Capitulo 1:

1.1. Reseña Histórica:

La “Caja Municipal de Ahorro y Crédito del Santa” fue autorizado mediante D.S. No. 255-85-EF, iniciando sus actividades el 3 de marzo de 1986. Con operaciones de crédito prendario y ahorros, productos con los que se mantuvo hasta diciembre de 1993. La Caja Municipal de Ahorro y Crédito del Santa, nació con la misión de ser alternativa real para aquellos sectores de la comunidad local y regional, que tradicionalmente no han sido atendido por la banca, en especial a la Micro y Pequeña Empresa, y que se complementa con los esfuerzos que viene desplegando para promover la cultura del ahorro en la población.

En 1993 la CMAC del Santa, da un salto cualitativo y cuantitativo, cuando decide iniciar sus operaciones con crédito a la Micro y pequeña Empresa, y crédito personal. La conversión de la CMAC Santa en Sociedad Anónima ocurrida en el año 1998, le abre las oportunidades para crecer y desarrollarse en el marco de lo que establece la ley Nº 26702, por otro lado la Municipalidad Provincial del Santa, le ha transferido en vía de aporte de capital, un edificio donde funciona la Oficina Principal de la CMAC Santa (Mayo 1998). y adicionalmente, a fines de Marzo la SBS la autorizó para realizar operaciones activas y pasivas en moneda extranjera.

El 16 de Abril del 1999 la CMAC-SANTA ha instalado su agencia en la Ciudad de Huaraz, lo que le permite ampliar y diversificar su mercado.

El 20 de Diciembre del 2001 abrió la primera Oficina Especializada Bolognesi con la autorización de la SBS. El 23 de Enero del 2006 pasa a ser nuestra Tercera Agencia.

El 10 de Mayo del 2002 se apertura una Oficina Especializada en la ciudad de Casma abriendo paso para la siguiente en la ciudad de Huarmey.

El 12 de Octubre del 2002 se inicia las operaciones en la Oficina Especializada de Huarmey.

El 02 de Noviembre del mismo año 2002 se apertura la tercera Oficina Especializada en un solo año esta vez en la ciudad de Caraz.

El 27 de Junio del 2003 se apertura la Segunda Agencia de la CMAC SANTA en el Distrito de Nuevo Chimbote.

El 21 de Julio del 2006 se apertura la Cuarta Agencia de la CMAC SANTA en el Barranca.

El 22 de Julio del 2006 se apertura la Quinta Agencia en Huacho.

Esta sumatoria de acontecimientos favorables, nos hace mirar el futuro con optimismo y seguridad de poder recuperar el tiempo perdido y constituirnos en el más breve plazo en unas de las principales empresas financieras de la región y dentro del sistema de Cajas.

1.2. Organigrama:

1.3. Foda De La Empresa:

FACTORES INTERNOS

FACTORES EXTERNOS

FortalezasF1.Constante innovación tecnológica.F2.Brindar servicios al alcance de todos.F3.Continúa capacitación y preparación de empleadosF4.Actuar y brindar servicios en Regiones donde se encuentran constituidas, en mayor cantidad, las PYMES.F5.Trabajar con la mejor infraestructura y en lugares en donde no llegan otras entidades financieras.

DebilidadesD1.Demasiados gastos de personal.D2.No tener objetivos claros para enfocar esfuerzos.D3.No se otorgan oportunidades ni se reconocen las habilidades del personal.D4.No se cuenta con un área de investigación y desarrollo.D5.No otorgan créditos hipotecarios.

OportunidadesO1.Existen sectores poblacionales que no tienen acceso al sistema financiero.O2.Acelerado crecimiento de las Pymes.O3.El mercado de actividad agrícola ancashino es considerado un sector potencial en crecimiento.O4.Créditos personales en los que las CMAC han adquirido una participación importante.O5.Proyección Social.

FO(MAXI-MAXI)

AmenazasA1.La baja de las tasas de interés de los bancos (debido a las legislaciones financieras), quita mercado para actuar.A2.El ingreso al mercado de nuevas instituciones financieras.A3.Variación del dólar.A4.Incremento de prestamistas informales.

1.4. Principales Procesos Del Área De Créditos:

La “Caja Municipal de Ahorro y Crédito del Santa” en el área de créditos presenta los siguientes procesos:

1.4.1. Antecedentes generales de Crédito:Como es de conocimiento general, las instituciones que por excelencia se dedican a otorgar créditos de distintas naturalezas son los bancos e instituciones financieras.

A lo largo de todo el proceso de crédito se torna amplio y complejo el análisis que es necesario involucrar en sus líneas aspectos generales como:

Determinación de un mercado objetivo. Evaluación del crédito. Evaluación de condiciones en que se otorgan. Aprobación del mismo. Documentación y desembolso. Administración del crédito en referencia.

1.4.2. Evaluación de créditos en instituciones financieras:Todos los bancos en general persiguen un solo objetivo que es el de colocar dinero, y su utilidad fluye del diferencial entre las tasas de captación y colocación del dinero prestado.

1.4.3. Historia mundial del crédito:

A lo largo de toda la evolución del riesgo crediticia y desde sus inicios el concepto de análisis y criterios utilizados han sido los siguientes: desde principios de 1930 la herramienta clave de análisis ha sido el balance. A principios de 1952, se cambiaron al análisis de los estados de resultados, lo que más importaban eran las utilidades de la empresa. Desde 1952 hasta nuestros tiempos el criterio utilizado ha sido el flujo d caja. Se otorga un crédito si un cliente genera suficiente caja para pagarlo, ya que los créditos no se pagan con utilidad, ni con inventarios ni menos con buenas intenciones, se pagan con caja.

1.4.4. Departamentos de riesgos crediticios :Este departamento debe perseguir los siguientes objetivos: que los riesgos de la institución financiera se mantengan en niveles razonables que permitan buena rentabilidad a la misma; formación del personal en análisis de crédito permite dar solidez al momento de emitir un criterio.

La principal función de los departamentos y/o áreas de riesgos crediticio es determinar el riesgo que significará para la institución otorgar un determinado crédito y para ello es necesario conocer a través de un análisis cuidadoso los estados financieros del cliente, análisis de los diversos puntos tanto cualitativos como cuantitativos que en conjunto permitirá tener una mejor visión sobre el cliente y la capacidad para poder pagar dicho crédito.

1.4.5. Objetivos y funciones del área o departamento de riesgos:

Mantener niveles relativamente bajos de un riesgo crediticio, además que permitan tener una buena rentabilidad y permanencia del mismo.Es muy importante mantener al personal con capacitación constante sobre las tendencias de las economías en el país y tener constante capacitación en el tema de finanzas y decisiones financierasEs importante que los departamentos de tener a mano estudios de mercado y estudios sectoriales.Crear sistemas estándares de evaluación de créditosRealizar estudios de segmentoDetectar aquellos créditos con riesgos superiores a lo normal para hacerles seguimiento más minuciosoPreparar un sin número de análisis para futuros ejecutivos de cuentasRealizar estudios sectorialesContar con información bibliográfica al alcance para posibles consultas, además de estar al tanto y al día de las publicaciones de la prensa en lo que se refiere al movimiento macroeconómico y las tendencias políticas y monetarias

1.4.6. Clasificación de los créditos:

Los créditos se pueden clasificar de acuerdo a los siguientes puntos:

Créditos para grandes y medianas empresas (Corporativos). Pequeñas empresas y comercio (Créditos PYME). Crédito de personas (créditos de consumo).Sin embargo es necesario recalcar que es análisis deberá realizarse de acuerdo a cada caso específicamente

1.4.7. Principios básicos de política crediticia:

El tipo de cliente debe corresponder al mercado objetivo definido por la institución ya que la evaluación y administración es completamente distintaEl mercado objetivo debe al menos definir un mercado objetivo de clientes a operar, el riego que está dispuesto a aceptar, la rentabilidad mínima con que se trabajara, el control y seguimiento que se tendrán salvo excepciones no debe otorgarse crédito a empresas sin fines de lucro, como cooperativas, clubes, etc.Las políticas generales son: Riesgo de la cartera Riesgo por cliente

Posición respecto al destino Requerimiento de información

1.4.8. Análisis De Créditos:Generalidades:Todo crédito debe pasar por una etapa de evaluación previa por simple y rápida que esta sea.Todo crédito por fácil y bueno y bien garantizado que parezca tiene riesgo.El análisis de crédito no pretende acabar con el 100% de la incertidumbre del futuro, sino que disminuya.Es necesario en importante contar con buen criterio y sentido común.

Aspectos necesarios en la evaluación de un crédito:En el proceso de evaluación de un crédito para una empresa se debe contemplar una evaluación profunda tanto de sus aspectos cualitativos como cualitativos .Es necesario considerar el comportamiento pasado del cliente tanto como cliente de la misma institución como de las demás instituciones.La decisión crediticia se la debe tomar en base a antecedentes históricos o presentes.Es necesario considerar en los análisis de crédito diferentes consideraciones que se pueden dar con el fin de anticipar los problemas.Después de haber realizado un análisis concienzudo del crédito es necesario tomar una decisión por lo que se recomienda escoger 4 o 5 variables de las tantas que se dieron para su elaboración.En lo que se refiere a casos de garantía, debe tratarse en la mejor forma posible tener la mejor garantía y que tenga una relación con el préstamo de 2 a 1 esto con el fin de poder cubrir ampliamente el crédito.

Aspectos necesarios en el análisis: Seriedad Simulación de capacidad de pago Situación patrimonial Garantías

Riesgo Del Crédito:Desde el punto de vista del crédito:

Riesgo como viabilidad de retorno del crédito Riesgo como probabilidad de perdida Riesgo país o del marco institucional Riesgo de sector Riesgo financiero

riesgo de mantenimiento de valor de la moneda Vs precios riesgos cambiarios (macroeconómicos –globales) riesgo de fluctuaciones de las tasas de interés riesgo de descalces de plazos

Riesgo operacional riesgo de mercado riesgos tecnológico riesgo de eficiencia (costos) riesgos de abastecimiento riesgo de cobranza riesgo de dirección o capacidad gerencial

Riesgo operacionales especiales riesgo por otorgamiento de anticipos riesgo de toma de posición riesgo de concesiones VS. Dominio de pertenencias riesgo por no renovación de fuente productiva riesgo de irregularidades del mercado cierres de mercado

Riesgo de cobranza Riesgo de situación patrimonial Riesgo de seriedad y moralidad

adulteración de información actos ilegales sobregiros reiterados solicitudes inusuales o excesivas atrasos continuos en pago de capital e intereses incumplimiento de contratos documento de favor recibidos compra de IVA

Riesgo de las garantías

1.4.9. Análisis de crédito a empresas grandes y medianas:

Antecedentes generales del crédito: Destino del crédito Es necesario bajo todo concepto conocer el destino de los fondos que otorga

la institución financiera ya que esto pueden ayudar a la institución a: Para comprobar la coherencia con las políticas de crédito de la institución Para poder evaluar correctamente el crédito Para poder fijar condiciones acordes a las necesidades para poder ejercer control sobre el deudor.

Causas más comunes para una solicitud de crédito:

Aumento de Activo Circulante Aumento de Activos Fijos Gastos Disminución de pasivos.

Primera entrevista de crédito:

Monto y propósito del crédito Fuentes primarias de pago Fuentes secundarias Proveedores Datos financieros Seguros Planta y equipos Historia del negocio Naturaleza del negocio Ambiente comercial Personal Principales cabezas en el negocio y experiencia en el mismo Relación banca negocio

Disponibilidad de información para evaluar un crédito:

Información de otros clientes del mismo sector Información de proveedores Información de consumidores Información de acreedores Bases de datos de los bancos, etc.

1.4.10. Procedimientos paso a paso para la concesión y/u otorgamiento de un crédito:

Requerimiento de información del cliente:

Empresas o personas jurídicas:

Solicitud de la operación

Perfil empresarial destacando la actividad de las empresa, su plan

estratégico de la gestión y/o curriculum vitae

Avalúos de los bienes a ser otorgados en garantía ya sean muebles o

inmuebles

Estados financieros de la empresa (recomendable de las dos últimas

gestiones)

Flujo de caja proyectado con los supuestos considerados en dicha

proyección (recomendable por el periodo de crédito)

Formularios de: información básica, declaraciones patrimoniales,

información confidencial ante DATACIC y SIBEF

Cédulas de identidad

Documentación legal de la empresa (constitución, poderes, RUC, Matricula de comercio, Padrón Municipal, comprobante de pago de IUE, Actas de directorios, estatutos, actas de elección de directorio, etc.)

1.4.11. Circuito del crédito:

Presentación de solicitud y carpeta crediticia

Evaluación del crédito por parte del oficial

Elaboración del informe de recomendación y/o conformidad.

Presentación al comité de crédito y o departamento de riesgo crediticio

Aprobación por parte del Banco BISA S.A. notificación al cliente

Previsión de fondos cual fuera su destino

Elaboración de contrato de crédito en base a las condiciones negociadas

originalmente

Firma del contrato por los solicitante y los representantes de la institución

Presentación de una póliza de seguro por el bien otorgado en hipoteca con la

debida subrogación de derechos a favor del banco

Elaboración de un file o carpeta de crédito con el nombre completo del cliente

Elaboración de la hoja de ruta para desembolso correspondiente ya sea en

cheque o abono a la cuenta del cliente

Elaboración del plan de pagos con sus respectivas fechas de vencimientos

Administración por parte del oficial de cuenta.

1.4.12. Análisis del crédito (análisis cuantitativo y cualitativo):

Consideraciones De Importancia:

Se debe considerar las variables macroeconómicas que afectan aun país,

tales como políticas de incentivo a importaciones o exportaciones, políticas

tributarias, costo del dinero, movimiento de capital de Entes Capitalistas, política

monetaria, precios internacionales, conflictos internacionales, inflación,

crecimiento económico mediterraneidad de un país, pobreza y subdesarrollo,

dependencia de otros países, desarrollo social de un país, huelgas sindicales o

problemas sociales, etc.

Otras de las variables de mucha importancia es el análisis del sector de la

empresa, variable como vulnerabilidad del sector, desarrollo, F.O.D.A.,

dependencia de otros sectores, estancamiento por diferentes razones, poco

incentivo del gobierno, poco interés por parte de inversionista, fuerte inversión

inicial, etc.

De preferencia se debe analizar balances de las tres últimas gestiones

Balance con antigüedad no mayor a 6 meses

Calificación de la auditoria, hay que tener en cuenta que no todos los

auditores califican

Los comentarios deben ser de fondo y no de forma, deben permitirnos

identificar las causas y dar respuestas sobre el rubro

Los comentarios del balances deben responder a los porque.

Deben analizarse los balances consolidados en caso de Grupos Económicos

manteniendo cuidado de consolidar cada una de las cuentas.

1.4.13. Depuración y análisis de las cuentas del balance:

Antes de analizar un balance es necesario tomar en cuenta los siguientes aspectos:

Depuración de datos (Ej. Cuentas por cobrar incobrables se debe eliminar

contra el patrimonio, lo mismo so existe un activo sobrevaluado, cuentas

corrientes socios debe eliminarse contra patrimonio, etc.)

Sector al que pertenece la empresa

Descripción y detalle de cada una de las partidas del balance

Forma de contabilización de las cuentas

Valorización

Política de administración

Evolución tendencias, etc. (mientras mayor sea el monto mayor será la

importancia de análisis)

Solicitar preferentemente balance auditado por una auditora confiable

Cerciorarse de que el balance que se está analizando tenga la firma de la

persona responsable del balance.

1.4.14. Análisis de las cuentas comerciales por cobrar:

Formas de documentación de las cuentas por cobrar o deudores por venta,

que proporción y cuál es el respaldo de cada una de ellas en caso de no poder

cobrarlas.

Utilización de Factoring en la cobranza o para tener liquidez inmediata

Principales deudores

Grado de concentración que existe en cada uno de ellos

Comportamiento pasado de esas cuentas

Porcentaje de incortabilidad de los últimos meses

Comparación de la cartera de clientes con otras empresas del mismo sector

Verificar la contabilización. Podrían no incluir IVA

Política de administración de las cuentas por cobrar (Beneficios de mantener

cuentas por cobrar, intereses vs sus costos por la administración

Se debe tener en cuenta que el volumen de las cuentas por cobrar depende

del porcentaje de ventas a crédito, volumen de ventas y plazo promedio de

ventas.

Políticas de crédito: se refiere a la forma de seleccionar a sus clientes, criterio

de evaluación.

Condiciones de crédito: porcentaje de ventas a crédito, plazo, formas de

reajustes de tasas de interés, formas o tipos de documentación, tipos de

descuentos por pronto pago, garantías en caso de pedir.

Políticas de cobranza: de tipo prejudicial, que trato les dan a los clientes con

retraso de 30 días o más, que tipo de acciones se toman, forma de cobranza,

vía fax, cartas, etc., cobranza judicial, tipos de procedimientos, embargos, etc.

Evolución y tendencia de las cuentas por cobrar.

1.4.15. Análisis del inventario:

Necesario realizar análisis de las partidas que componen el inventario. Materia

prima productos en proceso, productos terminados, suministros, repuestos,

materias primas en tránsito. Se deberá analizar cada uno de ellos

En caso de materia prima , esta es importada o nacional, si es local existe

problemas de abastecimiento, si es importada el tiempo de

aprovisionamiento.

Obsolescencia de los inventarios, tanto por nueva tecnología como por

desgaste

Tiempo de rotación

Tienen seguro contra incontinencias

Deberá realizarse la inspección visual de dicha mercadería.

Se debe saber la forma de contabilización de los inventarios

Correcta valorización y la moneda empleada para su contabilización

Se bebe conocer la política de administración de los inventarios: con quienes

se abastecen, que tan seguro es, preocupación por tener bajos precios y mejor

calidad; cuantos meses de ventas mantienen en materia prima, productos en

proceso y productos terminados; cual es la rotación de los inventarios fijada o

determinada; estokeamiento en épocas del año.

Áreas involucradas en la administración ya sea el Gerente de Producción,

Gerente de Marketing, Gerente. de Ventas o Finanzas, etc.

Conocer como se realiza el control de los inventarios en forma manual o

computarizada. Tecnología empleada

Naturaleza y liquidez de los inventarios.

Características y naturaleza del producto

Características del mercado

Canales de distribución

Analizar la evolución y tendencia

1.4.16. Análisis del activo fijo:

Descripción de los activos fijos uno por uno para tener conocimiento del tipo de activos fijos que dispone la empresa y si corresponde a su actividad o rubro. El análisis de esta cuenta está ligado:

Existencia de la propiedad

Forma de contabilización de los activos fijos

Valorización, revalorización, depreciación, desgaste físico y moral

Política de administración de los activos fijos

Tecnología y modernización

Antigüedad de cada uno de los activos

Mantenimiento periódico que se realizan a cada uno de ellos

Políticas utilizadas para el buen manejo del activo de la empresa

Cual la proporción de los activos productivos e improductivos que no generan

recursos a la empresa

Es necesario separar los activo pertenecientes a los socios de la empresa y de

la empresa esto para poder tener un análisis más objetivos

Su evolución y tendencia en las gestiones

1.4.17. Obligaciones Bancarias:

Análisis de la composición de las obligaciones bancarias, de largo y corto plazo.

Considerando la concentración correcta de obligaciones tanto en el pasivo

circulante como en pasivo no circulante

Análisis de las garantías que respaldan dichos créditos y cual la proporción de

garantías ofrecidas versus créditos solicitados

Análisis de las formas de amortización ya que de esto dependerá como pueda

cumplir el cliente ya que no todas las actividades tienen el mismo ciclo

operativo ( agrícola, comercio, construcción, servicios, etc.)

Administración de las obligaciones ( manual, computarizadas, si existen

reportes)

Tasas de intereses y plazos a los que está pactado cada crédito

Objetos concretos de cada uno de los pasivos bancarios solicitados y cual el

efecto que ha tenido en la empresa

Análisis del impacto en el balance de la obligación solicitada a banco. Esto es

importante porque determinará el endeudamiento de la empresa y cual su

estructura de pasivos bancarios

Quienes son los entes finananciadores; instituciones privadas, de incentivo , de

desarrollo , etc.

1.4.18. Obligaciones Comerciales:

Cuál es la política de otorgaciones de crédito por parte de los proveedores

hacia la empresa.

Formas de pago, tasas de interés, comisiones, descuentos (cual la

modalidad de pago; letras, avales.

Indicadores Financieros:

Razón de liquidez

Test ácido

Rotación de cuentas por cobrar

Rotación de inventarios

Ciclo operacional

Rotación de cuentas por pagar

Leverage: Deuda total/Ventas Total

Rentabilidad sobre activos

Rentabilidad sobre patrimonio

Ventas/Activo total

Ventas/Activo fijo

Resultado bruto/ventas

Resultado operacional/ventas

Utilidad neta/ventas.

Limitaciones De Las Razones Financieras:

Estáticos e históricos no productivos

Requieren de información complementaria para mejor interpretación

Calidad y oportunidad

Contabilidad manipulada

Métodos contables cambiantes

Pasivos no reconocidos

Aspectos Cualitativos Del Análisis :

a) Análisis del negocio

b) Historia de la empresa

c) Dueños

d) Administración

e) Calidad empresarial

f) Organización

g) Organigrama

h) Sistemas gerenciales (técnicas de administración)

i) Sistemas de información

j) Canales de comunicación(verticales /horizontales)

k) Objetivos y metas

l) Políticas y procedimientos para cumplir las metas

m) Recursos humanos

n) Abastecimiento

o) Producción

p) Análisis sectorial

q) Proyecciones.

Capitulo 2:

2.1. Marco Teórico de COBIT:

COBIT (Control Objectives Control Objectives for Information and related Technology) es el marco aceptado internacionalmente como una buena práctica para el control de la información, TI y los riesgos que conllevan. COBIT se utiliza para implementar el gobierno de IT y mejorar los controles de IT. Contiene objetivos de control, directivas de aseguramiento, medidas de desempeño y resultados, factores críticos de éxito y modelos de madurez. Para ayudar a las organizaciones a satisfacer con éxito los desafíos de los negocios actualmente, el IT Governance Institute® (ITGI) ha publicado la versión de COBIT® 4.1

COBIT es un framework de Gobierno de TI y un conjunto de herramientas de soporte para el gobierno de T.I. que les permite a los gerentes cubrir la brecha entre los requerimientos de control, los aspectos técnicos y riesgos de negocio.

COBIT hace posible el desarrollo de una política clara y las buenas prácticas para los controles de T.I. a través de las organizaciones.

COBIT enfatiza en la conformidad a regulaciones, ayuda a las organizaciones a incrementar el valor alcanzado desde la TI, permite el alineamiento y simplifica la implementación de la estructura COBIT.

La última versión, COBIT® 4.1, enfatiza el cumplimiento normativo, ayuda a las organizaciones a incrementar el valor de T.I., apoya el alineamiento con el negocio y simplifica la implantación de COBIT. Esta versión no invalida el trabajo efectuado con las versiones anteriores del COBIT, sino que puede ser empleado para mejorar el trabajo previo. Cuando importantes actividades son planeadas para iniciativas de Gobierno de T, o cuando se prevé la revisión de la estructura de control de la empresa, es recomendable empezar con la más reciente versión de COBIT.El modelo COBIT para auditoría y control de sistemas de información

La evaluación de los requerimientos del negocio, los recursos y procesos IT, son puntos bastante importantes para el buen funcionamiento de una compañía y para el aseguramiento de su supervivencia en el mercado.

El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso.

La estructura del modelo COBIT propone un marco de acción donde se evalúan los criterios de información, como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la tecnología de información, como por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación sobre los procesos involucrados en la organización.

El COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios.

“La adecuada implementación de un modelo COBIT en una organización, provee una herramienta automatizada, para evaluar de manera ágil y consistente el cumplimiento de los objetivos de control y controles detallados, que aseguran que los procesos y recursos de información y tecnología contribuyen al logro de los objetivos del negocio en un mercado cada vez más exigente, complejo y diversificado”, señaló un informe de ETEK.

COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de tecnología. Vinculando tecnología informática y prácticas de control, el modelo COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores.

COBIT se aplica a los sistemas de información de toda la empresa, incluyendo los computadores personales y las redes. Está basado en la filosofía de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos.

El conjunto de lineamientos y estándares internacionales conocidos como COBIT, define un marco de referencia que clasifica los procesos de las unidades de tecnología de información de las organizaciones en cuatro “dominios” principales, a saber:

- Planificación y organización - Adquisición e implantación - Soporte y Servicios - Monitoreo

Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de información, como de la tecnología que la respalda. Estos dominios y objetivos de control facilitan que la generación y procesamiento de la información cumplan con las

características de efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.

Asimismo, se deben tomar en cuenta los recursos que proporciona la tecnología de información, tales como: datos, aplicaciones, plataformas tecnológicas, instalaciones y recurso humano.

“Cualquier tipo de empresa puede adoptar una metodología COBIT, como parte de un proceso de reingeniería en aras de reducir los índices de incertidumbre sobre vulnerabilidades y riesgos de los recursos IT y consecuentemente, sobre la posibilidad de evaluar el logro de los objetivos del negocio apalancado en procesos tecnológicos”, finalizó el informe de ETEK.

2.2. Modelamiento de Casos de Usos del Negocio (COBIT) :

Auditores de T.I

Procesar Planificación y organización de T.I

Procesar Adquisión e Implementación de T.I

<<include>>

Procesar Prestaciones y Soportes de T.I

<<include>>

Departamento Credito

Procesar Monitores y Control de T.I

<<include>>

2.3. Modelamiento de Casos de Uso de Cada Dominio:

2.3.1. Dominio: Planificación y organización:

2.3.2. Dominio: Adquisición e implementación:

Diagrama Casos de Uso DOMINIO1:Planificacion y Organizacion de las TI

D1P1.Definicion de un plan estrategico

D1P2.Definicion de la Arquitectura de...

<<include>>

D1PO3.Determinar la Direccion Teconologica

<<include>>

D1PO4.Definicion de la Organizacion de TI

<<include>>

D1PO5.Manejo de la Inversion

<<include>>

D1PO6.Definicion de la Organizacion y Relacion...

<<include>>

D1PO7.Administracion de RR.HH

<<include>>D1PO8.Cumplir con los Requerimientos Externos

<<include>>

D1PO9.Evaluacion de Riesgos TI

<<include>>

D1PO10.Administracion de Proyectos de TI

<<include>>

DTI

D1PO11.Administracion de Calidad

<<include>>

AI1. Identificacion de Soluciones Automatizadas

AI2. Adquisisicon y mantenimiento del Softw...

<<include>>

AI3. Adquisicion y Mantenimiento de...

<<include>>

AI4. Desarrollo y Manteniemto...

<<include>>

AI5.Instalacion y Aceptacion de los Sistemas

<<include>>

DTI

AI6. Administracion de los Cambios

<<include>>

2.3.3. Dominio: Prestación y soporte:

2.3.4. Dominio: Monitoreo y Control de TI:

DS1. Definicion de Niveles de Servicio

DS2. Administracion de Servicios prestados ...

<<include>>

DS3. Administracion de Desempeño y Capacidad

<<include>>

DS4. Asegurar el servicio Continuo

<<include>>

DS5. Garantizar la Seguridad de Sistemas

<<include>>

DS6. Educaion y Entrenamientos de Usuarios

<<include>>

DS7. Identificaion y Asignacion de costos

<<include>>

DS8. Apoyo y Asistencia a los Clientes de TI

<<include>>

DS9. Administracion de la Configuracion

<<include>>

DS10. Administracion de Problemas

<<include>>

DS11. Administracion de Datos

<<include>>

DS12. Administracion de las Instalaciones

<<include>>

DTI

DS13. Administracion de la Operacion

<<include>>

MC1. Monitoreo del Proceso

MC2. Evaluar lo adecuado del Control Interno

MC3. Obtencion de Aseguramie...

DTIMC4. Proveer Auditoria

Independiente<<include>> <<include>>

<<include>>

2.4. Modelamiento de Diagrama de actividades del Dominio 1 “Planificación y Organización de las TI”:2.4.1. PO1. Definición de un plan estratégico:

Procesar el Inventario de Soluciones e Infraestructura de TI

1.Evaluar la automatizacion del Negocio

2.Evaluar la funcionalidad TI

3.Evaluar la Estabil idad TI

4.Evaluar la Complej idad TI

5.Evaluar Costo TI

6.Evaluar FODA de TI

1.Evaluar la automatizacion del Negocio

2.Evaluar la funcionalidad TI

3.Evaluar la Estabil idad TI

4.Evaluar la Complej idad TI

5.Evaluar Costo TI

6.Evaluar FODA de TI

Adaptar los planes de TI a largo plazo a los cambios organizacionales

Estudio oportuno de factibil idad de TI

Definir Objetivos y Necesidades de TI en funcion de los obejitos del Negocio

1.Definir planes a Corto plazo de TI (1 año)

Elaborar diagnostico de PETI a corto plazo

Elaborar direccionamiento de PETI a corto plazo

2.Planes a Largo plazo(+de 5 años)

Elaborar diagnostico de PETI a largo plazo

Elaborar Direccionamiento a largo plazo

1.Definir planes a Corto plazo de TI (1 año)

Elaborar diagnostico de PETI a corto plazo

Elaborar direccionamiento de PETI a corto plazo

2.Planes a Largo plazo(+de 5 años)

Elaborar diagnostico de PETI a largo plazo

Elaborar Direccionamiento a largo plazo

Elaborar diagnostico de PETI a corto plazo

Elaborar direccionamiento de PETI a corto plazo

Elaborar diagnostico de PETI a largo plazo

Elaborar Direccionamiento a largo plazo

DTI

2.4.2. PO2. Definición de la Arquitectura de Información:

2.4.3. PO3. Determinación de la dirección Tecnológica:

Documentacion Consistente con las necesidades de la informacion

Procesar diccionario de datos con actualizacion permanente en funcion de las necesidaes de la informacion

Procesar la ubicacion de datos en clases de informacion

Capacidad de adaptabilidad de la infraestructura de TI en funcion de los requerimientos del negocio y planes a corto y largo plazo de TI

Adecuar la Arquitectura del sistema

Adecuar la Infraestructura tecnologica

Adecuar las Estrategias de Migracion

Adecuar la Arquitectura del sistema

Adecuar la Infraestructura tecnologica

Adecuar las Estrategias de Migracion

El monitoreo de desarrollos tecnologicos que seran tomados en consideracion durante el desarrollo y manteniento del plan infraestructura tecnologica.

desarrollo del plan de Infraestructuta Tecnologica

Mantenimeinto del plan de infraestructura tecnologica

Realizar planes de Contingencia;donde se evaluara el plan de infraestructura tecnologica.

Realizar de adquisicion;donde se reflejan las necesidades identificadas del plan de infraestructura tecnologica.

desarrollo del plan de Infraestructuta Tecnologica

Mantenimeinto del plan de infraestructura tecnologica

2.4.4. PO4. Definición de la Organización y de las Relaciones de TI:

Encargado de vigilar las funciones de servicios de informacion y sus actividades

Designar formalmente a los propietarios y custodios de los datos

supervisar que las funciones y responsabilidades sean llevadas a cabo

Segregar funciones;que permitan qu eun solo individuo resuelva un proceso critico

Designra roles y actividades;donde cada persona debe cumplirlas, conocerlas.

Describir los puestos;es decir,debe delinear la responsabilidad de cada autoridad

Evaluar los requerimientos regularmente del personal.

Definir e identificar al personla clave de TI

GerenciaComite de Direccion

2.4.5. PO5. Manejo de la Inversión:

Se debera investisgar diferentes alternativas de financiamiento

Control de los gastos reales

Justificar los costos y beneficios

Contabilidad

2.4.6. PO6. Comunicación de la dirección y relación de TI:

Tener en cuenta el codigo de etica/conducta

Tener en cuenta las directrices tecnologicas

Tener en cuenta el compromiso de la calidad

Definir una filosofia de calidad

Documentar una filosofia de calidad

Mantener uan filosofia de calidad

Definir una filosofia de calidad

Documentar una filosofia de calidad

Mantener uan filosofia de calidad

Definir las politicas de seguridad y control interno

Gerencia

2.4.7. PO7. Administración de RRHH:

2.4.8. PO8. Cumplir con los requerimientos Externos:2.4.9. PO9. Evaluación de Riesgos TI:

Reclutamiento y Promocion

Maximizar los requerimientos de calificaciones;teniendo como base la educacion,entrenamiento y expereriencias apropiadas

Capacitacion al Personal

Evaluar objetivamente el desmpeño de los empleados

definir y mantener los procedimientos para los requerimientos de uso externo

cumplir las leyes,regulaciones y contratos

Buscar asistencia legal y modificaciones

Seguridad con respecto al ambiente del trabajo

Privacidad

Propiedad intelectual

Flujo de datos externos y captografia

2.4.10. PO10. Administración de proyectos de TI:

Identificar,definir y actualizar regularmente los riesgos TI

definir los alcances,limites de los riesgo y la metodologia para los riesgos

actualizar la evaluacion de riesgos

Tener una metodoligia para la evaluacion de riesgos

Medir los riesgos Cualitativos y -cuantitativos

Definir un plan de accion contra los riesgos

Aceptacion de los riesgos dependiendo de l aidentificaion de estos.

DTI

Definir un marco de referencia general para la organizacion de Proyectos;que defien el alcance y limites del mismo

Involucrar a los usuarios en el desarrollo,implementando o modificando los proyectos

Designar responsabilidades a los miembros del personal

Aprobar las fases del proyectos por parte de los miembros

Presupuestar los costos y horas del personal

Los planes y metodologias de aseguramiento de calidad deben ser revisados

Tener planes de evaluacion de riesgos para minimizar los factores de riesgo.

Tener planes de prueba,entrenamiento y revision post implementacion

2.4.11. PO11. Administración de Calidad:

Definir y mantener regularmente un plan de calidad

Tener en cuenta las responsabilidades de aseguramiento de calidad para que determinen los tipos de aseguramiento

tener metodologias del ciclo de vida para el desarrollo del sistema

Documentar pruebas de sistemas y programas

Revision y reportes de aseguramiento de calidad

2.5. Modelamiento de Diagrama de actividades del Dominio 2 “Adquisición y Planificación de TI”:2.5.1. AI1. Identificación de Soluciones Automatizadas:

2.5.2. AI2. Adquisición y mantenimiento del Software aplicativo:

Definir los requerimientos de informacion para la aprobacion del proyecto

Realizar un estudio de factibilidad del proyecto aprobado

Realizar una arquitectura de informacion para modelar los datos del estudio de factibilidad

Controlar Relacion Costo-Beneficio

Realizar Pistas de Auditoria

Procesar los requerimientos del usuario para realizar un software facil de usar

Procesar requerimientos de archivo,entrada,proceso y salida

Modelar interfaz del Software de facil uso del usuario

Realizar pruebas funcionales antes de la ejecucion del proyecto establecido

Controlar los requerimientos funcionales y documentar manuales de uso del software para los usuarios

2.5.3. AI3. Adquisición y mantenimiento de la Infraestructura Tecnológica:

2.5.4. AI4. Desarrollo y Mantenimiento de Procedimientos:

Evaluar la tecnologia a usar sobre el actual sistema general

Realizar mantenimientos continuos al Hardwar

Realizar mantenimiento y seguridad del Software

Realizar manuales de procedimientos de usuarios y controles

Realizar manuales de operaciones y controles

Realizar materiales de entrenamiento enfocados al uso del sistema

2.5.5. AI5. Instalación y Aceptación de los Sistemas:

2.5.6. AI6. Administración de los Cambios:

Capacitar al personal de acuerdo al plan de entrenamiento

Realizar la conversion de los datos del antiguo sistemas al nuevo sistema

Realizar pruebas especificas ya sea de cambio,desempeño u operacional

Acreditacion del Sistema para la aceptacion de la Gerencia

Realizar revisiones post con el fin de ver si los resultados son los deseados

Identificar los cambios internos como de los proovedores

Realizar procedimientos de categorizacion, priorizacion y emergencia

Evaluar el impacto que producen los cambios

Autorizar los cambios al sistema

Distribuir el software autorizado con sus medidas de control

2.6. Modelamiento de Diagrama de actividades del Dominio 3 “Prestación y Soporte de TI”:

2.6.1. DS1.Definicion de niveles de Servicio:

Convenios formales

determinar disponibilidad

determinar confiabilidad

determinar desempeño

determinar capacidad de crecimiento

niveles de soporte proporcionados al usuario

plan de contingencia / recuperación

nivelmínimo aceptable de funcionalidad ...

restricciones (límites en lacantidad de trabajo)

cargos por servicio

instalaciones de impresión central (disponibilidad)

distribuciónde impresión central y procedimientos de cambio.

determinar disponibilidad

determinar confiabilidad

determinar desempeño

determinar capacidad de crecimiento

niveles de soporte proporcionados al usuario

plan de contingencia / recuperación

nivelmínimo aceptable de funcionalidad ...

restricciones (límites en lacantidad de trabajo)

cargos por servicio

instalaciones de impresión central (disponibilidad)

distribuciónde impresión central y procedimientos de cambio.

Definición de las responsabilidades de los usuarios y de la función de servicios de información

desempeño que aseguren que la manera y las responsabilidadessobre lasrelaciones que rigen el desempeño entre todas las partes involucradas

Asignando un gerente de nivel de servicio que sea responsable de monitorear y reportar los alcances de los criterios de desempeño

Provisiones para elementos sujetos a cargos en los acuerdos de niveles de servicio

Garantias de integridad

Convenios de confidencialidad

Implementacion de un programa de mejoramiento del servicio

2.6.2. DS2. Administracion de Servicio prestadospor terceros:

2.6.3. DS3. Administracion de Desempeño y Calidad:

Acuerdos de servicios con terceras partes a traves de contratos

nivel de procesamientos requeridos

nivel de seguridad

nivel de monitoreo

Nivel de requerimientos de contingencia

nivel de procesamientos requeridos

nivel de seguridad

nivel de monitoreo

Nivel de requerimientos de contingencia

Acuerdos de confidencialidad

Requerimientos legales

Monitoreo de la entrega de servicio

Requerimientos de disponibilidad y desempeño de los servicios

Monitoreo y reporte de los recursos

Utilizar herramientas de modelado

requerimientos de capacidad

requerimientos de confiabilidad de cinfiguracion

requerimientos de desempeño

requerimientos de disponibilidad

requerimientos de capacidad

requerimientos de confiabilidad de cinfiguracion

requerimientos de desempeño

requerimientos de disponibilidad

Administracion de capacidad estableciendo un proceso de planeacion

Implementacion de mecanismos de tolerancia de fallas

2.6.4. DS4. Asegurar el Servicio continuo:

2.6.5. DS5. Garantizar la Seguridad de los Sistemas:

Planificación de Severidad

Plan Documentado

Procedimientos Alternativos

Respaldo y Recuperación

Pruebas y entrenamiento sistemático y singulares

Autorizacion, autenticacion y el acceso logico junto con el uso de los recursos de TI

Perfiles e identificación de usuarios

Administración de llaves criptográficas

Manejo, reporte y seguimiento de incidentes implementado capacidad para la atención de losmismos

Prevención y detección de virus tales como Caballos de Troya

Utilizacion de Firewalls si existe una conexion con Internet u otras redes publicas en laorganizacion

2.6.6. DS6. Educacion y Entrenamiento de Usuarios:

2.6.7. DS7. Identificacion y asignacion de costos:

Curriculum de entrenamiento estableciendo y manteniendo procedimientos

Campañas de concientización

definiendo los grupos objetivos

identificar y asginar entrenadores

organizar oportunamente las sesiones de entrenamiento

definiendo los grupos objetivos

identificar y asginar entrenadores

organizar oportunamente las sesiones de entrenamiento

Técnicas de concientización

Los elementos sujetos a cargo

recursos identificables

recursos medibles

recursos predecibles para los usuarios

recursos identificables

recursos medibles

recursos predecibles para los usuarios

Procedimientos y políticas de cargo que fomenten el uso apropiado de los recursos

Tarifas definiendo e implementando procedimientos de costeo

analizados monitoriados

evaluadosasegurando al mismo tiempo la economia

analizados monitoriados

evaluadosasegurando al mismo tiempo la economia

2.6.8. DS8. Apoyo y asistencia a los clientes TI:

2.6.9. DS9. Administracion de la configuracion:

Consultas de usuarios y respuesta a problemas

Monitoreo de consultas y despacho

Análisis y reporte de tendencias adecuado de las preguntas de los clientes y su solución

tiempos de respuesta

identificacion de tendencias

tiempos de respuesta

identificacion de tendencias

Registro de activos estableciendo procedimientos

Administración de cambios en la configuración

Chequeo de software no autorizado

Controles de almacenamiento de software

2.6.10. DS10. Administracion de Problemas:

2.6.11. DS11. Administracion de Datos:

Asegurar que los problemas e incidentes sean resueltos

sistema de manejo de problemas

registre y dé seguimiento a todos losincidentes

conjunto de procedimientos de escalamiento de problemas

registre y dé seguimiento a todos losincidentes

conjunto de procedimientos de escalamiento de problemas

Este sistema de administración de problemas

realizar un seguimiento de las causas a partir de un incidente dado

realizar un seguimiento de las causas a partir de un incidente dado

Asegurar que los datos

permanezcan completos

permanezacan precisos

permanezcan validos durnte su entrada, actualizacion, salida y almacenamiento

permanezcan completos

permanezacan precisos

permanezcan validos durnte su entrada, actualizacion, salida y almacenamiento

lograr a través de una combinación efectiva de controles generales

lograr aplicación sobre lasoperaciones de TI

Este proceso deberá controlar los documentos fuentes

crear también procedimientosque validen los datos de entrada

correjir o detectar los datos erróneos

procedimientos de validación para transacciones erróneas

2.6.12. DS12. Administracion de las Instalaciones:

2.6.13. DS13. Administracion de la Operación:

Proporcionar un ambiente físico deprotecion contra peligros naturales o fallas humanas

protejer al equipo

protejer al personal de TI

protejer al equipo

protejer al personal de TI

intalacion de controles fisicos y ambientales

Asegurar las funciones importantes de soporte de TI

lograr a través de una calendarización de actividades de soporte

registrada y completada en cuanto al logro de todas las actividades

registrada y completada en cuanto al logro de todas las actividades

2.7. Modelamiento de Diagrama de actividades del Dominio 4 “Procesar Monitoreo y Control de TI”:

2.7.1. MC1. Monitoreo del Proceso:

2.7.2. MC2. Evaluar lo adecuado del Control Interno:

evaluar el desempeño de los procesos de laorganización

definir indicadores claves de desempeño

compararlos con los niveles objetivos propuestos

definir indicadores claves de desempeño

compararlos con los niveles objetivos propuestos

confeccionar informes que indiquen el avance de la organizaciónhacia los objetivos propuestos.

medir el grado de satisfacción del los clientes identificar deficiencias en los

niveles de servicio

establecer objetivos de mejoramiento

medir el grado de satisfacción del los clientes identificar deficiencias en los

niveles de servicio

establecer objetivos de mejoramiento

monitorear la efectividad de los controles internos

realizar actividades administrativas y de supervisión, comparaciones, reconciliaciones y otras acciones rutinarias

evaluar su efectividad

emitir reportes sobre ellos en forma regular

realizar actividades administrativas y de supervisión, comparaciones, reconciliaciones y otras acciones rutinarias

evaluar su efectividad

emitir reportes sobre ellos en forma regular

2.7.3. MC3. Obtención de Aseguramiento Independiente:

2.7.4. MC4. Proveer Auditora Independiente:

implementar nuevos servicios de tecnología de información que resulten críticos

trabajar con nuevos proveedores de servicios de tecnología de información

adoptar trabajos rutinarios

hacer evaluaciones periódicas sobre la efectividadde los servicios de TI

hacer evaluaciones periódicas sobre la efectividadde los proveedores de los servicios de TI

asegurarse el cumplimiento de los compromisos contractuales de los servicios de TI

asegurarse el cumplimiento de los compromisos contractuales de los proveedores de los servicios de TI

hacer evaluaciones periódicas sobre la efectividadde los servicios de TI

hacer evaluaciones periódicas sobre la efectividadde los proveedores de los servicios de TI

asegurarse el cumplimiento de los compromisos contractuales de los servicios de TI

asegurarse el cumplimiento de los compromisos contractuales de los proveedores de los servicios de TI

obtener una certificación o acreditación independiente de seguridad y controlinterno

establecer los estatutos para la función deauditoria

destacar en el documento la responsabilidad, autoridad y obligaciones de la auditoria

elaborar el documento

establecer que el auditor no esté relacionado con la sección o departamento auditado, e inclusive con la propia empresa

establecer el respeto a la ética y los estándaresprofesionales

requerir proporcionar un reporte final con todoa la información acerca de la auditoría

destacar en el documento la responsabilidad, autoridad y obligaciones de la auditoria

elaborar el documento

establecer que el auditor no esté relacionado con la sección o departamento auditado, e inclusive con la propia empresa

establecer el respeto a la ética y los estándaresprofesionales

requerir proporcionar un reporte final con todoa la información acerca de la auditoría