Caso de xito Cobit 5.

Una
experiencia prctica.
Pablo Caneo G.
ISACA - CHILE

Datos del Relator

Pablo Caneo Gutirrez

Oficial de Seguridad (CISO) de Grupo Ultramar
MBA en Gestin de Negocios
Posttulo Docencia Universitaria
Diplomado en RSE (Responsabilidad Social Empresarial)
Diplomado en Seguridad de la Informacin
Posee las certificaciones CISA, CGEIT, CRISC, COBIT 5, ITIL
Presidente Isaca Captulo Santiago de Chile
Docente en Postgrados Universidad de Chile y Universidad Adolfo
Ibaez

Antecedentes
Empresa es una Cooperativa de Ahorro y Crdito, fundada en 1963
La Cooperativa tiene como objetivo nico y exclusivo brindar
servicios de Intermediacin financiera en beneficio de sus socios,
para mejorar sus condiciones de vida.
La Cooperativa hoy no solo depende directamente del Ministerio de
Economa, Fomento y Reconstruccin, a travs del Departamento
de Cooperativas de dicho Ministerio sino que tambin producto de
su posicin y estructura de financiamiento y su capacidad de
manejar activos que no son propios, est siendo regulada y
controlada tambin por la Superintendencia de Bancos e
Instituciones Financieras (SBIF).
Posee una cantidad de 7.000 socios y 52 colaboradores
Su capital es de USD 28 millones
Es una de las 7 principales cooperativas del pas
ISACA - CHILE

Objetivos

Uno de los compromisos y necesidad de la Cooperativa, adems de manejar sus

principios de liquidez, operacin, atencin a clientes, entre otros, se encuentra la
necesidad de poder realizar una adecuada Gestin de Riesgos, sobre sus
operaciones, cumplimiento, control interno, tecnologa y mejora continua en sus
servicios y atencin a clientes.
La Gestin de Riesgos se basa en un proceso estructurado que comprende un
conjunto de polticas, lineamientos, procesos y procedimientos, a travs de las
cuales se pueden identificar, medir, controlar/mitigar y monitorear los diversos
riesgos a la que una Empresa puede estar expuesta.

ISACA - CHILE

Metodologa de Trabajo
1.
2.
3.
4.

Identificacin Proceso
Flujograma del Proceso
Matriz RACI
Seleccin Escenarios de Riesgos
1. Escenario 6 Informacin
2. Escenario 12 Cumplimiento Legal

5.
6.
7.
8.
9.

Revisin de Cumplimiento segn escenarios

Recomendaciones
Riesgos / Escenarios
Controles crticos asociados para mitigar riesgos
Matriz de riesgos y efectos de mitigacin

ISACA - CHILE

Identificacin Proceso
Proceso Clave

Retiro de capital.

Subproceso

Procedimiento de giro de Capital.

Este procedimiento forma parte del proceso de operaciones de capital.
La responsabilidad por su ejecucin y validacin corresponde a las
reas Comercial, Finanzas y Gerencia.

Introduccin

Este procedimiento ser aplicable a todas las operaciones de giro de

capital de la Cooperativa. Las indicaciones del procedimiento deben
ser aplicadas por el rea comercial y controladas por Finanzas
(departamento de Tesorera y Contabilidad).

Alcance

Evaluar las solicitudes de giro de capital en base a las condiciones

establecidas para tal efecto y realizar las operaciones de manera
segura y exenta de errores.

Objetivos

Actividades descritas en
el
Procedimiento.

1.
2.
3.
4.
5.
6.

Ingreso de requerimiento.
Evaluacin de Requerimiento.
Reconsideracin de Requerimiento.
Autorizacin de requerimientos pendientes.
Pago de requerimientos.
Control de estados de requerimientos.

Evaluar las solicitudes de giro de capital en base a las condiciones

establecidas para tal efecto y realizar las operaciones de manera
segura y exenta de errores.

Conciliaciones bancarias.

Objetivos

Procesos Relacionados
Mediciones del Proceso

Cierre diario de operaciones.

Revisin de Tesorera y Contable (diaria)

ISACA - CHILE

Flujograma

ISACA - CHILE

Matriz RACI

ISACA - CHILE

Escenarios de Riesgos
Se procede a seleccin de Escenarios de Riesgos ms adecuados
(de los 20 que propone COBIT), como recomendacin se sugiere
elegir dos o tres escenarios que sean los ms representativos de
acuerdo al proceso escogido
Los escenarios escogidos fueron los siguientes:
Escenario 6: Informacin (daos, fugas y acceso)
Escenario 12: Cumplimiento Legal (cumplimiento normativo)

Basado en los escenarios seleccionados se proceder a revisar

grado de cumplimiento de acuerdo a lo que este escenario seala
para cada uno de los habilitadores (catalizadores)

ISACA - CHILE

Escenario de Riesgo 6

ISACA - CHILE

Escenario de Riesgo 6

ISACA - CHILE

Escenario de Riesgo 6

ISACA - CHILE

Escenario de Riesgo 6

ISACA - CHILE

Escenario de Riesgo 6

ISACA - CHILE

Escenario de Riesgo 6

ISACA - CHILE

Escenario de Riesgo 12

ISACA - CHILE

Escenario de Riesgo 12

ISACA - CHILE

Escenario de Riesgo 12

ISACA - CHILE

Recomendaciones Escenario 6

(1) Desde el punto de la continuidad operacional es necesario que los planes de

contingencia y continuidad de negocio, tengan un procedimiento documentado y
formal, para efectuar pruebas de forma regular
(2) En el mismo sentido del punto anterior, se recomienda realizar ejercicios
peridicos para comprobar que los planes de continuidad de negocio, son adecuados
para la recuperacin frente a los resultados predeterminados, permitiendo dar
soluciones innovadoras para desarrollar posteriormente y cronometrar que el plan de
continuidad operacional va a funcionar como se esperaba. Adicionalmente se
requiere evaluar el contar con un lugar alternativo de operacin.
(3) Se recomienda evaluar la conformacin de un comit que sesione al menos una
vez al ao para revisar el plan de continuidad. Asimismo, se recomienda establecer
un plan de trabajo para realizar escenarios de prueba de dicho sistema.
(4) En relacin a la seguridad de la informacin es prudencialmente razonable la
implementacin de accesos controlados a la sala de servidores, sector de cajas,
documentos valorados como pagares, en donde quede registrado fecha, hora y del
ingreso, todo debidamente respaldado en una poltica.

ISACA - CHILE

Recomendaciones Escenario 6

(5) Tambin es necesaria la implementacin de procedimientos y tecnologa en los

procesos de impresin de documentos importante, ajustar los perfiles para que se
imprima slo lo necesario, claves para rescatar escner o impresiones.
(6) En relacin al monitoreo de las actividades es recomendable la incorporacin al
staff de la Cooperativa, de un Oficial de Cumplimiento Normativo y de seguridad de
la Informacin, con perfil TI separado de la funcin operacional que actualmente
existe y que pueda analizar la lgica de los procesos, identificar errores de manera
proactiva de los sistemas, adems que vele por la implementacin y el cumplimiento
de la normativa interna y externa, adems de la seguridad de la informacin.
(7) Para apoyar el punto anterior es necesario que la organizacin cuente con una
planificacin de capacitacin constante de la normativa vigente interna y externa,
adems de una pasanta para las nuevas incorporaciones que toque los temas
referentes a normativas.
(8) Se recomienda evaluar el costo-beneficio de implementar controles de acceso
fsico a las instalaciones de la Cooperativa: implementar mejoras en los puntos de
acceso, incorporando tecnologa: cmaras de seguridad, puertas con clave de
acceso.

ISACA - CHILE

Recomendaciones Escenario 6

(9) Desde el punto de vista de contingencia tambin es importante sealar que la

institucin cuenta con un Site de Contingencia, que podra fallar porque se encuentra
en un radio inferior a 10 kilmetros y en un evento de envergadura podra verse
afectado, adicionalmente sera adecuado que la Cooperativa cuente en la Sucursal 2
con un generador de corriente que permita aumentar los plazos para reponerse y
restablecer el servicio, como por ejemplo un corte de luz que afecte la regin.
(10) Finalmente para el Escenario de Informacin, se recomienda formalizar las
polticas de seguridad de la informacin, respecto a limitaciones en el intercambio y
uso de la informacin de los Socios de la Cooperativa.

ISACA - CHILE

Recomendaciones Escenario 12

(1) Se recomienda establecer charlas de capacitacin de normativa y cumplimiento

aplicables a la Cooperativa que incluya un registro de asistencia y evaluaciones
peridicas de conocimiento y aplicacin de la normativa aplicable externa e interna.
(2) Definir mediante polticas a los responsables de la seguridad de los datos
personales de los socios, en cada rea de trabajo
(3) Informar a todos los cargos estratgicos, cual es el apetito de riesgo de la alta
direccin para establecer una cultura de administracin de riesgos
(4) Modificar los alcances de la funcin de auditora interna, para que sta se
enfoque en los objetivos de la alta direccin y base sus revisiones en los riesgos de
la compaa.
(5) Implementar una base de datos jurdica y regulatoria que sea un repositorio nico
y de consulta generalizada, estableciendo un mantenedor.
(6) Describir de manera formal, las prcticas de cumplimiento aplicables
(7) Crear una funcin de control interno que monitoree el cumplimiento de los
controles definidos, que base su accin en los riesgos de la compaa.

ISACA - CHILE

Riesgos / Escenarios

ISACA - CHILE

Controles Crticos

ISACA - CHILE

Controles Crticos

ISACA - CHILE

Matriz de Riesgos

ISACA - CHILE

Anexos

Identificaci%25C3%25B3n y Evaluaci%25C3%25B3n de Riesgos y Controles.xlsx

ISACA - CHILE

Anexos

ISACA - CHILE

Anexos

ISACA - CHILE

Anexos

ISACA - CHILE

Preguntas

Pablo Caneo Gutirrez

pcaneo@ultramar.cl pablo.caneo@gmail.com