CASO DE ESTUDIO

INTEGRANTES:

Santana Acua, Pamela

Siccha Ayvar, Hobber
Ugaz Jo, Enrique
Caldern arias Federico
Enrique

AGENDA

INFORMACIN DE LA EMPRESA
DESCRIPCIN DEL CASO
ANLISIS DEL CASO
PROPUESTAS DE MEJORA
CONCLUSIONES
RECOMENDACIONES

CMAC del Santa

La Caja Municipal de Ahorro y Crdito del Santa S.A, es una
institucin financiera especializada en Microfinanzas, integrante del
Sistema de Cajas Municipales de Ahorro y Crdito del Per (CMAC),
acta bajo la forma de Sociedad Annima, cuyo objeto social es
captar recursos del pblico, teniendo la especialidad de realizar
operaciones de financiamiento a las pequeas y microempresa.
Fue autorizado por el Ministerio de Economa y Finanzas (MEF),
mediante D.S, N 255-85-EF del 27 de Junio de 1985; otorgndose la
Escritura Pblica de constitucin y estatuto el 09 de abril del 1986.
La Caja Municipal de Ahorro y Crdito del Santa S.A, est regulada
por el Banco Central de Reserva del Per (BCRP) y supervisada y
controlada por la Superintendencia de Banca y Seguros (SBS),
Federacin Peruana de Cajas Municipales (FEPCMAC) y por la
Contralora General de la Repblica.

CMAC del Santa

Ranking de Crditos, Depsitos y Patrimonio de las Cajas Municipales
(Al 28 de febrero de 2015)
(En miles de nuevos soles)

CASO
En el 2003, CMAC del Santa tomo la decisin de comprar un
ERP financiero para su Core Business, la tecnologa que
utilizaba CMAC del Santa era una aplicacin
desarrollada en Fox Pro para DOS, utilizando como
motor de Base de Datos las mismas tablas que provea
el lenguaje de programacin.
El ERP que adquirieron fue el de CMAC Trujllo,
desarrollado en lenguaje visual (Visual Basic 6.0) y
con motor de Base de Datos SQL Server 2000,
corriendo en un ambiente de 02 y 03 capas
respectivamente.
Se estableci un plan de trabajo, los participantes serian
los funcionarios, personal tcnico y usuarios lderes
de CMAC Del Santa y los participantes de CMAC
Trujillo solo era el personal del rea de Sistemas,
asimismo se estableci una metodologa de trabajo, basado
en actas, informes, hitos, fases, entregables, etc; para lo

Caso
Al momento de migrar la data al nuevo motor de base de datos y revisar
los saldos de los crditos no exista ningn problema, pero al visualizar los
saldos de los ahorros exista un descuadre, aparentemente los
movimientos entre el Debe y el Haber no cuadraban, por lo que se
informo al Jefe de Sistemas de CMAC Del Santa (quien era el Jefe del Proyecto)
lo que haba sucedido, esto sucedi por 3 das consecutivos.
Al ser informados los funcionarios de CMAC Del Santa solicitaron una auditora
financiera y de sistemas de forma inmediata, encontrndose que existi
manipulacin en los sistemas de informacin de CMAC Del Santa,
sucedi que un programador realizaba una especie de transaccin de
ingreso de dinero fsico por ventanilla, este efectivo no ingresaba por
ventanilla, pero poda visualizarse en el sistema como una
transaccin normal, a la vez, este dinero era dirigido a una cuenta de
ahorros mancomunada con otra persona, que ni bien se enteraba del
movimiento realizaba retiros de efectivo, posteriormente se pudo saber que el
desfalco llego a superar el milln de soles.

Detonante
Al visualizar los saldos de los ahorros exista un
descuadre, aparentemente los movimientos
transaccionales entre el Debe y el Haber no
cuadraban, ya que existi manipulacin en los
sistemas de informacin de CMAC Del Santa.

Anlisis del Caso

Gestin de Riesgos: No contaba con una matriz
de riesgo operacional a nivel de toda la empresa
o de reas crticas.
Gestin de Auditora: El rea de Auditoria, no
identific movimientos anmalos.
Gestin de la Seguridad de la Informacin: No se
contaba con un estndar de seguridad de la
informacin (polticas, procedimientos, etc).
Gestin de TI: No existi
segregacin de funciones.

una

adecuada

Anlisis del Caso

Integridad: Modificacin no autorizada en el
aplicativo (perfiles de usuario).
Integridad: Errores al procesar informacin que
genera
inconsistencias
y
resultados
perjudiciales.
Integridad: No realizaban un cuadre diario,
semanal, mensual entre el Debe y el Haber,
validada por el Jefe de Operaciones, que
posteriormente sea auditada.

Anlisis del Caso

Integridad y Confidencialidad: El acceso indebido a la
informacin origin alteracin.
Confidencialidad: No se monitoreaba los accesos a la
base de datos.
Confidencialidad:
fraudes.

La

aplicacin

(sistema)

permita

Disponibilidad: Posiblemente no exista informacin

contable de perodos anteriores que permita realizar
una comparacin.

Propuesta de Mejora
Gestin de Riesgos: Contar con una matriz de
riesgo operacional.
Gestin de Auditora: Gestionar la auditora basada
en riesgos.
Gestin de la Seguridad de la Informacin:
Implementar un estndar de seguridad de la
informacin.
Gestin de TI: Segregar funciones al personal de TI.

Propuesta de Mejora
Integridad: Verificar que los perfiles de
modificacin
sean
administrados,
coordinados y revisados por una jefatura
externa a TI.
Integridad: Al procesar informacin que no
genere inconsistencias debe establecerse
procedimientos de certificacin.
Integridad: El jefe de Operaciones debi
tener dentro de sus procedimientos

Propuesta de Mejora
Integridad y Confidencialidad: Para que no exista accesos
indebidos y no genere alteracin, la base de datos debe
tener un password administrado nicamente por el DBA,
adems contar con firewall y seguridad sobre el sistema
operativo.
Confidencialidad: Para mejorar la administracin de accesos
a la base de datos y que la aplicacin (sistema) no permita
fraudes, se debe aplicar lo indicado en el tem anterior
Disponibilidad: Verificar a travs de backup que exista
informacin contable de periodos anteriores, con ello poder
realizar comparaciones.

Propuestas de
mejora
Contar con Poltica y/o Procedimiento de Control de
Accesos, debido a que un Programador no debera de
tener a accesos a datos o aplicativos en produccin.
Realizar un evaluacin de riesgo operacional para definir e
identificar los procesos sensibles y crticos.
El Administrador de Base de Datos realice un monitoreo de
las tabla sensibles definidas despus de una anlisis de
riesgos operacional.
Realizar la Segregacin de funciones aplicando el principio
del mnimo privilegio.

CONCLUSIONES
Al no definir procesos y procedimientos que
sean auditados ocurren problemas crticos.
No implementar la segregacin de funciones
pone a las compaas en riesgo de no cumplir
con los requisitos regulatorios y de
cumplimiento.
No se realizo un anlisis de Riesgo
Operacional y no se opto por una adecuada
gestin del mismo.

RECOMENDACIONES
Se debe realizar un cuadre diario del debe y el haber al
cierre de las operaciones el cual debe ser firmado por el
Jefe del rea a cargo.
Se debe implantar un sistema de gestin de accesos para
tener un mayor control de los roles funcionales
asignados para cada usuario.
Se debe realizar una evaluacin del riesgo y de los
controles en todos activos involucrados.
Se debe monitorear sistemas sensibles.
Se debe contratar una consultora para que realice varias
auditorias externas.