UNIVERSIDAD NACIONAL DE INGENIERÍA

FACULTAD DE INGENIERÍA​ I​ NDUSTRIAL Y DE SISTEMAS

INFORME DE AUDITORÍA
“BANCO DE CRÉDITO DEL PERÚ”

CURSO: AUDITORÍA DE SISTEMAS ​(ST-275 V)

Profesor: ING. HUMBERTO ARTEAGA

INTEGRANTES:

- CARDENAS MAGNO, JESSICA 20111364E

- GONZALES MORENO, JACKELINE 20134002B
- MENESES MIRANDA, JEEFREY 20111111J
- SANTA CRUZ VASQUEZ, MARCOS 20110066K
- TURPO ESPINAL, POLK 20101069K
- VASQUEZ VARGAS, LUIS 20091169H
Informe de Auditoría Interna – Banco de Crédito del Perú UNI-FIIS 2017 - II

Tabla de contenido
1. Introducción 3
2. Aspectos Generales 4
2.1. Estructura Organizacional 4
2.2. Matriz de Riesgos 6
Riesgo Económico: 6
Riesgo financiero: 6
Riesgo Legislativo: 7
2.3. Programa de Auditoria 9
3. Informe Final 10
3.1. Informe Relativo al Examen 10
3.1.1. Motivo del Examen 10
3.1.2. Naturaleza y Objetivos 10
3.1.3. Alcance 11
3.1.4. Comunicación de Observaciones 11
3.2. Informe Relativo a la Entidad Examinada 11
3.2.1. Antecedentes y Base Legal 11
3.2.2. Relación de las Personas comprendidas en las Observaciones 14
3.3. Observaciones Resumidas 15

Auditoría de Sistemas 2
Informe de Auditoría Interna – Banco de Crédito del Perú UNI-FIIS 2017 - II

1. Introducción

La auditoría de sistemas es la evaluación permite identificar que las actividades se

realicen cumpliendo las disposiciones internas (normas, procedimientos,
directivas, etc) y la aplicación de las buenas prácticas técnicas. Ayuda a una
organización a cumplir sus objetivos aportando un enfoque sistemático y
disciplinado para evaluar y mejorar los procesos de gestión de riesgos, control
interno y gobierno corporativo.

El presente informe de auditoría al Proceso de Control de Accesos de TI, examina

los diferentes procedimientos utilizados para gestionar los accesos, perfiles y
privilegios de los usuarios que hacen uso de los recursos de información del
Banco: Sistemas, Aplicaciones, Bases de Datos, Plataformas, entre otros.

La responsabilidad de este proceso recae sobre las siguientes unidades:

La ​Gerencia de Seguridad Informática​, es responsable de:

● Evaluar anualmente los procedimientos de la Subgerencia Soporte de

Servicios (Helpdesk) en lo relativo a la administración de las soluciones de
Seguridad y apoyar en la automatización de las mismas.
● Definir procesos y mecanismos de administración de usuarios, control de
accesos y privilegios sobre los recursos de Información del Banco.

La ​Gerencia de Operaciones de Infraestructura de TI​, es responsable de:

● Ejecutar las Líneas Base de Seguridad en los ambientes de Producción,

Certificación, Desarrollo, Integración y Educación.
● Las actividades realizadas por la Unidad de Helpdesk sobre la
administración de usuarios, sus accesos y privilegios a los recursos de
información del Banco conforme con los perfiles establecidos por los líderes
usuarios.

Auditoría de Sistemas 3
Informe de Auditoría Interna – Banco de Crédito del Perú UNI-FIIS 2017 - II

● Documentar los procedimientos necesarios para la creación, modificación o

eliminación de los niveles de acceso a los Sistemas y Aplicaciones en
coordinación con Seguridad Informática.

2. Aspectos Generales
2.1. Estructura Organizacional

El ​Banco de Crédito del Perú​ (​BCP​) es el ​banco​ más grande y el proveedor líder
de ​servicios financieros​ integrados en el ​Perú​, con aproximadamente US$ 39 mil
millones en activos totales y una participación de mercado de 30,4%
en ​créditos​ totales y 33,5% en depósitos totales. BCP tiene más de 127 años de
presencia en el país y es la marca más valiosa del Perú. Su red de más de 8340
puntos de contacto sirve a sus más de 6 millones de clientes. BCP es la principal
subsidiaria de ​Credicorp,​ el mayor holding financiero peruano. La Banca Mayorista del
BCP compite con bancos locales y extranjeros, y ofrece a sus clientes préstamos a
corto y mediano plazo en moneda local y extranjera, financiamientos para comercio
exterior, ​leasing​, seguros y ​asesoría financiera​. Actualmente es el líder del mercado
con una participación de mercado de más del 40% en créditos corporativos. Por otro
lado, la Banca Minorista del BCP atiende a personas y empresas pequeñas con una
amplia gama de productos con alto valor agregado con una participación de mercado
superior al 20%. Además, BCP ofrece servicios de ​gestión de activos​, transacciones
de divisas, de tesorería, de custodia, servicios de asesoramiento de inversión y
actividades de investigación financiera.

La estructura orgánica del BCP se detalla en el organigrama que se muestra a

continuación:

Auditoría de Sistemas 4
Informe de Auditoría Interna – Banco de Crédito del Perú UNI-FIIS 2017 - II

Fuente: BCP

Asimismo, en el análisis de la organización debe considerarse la existencia de

Comités con objetivos específicos, siendo los principales:

- Comité de Operaciones Monetarias y Cambiarias.

- Comité de Inversiones Internacionales.
- Comité de Riesgos.
- Comité de Planeamiento y Control del Gasto.
- Comité de Planeamiento de la Continuidad Operativa.
- Comité Asesor en asuntos laborales.

El Área de Infraestructura y Operaciones de TI se encuentra dentro de la División

de Sistemas, tal como se muestra en la siguiente estructura organizativa de la
Gerencia Central de Operaciones, Sistemas y Administración:

Auditoría de Sistemas 5
Informe de Auditoría Interna – Banco de Crédito del Perú UNI-FIIS 2017 - II

Fuente: BCP

2.2. Matriz de Riesgos

Dentro de los principales factores de riesgo que pueden eventualmente afectar al

Banco de Crédito del Perú podemos mencionar los riesgos económicos, financieros y
legislativos.

Riesgo Económico:
Podemos mencionar los ciclos de la economía del país pueden repercutir en menores
tasas de cotización, en aumento de las tasas de evasión o postergación del pago de
cotizaciones.

Riesgo financiero:
La política de inversiones del Fondo establece en términos generales el marco dentro
del cual se definen las estrategias de inversión y apunta a acotar los riesgos en los
cuales se puede incurrir. Dentro de este marco el Fondo circunscribe su accionar de
acuerdo a ciertos parámetros predefinidos. ​Gestión de Riesgo y Control Interno,
Riesgo de Mercado, ​Riesgo de Crédito, ​Riesgo de Liquidez, Gestión de Riesgo de
Capital.

Riesgo Legislativo:
Es el riesgo de que se incumplan las leyes de distintas jurisdicciones en donde se
opera.

Así las áreas de riesgo identificadas en Banco de Crédito del Perú son:

DIRECTORIO
Aptitudes e idoneidad del Directorio
Definición y Seguimiento de la política global de gestión de riesgos
Funcionamiento del Directorio y de los comités de Directorio
Definición de la Estrategia
Gestión del Riesgo Reputacional
Política de Divulgación y Transparencia

Auditoría de Sistemas 6
 Informe de Auditoría Interna – Banco de Crédito del Perú UNI-FIIS 2017 - II

ADMINISTRACIÓN
Composición y Estructura de la Administración
Proceso de Planificación y Administración y Divulgación y transparencia
Sistemas de Información de Gestión

GESTIÓN DE RIESGOS
Cultura de gestión de riesgos
Gestión del Riesgo de Cumplimiento
Gestión del Riesgo Fiduciario

RIESGO OPERACIONAL
Riesgo de Gestión de Cuentas
Riesgo de Beneficios
Riesgo Tecnológico
Continuidad de negocio y recuperación de desastres

RIESGO FINANCIERO
Riesgo del proceso de inversiones
Riesgo de mercado
Riesgo de Crédito
Riesgo de Liquidez
Riesgo de solvencia de la entidad

Niveles
Tipo de
Fuente Descripción Impacto Probabilidad de
Riesgo
Riesgo
Manipulación inadecuada de la información. Alto Media Alto Inherente
Acceso de personal no autorizado Creación de errores en los procesos. Alto Media Alto Inherente
Robo de activos de la empresa. Alto Poca Medio Inherente
Uso de programas diferentes Incompatibilidad en archivos. Bajo Poca Bajo Inherente
Instalación de programas maliciosos no permitidos. Alto Media Alto Control
Perfiles no autorizados
Instalación de herramientas como VNC sin control. Alto Media Alto Control
Puestos con acceso ilimitado al sistema informático o
Segregación de funciones Alto Media Alto
programas. Control
Sistema de alerta para evacuaciones es ineficiente. Medio Poca Medio Inherente
Infraestructura
No contar con un sitio alterno en caso de emergencia. Medio Poca Medio Inherente
Cambio en las políticas de gestión, procedimientos y
Gestión del cambio Alto Media Alto
protocolos no es consistente. Inherente

Auditoría de Sistemas 7
 Informe de Auditoría Interna – Banco de Crédito del Perú UNI-FIIS 2017 - II

El Plan de Continuidad de Negocio (PCN) no se despliegue

Continuidad del negocio Alto Media Alto
correctamente. Inherente
Nuevas tecnologías no se desarrollan o se utilizan de una
Tecnologías emergentes Media Media Medio
manera no controlada. Inherente
Ocurrencia de errores encontrados en las auditorias
Revisión de auditorías anteriores Medio Media Medio
anteriores no corregidos. Detección
No detectar errores en el proceso Errores, omisiones o irregularidades de importancia no
Alto Alta Alto
de auditoria detectados por la auditoria. Detección
Falta de capacidad y Incapacidad del responsable de auditoría para cumplir sus
Alto Poca Medio
conocimiento. funciones. Detección
Veracidad de información La información tomada en la auditoria no es la correcta. Alto Media Alto Detección
Resistencia a brindar información Los entrevistados son reacios a dar información. Alto Media Alto Inherente
Dificultad de detección de En transacciones automáticas se dificulta la detección de
Alto Media Alto
errores. errores. Detección

Matriz de Riesgo

Proceso Subproceso %P %SubP

- Planes y Políticas de Gestión 33%
Gestión de los recursos - Planes de Seguridad 33%
14.29%
Tecnológicos
- Análisis de Infraestructura
33%
Tecnológica
- Acceso de personal no autorizado a
33%
áreas de TI
Gestión de las Operaciones de
- Compatibilidad de los Programas 14.29% 33%
TI

- Soporte 33%
- Control del Presupuesto 50%
Gestión de las Compras de TI - Análisis de la situación actual de los 14.29%
50%
procesos de TI
- Alineamiento a los objetivos
Gestión del Gobierno de TI 14.29% 100%
estratégicos

- Análisis de Riesgos 33%

Gestión de Riesgos - Gestión del Riesgo de Cumplimiento 14.29% 33%

- Gestión del Riesgo Fiduciario 33%

Auditoría de Sistemas 8
 Informe de Auditoría Interna – Banco de Crédito del Perú UNI-FIIS 2017 - II

- Administración de Requerimientos de
33%
HW y SW
Administración de Proyectos - Gestión de Requerimientos 14.29% 33%
- Planificación de Proyectos 33%
- Licitaciones 33%
Administración de Proveedores - Administración de Contratos 14.29% 33%
- Evaluación de Proveedores 33%

2.3. Programa de Auditoria

Objetivo
Responsable
General Objetivo Especifico Tiempo
1.1 Evaluar la estructura Organizacional de TI 2 horas Marcos Santa Cruz
1.2 Evaluar las funciones y comparar con los
1. Evaluar la Marcos Santa Cruz
perfiles 3 horas
Gestión de TI
1.3 Evaluar los planes y políticas de Gestión de
Marcos Santa Cruz
TI 1 hora
2. Evaluar el Jessica Cárdenas
plan de Soporte 2.1 Evaluar el plan de mantenimiento de la red 2 horas Magno
red y Sistema 2.2 Evaluar los controles de red y Jessica Cárdenas
Integrado comunicaciones 2 horas Magno
3.1 Verificar el cumplimiento de lo establecido
Luis Vásquez
en las normas de seguridad de acceso a áreas 2 horas
Vargas
de TI
3. Evaluar la
3.2 Verificar la existencia de controles de Luis Vásquez
seguridad Física
acceso 4 horas Vargas
3.3 Evaluar el acceso de personal no Luis Vásquez
autorizado a áreas de TI 2 horas Vargas
4.1 Verificar la existencia de un comité tecno Jackeline Gonzales
4. Evaluar la evaluador de proyector 2 horas Moreno
administración
de Proyectos 4.2 Verificar la existencia de documentación Jackeline Gonzales
histórica sobre la ejecución de proyectos 3 horas Moreno
5. Evaluar la
Gestión de Polk Turpo Espinal
Proveedores 5.1 Evaluar la Contratación de Servicios 1 hora

Auditoría de Sistemas 9
Informe de Auditoría Interna – Banco de Crédito del Perú UNI-FIIS 2017 - II

5.2 Evaluar a los proveedores y los servicios

Polk Turpo Espinal
contratados 2 horas
5.3 Evaluar el proceso de licitación 2 horas Polk Turpo Espinal
Jeefrey Meneses
6.1 Evaluar las Aplicaciones Informáticas 3 horas Miranda
6.Evaluar la
6.2 Evaluar el plan de mantenimiento de las Jeefrey Meneses
Infraestructura
aplicaciones 2 horas Miranda
Tecnológica
6.3 Evaluar las políticas de Seguridad Jeefrey Meneses
Informática 3 horas Miranda

3. Informe Final
3.1. Informe Relativo al Examen
3.1.1. Motivo del Examen
Determinar si los procesos y actividades dentro del área de Tecnologías de
Información se realicen conforme a la políticas, normas y buenas prácticas que
debe cumplir la empresa BCP, con el fin de mejorar la gestión del CTI.

3.1.2. Naturaleza y Objetivos

- Naturaleza

La naturaleza de la presente auditoria es conocer peculiaridades y aspectos

negativos en una auditoria al centro de TI, para determinar el estado actual y
proponer mejoras. Todo acorde políticas, normas y buenas prácticas que se
deben tener en cuenta para las actividades del negocio.

- Objetivo

Emitir recomendaciones acerca de la conformidad de los Sistemas de Información

entorno a la Arquitectura de la Información; con los motivos descritos en la
presente auditoria, los principios de auditoría generalmente aceptados y las
disposiciones legales vigentes.

Auditoría de Sistemas 10
Informe de Auditoría Interna – Banco de Crédito del Perú UNI-FIIS 2017 - II

3.1.3. Alcance

El alcance abarca toda la funcionalidad del área de tecnología de Información, en

cuestión del correcto funcionamiento es decir que sea tal como se ha especificado
en los requerimientos, así como del entorno en el cual es ejecutado y utilizado por
los usuarios (gestión de accesos).

3.1.4. Comunicación de Observaciones

Los resúmenes de observaciones van dirigidos al área de Tecnología de

Información del Banco de Crédito del Perú.

3.2. Informe Relativo a la Entidad Examinada

3.2.1. Antecedentes y Base Legal

▪ Antecedentes

Extraídos del documento del Banco de Crédito del Perú (Año 2012)

o Auditorías Externas

Las auditorías externas están determinadas por la Contraloría de la República

enfocadas a dictaminar información financiera, éstas también pueden referirse a
dictámenes o informes especializados en los siguientes aspectos: peritajes
contables, auditorías operativas, auditorias de sistemas, evaluación de proyectos,
evaluación o implantación de sistemas de costos, auditoría tributaria, tasaciones
para ajustes de activos, evaluación de cartera, inventarios, u otros servicios
especiales.

Es recomendable que estas asesorías sean realizadas por auditores distintos o,

en caso las realicen los mismos auditores, ello no afecte la independencia de su

Auditoría de Sistemas 11
Informe de Auditoría Interna – Banco de Crédito del Perú UNI-FIIS 2017 - II

opinión. La sociedad debe revelar todas las auditorías e informes especializados

que realice el auditor. Se debe informar respecto a todos los servicios que la
sociedad auditora o auditor presta a la sociedad especificándose el porcentaje que
representa cada uno, y su participación en los ingresos de la sociedad.

El Banco de Crédito del Perú fue creado el 24 de febrero de 1889 e inició sus
actividades el 9 de abril de ese mismo año. Con fecha 28 de abril de 1931 fue
transformado en el Banco de Crédito del Perú. El Banco tiene como domicilio legal
la ciudad de Lima y ha establecido para el desarrollo de sus actividades en
sucursales ubicadas en Callao, Chincha, Arequipa y Mollendo.

El costo de la auditoría solicitada en años anteriores comprende:

CONCEPTO   S/.  2011   2012   TOTAL  

Retribución Económica   S/.  836,134.45  836,134.45  1,672,268.90 
Impuesto General a las  S/.  150,504.20  150,504.20  301,008.40 
Ventas  
TOTAL   S/.   986,638.65   986,638.6  
5   1,973,277.30  

Cualquier disminución o incremento a la tasa del Impuesto General a las Ventas (IGV), dará lugar a
una modificación del costo de la auditoría.

Los viáticos, pasajes (nacionales e internacionales) y otros gastos adicionales (fotocopias,

impresiones, mensajería, etc.) están incluidos en el rubro de retribución económica.

o Auditorías Internas

El Banco de Crédito del Perú cuenta con un área independiente encargada de

auditoría interna.

El área de auditoría interna:

Depende de: Directamente de la Gerencia de Auditoria.

Reporta a: Al Directorio a través del Comité de Planeamiento de la

Continuidad Operativa

A cargo de: Jose Espósito

Auditoría de Sistemas 12
Informe de Auditoría Interna – Banco de Crédito del Perú UNI-FIIS 2017 - II

Principales responsabilidades del encargado de auditoría interna y otras funciones

ajenas a la auditoría interna.

Entre las principales responsabilidades del encargado de auditoría interna, se

encuentran las siguientes:

- Planificar, ejecutar, supervisar, monitorear y mejorar continuamente la función

de auditoría. Para ello se programará un plan integrado considerando la
asignación anual de recursos aprobados.

- Elaborar el Plan Anual de Auditoría y someterlo a consideración del Comité de

Auditoría y de ser el caso al Directorio, para su aprobación en el Directorio.

- Evaluar la estructura de controles internos operativos, administrativos,

financieros y de sistemas de la organización, proponiendo las mejoras que se
consideren convenientes para minimizar los riesgos.

- Actuar diligentemente en los encargos específicos de la SBS, Directorio,

Comité de Auditoría; asimismo, colaborar con la Gerencia General.

- Evaluar la adecuada administración de los recursos humanos, financieros y

materiales de la organización.

- Supervisar y efectuar el seguimiento de la implementación de las

recomendaciones de Auditoría Interna, Auditoría externa y la SBS.

- Coordinar y atender requerimientos de SBS y de los Auditores Externos,

relacionados con informes de Auditoría Interna.

- Investigar cualquier hecho de importancia de la organización e informar los

resultados al Comité de Planeamiento de la Continuidad Operativa.

- Participar en los Comités de Gerencia, reuniones convocadas por la Gerencia

General y otros comités, que involucren temas estratégicos y de importancia
para la organización, en calidad de observador, e intervenir cuando las
circunstancias lo ameriten.

- Evaluar el cumplimiento de las leyes, normas, reglamentos, y disposiciones

emitidas por la SBS, dentro de su alcance de trabajo.

- Colaborar con la Administración en asuntos relacionados con mejoras en la

gestión de riesgos y controles.

Auditoría de Sistemas 13
Informe de Auditoría Interna – Banco de Crédito del Perú UNI-FIIS 2017 - II

- Mantenerse informado de la normatividad emitida por los organismos

reguladores y/o supervisores.

- Cumplir con el Estatuto de Auditoría Interna y actualizarlo periódicamente.

● Aspecto Legal

El Banco de Crédito del Perú no registra procesos judiciales, administrativos o

arbitrales iniciados o que sea previsible se inicien en contra o a favor, que tengan
un impacto significativo sobre los resultados de operación y la posición financiera
de la Empresa.
Dentro de los procesos legales, tenemos al Jefe de división Legal, Mario Ferrari.

Manuales, Políticas y Código de ética del BCP.

DENOMINACION DEL DOCUMENTO ORGANO DE APROBACION

Política de Sistema de Gestión de Seguridad de la Directorio

Información

Manual de Normas Internas de Conducta Junta General de Accionistas

Cód de Ética de Personas Vinculadas al Proc Inversión Directorio

Estatuto de Auditoría Interna Directorio

Resoluciones y decisiones Gerenciales Gerente General

Reglamento del Directorio Se encuentra elaborado como documento de la

empresa pero aún está pendiente de aprobación

Política de Gestión Integral de Riesgos Directorio

Política de la Gestión Integral de Riesgos de Inversión Directorio

Manual de Gestión Integral de Riesgos Directorio

Manual de Gestión de Riesgo Organizacional Directorio

Manual de Organización y Funciones Directorio

3.2.2. Relación de las Personas comprendidas en las Observaciones

Auditoría de Sistemas 14
Informe de Auditoría Interna – Banco de Crédito del Perú UNI-FIIS 2017 - II

NOMBRES Y APELLIDOS CARGO DENTRO DEL COMITÉ DE LA

CONTINUIDAD OPERATIVA

Sr.Javier Ichazo Miembro

Sr.José Luis Chávez Miembro

Sr. Jorge Maraví Miembro

Sra.Carmen Moscoso Miembro

3.3. Observaciones Resumidas

El trabajo de auditoría está dirigido a evaluar los niveles de seguridad de los

sistemas de información del área de TI que se utiliza en el BCP.

En la que observamos lo siguiente:

Observación resumida 1:

Para el control de cambios el área cuenta con un aplicativo, que registra quien
realizó el pedido para solicitud de cambio, quien es la persona encargada de su
aprobación y la persona de realizar los cambios en el mismo aplicativo, para que
los demás integrantes sepan que se realizó un cambio esto se realiza mediante
comunicación vía correo institucional.

Auditoría de Sistemas 15