de nuestras relaciones.
3.3. Objetivos a corto y largo plazo.
Objetivos a corto plazo.
✓ Contribuir al funcionamiento eficiente y seguro del sistema financiero a través de investigaciones,

propuestas y acciones para profundizar el modelo económico social.
✓ Fortalecer la gestión administrativa bajo criterios de calidad, oportunidad y eficiencia.
Objetivos a largo plazo.
21

Revisión: K.E.R.L.
✓ Fortalecer la continuidad y la modernización de las operaciones, a través de gestión integrada de
riesgo, seguridad, proyectos de infraestructura y tecnologías de información.
✓ Fortalecer la transparencia y el control interno institucional como mecanismos que coadyuvan a la

gestión interna.
3.4. Estructura organizativa.
Junta Directiva
Mauricio Rodríguez
Olivia Martínez
Vicepresidente de
Oficial de Cumplimiento
Auditoría Interna
Rafael Barraza
Presidente Ejecutivo
Ana Beatriz Marín Alejandro Gómez

Vicepresidenta de Vicepresidente de Gestión
Estrategias y Finanzas de lo Humano
Dionisio Machuca Cecilia Gallardo

Vicepresidente Jurídico y Directora de Identidad
Secretario General Corporativa
Ana Cristina Arango Hernando Suárez

Silvia Bruni de Iraheta Claudia López
Vicepresidenta de Banca Vicepresidente de Banca Carlos M Novoa
Vicepresidenta de Riesgos Vicepresidenta de
Empresa y Gobierno de Personas y Mpe Vicepresidente de Tesorería
Servicios Corporativos
22

Revisión: K.E.R.L.
3.5. Antecedente de la entidad.
El 24 de marzo de 1,955 nace dicha entidad financiera bajo el nombre de Banco Agrícola Comercial. La
primera sucursal del Banco estaba ubicada en San Salvador, en la Quinta Avenida Sur No 124. Inició sus
operaciones con un capital social de ¢1'000,000 (un millón de colones salvadoreños), aportado por 24
accionistas, y un capital laboral compuesto por 14 empleados.
Su fundador fue el empresario Don Luis Escalante Arce, que llevó al banco a un nivel de reconocimiento
nacional y regional, en 1956 inició la expansión del banco al interior de la república, instalando en
Sonsonate su primera sucursal fuera de San Salvador. Desde el año 1982 el banco cumpliendo su
responsabilidad social se convierte en el banco oficial de Teletón El Salvador, título que sigue ostentando
hasta la fecha, por más de 38 años. En 1989 Banco Agrícola, finaliza su nacionalización, al colocar
sucursales a lo largo y ancho de El Salvador.
Uno de los años más importantes en la historia del banco es el año 1992, en este año ingresa como
presidente del banco, el Ing. Archie Baldocchi (†), uno de los más reconocidos empresarios del país y es él
quien introduce al Banco Agrícola a la era de la tecnología al crear conceptos de E-banca, la página web
del banco y los servicios electrónicos. En el año 2006 el Grupo Bancolombia uno de los grupos financieros
más importantes de la región sudamericana, adquiere la totalidad de las acciones del Banco Agrícola. Por
decisión de la empresa colombiana el banco mantiene su nombre y su identidad visual. El 24 de mayo de
2013, Banco Agrícola cambia su logo, por el logo de Bancolombia, pero conserva el nombre de "Banco
Agrícola".
3.6. Actividades comerciales de la historia.
Banco Agrícola Comercial, S.A. es una institución financiera que centra su actividad en la captación de
depósitos de personas físicas y jurídicas, la prestación de servicios de pagos cobros mediante la
plataforma de E-banca, la concesión de créditos y financiación del comercio nacional e internacional. Estas
actividades básicas se complementan con las de comercio de divisas por cuenta propia y de clientes, así
como en el comercio de valores, también por cuenta propia y/o de clientes.
Los depósitos pueden ser:
23

Revisión: K.E.R.L.
➢ Depósitos en cuenta corriente.
➢ Depósitos en cuenta de ahorros.
➢ Depósitos a plazo fijo.
El Banco Agrícola también realiza las siguientes operaciones:
➢ Pagos.
➢ Transferencias.
➢ Consultas.
➢ Remesas.
➢ Cobros/Pagos.
(Las opciones en punto indican que se pueden realizar, además de manera presencial, mediante la
aplicación del Banco Agrícola).
4. MARCO REGULATORIO.
4.1. NRP-32 Normas Técnicas sobre Medidas de Ciberseguridad en Canales Digitales.
Esta norma técnica es aplicable debido a que se encarga de regular la ciber seguridad de las entidades
financieras, por medio de los cuales se recopila, procesa, transmite y se almacena la información de los
productos y servicios financieros que las referidas entidades ofrecen a sus clientes en canales digitales.
Dentro de su artículo 2, enuncia a los sujetos obligados para el cumplimiento tales como bancos
constituidos en El Salvador, sociedades de ahorro crédito, bancos cooperativos y federaciones de bancos
cooperativos.
Terminología fundamental para la compresión de esta norma.
a) Afiliación o suscripción: incorporación de productos y servicios financieros, por parte del cliente, para
efectos de realizar operaciones o transacciones en canales digitales;
b) Autenticación: conjunto de técnicas y procedimientos tecnológicos utilizados para verificar la identidad

de un usuario de banca electrónica;
24

Revisión: K.E.R.L.
c) Autenticación dinámica: método de autenticación, que consiste en generar un código para un medio
electrónico de pago, diferente en cada transacción, y firmarlo con su clave privada;
d) Autenticación estática: método que consiste en generar un código para un medio electrónico de pago,
en la fase de personalización de este, que se graba en el chip de este y no cambia nunca. Puede ser
validado por un terminal;
e) Banca Móvil: canal digital que utiliza un dispositivo móvil para tener acceso a servicios y transacciones
financieras asociados a cuentas de depósito, líneas de crédito o cuentas de ahorro con requisitos
simplificados;
f) Banca por Internet: canal digital asociado a cuentas de depósito, líneas de crédito o cuentas de ahorro
con requisitos simplificados, que utiliza un portal transaccional para tener acceso a servicios y
transacciones financieras;
g) Banca Telefónica: canal digital asociado a cuentas de depósitos, líneas de crédito o cuentas de ahorro
con requisitos simplificados, que utiliza un dispositivo telefónico para tener acceso a servicios y
transacciones financieras a través de llamadas a los centros de atención telefónica;
h) Canal(es) digital(es): medio que permite la realización de transacciones, la prestación de servicios
financieros y el intercambio de información, tales como cajeros automáticos, puntos de ventas (POS,
por sus siglas en inglés), banca telefónica, Respuesta de Voz Interactiva (IVR, por sus siglas en
inglés), banca por Internet, banca móvil, entre otros;
i) Clave de Acceso (PIN): número de identificación personal que se utiliza para acceder a servicios y
operaciones financieras por medio de canales digitales;
j) Claves dinámicas: son claves criptográficas de un solo uso, formadas a través de una secuencia
aleatoria;
k) Cliente: persona natural o jurídica que mantiene una relación contractual con la Entidad para la
prestación de una o varias operaciones pasivas o activas;
l) Contraseña o clave: cadena de caracteres protegida que se utiliza para autenticar la identidad de un
usuario para autorizar el acceso a la utilización de canales digitales;
m) Dato sensible: datos con carácter confidencial del cliente o usuario de la banca electrónica, tales como:
número de cuenta; número de identificación personal; claves del cliente; número de la tarjeta; código
de seguridad de la tarjeta;
25

Revisión: K.E.R.L.
n) Desafiliación: proceso mediante el cual los clientes solicitan a las entidades desincorporar los
productos y servicios ofrecidos por éstas, a través de los canales digitales;
o) Dispositivos de autoservicio: equipos electrónicos ofrecidos a los clientes para realizar operaciones
bancarias que no involucran dinero en efectivo, tales como kioskos, POS, entre otros;
p) Entidad(es): sujetos obligados al cumplimiento de las presentes Normas de acuerdo con el artículo 2
de las mismas;
q) Factor adicional: es el segundo factor o grupo de factores de autenticación que se debe requerir al
cliente;
r) Factor de autenticación: información utilizada para verificar la identidad de un servicio o una persona;
s) Factor base: es el factor mínimo requerido para realizar la autenticación inicial del cliente;
t) Identificación: validación de la identidad del cliente para el uso de canales digitales, mediante la
utilización de datos e información que conozca tanto la entidad como el cliente;
u) IVR: (Respuesta de voz interactiva, por sus siglas en inglés) es un sistema telefónico que es capaz de
recibir una llamada e interactuar con el humano a través de grabaciones de voz y el reconocimiento de
respuestas simples;
v) Mantenimiento de contraseñas: son todos los cambios que realizan los clientes a sus claves de
acceso;
w) Medio de comunicación electrónica: medio electrónico utilizado para la transmisión de mensajes desde
la entidad hacia el cliente, o viceversa;
x) No repudio: método de seguridad que permite probar la participación de las partes en una
comunicación, contemplándose estos 2 aspectos siguientes:
i. No repudio en origen: el emisor no puede negar que lo envió porque el destinatario tiene pruebas
del envío; y
ii. No repudio en destino: el receptor no puede negar que recibió el mensaje porque el emisor tiene
pruebas de la recepción.
y) El origen o recepción de un mensaje específico debe ser verificable por parte de un tercero de
confianza;
26

Revisión: K.E.R.L.
z) Perfil transaccional: conjunto de características asociadas al comportamiento transaccional de un
cliente, de acuerdo con los análisis sistematizados realizados por la entidad, para proteger a sus
clientes;
aa) Programaciones de pago: es la autorización por parte del cliente para el débito automático en sus
cuentas bancarias o autorización de cargos en sus tarjetas de crédito;
bb) Superintendencia: Superintendencia del Sistema Financiero;
cc) Token: dispositivo electrónico utilizado para facilitar el proceso de autenticación. Puede ser utilizado
para la generación de contraseñas de un solo uso; así como, para almacenar contraseñas, firmas
electrónicas o datos biométricos de la persona; y
dd) Transacciones: servicios y operaciones financieras realizadas por medio de canales digitales.
4.2. Medidas de ciberseguridad NRP-32 y NPBT-06.
Estas normas obligan a las entidades bancarias a implementar o actualizar las herramientas y mecanismos
para monitorear redes y demás infraestructura tecnológica que permita detectar oportunamente eventos de
seguridad o ciberseguridad, actividad o comportamientos inusuales, o movimientos laterales. Estas
además deberán incluir, la inteligencia de amenazas para procurar mantenerse informado sobre amenazas
e indicadores de compromiso de otras fuentes confiables (Art. 4).
Gestión de vulnerabilidades.
Esto es aplicado en ambas normas ya que las entidades deberán contar con procesos para la gestión de
vulnerabilidades que consideren la identificación, evaluación, tratamiento y comunicación de las medidas
de seguridad en la infraestructura tecnológica, mediante la ejecución de pruebas de penetración o intrusión
y de escaneos de vulnerabilidades. Se deberán remediar o mitigar todas las brechas de seguridad, no solo
las clasificadas como críticas y de alto riesgo.
Herramientas de protección ante la suplantación de identidad según NRP-32.
Las entidades Bancarias deberán contar con herramientas para prevenir la suplantación de identidad ante
amenazas basadas en correos electrónicos de phishing, spam, spear-phishing, entre otros y deben
considerar la idoneidad de estas herramientas, de tal manera que sean consistentes con el tamaño de la
27

Revisión: K.E.R.L.
entidad. Las entidades deberán contar con programas de capacitación constante sobre este tipo de
amenazas para los empleados, haciendo énfasis en aquellos que realizan funciones de atención al cliente.
• Las entidades harán campaña sobre educación financiera para dar a conocer a los clientes las
medidas de ciberseguridad que deben aplicar en los distintos canales digitales.
• Las entidades deben de notificar a sus clientes los medios oficiales a través de los cuales comunicaran
los productos o servicios que ofrecen.
• Las entidades deberán contar con herramientas de prevención de pérdida de datos para tener una
visibilidad ante dicho evento, de tal forma que se fortalezca la detección y prevención de la exfiltración
de datos.
• Las entidades deberán de cifrar la información crítica en reposo o en tránsito, incluso en dispositivos de
almacenamiento extraíbles y móviles, debiendo asegurarse de que los protocolos utilizados son
seguros.
• Las entidades deberán contar en su infraestructura tecnológica con protocolos que realicen las
funciones de autenticación de los usuarios; la autorización y uso de los de recursos o servicios; y el
registro de la actividad de los usuarios para el respectivo seguimiento.
Gestión de activos.
Las entidades deberán mantener actualizado el inventario de activos de información críticos e identificar los
datos y la tecnología asociada para priorizar acciones, en concordancia con lo regulado en las “Normas
Técnicas para la Gestión de la Seguridad de la Información” (NRP-23).
Registro y seguimiento.
En referencia a los sistemas y demás componentes de la infraestructura tecnológica, para generar la

capacidad de contar con un registro de información que permita detectar de forma activa e investigar
incidencias, asegurándose de que los registros de actividades estén disponibles para su análisis cuando
sea necesario, en concordancia con lo regulado en las “Normas Técnicas para la Gestión de la Seguridad
de la Información” (NRP-23).
28

Revisión: K.E.R.L.
Respuesta ante incidentes de ciberseguridad.
Las entidades deberán contar con planes de respuesta para mitigar el impacto ante un incidente de
ciberseguridad. Estos planes deben ser probados para comprobar la capacidad de respuesta e identificar
brechas oportunamente, en concordancia con lo regulado en las “Normas Técnicas para la Gestión de la
Seguridad de la Información” (NRP-23).
4.3. Afiliación, Identificación y Autenticación de los Clientes por medio de Canales Digitales (NRP-
32).
Las entidades que realicen operaciones y presten servicios financieros por medio de canales digitales,
deberán informar a sus clientes de forma escrita o a través de medios electrónicos, al momento de activar
por primera vez el uso del canal digital, como mínimo, lo siguiente:
a. Servicios ofrecidos y las responsabilidades de su uso;

b. Procedimientos para la afiliación, cancelación, suspensión y reactivación del servicio;
c. Límites de montos y transacciones a realizar en períodos determinados;
d. Comisiones y tarifas por el uso, con su respectiva descripción;
e. Riesgos inherentes por su utilización;
f. Procedimiento para informar cualquier irregularidad o actividad potencialmente no reconocida o no
autorizada y que ha sido detectada, ya sea por el cliente o por la entidad;
g. Procedimiento para la atención de consultas y reclamos de los clientes;
h. Asunción de responsabilidades por parte del cliente y la entidad ante situaciones de fraude; e
i. Consejos para el adecuado uso por parte del cliente.
Factores de autenticación para operaciones bancarias en El Salvador.
Entidades Bancarias (NRP-32).
a) Deberán mantener procedimientos que garanticen la seguridad de la información de sus clientes

durante la generación, custodia, distribución, asignación y reposición o sustitución de dichos
factores;
29

Revisión: K.E.R.L.
b) Tendrán prohibido divulgar o acceder la información protegida en relación con los factores de
autenticación; en el caso de la información relacionada al factor de autenticación de categoría 1,
toda consulta debe estar sustentada con la solicitud del cliente;
c) Tendrán prohibido solicitar, la información parcial o completa, establecida en los factores de

autenticación de las categorías 2 o 3 a que se refiere el art.21 NRP-32.
d) Deberán informar a sus clientes que la entidad no le requerirá bajo ningún medio y bajo ninguna
condición la información sobre sus factores de autenticación.
Usuarios (Clientes).
a) Finalizar la sesión en forma automática en los casos siguientes:
i. Cuando la inactividad alcance los ciento ochenta segundos en canales digitales y hasta cinco
minutos para banca de empresa;
ii. Cuando el período de inactividad alcance como máximo, los treinta segundos en las operaciones
realizadas mediante cajeros automáticos, kioskos y puntos de ventas; y
iii. Cuando se detecten sesiones simultáneas.
b) Para los casos de inicio de sesión por medio de Banca por Internet o Banca Móvil se deberá remitir
mensaje al cliente, por los medios electrónicos que disponga la entidad, notificando acerca del inicio de
sesión; y
c) Las entidades que mediante su sitio web ofrezcan enlaces a páginas web de terceros, deberán
comunicar a sus clientes que, al momento de ingresar a éstos, su seguridad no depende ni es
responsabilidad de dicha entidad.
Registro y liquidación de las transacciones.
Las transacciones realizadas por medio de canales digitales deberán ser tratadas y aplicadas bajo los
criterios establecidos en los literales j) y l) del artículo 18 de Ley de Protección al Consumidor. Hace
30

Revisión: K.E.R.L.
referencia a cargos extemporáneos por parte de los proveedores hacia sus clientes, así como registrar
pagos posteriores a la fecha a la que los efectuó el consumidor.
Confirmación de las transacciones.
Los bancos deberán generar una confirmación inmediata al cliente, sobre las transacciones que se realicen
por medio de canales digitales, por medio de mensajes de texto a su dispositivo móvil registrado u otro
medio electrónico, que le servirá para determinar que la misma se ha completado, salvo aquellos casos en
que el cliente haya manifestado expresamente no querer recibirlas, lo cual deberá estar debidamente
documentado por la entidad.
Asimismo, tendrán que enviar vía electrónica la notificación que deberá incluir, como mínimo la fecha, hora,
tipo de producto, tipo de transacción, número de referencia y monto de la operación. En caso de que la
transacción no sea exitosa deberá enviarse un mensaje al cliente notificando que la transacción solicitada
no fue completada. En cada transacción que realicen, deberán implementar mecanismos de no repudio.
Monitoreo de las transacciones.
Art. 33.- La entidad deberá contar con información del número y monto de las transacciones realizadas por
cliente y tipo de producto, por medio de canales digitales, monitoreando además, el cumplimiento de los
límites y otras medidas prudenciales que se hayan establecido, dependiendo del producto o servicio de que
se trate, e identificando en tiempo real posibles operaciones, inusuales, irregulares o sospechosas de
acuerdo al perfil del cliente y los hábitos de uso de sus productos y servicios financieros, generando las
alertas correspondientes sobre tales operaciones.
Asimismo, las entidades deben notificar en forma inmediata a los clientes, las alertas asociadas a las
operaciones realizadas a través de los canales digitales, que se desvíen del perfil transaccional del cliente,
determinado de manera oportuna y de forma automática por la entidad, a través de los medios que esta
estime conveniente para el cliente. La notificación deberá realizarse siempre y cuando no exista un aviso
por parte del cliente que permita relacionar razonablemente las operaciones que generaron la alerta.
31

Revisión: K.E.R.L.
La notificación o el mensaje enviado deberá describir como mínimo fecha y hora de la transacción, monto
de la operación, número de referencia de la transacción, nombre y número de teléfono de la entidad, canal
utilizado, tipo de producto y de operación.
Seguridad y bloqueo de usuarios.
Los bancos establecen procesos y mecanismos automáticos para bloquear preventivamente el acceso a
cualquiera de los canales digitales, en los casos siguientes:
a. Cuando se detecte ingresar al canal digital, utilizando información de autenticación incorrecta.

Asegurarse que los intentos de acceso fallidos no excedan de la cantidad de tres intentos consecutivos
para el bloqueo de este;
b. Cuando los sistemas de monitoreo detecten comportamiento transaccional inusual o irregular de

acuerdo con el perfil del cliente;
c. Cuando los sistemas de seguridad detecten un ataque informático que comprometa los datos o
información de los clientes; y
d. Cuando existan situaciones que comprometan la seguridad de los sistemas de información y del
cliente.
Atención al cliente.
Las entidades bancarias deberán poner a disposición del cliente un mecanismo que permita lo siguiente:
a) Obtener el historial de transacciones realizadas que como mínimo incluirá el número de referencia,
monto, fecha, hora, tipo de transacción, tipo de producto; y
b) Un procedimiento para definir una nueva clave o contraseña.
Asimismo, las entidades proveerán a sus clientes de un número telefónico y otros medios alternativos de
contacto, tales como correo electrónico, para una comunicación permanente con la entidad, incluyendo el
debido soporte técnico.
32

Revisión: K.E.R.L.
5. CONOCIMIENTOS GENERALES DEL ÁREA INFORMÁTICA.
5.1. Software.
a) Manual de procedimientos de los sistemas.
Manual de e-banca Empresarial
Ingresar:
• Número de cliente
• Usuario
• Contraseña
• Token
Cuando ingrese a la plataforma podrá visualizar las Actividades realizadas, consultar los estados de
cuentas, así como las operaciones realizadas y saldos disponibles., también podrá verificar las tarjetas de
créditos, prestamos e inversiones.
33

Revisión: K.E.R.L.
Para realizar una operación en e-banca Empresarial los usuarios asignados deben elaborar la aplicación
de las transacciones (procesamiento de transacción), una vez realizada (aplicada) el siguiente usuario la
autoriza (da pase a la transacción aplicada).
En la sección Mi cuenta puede realizar Vinculación de Soft Token,

Cambio de clave, Administración de favoritos BA, verificar Notificaciones
de transacciones y Cerrar sesión.
Manual de e-banca Personas
Ingresar:
• Usuario
• Contraseña
34

Revisión: K.E.R.L.
Al ingresar se visualiza las cuentas de ahorro, corrientes y cuentas digitales que

se posean. Luego se despliegan las diferentes opciones de transacciones como
transacciones a terceros, retiro sin tarjeta, pagos con NPE, recargas de teléfonos,
entre otros.
Para realizar las operaciones se debe color monto, número de cuenta, correo
electrónico o digitara NPE, esto dependerá del tipo de transacciones que se
desee realizar. Cabe mencionar que toda transacción solicita corroborar datos o
información mediante un mensaje para hacer las operaciones de manera exitosa
y evitar errores al aplicarlas.
Luego de realizar las operaciones se verifican los movimientos se cierra sesión o

se siguen realizando más operaciones según la necesidad del usuario.
b) Descripción genética de los sistemas involucrados.
Banca Móvil – Banco Agrícola
Es un elemento que facilita el manejo de

cuentas bancarias y la administración de ellas.
Cuenta con e-banca Empresarial y e-banca
Personas las cuales se acoplan a las
necesidades de los usuarios de dichos
servicios.
35

Revisión: K.E.R.L.
Banca Móvil, es la expansión de la red de puntos de servicio, incluyendo Corresponsales Financieros
Banco Agrícola Amigo, el fortalecimiento de la oferta de operaciones a través de canales electrónicos,
la simplificación de los procesos de mayor demanda y las soluciones de autoservicio; son algunos de
los beneficios de conveniencia que el cliente tiene ahora a su disposición.
c) Descripción de módulos y principales opciones.
✓ BANCA MÓVIL:
Requisitos para instalar Banca Móvil.
✓ Poseer cuenta de ahorro y/o corriente

✓ Firmar solicitud del servicio.
✓ Firmar contrato Presentar DUI vigente y NIT.
✓ Poseer correo electrónico
Requisitos para instalar Banca Móvil.
Sistema operativo Android (desde 6.0), iOS (desde 10.3) o Android EMUI (desde 6.0).
Conexión estable a wifi o datos móviles.
Tener al menos un producto a título personal con Banco Agrícola que permita hacer transacciones a través de Banca
Móvil (Cuenta de Ahorro, Cuenta Corriente, Tarjeta de Crédito, entre otros).
Costos y comisiones
El uso de Banca Móvil no tiene ningún costo ni comisión.
Beneficios
✓ Ahorre tiempo realizando sus transacciones sin tener que visitar una agencia.
✓ Disponible para usted 24/7 los 365 días del año.
✓ Proteja su acceso y autorización de transacciones por medio del doble factor de autenticación.
✓ Realice transacciones bancarias con mayor rapidez, seguridad y conveniencia.
Principales opciones Banca Móvil.
36

Revisión: K.E.R.L.
Pagos de Tarjetas
Puedes hacer pagos de tus préstamos o Tarjetas de Crédito.
Recarga de Celular
Recarga tu celular o el de tus amigos cuando lo necesites.
Pago de Servicios
Paga tus recibos con el NPE o escaneando el código de barras.
Cobra tu Remesa
Cobra tu remesa utilizando el código que te envía tu ser querido.
Retiro de efectivo sin tarjeta

Retira efectivo en nuestros cajeros con un código generado en la app.
Transferencias UNI
Realiza transferencias entre bancos de forma inmediata desde tu app.
Transferencias QR
Compra en comercios que posean código QR de forma más ágil.
Notificación de viajero
Gestiona tu notificación de viajero para poder usar tus tarjetas al viajar.
transfer365
Realiza transferencias entre bancos por medio de la infraestructura de pagos de Banco Central de
Reserva.
E-BANCA EMPRESARIAL Y E-BANCA PERSONAL
Operaciones financieras disponibles:
Mi primer Login
Ingrese por primera vez a su e-banca Empresarial.
37

Revisión: K.E.R.L.
Activación de usuario
Autogestione la activación de su usuario.
Vinculación a Soft token

Establezca un mecanismo de seguridad para su ingreso y ejecución de transacciones.
Consultas
Consulte todos sus productos asociados.
Consulta de Estado de cuentas

Consulte en línea el estado de cuenta de sus productos.
Transferencias entre cuentas propias

Realice transferencias entre cuentas propias de Banco Agrícola.
Transferencias a terceros
Realice transferencias a cuentas Banco Agrícola de terceros.
Pagos por NPE

Realice sus pagos de servicios, impuestos y AFP por medio de NPE.
d) Diagrama de entrada, procesamiento y salida de datos.
Entradas Procesos Salidas

Usuario Transacciones entre cuentas propias Comprobante de operación
Contraseña Transacciones a terceros Comprobante de operación
token Transferencia a otros bancos Comprobante de operación
Pagos de servicios Comprobante de operación
Pagos de servicios mediante NPE Comprobante de operación
Pago de tarjetas de crédito BA Comprobante de operación
Recarga de teléfono Comprobante de operación
Retiro de efectivo sin tarjeta Generación de código para
retiro en cajero
38

Revisión: K.E.R.L.
Diagrama
Inicio
Afirmativo
Insertar usuario y
contraseña
Negativo
si
Realizar operaciones Seleccionar

bancarias operación
si
Colocar monto y demás Confirmar para

datos necesarios continuar
si
Procesar
En caso de e-banca
Operación realizada empresarial
Autorizar
Fin
39

Revisión: K.E.R.L.
e) Fecha de instalación de los sistemas.
Edición de Windows Windows 8.1 Intel® Pentium® CPU B960

2.20 GHz
Memoria Instalada (RAM) 4.00 GB (2.58 GB utilizable)
Tipo de Sistema: Sistema operativo de 32 bits,

procesador x64
Id. Del producto: 00259-60600-00001-AA064
5.2. Hardware.
a) Información sobre los sistemas informáticos.
Descripción del Sistema Nombre: CONTRALASISTENC

Fabricante:
Sistema operative: Windowx XP Professional
Paquete de servicio: Service Pack 2
Version: 5.1.2600
Usuario registro: dpsp
Memoria física: 1024 MD
Dominio/Grupo de trabajo: SVRMATRIZ
Modelo:
Numero de serie: 55274-649-6478953-23578
Organizacion: dpsp
Idioma del Sistema: Espa;ol (alfabetizacion internacional)
Zona horaria del Sistema: (GMT- 05:00) Hora est. del Pacifico de SA
Usuario con sesión abierta: Administrador
Version de Direct X: 9.0c
Caja del Sistema: Unknown
40

Revisión: K.E.R.L.
Placa base Procesador: Intel® Pentium® 4 CPU 2.80Hz

Velocidad de reloj: 2800 MHz
Fabricante del procesador: Intel
Etiqueta de la BIOS:
Fabricante de la BIOS: Intel Corp.
Versión de la BIOS: VA84510A.86A.0030.P10.0402160229
Número de serie de la BIOS:
Fecha de instalación de la 02/16/2004
BIOS:
Fabricante de la placa base: Intel Corporation
Modelo de placa base: D845GVSR
Version de placa base: AAC45441-302
Ranura de memoria 0: J6G1 Capacidad: 1024 MB
Ranura de memoria 1: J6G2 Capacidad: O MB
Ranura de memoria 0: J7B2 Disponibilidad: in use
Ranura de memoria 1: J8B1 Disponibilidad: in use
Ranura de memoria 2: J9B1 Disponibilidad: Available
Adaptador de red Adaptador de red 1: Adaptador Fast Ethernet PCI CNet

PRO200 – Minipuerto del administrador
de paquetes
Tipo de adaptador: Ethernet
Direccion IP: 10.64.32.224
Subred IP: 255.255.240.0
Gateway IP predeterminado: 10.64.32.51
Servidor primario WINS: 0.0.0.0
41

Revisión: K.E.R.L.
Servidor DNS: 200.105.255.2

Servidor DHCP: 255.255.255.255
Direccion MAC: 00-08-A1-60-46-F5
Adaptador de video Adaptador de video 1: Intel® 82845G Graphics Controller

RAM adaptador: 64 MB
Tipo DAC: Internal
Monitor de PC 1: Monitor predeterminado
Resolución de video: 1280 x 720 x 32 bit
Velocidad de regeneracion: 60 Hz
Adaptador de pantalla Tipo de dispositivo: Adaptadores de pantalla

Fabricante: Advanced Micro Devices, INC.
Ubicación: Bus PCI 0, dispositivo 1, funsion 0
Fecha de instalacio: 14/08/2020
Fecha de controlador: 06/06/2014
Disco duro Disco fisico 1: ST380011A

Capacidad: 74.53 GB
Disco logico/Descripcion/0: C
Sistema de archivos: NTFS
Tamanio: 74.52 GB – 87% libre
42

Revisión: K.E.R.L.
Teclado Teclado: Mejorado (clave 101 o clave 102)

Tarjeta de sonido 1: Realtek AC’97 Audio
Dispositivo de comunicacion 1: SoftV92 Data Fax Moden
Interfaz USB 1: Intel® 82801DB/DBM USB
Universal Host Controller – 24C2
Mouse Mouse: Mouse compatible con HID
Tipo de dispositivo: Mouse y otros dispositivos senialados
Fabricante: Microsoft
Ubicación: En Dispositivo de entrada USB
Fecha de instalación: 28/08/2021
Id. de configuración msmouse.inf:HID_DEVICE_SYSTEM_

MOUSE,HID_Mouse_Inst.NT
Adaptador de CA de Microsoft
Baterias Tipo de dispositivo: Baterias
Fabricante: Microsoft
43

Revisión: K.E.R.L.
Ubicación: En Puente PCI ISA estándar
Id. de configuración cmbatt.inf:ACPI\ACPI0003,AcAdapter_I

nst
Fecha de controlador: 21/06/2006
Versión de controlador: 10.0.18362.1
Datos de energía S0 -> D0

S1 -> No especificado
S2 -> No especificado
S3 -> D3
S4 -> D3
S5 -> D3
Detalles de lcencia de Cedido bajo licencia a: SISTEMAS

Netsupport
Número de serie: NSM309267
Fecha de vencimiento: Versión completa
Clientes máximos: 1000
Impresora Impresora 1: RICOH MP 2555 PCL 6
Ubicación: IP_10.64.32.49(0)
Datos de energía: S0 -> D0
44

Revisión: K.E.R.L.
S1 -> D3
S2 -> D3
S3 -> D3
S4 -> D3
S5 -> D3
Impresora 2: RICOH MP 2556 PCL 6
Ubicación: IP_10.64.32.49(0)
Fecha de intalación: 23/03/2022

S1 -> D3
S2 -> D3
S3 -> D3
S4 -> D3
S5 -> D3
Impresora 3: RICOH MP 2557 PCL 6
Ubicación: IP_10.64.32.49(0)

S1 -> D3
S2 -> D3
S3 -> D3
S4 -> D3
S5 -> D3
45

Revisión: K.E.R.L.
b) Planes de instalación.
La instalación del equipo de cómputo, quedará sujeta a los siguientes lineamientos:
✓ Los equipos para uso interno se instalarán en lugares adecuados, lejos de polvo y tráfico de personas.
✓ Las instalaciones se apegarán estrictamente a los requerimientos de los equipos, cuidando las
especificaciones del cableado y de los circuitos de protección necesarios.
✓ Para instalaciones de red interna, el usuario deberá garantizar las conexiones eléctricas en la
ubicación requerida de su escritorio, caso contrario deberá colocarse en donde exista el toma corriente
más cercano.
c) Servicio de mantenimiento.
La Unidad de Informática junto al Personal Técnico son los autorizados de llevar a cabo los servicios y
reparaciones al equipo informático.
✓ El Mantenimiento preventivo es aplicado dos veces al año y el correctivo de forma inmediata durante la
persistencia de la falla en el equipo.
✓ Los usuarios deberán asegurarse de respaldar la información que considere relevante cuando el
equipo sea enviado a reparación, en caso que se tenga que formatear, el Técnico tiene la obligación de
hacer Backup del equipo y recuperar nuevamente el contenido en la PC del usuario, en casos de
perdidas irrecuperables de información por la falla del equipo que no lo permite se le notifica al usuario
antes de proceder con su autorización.
d) Convenios que se mantienen en otras instituciones.
Google Developers.
19/12/2019
46

Revisión: K.E.R.L.
Relanzamiento de la Comunidad
En diciembre de 2019 Banco Agrícola en

conjunto con Camarasal, patrocinó el
relanzamiento de la comunidad Google
Developers en El Salvador para apoyar los
esfuerzos de transformación digital en el
país.
Se abordaron temas de interés de la

comunidad, como la socialización de algunas herramientas de desarrollo de Google: Firebase ML Kit, An-
droid Jetpack, entre otros.
Firma convenio con universidades.
09/12/2019
ESEN / UDB
Con el objetivo de fortalecer el ecosistema de

innovación de Banco Agrícola, se firmaron
convenios con la Escuela Superior de
Economía y Negocios y la Universidad Don
Bosco que permitirán ampliar las formas de
colaboración entre las instituciones. Iniciativas
estratégicas como el programa de
Movilizadores de la Innovación, se ven
beneficiadas con este nuevo paso en la relación de Banco Agrícola con el sector educativo del país.
47

Revisión: K.E.R.L.
e) Políticas de operación.
El usuario que tenga bajo su resguardo algún equipo de cómputo será responsable de su uso y custodia;
en consecuencia, responderá por dicho bien de acuerdo a la normatividad vigente en los casos de robo,
extravío o pérdida del mismo.
El usuario deberá dar aviso de inmediato a la Gerencia de Informática cuando se dé la desaparición, robo o
extravío del equipo de cómputo, equipos de telecomunicación o accesorios bajo su responsabilidad.
f) Políticas de uso o de equipos.
✓ Se deberán definir los tiempos estimados de vida útil de los equipos de cómputo y
telecomunicaciones para programar con anticipación su renovación.
✓ Cuando las áreas requieran de un equipo para el desempeño de sus funciones ya sea por
sustitución o para mejora del desempeño de sus actividades, estas deberán realizar una consulta a
la unidad de Informativa a fin de que se seleccione el equipo adecuado.
✓ Una vez pasado los 5 o 10 años de la vida útil del equipo se deberán realizar los procedimientos de
gestión de la renovación del equipo
5.3. Seguridad.
5.3.1. Seguridad física:
✓ Colocar a los equipos en áreas protegidas.

✓ Deshabilitar cualquier periférico que no se utilice con frecuencia (como CD-ROM, USB, DVD-WR.)
Proteger el BIOS del equipo con clave.
✓ Deshabilitar Puertos Seriales y/o Paralelos que no se utilicen con frecuencia.
✓ Proteger las laptops con cables de acero.
✓ Proteger los Servidores en armarios con puertas con seguros para evitar que los servidores sean
apagados intencionalmente o por accidente.
✓ Ubicar los Access Point en lugares difíciles de acceder para evitar hurtos o sabotajes.
48

Revisión: K.E.R.L.
✓ Ubicar los Access Point preferiblemente en lugares altos en donde posea una buena Transmisión y
Recepción de la Señal.
✓ Controlar el ingreso y egreso de los equipos de cómputo conjuntamente con el Proceso de Servicios
Institucionales sin excepciones ya sean usuarios internos o externos.
✓ Registrar el ingreso, salida y la baja de equipos de cómputo, especificando serie, modelo, marca,
usuario responsable, departamento, y en el caso de ser nuevo fecha de adquisición y período de
garantía ya sea por partes o piezas.
✓ Etiquetar debidamente las Impresoras de red (IP, Máscara, Puerta de enlace), Access Points (Nombre
del Access Point, SSID, IP, Máscara, Puerta de enlace) y Servidores (Nombre del Servidor, IP,
Mascara, Puerta de Enlace).
✓ Los respaldos deben estar situados en un lugar seguro debidamente etiquetado y registrado con el
nombre del profesional que lo generó, fecha, hora, tamaño del archivo, extensión de archivo, y nombre
de la base de datos.
✓ No comer, beber y fumar cerca de los equipos informáticos.
✓ El uso del UPS es exclusivo para los servidores.
✓ No utilizar puntos eléctricos que estén en mal estado.
✓ No saturar los puntos eléctricos conectando varios equipos de cómputo.
✓ Verificar que todos los equipos informáticos estén conectados a tomas eléctricas etiquetadas como:
“equipo de cómputo” o en su defecto a un regulador de voltaje.
✓ En caso de incendio utilizar los extintores especiales para equipos informáticos (a base de Bióxido de
Carbono).
✓ Cuando se realice mantenimiento Preventivo a los equipos de cómputo registrar lo actuado en cada
equipo.
Protección física y ubicación de los equipos.
Las puertas de acceso a los centros de datos deben ser preferentemente de vidrio transparente, para
favorecer el control del uso de los recursos de cómputo. El centro de datos debe ser un área restringida,
además de:
49

Revisión: K.E.R.L.
✓ Recibir limpieza al menos una vez por semana, mantenerse libre de polvo.
✓ Estar libre de contactos e instalaciones eléctricas en mal estado.
✓ Contar por lo menos con dos extinguidores de incendio.
✓ Contar con protectores eléctricos y reguladores de voltaje
✓ Contar con 2 aires acondicionados. Mantener la temperatura a 19 grados centrados.
✓ Asignar un técnico para que realice un control diario de temperatura y relevo de aires acondicionados y
llevar un registro de fallas.
✓ Respaldo de energía redundante.
✓ El centro de Datos central y puntos de enlace deberá seguir los estándares vigentes para una
protección adecuada de los equipos de telecomunicaciones, servidores y gabinete, estos deben estar
en ambientes acondicionados y con protecciones en instalaciones eléctricas.
✓ Los sistemas de tierra física, sistemas de protección e instalaciones eléctricas, los equipos de aires
acondicionados de los centros de telecomunicaciones internos y externos deberán recibir
mantenimientos trimestrales con el fin de determinar la efectividad del sistema.
5.3.2. Seguridad lógica.
El nivel de seguridad lógico debe comprender:
Administración de Acceso de Usuarios.
✓ Llevar un registro de la modificación, creación y eliminación de usuarios, tanto como usuarios de

correo, como de red.
✓ Restringir a los usuarios el acceso a archivos no autorizados.
✓ Activado del protector de pantalla con password cuando el equipo quede desatendido y hacer log off
antes de retirarse del mismo.
Seguridad en Acceso de Terceros.
✓ Crear usuarios con perfil específico para auditores externos, pasantes, o personal temporal, los
mismos que deben ser eliminados una vez terminada su actividad.
50

Revisión: K.E.R.L.
Control de Acceso a la Red
✓ Restringir el uso del Internet a usuarios no autorizados.

✓ Utilizar en modo lectura los recursos de red para prevenir que los equipos de cómputo infectados
propaguen el virus.
✓ La persona encargada de seguridad debe revisar si se han realizado modificaciones no autorizadas en
la configuración del Active Directory.
Control de Acceso a las Aplicaciones.
✓ No usar los nombres de bases de datos y/o aplicaciones como nombres de usuarios y password
predeterminados.
✓ Obtención de logs, para conocer el estado de las aplicaciones o bases de datos ya que estos informan
si existen warnings.
✓ No compartir cuentas de usuarios entre funcionarios.
✓ Crear contraseñas que incluya combinaciones de letras mayúsculas, minúsculas, signos y números.
✓ No usar contraseñas que sean de fáciles de asumir (datos personales).
✓ Realizar cambios periódicos de contraseñas y registrarlos en una bitácora con fecha de creación, fecha
de caducidad y técnico que lo asigna.
✓ El password de Administrador de red debe ser conocido únicamente por el Administrador de Red y la
persona encargada de Seguridad.
✓ Dar permisos a los usuarios que manejan bases de Datos según sus funciones.
Monitoreo del acceso y uso del sistema.
✓ No se debe instalar sistemas operativos de estaciones de trabajo en servidores.

✓ No se debe instalar antivirus de protección de estaciones de trabajo en los servidores.
✓ Duplicar los instaladores de Bases de Datos, y Herramientas Informáticas.
✓ Revisar semanalmente que la configuración de actualización de la base de datos de virus esté
funcionando correctamente.
✓ Está prohibido la instalación de programas no autorizados en estaciones de trabajo y servidores.
51

Revisión: K.E.R.L.
✓ Levantar solo los servicios que son necesarios para el funcionamiento del servidor.
Respaldo de información (servidores, equipos de red).
✓ Diariamente sacar Backus de todas las bases de datos.

✓ Resguardar los Backus generados en otro lugar, fuera del Proceso de Gestión Informática (PGI).
✓ Obtener Backus completos, de todos los datos cuando es por primera vez.
✓ Realizar pruebas a los backups obtenidos, que demuestre que están en buen estado. o Registrar el
nombre del profesional que genera los backup, fecha, hora, tamaño del archivo, extensión de archivo, y
nombre de la base de datos de la cual se extrajo.
c) Manuales, políticas y procedimientos de control.

✓ La Unidad Informática, velará porque todos los usuarios de los sistemas de Información estén
registrados en su Base de Datos para la autorización de uso de dispositivos de almacenamiento
externo, Memorias USB, Discos portátiles, Unidades de Cd y DVD Externos, para el manejo y traslado
de información o realización de copias de seguridad o Backups.
✓ Cada jefe de Área o dependencia debe reportar a la Unidad de Informática el listado de funcionarios a
su cargo que manejan estos tipos de dispositivos, especificando clase, tipo y uso determinado.
✓ El uso de los quemadores externos o grabadores de disco compacto es exclusivo para Backups o
copias de seguridad de software y para respaldos de información que por su volumen así lo justifiquen,
por lo cual es restringido su uso y el usuario que tengan asignados estos tipos de dispositivos serán
responsables del buen uso de ellos.
✓ Toda Gerencia o Jefatura deberá solicitar a la unidad informática el acceso a uso de las memorias USB
asignados para su trabajo y de carácter personal y responsabilizarse por el buen uso de ellas.
✓ El equipo de cómputo asignado, deberá ser para uso exclusivo de las funciones de los funcionarios o
servidores.
✓ Es responsabilidad del usuario solicitar la capacitación necesaria para el manejo de las herramientas
informáticas y en telecomunicaciones que utiliza, a fin de evitar riesgos por mal uso y aprovechar al
máximo las mismas.
52

Revisión: K.E.R.L.
✓ Los usuarios deberán almacenar su información únicamente en la partición del disco duro diferente,
destinada para archivos de programas y sistemas operativos, generalmente c:\ Documentos, o
escritorio.
✓ El uso de la carpeta compartida (10.10.1.5) es exclusivo para transferencia de información no para
almacenamiento de estos, ni uso de resguardo de información personal o contenido de imágenes,
música, etc.
✓ Los usuarios deberán cuidar, respetar y hacer un uso adecuado de los recursos de cómputo.
✓ El Uso Apropiado de los Recursos Informáticos, Datos, Software, Red y Sistemas de Comunicación
están disponibles exclusivamente para cumplimentar las obligaciones y propósito de la operativa para
la que fueron diseñados e implantados. Todo el personal usuario de dichos recursos debe saber que
no tiene el derecho de confidencialidad en su uso.
✓ El usuario no debe tener acceso para Albergar datos (fotografías, musicas, libros, vídeos) de carácter
personal en las unidades locales de disco de los computadores de trabajo, ni permisos para descarga
de pornografía que sea almacenada en el disco de compartida de datos.
✓ Los usuarios no podrán efectuar ninguna de las siguientes labores sin previa autorización de la Unidad
de Informática:
a. Instalar software en cualquier equipo.
b. Bajar o descargar software de Internet u otro servicio en línea en cualquier equipo.
c. Modificar, revisar, transformar o adaptar cualquier software propiedad de la entidad.
d. Descompilar o realizar ingeniería inversa en cualquier software de la entidad.
d) Planes de contingencia.
La unidad informática realiza diariamente las copias de respaldo de las Bases de Datos del sistema de
Información, aplicativos e imágenes que se procesan en los servidores de producción en forma automática
y manual.
✓ Las Bases de Datos deberán tener una réplica en uno o más equipos remotos alojados en un lugar
seguro (Cloud) que permita tener contingencia y continuidad de negocio. Además de generar copias en
Medios magnéticos: DVD, Discos duros y en server de respaldo interno.
53

Revisión: K.E.R.L.
✓ Los servidores de contingencia de Bases de Datos y aplicaciones que estén alojados externo a la
entidad, en centros de DATA para resguardo de información, donde el único que tendrá acceso es el
jefe de la unidad informática para su verificación y envío de las copias de respaldos.
✓ Los servidores de hosting estarán alojados fuera de la entidad, con instituciones que proveen el
servicio de Internet.
✓ Dentro de este backup, no se incluirá información personal del usuario solamente la relacionada a la
entidad, la unidad de Informática verificará periódicamente lo guardado y borrará archivos que no
correspondan a funciones de la municipalidad.
✓ Para reforzar la seguridad de la información, los usuarios, bajo su criterio, deberán hacer respaldos de
la información en sus discos duros, dependiendo de la importancia y frecuencia de cambio; y sera
responsabilidad absoluta de los usuarios resguardar su información.
✓ Los Técnicos de la unidad de informática no podrán remover información de cuentas individuales, a
menos que la información sea de carácter ilegal, o ponga en peligro el buen funcionamiento de los
equipos o sistemas, o se sospeche de algún intruso utilizando una cuenta ajena.
✓ A cada usuario referido a la unidad de Informática le será creada una carpeta personal con acceso
restringido, dentro del servidor de uso compartido correspondiente a carpetas de su unidad.
✓ El backup del Centro de Monitoreo, sera resguardado temporalmente de 6 a 8 meses en Discos duros
de 2TB y discos externos 4TB.
Uso de Antivirus Institucional.
✓ Deberán ser utilizadas en la implementación y administración de la Seguridad Informática.

✓ Todos los equipos de cómputo Municipal deberán estar conectados en la consola del server del NOD
32 e instala la aplicación en cada terminal, la unidad de informática verificara la frecuencia de
actualización del antivirus.
✓ Periódicamente se hará el rastreo en los equipos de cómputo por la unidad de Informática y se
realizará la actualización de las firmas proporcionadas.
54

Revisión: K.E.R.L.
Uso de Antivirus por los usuarios.
✓ El usuario no deberá desinstalar la solución antivirus de su computadora pues ocasiona un riesgo de

seguridad ante el peligro de virus.
✓ Si el usuario hace uso de medios de almacenamiento personales, estos serán rastreados por la
Solución Antivirus en la computadora del usuario o por el designado para tal efecto.
✓ El usuario que cuente con una computadora con recursos limitados, contara con la ligera de la
Solución Antivirus Institucional.
✓ El usuario deberá comunicarse con la unidad de Informática en caso que su equipo presente amenaza
de virus ingresado.
✓ El usuario será notificado por la unidad de Informática en los siguientes casos:
a. Cuando sea desconectado de la Red con el fin de evitar la propagación del virus otros usuarios.
b. Cuando sus archivos resulten con daños irreparables por causa de virus.
c. Cuando viole las políticas de seguridad.
No deshabilitar las cookies.
Al deshabilitar la instalación o el uso de las cookies, es posible que se pierdan o afecten algunas
funcionalidades del sitio, por ejemplo:
1. Recordar información diligenciada en algunos campos del sitio.

2. Restricciones al acceso al contenido dentro de los Portales.
3. Rapidez en el uso de algún servicio dentro de los Portales.
Consejos de Seguridad.
Le presentamos medidas importantes que debe tomar para efectuar sus transacciones electrónicas de
forma segura.
✓ Digite www.bancoagricola.com en la barra de direcciones de su navegador. Nunca ingrese haciendo

clic a enlaces en correos electrónicos o sitios web de dudosa procedencia.
55

Revisión: K.E.R.L.
✓ Verifique que está ingresando a un sitio web seguro. Este tipo de sitios inician con "https". Por ejemplo
https://www.pcbac.com/web/login.
✓ Verifique la existencia de la imagen de un candado. La apariencia y ubicación de dicho ícono puede
variar dependiendo de su navegador.
✓ Le recomendamos utilizar dispositivos con sistema operativo no alterado.
✓ Instale un antivirus en su celular.
✓ Evite utilizar redes inalámbricas públicas.
✓ No acceda a enlaces o en mensajes con archivos adjuntos de dudosa procedencia.
✓ Evite enviar su información personal mediante mensajes de texto o correo electrónico.
✓ Descargue aplicaciones sólo de sitios de confianza.
6. FASES DEL PROCESO DE AUDITORIA.
El encargo de auditoría se llevará a cabo mediante un entendimiento de la actividad que se audita. El

alcance del conocimiento requerido deberá ser determinado por la naturaleza de la entidad, su entorno, las
áreas de riesgo y los objetivos de la asignación. Esto será logrado con las fases siguientes:
Planificación del encargo de auditoría.
Ejecución del encargo de auditoría.
Comunicación de resultados a los interesados.
Seguimiento a los diferentes hallazgos del encargo auditado.
7. EVALUACIÓN DE CONTROL INTERNO.
7.1. Determinación de áreas críticas
El proceso que se llevará a cabo para la determinación de áreas críticas se caracteriza por ser sistémico,
independiente y documentado con el propósito de obtener evidencias y evaluarlas para determinar la
extensión en que se cumplen los criterios establecidos.
56

Revisión: K.E.R.L.
Una de las actividades que se realizarán, es examinar y verificar de forma detallada cada uno de los
controles que implementa el Banco Agrícola, S.A., para garantizar la seguridad electrónica en las
operaciones bancarias que se efectúan, así como también, se pretende evaluar el funcionamiento y la
seguridad del sistema para identificar posibles fallas, errores e infiltraciones de datos en el mismo, que
puedan ocasionar riesgos significativos para la entidad como tal y para sus usuarios. Además, por medio
de estas evaluaciones se podrá obtener evidencia suficiente y adecuada para proceder a emitir la opinión
respectiva. La auditoría se ejecutará mediante el uso de los criterios establecidos en las Normas
Internacionales de Auditoría, emitidas por la IFAC.
Por tanto, la auditoría deberá contener la evaluación y comprobación de la estructura y los sistemas de
control interno, la planeación adecuada y conveniente, y la obtención de la evidencia objetiva y suficiente
que permita llegar a una conclusión razonable sobre la cual se sustente la opinión que se emita. La
auditoría comprende las siguientes áreas críticas y corresponden, además, a las áreas que serán
evaluadas, estas son:
Hardware.
Software.
Seguridad lógica.
Seguridad física.
Redes.
Telecomunicaciones.
Procesamiento Electrónico de Datos (PED).
Leyes y reglamentos asociados a las Tecnologías de Información (TI).
57
MATERIALIDAD
58

Elaboración: K.L.B.M
Revisión: K.E.R.L.
7.2 Materialidad
A continuación, se presenta la materialidad de cada una de las áreas previamente mencionadas.
Materialidad para Software

Identificación de la estructura de medición.
Nombre de la estructura de medición. Protección contra software malicioso o malware
Propósito de la estructura de medición. Evaluar la efectividad del software o sistema
utilizado por la entidad contra ataques de software
maliciosos o malware.
Objetivos de Control/Proceso. Proteger la integridad del software y la información
confidencial que maneja la entidad.
Control/Proceso. Realizar controles de prevención y detección contra
ataques de software malicioso o malware.
Objeto de medición y tributo.
1. Reportes de incidentes.
Objeto de medición. 2. Registro de las medidas adoptadas contra el
software malicioso.
Atributos. Incidentes ocasionados por software malicioso.
Especificación de la medida base.
• Cantidad de incidentes ocasionados por
software malicioso.
Medida base.
• Registro de las medidas adoptadas contra el
software malicioso.
1. Realizar un recuento de los incidentes de
seguridad provocados por ataques de software
Método de medición. malicioso.
2. Realizar un recuento de los ataques
bloqueados registrados.
Tipo de método de medición. Objetivo.
0 – No existe control (5 o más ataques efectivos).
1 – Los controles son bajos (3 a 4 ataques
efectivos).
Escala. 2 – Los controles son moderados (2 ataques
efectivos).
3 – Los controles son altos (0 a 1 ataques
efectivos).
59

Revisión: K.E.R.L.
Tipo de escala. Ordinal.

Unidad de medición. Incidentes de seguridad y registros.
Especificación de medida derivada.
Medida derivada. Capacidad de medidas de protección ante software
malicioso.
Cantidad de incidentes de seguridad ocasionados
por software malicioso/ cantidad de ataques
Función de medición.
detectados y bloqueados causados por software
maliciosos.
Especificación del indicador.
Tendencia de ataques que fueron detectados pero
Indicador. que no se bloquearon en múltiples periodos de
reportes.
Modelo analítico. Elaborar una comparación con porcentajes previos.
Especificación de los criterios de decisión.
Criterios de decisión. Valoración 3 = satisfactorio.
Resultados de la medición.
Una tendencia en alza indica que el cumplimiento
de controles no está siendo efectivo, una tendencia
a la baja indica una mejora en el cumplimiento de
Interpretación del indicador. medidas de protección; y cuando la tendencia se
eleva demasiado, se sugiere que se realice una
investigación de la causa y se haga una
contramedida.
Partes interesadas.
• Cliente de la medición. • Gerente de seguridad.
• Revisor de la medición. • Gerente de seguridad.
• Propietario de la información. • Administrador del sistema.
• Recolector de la información. • Administrador de la red.
• Comunicador de la información. • Coordinador del servicio.
Frecuencia/Periodo.
Frecuencia de la recolección de datos. Diario.
Frecuencia del análisis de datos.
Frecuencia del reporte del resultado de las Mensual.
mediciones.
60

Revisión: K.E.R.L.
Revisión de la medición. Anual.

Periodo de la medición. Aplicable por un año.
Materialidad para Hardware

Uso inadecuado de los equipos informáticos
Nombre de la estructura de medición.
tangibles.
Evaluar la efectividad de la correcta utilización de
Propósito de la estructura de medición.
los equipos por parte del personal de la entidad.
Proteger la información almacenada en los
Objetivos de Control/Proceso.
equipos informáticos.
Realizar controles de prevención para la
Control/Proceso. respectiva evaluación del uso de los equipos
informáticos.
Objeto de medición. Almacenamiento seguro de la información.
Atributos. ID de los equipos y del personal.
Cantidad de incidentes ocasionados por el uso
Medida base. inadecuado de los equipos y el número de veces
en que son utilizados.
Realizar un recuento del número de incidentes
ocasionados por el uso inadecuado de los
Método de medición.
equipos y el número de veces en que son
utilizados.
0 – No existe control (5 o más incidentes de uso
inadecuado ocurridos).
1 – Los controles son bajos (3 a 4 incidentes de
uso inadecuado de los equipos).
Escala.
2 – Los controles son moderados (2 incidentes de
3 – Los controles son altos (0 a 1 incidentes de
61

Revisión: K.E.R.L.
Criterios de decisión. Valoración 2 = Los controles son moderados.

Si el resultado es menor a 2 entonces se
considera que los controles adoptados no
satisfacen la seguridad electrónica.
Interpretación del indicador.
Si el resultado es mayor a 2 entonces se
considera que los controles adoptados satisfacen
la seguridad electrónica.
Partes interesadas.
Cliente de la medición. Comité de la alta dirección.
Revisor de la medición. Gerente de seguridad.
Propietario de la información. Administrador de control de seguridad.
Frecuencia/Periodo.
Frecuencia de la recolección de datos. Mensual.
Frecuencia del análisis de datos. Anual.
Frecuencia del reporte del resultado de las
mediciones.
Mensual.
Revisión de la medición.
Periodo de la medición.
Materialidad para Seguridad Lógica

Nombre de la estructura de medición. Control sobre los activos de información
Evaluar y verificar la existencia y calidad de
Propósito de la estructura de medición. control de los activos de la información de la
entidad.
Asegurar el uso de programas, archivos y datos
correctos y por los medios adecuados, de tal
Objetivo de control o proceso.
manera impedir robos o daños a los archivos de
información.
Controles basados en identificación,
autentificación de los empleados, limitación de
Control/Proceso.
acceso a los programas y archivos, ubicación,
horario, etc.
62

Revisión: K.E.R.L.
Equipos en buen funcionamiento por medio del

estado físico del mismo.
Registrar por medio de ID de cada usuario,
designar accesos limitados según el cargo a
Atributos.
desempeñar, cifrados de información de
extremo a extremo, entre otros.
Implementar control mediante una bitácora de
Medida base. uso, junto con el ID de cada usuario personal de
los empleados.
• Limitación de la información y servicio.
Método de medición. • Autentificación e identificación.
• Ubicación.
Tipo de método de medición. Subjetivo.
0- No existe contra.
1- Los controles son bajos (identificación y
autenticación).
2- Los controles son moderados (Identificación,
Escala. Autenticación y Limitación al servicio).
3- Los controles son altos (identificación,
autenticación, limitación al servicio.
Ubicación, horario y control para acceso
externo).
Criterios de decisión. Valor 3 = Satisfactorio.
• Si el resultado es por debajo de 2 se
considera no satisfactorio.
• Si el resultado es por arriba de 3 se
considera satisfactorio.
Partes interesadas.
• Cliente de la medición. • Comité de alta dirección.
• Revisor de la medición. • Gerencia de Seguridad.
• Propietario de la información. • Administrador de Control de Seguridad.
Frecuencia/ Período.
atos. • Mensuales.
63

Revisión: K.E.R.L.
• Trimestrales.
• • Frecuencia del reporte del resultado de las
Mensuales.
mediciones.
• Mensuales.
• Semanales
Materialidad para Seguridad Física

Cámaras de videovigilancia, UPS, control de
acceso, instalación eléctrica.
Efectuar una evaluación sobre el manejo y
resguardo de las instalaciones, que estas posean
las condiciones adecuadas para salvaguardar y
proteger la información de las operaciones que
realizan, con el propósito de evitar cualquier
intento de robo de información, y, además,
verificar las medidas de seguridad que aplica el
Banco.
Prevenir que las instalaciones, los sistemas de
videovigilancia, los controles de acceso, etc.,
sufran daños que afecten a las tecnologías de
información u ocasionen su pérdida definitiva.
• Se procederá a restringir el acceso a las
instalaciones durante el mantenimiento
periódico a los UPC o CPU, revisión periódica
y clasificar su alcance, logrando el uso
apropiado y solicitando que posteriormente se
maneje con el debido cuidado, el informe
Control/Proceso. realizado.
• Videos de vigilancia: son necesarios debido a
que los equipos informáticos deben ser
protegidos puesto que por medio de ellos se
realizan las diferentes operaciones bancarias
y procesos de información.
• Acceso limitado: limitar el acceso a equipos
64

Revisión: K.E.R.L.
informáticos y sistemas de información al

personal del Banco según las funciones que
desempeñan.
• Seguridad de oficinas e instalaciones: es de
suma importancia dar mantenimiento a las
áreas donde se encuentren instalados
equipos informáticos.
• Protección contra amenazas externas y
medioambientales: se debe de realizar
remodelaciones en la infraestructura de las
instalaciones con el fin de evitar daños a
causa de un siniestro medioambiental.
• Ubicación y protección de equipos de
información.
• Instalación de sistemas de alarmas anti
incendios y sistemas de alarmas de
seguridad.
Listas de medidas de grabaciones de
Objeto de medición. videovigilancia, ubicación de zonas de alto riesgo,
última evaluación a los UPS en la entidad.
Número promedio de equipos dañados
Atributos.
mensualmente.
Número de medidas de prevención en sistemas
Medida base. de videovigilancia, instalaciones y UPS dañados y
vulnerabilidad de diversos dispositivos.
1. Hacer un conteo de los incidentes ocurridos.
2. Fallos en los UPS.
Tipo de método de medición. Objetivo
0 – No existe control (5 o más fallas ocurridas).
1 – Los controles son bajos (3 a 4 fallas
ocurridas).
Escala.
2 – Los controles son moderados (2 fallas
ocurridas).
3 – Los controles son altos (0 a 1 fallas ocurridas).
65

Revisión: K.E.R.L.

Bases de datos de las cámaras de
videovigilancia, lista de instalación de UPS y
Unidad de medición.
croquis de instalación con las respectivas
ubicaciones de las zonas de alto riesgo.
Las instalaciones y demás medidas cumplen con
los requerimientos para el resguardo de la
Medida derivada.
información almacenada o manejada por el
Banco.
Las medidas adoptadas por el Banco dan
Función de medición. cumplimiento a la prevención de incidentes que
puedan afectar las tecnologías de información.
Tendencia de incidentes ocurridos con relación a
Indicador.
sistemas informáticos dañados.
Recuento de las medidas implementadas en las
Modelo analítico. instalaciones y daños en las mismas que pongan
en peligro las tecnologías de información.
Criterios de decisión. Valoración 3 = satisfactorio.
Una tendencia en alza indica que el cumplimiento
de controles no está siendo efectivo, una
tendencia a la baja indica una mejora en el
Interpretación del indicador. cumplimiento de medidas de protección; y cuando
la tendencia se eleva demasiado, se sugiere que
se realice una investigación de la causa y se
realice una contramedida.
Partes interesadas.
• Empleados del área administrativa, operativos
• Cliente de la medición.
de la alta gerencia del Banco.
• Revisor de la medición. • Supervisor de informática.
• Propietario de la información. • Gerente de informática.
• Recolector de la información. • Supervisor de informática.
• Comunicador de la información. • Coordinador del servicio.
66

Revisión: K.E.R.L.
Frecuencia/Periodo.
Frecuencia de la recolección de datos.
Anual.
mediciones.
Materialidad para Redes

Sistemas de redes, router y medios de
transmisión.
Evaluar y medir los niveles de seguridad en el
sistema de las redes adquiridas por la entidad y
los medios de transmisión de la información, así
mismo medir el nivel de riesgos al que está
expuesta la entidad y determinar la eficiencia de la
medida de seguridad que emplea la compañía.
Prevenir el uso de redes inadecuadas y el acceso
a los sistemas de transmisión a personas sin las
Objetivos de Control/Proceso. debidas credenciales, evitando daños que afecten
la pérdida de información confidencial de la
compañía.
Restringir el acceso a las instalaciones, dar un
mantenimiento periódico a los UPC. Actualizar
parches en los sistemas de seguridad.
Control de redes, se deberán proteger las redes,
para salvaguardar los flujos de información dentro
de la red.
Control/ Proceso.
Mecanismos de acceso, debe existir seguridad
contra cualquier tipo de ataque.
Segmentación de redes para el resguardo de la
información y el control de acceso a la red.
Supervisión periódica de los periféricos de red, así
también efectividad en el flujo de datos en la red,
67

Revisión: K.E.R.L.
debido a que la protección y cuidado de los

periféricos es primordial.
Numero promedio de amenazas a las redes
Atributos.
detectadas mensualmente.
Listas de redes y dispositivos de transmisión que
Objeto de medición.
se manejan en la compañía.
• Numero de medidas seguridad de las redes y
Medida base. sus medios de transmisión adquiridos por la
entidad.
• Número de ataques y daños en las redes y
medios de transmisión.
• Contar lo daños en las redes que impida la
conexión.
• Consultar las causas del daño de la en las
Método de medición. redes y medios de transmisión.
• Reportes de virus que se introducción por la
red y fueron eliminados por antivirus.
• Como se dio el ingreso a los virus.
0- No existe control (4 o más ataques).
1- Los controles son bajos (de 3 a 4 ataques).
Escala.
2- Los controles son moderados (2 ataques).
3- Los controles son altos (0 a 1 ataque).
El uso de los sistemas de redes, como lo son los
Unidad de medición. router y medios de transmisión cumple con las
políticas de manejo.
• Medida derivada. • Las instalaciones y demás medidas cumplen
con los requerimientos para el resguardo de la
información.
• Función de medición. • Sumatoria de información de los totales de
información dañados por el mal uso.
68

Revisión: K.E.R.L.
Usuarios que utilizan adecuadamente los

Indicador.
dispositivos.
Total de redes, router, medios de transmisión
entre total de router y medios de
Modelo analítico.
transmisión dañados por uso inadecuado y
caídas de la red, o amenazas detectadas.
Criterios de decisión. Valor = 7.
Se recomienda que la interpretación de
indicadores con respecto al cumplimiento de
criterio de la organización para la política de
manejo de computadoras y la información
que hay en ella:
Interpretación del indicador. Se cumplió satisfactoriamente si la proporción
es mayor que 9.
No se cumplió satisfactoriamente si la
proporción es (8 >= proporción <= 9).
No se cumplió si la proporción es
menor que 8.
Partes interesadas.
• Cliente de la medición. • Empleados del área administrativa, operativos
• Revisor de la medición. alta gerencia del Banco.
• Propietario de la información. • Supervisor de informática.
• Recolector de la información. • Gerente de informática.
• Comunicador de la información. • Supervisor de informática.
• Frecuencia de la recolección de datos
• Frecuencia del análisis de datos.
• Frecuencia del reporte del resultado de las
Mensuales.
mediciones.
• Revisión de la medición.
• Período de la medición.
69

Revisión: K.E.R.L.
Materialidad para Telecomunicaciones

Nombre de la estructura de medición. Infraestructura de red, WIFI, Móvil.
Efectuar una evaluación acerca del manejo y
niveles de seguridad electrónica en la adquisición
de redes y los medios de transmisión de la
información, implementados por la entidad,
Propósito de la estructura de medición. midiendo el nivel de riesgo de sufrir algún tipo de
intervención, generando susceptibilidad al robo de
la información, y, determinar la eficiencia de la
medida de seguridad que emplea la compañía para
evitar estos sucesos.
Denegar el acceso a redes y a los sistemas de
transmisión a personas sin las respectivas
credenciales, para prevenir daños que afecten
grandemente su manejo, o pérdida definitiva.
• Se deberá restringir el acceso a las redes y sus
transmisores, y clasificar su alcance, para lograr
el adecuado uso, y solicitando posteriormente
se maneje con el debido cuidado los resultados
obtenidos de las medidas implementadas.
• Control de redes: se deberán proteger las

redes, para salvaguardar los flujos de
información dentro de la red.
Control/Proceso.
• Mecanismos de acceso: debe existir seguridad
contra cualquier tipo de ataque interno o
externo a la red.
• Segmentación de redes: esto para el resguardo

de la información y el control del acceso a la
red.
• Supervisión periódica de los periféricos de red:

es sumamente importante que exista efectividad
70

Revisión: K.E.R.L.
en el flujo de datos en la red, por lo que la

protección y cuidado de los periféricos es
esencial.
Listas de redes y dispositivos de transmisión que se
manejan dentro de la entidad bancaria.
Promedio de amenazas detectadas a las redes
Atributos.
mensualmente.
1. Recuento de medidas seguridad de las redes y
sus medios de transmisión adquiridos por la
Medida base. entidad.
2. Recuento de ataques y daños a las redes y
1. Realizar un conteo de los daños en las redes
que impidan la conexión.
2. Consultar las causas del daño de las redes y
3. Reportes de virus que se introdujeron por la red
y fueron eliminados por antivirus.
4. Listar las causas que dieron origen a los virus
en la red.
Escala. Enteros, desde cero hasta diez.
Unidad de medición. Infraestructura de red, WIFI, móvil.
El uso de redes Wifi, móviles y la infraestructura de
Medida derivada. red cumplen con las políticas de manejo y
protección.
Conteo de infraestructura de las redes wifi, móviles
totales e información dañados por el mal uso.
Usuarios que utilizan de forma adecuada y
Indicador.
apropiada los dispositivos.
Modelo analítico. Recuento total de redes wifi, móvil, y su
71

Revisión: K.E.R.L.
infraestructura / total de redes wifi, móvil, y su

infraestructura dañados por uso inapropiado y
caídas de la red, o amenazas detectadas.
Criterios de decisión. Valoración 8.
Se sugiere que la interpretación de indicadores con
relación al cumplimiento de criterios de organización
para la política de manejo y resguardo de
computadoras y la información que hay en ellas,
sea de la siguiente manera:
• Se cumplió de forma satisfactoria si la
proporción es mayor a 9.
• No se cumplió satisfactoriamente si la
proporción es menor o igual a 8.
• No se cumplió si la proporción es menor que 8.
Partes interesadas.
• Empleados del área administrativa, operativos
• Cliente de la medición.
alta gerencia del Banco.
Frecuencia/Periodo.
Frecuencia de la recolección de datos.
Semestral.
mediciones.
Materialidad para Procesamiento Electrónico de Datos

Nombre de la estructura de medición. Software de la entidad, aplicación de banca móvil.
72

Revisión: K.E.R.L.
Evaluar la exactitud e integridad del software que

procesa los datos de los clientes y de la entidad,
así como la entrada y salida de datos generadas
por las redes de los sistemas computacionales
Prevenir el incumplimiento de información
confidencial, robo de datos e infracciones que
Objetivos de Control/Proceso. puedan causar daños de la credibilidad de
empresa y multa de carácter monetario que
afecten grandemente su manejo.
Verificar y ajustar periódicamente los sistemas de
la entidad, los software y los aplicativos que en
ella se manejan de manera digital, con el fin que
estos cumplan con todas las normativas técnicas
legales y clasificar su alcance, logrando el
adecuado uso establecer procedimientos para el
ingreso de los datos en el sistema evitando los
errores en su ingreso, solicitando posteriormente
se maneje con el debido cuidado los
anteriormente señalado.
• La entidad debe cumplir con los
Control/ Proceso.
requerimientos legales y técnicos de la
jurisdicción del país.
• Solicitud de control de licencia, con el fin de
verificar que la compañía utilice las licencias
del software con las respectivas
autorizaciones y estas hayan sido aprobadas
por los expertos.
• Políticas de protección de registros, asegurar
que la entidad no sufra perdida
destrucción falsificación acceso y
divulgación de información.
Cantidad de registros a través de los servidores
de la compañía.
Numero promedio de infracción de los sistemas de
Atributos.
la entidad y daños o fuga de información
73

Revisión: K.E.R.L.
detectadas mensualmente.
• Numero de medidas de seguridad y
protección en la adquisición de los sistemas
de la entidad y sus medios de transmisión
Medida base.
adquiridos por la entidad.
• Número de demandas por incumpliendo
tributarios por el mal uso de los software.
Método de medición. • Contar los incumplimientos en la
infraestructura para el uso de los sistemas.
• Reportes de posibles infracciones aún
existentes.
• Causas del incumplimiento.
0 - No existe control.
1- Los controles son bajos (5 ataques o más que
se han hecho efectivos).
Escala. 2- Los controles son moderados (3 ataques
efectivos).
3- Los controles son muy altos (0 o 1 ataque
efectivo).
Unidad de medición. Software de la entidad.
El uso de redes Wifi, Móviles y la infraestructura
Medida derivada. de red cumplen con las políticas de manejo y
seguridad informática.
Sumatoria de infraestructura de las redes wifi,
móvil totales e información dañados por el mal uso
Indicador. Cantidad de usuario que aplican adecuadamente
las leyes y reglamentos.
Total de información generada por el software
Modelo analítico. bancario entre total de información generada por
las plataformas que no cumplen con las leyes y
74

Revisión: K.E.R.L.
reglamentos.
Criterios de decisión. Valor 3 = moderados
Si ocurren 3 incidentes se consideraría normal,
cualquier otro número de incidentes por arriba del
valor satisfactorio pudiera ser perjudicial para el
banco.
Partes interesadas.
• Cliente de la medición. • Empleados del área de contabilidad y demás
• Revisor de la medición. relacionadas.
• Propietario de la información. • Supervisor de informática.
• Recolector de la información. • Gerente de informática.
• Supervisor de informática.
• Frecuencia de la recolección de datos.
Semanal
mediciones.
Materialidad para Leyes y Reglamentos

Control sobre los respaldos de la información
por dispositivos de almacenamiento.
Propósito de la estructura de medición. Evaluar la seguridad.
Control/ Proceso. Realizar Back Up.
Poseer la información respaldad, por cualquier
incidente que pudiera ocurrir.
Tener la información de forma segura a través
Objeto de medición. de:
• Discos duros
75

Revisión: K.E.R.L.
• Datos en la nube.
• Servidores externos.
• Servidores internos.
Atributos. Pérdida de información.
Incendios, caídas de sistemas o choques
Medida base.
eléctricos.
Método de medición. Contar número de incidentes causados.
0 - No existe control.
1- Los controles son bajos (5-4 incidentes).
Escala. 2- Los controles son moderados (3 incidentes).
3- Los controles son muy altos (0 o 1
incidentes).
Criterios de decisión. Valor 3= moderados.
Se considera un valor satisfactorio que
ocurrieren 2 incidentes de tener problemas de
comunicación por arriba de eso pudiese afectar
a la institución
Partes interesadas.
• Cliente de la medición. • Gerencia de seguridad.
• Frecuencia de la recolección de datos
Semanal.
mediciones.
76
EVALUACIÓN DE
RIESGOS
77

Revisión: K.E.R.L.
7.3 Evaluación de riesgos.
Al momento de garantizar que los sistemas que utiliza la entidad bancaria para llevar a cabo sus
operaciones diarias, cumplan con los requerimientos de integridad de los datos y confidencialidad de la
información de los usuarios, es necesario proceder a realizar matrices de riesgos, puesto que se conoce la
evaluación del control interno del cliente, para este caso, Banco Agrícola, S.A. Es fundamental comprender
la naturaleza de los riesgos y sus características, debe incluirse, cuando sea adecuado, el nivel del riesgo.
Dicha evaluación, implica, además, una consideración detallada de las incertidumbres, fuentes de los
riesgos, consecuencias, probabilidades, eventos, escenarios y controles.
Esta evaluación consiste en la determinación del grado de criticidad del riesgo de control y de detección.
Los aspectos claves que se han tomado en cuenta son:
➢ Confidencialidad, disponibilidad e integridad.

➢ Grado de criticidad y riesgos por parte de la entidad.
➢ Reglas o normativas para el control de acceso sobre la administración de privilegios, cuando se trata
del manejo de información confidencial.
➢ Cumplimiento con leyes, reglamentos y otra normativa legal aplicable.
Asimismo, se incluyen:
➢ Naturaleza de los datos, procesamiento y almacenamiento de tales datos.

➢ Hardware y software.
➢ Operaciones del Banco.
➢ Infraestructura.
➢ Leyes, reglamentos y otras normativas legales de aplicabilidad.
➢ Recursos humanos.
A continuación, se presenta la criticidad a tomar en consideración para la evaluación de los riesgos, de

acuerdo con lo siguiente:
78

Revisión: K.E.R.L.
Riesgo •0 - 1.99
alto
Riesgo •2 - 3.99
medio
Riesgo •4 - 5
bajo
➢ Riesgo alto: posee una calificación entre 0 y 1.99, lo cual significa que la entidad tiene controles
inadecuados o carecen de ellos.
➢ Riesgo medio: posee una calificación entre 2 y 3.99, lo cual hace referencia a que la entidad sí tiene
controles, pero no son lo suficientemente apropiados y son mal aplicados.
➢ Riesgo bajo: posee una calificación entre 4 y 5, esto significa que los controles están siendo aplicados
de forma correcta y adecuada.
Componentes del riesgo en esta auditoría de sistemas.
El riesgo que existe sobre emitir una conclusión incorrecta con base a los hallazgos del proceso de
auditoría es:
a) Riesgos de control:
Este tipo de riesgo es en el que puede suceder un error en una determinada área de auditoría y puede ser
material, individual o una combinación con otros errores, no será prevenido, detectado ni corregido
oportunamente por el sistema de control interno. El riesgo de control asociado con los procedimientos de
validación de datos por el ordenador generalmente es bajo debido a que los procesos se aplican
coherentemente. Los profesionales deberán evaluar el riesgo de control alto al menos que existan
79

Revisión: K.E.R.L.
controles internos relevantes los cuales puedan ser identificados, evaluados como efectivos y se pruebe y
demuestre que funcionan de forma adecuada.
b) Riesgos de detección:
Es el riesgo que existe cuando los procedimientos sustantivos de los profesionales no detecten un error
que podría ser material, individual o una combinación con otros errores.
Para determinar el nivel de pruebas sustantivas requeridas, los profesionales deben considerar tanto el
análisis del riesgo inherente como las conclusiones sobre el riesgo de control tras las pruebas de
cumplimiento.
Criticidad de riesgos.
En esta área, la función de auditoría y aseguramiento del sistema de información, deberá utilizar un
enfoque apropiado y el apoyo de metodología de análisis de riesgos para desarrollar el plan de auditoría de
sistemas de información (SI), y proceder a determinar las prioridades para la asignación efectiva de
recursos de auditoría. Para ello es necesario realizar o elaborar un mapa de calor para cada área a
evaluar, donde se determine el riesgo. Lo siguiente representa un mapa de calor:
1
PROBABILIDAD
2
3
1 2 3
IMPACTO
80

Revisión: K.E.R.L.
Evaluación riesgos.
La evaluación de riesgos es sumamente importante e imprescindible con el propósito de lograr eficacia en

un sistema de información. Es necesario poseer conocimiento sobre los aspectos que son clave para
realizar tal evaluación, esto incluye la forma y el momento en que se debe hacer. Un ejemplo de esta
evaluación es:
Número de Deficiencia de Tipo de riesgo

Impacto
control riesgo Control Detección Inherente
Consecuencias
Deficiencias
que podría
Correlativo de encontradas
Nivel de riesgo Nivel de riesgo Nivel de riesgo traer si no se
riesgos en la
(Alto, medio o (Alto, medio o (Alto, medio o subsana el
encontrados evaluación de
bajo) bajo) bajo) riesgo, o no se
según el área control interno
toman
de las áreas
medidas.
Valoración del riesgo.
El fin de la valoración de riesgos es el apoyo a la toma de decisiones, esto implica realizar una
comparación de los resultados del análisis y criterios establecidos del riesgo para determinar o identificar
cuando se requiere una acción adicional.
Realizar un Mantener
Considerar Reconsiderar
No hacer nada análisis controles
alternativas los objetivos
adicional existentes
Tratamiento del riesgo.
Consiste en seleccionar o implementar alternativas u opciones para abordar los riesgos, tales como:
Formular y Llevar a cabo el

Decidir si el
seleccionar Planificar e Evaluar la tratamiento
tratamientos riesgo es adicional si no es
implementar eficiencia aceptable
para el riesgo aceptable
81
CUESTIONARIOS
DE CONTROL
INTERNO
82

Revisión: K.E.R.L.
7.4 Cuestionario de evaluación del control interno informático.
CUESTIONARIO DE EVALUACIÓN DEL CONTROL INTERNO INFORMÁTICO

Área de Hardware
Nombre del cliente: Hecho por: Katherine Rodríguez
Nombre del informante: Fecha: 30/03/2022
Objetivo: Evaluar el control y monitoreo que la Revisado por: Katerin Batres
entidad tiene sobre Hardware. Fecha:3/04/2022
OBSERVACIONES PONDERACIÓN
N° PREGUNTAS COMENTARIO
N/A SI NO REF. DEL RIESGO
¿Existe un departamento de
1 Informática dentro de la entidad? x 0.33
¿Las instalaciones donde se
Toda la entidad cuenta con
encuentran los equipos
2
informáticos cuentan con aire x un sistema de aire 0.33
acondicionado.
acondicionado?
¿Existen políticas para
3 resguardar los activos x 0.33
informáticos de la organización?
¿La unidad cuenta con toma
4 corrientes polarizados? x 0.33
¿Cada computadora cuenta con Se comparten los
5 un regulador de voltaje? x reguladores de voltaje. 0.33
¿La empresa realiza
6 mantenimientos a los equipos con x 0.33
periódicamente?
¿Existen detectores de humo
7 dentro de las instalaciones de la x 0.33
entidad?
¿Existen Cables en el Suelo que
8 estorban a los usuarios? x 0.33
¿Existen cables de red de datos
9 sin protección o sin gabinetes? x 0.33
¿Existen rótulos donde se
prohíba la entrada de alimentos o
10 x 0.33
bebidas en los lugares donde se
encuentren los equipos?
83

Revisión: K.E.R.L.
¿Existe un control de activo fijo
11 dentro de la entidad? x 0.33
¿Existe una adecuada
12 iluminación en los centros de x 0.33
cómputo?
¿La entidad posee un croquis del
13 sistema eléctrico en las x
instalaciones?
¿Los equipos de Cómputo tienen
14 codificación de activos fijos? x 0.33
¿La entidad cuenta con un
sistema de cámara en los lugares
15 donde están los equipos x 0.33
informáticos?
¿La entidad posee alarma contra
16 x 0.33
incendios y extintores?
TOTALES 4.62

Área de Software
entidad tiene sobre seguridad lógica. Fecha: 03/04/2022
¿La entidad posee un
1
departamento de informática? x 0.33
¿La entidad cuenta con personal
2 para dar mantenimiento o
soporte, técnico a los sistemas x 0.33
que posee la entidad?
¿La entidad Cuenta con políticas
3 que garantizan la seguridad del 0.33
x
Sistema?
¿Se capacita al personal sobre el 0.33
4 uso correcto de los sistemas? x
84

Revisión: K.E.R.L.
¿El software que posee la entidad
5 tiene una interfaz agradable y 0.33
x
comprensible para los usuarios?
¿La entidad tiene acceso al
manual del sistema de todos los 0.33
6 x
programas que posee?
¿Existe documentación de control
7 y registro de errores presentados x
en los sistemas?
¿La entidad cuenta con todas las
credenciales del software que 0.33
8 x
posee?
¿Existen procesos de revisión
para garantizar la implementación
completa y el correcto 0.33
9 x
funcionamiento de las
actualizaciones?
¿Existen manuales de usuario
final donde se explique cómo 0.33
10 x
utilizaran los colaboradores los
sistemas?
¿Antes de Adquirir un software la
entidad realiza una evaluación
11 x 0.33
sobre la necesidad de adquirir el
software?
12 ¿La base de datos de los
sistemas se encuentra x 0.33
encriptados?
¿Los usuarios tienen acceso
13 restringido a algunas áreas del x 0.33
sistema?
¿La entidad posee un manual de
14 Instalación para los sistemas? x 0.33
¿Los sistemas que posee la

15 entidad se encuentran todos x 0.33
actualizados a su última versión?
TOTALES 4.62
85

Revisión: K.E.R.L.

Área de Seguridad Lógica
entidad tiene sobre seguridad lógica. Fecha: 03/04/2022
¿El manual de políticas de la
1 entidad incluye controles de TI x 0.33
sobre el área de seguridad lógica?
¿Las políticas de seguridad
2 muestran un lenguaje entendible x 0.33
por todo el personal de la entidad?
¿Qué controles posee la entidad • Acceso a programas
3 con respecto a la seguridad y otros por medio de 0.33
lógica? criptografía.
¿Se ha realizado una planificación x • Acceso limitado al
4 estratégica del sistema de x personal. 0.33
información que posee la entidad? • Control de
¿El departamento de TI dispone información.
5 de especialistas en el área? x 0.33
¿En la entidad existe un
responsable del departamento de
6 TI asignado a cada área de x 0.33
la entidad que controle la
seguridad lógica?
¿Existen controles de acceso
7 lógicos a los sistemas de x 0.33
información?
¿Es posible acceder al sistema sin
8 contraseña? x 0.33
Existe limite en el número de
9 intentos fallidos para la x
autenticación en el sistema
86

Revisión: K.E.R.L.
¿Cada miembro del personal
10 posee un usuario y contraseña x 0.33
única asignada por la entidad?
El departamento de TI corrobora
que las contraseñas utilizadas no
11
posean datos personales como x
nombres teléfonos, etc.
Cada computadora posee
restricciones para que los
12
empleados no puedan descargar x 0.33
información confidencial.
¿Existe un responsable en el caso
13 de que produzca un fallo en el x
procedimiento de respaldo?
¿Se utilizan programas antivirus
14 para prevenir, detectar y eliminar x 0.33
malware?
Cada computadora posee
restricciones para que los
16
empleados no puedan dar. x 0.33
descargar información confidencial
TOTALES 3.96

Área de Seguridad Física
Objetivo: Evaluar el control y monitoreo que la entidad Revisado por: Katerin Batres
tiene sobre seguridad física. Fecha: 03/04/2022
OBSERVACIONES PONDERACIÓN DEL

N/A SI NO REF. RIESGO
¿Existen medidas de seguridad en
1 el Departamento de sistemas de x 0.50
información?
87

Revisión: K.E.R.L.
¿Se ha designado a una persona
como encargado de la seguridad
2 del departamento de sistemas de x 0.50
información?
¿Existe algún tipo de control de
3 entrada y salida de los usuarios a x 0.50
las instalaciones?
4 ¿El departamento de TI cuenta con x 0.50
un equipo de vigilancia?
¿Hay un control sobre las acciones
5 realizadas en el Departamento de x 0.50
sistemas de información?
Las personas encargadas de la
seguridad, ¿Han sido instruidas
6 sobre las medidas a tomar para x 0.50
impedir el ingreso a personas no
autorizadas?
Se tienen dispositivos de
prevención en caso de variación de
7 voltaje tales como: x 0.50
a) Generadores de energía
b) Polarización en tomacorrientes
¿Las instalaciones se encuentran a
salvo de inundaciones, hurtos o
8 cualquier otra situación que x 0.50
comprometa la seguridad de los
equipos?
¿El espacio designado a los
equipos cuenta con
9 algún dispositivo que detecte x
anomalías en el ambiente?
¿Las instalaciones cuentan con la

temperatura adecuada y sistemas
10 de aire acondicionado funcionando x 0.5
correctamente?
TOTALES
4.5
88

Revisión: K.E.R.L.

Área de Redes
Objetivos: Evaluar el control y Revisado por: Katerin Batres
monitoreo que la entidad tiene sobre Fecha: 03/04/2022
la RED.
OBSERVACIONES
PONDERACIÓN DEL
N/A SI NO REF RIESGO
¿Existen políticas de controles .
1 de acceso a la red? X 0.33
¿Existe personal capacitado para

2 X 0.33
manejar las redes en la entidad?
¿El personal encargado de esta
3 área recibe capacitaciones? X 0.33
¿Sololos administradores pueden

4 autorizar una nueva conexión a la X 0.33
red?
¿Se utilizan autorizaciones de
5 usuario y contraseña para X 0.33
acceder a la red?
¿Cada usuario está bien
6 identificado en la red? X 0.33
¿Se realizan cambios de

7 contraseñas para los usuarios X 0.33
de manera periódica?
Se ha establecido tiempo máximo
de inactividad, para que después
de transcurrido, se dé por
8 canceladala sesión, ¿exigiendo X 0.33
un
nuevamente un proceso de
autenticación?
9 ¿Existe control y monitoreo de
fecha y horas de acceso a la red? X 0.33
89

Revisión: K.E.R.L.
¿Poseen mecanismo de
10 X 0.33
detección de intrusos?
¿Seposeen firewall para el área
11 X 0.33
de redes?
¿Se cuenta con un control para
12 salvaguardar la información de x 0.33
las redes?
¿Existen procedimientos de
13 x 0.33
respuesta a caídas del sistema?
Se realizan parámetros de
14 x 0.33
medición desempeño de la red
¿Se realizan simulación de
15 x 0.33
ataques a la red?
TOTALES 5.00

Área de Telecomunicaciones
Objetivo: Evaluar la existencia y cumplimiento de Revisado por: Katerin Batres
políticas, procedimientos y controles establecidos Fecha: 03/04/2022
para las telecomunicaciones.
¿Existen políticas relacionadas al
1 control y manejo de las x 0.50
telecomunicaciones?
¿El equipo de comunicaciones
2 está en un lugar cerrado y con x 0.50
acceso limitado?
90

Revisión: K.E.R.L.
¿Existen planes de recuperación
3 de datos en caso de una falla del x 0.50
sistema de telecomunicaciones?
¿Existe un registro de módems,
controladores, terminales y
4 equipos relacionados con las x 0.50
comunicaciones?
¿Existen canales de comunicación
5 con los usuarios de la banca en x 0.50
línea o banca móvil?
¿Existen controles que aseguren
que la información transmitida sea
6 recibida por el destinatario al cual x 0.50
ha sido enviado y no a otro?
¿El cableado de las
telecomunicaciones se encuentra
7 separados de los de energía x 0.50
evitando interferencias?
¿El equipo de telecomunicaciones
se conecta al proveedor de
8 servicios mediante al menos dos x 0.50
rutas para evitar fallas en la
conexión?
¿Se efectúan mantenimientos
9 periódicos a las líneas de x
telecomunicaciones?
¿La entidad promueve y pone a
disposición de sus clientes
mecanismos que reduzcan la
posibilidad de que la información
de sus operaciones monetarias
10 x 0.50
pueda ser capturada por terceros
no autorizadosdurante cada
sesión?
TOTALES 4.5
91

Revisión: K.E.R.L.

Área de Procesamiento Electrónico de Datos (PED)
Objetivo: Evaluar los procedimientos y Revisado por: Katerin Batres
controles que la entidad implementa respecto a
Procesamiento Electrónico de Datos. Fecha: 03/04/2022
¿La entidad cuenta con políticas
1 para el manejo y control del PED? x 0.41
¿Los usuarios del software
contable realizan procesos de 0.41
2 x
autenticación antes de ingresar al
sistema?
¿Se tienen establecidas cuales son
las funciones de cada usuario del
sistema, así como también los 0.41
3 x
módulos a los cuales tiene acceso
y las actividades que pueden o no
realizar?
¿El personal está capacitado para
4 usar los medios de procesamientos 0.41
x
de datos?
5 ¿Se cuenta con soporte técnico? x 0.41
¿Se cuenta con una bitácora para el
control de las actividades que se
realizan dentro del sistema, tales 0.41
6 x
como: crear, modificar, ¿eliminar y
trasferir información?
¿Existen procesos para validar
información de cálculos aritméticos
de los registros y 0.41
7 x
controles contables de la entidad?
92

Revisión: K.E.R.L.
¿Los cálculos, datos e información
numérica proporcionada por los
reportes del sistema están acorde 0.41
8 x
a los requerimientos de
la normativa tributaria aplicable?
¿Se realizan cambios de claves a

9 los usuarios del sistema 0.41
periódicamente? x
¿Se realizan periódicamente
10 copias de respaldo de 0.41
la información en el sistema? x
¿Se cuenta con una unidad centra 0.41
11
de procesamiento de datos?
¿Debe estar encendida la unidad
central para hacer uso del medio 0.41
12 de procesamientos electrónico de x
datos?
TOTALES 5.00

Área de Leyes y Reglamentos
Objetivo: Evaluar el cumplimiento de las leyes y Revisado por: Katerin Batres
reglamentos relacionados con las TIC aplicables a
la entidad. Fecha: 03/04/2022
93

Revisión: K.E.R.L.
¿Se tiene un registro consolidado de
todos los requisitos legales y
reglamentarios aplicables
1 relacionados al uso e x 0.41
implementaciones de TI; y estos son
comunicados a los empleados?
¿Se capacitan a los empleados
2 acerca de las leyes y reglamentos x 0.41
aplicables?
¿Los sistemas cumplen con los
3 requerimientos tales como 0.41
x
aspectos tributarios y legales?
¿La empresa tiene los derechos y
4 la licencia certificada de todos los 0.41
x
softwares que utiliza?
¿La entidad lleva un control sobre el
5 vencimiento de las licencias en 0.41
funcionamiento?
¿Los respaldos de información
6 electrónica, se han mantenido de 0.41
acuerdo al tiempo que estipula la x
legislación
¿Se mercantilasesoramiento
efectúa y tributaria
vigente?
independiente cuando surgen
7 modificaciones en las legislaciones, 0.41
x
regulaciones y estándares
aplicables?
¿Se revisa y ajusta con regularidad
las políticas, los principios, los
estándares, los procedimientos y las 0.41
8 metodologías para que estas se x
mantengan acorde a las diferente
leyes y reglamentos aplicables?
¿Se gestionan las deficiencias de
cumplimiento en las políticas, 0.41
9
estándares y procedimientos dentro x
de plazos razonables?
94

Revisión: K.E.R.L.
¿Se evalúa periódicamente los

procesos y actividades tanto de TI
como de negocio para asegurar el 0.41
10 cumplimiento de los requisitos x
legales, regulatorios y
contractuales aplicables?
¿Se realizan evaluaciones para
verificar el cumplimiento de las
11 x
diferentes leyes y reglamentos
aplicables?
¿Se solicitan declaraciones de los
12 proveedores de servicio TI 0.41
externos acerca de su nivel de x
cumplimiento con las leyes y
regulaciones aplicables? TOTALES 4.51
Resultados de la Evaluación de Control Interno Informático por Área.
Área evaluada Nota de la evaluación

Hardware 4.62
Software 4.67
Seguridad Lógica 3.96
Seguridad Física 4.5
Redes 5.00
Telecomunicaciones 4.5
Procesamiento Electrónico de Datos 5.00
Leyes y Reglamentos 4.51
Parámetros de Calificación al Riesgo.
Bajo Entre 4 – 5.00

Medio Entre 2 - 3.99
Alto Entre 0 – 1.99
95
MATRIZ DE
RIESGO Y
ANÁLISIS
96
7.5 Matriz de riesgo y análisis
MATRIZ DE HARDWARE
MATRIZ DE RIESGOS, BANCO AGRÍCOLA, S.A.
DEPARTAMENTO DE SISTEMAS
ÁREA: HARDWARE
RIESGO DE RIESGO DE FACTORES QUE INTERVIENEN EN LA

N° TIPO DE RIESGO PROBABILIDAD IMPACTO PRUEBA INFORMACIÓN A VALIDAR
CONTROL DETECCIÓN VALORACIÓN DE RIESGOS
1. Criterios a tomar en cuenta para 1. Políticas de mantenimiento de
las adquisiciones. activos fijos. Puede suceder que un activo funcione de
Daño o deterioro de algún 2 - Es raro que 2. Verificar las políticas de 2. Contratos de mantenimiento manera deficiente, lo que va a generar la
R-1 4 - Grande MEDIO MEDIO
componente de hardware suceda mantenimiento para activos fijos. afectación de los servicios brindados,si no se
3. Cronogramas de realizaciones coordinan visitas de mantenimiento al activo.
de revisión de hardware.
Solicitar las políticas y
Políticas y procedimientos del Puede ocurrir bloqueos o atrasos de accesos
procedimientos con relación al
proceso de actualización y de programas, lo que provocaría un déficit en
proceso de actualización y
R-2 Desactualizacion 3 - Es posible 3 - Moderado MEDIO MEDIO sustitución de activo fijo del área el servicio brindado a los usuarios; cuando
sustitución de activo fijo de las
de tecnologías de información no se coordine la compra de licencia para
tecnologías de información de la
(TI). cada activo.
entidad.
1. Activo fijo autorizado y
Revisar de manera física que
establecido en el Departamento
1 - Sería todos los activos fijos destinados
R-3 Extravío de un componente 2 - Pequeño Medio MEDIO de Sistemas de la entidad. Las causas que pudieron provocar el extravío.
excepcional al Departamento de Sistemas
2. Autorización de personal para
estén en su respectivo lugar.
su uso.
1. Revisión de pólizas de seguro
para el activo fijo en caso de un 1. Contratos de pólizas de seguros.
siniestro. No poseer controles adecuados para los
2. Verificar las políticas de 2. Políticas de resguardo o activos cuando ocurren hechos fortuitos y
R-4 Desastres naturales, incendios 3 - Es posible 3 - Moderado MEDIO MEDIO resguardo de información o bases salvaguardas de almacenamiento que por tanto, afectarían los servicios u
de datos. de información o bases de datos. operaciones que el banco proporciona.
3. Verificar las medidas de 3. Medidas de seguridad
seguridad que posee el Banco en establecidas en caso de
caso de un desastre natural. desastres naturales.
Se produciría por accidentes o negligencia
en la revisión de los equipos de protección
Consultar acerca del Informe de Usos de seguridad industrial para
Apagones de energía eléctrica y de energía de eléctrica y por tanto, trae
R-5 3 - Es posible 2 - Pequeño MEDIO MEDIO Ingeniería de la Planta con hardware (UPS, reguladores de
altos voltajes. consigo un mal servicio a los usuarios de
relación a la seguridad industrial. voltaje).
manera temporal, mientras se da el hecho y
solucionan tal situación.
1. Perfiles de empleados que usan
los activos fijos o tecnologías de
información del Departamento de 1. Perfiles de empleados. Filtración de información por hackers o
Vandalismo por parte de 1 - Sería Sistemas y los dispositivos que terceros, o violentar las políticas de
R-6 3 - Moderado MEDIO MEDIO
empleados excepcional tienen bajo su responsabilidad. confidencialidad por parte de empleados,
alterando los recursos de la entidad.
2. Revisar las políticas de
2. Políticas de resguardo de
resguardo de información o bases
información o bases de datos.
de datos.
97
MAPA DE RIESGOS
4 R1
3 R6 R2, R4
IMPACTO
BAJO
MEDIO
2 R3 R5 ALTO
1 2 3 4
PROBABILIDAD
IMPACTO
PROBABILIDAD
1 - Pequeño 2 - Moderado 3 - Grande 4 - Catástrofe
4 - Casi seguro que sucede Bajo (4) Medio (8) Alto (12) Alto (16)
3 - Muy probable Bajo (3) Bajo (6) Medio (9) Alto (12)
2 - Es posible Bajo (2) Bajo (4) Bajo (6) Medio (8)
1 - Es raro que suceda Bajo (1) Bajo (2) Bajo (3) Bajo (4)
98
MATRIZ DE SOFTWARE
ÁREA: SOFTWARE

1. Licencias de software (de los Se considera una probabilidad "posible", con un
1. Verificaciones de software y programas o sistemas que utlizan impacto "bajo", puesto que es necesario adquirir las
licencias respectivas. para sus operaciones), y de los licencias pertinentes para utilizarlo dentro de la
R-7 Legalidad 3 - Es posible 2 - Pequeño MEDIO MEDIO antivirus y sistemas operativos. legalidad. Además, periódicamente se liberan en el
mercado nuevas versiones de los productos que
2. Políticas para la adquisición de 2. Políticas para la adquisición de
corrigen los defectos encontrados e incorporan
software. software.
nuevas funcionalidades.
1. Planes oportunos y pertinentes Es importante mencionar que puede ser posible que
de respuesta a fallas de sistemas. se de esta situación debido a que los sistemas
Revisión de planes de emergencia eléctricos están sometidos a diversos fenómenos o
R-8 Fallas en los sistemas 3 - Es posible 4 - Grande MEDIO BAJO como respuesta a fallas o caídas 2. Tiempo de respuesta para dar contingencias que producen distitntos tipos de
de sistema. solución a las fallas o caídas de fallas. El impacto se considera grande puesto que la
sistemas. entidad debe ressponder y reparar los daños que
hayan sufrido los sistemas.
1. Políticas de control interno sobre

1. Verificación de autorizaciones software o programas informáticos. Se seleccionó una probabilidad "posible" puesto que
de uso de activos y sistemas 2. Criterios de adquisición de los programas maliciosos son una de las
informáticos. software antivirus, spyware, firewall ciberamenazas a la que se exponen los sistemas
Protección contra virus,
y malware. informáticos, teniendo un impacto "moderado"
R-9 software malicioso o 3 - Es posible 3 - Moderado MEDIO MEDIO
malware 3. Autorizaciones de uso de activos debido a que por muy pequeño que sea ese error,
2. Verificación de los criterios de y sistemas informáticos. siempre podrá generar una amenaza sobre los
adquisición de software antivirus, sistemas y la información, siendo la puerta de
spyware, firewall y malware. entrada para recibir ataques externos.
1. Políticas de sistemas Es raro que suceda puesto que las entidades

Reportes de mejoras a sistemas
Mejoras de aplicaciones informáticos en la entidad. bancarias están pendientes generalmente, de
informáticos, en este caso
R-10 informáticas a petición de 2 - Es raro que suceda
2 - Pequeño MEDIO MEDIO actualizar sus aplicaciones informáticas y proveerle
aplicaciones móviles, solicitadas 2. Implementación de mejoras
los usuarios al usuario seguridad cuando este realiza
por los usuarios. solicitadas por los usuarios. operaciones bancarias por medio de apps. En caso
Se asignó como probablidad "posible" debido a que
1. Control de acceso de los
1. Verificar políticas de registro de si alguien desea atacar un sistema y tiene acceso
empleados que administran la
usuarios al sistema. físico al mismo, todo el resto de medidas de
Deficiente control de acceso información.
R-11 3 - Es posible 2 - Pequeño MEDIO MEDIO 2. Aplicación correcta y adecuada seguridad implantadas se convierten en inútiles con
a las aplicaciones 2. Reporte de registro de bases de
del procedimiento para la un impacto "bajo", porque se usan medios de
datos con información obligatoria
administración de las cuentas de seguridad para restringir el acceso a los sistemas de
de empleados, usuarios y otros.
los usuarios. aplicación y dentro de ellos.
1. Revisión de herramienta que Se considera raro que suceda puesto que la entidad
Revisión de herramienta que
analice el tránsito de la red en implementa protocolos de detección de invasión de
analice el tránsito de la red en
R-12 Detección y control de invasión
2 - Es raro que suceda
2 - Pequeño MEDIO MEDIO busca de posibles ataques a los terceros, además, un pequeño impacto porque el
busca de posibles ataques a los
software. Banco debe llevar un control y monitoreo de los
software.
2. Antivirus. accesos al sistema.
99
1. Perfiles de empleados. Se considera una probabilidad posible por la
Entrevistas o encuestas a
Falta de información sobre 2. Políticas de capacitaciones a empleados. importancia que tienen las tecnologías de
usuarios de plataformas en línea
R-13 el uso de aplicaciones 3 - Es posible 3 - Moderado MEDIO BAJO 3. Escuestas de satisfacción sobre información y comunicación en la actualidad, y un
sobre seguridad electrónica en
informáticas el de las plataformas virtuales por gran impacto por debido a que es necesario
sus transacciones.
parte de los usuarios. identificar la satisfacción de los usuarios al utilizar
Se determinó una probabilidad "posible", puesto
que se puede producir por diversas causas, una
avería, un error humano (debidamente comprobado),
1. Usos de seguridad industrial
Política de resguardo de bases de borrado accidental, entre otros. Además, el impacto
Pérdida, alteración o para hardware (UPS, reguladores
R-14 3 - Es posible 3 - Moderado MEDIO MEDIO datos y controles de usuarios y es moderado debido a que las prioridades una
incosistencia de los datos de voltaje cámaras de
productos. estrategia de negocio es detectar las posibles
videovigilancia).
causas de la pérdida de datos y prevenirlas de
forma anticipada, con copias de seguridad, por
ejemplo.
1. Perfiles de empleados que usan
los activos informáticos del Es posible debido a que pueden existir empleados
Departamento de Sistemas y la 1. Perfiles de empleados. que usan los activos informáticos y provocan robo
responsabilidad otorgada por su de contraseñas, números de tarjetas de crédito o
uso. débito u otra información confidencial sobre la
R-15 Fraude y robo de información 4 - Es posible 3 - Moderado MEDIO MEDIO 2.Política de resguardo de bases identidad de una persona. Se determinó un impacto
de datos e información moderado porque no hay sistemas informáticos
2. Revisión de políticas de confidencial. infalibles, pero si se implementan las medidas de
resguardo de información
seguridad electónicas necesarias, puede evitarse en
confidencial y bases de datos. 3. Pólizas de seguros por fraudes
lo sumo posible,
informáticos.
100
MAPA DE RIESGOS
4 R8, R13
R9, R14,
3
IMPACTO
BAJO
R15
MEDIO
2 R10, R12 R7, R11 ALTO
1 2 3 4
PROBABILIDAD
PROBABILIDAD
101
MATRIZ DE SEGURIDAD LÓGICA
ÁREA: SEGURIDAD LÓGICA

Suplantación de identidad Podría ocurrir plagio de la marca por parte de
Revisión de página web Pago y registro de certificación
R-16 (phishing), que incide en los 3 - Es posible 4 - Grande MEDIO BAJO terceros, y de esta forma afectar la reputación
debidamente certificada. de página web.
ingresos de la entidad de la marca
1. Implementación de firmas Puede surgir la situación de actualización de
digitales. usuarios por parte del equipo informático y no
R-17 Cambio de datos 3 - Es posible 3 - Moderado MEDIO MEDIO Revisar políticas de usuarios de sistemas.
2. Controles de acceso mediante se les notifique a los usuarios de las
contraseña y usuarios. plataformas digitales, causando atrasos.
1. Verificación de políticas de 1. Control de acceso de los
registro de usuarios al sistema. trabajadores a las aplicaciones.
Control de políticas de confidencialidad rotas
Copias de programas y/o 2. Aplicación correcta y apropiada
R-18 4 - Muy probable 2 - Pequeño MEDIO MEDIO por los empleados de la compañía, filtrándose
información de los procedimientos para la
2. Autorizaciones de usuarios. copias a teceros afectando a los usuarios.
administración de las cuentas de
usuarios.
Revisión de programas de Antivirus adecuado para las Puede suceder el ingreso de dispositivos
R-19 Entrada de virus 3 - Es posible 2 - Pequeño MEDIO MEDIO antivirus utilizados por la entidad operaciones bancarias que extraibles a las unidades de procesamiento de
bancaria. realiza la entidad. datos, afectando el funcionamiento del sistema
1. Certificaciones digitales. Suele suceder cuando el proveedor hace
Revisión de reporte del software,
Modificación del programa o 2. Controles de acceso a través actualizaciones a los sistemas y no se han
R-20 3 - Es posible 4 - Grande MEDIO BAJO por ejemplo: clientes, inventarios,
plataforma de usuarios y contraseñas. capacitado a los empleados sobre las nuevas
promocionales.
3. Clave maestra del sistema. funcionalidades.
1. Solicitar las políticas de
seguridad electrónica de sistemas
Sucede cuando los activos no están diseñados
informáticos.
Encriptamiento de datos, para implementar encriptación masiva de toda
Robo de archivos, datos y 2. Verificar el listado de usuarios y
R-21 3 - Es posible 3 - Moderado MEDIO MEDIO información y archivos de la información y presenta fallas en una unidad
programas revisar que todos hayan sido
programa. de procesamiento de datos y se filtra
autorizados por la gerencia que
información confidencial.
autoriza la creación de dichos
usuarios.
102
MAPA DE RIESGOS
4 R16, R20
3 R17, R21
IMPACTO
BAJO
2 R19 R18 MEDIO
ALTO
1
1 2 3 4
PROBABILIDAD
PROBABILIDAD
103
MATRIZ DE SEGURIDAD FÍSICA
ÁREA: SEGURIDAD FÍSICA
RIESGO DE RIESGO DE FACTORES QUE INTERVIENEN EN LA VALORACIÓN

CONTROL DETECCIÓN DE RIESGOS
Se evaluó como muy probable debido que aunque
Revisión de la ubicación de los
muchas entidades empiezan a conocer los riesgos
ordenadores, estos deben contar
cibernéticos, es esencial no descuidar la seguridad
con protección contra
R-22 Instalaciones 4 - Muy probable 2 - Pequeño MEDIO MEDIO Instalaciones adecuadas. física. Por otro lado, el impacto es pequeño puesto
inundaciones u otras catástrofes,
que se considera que la mayoría de los lugares de
y de la manipulación de
trabajo están protegidos por algún tipo de control de
empleados no autorizados.
acceso.
Se considera posible y que se de con un imapacto
1. Registro de visitas mediante moderado puesto que el control de acceso con
1. Revisar el registro de visitas, acontraseñas, tarjetas, huellas, tarjetas magnéticas o puertas de identificación es
través de contraseñas, tarjetas, firmas, etc. fundamental para la seguridad de la entidad. También,
R-23 Accesos 3 - Es posible 3 - Moderado MEDIO MEDIO huellas, firmas, etc. se debe asegurar que los visitantes están
2. Políticas de uso de activos contabilizados proporcionándoles pases de visita, de
informáticos espués 2. Políticas de uso de los activos esta manera siempre se sabrá si una persona que
de información. está presente en el local, está autorizada para estar
ahí.
1. Verificar el control de impresos Se evaluó como raro que suceda, este tipo de riesgos,
e incluso las hojas que se porque la mayoría de lugares de trabajo son
estropean al posicionar el papel monitoreados por un encargado o en otros casos que
de la impresora, para evitar en la oficina hay papeles y documentos tirados en
2 - Es raro que Control de impresiones y su
R-24 Control de impresos 3 - Moderado MEDIO MEDIO fraudes. muchos lugares, desde escritorios hasta puestos de
suceda listado
impresión, situación que no suele ocurrir teniendo un
2. Revisar el control de al menos
impacto moderado debido a que la documentación
dos personas de la impresión que
confidencial no la maneja cualquier empleado, debe
reciben.
ser de confianza.
1. Descripción de funciones y que
Se consideró que posiblemente puede suceder, con
no exista incompatibilidad.
un impacto grande, debido a que la manipulación de la
2. Rotación periódica para poder Política de despido y
Personal (robos, destrucción de la información por parte de los empleados, puesto que a
R-25 3 - Es posible 4 - Grande MEDIO BAJO vacantes y por seguridad. recuperación de llaves, tarjetas
información menudo la utilizan con el fin de hacerse pasar por otra
3. Revisar política de despido y de acceso y contraseñas.
persona, o abusando de la empatía humana básica
recuperación de llaves, tarjetas de
para obtener acceso a áreas y redes seguras.
acceso y contraseñas.
1. Deben de haber detectores de Los desastres naturales considerados muy probable
1. Control de acceso de los
humo, calor y extintores. que ocurran, porque es algo que está fuera de las
Desastres naturales (terremotos, trabajadores a las aplicaciones y
R-26 4 - Muy probable 2 - Pequeño MEDIO MEDIO 2. Aplicación correcta del manos del ser humano, Por otra parte, el impacto es
inundaciones, incendios, etc.) sistemas.
procedimiento para la pequeño debido a que para evitar los daños que
2. Autorización de usuarios.
administración de las cuentas de pueda traer un desastre natural, la entidad bancaria
104
MAPA DE RIESGOS
4 R22
3 R24 R23 R24

IMPACTO
BAJO
MEDIO
2 R26 ALTO
1 2 3 4
PROBABILIDAD
PROBABILIDAD
105
MATRIZ REDES DE DATOS

ÁREA: REDES DE DATOS
RIESGO DE RIESGO DE FACTORES QUE INTERVIENEN EN LA VALORACIÓN DE

CONTROL DETECCIÓN RIESGOS
1. Tiempos de respuesta para
Suele suceder si algunos de los cables están dañados
1. Verificar la planificación de respuesta solucionar.
Fallo de Líneas de la red LAN y físicamente o cortados en algún punto. Por lo tanto, se dan
R-27 3 - Es posible 4 - Grande MEDIO BAJO para solucionar el problema por 2. Planificación de respuesta para
WAN atrasos en brindar los servicios de la entidad
proveedores y personal técnico. solucionar el problema por
proveedores y personal técnico.
En pocas ocasiones puede fallar la transmision de redes,

Problemas en las estaciones y 1. Revisar política de monto de equipo 1. Política de Mantenimiento de equipo independiete del tipo de red utilizada y causa caida de los
R-28 3 - Es posible 2 - Pequeño MEDIO MEDIO
retrasamiento en routers de red y renovaciones. de red y renovaciones. sistemas reflejado en los usuarios
Se produce fallas en las señales que brindan las redes, ya

1. Revisión de página web debidamente 1. Pago y Registro de Certificacion de
sea por factores internos o externos la empresa,
certificada. Pagina Web.
R-29 Inconectividad de página web 3 - Es posible 4 - Grande MEDIO BAJO provocando insatisfaccion a los cleitnes por el servicio
2. Revisión de informe técnico de la 2. Informe de Tecnico de la Plataforma
recibido.
plataforma virtual. Virtual.
En algunas ocasiones se da el robo de puntos de

Robo de servicios, repetición, 1. Revisar medidas de seguridad, 1.Términos y condiciones en la banca.
2 - Es raro que conectividad o enlace y el usuario queda sin recbir el
R-30 modificación de venta de productos 4 - Grande MEDIO MEDIO aceptación de términos y condiciones 2.Controles de Acceso mediante
sucede servicio.
financieros en la venta de productos financieros. Contraseña y usuarios.
Cuando los protocolos de seguridad de las plataformas

Redirección a una página web falsa, 1. Verificación de términos y contratos son hackeados y redireccionando a otros puntos finales lo
1. Cumplimiento de Términos y
R-31 lo que puede provocar el robo de 4 - Muy probable 2 - Pqequeño MEDIO MEDIO de páginas web. que causa daños a los usuarios y mala reputación a la
contratos de Páginas web.
su identidad 2. Revisión de ventanas emergentes. empresa.
Una persona se hace pasar por otra 1. Políticas de controles de acceso Cuando se utiliza el servicio por telecomunicación es muy
1. Certificaciones Digitales.
con el fin de obtener un beneficio através de usuarios y contraseñas. probable que el tercero en cuestión sea falso, aunque se
R-32 3 - Es posible 4 - Grande MEDIO BAJO 2. Controles de Acceso atraves de
propio, se está cometiendo un 2. Revisión de reporte clientes pasen los filtros de seguridad siempre sucede.
Usuarios y Contraseñas.
delito de suplantación de identidad registrados en la plataforma.
1. Solicitar las políticas de seguridad de

sistemas informaticos.
Transmisión no cifrada de datos 2. Verificar el listado de usuarios y 1. Encriptamiento de Datos y Archivos Los errores críticos no son modificados y se da una
R-33 3 - Es posible 4 - Grande MEDIO BAJO
críticos revisar que todos estos hayan sido del Programa cadena de errores al usuario.
autorizados por la Gerencia que autoriza

su creación.
106
MAPA DE RIESGOS
R27,R29,
4 R30
R32, R33
IMPACTO
3
BAJO
MEDIO
2 R28 R31 ALTO
1
1 2 3 4
PROBABILIDAD
IMPACTO
PROBABILIDAD
1- Pequeño 2-Moderado 3-Grande 4-Catástrofe
4- Casi seguro que sucede BAJO (4) MEDIO (8) ALTO (12) ALTO (16)
3- Muy probable BAJO (3) BAJO (6) MEDIO (9) ALTO (12)
2- Es posible BAJO (2) BAJO (4) BAJO (6) MEDIO (8)
1- Es raro que suceda BAJO (1) BAJO (2) BAJO (3) BAJO (4)
107
MATRIZ DE TELECOMUNICACIONES

ÁREA: TELECOMUNICACIONES
RIESGO DE RIESGO DE
N° TIPO DE RIESGO PROBABILIDAD IMPACTO PRUEBA INFORMACIÓN A VALIDAR FACTORES QUE INTERVIENEN EN LA VALORACIÓN DE RIESGOS
CONTROL DETECCIÓN
1. Verificar planificación de
El impacto es insignificante porque se ponen a disposición diferentes
respuesta para solucionar el 1. Tiempos de respuesta
2 - Es raro que hardware para garantizar la alta disponibilidad, o en franquear períodos
R-34 Fallo de líneas teléfonicas 1 - Insignificante BAJO MEDIO problema por proveedores y para solucionar
suceda de caída mediante sistemas de espera o stand by.
personal técnico.
En muchas ocasiones no suele suceder ya que se

1. Solicitar las políticas de lleva un control de usuarios que cuentan con un perfil
seguridad de sistemas 1. Encriptamiento de Datos y autorizado para acceder al sistema teniendo un impacto
2 - Es raro que informáticos. Archivos del moderado al implementar cifrados como metodos de
R-35 Interceptación de tráfico de datos 3 - Moderado MEDIO MEDIO
suceda 2.Verificar el listado de Usuarios y Programa. protección para poder salvaguardar la información
Autorización. confidencial de este modo si el atacante no posee la clave de acceso
le sea dificil visualizar la información.
1. Términos y condiciones en Se evaluan posibles tipo de riesgo porque estos ataques

1. Revisar medidas de seguridad,
la banca. son de los más comunes en el internet esto con lleva a un impacto de
aceptación de términos y
Robo de servicios de cobro y modificaciones 2. Controles de Acceso "catástrofe" ya que quienes llevan a cabo esta estafa obtienen
R-36 3 - Esposible 5 - Catastrofe ALTO BAJO condiciones en la
de ventas de banca mediante contraseña y información confidencial de los usuarios de la banca como contraseñas
banca.
usuarios. bancarias o información de tarjetas de crédito o débito .
108
MAPA DE RIESGOS
4 R34
BAJO
3 R35
MEDIO
IMPACTO
ALTO
2 R36
1 2 3 4
PROBABILIDAD
IMPACTO
PROBABILIDAD
109
MATRIZ DE PED (ASPECTOS CONTABLES)

ÁREA: PED (ASPECTOS CONTABLES)
RIESGO DE RIESGO DE
CONTROL DETECCIÓN
Manipulación de movimientos de la 1. Verificar el control de inventarios 1. Inventario Real Actualizado en

R-37 3 - Es posible 3- Moderado MEDIO MEDIO
existencias reales manejados en la Tienda Virtual. Tienda Virtual.
1. Reportes de Ventas.
1. Revisión de Reportes de ventas y
R-38 Registros contables de las ventas realizadas 3 - Es posible 4 - Grande MEDIO BAJO 2. Emisión de registro de facturación a
emisiones de documentos contables.
clientes.
1. Comparación de los documentos 1. Verificación que este en

Comparación de respaldos físicos con los
físicos de las operaciones hechas concordancia los registros contables
R-39 registros contables de la operaciones hechas 3 - Es posible 3 - Moderado MEDIO MEDIO
mediante la banca con los registros del con los soportes electrónicos de las
mediante la banca
sistema de contabilidad. operaciones hechas en la banca.
1. Revisar Política de Compras de

Deficiencia en inventario de productos Inventario.
R-40 3 - Es posible 4 - Grande MEDIO BAJO 1. Política de Compras de Inventario.
financieros 2. Revisión de procesos de solicitud de
productos a proveedores.
1. Revisión de control de inventario y 1. Inventario y Actualizaciones al área

Actualización de la mercadería y servicios
R-41 3 - Es posible 1 - Insignificante MEDIO MEDIO actualizaciones al área de inventario de de Inventario de Productos en portal
disponibles en la banca
productos en portal virtual. Virtual.
1. Revisión de Base datos para cálculos

Error de cobro y pago de impuestos fiscales 1. Reporte de Ventas y compras con
R-42 2 - Es raro que suceda 3 - Moderado MEDIO MEDIO de Impuesto de Documentos de
en ventas y compras del campo virtual Cálculos de Pago de Impuestos.
Compras y ventas del área Virtual.
110
MAPA DE RIESGOS
4 R38, R40
3 R42 R37, R39 BAJO

IMPACTO
MEDIO
ALTO
2
1 R41
1 2 3 4
PROBABILIDAD
IMPACTO
PROBABILIDAD
111
MATRIZ DE SOFTWARE

ÁREA: SOFTWARE
RIESGO DE RIESGO DE
N° TIPO DE RIESGO PROBABILIDAD IMPACTO PRUEBA INFORMACIÓN A VALIDAR FACTORES QUE INTERVIENEN EN LA VALORACIÓN DE RIESGOS
CONTROL DETECCIÓN
Este tipo de entidades se rige por el cumplimiento de las obligaciones tributarias para operar de
1. Verificación de Cumplimiento de 1. Cumplimiento de Obligaciones este modo tener un impacto moderado al implementar políticas que velan por el cumplimiento
R-43 Incumplimiento de obligaciones tributarias 2 - Es raro que suceda 3 – Moderado ALTO BAJO
Obligaciones Tributarias. Tributarias, pago y presentaciones. de estas llevando un control de todos los pagos de diferentes impuestos, prestaciones con el
fin ir conforme a las leyes ya establecidas.
Se evaluó un riesgo posible con un impacto grande porque la falta de una protección de la
Sanciones económicas por parte de la confidencialidad adecuada a los consumidores, falta de respuesta a los reclamos de estos
1. Revisión de Políticas de Atencion al Cliente 1. Validacin de Procesos de Atención a
R-44 Defensoria del Consumidor, como 3 - Es posible 4 – Grande ALTO BAJO puede someter al banco a sanciones por el incumplimiento con diferentes leyes y reglamentos
y Respuesta a los reclamos de estos. Clientes.
del Ministerio de Economía llevando a los consumidores que no han sido adecuadamente informados sobre sus derechos y
obligaciones pueden acometer contra el banco.
Puede ser posible debido a que los sistemas de dinero electrónico pueden ser atractivos para
1. Revisar los Registros y cumplimiento de las 1. Cumplimiento de requerimientos a
el lavado de dinero cuando ofrecen límites flexibles de saldos y transacciones con un impacto
R-45 Lavado de dinero 3 - Es posible 3 – Moderado ALTO BAJO requerimientos de Facturación a Cantidades Clientes por Ventas detalladas en la Ley
moderado por que los bancos y las autoridades establecen nuevos métodos y regulaciones en
mayores de $500.00 o $10,000.00. de Lavado de Dinero.
la prevención del lavado de dinero.
Se asignó posible que esto sea debido a que pueden variar desde un caso limitado de
1. Cumplimiento de instalación de una licencia de usuario único en varios equipos hasta un problema de distribución
Piratería de software de los delitos relativos a la 1. Revisión de Permisos y Propiedad de
R-46 3 - Es posible 2 – Pequeño ALTO BAJO Permisos y Adquisiciones legales de en línea pero esto con lleva a tener impacto pequeño por que al momento de adquirir un
propiedad intelectual Software utilizados en el área Informatica.
Software. software la entidad debe evaluar todos los permisos y adquisiciones de este para no acarrear
consecuencias serias por incumplimientos.
1. Revisión de documentación fiscal emitida a

Errores de documentación fiscal a emitir de 1. Emitir documentos que respalden las
R-47 2 - Es raro que suceda 2 – Pequeño ALTO BAJO clientes e identificar cuando la operación es
acuerdo con las operaciones realizadas transacciones electrónicas.
una venta local o exportación.
112
MAPA DE RIESGOS
4 R42
3 R45
IMPACTO
BAJO
2 R47 R46 MEDIO
ALTO
1 2 3 4
PROBABILIDAD
IMPACTO
PROBABILIDAD
113

Elaboración:
Revisión:
8. ADMINISTRACIÓN DEL TRABAJO DE AUDITORÍA.
Equipo de trabajo.
El personal asignado para la auditoría de sistemas en Banco Agrícola, S.A., estará formado por un grupo
profesional, multidisciplinario y técnicamente capacitado en auditoría y aseguramiento de TI con el de
desempeño aceptable exigido para cumplir con las responsabilidades profesionales indicadas en el Código
de Ética Profesional de ISACA, en concordancia con los objetivos, misión y visión de la entidad:
CARGO NOMBRE DEL PERSONAL

Coordinador Msc. Katherine Esmeralda Rodriguez López
Supervisor de Auditoría de Sistemas Lic. Katerin Lisseth Batres Melgar

Auxiliares de Auditoría de Sistemas Lic. José Alberto Hernandez Vega
Auditor Senior Lic. Estefany Ariana Chicas Flores
Auditor Senior Lic. José Daniel Chamorro Correa
Auditor Junior Lic. José Amílcar Martínez Sanchez
Informes a emitir:
Cartas de Gerencia: Se comunicará a la Junta General de Accionistas por medio de Cartas a la
Gerencia los hallazgos importantes en el desarrollo de la auditoría sobre el funcionamiento y seguridad
del Sistema.
Carta de Compromiso.
Cartas de Requerimiento de información sobre el sistema.
Cartas a la Gerencia reportando el avance del trabajo.
Cartas a la Gerencia detallando los hallazgos encontrados.
Informe de Auditoría.
114
Asignación de actividades
La programación de las fechas claves en las cuales se realizará el proceso de auditoría de sistemas se detalla a continuación, las actividades tendran
como fecha de inicio el 16 de abril del presente año.
CRONOGRAMA DE ACTIVIDADES DE AUDITORÍA DE SISTEMAS
Año 2022 Año 2022 Año 2022 Año 2022

Actividades Mes _02_ Mes _03_ Mes _04_ Mes _05_
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
Fase de planeación
1 Entrevista inicial con el Gerente General.
2 Evaluación y aceptación del cliente.
3 Emisión de la oferta y carta compromiso
4 Reconocimiento del entorno de la entidad
5 Estudio y evaluación del control interno
6 Identificación, evaluación y medición del riesgo
7 Preparación del memorándum de planeación
Reuniones con el gobierno de la empresa para presentar y aprobar
8 el memorándum de planeación
Fase de ejecución
Primera visita
Pruebas sustantivas al sistema y su
9 funcionamiento.
10 Pruebas sustantivas al uso de internet y redes inalámbricas
Evaluación del cumplimiento de políticas relacionadas con
11 aspectos tributarios
Segunda visita
115
Pruebas sustantivas a la seguridad en operaciones en el software
12
Pruebas sustantivas a la seguridad física de sistemas de video
13 vigilancia y sistema biométrico
Tercera visita
14 Procedimientos analíticos al sistema de la base de datos
15 Pruebas sustantivas la protección de los datos personales
16 Evaluación del servicio de soporte y entrega
Fase final
17 Revisión de papeles de trabajo.
18 Elaboración y revisión informes.
19 Revisión y firma de informes final.
20 Lectura y discusión del informe con el cliente.
116
Cronogramas de tiempo.
Presupuesto de tiempo
Cronograma de tiempo SE GA AS AJ TH
Entrevista inicial con el Gerente General. 2 2 1 2 7

Evaluación y aceptación del cliente. 2 1 1 1 5
Emisión de la oferta y carta compromiso 1 1 2 1 5
Reconocimiento del entorno de la entidad 3 3 2 2 10
Estudio y evaluación del Control Interno 3 3 2 2 10
Identificación, evaluación y medición del riesgo 2 2 3 3 10
Preparación del memorándum de planeación. 2 2 1 1 6
Reuniones con el gobierno de la empresa para presentar y aprobar
el memorándum de planeación 2 2 1 1 6
Fase de Ejecución
Primera visita
Pruebas sustantivas al sistema de Banca en linea y
su funcionamiento. 1 1 2 2 6
Pruebas sustantivas al uso de internet y redes inalámbricas 1 1 2 2 6
Evaluación del cumplimiento de políticas relacionadas con aspectos
tributarios. 2 2 1 1 6
Segunda visita
Pruebas sustantivas a la seguridad en operaciones en el software
de Banca en linea. 2 2 1 1 6
Pruebas sustantivas a la seguridad física de sistemas de video
vigilancia y sistema biométrico. 1 1 2 2 6
Tercera visita
Procedimientos analíticos al sistema de la base de datos. 3 3 3 3 12
Pruebas sustantivas la protección de los datos personales. 2 2 2 2 8
Evaluación del servicio de soporte y entrega. 1 2 2 2 7
Fase Final
Revisión de papeles de trabajo. 2 2 2 2 8
Elaboración y revisión informes 3 2 1 2 8
Revisión y firma de informes final 3 2 2 1 8
Lectura y discusión del informe con el cliente 3 2 1 1 7
Total de horas presupuestadas 147
112
Donde:
SE: Socio del encargo GA: Gerente de Auditoria
AS: Auditor Senior AJ: Auditor Junior
TH: Total de horas
Honorarios Presupuestados.
La obligatoriedad de disponer de un presupuesto para cada trabajo se justifica por la necesidad de determinar los
honorarios a percibir en base a la estimación de los recursos necesarios, medidos en términos de horas, así como
para comprobar, si se dispone o no de ellos antes de aceptar o continuar con el encargo:
CARGO TOTAL DE HORAS COSTOPOR HORA TOTAL

PRESUPUESTADAS
Socio del encargo 41 HORAS $35.00 $1,435.00
Gerente de Auditoria 38 HORAS $30.00 $1,140.00
Auditor Senior 34 HORAS $25.00 $ 850.00
Auditor Junior 34 HORAS $20.00 $ 680.00
Total de Horas 147 HORAS $ 4,105.00
Sub – Total
Imprevistos (10%) $410.50
Costo Total $ 4,515.50
Presupuestos de recursos.
Se utilizarán diversos materiales y entre los principales están:
• Papelería y útiles.
• Computadoras.
• Herramientas al sistema como; backups y copias espejos de discos duros y medios removibles, software de
busqueda de archivos, software de recuperacion de archivos borrados.
• Analisis de memorias ram, analisis de la red.
• Herramientas de normalizacion; encuestas, protocolos, modelos de dominio.
• Subcontratación de un especialista de sistemas informaticos y de TI.
• Impresor.
• Combustible.
115
PROGRAMAS PARA EL ENCARGO DE AUDITORIA DE SISTEMAS
MARCA DESCRIPCIÓN
G Obtenido de la gerencia.
PP Cumple con el requisite.
O No cumple con el requisito.
S Verificado en el Sistema.
P Verificado por el programador.
E Obtenido de empleados del área del Sistema.
l Verificado por especialista en redes.
e Verificado por el auditor.
OD Obtenido de otros documentos.
Hg Hallazgo.
116
PROGRAMAS DE AUDITORÍA
DEAK & Asociados, S. A. de C. V . Hoja No. de

Cliente: Banco Agricola S. A. Hoja
Servicio: Auditoría de sistemas Rev. . Fecha:
ÀREA DE HARDWARE
Objetivo de Auditoría
Realizar pruebas que permitan concluir acerca de la razonabilidad en la utilización y conservación del
hardware en las empresas que prestan servicios de Banca en Línea y Banca Móvil.
Ref.
No. Procedimient Normativ Ref. PT
Verifique el cumplimiento de oo políticas a través de un a
1 cuestionario relacionado al ingreso y salida del hardware, en la BAI09.03
empresa que presta servicios de Banca en Línea y Banca Móvil.
Inspección física al departamento de informática de la entidad,

cerciórese si existen controles de seguridad para el resguardo del
2 equipo informático, tales como el uso de llaves de seguridad y acceso DSS05.05
restringido al área donde los servidores se encuentran.
Inspeccione físicamente si los equipos informáticos tales como la
3 unidad central de procesamiento, monitores, CPU, teclados, mouse, BAI09.01
se encuentran en buenas condiciones para el uso dentro de las
diferentes areas de la entidad.
Obtenga la evidencia a través inspección física sobre el
4 BAI09.03
procedimiento que la empresa utiliza para los equipos que no se
encuentran en uso.
Compruebe por medio de una entrevista si la empresa lleva a BAI09.02
5 cabo un plan de mantenimiento técnico preventivo para el equipo
informático.
Revisar mediante una lista de verificación que todo el ISO 27001
6 equipo de cómputo cuente con su respectiva codificación de A.7.1.1
activo fijo.
Verifique si en casos de fallas de un equipo informático, (monitores,
teclados, mouse, baterías para el sistema de alimentación
7 interrumpida), la entidad cuenta con inventario para poder BAI09.02
remplazarlo en cualquier momento.
Corrobore, si las computadoras que se utilizan para las operaciones de
la
entidad cuentan con una adecuada protección, con la utilización de ISO 27001
8 regulado-
res de voltaje. A.9.2.2
A través de la observación verificar los mecanismos con los ISO 27001

9 que la empresa cuenta para evitar el robo del equipo A.9.2.5
informático.
Corroborar mediante una entrevista si la empresa cuenta con
personal de ISO 27001
10 A.9.1.2
seguridad encargada de la salvaguarda de los equipos de
informáticos.
Solicitar las bitácoras de uso de los diferentes equipos ISO 27001
11 informáticos y su asignación, para el control del equipo 4.2.3
informático.
117
PROGRAMA DE AUDITORÍA
DEAK & Asociados, S. A. de C. V Hoja No. de

Hoja
Cliente: Banco Agricola S. A. Prep.
ÁREA DE SOFTWARE
Objetivo de Auditoría
Evaluar el grado de protección de sistemas y programas auxiliares tomando en cuenta la existencia de políticas y
procedimientos sobre el manejo adecuado de los dispositivos de cómputo, archivos magnéticos, entre otros,
con
el fin de evitar posibles daños que generen pérdidas de información.
Ref.
o y procedimientos a través
Verifique el cumplimiento de políticas a
1 de un cuestionario sobre la administración, uso, licencias y MEA03.03
revisiones periódicas del software en la entidad.
Revisar como se controlan y administran las licencias de software
2 adquiridas por la entidad. BAI09.05
3 Verificar si existe, un manual de protección al sistema de información BAI03.05
Revisar si existe política para la desactivación de los programas
4 por inactividad.
Comprobar por medio del ingreso a los dispositivos con wifi, ISO 270001-
5 (router). El uso de firewall como medida de protección ante A.10.4.1
instalaciones fraudulentas de software y programas.
Comprobar físicamente si se lleva un registro detallado de BAI03.05
6 programas instalados y sus actualizaciones periódicas como
medidas de mejora en los sistemas de información.
Verificar que los contratos de servicios de almacenamiento y uso AP009.05
compartido de archivos en la nube, por ejemplo (Dropbox Business)
7 se encuentren actualizados y vigentes.
Verificar si se establecen configuraciones automatizadas a los usuarios
Relacionados con la implementación de medidas de seguridad, como ISO 27001
8 Respaldo de información, que aseguren la disponibilidad de los A.10.5.1
datos.
Diagnosticar si se implementan y mantienen medidas
9 preventivas, de detección y correctivas (especialmente parches DSS05.01
de seguridad actualizado y de control de virus) dentro de la
entidad, con el objetivo de proteger los sistemas de
información.
Verificar si dentro del sistema existen programas desarrollados por el
10 área informática, con los procedimientos específicos de
funcionamiento para las actividades de Banca en línea y Banca Móvil. BAI01.10
Determinar si existe un soporte técnico en cuanto al uso de los ISO 27001
11 diferentes programas, al cual se pueda acudir en momentos de A12.5.5
consulta o fallas.
Comprobar todas las adquisiciones de software por la entidad, por BAI03.04
12
medio de los respectivos comprobantes de credito fiscal.
118
Normativa

Hoja
Cliente: Banco Agrícola S. A.
Servicio: Auditoría de sistemas Rev. . Fecha: SE
GURIDAD FÍSICA
OBJETIVOS DE AUDITORIA
Verificar y evaluar los controles físicos y a la protección contra daños y suministros ambientales establecidos en
el área donde se encuentra el equipo informático, que implementa la entidad, con el propósito de
inspeccionar la seguridad física de las instalaciones donde está ubicado el servidor, computadoras y
personal de informática.
No. Procedimiento Ref. Ref. PT
Normativa
Verificar a través de un cuestionario la política de control de acceso en base
a los requerimientos de seguridad para el acceso al personal en las
instalaciones de la empresa, Verificando:
1 DSSS06.03
1. Identificación para acceder a las instalaciones
DSS05.05
2. Mecanismos de control de visitas.
3. Cumplimiento de políticas de seguridad, por el personal de seguridad.

Observar y verificar mediante una entrevista la protección del área en las
instalaciones, si existen sistemas de video vigilancia en el perímetro,
2 sistemas de alarma, y guardias de seguridad. DSS05.05
Compruebe el estado de la infraestructura verificando que se cumplan

condiciones como:
1. Resistencia al fuego por parte de paredes y techos.
3 DSS01.04
2. Ventanas a prueba de ruptura
3. Resistencia de puertas para acceso no autorizado.

Verificar físicamente el cableado de la energía y las telecomunicaciones DSS01.05
que dan soporte a los servicios de información. MEA01.03
4
Verificar físicamente que las instalaciones eléctricas se encuentran DSS01.04
5 protegidas por cañuelas para evitar cortocircuitos. APO01.04
A través de una entrevista indagar sobre el mantenimiento correcto del DSS05.03

6 equipo para asegurar su continua disponibilidad e integridad.
Examinar mediante un check list la existencia de extintores de fuego en las

instalaciones de la entidad, Comprobando:
1. El tipo de extintor (agua, gas, otros)
7 DSS01.04
2. Información disponible sobre cómo utilizar el extintor.
3. Vigencia de carga del material de extintor
119
Comprobar el estado de los sistemas de ventilación de las DSS01.04
instalaciones del área informática y de TI.
8 APO01.08
Comprobar el número de toma corriente (switch), esten acorde a la
capacidad de equipos utilizados dentro de la entidad.
9 DSS01.05
Verificar si se posee la adecuada protección de los equipos por DSS01.05
medio del uso de reguladores de voltaje y UPS.
10 MEA01.03
Comprobacion física de las existencias de sistemas de drenaje y DSS01.04
pararrayos.
11 APO01.08

Hoja
Cliente: Banco Agricola S. A.
SEGURIDA LOGICA
Determinar y evaluar los controles establecidos en el area de informatica, para asegurar que incluyan
medidas de seguridad logica capaces de prevenir accesos no autorizados a la informacion procesada en el
sistema. A fin de reducer el riesgo de transferencia, modificación, pérdida o divulgación accidental o
intencional de la misma.
Ref.
o a
Verificar a través de una entrevista, si existen restricciones para APO01.02
1 DSS05.04
elacceso al departamento de sistemas informáticos.
Evaluar si se han establecido políticas de acceso a la información en
2 relación a las funciones que realice el personal. A través de DSS05.04
una verificación de check list.
Verificar en el sistema de Banca Online, si existen controles de

acceso
3 1) Lista de control de accesos DSS05.04
2) Limites de control de interfaz y sincronización de contraseñas.
Indagar si los niveles de acceso al sistema informático son suspendidos DSS05.04
4 temporalmente cuando un empleado toma sus vacaciones.
120
Comprobar la existencia de politicas de cese de los derechos de
acceso a los sistemas informaticos, para empleados despedidos.
DSS05.04
5
Obtenga evidencia física sobre la legalidad de los diferentes
sistemas operativos, ofimáticos y utilitarios mediante un muestreo que
compruebe: Que la licencia esté a nombre de la entidad, posea
6 documento de adquisición, coincida el número otorgado físicamente DSS01.01
con el que se
encuentra dentro del sistema operativo y cotejarla con la factura.
Verificar por medio de un cuestionario la existencia de políticas de
7 cambio de contraseñas que garanticen el resguardo adecuado APO01.02
de la información.
Indagar si se utilizan métodos de autenticación APO01.02
8 apropiados para controlar el acceso de usuarios remotos. DSS05.04
Verificar que las contraseñas cumplan con los
requerimientosnecesarias para garantizar la seguridad de la APO01.02
9 DSS05.04
información por medio
de screenshots.
Revisar cuales son las formas de medios de almacenamiento
10 de los datos que utiliza la entidad. DSS05.02
Mediante una entrevista verificar que se aplica la validación DSS05.02

11 de las copias de seguridad, en los archivos de la empresa.
Revisar que la entidad cuenta con sistema de antivirus, determinando:

1. El tipo de antivirus instalado (en la protección a los archivos en la DSS05.01
12 red. APO01.07
2. Fecha de última actualización, forma de actualizarlo, y el APO12.07
responsable asignado de la autorización.
Verificar mediante la inspección en el sistema, la implementación DSS05.02

13 de seguridad a las redes, como el uso de firewalls APO01.04
Mediante la revisión física en el sistema verificar la certificación de
14 seguridad de acceso de páginas de internet con secure sockets DSS05.02
layer.
Verificar las existencias de bitácoras de actualizaciones de las
15 Versions del sistema, y si hay un encargado de realizar dichas DSS05.02
instalaciones.
121
DEAK & Asociados, S. A. de C. V Hoja No. de

Hoja
Cliente: Banco Agrcola S. A.
ÁREA DE CONTROL INTERNO Y RECURSOS HUMANOS

Verificar los controles internos del sistema de Banca Online, en los seguimientos información
implementada por entidad, con el propósito de evaluar la fiabilidad de la información proporcionada por el
Software.
Ref.
No. Procedimiento Normativ Ref. PT
Evaluar físicamente si cuentan con políticas de a
APO07
1 capacitación del personal para el uso de Banca Online.
Verificación de los planes de contingencias para el respaldo de MEA02
2 información.
Evaluar los p e r m i s o s y p r o c e d imie n to s d e lo s APO09.04
3 u s u a r io s p a r a l a manipulación en el sistema.
A través de cuestionarios y entrevista evaluar si el personal APO07.01
4 tiene la aptitud para el puesto en que se desempeña.
Verificar de forma física que cuenta con la factura o
5 documento equivalente a la adquisición del software. DSS01.01
Indagar si se archivan y conservan en debida forma los registros

6 contables emitidos por el sistema por el tiempo de 10 años o si DSS01.05
setienen archivados los últimos 5años.
Evaluar que los procedimientos adoptados para la mitigación ISO31000
7 delriesgo se encuentren dentro del marco legal aplicable y 4.2
reglamentario.
122
ANEXOS
123
CONCLUSIONES
Se pudo determinar que con base el estudio de las normas técnicas para las medidas de ciberseguridad
en los diferentes canales digitales, aplicables por las instituciones financieras, tales como bancos
constituidos en El Salvador, por el medio en el cual se procesa y se transmite la información de los
diferentes servicios financieros, tales como trasferencias bancarias, tarjetas de crédito, cuentas corrientes
de ahorro a plazo fijo entre otros.
Se logró determinar que dichas instituciones cumplen un rol importante en el cual deben de tener medidas
de ciberseguridad que les permitan a sus usuarios transacciones seguras donde no se vea afectada la
seguridad de estos, por lo cual son obligadas a monitorear comportamientos inusuales constantemente
para cumplir con dicho compromiso.
Además de ello, en dado caso la seguridad sea vulnerada, dar un registro o seguimiento en el cual le
garantice al usuario vulnerado una solución ágil y que le permita a dicho usuario encriptar la información.
Otro punto destacable es que se observó que las instituciones financieras deben de proveer todas las
herramientas necesarias para que sus clientes tengan amplio conocimiento sobre todos los servicios
financieros prestados por estas instituciones financieras, así como también después de realizar estas
transacciones, notificar a los usuarios en donde se les dé una bitácora de la ampliación de la transacción
que ha realizado con el objetivo de que los usuarios estén al tanto de los movimientos transicionales de
sus operaciones esto en base al cumplimiento de las normativas técnicas
124
RECOMENDACIONES
Se recomienda que, se mantengan las medidas de ciberseguridad, así como el hecho de actualizar las
mismas para tener una mayor certeza de la adecuada conservación de información personal, evitando así
malos usos de esta y en los servicios financieros bancarios que se realicen.
Vigilar que la información otorgada por los clientes de la entidad financiera no se utilice con otros fines
que no sean aquellos por los que se brindó determinada información. Así como el hecho que la seguridad
se encripte para evitar diversos tipos de hackeos que deterioren los sistemas informáticos de la entidad.
Por último, pero no menos importante, se recomienda a la entidad que se otorguen todas las herramientas
necesarias para poder tener mayor control de la ciberseguridad, así como para brindarle certeza a sus
clientes que todo es seguro tanto antes como durante y después de los servicios que requiera un cliente,
brindando información de sus movimientos y respondiendo sus consultas de manera oportuna y
adecuada.
125
ANEXOS
ANEXO 1: HOJA DE VIDA PROFESIONAL DE CADA UNO DE LOS MIEMBROS DEL EQUIPO DE
AUDITORÍA
CURRICULUM VITAE
DATOS PERSONALES
Nombres y apellidos: Katherine Esmeralda Rodríguez López
Lugar y fecha de nacimiento: San Salvador, San Salvador, 2 de febrero de

1990.
Edad: 32 años
Sexo: Femenino
Estado civil: Soltera
DUI: 05591955-8
N° NIT: 0614-020290-150-0
DOMICILIO: Residencial San Luis, IV Pje.46, Pol. 68, casa #19.
Teléfono: 77324471
FORMACIÓN ACADÉMICA
Educación media.
Bachillerato Opción Contador.

Instituto Nacional San Luis
Estudios superiores.
Licenciatura en contaduría pública (Universidad de El Salvador).

Especialización en Auditoría Externa.
Maestrías en Administración Financiera.
FORMACIÓN COMPLEMENTARIA
Diplomados:
✓ Microsoft Office.
✓ Legislación Aduanera y Fiscal.
✓ Especialización en el área de tecnología de información.
126
✓ Especialista en Normas ISO 27000.
✓ Especialización en Finanzas Empresariales.
EXPERIENCIA LABORAL
✓ Despacho Contable y Auditoria Reyes & Martínez.
Cargo: Auxiliar Contable

Periodo: 2010-2013 (3 años).
✓ Castillo Hernández y Asociados.
Cargo: Auxiliar Contable y Auxiliar en Auditoría Interna.
Periodo: 2014-2015 (2 años).
✓ M & G, S.A. de C.V.
Cargo: Auditora en Sistemas Informáticos.

Periodo. Enero-Junio (6 meses).
✓ Asesora Empresarial
Periodo: 2016-2018 (3 años).
✓ Servicios de Auditoria en Batres Rodríguez y Asociados (2019 hasta la fecha).
CONOCIMIENTO/HABILIDADES
• Conocimiento y manejo de Excel y Word a nivel avanzado.
• Elaboración de declaración tributaria.
• Habilidad numérica.
• Facilidad de aprendizaje, asimilación y enseñanza.
• Conocimiento y Manejo de Software Contables.
CUALIDADES
• Trabajadora, responsable, dedicada, motivadora, dinámica y creativa.
127
CURRÍCULUM VITAE
DATOS PERSONALES:
Nombres y apellidos: Katerin Lisseth Batres Melgar

Edad: 31 años
Fecha de nacimiento: 31 de octubre de 1990
Estado Civil: Soltera
Número de DUI: 05512081-5
NIT: 0614-311093-101-0
Domicilio: Colonia San José, pasaje 34, casa #55,

Soyapango, San Salvador.
Teléfono: 6146-2283
Correo electrónico: [email protected]
Idiomas: Español e inglés.
FORMACIÓN ACADÉMICA:
➢ Educación intermedia:
Técnico Vocacional Opción Contador (Instituto Nacional San Luis).
➢ Educación superior:
➢ Licenciatura en Contaduría Pública (Universidad de El Salvador).
➢ Especialización en Auditoría externa.
➢ Maestría en Consultaría Empresarial.
FORMACIÓN COMPLEMENTARIA:
➢ Diplomado en legislación aduanera y fiscal.

➢ Cursos de Inglés y computación.
➢ Capacitaciones en Estados Unidos sobre liderazgo, emprendimiento y
problemas medioambientales.
128
EXPERIENCIA LABORAL:
➢ Servicios de auditoría en Batres Rodríguez y Asociados (de 2019 a la fecha).

➢ Asesora empresarial (1 años).
➢ Contador general de empresa (3 años).
➢ Auxiliar contable en despacho Martínez y Asociados (3 años).
➢ Horas sociales durante 5 meses en el Ministerio de Hacienda, en el departamento de Call Center Cobros
de la división de Tesorería.
➢ Prácticas contables durante 3 meses en el Centro Cultural Salvadoreño Americano, en el departamento
administrativo – contable de la institución.
CONOCIMIENTOS Y HABILIDADES:
➢ Nivel intermedio - avanzado en el idioma inglés.

➢ Manejo de programas ofimáticos a nivel avanzado, específicamente, Microsoft Word, Excel y Power Point.
➢ Conocimientos básicos en el uso de Photoshop e Ilustrador.
➢ Facilidad de aprendizaje y trabajo en equipo.
CUALIDADES:
➢ Responsable, respetuosa, proactiva, honesta, trabajadora.
REFERENCIAS PROFESIONALES:
➢ Lic. Jessica Rodríguez.

Cargo: Contadora General.
➢ Lic. Roxana García.

Cargo: Contadora y auditora.
129
CURRÍCULUM VITAE
DATOS PERSONALES:
Nombre : José Amilcar Martínez Sánchez
Nacionalidad : Salvadoreña
Fecha de Nacimiento : 27 de febrero de 1990
Estado Civil : Soltero
D.U.I. : 04804965-4
NIT : 0614-270593-153-3
Dirección de Residencia : 7ª Calle Oriente, Colonia Andes N° 2,Casa 105, San Salvador
TELÉFONO : 2260-3044, 6174-7711
ESTUDIOS REALIZADOS:
Universidad de El Salvador, Título: Licenciatura en Contaduría Pública.
Universidad de El Salvador, Título: Ingeniería de sistemas Informáticos.
Consejo de Vigilancia de la Contaduría Pública y Auditoría.
Calidad: Contador Público Certificado Registro No. 389
Instituto Nacional General Manuel José Arce, El Salvador
Bachillerato Técnico Comercial Opción Contador
130
CURSOS DE ACTUALIZACIÓN Y CAPACITACION PROFESIONAL
➢ Diplomado de educación fiscal a nivel de educación superior. Impartido por Ministerio de Hacienda a través
de la Universidad de El Salvador.
➢ Seminario “Visión general de las NIIF para PYMES”, Impartido por Consultores Organizacionales
Especializados (CORESPE)
EJERCICIO PROFESIONAL
➢ 2014-2016- OPERADORA KRISTAL, S.A. DE C.V. SAN SALVADOR, EL SALVADOR

CARGO DESEMPEÑADO: Contador General
Elaboración de Estados financieros, mediante uso de sistema contable, conciliaciones bancarias, reportes
de venta y elaboración de declaraciones fiscales, planillas de sueldos, planillas de ISSS y AFP en
plataforma OVISSS Y SEPP.
➢ 2016-2021-Act. MARTÍNEZ GARCÍA Y COMPAÑÍA SAN SALVADOR, EL SALVADOR.

CARGOS DESEMPEÑADOS: Contador General
Elaboración de registros diarios de contabilidad, estados financieros de empresas comerciales y de
servicios todo mediante uso de sistema contable, así también conciliaciones bancarias, reportes de venta
y elaboración de declaraciones fiscales, planillas de sueldos, planillas de ISSS y AFP en plataforma
OVISSS Y SEPP.
CONOCIMIENTOS ESPECIALES
ÁREA CONTABLE:
Contabilización de empresas comerciales y de servicios, Ejecución y Seguimiento de proyectos y presupuestos.
ÁREA DE AUDITORÍA:
Asistencia de Auditoría Fiscal en empresas comerciales y de servicios. Elaboración de anexos de Dictamen
fiscal anual.
131
Realización de una auditoría al Sistema de Tarjetas de Créditos Magnéticas a través de Cajero Automático
de una Financiera, utilizando la Metodología del Ciclo de Vida de Desarrollo de un Sistema.
Auditoría y Metodología para la Evaluación de Riesgos realización de una auditoría al Departamento de
Tecnología Informática de una Biblioteca, utilizando la Metodología COBIT en sus dominios I y II.
ÁREA DE INFORMÁTICA:
• Programación en lenguaje FORTRAN, RPG, COBOL, PASCAL, DBASE III PLUS.

• Práctica en Capturación de Datos en la Contraloría Nacional de la República (Sistema 3742).
• Manejo de Hojas Electrónicas de LOTUS 123 y EXCEL (MICROSOFT OFFICE 95, 97 y 2013).
SEMINARIOS: (CURSOS ESPECIALES):

• Curso de Sistema Operativo PC-DOS.
• Seminario sobre Introducción a la programación con DBASE III PLUS.
• Curso de DBASE III PLUS AVANZADO.
• Seminario de NOVELL de usuario y supervisor ADVANCED NETWARE V2.2.
• Curso de Administración de Sistema Operativo NETWARE V3.11. de NOVELL (NETWARE V3.11
SYSTEM MANAGER).
REFERENCIAS PROFESIONALES:
Ing. José Osmín Domínguez Meléndez Tel: 7986-8268
Lic. Ricardo Antonio Escamilla Landaverde Tel: 2260-1187
Lic. María del Socorro Cortez de Guillen Tel: 2261-2738
132
CURRICULUM VITAE
Objetivo:
Alcanzar mis metas personales a través de un trabajo estable, en el que pueda
desarrollar todas mis capacidades y conocimientos
DATOS PERSONALES
Nombre: Doris Nataly Reyes Bernabé
Dirección: Final Barrio El Carmen, Caserío los Guachipilines,

Olocuilta, La Paz
Tel: 7945-5567
Fecha y lugar de Nacimiento: La Paz, 15 de octubre de 1994
Estado Civil: Soltera
DUI: 05080201-2
NIT: 0805-151094-101-5
ISSS: 114943845
NUP: 346207880013
ESTUDIOS REALIZADOS:
NOMBRE ESTUDIO PERIODO

Centro Escolar Alberto Masferrer 1ro a 9no grado (2001 – 2010)
Instituto Nacional de San Marcos Bachiller técnico contador (2011- 2013)
Universidad de El Salvador Licenciatura en Contaduría Publica 9 ciclos
133
EXPERIENCIA LABORAL:
EMPRESA CARGO PERIODO

Distribuidora de harinas y grasas Digitadora, Asistente Mayo 2014 a la actualidad
(DISTHARSA) Administrativo
HABILIDADES:
• Alto manejo de sistema de GPS y sus funciones
• Facilidad de expresión vía teléfono
• Atención al cliente, cobros y ventas por teléfono
• Manejo de Personal
• Control de inventarios
• Cotizaciones de suministros
EQUIPOS A USAR:
• Computadora (Manejo de Paquete de Office)
CUALIDADES:
* Responsable
* Capaz de desempeñar cualquier trabajo
* Con iniciativas propias
* Capaz de trabajar bajo presión
REFERENCIA PERSONAL:
NOMBRE OCUPACION TELEFONO

Rosa Elena González Administradora de empresas 7084 9756
Luiciana Rodríguez Comerciante 6984 1401
NOTA. Disponibilidad inmediata
134
ESTEFANY ARIANA CHICAS FLORES
6020-4291
[email protected]
Datos Personales
Dirección: Col. El porvenir, Ayutuxtepeque, San Salvador.

Edad: 35 años
DUI: 057337114-3
NIT: 0614-040798-120-9
Educación y Formación Académica
Educación Superior:
Licenciatura en Contaduría Pública, Universidad de El Salvador.
Educación Media:
Bachillerato Técnico Vocacional Opción Contador “Complejo Educativo Angela de Soler”.
Educación Básica:
“Complejo Educativo Angela de Soler”.
Otros:
Centro Cultural Salvadoreño Americano.
Habilidades
Conocimiento de Normas NIIF para Pymes.

Conocimiento de Leyes Tributarias, Mercantiles y Laborales.
Manejo de Paquete Informático Office a nivel intermedio.
Ingles a nivel avanzado.
Habilidades de lenguaje de consulta estructurado, SQL.
Conocimiento de Software de auditorías informáticas.
135
Experiencia Profesional:
Cargo: Auditor Junior.

Empresa: Banco Promerica, S. A.
Periodo: 2004-2010
Cargo: Auditor de sistemas

Empresa: INNOME S.A de CV
Periodo: 2013-2021
Referencias Profesionales:
Nombre: Ing. Daniel Antonio Torres Alegría

Nombre: Lic. Juan Manuel Garay Pinto

136
José Alberto Hernández Vega
Datos Personales
Dirección: Col. Patricia Pasaje las Gradas casa 1087
Ciudad Delgado, Salvador.
Edad: 26 años
DUI: 05283154-6
NIT: 0614-101195-140-0
Educación y Formación Académica

Educación Básica:
“Complejo Educativo Refugio Sifontes.”.
Educación Media:
Bachillerato Técnico Vocacional Opción Contador “Complejo Educativo Refugio Sifontes.”.
Educación Superior:
Licenciatura en Contaduría Pública, Universidad de El Salvador.
Otros:
Diplomado en contabilidad Gubernamental (Red de contadores)
Diplomado en actualización tributaria 2019-2020 y 2021. (Corporación de Contadores)
Habilidades
Conocimiento de Leyes Tributarias, Mercantiles y Laborales.
Manejo de Paquete Informático Office a nivel intermedio.
Conocimiento de Normas NIIF para Pymes.
Información de contacto.
[email protected]
Tel: 2246-5405
Experiencia Profesional:
• Cargo: Auditor Junior.

Empresa: Telnet SA DE CV.
Periodo: 2020-2021
• Cargo: Contador General
Empresa: REPUESTOS ACEITUNO OCHOA. SA DE CV
2016-2020.
Referencias Profesionales:
Nombre: Lic. Pedro Mauricio Lara Vásquez (Teléfono: 7216-3415).
Nombre: Lic. Moisés David Alvarenga (Teléfono: 7266-7684)
137
CURRICULUM VITAE
José Daniel Chamorro Correa
DUI: 05178044-1
NIT: 0210-010695-103-0
AFP: 348491810010
Urbanización Villa Lourdes, Pje. 3, Pol W, No 22, Lourdes, Colon
Tel.: 7975-6882
ESTUDIOS REALIZADOS
-Complejo Educativo Católico “Jesús Obrero” 2011-2013
Bachillerato Técnico Vocacional Comercial Opción Contaduría
-Universidad de El Salvador 2016-2022

Licenciatura en Contaduría Pública
OTROS ESTUDIOS
-Curso de Tecnología de la Información y la comunicación aplicada a la
Creatividad Escrita 2013
-Curso Fundamento de Programación en Visual Basic 2013
-Cuarto al Primer Módulo del Diplomado de Informática
Aplicada a la Contabilidad Aplicación Contable en las Empresas 2014-2015
-Curso de Diseño y Presentación de Páginas Web INSAFORP 2015
-Módulos 6, 1 y 2 del Diplomado de Mantenimiento y Reparación de
Computadoras y Servidores 2015
-Curso de Italiano Básico I y II 2016
-Diplomado en Liderazgo Político 2017
-Diplomado en Legislación Tributaria y Fiscal 2018
-Diplomado en Legislación Aduanera y Fiscal 2019
138
-Diplomado en Gestión Financiera 2019
-Diplomado en Materia de Contratos 2019
-Diplomado en Auxiliar Contable 2021
-Diplomado en Ortografía y Redacción 2021
-Diplomado en Introducción a la Economía 2021
139
Anexo 2:
SOLICITUD DE INCORPORACION DE CUENTAS.
San Salvador, lunes, 16 de mayo de 2022
Señores
Depto. e-banca Empresas
Banco Agrícola, S.A.
Presente
Estimados:
Atentamente y en nombre de mí representado Ingrese el nombre de la empresa con el número de

cliente Ingrese el número de cliente, solicito incorporar en la plataforma e-banca Empresarial, los
siguientes números de cuentas:
No. de cuenta Nombre
Para el acceso a esta cuenta designo a los siguientes usuarios FIRMANTES:
Usuario Categoría de firma Instrucción de firma
Para el acceso a esta cuenta designo a los siguientes usuarios OPERATIVOS:
Usuario Manejo y uso de cuenta

(ver, usar y ambas)
Por su atención muchas gracias.
Cordialmente,
F.__________________
Ingrese el nombre de quien autoriza
En calidad de:Ingrese el cargo
Sello
140
Anexo 3:
SOLICITUD ADICIÓN DE OPCIÓN PARA USUARIO ELECTRÓNICO
Señores
Presente
Atte. INGRESE NOMBRE DE EJECUTIVO (A)
Estimados:
Solicito modificar el perfil de acceso a e-banca Empresarial a los usuarios del siguiente cuadro; en el
sentido únicamente de adicionar la opción INGRESE EL NOMBRE DE LA OPCIÓN; para la sociedad
INGRESE EL NOMBRE DE LA SOCIEDAD con número de cliente: INGRESE NÚMERO DE CLIENTE
Datos de usuario:
Usuarios Nombre
XXXXX XXXXXXXXXXXXXXXXXXXXXXXXX
Todo lo demás, se mantiene sin modificación alguna.
Atentamente
F.__________________
Nombre:
Calidad en que firma
Nombre de la sociedad
Sello
141
Anexo 4:
SOLICITUD ASIGNACIÓN DE CLAVE.
Señores
Presente
Atte. Ingrese el nombre del ejecutivo
Estimados:
Solicito se me asigne nueva contraseña de ingreso y autorización, para la plataforma de e-banca

Empresarial, del usuario según detalle:
Nombre de la empresa (Sociedad): Ingrese el nombre de la empresa
Número de cliente: Ingrese el número de cliente
Nombre del usuario: Ingrese el nombre del usuario.
Usuario: Ingrese el usuario.
Por favor enviar mi nueva contraseña al siguiente correo electrónico:
Ingrese su correo electrónico del usuario. (Correo registrado al usuario)
“Favor establecer el siguiente correo electrónico para mi usuario dejando sin efecto el correo
electrónico anterior”.
Cordialmente,
F.__________________
Nombre del solicitante
Ingrese el número de DUI
Sello
142

Primer Trabajo - Aus - Grupo de Trabajo 4

Cargado por

Copyright:

Formatos disponibles

Primer Trabajo - Aus - Grupo de Trabajo 4

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Primer Trabajo - Aus - Grupo de Trabajo 4

Cargado por

Copyright:

Formatos disponibles

Universidad de El Salvador

Facultad de Ciencias Económicas

Escuela de Contaduría Pública

“Planificación de auditoría de sistemas: seguridad electrónica en operaciones bancarias”

Integrantes del grupo:

Nombre Carné Participación

Lic. René Augusto García.

Ciudad universitaria, lunes, 16 de mayo de 2022.

Se presenta además, un marco regulatorio en el que se enmarca la operatividad de la entidad, y su

Elaborar un memorándum de planificación para el desarrollo de la auditoria en una entidad bancaria

1. ESTATUTO DE LA FUNCIÓN DE AUDITORÍA (Estándar 1001 y Lineamiento 2001). ................................... 7

Entidad: Banco Agrícola, S.A. Fecha: 16/04/2022

1. ESTATUTO DE LA FUNCIÓN DE AUDITORÍA (Estándar 1001 y Lineamiento 2001).

A través del presente Estatuto se manifiesta el propósito, la autoridad y la responsabilidad de la actividad

1.1 Objetivos y metas del Estatuto de Auditoría.

➢ Aplicar una metodología sistemática para la revisión, evaluación y la mejora de la eficacia y

➢ Todas las actividades pueden someterse a un proceso de auditoría.

Entidad: Banco Agrícola, S.A. Fecha: 16/04/2022

Asesorar de forma objetiva, mediante la evaluación del sistema de seguridad electrónica en

Diseñar y presentar un informe de Auditoría de Sistemas para el área de Seguridad electrónica en

Entidad: Banco Agrícola, S.A. Fecha: 16/04/2022

1.3 Ámbito de la función de auditoría.

Entidad: Banco Agrícola, S.A. Fecha: 16/04/2022

1.4 Organismo que autoriza el estatuto de auditoría.

Plan y presupuesto de recursos de auditoría.

Entidad: Banco Agrícola, S.A. Fecha: 16/04/2022

Posibles causas que amenazarían la independencia:

➢ Cumplir con el Código de Ética.

Entidad: Banco Agrícola, S.A. Fecha: 16/04/2022

2.3 Expectativas del auditado.

La función de auditoría en la entidad contribuye a darle un seguimiento y evaluación a los esfuerzos

b) Plazos y destinatarios para la presentación y discusión de los informes.

2.4 Requerimientos del auditado.

Entidad: Banco Agrícola, S.A. Fecha: 16/04/2022

2.5 Comunicación con los auditados.

3.1 Derechos de acceso.

Entidad: Banco Agrícola, S.A. Fecha: 16/04/2022

3.3 Procesos a ser auditados.

4) Responsabilidad final de la función de auditoría.

4.1 Estructura organizacional.

El equipo de auditoría presentará un informe escrito y detallado el cual incluirá:

Entidad: Banco Agrícola, S.A. Fecha: 16/04/2022

4.3 Desempeño de la función de auditoría.

El equipo de auditoría informará según el tiempo conveniente a la dirección de su propósito,

4.4 Cumplimiento de estándares.

4.6 Reglas de dotación al personal.

En el estatuto de auditoría se establece la participación de los profesionales en la realización de los

Entidad: Banco Agrícola, S.A. Fecha: 16/04/2022

El equipo de auditoría se compromete a formarse continuamente como mínimo 40 horas anuales.

4.8 Acciones acordadas en relación a la función de auditoría y conducta de los profesionales.

5) Otros aspectos a tener en cuenta.

5.1 Revisión y modificación de la carta.

Es responsabilidad de la función de auditoría evaluar periódicamente según le sea conveniente si el

5.2 Aprobación de modificación a la carta.

5.3 Incluir documentos de referencia.

En el estatuto se incluyen documentos de referencia relacionados tales como:

Entidad: Banco Agrícola, S.A. Fecha: 16/04/2022

2.1. Objetivos de la auditoría.

Entidad: Banco Agrícola, S.A. Fecha: 16/04/2022