Vous êtes sur la page 1sur 90

+

UNIVERSIDAD SIMN BOLVAR


DECANATO DE ESTUDIOS DE POSTGRADO
COORDINACIN DE POSTGRADOS EN GERENCIA
ESPECIALIZACION EN GERENCIA DE EMPRESAS







GESTION DE MATRICES DE RIESGO
EN LA DIRECCION DE AUDITORIA DE BANCARIBE









MARA DEL CARMEN ALLONES ALONSO
Caracas, Junio 2007
2
UNIVERSIDAD SIMN BOLVAR
DECANATO DE ESTUDIOS DE POSTGRADO
COORDINACIN DE POSTGRADOS EN GERENCIA
ESPECIALIZACION EN GERENCIA DE EMPRESAS







GESTION DE MATRICES DE RIESGO
EN LA DIRECCION DE AUDITORIA DE BANCARIBE
Informe final del diseo, ejecucin y evaluacin de un sistema de administracin
de matrices de riesgo para optimizar el proceso de planificacin anual de
auditorias, presentado a la Universidad Simn Bolvar
por Maria del Carmen Allones Alonso
como requisito parcial para optar al ttulo de Especialista en Gerencia de
Empresas, realizado con la tutora del ingeniero Freddy Mrquez









Caracas, Junio del 2007
3
+
UNIVERSIDAD SIMN BOLVAR
DECANATO DE ESTUDIOS DE POSTGRADO
ESPECIALIZACION EN GERENCIA DE EMPRESAS






GESTION DE MATRICES DE RIESGO
EN LA DIRECCION DE AUDITORIA DE BANCARIBE
Este trabajo especial de grado ha sido aprobado en nombre de la Universidad
Simn Bolvar por el siguiente jurado examinador:



___________________
Jurado


___________________
Tutor
Freddy Mrquez




Caracas, Junio de 2007
4


DEDICATORIA Y AGRADECIMIENTOS

Dedico este trabajo a mi esposo e hijos quienes han sido el apoyo en todos los
pasos de mi vida en los ltimos aos, y el cual no sera sencillo lograr todas las
metas y objetivos que siempre estoy tentada de lograr. Gracias por su
comprensin y entender que durante algunos momentos no pude estar con
ustedes por estar logrando mis objetivos.

Gracias a BANCARIBE, especialmente a todo el personal de la Direccin de
Auditora, que me brind la oportunidad de desarrollar este proyecto y me
dieron toda su colaboracin y confianza.

Agradezco tambin a mi tutor acadmico y amigo Ing. Freddy Mrquez, porque
siempre est seguro que puedo lograr todo lo que me propongo y por su
constante apoyo y motivacin.

Quiero tambin agradecer al profesorado de la Universidad Simn Bolvar y a
mis compaeros de estudio por compartir conmigo sus conocimientos y
experiencias, las cuales han sido muy enriquecedoras y fuente constante de
inspiracin.

Por ltimo, gracias a mis familiares y amigos que siempre estuvieron
convencidos de que poda lograrlo.

A todos gracias.

5


RESUMEN

El propsito del presente trabajo fue desarrollar un sistema de gestin de
matrices de riesgo para apoyar a la Direccin de Auditora de Bancaribe que
permitiera optimizar las herramientas de riesgo utilizadas en sus procesos de
planificacin.

Para ello se realizaron levantamientos de informacin con todo el personal de la
Direccin de Auditora y se analizaron los resultados de dichos levantamientos,
los cuales permitieron identificar las debilidades y fallas existentes en los
procesos existes, y determinar las oportunidades de mejora que podan ser
implantadas para optimizar los procesos definidos para elaborar el plan anual de
auditora, y as garantizar que sean evaluados los principales riesgos que
pudieran afectar negativamente la operacin de la empresa y permitir as el
monitoreo y seguimiento constante de los aspectos medulares y crticos del
negocio.

Este proceso implic disear los requerimientos detallados de los usuarios y el
diseo de un sistema que permite administrar de manera eficiente las matrices de
riesgo, para lo cual se definieron las especificaciones y requisitos de la
Direccin de Auditora y el diseo de los procedimientos requeridos para la
inclusin y administracin de informacin en el sistema. Adicionalmente, fueron
consideradas las normas y polticas existentes en la Organizacin que regulan el
desarrollo de sistemas y aplicaciones y las relacionadas con Seguridad de la
informacin.

Palabras claves: auditora, matrices de riesgo, plan anual, oportunidades de
mejora, sistema.


Fecha de Inicio:

Fecha de culminacin:
Estudiante:

Tutor:

6


INDICE

Hoja de Aprobacin ii
Dedicatorias y agradecimientos iii
Resumen iv
Indice v
Introduccin vii

FASE DE PLANIFICACION

1

Captulo I: El proyecto de trabajo especial de grado
I. Justificacin
II. Objetivos de estudio
III. Metodologa
IV. Cronograma de ejecucin


2
2
4
5
7

FASE DE EJECUCION

9

Captulo II: Marco Conceptual Referencial.
2.1. Fundamentos Conceptuales
2.2. Anlisis de riesgo en el proceso de planificacin
2.3. La funcin de Control Interno


10
10
14
16

Captulo III: Marco Organizacional
3.1. La Organizacin BANCARIBE
3.2. La Direccin de Auditora
3.3. Situacin



23
23
27
28

Captulo IV: El examen de la situacin
4.1. Propsitos del proceso


31
31
7

Captulo V: Diseo de la propuesta
5.1. Justificacin de la propuesta
5.2. Objetivos de la propuesta
5.3. Resultados de los levantamientos de informaciln
5.4. Oportunidades de mejora
5.5. Diseo del formato de matrices propuesto
5.6. Diseo del sistema propuesto


36
36
37
37
39
40
43

Captulo VI: El proceso de aplicacin de la metodologa
6.1. Aplicacin de la metodologa
6.2. Presentacin de la propuesta
6.3. Diseo del proceso de gestin de cambio


64
64
70
70

FASE DE EVALUACION

72

Captulo VII: Evaluacin del proyecto
7.1. Resultados relevantes
7.2. Comparacin entre lo planificado y lo ejecutado
7.3. Revisin sobre el cronograma
7.4. Logro de los objetivos planteados en la propuesta del estudio


73
73
75
75
77

Captulo VIII: Conclusiones y Recomendaciones
8.1. Conclusiones
8.2. Recomendaciones


79
79
80

Referencias


82

8


INTRODUCCIN

Los sistemas de informacin son un conjunto de programas interrelacionados, que
forman un conjunto de actividades para alcanzar un objetivo y facilitar la ejecucin
de las operaciones y funciones dentro de una unidad u organizacin.

Por otra parte los sistemas de informacin tambin reducen los tiempos de
ejecucin, mejora los mtodos de acceso a la informacin y proporciona un control
eficiente de los datos.

De esta forma el sistema de informacin diseado para administrar las matrices de
riesgo de la Direccin de Auditora BANCARIBE, tiene como propsito mejorar
los procesos de creacin y mantenimiento de las matrices, para as apoyar de
manera adecuada durante la planificacin de anual de la Direccin.
Adicionalmente, este sistema pretende que los usuarios obtengan acceso rpido a
toda la informacin manejada y evitar inconsistencias en los datos, esto redunda en
la mejora de los procesos y en que los recursos sean destinados efectivamente a
aquellos elementos de riesgo relevante para la Organizacin.

Este informe contiene una serie ordenada de elementos tericos y metodolgicos
que fueron ejecutados para elaborar el diseo del sistema de gestin de matrices de
riesgo.


9










__________________________________________________________________
FASE DE PLANIFICACIN
_________________________________________________________________
CAPITULO I: EL PROYECTO DE TRABAJO ESPECIAL DE GRADO


10


CAPITULO I
EL PROYECTO DE TRABAJO ESPECIAL DE GRADO

En las pginas siguientes se expone el Proyecto de trabajo Especial de Grado
presentado a las instancias correspondientes. Se expone la Justificacin, los
objetivos, la metodologa establecida y el cronograma de ejecucin planificado.

I. JUSTIFICACION.

Las normas internacionales de Auditoria definen a la auditoria interna como una
actividad independiente y objetiva de aseguramiento y consulta, concebida para
agregar valor y mejorar las operaciones de la organizacin

(http://www.jps.go.cr/licitaciones/metodologa de desarrollo de sistemas.doc,
consultado el 19/09/2006).

El desarrollo de la Auditoria interna fue fomentado por el creciente tamao y
descentralizacin de las organizaciones, la gran complejidad y sofisticacin
tecnolgica de sus operaciones y la necesidad de contar con medios
independientes y objetivos que apoyen al negocio en el cumplimiento de sus
objetivos del negocio, aportando un enfoque sistemtico y disciplinado para
evaluar y mejorar la eficacia de los procesos de gestin de riesgos, control y
gobierno

El rea de Auditoria del Bancaribe realiza una actividad de evaluacin de forma
independiente y objetiva, a fin de revisar los controles y operaciones como
servicio a la alta administracin, es decir, sirve de apoyo a la Junta Directiva
11
en sus funciones de vigilancia, seguimiento y control (Reglamento de Rgimen
Interno de la Junta Directiva Bancaribe., marzo 2006, pg 13).
Para lograr sus objetivos, la Unidad de Auditoria aplica una metodologa de
planificacin basada en la administracin integral de riesgos, que consiste en
identificar los objetivos del negocio, los procesos del mismo y los riesgos
potenciales a los que podra estar expuesto (Metodologa de planificacin basada
en riesgo de la Direccin de Auditoria Bancaribe).

Para realizar sta planificacin, la Unidad debe contar las matrices de riesgo que
les permitir identificar los posibles riesgos a ser evaluados, a partir de esta
herramienta los auditores podrn identificar los procesos, actividades, sistemas o
reas a ser auditadas, y con ello elaborar un efectivo plan de trabajo que permita
un monitoreo continuo del entorno del negocio.

La Direccin de Auditoria, a travs de las diferentes gerencias que la integran
deben realizar cada ao la planificacin de las auditorias que sern desarrolladas
en cada semestre, para esto debe contar con una matriz que le permita identificar
los posibles riesgos a ser evaluados, de acuerdo a lo establecido por la Alta
Administracin y los organismos reguladores. Basado en el anlisis de riesgo, el
plan anual ayuda a desarrollar evaluaciones que permiten identificar los riesgos
potenciales a los que pudieran estar expuestas las distintas unidades de negocios
(Manual de normas y procedimientos de la Direccin de Auditoria Bancaribe)

Actualmente las matrices de Riesgo se construyen y manipulan de forma
individual y aislada por cada una de las gerencias que componen el rea de
Auditoria, y se gestionan y administran a travs de hojas de trabajo elaboradas
en Excel, herramienta que no permite centralizar la informacin en una sola base
de datos, incluir nuevos datos que faciliten al auditor elaborar el plan de trabajo
y manejar mayor volumen de informacin de la mencionada matriz.
12

Adicionalmente, la herramienta no permite un control preciso de las matrices y
no se dispone de un estndar para su elaboracin.

Por lo expuesto anteriormente, aparentemente, urge el diseo de una herramienta
tecnolgica para automatizar la elaboracin y administracin de las matrices de
riesgo que permita incluir, modificar, consultar y eliminar datos, as como
tambin administrar la actualizacin de las matrices de manera centralizada para
hacer ms eficiente y eficaz el proceso de planificacin.

En ese contexto, con el presente Trabajo Especial de Grado se espera disear
un sistema de Informacin para Administrar las Matrices de Riesgo que
permitir tener normas y datos concretos de todo el proceso y as elaborar un
efectivo plan anual de Auditoria y obtener los procesos, sistemas y reas a los
que deben enfocarse los esfuerzos del rea.


II. OBJETIVOS DEL ESTUDIO.
Durante la ejecucin del proyecto de trabajo especial de grado se plantearon los
siguientes objetivos:

a) General: Disear un sistema de gestin para administrar las matrices de
riesgo para la Direccin de Auditoria del Bancaribe.

b) Especficos:

Efectuar un diagnstico de la situacin actual del proceso de elaboracin y
mantenimiento de las matrices de riesgo de la Direccin de Auditoria;
13
determinando las oportunidades de mejora en el proceso de elaboracin del
plan de auditoria.
Elaborar una propuesta de sistema de gestin de matrices de riesgo;
definiendo los procedimientos requeridos para la inclusin y actualizacin
de las matrices de riesgo en el sistema.

Evaluar la propuesta elaborada para determinar la viabilidad y factibilidad
de su implantacin.


III. METODOLOGA.
Para el logro de los objetivos propuestos se establecieron los siguientes pasos:


3.1. Elaborar el Marco Conceptual Referencial: Tomando como base
bibliografa especializada en el rea de Auditora, contenida en la pgina web
del Instituto de Auditores Internos (www.theiia.org), en la cual se revis la
documentacin relacionada con las normas internacionales de auditora y
mejores prcticas en materia de administracin y gestin de riesgos, entre las
que se encuentran el Convenio de Basilea, el marco de control interno (Coso y
Coco) y el modelo de evaluacin de riesgos. Esta revisin permiti comprender
el alcance y los objetivos de control que se persiguen con las evaluaciones
basadas en riesgo, de acuerdo a su impacto en la organizacin y la probabilidad
de ocurrencia.


3.2. Elaborar el Marco organizacional: Con base a la informacin contenida
en la pgina web de la empresa www.bancaribe.com.ve y al manual de normas
y procedimientos de la Direccin de Auditora Bancaribe se determin presentar
14
una resea histrica de la empresa, su misin, visin, valores y objetivos, as
como tambin la estructura organizativa de la institucin y de la Direccin de
Auditora.


3.3. Elaborar el diagnstico de la situacin actual: Para realizar el examen de
la situacin se dispuso cumplir con las siguientes tres etapas:

a) Determinar el procedimiento a ser utilizado para recopilar y analizar la
informacin relacionada con los procesos y metodologas actuales aplicadas en
Auditora. Para esto se efectuaron entrevistas y levantamientos de informacin
con todos los involucrados en estos procesos y se definieron los mecanismos que
se utilizarn para presentar los resultados del anlisis.

b) Identificar las oportunidades de mejora de los procesos de acuerdo a la
evaluacin de los resultados del diagnstico de la situacin actual con la
finalidad de determinar los aspectos que pueden ser mejorados, y la manera en
que los mismos sern incluidos en la definicin de requerimientos detallados.

c) Definir los requerimientos detallados, en funcin a las necesidades de los
usuarios y las funciones especiales que debe realizar el sistema, as como
tambin la interrelacin entre las actividades de los diferentes niveles del rea de
Auditora. Adicionalmente se deben propuso incluir los requerimientos
relacionados con el flujo de los datos en el sistema, o sea cules son las entradas,
salidas, esquemas de almacenamiento y procedimientos funcionales para el uso
del sistema.


15
3.4. Elaborar la propuesta para el sistema de gestin de matrices: La
elaboracin de la propuesta implic el desarrollo de las siguientes dos fases:

a) La primera cuyo objeto propuesto fue elaborar el diseo del sistema de
informacin que satisfaga los requerimientos, restricciones y atributos
establecidos por los usuarios en la fase anterior. Partiendo, para ello, de un
prototipo, es decir un modelo lgico que muestra claramente la interaccin entre
los usuarios y el sistema y se definen qu procesos son manuales y cules
automticos, lo cual permite aumentar la comprensin del problema y en qu
medida es solventado por el sistema.

b) En la segunda se estableci definir el proceso de gestin de cambio, el cual se
propuso que contemplara el diseo de una propuesta para la redefinicin de los
procesos que deben ser implantados para el adecuado uso del sistema.
Asimismo, la definicin de los adiestramientos que deben ser impartidos para
vencer la resistencia al cambio y lograr una adaptacin fcil y gil a los nuevos
esquemas.

3.5. Evaluar la propuesta: La propuesta o prototipo del sistema se presentara a
los responsables de la Direccin de Auditora para su revisin y aprobacin. En
esta presentacin se permitira determinar la viabilidad de la propuesta de
acuerdo a las expectativas de los usuarios y de los recursos de los que se
dispone, as como tambin el anlisis del impacto de la instalacin del sistema.


IV. CRONOGRAMA DE EJECUCION.

Para el cumplimiento de los pasos definidos en la metodologa se estableci
cumplir el siguiente cronograma:
16
Actividad Tiempo
Estimado
Fecha Probable
Elaborar el Marco Conceptual
Referencial
3 da 01/12/2006
Elaborar el Marco organizacional 3 da 06/12/2006
Elaborar el diagnstico de la
situacin actual
5 das 11/12/2006
Identificar las oportunidades de
mejora de los procesos
5 das 18/12/2006
Definir requerimientos detallados 5 das 26/12/2006
Elaborar la propuesta para el
sistema de gestin de matrices
10 das 03/01/2007
Evaluacin de la propuesta 1 da 09/01/2007
Disear el proceso de gestin de
cambio
5 das 17/01/2007
Evaluacin del Proceso 1 da 23/01/2007
Elaboracin del informe final de
grado
10 das 24/01/2007


17












__________________________________________________________________
FASE DE EJECUCIN
__________________________________________________________________
CAPITULO II: MARCO CONCEPTUAL REFERENCIAL
CAPITULO III: MARCO ORGANIZACIONAL
CAPITULO IV: EXAMEN DE LA SITUACIN
CAPITULO V: DISEO DE LA PROPUESTA
CAPITULO VI: EL PROCESO DE APLICACIN DE LA METODOOGA

18


CAPITULO II
MARCO CONCEPTUAL REFERENCIAL

Como Marco Conceptual del trabajo se presentan los fundamentos conceptuales
relativos a la gestin de la Auditora Interna, el anlisis de riesgos en el proceso de
planificacin y la funcin de control interno, concluyendo con el marco de control
establecido por el modelo COSO.


2.1. FUNDAMENTOS CONCEPTUALES

2.1.1. Misin de la Auditora Interna:
La Auditora Interna es una actividad independiente y objetiva de aseguramiento y
consulta, concebida para agregar valor y mejorar las operaciones de una
organizacin. Ayuda a una organizacin a cumplir sus objetivos aportando un
enfoque sistemtico y disciplinado para evaluar y mejorar la eficacia de los procesos
de gestin de riesgos, control y gobierno. Asimismo, la funcin de auditora est
regida por las normas internacionales para el ejercicio de la prctica, las cuales son
promulgadas por el Instituto de Auditores Internos (The Institute of Internal
Auditors), el cual se encarga, adems, de emitir pronunciamientos para impartir el
entendimiento de los roles, responsabilidades de la auditora interna, de su
constitucin e inclusive de las guas para la medicin de su desempeo.

2.1.2. Concepto de matrices de riesgo:
Una matriz de riesgo es una herramienta de control y de gestin normalmente
utilizada para identificar las actividades (procesos y productos) ms importantes de
una institucin financiera, el tipo y nivel de riesgos inherentes a estas actividades y
19
los factores exgenos y endgenos que engendran estos riesgos (factores de riesgo).
Igualmente, una matriz de riesgo permite evaluar la efectividad de una adecuada
gestin y administracin de los riesgos financieros, operativos y estratgicos que
impactan la misin de la organizacin.
(http://www.buniak.com/negocio.php?id_seccion=8&id_documento=248, consultado
el 15/03/2007).

2.1.3. Alcance de la Auditora Interna:
El alcance del trabajo de Auditora Interna es determinar si la administracin de
riesgos, control y el proceso de gobierno est diseado y representado por la
Administracin, as como tambin que sea adecuado y que permita asegurar que:
Los riesgos son identificados y administrados.
La informacin financiera es exacta, confiable y oportuna
Exista apego a las polticas y procedimientos
Los programas, planes y objetivos son llevados a cabo.

2.1.4. Responsabilidad de la Auditora Interna:
El Director de auditora interna en el ejercicio de su funcin tiene las siguientes
responsabilidades:

Desarrollar un plan de auditora flexible, usando una metodologa apropiada y
basada en riesgo, que permita evaluar la efectividad de los procesos de la
Organizacin, incluyendo las preocupaciones de los auditados. Este plan debe
ser aprobado por el Comit de Auditora.
Implementar el plan antes mencionado.
Reportar los asuntos identificados durante los trabajos, incluyendo sugerencias
de mejoramiento a los mismos.
20
Mantener un equipo de auditores con suficientes conocimientos, experiencia
para cumplir con las necesidades del departamento (en funcin del plan y los
estatutos)

2.1.5. Independencia y Objetividad de Auditora Interna:
La objetividad y la independencia son las bases esenciales de la funcin de Auditora
Interna.

La independencia de un departamento o gerencia describe su nivel de reporte y la
libertad de interferencia de sus funciones, esto en cierta forma define tambin la
objetividad y sus revelaciones cuando la independencia y objetividad se ven
obstruidas.

La actividad de auditora interna debe ser independiente de las funciones
administrativas, financieras, operativas y de otra ndole, dentro de la organizacin, as
como tambin debe estar libre de inherencias al determinar el alcance de sus
evaluaciones, al desempear su trabajo y al comunicar sus resultados. No slo se
requiere ser independiente sino parecerlo.

Para dar independencia a la Unidad de Auditora, sta debe tener una lnea de reporte
al Comit de Auditora.

Los auditores internos deben tener una actitud imparcial y neutral, y evitar conflictos
de intereses, por lo que cualquier impedimento de hecho o en apariencia que afecte la
Independencia u Objetividad se debe dar a conocer a las partes correspondientes.

2.1.6. Autoridad de la Auditora Interna:
La Auditora Interna debe estar autorizada por la empresa para:

21
Tener acceso sin restricciones a todas las funciones, registros, propiedades o
personal de la organizacin.
Tener libre acceso al Comit de Auditora.
Obtener asistencia del personal de las diferentes unidades donde realizan
auditoras.

2.1.7. El Comit de Auditora, caractersticas y responsabilidades:
Actualmente el papel de un Comit de Auditora en el fortalecimiento de la posicin
de Auditora se reconoce ampliamente. Un Comit de Auditora formado por
directores no gerenciales promueve la independencia tanto de los auditores internos
como externos, especialmente cuando selecciona la firma de Auditora Externa y el
director de Auditora Interna. As, un Comit de Auditora slido protege a los
auditores de influencias que pudieran comprometer su independencia y objetividad.

Las siguientes son algunas de sus caractersticas y responsabilidades:

Debe estar conformado por Directores no gerenciales.
La Junta Directiva de cada compaa debe crear y aprobar un estatuto escrito
que describa las obligaciones y responsabilidades del Comit de Auditora.
El Comit de Auditora debe:
o Revisar la independencia de la Auditora Interna.
o Monitorear el cumplimiento de los cdigos de conducta.
o Tener disponibilidad suficiente de recursos.
o Supervisar el proceso de emisin de informes trimestrales.
o Servir de mediador de disputas entre los auditores y la gerencia.
o Seleccionar al auditor externo, revisar sus honorarios y los trminos de la
contratacin.
o Revisar el plan de trabajo de la auditora del auditor externo.
o Revisar los resultados de las auditora internas y externas.
22
o Reunirse regularmente con el Director de Auditora Interna.
o Revisar las evaluaciones de control interno.
o Revisar los controles operativos, financieros y contables de la empresa.
o Revisar polticas sobre procedimientos no ticos e ilegales.
o Revisar los estados financieros para las Agencias Reguladoras.

( http://www.theiia.org/guidance/standards-and-practices, consultado el 15/03/2007).


2.2. ANLISIS DE RIESGOS EN EL PROCESO DE PLANIFICACIN

2.2.1. Concepto de riesgo:
Riesgo es la probabilidad de que se materialice cualquier situacin negativa que
eventualmente al concretarse pudiera evitar o dificultar que alguno o varios de los
objetivos se logren en la forma y con la oportunidad con que fueron planeados por la
empresa, pudiendo afectar las finanzas de la empresa.

2.2.2. Importancia de la evaluacin y administracin de riesgos:
Es un axioma comn el aceptar que se deben tomar ciertos riesgos para tener xito en
los negocios y an para permanecer en el medio. En este sentido, la administracin es
la responsable de identificar los riesgos e implantar los controles apropiados que
permitan su adecuado manejo.

Un aspecto fundamental en la evaluacin de los riesgos estriba en que no solo es
importante conocerlos sino administrarlos de manera eficiente, esto significa,
determinar cuales eliminar, cuales transferir o reducir y cuales aceptar. Siempre hay
que tener presente la relacin de costo beneficio, ya que resulta incosteable tratar de
obtener una seguridad total o absoluta, es decir cero riesgos.

23
Las personas que procesan las operaciones y tienen la responsabilidad de cumplir las
metas y objetivos, son las que mejor conocen los riesgos que pudieran dificultar el
cumplimiento del objetivo correspondiente, por lo que tambin son los ms
capacitados para definir sus causas. Adicionalmente, son quienes pueden precisar las
mejores acciones para administrar dichos riesgos, puesto que tambin conocen las
condiciones del entorno, los recursos que se podran asignar al efecto y desde luego,
la oportunidad con que se deben aplicar las respectivas acciones de mejora.
Existen riesgos que pueden ser comunes a varios tipos de organizaciones, sin
embargo el Auditor Interno contribuye con su experiencia y conocimiento a la
definicin especfica de los riesgos en la organizacin a la que sirve.

2.2.3. Beneficios de la administracin de riesgos:
La administracin de riesgos dentro de una empresa permite:

Identificar aquellos acontecimientos que puedan impactar en la organizacin
impidindole alcanzar sus objetivos.

Realizar una valoracin de los riesgos de la compaa y gestionar su tratamiento
en funcin del riesgo aceptado en la misma.

Integrar la gestin de riesgos en los procesos de planificacin estratgica de la
compaa, en el control interno y en la operativa diaria de la misma.

Disponer del portafolio de riesgos a nivel global de la compaa y para cada una
de sus divisiones y/o funciones.

http://www.capgemini.es/sectores/finanzas/riesgos.htm consultado el
20/04/2007
24

http://dmi.uib.es/~bbuades/riesgos/sld003.htm consultado el 20/04/2007


2.3. LA FUNCIN DE CONTROL INTERNO

2.3.1. Definicin de Control Interno:
En general puede definirse el concepto de control, como una serie de normas,
tcnicas, y procedimientos a travs de las cuales se mide y corrige el desempeo
de una actividad para asegurar la consecucin de los resultados esperados.

El control interno comprende el plan de organizacin y todos los mtodos y
procedimientos que en forma coordinada, se adoptan en una entidad para
proteger los activos, asegurar la confiabilidad de la informacin, promover la
eficiencia operacional y estimular la adherencia del personal a las polticas pre-
establecidas por la direccin.

2.3.2. Fases del proceso de Control:
El proceso de control contempla la ejecucin de cuatro fases, las cuales se
mencionan a continuacin:
25



2.3.3. Clasificacin de los Controles:
Los controles se clasifican segn:

Su Cobertura: generales y especficos.
Su Naturaleza: manuales y automticos.
Su propsito: disuasivos, preventivos, detectivos, correctivos y recuperativos.
Su estado: implantados, por implantar y descartados.

2.3.4. Estructura de la gestin de control:
La gestin de control contempla tres tipos bien definidos que deben estar bien
diferenciados en las instituciones, y son los siguientes:

26
Control Estratgico: que debe estar a cargo de la Alta Direccin (Junta
Directiva y Gerencia General).
Control Tctico: a cargo de la Administracin Media (Gerencia Media).
Control Operativo: a cargo de la Administracin Baja (Supervisores).


2.3.5. Componentes del control interno:
Para que exista un adecuado ambiente de control dentro de las instituciones ste
debe contemplar los siguientes aspectos:

Objetivos definidos.
Estructura de organizacin slida.
Procedimientos efectivos y documentados.
Personal competente.
Sistema de informacin confiable y oportuna.
Sistema de seguridad.
Sistema de Auditora efectivo.


2.3.6. Enfoques de control - Modelo Coso:
En la evolucin de la teora del control interno se defini en principio a los
controles como mecanismos o prcticas para identificar actividades no
autorizadas, ms tarde se incluy el concepto de lograr que las cosas se hagan; la
corriente actual define al control como cualquier esfuerzo que se realice para
aumentar las posibilidades de que se logren los objetivos de la organizacin.

El modelo COSO trata al control interno como un proceso, efectuado por el
Consejo de Administracin, la direccin y dems personal de una entidad,
27
concebido para proporcionar aseguramiento razonable respecto del
cumplimiento de los objetivos relacionados con:

Confiabilidad de la informacin financiera: Se relaciona con la preparacin
de estados financieros confiables
Eficacia y eficiencia de las operaciones: Relacionado con los objetivos del
negocio incluyendo el desempeo y metas de rentabilidad
Cumplimiento de leyes y regulaciones: Se relaciona con el cumplimiento de
las leyes y las regulaciones a las cuales est sujeta la entidad

Para este modelo, el control interno es:

El corazn de una organizacin.
La cultura, las normas sociales y ambientales que la gobiernan.
Los procesos del negocio (los mecanismos por medio de los cuales una
organizacin produce bienes y/o servicios de valor agregado).
La infraestructura, la tecnologa de la informacin, las actividades, las
polticas y los procedimientos.


2.3.7. Componentes de control del Modelo Coso:
En la evolucin de la teora del control interno se defini

28


Ambiente de control: Se refiere a la conciencia de control de la
organizacin y sus principales factores son:

o Integridad y valores ticos.
o Compromiso y competencia profesional.
o Filosofa de la Direccin y estilo de gestin.
o Estructura de la Organizacin.
o Asignacin de autoridad y responsabilidad.
o Polticas y prcticas del recurso humano.

Establecimiento de objetivos: Los objetivos deben existir antes de que la
administracin pueda identificar potenciales eventos que afecten su
consecucin.

29
Identificacin de eventos: Los acontecimientos externos o internos que
pudieran afectar a los objetivos de la institucin deben ser identificados,
diferenciando entre riesgos y oportunidades.

Respuesta al riesgo: La administracin selecciona las posibles respuestas al
riesgo (evitar, aceptar, reducir o compartir), desarrollando una serie de acciones
para alinearlas con el riesgo aceptado y las tolerancias al riesgo de la
institucin.

Evaluacin de riesgos: Es la identificacin y anlisis de los riesgos que se
relacionan con el logro de los objetivos, la administracin debe cuantificar su
magnitud, proyectar su probabilidad y sus posibles consecuencias. Se debe
prestar especial atencin a:

o Los avances tecnolgicos.
o Los cambios en los ambientes operativos.
o Las nuevas lneas de negocio.
o La reestructuracin corporativa.
o La expansin o adquisiciones.
o El personal de nuevo ingreso.
o El rpido crecimiento.

Actividades de control: Ocurren a lo largo de la organizacin, en todos los
niveles y todas las funciones, incluyendo los procesos de aprobacin,
autorizacin, conciliaciones, etc. Estas actividades deben ser apropiadas para
minimizar los riesgos y deben incluir los siguientes aspectos:

o Las revisiones de desempeo.
o Anlisis de indicadores.
30
o El anlisis de indicadores de desempeo.
o El procesamiento de informacin.
o Los controles fsicos.
o La separacin de funciones.

Informacin y Comunicaciones: Se debe generar informacin relevante y
comunicarla oportunamente, de tal manera que permita a las personas
entenderla y cumplir con sus responsabilidades. Las comunicaciones pueden
ser:
o Formales o informales.
o Vertical u horizontal.

Monitoreo: Los controles internos deben ser monitoreados constantemente para
asegurarse que el proceso se encuentra operando como se plane y comprobar
que son efectivos ante los cambios de las situaciones que les dieron origen. El
alcance y la frecuencia del monitoreo depende de los riesgos que se deseen
cubrir.


http://www.cemla.org/pdf/aud-991109-mex.PDF, consultado el 19/03/2007
http://www.clubgestionriesgos.org/show_annex.html?id=29576, consultado el
19/03/2007
31


CAPITULO III
MARCO ORGANIZACIONAL

Como Marco organizacional del presente trabajo, se desarrollar la descripcin de la
Organizacin para la cual se realiz la propuesta de mejora, el detalle de la
composicin y estructura organizativa de la Direccin de Auditora y una breve
resea de la situacin que presenta esta Unidad.


3.1. LA ORGANIZACIN BANCARIBE

EL BANCO DEL CARIBE, C. A, Banco Universal, (BANCARIBE) fue fundado el
da 12 de febrero de 1954 e inici sus operaciones el da 3 de noviembre del mismo
ao en la ciudad de Puerto Cabello, Estado Carabobo. Su domicilio social fue
cambiado a la ciudad de Caracas, Distrito Federal, en agosto de 1.963.

Actualmente opera en todo el pas, a travs de 119 agencias distribuidas
estratgicamente, de las cuales 70% estn ubicadas fuera de la capital de la
Repblica. Por mandato legal, el Banco del Caribe acta bajo la supervisin de la
Superintendencia de Bancos y Otras Instituciones Financieras y de la Comisin
Nacional de Valores, pues sus acciones estn inscritas en el Registro Nacional de
Valores de Venezuela.

En septiembre de 1.997, BANCARIBE absorbi, mediante el procedimiento de
fusin, al Banco de Inversin del Caribe, C .A., y al Fondo de Activos Lquidos del
Caribe, C. A., para convertirse en Banco Universal.

32
En diciembre de 1.997, la Asamblea de Accionistas de BANCARIBE autoriz el
ingreso de un nuevo socio: Scotia International Limited, una empresa poseda en un
cien por cien, por The Bank of Nova Scotia (Scotiabank), uno de los bancos ms
importantes del mundo, quien suscribi en su totalidad un aumento del capital del
Banco del Caribe, equivalente al 25% del nuevo capital social.

Durante el primer semestre de 2000 culmin el proceso de instalacin de la nueva
plataforma tecnolgica en todas las oficinas en el pas, con lo cual se automatizaron
los procesos y se estableci una relacin con la clientela a travs de nuevas y
modernas formas de comunicacin.

En el ao 2001, BANCARIBE adopt los Principios de Wolfsberg1, como normas
internas para el combate contra la legitimacin de capitales provenientes, no slo del
trfico de sustancias psicotrpicas y estupefacientes, lo cual ya haba sido regulado
por leyes y por la normativa prudencial dictada por la Superintendencia de Bancos y
Otras Instituciones Financieras, sino de cualquier delito, incluidos el terrorismo y la
corrupcin.

En septiembre de 2003, BANCARIBE adapt su Estatuto a las mejores prcticas de
gobernabilidad; no slo a las prcticas de gobierno corporativo recomendadas por
organismos internacionales como la Organizacin para la Cooperacin y Desarrollo
Econmico (OECD), sino especialmente a las recomendaciones del Comit de
Basilea para la Gobernabilidad de las Instituciones Financieras, dirigidas
especficamente a los bancos y otras empresas financieras en todo el mundo y a sus
supervisores y reguladores. De acuerdo a estas prcticas, la junta directiva del Banco
est formada por 14 directores de los cuales 8 son directores independientes, se
encarga de supervisar, controlar y hacer seguimiento a los aspectos ms importantes
de la administracin de la institucin y apoya su actividad en cuatro comits: un
33
Comit de Auditora, Control y Cumplimiento; un Comit de Riesgo, un Comit de
Nombramientos y Remuneraciones y un Comit de Crdito.

El 7 de septiembre de 2006 se hizo pblica la nueva imagen corporativa del Banco
que incorpora el trmino BANCARIBE como el signo distintivo del Banco y del
GRUPO FINANCIERO BANCARIBE. BANCARIBE es el resultado de un largo
proceso evolutivo que abre una nueva e importante etapa en la vida de nuestra
institucin, que nos identifica como un banco gil, flexible e innovador, dedicado con
pasin a conocer y satisfacer las necesidades de la clientela, eficientes en la
prestacin de servicios financieros integrales, dedicado a construir con la clientela,
nuestro personal, nuestros relacionados y con el pas, una relacin de confianza
mutua y duradera, porque tenemos un profundo compromiso con el pas, porque
creemos en Venezuela.

BANCARIBE, es un banco con cultura de Riesgo, ha sido uno de las primeras
instituciones financieras del pas en desarrollar y aplicar una metodologa para
atender el concepto de Riesgo Integral, con el fin de adaptarse a los nuevos Principios
de Basilea y, posteriormente, para atender las disposiciones de la Norma Prudencial
establecida por la Superintendencia y Otras Instituciones Financieras.

A continuacin presentamos la misin y la visin de la empresa, los cuales resumen
los objetivos del negocio y la forma en que los empleados estn comprometidos con
ellos, para determinar el xito no slo de la Institucin, sino tambin el de sus
miembros.
Misin: "Somos socios en la prosperidad de nuestros clientes. Brindamos soluciones
financieras integrales, generadas por la suma del compromiso individual de toda
nuestra gente, creando valor para el pas, para el accionista y para nosotros mismos"
Visin: "Hacemos Gente Prspera"
34

Entre los valores que la Institucin inculca a todos sus miembros, tanto empleados
como accionistas y asociados, se encuentran los siguientes:
Somos conservadores: Hoy igual que ayer, hay una forma de hacer las cosas bien.
Por eso, conservamos el tradicional estilo de hacer dinero, con trabajo. Conservamos
una atencin personal y respetuosa. Y lo ms importante, conservamos nuestros
clientes.

Somos tradicionales: Los tiempos han cambiado, pero el servicio y el respeto hacia
nuestros clientes ha sido el ideal que nos ha acompaado desde hace mucho. La
forma en que concebimos nuestro trabajo es un acto honesto y transparente. Por eso,
por mucho que cambiemos seguiremos con una posicin responsable.

Somos prudentes: No asumimos inversiones arriesgadas, aunque supongan
ganancias jugosas. Preferimos cuidar el capital e invertirlo en negocios seguros, por
eso estudiamos detalladamente cada inversin que realizamos, solo as, podemos
mantener la confianza en nuestros clientes.

Buscamos su prosperidad: La felicidad de compartir cada da con su familia. La paz
de responder cuando se necesita. La satisfaccin de construir un maana mejor. Es la
prosperidad que buscamos para nuestros clientes, amigos y empleados.

No hacemos dinero fcil: Nosotros hacemos dinero igual que usted, trabajando. Por
eso sabemos el esfuerzo que requiere ganar cada bolvar. No jugamos con su dinero,
ni lo despilfarramos, para nosotros es ms importante un negocio seguro que uno
fcil.

Somos su aliado: Porque nunca lo dejamos solo, porque sabemos que trabajar en
equipo con usted es la nica forma de alcanzar las metas. Por eso, confiamos en
35
nuestros clientes, como ellos confan en nosotros. Esta es la alianza que nos ha
convertido en un equipo ganador.

Creemos en Venezuela: Lo hemos dicho antes y lo volvemos a decir ahora, somos lo
que somos gracias a nuestros clientes, quienes en cada rincn de Venezuela nos han
dado su respaldo y confianza. No estamos de paso. Por eso, tenemos un compromiso
con Venezuela, un compromiso profundo con su destino y con el destino de su gente.

Vamos a la vanguardia: Estamos mejorando para darle la mejor a nuestros clientes.
Por eso, estamos especializando a nuestra gente sustentados en tecnologa de
avanzada, que nos pondr a la vanguardia de la banca venezolana durante todo el
siglo XXI.

Tenemos un compromiso con el futuro: Ese es nuestro compromiso, por eso
trabajamos junto a los hombres y mujeres que quieren un maana mejor. El futuro
hay que hacerlo todos los das con optimismo y ganas de trabajar.

3.2. LA DIRECCIN DE AUDITORA

La Direccin de Auditora es un rea de staff que sirve de apoyo a la Junta Directiva
y reporta al Comit de Auditora, control y cumplimiento. Esta rea cuenta en su
estructura organizativa con: El Director de Auditora, una secretaria, la Gerencia de
Medicin de Gestin y Auditoria de Riesgos Integrales y la Direccin Asociada
Auditora de Sistemas y Procesos, que a su vez est compuesta por las Gerencias
Auditora Operativa, Auditora Financiera Auditora de Sistemas y Auditora de
Procesos; a cada una de estas Gerencias estn adscritos los cargos de Auditor Seor,
Semi-senior y Junior. A continuacin se muestra la estructura organizativa de la
Direccin de Auditora.

36


La misin de la Direccin de Auditora es: Desarrollar una actividad de apoyo que
contribuya a mejorar el control interno en la Organizacin, con el fin de propiciar la
mitigacin de aquellos riesgos que puedan afectar los intereses de la institucin.

Y su visin es: Consolidarse como unidad asesora de la organizacin en el proceso
de riesgos y en fortalecimiento del control interno.


3.3. SITUACIN

La Direccin de Auditora, a travs de las diferentes gerencias que la integran deben
realizar cada ao la planificacin de las evaluaciones que sern desarrolladas en cada
semestre, para esto debe contar con diferentes matrices que les permitan identificar
los principales riesgos a los que se encuentran expuestos los procesos del negocio,
Junta Directiva
Comit de Auditora,
Control y Cumplimiento
Direccin de Auditora
Gerencia Auditora
Operativa
Gerencia Auditora
Financiera
Secretara
Direccin Asociada Auditora
Sistemas y Proceso
Auditores
Senior, Semi
Senior y Junior
Gerencia de Medicin de
Gestin y Auditoria de
Riesgos Integrales
Gerencia Auditora
Sistemas
Gerencia Auditora
Procesos
Auditores
Senior, Semi
Senior y Junior
Auditores Senior,
Semi Senior y
Junior
Auditores Senior,
Semi Senior y
Junior
37
para as enfocar las revisiones en los riesgos que podran impactar de manera
negativa a la Institucin, afectando sus balances financieros y los objetivos
organizacionales que se han establecido.

Basado en el anlisis de riesgo, se logra identificar los riesgos potenciales a los que
pudieran estar expuestas las distintas unidades de negocios y, as, establecer el plan
anual donde se definen las auditoras que permitirn evaluar la efectividad de los
mecanismos de control existentes para minimizar el impacto inherente de dichos
riesgos.

Como herramienta base y principal insumo para efectuar el anlisis de riesgo,
actualmente la Direccin de Auditora elabora unas matrices de Riesgo donde se
identifican los principales riesgos a los que se encuentra expuesta la organizacin, as
como tambin la probabilidad de que el riesgo se materialice y el impacto que el
mismo puede ocasionar. Con estos datos se le da una calificacin de riesgo a cada
evento y el enfoque de las evaluaciones va dirigido a los riesgos altos y medios, ya
que son aquellos que deben ser controlados de manera efectiva.

Las matrices se construyen de forma individual por cada gerencia, a travs de la
herramienta Excel. Sin embargo, esta herramienta no permite consolidar toda la
informacin en una sola base de datos, dificulta incluir nuevos datos que faciliten al
auditor elaborar el plan de trabajo y manejar altos volmenes de informacin, por lo
que no se puede determinar, en un momento dado, si la cobertura de las evaluaciones
contempla todos los riesgos importantes o si se estn duplicando esfuerzos evaluando
el mismo riesgo a travs de las diferentes Gerencias de Auditora.

Por ello, se requiere automatizar el modo de elaboracin de las matrices de riesgo
por medio de un sistema de informacin que permita incluir, modificar y eliminar
datos de manera dinmica y oportuna, as como tambin administrar y efectuar
38
consultas de todas las matrices de riesgo, de manera eficaz por cada una de las
Gerencias de Auditoria.


39


CAPITULO IV
EL EXAMEN DE LA SITUACIN

4.1. PROPSITOS DEL PROCESO
Con la finalidad de apegarse a las mejores prcticas de la industria y a las normas
internacionales definidas para la prctica de la auditora, desde el ao 2003 la
Direccin de Auditora, desarroll una metodologa denominada Metodologa de
planificacin basada en riesgo, la cual sirve de base para elaborar la planificacin
anual de la Unidad, desde la perspectiva de un anlisis de riesgo detallado de todos
los procesos, reas y sistemas de la empresa, para as identificar aquellos que tienen
un mayor impacto y mayor probabilidad de ocurrencia para la Organizacin, lo cual
podra impactar negativamente el logro de sus objetivos y los resultados financieros
de la misma.

La metodologa establece que cada una de las reas de la Direccin de Auditora debe
determinar los eventos de riesgo asociados a cada proceso, rea y/o aplicacin
tecnolgica. Una vez identificados los eventos de riesgo se debe valorar, para cada
uno de ellos, el impacto que podra tener para la Empresa en caso de que se
materialice o se concrete el evento, as como tambin se debe valorar la probabilidad
de que el evento ocurra, la cual viene dada por la calidad de los controles implantados
en la Organizacin, cuanto ms dbiles sean los controles mayor la probabilidad de
ocurrencia.

El valor del impacto y la probabilidad es definido por la metodologa en nmeros que
van desde el 1 hasta el 9. Una vez que se disponga de los valores correspondientes al
impacto y la probabilidad la metodologa indica que se debe calcular la valoracin de
riesgo para cada uno de ellos, la cual se obtiene a travs de la siguiente frmula:
40
Riesgo = (Impacto x 0.60) + (Probabilidad x 0.40)
2

El valor obtenido indica el nivel de riesgo al que se encuentra expuesta la
empresa, en caso de que el evento se materialice, y el cual se mide a travs de las
siguientes escalas:

Del 1 al 3 el riesgo es Bajo.
Del 4 al 6 el riesgo es Medio.
Del 7 al 39el riesgo es Alto.

Cada una de las Gerencias de Auditora realiza una identificacin de los eventos
de riesgo y procede a valorar la exposicin a la que se encuentra la empresa para
cada uno de ellos. Una vez obtenidos los eventos se procede a construir las
matrices de riesgo, las cuales son el elemento bsico para establecer la
planificacin y definir los programas de trabajo que sern realizados durante el
proceso de ejecucin de auditoras.

La planificacin de las auditoras se realiza seleccionando los riesgos altos y
medios de las matrices y tienen por finalidad evaluar la efectividad y adecuacin
de los controles establecidos para proteger a la Organizacin en caso de que se
concreten dichos riesgos. Una vez definidas las auditoras se procede a
determinar las horas requeridas para ejecutar las mismas y a asignar los recursos
tanto humanos como materiales que sern requeridos por las mismas. A
continuacin se presenta un diagrama del proceso de planificacin definido en la
Direcci{on de Auditora:
41


Sin embargo, y a pesar de que todas las Gerencias de Auditora utilizan la misma
metodologa para efectuar el proceso de planificacin anual, la misma no es
especfica en cuanto a la forma como deben plasmarse los resultados de la
identificacin de riesgos y no establece estndares ni lineamientos para la
elaboracin de las matrices. Debido a esto, cada Gerencia ha desarrollado su
propio esquema de elaboracin, los cuales difieren entre s, en cuanto a la
informacin manejada y a la presentacin de la misma. A continuacin, se
presenta una muestra de los diferentes formatos manejados por las reas:


Riesgo Proceso Sub-Proceso Alto Medio Bajo Alta Media Baja Valoracin Iinal
Impacto Probabilidad



42
Impacto Probabilidad
Procesos Asociados
Riesgo
Riesgo



Calificacin
deRiesgo
Auditor encargado Area Afectada Impacto Probabilidad Evento de Riesgo


Por otra parte, cada Gerencia de Auditora no dispone de acceso a la informacin
de las matrices elaboradas por las dems unidades, por lo que, existen eventos y
matrices duplicadas, y en algunos casos se han detectado duplicidad de esfuerzos
en la revisin de los mismos riesgos por parte de las diferentes Unidades del rea.
Adicionalmente, no se tiene certeza de que los recursos son utilizados de manera
efectiva y no se puede garantizar que se estn evaluando todos los riesgos altos y
medios que han sido identificados y que el alcance establecido para las
evaluaciones sea adecuado para proporcionar a la empresa un anlisis razonable
del estado de su control interno.

Debido a todas las debilidades del proceso, se decidi elaborar una propuesta para
automatizar las matrices de riesgos, lo cual permitira estandarizar la informacin
manejada por las diferentes Unidades, as como tambin actualizar y consultar
toda la informacin disponible, lo cual permitir optimizar la utilizacin de los
recursos y garantizar que no se estn duplicando esfuerzos en la ejecucin de las
auditoras.

En este sentido se efectuaron una serie de levantamientos de informacin con los
responsables de las diferentes Gerencias, con la finalidad de conocer las
actividades actuales que son ejecutadas para elaborar las matrices de riesgos y la
planificacin anual.

Los resultados del levantamiento de informacin fueron analizados y se present
al Director de la Unidad y a los Gerentes la identificacin de las debilidades y las
43
oportunidades de mejora que podan ser aplicadas para optimizar el proceso, as
como tambin los requerimientos detallados que deban ser considerados para el
diseo del sistema.

44


CAPITULO V
DISEO DE LA PROPUESTA

A continuacin se presenta la justificacin de la propuesta de desarrollo del
sistema, los objetivos de la misma, las oportunidades de mejora identificados
para el proceso, el diseo propuesto para el sistema, diseo del proceso de
elaboracin y carga de las matrices en el sistema y el diseo del proceso de
gestin de cambio para la implantacin del sistema y de los nuevos procesos.


5.1. JUSTIFICACIN DE LA PROPUESTA
Las actividades de planificacin de la Direccin de Auditora se ven dificultadas
por el hecho de de que la informacin requerida para ejecutar este proceso, las
matrices de riesgo, se elaboran y manipulan de manera manual. Adicionalmente,
la informacin es generada y utilizada de manera aislada por cada una de las
Gerencias que componen la Direccin, lo cual, no garantiza que las evaluaciones
planificadas sean las ms adecuadas para cubrir razonablemente los principales
riesgos a los que se enfrenta la Organizacin.

Por otra parte, no se dispone de un estndar para la elaboracin de las matrices ni
para la valoracin de los riesgos, lo que trae como consecuencia, que cada Unidad
tenga su diseo propio y manejen informacin diferente, por lo que no existe un
control preciso de la informacin manejada.

Adems, no es fcil determinar efectivamente si se est invirtiendo una cantidad
excesiva de horas hombre de las diferentes Gerencias para revisar los mismos
riesgos, y si se estn dejando de evaluar otros riesgos que son necesarios controlar
45
y que pudieran significar un impacto negativo en la Empresa, en caso de que se
materialicen.

Por todas estas razones, se requiere disear un sistema de informacin para
Administrar las Matrices de Riesgo, el cual permitir unificar la informacin
manejada por las diferentes Gerencias e identificar de manera eficiente los riesgos
que deben ser evaluados, asimismo, optimizar el control de las actividades de los
recursos con los que cuenta la Direccin y se podrn definir adecuadamente los
procesos, sistemas y reas en los que deben enfocarse sus esfuerzos.


5.2. OBJETIVOS DE LA PROPUESTA
Los objetivos que se persiguen con esta propuesta son los siguientes:

Disear un sistema de gestin para administrar las matrices de riesgo para la
Direccin de Auditoria de Bancaribe.
Establecer un estndar para la elaboracin de las matrices y la valoracin de los
eventos de riesgo.
Definir los responsables para la administracin del sistema.
Establecer los procedimientos para el ingreso y actualizacin de la informacin
en el sistema.
Disear el proceso de gestin de cambio.


5.3. RESULTADOS DE LOS LEVANTAMIENTOS DE INFORMACIN:
Se efectuaron reuniones con todos los Gerentes de la Direccin de Auditora para
levantar el proceso ejecutado para elaborar la planificacin anual y as identificar
las debilidades existentes en el proceso y el impacto de las mismas, y determinar
las oportunidades de mejora que se van a incluir en el proceso con la implantacin
46
del sistema propuesto. A continuacin se muestran los resultados obtenidos en los
levantamientos de informacin:

No se realiza anlisis del entorno
interno / externo
X
No se consideren algunos aspectos relativos a plan
de negocio, polticas, cambios en los procesos,
cambios en los sistemas, regulaciones y/o mejores
prcticas, en el plan anual de auditora / Ejecucin
de auditora no alinedas al logro de los objetivos
estrategias del negocio
No existe un check list para validar
los insumos necesarios para realizar
el plan anual de auditora
X X
No se valida efectivamente los insumos necesarios
para elaborar el plan anual
No se realizan reuniones con los
dueos de los procesos para
levantaar la informacin referente a
las leyes y/o normativas, requerida
para elaborar el plan.
X
No se consideren aspectos regulatorios en la
planificacin.
Informacin inoportuna de los
proyectos aprobados por el Comit
Ejecutivo.
X
La cobertura de la participacin en los proyectos no
es adecuada
Inexistencia el mapa de proceso del
Banco.
X X
Desconocimiento de la totalidad de los procesos del
banco / Limita la planificacin por procesos.
No existe un control de horas
invertidas en la planificacin
X
Cualquier actividad imprevista (reposo, trabajo
especial, otros) puede afectar el cumplimiento de la
planificacin
No se consideran las horas
improductivas en la planificacin
anual.
X
Cualquier actividad imprevista (reposo, permisos,
otros) puede afectar el cumplimiento de la
planificacin
Horas hombre no disponible para
revisar los riesgos medios
X
Sin evaluar una cantidad importante de riesgos
medios identificados.
No se consideran las horas de
diseo de la revisin, induccin,
redaccin y discusin de informes
entre otros
X Retraso en la ejecucin de la planificacin.
No se consideran las horas
administrativas en la planificacin
anual.
X
Tiempo invertido en la revisin de papeles de
trabajo, viaticos, elaboracin del presupuesto anual,
trabajos especiales, entre otros.
No se consideran las horas hombre
para el diseo o rediseo de
pruebas
X Tiempo invertido no planificado ni medido
Entrega inoportuna de la planificacin a la Direccin
Permanencia frecuente de los auditores en las
reas / No se atacan actividades comunes
No existe interaccin entre las
distintas gerencias al momento de
realizar y/o revisar la planificacin
anual
X X X X Entrega inoportuna de la planificacin a la Direccin
Inexistencia de un formulario
estandar para elaborar el plan anual
X X Informalidad en la presentacin del plan anual
Inexistencia de herramientas
tecnolgicas que faciliten la
elaboracin del plan anual
X X X X
Reprocesos en la elaboracin y entrega inoportuna
del plan anual
No se considera la existencia de
nuevas estrategias de negocio
X X
No est alineado el plan anual de auditora con las
estrategias de negocio del banco
Retrabajo
Fuente
de
Error
Impacto / Consecuencia
Categoras de Debilidades
No Agrega
Valor
Cuello de
Botella Redundancia
Debilidades
X X X X
No existe interaccin entre las
distintas gerencias al momento de
realizar y/o revisar la planificacin
anual


47
5.4. OPORTUNIDADES DE MEJORA
A partir de las debilidades ya identificadas se efectu un anlisis para identificar
las oportunidades de mejora que pudieran ser aplicadas para la solucin de dichas
debilidades. Los resultados de este anlisis son presentados a continuacin:

Definir un mecanismo que permita analizar el entorno externo / interno.
Elaborar un check list que permita validar los insumos necesarios en la
planificacin anual.
Realizar mesas de trabajo con los dueos de los procesos, previa a la
planificacin para conocer los procesos a ser auditados.
Realizar reuniones previas con los dueos de los procesos a fin de conocer los
cambios.
Solicitar a los lderes de los proyectos el listado de proyectos aprobados con
sus respectivos cronogramas.
Solicitar a la unidad de procesos del banco el mapa o diagrama de procesos de
la institucin y/o elaborar un mapa de procesos desde la visin de la Direccin
de Auditora.
Iniciar la planificacin a partir del entorno interno y externo, en el cual se
identifican los aspectos claves.
Considerar en la planificacin anual horas para actividades extraordinarias.
Considerar en la planificacin anual horas improductivas.
Analizar la valoracin de los riesgos medios para determinar las prioridades de
revisin.
Asignar las horas reales para la ejecucin de las revisiones.
Considerar en la planificacin anual horas para actividades administrativas.
Considerar en la planificacin anual horas para el diseo y/o rediseo de
pruebas.
Realizar mesas de trabajo previa revisin de la direccin con el fin de integrar
los conceptos y contenido de plan anual.
48
Cdigo
Cdigo
Coordinar las revisiones comunes en las distintas reas del banco con la
finalidad de formar equipos de auditora integrales.
Realizar mesas de trabajo previa revisin de la direccin con el fin de integrar
los conceptos y contenido de plan anual.
Establecer un formato estndar para la elaboracin de las matrices de riesgo.
Implantar un Sistema Integrado donde se puedan incluir todas las matrices de
riesgo manejadas por la Direccin de Auditora.
Documentar el proceso de planificacin anual


5.5. DISEO DEL FORMATO DE MATRICES PROPUESTO
Del levantamiento de informacin realizado entre las diversas reas de la
Direccin de Auditora, y en base a las necesidades de informacin que son
requeridas para el proceso de planificacin, se propuso el siguiente formato, para
la construccin de las matrices de riesgo. Este formato recoge todas las
necesidades de las Gerencias y sern parte de los requerimientos funcionales del
sistema propuesto.

Bajo Medio Alto Baja Media Alta
Tipo de
Revisin
Prueba
asociada al
riesgo
Frecuencia
Revision de auditora
Valoracin
Justificacin
de la
valoracin
Normativa
formal
Clasificacin
de Riesgo
Cdigo Proceso
Impacto 60% Probabilidad 40%
Sub-Proceso
Evento de
Riesgo


Adicionalmente, se desarrollaron una serie de instrucciones para proporcionar gua a
los usuarios sobre la informacin requerida en cada uno de los campos definidos.

1. Cdigo del Riesgo.




Crear el cdigo del riesgo, de acuerdo a la siguiente nomenclatura:

XXX-YYY-ZZZ-W-000, donde:
XXX = Nmero secuencial del Proceso (Se necesita el mapa de Procesos)
49
Proceso Sub-Proceso
Proceso Sub-Proceso
Alto Medio Bajo
Impacto
60%
Alto Medio Bajo
Impacto
60%
Evento de
Riesgo
Evento de
Riesgo
YYY = Nmero secuencial del Sub-Proceso (Se necesita el mapa de Procesos)
ZZZ = Nombre segn el Tipo de Riesgo (Determinado por la resolucin 136.03)
W = Cdigo de rea de Auditora (Codificar las cinco reas)
000 = Secuencial Numrico

Ejemplo:

001- 011- 001- 1- 001

Proceso 001 = Gestionar Crditos
Sub-Proceso 011 = Analizar Crditos
Tipo de Riesgo 001 = Riesgo Operacional
rea de Auditora 1 = Gerencia de Procesos
Secuencial 001 = Evento de Riesgo nmero 1


2. Evento de Riesgo.




Indicar el evento de riesgo correspondiente al proceso y/o subproceso a evaluar, de
acuerdo al anlisis de las leyes, polticas, normas y circulares existentes; as como a
la experiencia de auditoras anteriores.


3. Proceso / Subproceso.




Indicar el nombre del Procesos y/o Subprocesos a evaluar, de acuerdo al Mapa de
Procesos, Diagrama o alguna documentacin suministrada por la Direccin Asociada
de Procesos y Unidades del Banco del Caribe.


4. Impacto.




De acuerdo al evento de riesgo, estimar el Impacto del riesgo, considerando los
siguientes criterios:

50
Alta Media Baja
Probabilidad
40%
Alta Media Baja
Probabilidad
40%
Tipo de
Revisin
Prueba
asociada al
riesgo
Frecuencia
Revision de auditora
Tipo de
Revisin
Prueba
asociada al
riesgo
Frecuencia
Revision de auditora
Alto: Disminucin de la capacidad para alcanzar los objetivos del negocio.
Medio: Alteracin en la operacin normal con efecto limitado en la realizacin de los
objetivos y estrategias del negocio.
Bajo:No impacta la realizacin de los objetivos y estrategias del negocio.

El impacto resultante del anlisis del evento de riesgo, tendr una ponderacin del
sesenta por ciento (60%).


5. Probabilidad.



De acuerdo al evento de riesgo, estimar la Probabilidad de ocurrencia del riesgo,
considerando los siguientes criterios:

Alto: Por encima del sesenta y seis por ciento (66%) de ocurrencia.
Media: Por encima del treinta y tres por ciento (33%) de ocurrencia.
Bajo: Uno por ciento (1%) mnimo de probabilidad de ocurrencia.

La Probabilidad resultante del anlisis del evento de riesgo, tendr una ponderacin
del cuarenta por ciento (40%).


6. Valoracin y Justificacin de la Valoracin



Se debe calcular la Valoracin del riesgo, de acuerdo al resultado obtenido del
impacto y la probabilidad de ocurrencia del evento de riesgo.

La Documentacin de la Valoracin, consiste en justificar o realizar una descripcin
del evento del riesgo.


7. Clasificacin de Riesgo.



Se debe indicar el tipo riesgo asociado al evento: Operacional, Reputacional,
Mercado (Tasa de inters, cambio y precio), Liquidez, Crdito, Legal
8. Revisin de Auditora.


Valoracin
Justificacin
de la
valoracin
Clasificacin
de Riesgo
51
Normativa formal

Se debe indicar el Tipo de Revisin para evaluar el evento de riesgo: A distancia, en
Sitio, mixta, alerta Temprana

Indicar la Prueba mediante la cual se evaluar el evento de riesgo.

Indicar la Frecuencia de revisin del evento de riesgo: Diaria, Semanal, Quincenal,
Mensual, Bimensual, Trimestral, Semestral, Anual.



9. Normativa Formal.



Aqu se debe detallar la fuente de informacin (leyes, normas, circulares, manuales,
entre otras) que permite documentar el evento de riesgo.


5.6. DISEO DEL SISTEMA PROPUESTO

5.6.1. Informacin que debe ser manejada por el sistema:
1. Cdigo del evento de riesgo.
2. Evento de riesgo.
3. Proceso asociado
4. Sub proceso asociado
5. Impacto
6. Probabilidad
7. Valoracin
8. Justificacin de la valoracin
9. Clasificacin de riesgo
10. Tipo de revisin de auditora
11. Pruebas asociadas a la revisin
12. Frecuencia de la revisin
13. Normativa que rige el evento de riesgo.
52

5.6.2. Requisitos de entrada del sistema:
1. Los usuarios podrn acceder al sistema segn su perfil, el cual limitar sus
funciones dentro del mismo
2. Los usuarios deben poseer una clave nica para el acceso al sistema.
3. Las claves no sern conocidas por ninguna persona.
4. Todo el personal Adscrito a la Direccin de Auditora podr consultar datos de
la Matriz de Riesgo.
5. Se restringe el incluir, modificar y eliminar datos a usuarios que cumplan con
un perfil determinado.

5.6.3. Requisitos de salida del sistema:
1. El ingreso de la informacin deber realizarse de manera fcil y con la menor
cantidad de pantallas posible.
2. Presentar los datos de forma amigable y sencilla, con informacin confiable.
3. Generar Reportes y/o consultas estandarizados, sencillos y prcticos.
4. Poder exportar la Informacin a cualquier otro programa (Word, Excel,
Powerpoint, etc.) para poder ser manipulada y presentada a diferentes niveles.
5. Hacer consultas dinmicas que permitan escoger entre diversos campos y
diversas combinaciones.

5.6.4. Requisitos de almacenamiento:
1. Se debe disponer de una base de datos nica para todas las Gerencias de la
Direccin de Auditora.
2. El acceso a la actualizacin de la base de datos debe estar restringida para el
administrador de la misma.

5.6.5. Requisitos funcionales:
53
1. El diseo del sistema debe estar sujeto a los estndares de la empresa, en lo
relacionado a lenguajes de programacin y estructuracin de las bases de datos.
2. El sistema debe validar las claves de acceso correspondientes a cada usuario.
3. Se debe poder actualizar los datos cada vez que se requiera.
4. Se deben definir consultas que faciliten la toma de decisiones y que puedan ser
accedidas por todo el personal.
5. Que cada usuario pueda seleccionar el tipo de informacin que requiere.
6. Los eventos de riesgos deben ser codificados a travs de un formato ya
establecido, que lo enlace a ciertos datos que facilitaran su consulta.
7. El sistema debe efectuar los clculos pertinentes de Valoracin de Riesgos.

5.6.6. Requerimientos operacionales:
En esta actividad se identificaron los equipos necesarios para operar el sistema, as
como tambin algunas actividades claves que deben ser consideradas:

1. Revisin de los estndares operativos
2. Horarios / ciclos de negocio
3. Recuperacin de datos y de operacin
4. Medios de almacenamiento
5. Distribucin de salidas
6. Equipos necesarios: unidades de cintas, computadores, modem, terminales, etc.

5.6.7. Arquitectura del sistema:
Los requisitos de arquitectura tecnolgica definidos fueron los siguientes:

1. Control de acceso: Esta fase defini los requerimientos de seguridad para
controlar el acceso fsico y lgico del sistema, de acuerdo a lo establecido en
las polticas de seguridad de la informacin de la Organizacin. Se
consideraron los siguientes aspectos:
54
a. Niveles de seguridad
b. Custodia compartida
c. Contraseas y claves
d. Archivos de seguridad
e. Encriptacin
f. Dispositivos de seguridad

2. Descomposicin del diseo: Se descompuso el complejo diseo del negocio en
un proceso manejable de componentes tal como se describe a continuacin:
a. Descomponer sistemas en programas
b. Descomponer programas en mdulos
c. Dependencias de programas y mdulos
d. Consideraciones de solapamiento

3. Interfaces: En esta actividad se defini la informacin que debe intercambiarse
con otros sistemas de la Organizacin, y los formatos en que se debe ejecutar
dicho intercambio. Aqu se definieron los siguientes elementos:
a. Programas
b. Procesos
c. Otros sistemas

4. Integridad de la data: El propsito de esta actividad es identificar el proceso
requerido para prevenir o detectar datos invlidos. Se deben considerar los
siguientes aspectos:
a. Razonabilidad de la informacin
b. Cuadre y balanceo
c. Auditabilidad
d. Chequeos de validacin
e. Cantidad de registros en archivos y tablas
55
f. Totales
g. Puntos de control y chequeo
h. Procesos

5. Identificacin de procesos comunes: Aqu se identificaron las entidades
reutilizables que existen actualmente, o que deben ser creadas y pueden ser
requeridas en aplicaciones futuras. Se identificaron las siguientes entidades.
a. Archivos
b. Cdigos de programas
c. Estndares de la industria externa
d. Software preestablecido

5.6.8. Ambiente Tcnico:
El propsito de esta actividad es definir la plataforma ptima y la red que satisfaga
los requerimientos de procesamiento del negocio:

1. Plataforma: Es la combinacin de hardware, software y modos de
procesamiento requeridos para soportar la operacin del sistema. Se
contemplaron los siguientes elementos:
a. Consideraciones de solapamiento
b. Centralizacin descentralizacin
c. Distribucin
d. Cantidad de usuarios (nicos o mltiples)
e. Idiomas de operacin
f. Captura de datos en lnea
g. Procesamiento de lotes (batch)

2. Red: Son los medios de comunicacin necesarios para soportar la transferencia
de informacin entre las diferentes entidades de la plataforma tecnolgica.
56

5.6.9. Opciones que debe contemplar el sistema:
1. Administrar la seguridad del sistema:
a. Registrar usuarios.
b. Modificar datos de usuarios.
c. Consultar usuarios.
d. Actualizar cargos

2. Administrar las matrices de riesgo
a. Incluir matrices de riesgo.
b. Modificar matrices de riesgo.
c. Consultar matrices de riesgo.
d. Eliminar matrices de riesgo.
e. Incluir, actualizar y eliminar eventos de riesgo.

3. Administrar mapa de procesos.
a. Incluir procesos.
b. Modificar procesos.
c. Consultar mapa de procesos.
d. Eliminar procesos.

4. Actualizar Gerencias de auditora.

5. Actualizar tipos de auditoras.

6. Actualizar frecuencia de auditoras.

5.6.10. Diagramas de caso de uso:
57
Los requisitos funcionales del sistema se determinaron mediante la elaboracin de los
casos de usos mostrados a continuacin:



5.6.11. Diagramas de secuencia del sistema:
Los diagramas de secuencia mostrados a continuacin muestran las interacciones
entre los objetos organizados en una secuencia temporal, estos incluyen secuencias
temporales pero no incluyen relaciones entre objetos.
58
1. Diagrama de secuencia controlar seguridad: Este diagrama muestra la
interaccin de los usuarios con el Sistema, se muestra de manera cronolgica,
los diferentes pasos requeridos para la validacin de un usuario.





2. Diagrama de secuencia creacin de usuarios: Este diagrama muestra como
interactan el usuario, el administrador y el Sistema, as como tambin los
pasos requeridos para incluir un usuario al sistema.

59



3. Diagrama de secuencia inclusin de matrices: aqu se indica cmo debe ser
construidas las matrices por cada Gerencia e incluidas en el sistema siguiendo
los pasos mostrados en la mencionada figura, aqu interactan el administrador
del sistema. y/o los usuarios con el sistema.
60



4. Diagrama de secuencia modificacin de matrices: aqu se describe la
secuencia de eventos que se deben ejecutar para modificar las matrices, es de
notar que solo puede ser modificada o actualizada por el administrador de las
matrices de Riesgo, para esto debe ser aprobado previamente por el gerente de
cada rea.
61




5.6.12. Atributos:
A continuacin se muestran las estructuras que deben poseer las bases de datos para
gestionar en el sistema los diferentes procesos establecidos.

Usuarios: Permite registrar los datos de los diferentes Usuarios del sistema.
62
Campo Tipo Null Clave Descripcin
U_cod_usuario String No PK Clave personal que el banco establece a
cada empleado (BC)
U_nombre String No Nombre y Apellido del Usuario
U_administrador bolean Si o no es Administrador de la base de
Datos
U_perfil String No Se refiere al perfil del usuario que puede
ser Todos los accesos y derechos, de
carga el cual se le permite incluir
matrices, mantenimiento, seguridad, para
administrar tablas.


Cargo: Registra los cargos adscrito a la Direccin de Auditora.

Campo Tipo Null Clave Descripcin
C_cod_cargo String*
3
No PK Cdigo de los cargos adscritos a la
Direccin de Auditora (DA)
C_cargo String No Nombre del cargo adscrito a la DA


Matriz de Riesgo: Permite registrar la descripcin de las matrices de riesgos de cada
gerencia de Auditora con los datos Cdigo gerencia, cdigo proceso, cdigo
subproceso, cdigo Riesgo, secuencial, Fecha, Evento de Riesgo, impacto,
probabilidad, valoracin, causa del valor, afecta a prevencin, el tipo de revisin, la
prueba asociada, la frecuencia y la norma.



63
Campo Tipo Null Clave Descripcin
M_cod_Matriz String*3 No PK Secuencial Numrico para cada
matriz
M_fecha Date No Fecha en que se realiza la
actualizacin de la matriz
M_evento String No Descripcin del evento de
Riesgo correspondiente al
proceso y subproceso a avaluar.
M_impacto Entero No Impacto del riesgo
M_probabilidad Entero No Probabilidad de ocurrencia del
riesgo.
M_valoracin Singel No Relacionado con el valor del
riesgo, de acuerdo al resultado
obtenido del impacto y la
probabilidad de ocurrencia del
evento.
M_justificacin String No Causa de la valoracin del
evento de riesgo.
M_afecta_Prevenci
n
Bolean Identifica si el evento de riesgo
afecta prevencin.
R_cod_Revisin String No Tipo de revisin para evaluar el
riesgo.
M_Prueba String Prueba asociada al riesgo
F_cod_frecuencia String No Frecuencia de revisin del
evento de riesgo
M_Normativa String Fuente de informacin que
documenta el evento de Riesgo.


64
rea de auditora: Se registran las diferentes gerencias de Auditora existentes en el
rea como son: centralizada, sistemas, procesos, operativa y riesgos.

Campo Tipo Null Clave Descripcin
A_cod Gerencia String*
3
No PK Cdigo de las gerencia adscritos a la
Direccin de Auditora (DA)
A_Gerencia String No Nombre de las Gerencias de la DA

Riesgos: Se registran los tipos de riesgos aprobados por la alta Administracin y los
Organismos Reguladores, a saber, Operacional, reputacional, financiero, Crdito y
legal.

Campo Tipo Null Clave Descripcin
R_cod_riesgo String*
3
No PK Cdigo de los tipos de riesgos.
C_riesgo String No Nombre del tipo de riesgo.

Macro Procesos: Se registran los macro procesos a los cuales se asocia el riesgo.

Campo Tipo Null Clave Descripcin
Mp_cod_ Macro String*2 No PK Cdigo del Macro proceso
Mp_Macro _ proceso String No Nombre del Macro proceso

Proceso: Se registran los procesos asociados a los Macro procesos.

Campo Tipo Null Clave Descripcin
P_cod _proceso String*3 No PK Cdigo del proceso
P_Proceso String No Nombre del Proceso

65

Subproceso: Se registran los subprocesos asociados a los procesos.

Campo Tipo Null Clave Descripcin
S_cod_Subproceso String*3 No PK Cdigo del subproceso
S_subproceso String No Nombre del subproceso

Tipo de Revisin: Se registran los tipos de revisin para evaluar el evento de riesgo:
a distancia, en sitio, Mixta o alerta temprana.

Campo Tipo Null Clave Descripcin
R_Cod_ Revisin String No PK Cdigo del tipo de Revisin
R_Tipo_Revisin String No Nombre del tipo de Revisin.

Frecuencia: Se registran la frecuencia de revisin del evento de riesgo: Diaria,
semanal, quincenal, mensual, bimensual, trimestral, semestral o Anual.
Campo Tipo Null Clave Descripcin
F_Cod_Frecuencia String No PK Cdigo de la frecuencia .
F_frecuencia String No Frecuencia de revisin.

Perfil: Se registran en esta tabla el cdigo y descripcin de los perfiles de acceso al
sistema.

Campo Tipo Null Clave Descripcin
P_Cod_Perfil String*
1
No PK Cdigo del perfil
P_descripcin String No Descripcin del perfil

Acceso: Se registran en esta tabla el cdigo del perfil el cdigo del modulo
66
relacionado con cada perfil y las acciones permitidas

Campo Tipo Null Clave Descripcin
A_Cod Perfil String*
1
No Cdigo del perfil
A_Cod_Modulo String*
1
No Cdigo del modulo
A_Acceso Bolean Indica si tiene acceso al modulo
A_Crear Bolean Muestra si puede crear campos
A_Modificar Bolean Muestra si puede modificar campos
A_Eliminar Bolean Muestra si el usuario puede eliminar.

Modulo: Se registran en esta tabla el cdigo y descripcin de los perfiles de acceso al
sistema.

Campo Tipo Null Clave Descripcin
M_Cod modulo String*
1
No PK Cdigo del modulo
M_Modulo String No Descripcin del modulo


5.6.13. Diagrama de clases de diseo:
A continuacin se presenta el diagrama de clases de diseo del sistema.

67



5.6.14. Esquema de bases de datos:
El diagrama entidad relacin muestra las relaciones de la base de datos y el contenido
de sus tablas.
68


5.6.15. Funcionalidad del sistema:
Se elabor un prototipo del sistema en el cual se contempl que el mismo consiste en
cuatro (4) mdulos, que son los siguientes: matriz de riesgos, consultas,
administracin y seguridad. Cada mdulo presentar varias opciones de acuerdo a
los requerimientos establecidos. A continuacin se detalla brevemente la
funcionalidad de cada uno de los mdulos y se presentan las pantallas definidas.

Pantalla principal del sistema: Es la pantalla de presentacin del sistema y que es
mostrada en cuanto el usuario accede a la aplicacin.
69


Mdulo matriz de riesgo: permite incluir y actualizar en el sistema todas las
matrices de riesgo de las diferentes Gerencias de la Unidad.



Mdulo de consultas: permite consultar informacin de las matrices de riesgo, as
como tambin los mapas de procesos y subprocesos definidos en el sistema.
70
Adicionalmente, este mdulo permite exportar reportes a otras herramientas
tecnolgicas, como excel, con la finalidad de que los usuarios lo utilicen como
papeles de trabajo para la documentacin de la auditora y para cualquier
presentacin que sea requerida.




Mdulo de administracin: permite ingresar y actualizar informacin relacionada
con los parmetros de campos definidos en el sistema, y los cuales son requeridos
para ingresar la informacin relacionada con las matrices de riesgo. Entre los
parmetros establecidos se encuentran: Tipos de riesgo, gerencias de la Direccin de
Auditora, procesos, tipos de revisin, frecuencia de las revisiones y cargos.
71


Mdulo de seguridad: en este mdulo se podr administrar y actualizar la
permisologa de los usuarios que van a acceder al sistema, y definir sus perfiles de
operacin.


72


CAPITULO VI
EL PROCESO DE APLICACIN DE LA METODOOGA

6.1. Aplicacin de la metodologa.
A continuacin se presenta la metodologa utilizada para elaborar el diseo del
sistema de gestin de matrices de riesgos propuesto para la Direccin de Auditora de
Bancaribe.

Este proyecto sigui la metodologa de desarrollo de sistemas orientada a objetos con
UML explicado por Juan de Dios Btiz, el cual sigue el proceso de desarrollo
orientado a objetos propuesto por Craig Larman, este proceso es muy apropiado
porque aplica los ltimos avances de la ingeniera de Software. Diferentes autores
dividen el desarrollo de un proyecto de sistema de informacin en fases, este proceso
por su parte no fija una metodologa estricta, sino define una serie de actividades que
pueden realizarse en cada fase, las cuales deben adaptarse segn las condiciones del
proyecto que se estn llevando a cabo.

La notacin que se usa para los distintos modelos, es la proporcionada por UML, que
permite integrar con mayor facilidad en el equipo de desarrollo a nuevos miembros y
compartir con otros equipos la documentacin. El proceso esta formado por una serie
de actividades y subactividades, cuya realizacin se va repitiendo en el tiempo,
aplicadas a distintos elementos. Cabe destacar que para la realizacin de este trabajo
de grado la metodologa fue ejecutada hasta la fase de Construccin y hasta la sub
fase de diseo de bajo nivel.

Las tres fases al nivel ms alto son las siguientes:

73
1. Planificacin y Especificacin de Requisitos: aqu se definen tanto la
planificacin del proyecto como la definicin de requisitos detallados, entre otros.

2. Construccin: Implica la construccin del sistema y dentro de esta etapa se
encuentran las siguientes sub fases.
a) Diseo de alto nivel: Se analiza el problema a resolver desde la perspectiva de
los usuarios y de las entidades externas que van a solicitar servicios al
sistema.
b) Diseo de Bajo Nivel: El sistema se especifica en detalle, describiendo como
va a funcionar internamente para satisfacer lo especificado en el diseo de
alto nivel.
c) Implementacin: Se lleva lo especificado en el diseo de bajo nivel a un
lenguaje de programacin.
d) Pruebas: Se llevan a cabo una serie de pruebas para corroborar que el software
funciona correctamente y que satisface lo especificado en la etapa de
Planificacin y Especificacin de Requisitos.

3. Instalacin: La puesta en marcha del sistema en el entorno previsto de uso.

6.1.1. Fase de planificacin y especificacin de requisitos:
Esta fase corresponde con la especificacin de requisitos ampliada con un borrador
de modelo conceptual y con una definicin de casos de uso de alto nivel. Se recaba
toda la informacin para alimentar la base terica del proyecto mediante guas,
manuales y textos bibliogrficos.

Las actividades que se muestran a continuacin son las que se desarrollaron durante
esta fase, pero lo normal es que estas actividades se solapen en el tiempo, esto sucede
tambin en las actividades de diseo, que se mostrarn ms adelante.

74
Definir el Plan-Borrador: Se recopilaron y analizaron aquellos elementos que
indican la necesidad de un nuevo sistema, se realizaron reuniones preliminares
con el personal de las unidades involucradas para definir la necesidad de un
cambio; luego de discutir, se determinaron las necesidades preliminares que
pueden o no justificar el desarrollo del sistema nuevo, as como los objetivos
del sistema de informacin, su alcance y las actividades para desarrollarlo.

Crear el informe de investigacin preliminar: Para esta actividad se obtuvo
la lnea base de la arquitectura del sistema, se entrevist a los usuarios de
diferentes niveles, se captur la mayora de los requisitos y se estableci la
arquitectura del ciclo de vida, calculando los tiempos, fechas de planificacin y
finalizacin de la fase de construccin

Definir los requisitos: se definieron los Requisitos de entrada (datos que
alimentan al Sistema para su posterior uso), Requisitos de salida (informacin
que el usuario desea obtener como resultado), Requisitos de almacenamiento
(informacin esencial que el usuario desea en la base de datos) y Requisitos
funcionales (Procesos y puntos especficos establecidos por el usuario, para que
el sistema realice).

Identificar los requerimientos detallados: En esta fase debe describirse
detalladamente los requerimientos de los usuarios en cuanto al funcionamiento
del sistema para cada mdulo de programas, de tal manera que sirvan de base
para la programacin del mismo.

Definir el ambiente operacional: Esta fase permiti definir los requerimientos
de operatividad e identificar el impacto en el ambiente actual de la plataforma
tecnolgica de la Organizacin, para as lograr el desempeo requerido y
especificado por los usuarios.
75
Implementar un Prototipo: Se definieron los diferentes mdulos que
conformaran el sistema, as como tambin las pantallas iniciales y el flujo de
navegacin en el sistema.

Definir los casos de Uso (de alto nivel y esenciales): Un Caso de uso es un
documento narrativo que describe a los actores utilizando un sistema para
satisfacer un objetivo. No son requisitos ni especificaciones funcionales. Para
este trabajo se ejecutaron las siguientes actividades: Identificacin de los
actores y los procesos en los que participan, identificacin de los eventos
externos a los que el sistema debe responder y definicin de los lmites del
sistema (tanto internos como externos).

Definir el Modelo Conceptual: El Modelo Conceptual permite tener una
representacin de conceptos del mundo real, no de componentes software. El
objetivo de la creacin de un modelo conceptual es aumentar la comprensin
del problema. Para la construccin del modelo se identificaron los conceptos y
los atributos mnimos requeridos.

Definir la Arquitectura y ambiente del Sistema: En esta actividad se
determin la arquitectura en la cual se instalar el sistema y los requisitos
mnimos necesarios para su operacin, as como tambin de qu manera se
conectar el sistema con el resto de las aplicaciones utilizadas por los usuarios.


6.1.2. Fase de Construccin (diseo de alto nivel):
Esta fase busc definir un modelo lgico a partir de lo encontrado durante la fase
anterior, con el fin de establecer los planes del proyecto sin entrar en detalles de
implementacin. Las Actividades de la fase de diseo de alto nivel fueron las
siguientes:
76
Elaboracin de diagramas de secuencia del sistema: Una parte de la
descripcin del comportamiento del Sistema se realiza mediante los diagramas
de secuencia del sistema. En cada caso de Uso se muestra a una interaccin de
actores con el sistema. En esta interaccin los actores generan eventos,
solicitando al sistema operaciones. Los casos de uso representan una interaccin
genrica. Una instancia de un caso de uso se denomina escenario, y muestra una
ejecucin real del caso de uso, con las posibles bifurcaciones alternativas
resueltas de forma particular.
Elaboracin del modelo Conceptual: en esta fase se identificaron los
conceptos que conforman el dominio del problema. Para representar estos
conceptos se us un diagrama de estructura esttica de UML, al que se llama
Modelo Conceptual. En este Modelo Conceptual se tiene una representacin de
conceptos del mundo real, no de componentes software. El objetivo de la
creacin de un modelo conceptual es aumentar la comprensin del problema.
Por tanto, a la hora de incluir conceptos en el modelo, es mejor crear un modelo
con muchos conceptos que olvidar algn concepto importante.

Definicin de Contratos de Operacin: estos contratos describen el
comportamiento esperado del sistema en cada operacin y los cambios en el
estado del sistema cuando una operacin es invocada. Los pasos a seguir para
construir un contrato son los siguientes.

Elaboracin de los diagramas de Estados: Sirven para modelar el
comportamiento del sistema. La utilidad de un Diagrama de Estados en el
Diseo de Alto Nivel reside en mostrar la secuencia permitida de eventos
externos que pueden ser reconocidos y tratados por el sistema. Para los casos de
uso complejos se puede construir un Diagrama de Estados. El Diagrama de
Estados del sistema es una combinacin de los diagramas de todos los casos de
uso.
77
6.1.3. Fase de Construccin (diseo de bajo nivel):
En esta fase se cre una solucin a nivel lgico para satisfacer los requisitos,
basndose en lo diseado en la fase anterior. Las actividades realizadas durante esta
fase fueron las siguientes:

Definicin de casos de uso reales: Estos describen el diseo real del caso de
uso segn una tecnologa concreta de entrada y de salida y su implementacin.
El caso de uso implic adems, la definicin de una interfaz de usuario, los
bocetos de las ventanas y detalles de la interaccin a bajo nivel. En esta
actividad slo se elaboraron los bocetos a nivel de diseo y se especificaron los
detalles para la fase de implementacin.

Elaboracin de los diagramas de Interaccin: Estos diagramas muestran el
intercambio de mensajes entre instancias del modelo de clases para cumplir las
post-condiciones establecidas en los contratos. Estos permiten tomar
decisiones clave acerca del funcionamiento del futuro sistema.

Elaboracin de diagramas de clases de diseo: Estos diagramas muestran la
especificacin para las clases software de una aplicacin e incluyen la siguiente
informacin: clases, asociaciones y atributos, Interfaces, Mtodos,
Navegabilidad y Dependencias.

Definicin del ambiente tcnico: En esta fase se defini la plataforma
requerida para la implantacin del sistema y la red en la que debe ejecutarse
para satisfacer los requerimientos de procesamiento del negocio.
Definicin de la arquitectura de los datos: El propsito de esta fase fue
definir la estructura ptima de los datos y de las estructura de archivo, as como
tambin, la forma en que los archivos se van a interrelacionar unos con otros.

78
6.2. Presentacin de la propuesta
Una vez elaborado el prototipo y el diseo detallado del sistema, se presentaron los
resultados a los niveles gerenciales de la Direccin de Auditora, con la finalidad de
facilitar al usuario la comprensin y operacin de cada una de las opciones
disponibles en el sistema y obtener retroalimentacin sobre la propuesta.

En la presentacin se brind informacin sobre los siguientes aspectos:
Objetivos y alcance del sistema y estructura del sistema.
Funcionalidad e interfaces con los usuarios y otras aplicaciones.
Definicin de responsables y perfiles de usuario.
Seguridad de operacin del sistema.
Durante la presentacin se recogieron sugerencias de mejora, las cuales fueron
incluidas en el diseo presentado y que fundamentalmente, estaban orientadas al flujo
de trabajo y de los datos dentro del sistema.


6.3. Diseo del proceso de gestin de cambio
Con la finalidad de apoyar a la Direccin de Auditora en el proceso de gestin de
cambio se dise una estrategia general para ser aplicada en todos los niveles de
cargo y as transmitir a todo el personal de la Direccin la informacin relacionada
con el desarrollo y con la futura operacin del sistema. Este proceso incluy las
siguientes actividades:

6.3.1. Elaboracin de una presentacin para el personal: En esta presentacin se
incluyeron los siguientes aspectos:
Mostrar los resultados de los levantamientos de informacin con todas las
Gerencias de Auditora y las oportunidades de mejora detectadas.
Los objetivos, alcance y estructura del sistema.
79
Facilidades de operacin del sistema, tales como botones, teclas de funcin y
procedimiento de acceso.
Proceso para realizar la carga y mantenimiento de las matrices de riesgo.
Forma de efectuar consultas generales.
Generacin de reportes.
Procedimientos de operacin correspondientes a la carga de parmetros y
actualizacin de las tablas
Seguridad del sistema, donde se delimita el acceso a la informacin manejada
por la aplicacin, a travs de la creacin de perfiles y usuarios.

6.3.2. Elaboracin del manual de usuario del sistema: Se elabor el manual de
usuario del sistema, el cual constituye la documentacin oficial que facilitar la
comprensin y operacin de cada uno de los mdulos que conforman el sistema.

6.3.3. Definicin de plan de adiestramiento: Se dise el contenido y cantidad de
horas que se requieren para dictar el adiestramiento relacionado con el uso y
mantenimiento del sistema. Adicionalmente, se elabor el cronograma de ejecucin
del entrenamiento, de acuerdo a los niveles de cargo y a las funciones que
desempearn los usuarios en el sistema. Por otra parte, tambin se dise la
logstica para dictar los talleres, lo cual incluy la seleccin de salones, solicitud de
refrigerios y diseo de los certificados para los participantes.
80












__________________________________________________________________
FASE DE EVALUACIN
__________________________________________________________________
CAPITULO VII: EVALUACIN DEL PROYECTO
CAPITULO VIII: CONCLUSIONES Y RECOMENDACIONES
81


CAPITULO VII
EVALUACIN DEL PROYECTO

Tal y como se seal en el Proyecto del Trabajo Especial de Grado,
especficamente en el apartado de Metodologa, se desarrollar la Evaluacin del
Proyecto, en este sentido se expone la evaluacin realizada.

7.1. Resultados relevantes.
Despus de efectuar levantamientos de informacin con personal de todos los
niveles de la Direccin de Auditoras, efectivamente se determin que existan
debilidades en el proceso y se identificaron varias oportunidades de mejora para
hacer ms eficiente la elaboracin y administracin de las matrices de riesgos, las
cuales son el principal insumo para definir la planificacin anual de la Unidad.

Las debilidades detectadas y que generaban mayor impacto en el proceso son las
siguientes:

Inexistencia de interaccin entre las diferentes Gerencias al momento de
realizar las matrices de riesgo y disear el plan anual.
Inexistencia de herramientas tecnolgicas para administrar las matrices de
riesgo y efectuar seguimiento al plan anual.
Inexistencia del mapa de procesos de banco.

Las oportunidades de mejora detectadas y que tienen una mayor relevancia para
las mejoras en el proceso son enumeradas a continuacin:

82
Realizar mesas de trabajo con los dueos de los procesos, previa a la
planificacin para conocer los procesos a ser auditados.
Realizar reuniones previas con los dueos de los procesos a fin de conocer los
cambios.
Solicitar a la unidad de procesos del banco el mapa o diagrama de procesos de
la institucin y/o elaborar un mapa de procesos desde la visin de la Direccin
de Auditora.
Analizar la valoracin de los riesgos medios para determinar las prioridades de
revisin.
Realizar mesas de trabajo previa revisin de la direccin con el fin de integrar
los conceptos y contenido de plan anual.
Coordinar las revisiones comunes en las distintas reas del banco con la
finalidad de formar equipos de auditora integrales.
Establecer un formato estndar para la elaboracin de las matrices de riesgo.
Implantar un Sistema Integrado donde se puedan incluir todas las matrices de
riesgo manejadas por la Direccin de Auditora.
Documentar el proceso de planificacin anual

Adicionalmente, una vez identificadas las necesidades de todos los usuarios se
estableci un formato nico para la construccin de las matrices de riesgo y se
desarrollaron una serie de instrucciones para proporcionar gua a los usuarios
sobre la informacin requerida en cada uno de los campos definidos. Este formato
sirvi como base para la definicin de los requerimientos detallados del sistema

Finalmente, se logr elaborar los requerimientos detallados del sistema y un
diseo detallado de bajo nivel en cuanto a su funcionalidad y operacin se refiere,
siendo esto el principal insumo para ejecutar su desarrollo y su posterior
implantacin.

83
7.2. Comparacin entre lo planificado y lo ejecutado
La principal diferencia entre lo planificado y lo ejecutado est relacionada con el
cumplimiento de las fechas del cronograma, lo cual conllev a un retraso en la
entrega del trabajo final de aproximadamente tres (3) meses. Esto ser detallado en el
punto siguiente.

Otra diferencia importante, es que en el inicio el trabajo se haba considerado que los
levantamientos de informacin se realizaran nicamente en los niveles de Director y
de Gerentes de la Unidad, sin embargo, una vez realizados se determin que era
necesario incluir en los levantamientos al resto del personal, ya que es en stos en los
que se concentra la informacin detallada de la elaboracin y administracin de las
matrices. De hecho, al incluir a los dems niveles de empleados, se detectaron
muchas deficiencias y oportunidades de mejora que no se haban evidenciado en las
entrevistas sostenidas con Directores y Gerentes, lo cual enriqueci el proceso y los
requerimientos de funcionamiento del sistema.

Finalmente, a pesar de que la brecha entre lo planificado y lo ejecutado fue
significativa en cuanto a tiempo, la misma se justifica ampliamente en virtud de los
resultados obtenidos.


7.3. Revisin sobre el cronograma
En la ejecucin del cronograma se present un retraso de aproximadamente tres
83) meses. La principal razn para el retraso en la entrega del informe se debi a
que no se pudo iniciar el trabajo en la fecha estipulada (01/12/2006), debido a
que el personal de la Direccin de Auditora no disponan del tiempo requerido
para participar en los levantamientos de informacin y en la definicin de
requerimientos detallados, por lo que el proyecto pudo dar inicio a partir del
01/02/2007. Adicionalmente, se estimaron dos (2) meses para la elaboracin de
84
todas las actividades inherentes al proyecto, sin embargo, las mismas tomaron un
(1) mes adicional, ya que fue necesario conocer a fondo la arquitectura
tecnolgica de la Organizacin para poder presentar una propuesta acorde con lo
que establecen los estndares, normas y polticas de desarrollo de aplicaciones y
sistemas y seguridad de la informacin, establecidos en la Organizacin. A
continuacin se describe el cumplimiento del cronograma fase por fase, de
acuerdo a lo establecido:

Elaboracin del Marco Conceptual Referencial: En el cronograma se
estableci iniciar el 01/12/2006, sin embargo, la fecha real de inicio fue el
01/02/2007.
Elaboracin del Marco Organizacional: Se planific iniciar en la segunda
semana de diciembre 2006 y se llev a cabo durante la segunda semana de
febrero 2007.
Elaboracin del diagnstico de la situacin actual: Se estimaron 5 das para
ejecutar esta actividad pero en realidad se realiz en 10 das. Adicionalmente,
se inici la actividad el 09/02/2007 cuando estaba prevista para el 11/12/2007.
Identificacin de las oportunidades de mejora de los procesos: Esta actividad
se ejecut durante la ltima semana de febrero 2007, en lugar de mediados de
diciembre 2006 y, adems, implic 15 das para la culminacin de las
actividades, en lugar de los 5 das estimados en la planificacin. Esta
actividad fue la que implic una mayor brecha entre la cantidad de das
planificados y la cantidad de ejecutados.
Definicin de los requerimientos detallados: Se inici a mediados del mes de
marzo 2007 y tom 10 das su ejecucin en lugar de los 5 das planificados.
Elaboracin de la propuesta para el sistema de gestin de matrices: Esta fase
se comenz durante la primera semana del mes de abril 2007 en lugar de la
primera semana de enero 2007.
85
Evaluacin de la propuesta: Se realiz a mediados de abril 2007, una vez
culminada la definicin de la propuesta.
Diseo del proceso de gestin de cambio: Se realiz a mediados de abril
2007.
Evaluacin del Proceso: Esta actividad se realiz a partir del 21/04/2007 e
implic una cantidad de 5 das en lugar de 1 da planificado, ya que la
evaluacin se realiz conjuntamente con los directores y gerentes de la
Direccin de Auditora.
Elaboracin del informe final de grado: Debido al atraso general en la
ejecucin del proyecto esta actividad se inici en la tercera semana del mes de
abril 2007 y no en la fecha establecida.


7.4 Logro de los objetivos planteados en la propuesta del estudio
Los objetivos planteas en la propuesta fueron ampliamente alcanzados y contribuyen
de manera efectiva a los procesos ejecutados por la Direccin de Auditora de
Bancaribe.

Objetivo general: Disear un sistema de gestin para administrar las matrices de
riesgo para la Direccin de Auditoria del Bancaribe.

Este objetivo fue cubierto con la definicin detallada de los requerimientos y
funcionalidad del sistema, los cuales son resultados de los levantamientos de
informacin realizados con los usuarios y basados en las expectativas que los mismos
tenan.

Objetivos especficos:
1. Efectuar un diagnstico de la situacin actual del proceso de elaboracin y
mantenimiento de las matrices de riesgo de la Direccin de Auditoria;
86
determinando las oportunidades de mejora en el proceso de elaboracin del plan
de auditoria: Se evidenciaron en los levantamiento de informacin diferentes
brechas y debilidades en el proceso de creacin y administracin de las matrices,
asimismo, se determinaron las posibilidades de mejora que podan ser aplicadas al
proceso.

2. Elaborar una propuesta de sistema de gestin de matrices de riesgo; definiendo los
procedimientos requeridos para la inclusin y actualizacin de las matrices de
riesgo en el sistema: Este objetivo se logr al proponer el diseo y estructura del
sistema que ser utilizado para la carga y mantenimiento de las matrices del
sistema, as como tambin, la definicin de los roles y perfiles para realizar estas
actividades.

3. Evaluar la propuesta elaborada para determinar la viabilidad y factibilidad de su
implantacin: La propuesta fue evaluada conjuntamente con los directores y
gerentes responsables de la Direccin de Auditora de Bancaribe.
87


CAPITULO VIII
CONCLUSIONES Y RECOMENDACIONES

8.1. Conclusiones.
Las matrices de riesgo deben ser una herramienta flexible que documente los
procesos y evale de manera global el riesgo de la institucin. Una matriz debe ser
una herramienta sencilla que permita realizar un diagnstico objetivo de la situacin
global de riesgo y una participacin ms activa de las unidades de negocios,
operativas y funcionales en la definicin de la estrategia institucional de riesgo de la
empresa.

Una Matriz de Riesgo adecuadamente diseada y efectivamente implementada se
convierte en soporte conceptual y funcional de un efectivo Sistema Integral de
Gestin de Riesgo y permite hacer comparaciones objetivas entre proyectos, reas,
productos, procesos o actividades.

Los sistemas de informacin tienen sus propias caractersticas y particularidades, y
juegan un rol fundamental para satisfacer las necesidades de informacin y facilitar la
ejecucin de los procesos operativos de las organizaciones.

Cada sistema debe ser tratado con la metodologa que mejor se adapte a los objetivos
del anlisis para obtener un producto final de calidad. A travs de la ejecucin de las
actividades de la metodologa utilizada, se logr obtener los requisitos detallados del
sistema de una manera eficiente. La metodologa tambin permiti efectuar un
modelo adecuado de sistema haciendo que el mismo sea amigable y fcil de usar para
los usuarios y permitiendo manejar eficientemente la informacin disponible y
88
facilitando la adecuada toma de decisiones, para obtener resultados de una alta
calidad.

A partir de este momento la Direccin de Auditora contar con una herramienta
automatizada que permite registrar datos y hacer consultas dinmicas que
contribuyan con el anlisis de los riesgos potenciales a los que pudieran estar
expuesta la organizacin, y as ejecutar la planificacin anual basada en los riesgos
importantes que deben ser evaluados.

La herramienta diseada cubre con sus cuatro (4) mdulos todas las necesidades de
los usuarios, planteadas en el proyecto y mejora los procesos operacionales del
personal de la Direccin de Auditora.


8.2. Recomendaciones.
A la Direccin de Auditora se le efectan las siguientes recomendaciones:

Culminar el desarrollo de la aplicacin, de acuerdo a las especificaciones y
diseo planteado y de acuerdo con los estndares, normas y polticas existentes
en la empresa en lo que a desarrollo de sistemas y aplicaciones se refiere.

Efectuar una fase de pruebas con la finalidad de corroborar que el software
funciona correctamente y que satisface lo especificado en la etapa de
Planificacin y Especificacin de Requisitos.

Dictar los entrenamientos planificados para informar a los usuarios sobre la
operacin del sistema y distribuir los manuales de usuario para que sirvan de
apoyo durante los entrenamientos y la ejecucin.

89
Implantar la herramienta en su ambiente real e iniciar las actividades rutinarias
y ajustar los procesos existentes para el uso de la misma.

Realizar una evaluacin post implantacin para garantizar que los resultados
obtenidos son los esperados y ejecutar las acciones requeridas en caso de
observarse alguna desviacin.

90


REFERENCIAS

Montilva, J. (1990). Desarrollo de sistemas de Informacin Consejo de
publicaciones de la U.L.A.
Pinilla Forero, J. (1997). Auditora informtica un enfoque operacional.
Bogot.
Pinilla Forero, J. (1999). Auditora informtica aplicaciones en
produccin. Bogot.
http://www.jps.go.cr/licitaciones/metodologa de desarrollo de sistemas.doc,
consultado el 19/01/2007.
http://www.theiia.org/guidance/standards-and-practices, consultado el
15/03/2007.
http://www.capgemini.es/sectores/finanzas/riesgos.htm, consultado el
20/04/2007.
http://dmi.uib.es/~bbuades/riesgos/sld003.htm , consultado el 15/04/2007.
http://www.cemla.org/pdf/aud-991109-mex.PDF, consultado el 19/03/2007.
http://www.clubgestionriesgos.org/show_annex.html?id=29576, consultado el
19/03/2007.
http://www.bancaribe.com.ve/, consultado el 01/02/2007.
http://www.buniak.com/negocio.php?id_seccion=8&id_documento=248,
consultado el 15/03/2007)