INFORME N 005 - 2011- USI

INFORME TCNICO PREVIO DE EVALUACIN DE SOFTWARE

1. Nombre del rea

El rea asignada de la evaluacin tcnica para la adquisicin de licencias de

herramienta de administracin de riesgos y auditora interna es la Unidad de
Seguridad Informtica de la Caja Metropolitana.

2. Nombre y Cargo del Responsable de la Evaluacin

Los analistas responsables de la evaluacin son los seores Jhon Alvarado y Luis
Espinoza.

3. Fecha

La fecha del presente informe es del 05 de setiembre de 2011.

4. Justificacin

La SBS ha emitido regulaciones relacionado con la Gestin Integral de Riesgos,

usando como metodologa base el COSO-ERM. En este marco, la resolucin SBS N
037-2008 en el artculo 22 establece que Auditora Interna - UAI debe vigilar la
adecuacin de la Gestin Integral de Riesgos, asimismo, la resolucin SBS N 2116-
2009 Reglamento de Gestin de Riesgo Operacional, en el artculo 17 establece
que la UAI deber evaluar el cumplimiento de los procedimientos utilizados para la
gestin de Riesgo Operacional. Para tal efecto, la UAI debe adecuarse a una
Auditora basada en Riesgos, necesitando para ello, del soporte de una herramienta
que le permita registrar el resultado de la evaluacin de todo el ciclo de Gestin de
Riesgos (Identificacin, documentacin, medicin, control, tratamiento y monitoreo de
los riesgos) a lo largo de toda la institucin, as como del registro de Eventos de
Prdida detectados por la UAI.

Esta herramienta debe de ser capaz de soportar los siguientes procesos:

Enfoque basado en la gestin de Riesgos.
Procedimientos de Auditora aplicados por Examen: planeacin, ejecucin y
administracin de papeles de trabajo, emisin de hallazgos, informe final y
seguimiento de observaciones
Visibilidad y colaboracin amplia y universal va la web.
Flexibilidad en la forma de personalizacin por parte del usuario.

Actualmente, la UAI utiliza la herramienta Pro Audi Advisor 5.0 (cuyas 3 licencias
vencieron en agosto del 2011), que utiliza para registrar los Riesgos y Controles
definidos en la Matriz de Riesgos de la Caja, as como para el registro de las
observaciones y recomendaciones por Examen y el seguimiento de su
implementacin, sin embargo, no permite el registro de la evaluacin de todo el ciclo
de Gestin de Riesgos ni el registro de eventos de prdida.

5. Alternativas

Los Software de Auditoria: Son programas utilizados para procesar grandes

cantidades de datos generados por la contabilidad de una organizacin, pueden ser:
Programas en paquete, programas escritos para un propsito especfico y programas
de utilera.

Los principales pasos para tomar en cuenta en la identificacin del aplicativo serian:
Fijar el objetivo de la aplicacin.
Determinar el contenido y accesibilidad de los archivos de la entidad.
Definir los tipos de transaccin que van a ser probados.
Definir los procedimientos que se realizarn en los datos.
Definir los requerimientos de datos de salida.
Identificar al personal de auditora y de computacin que pueda participar en el
diseo y aplicacin.
Refinar los estimados de costos y beneficios.
Asegurarse de que el uso del aplicativo est controlado y documentado en
forma apropiada.
Organizar las actividades administrativas, incluyendo las habilidades
necesarias y las instalaciones de computacin.
Ejecutar la aplicacin.
Evaluar los resultados.

5.1 Caractersticas deseables de un software de auditoria

Se ha tomado en cuenta que el software de auditora se tomara en cuenta las

siguientes caractersticas:

Caractersticas Generales

El software de auditora debe de tener:

Manual de Usuario, Manual Tcnico y Material de Capacitacin.
Opciones de copiar o exportar cualquier documento como papeles de trabajo a
aplicaciones ofimticas como Word, Excel, Power Point y otros.
Capacidad de acumular la informacin histrica, y adems de poderla consultar
por ao.
Capacidad de poder funcionar como un todo integrado entre las diferentes
etapas y procesos de la Auditoria: Planeacin; Administracin de Riesgos;
Ejecucin y Administracin de Papeles de Trabajo; Evaluacin de
Administracin de TI; Anlisis y Evaluacin de Base de Datos; Emisin de
Informes

Caractersticas de Seguridad

El software de auditora debe de tener:

Posibilidad de definir que usuarios puedan acceder al sistema.
Administracin de los permisos de las opciones a las que tiene derecho un
usuario a ejecutar, consultar segn su cargo y rea a la que pertenezca.
Opciones de incluir pistas de auditora en procesos, control de cambios,
lectura,
escritura y modificacin de parte de los usuarios.
Copias de respaldo de la informacin mediante BACKUP en medios
magnticos/pticos y COMPROBAR cmo recuperar los datos del Backup.

6. Anlisis Tcnico

Para este tipo de auditoras se manejan los siguientes puntos:

Automatizar todos los aspectos de riesgos dentro de una herramienta dinmica.

 Base de datos de metodologas/tcnicas de Anlisis de Riesgos. Algunos
ejemplos: Delphi; Anlisis por Tablas; MAGERIT; NIST Risk Managment Guide;
AS/NZS 4360:2004 Risk Managment.
Opciones de realizar anlisis de riesgo cualitativo, cuantitativo y mixto.
Definicin de parmetros para el anlisis cuantitativo del riesgo.
Tener un repositorio central y compartido que puede ser accedido por auditores
internos y personal externo al rea de auditora que previamente haya sido
debidamente autorizado.
Monitorear y dar seguimiento a la informacin de las auditorias y al
cumplimiento de las recomendaciones.
Presentacin de Registro histrico de auditoras por temas (Consolidacin de
estudios a travs del tiempo).
Rastrear el rendimiento de los indicadores claves de riesgo.
Contar con una clara imagen de la informacin del riesgo en cualquier nivel de
la
organizacin; a travs de matrices de riesgos y otros grficos.
Proveer a la organizacin un sistema de administracin de riesgos, con
indicadores de riesgo, eventos de riesgo y tratamientos de riesgo.
Generar reportes los cuales estn completamente integrados con Microsoft
Office.

Del benchmarking realizado se han identificado los siguientes software disponibles

en el mercado y que cumplen con las caractersticas generales y de seguridad:

RISK2K Pilar Chinchn

Resultado:
Estos programas permiten implementar los conceptos y procesos propuestos
por la metodologa MAGERIT para el anlisis y gestin de riesgos. Los
objetivos bsicos del MAGERIT son estudiar los riesgos y recomendar
contramedidas, esto se consigue cargando la base de datos informacin como:
Grupos de activos, Amenazas, Grupos de amenazas, Tipos de amenazas,
Funciones de salvaguarda, Tipos de funciones de salvaguarda, Mecanismos de
Salvaguarda.
La metodologa MAGERIT est compuesta por: Gua de Aproximacin, Gua de
Procedimientos, Gua Tcnica, Gua para desarrolladores de aplicaciones, Gua
para responsables del dominio protegible, Referencia de normas legales y
Tcnicas.

Enterprise Risk Assessor (ERA)

Resultado:
Es una versin mejorada del Pro Audit Advisor que adems de los procesos de
auditora, permite la gestin y control del riesgo, proporciona: Un sistema
consistente de gestin de riesgos; Identificacin especfica de riesgos para la
estrategia y contexto organizacional; Gestin para los planes de accin, y
monitoreo mediante una base de datos;
Asimismo, permite la evaluacin de riesgos, controles y amenazas semi-
cuantitativas, a travs de anlisis de consecuencias; Grficos de anlisis;
Reportes de alta calidad alineados a los requerimientos individuales de los
negocios.

Risk Assesment Program RAP

Resultado:
RAP es un programa de anlisis de riesgos y contramedidas basndose en la
tcnica de Tablas en la que se identifican riesgos y se determina la
probabilidad, impacto y en funcin a estos dos ltimos se calcula el Nivel de
 Riesgo Asociado. Las contramedidas se asignan de acuerdo al mayor Nivel de
Riesgo que presenten los Activos de Informacin de la organizacin.

7. Conclusiones

Las conclusiones de la evaluacin realizada son las siguientes:

El tamao y complejidad de las operaciones de la Caja Metropolitana, hacen

necesario contar con una herramienta de permita optimizar los procesos de
Auditora en base a la gestin de Riesgos

Es importante resaltar que personal de Auditora Interna, est capacitado y

familiarizado con las funcionalidades del Pro Audi Advisor, de all que upgrade
al softwareERA representa la herramienta ms alineada a los procesos de la
UAI, con tiempos menores de implementacin y costos slo de licenciamiento,
evitando incurrir en costos de adquisicin de la herramienta.

Dada la importancia del uso de la herramienta de administracin de riesgos y

auditora interna, se hace necesario el mantener una poltica de licenciamiento
adecuada, que permita no slo cubrir los requerimientos de este software, sino
tambin reducir los costos financieros y operativos asociados.