ESCUELA POLITCNICA DEL EJRCITO

CARRERA DE INGENIERA DE SISTEMAS E INFORMTICA

DPTO. DE CIENCIAS DE LA COMPUTACIN

AUDITORA INFORMTICA DE LA COOPERATIVA DE AHORRO Y CRDITO ALIANZA DEL VALLE LTDA. APLICANDO COBIT 4.0

Previa a la obtencin del Ttulo de:

INGENIERO EN SISTEMAS E INFORMTICA

REALIZADO POR:
GABRIELA FERNANDA BARROS MARCILLO ANDREA ERIKA CADENA MARTEN

SANGOLQU, 10 de Enero del 2012

CERTIFICACIN

Certifico que el presente trabajo fue realizado en su totalidad por las Srtas. GABRIELA FERNANDA BARROS MARCILLO y ANDREA ERIKA CADENA MARTEN como requerimiento parcial a la obtencin del ttulo de INGENIERAS EN SISTEMAS E INFORMTICA.

Sangolqu, 10 de Enero del 2012

_________________________ ING. MARIO RON

DEDICATORIA

A mis Padres, quienes durante toda mi vida me han brindado la fuerza, confianza, nimo y apoyo necesario; siendo mi apoyo incondicional en toda esta etapa de mi vida, tambin es dedicada a mi hermano que es el motivo de mi lucha diaria y, por el que me esfuerzo da a da.

Rolando Neidy y Hctor

ANDREA CADENA

DEDICATORIA

Dedico este proyecto de tesis a DIOS, a mi familia y mi novio. A Dios porque ha estado conmigo a cada paso que doy, cuidndome y dndome fortaleza para continuar, a mi familia, quienes a lo largo de mi vida han velado por mi bienestar y educacin siendo mi apoyo en todo momento. Depositando su entera confianza en cada reto que se me presentaba sin dudar ni un solo momento en mi inteligencia y capacidad. A mi novio, compaero inseparable apoyo en los momentos difciles y aliento para seguir adelante y no desmayar. Es por ellos que soy lo que soy ahora. Los amo con mi vida.

GABRIELA BARROS

AGRADECIMIENTO

A mis padres por ser mi ejemplo a seguir, por brindarme todo el amor y apoyo durante mi vida, a mi hermano por darme la fuerza para seguir adelante a pesar de todo, a mi enamorado por ser mi soporte, a mi familia por siempre estar a mi lado, a la Escuela Politcnica del Ejrcito por todas las enseanzas recibidas, a los ingenieros que ayudaron en la elaboracin de este proyecto: Ing. Mario Ron, Eco. Gabriel Chiriboga; por su gua en todas las fases de la tesis y a todas las personas que de una u otra forma ayudaron a la culminacin de esta meta.

ANDREA CADENA

AGRADECIMIENTO

En primer lugar a DIOS por haberme guiado por el camino de la felicidad hasta ahora; en segundo lugar a cada uno de los que son parte de mi familia a mi PADRE Vctor Barros, mi MADRE Rosario Marcillo, mis hermanos y sobrinos por siempre haberme dado su fuerza y apoyo incondicional que me han ayudado y llevado hasta donde estoy ahora. A mi compaera de tesis y amiga Andrea Cadena, a la Escuela Politcnica del Ejrcito por todas las enseanzas recibidas y, de una manera muy especial agradezco a quienes fueron gua y apoyo para culminar este proyecto Ing. Mario Ron y Eco. Gabriel Chiriboga.

GABRIELA BARROS

TABLA DE CONTENIDOS ANEXOS ........................................................................................................ 116 Anexo A Hojas de Evaluacin ............................................................................... 116 Anexo B Carpeta de Evidencias ............................................................................ 149 Anexo C Lista de Documentacin Solicitada ......................................................... 213 Anexo D INFORME EJECUTIVO........................................................................... 215 Anexo E INFORME DETALLADO ......................................................................... 221 Anexo F NIVEL DE MADUREZ DE LA COOPERATIVA ....................................... 250 Anexo G PROPUESTA DE SERVICIOS DE AUDITORA EN INFORMTICA ...... 256 BIBLIOGRAFA .............................................................................................. 261 CAPTULO I ..................................................................................................... 18 1.1 GENERALIDADES ................................................................................. 18 1.2. EL PROCESO DE LA AUDITORA INFORMTICA .............................. 27 1.3. CLASIFICACIN DE LOS CONTROLES TI .......................................... 34 CAPTULO II .................................................................................................... 37 2.1. INTRODUCCIN ................................................................................... 37 2.2. CONTENIDO (PRODUCTOS COBIT) ................................................... 38 2.3. GENERALIDADES DEL MODELO COBIT ........................................... 42 CAPTULO III ................................................................................................... 54 3.1. SITUACIN ACTUAL DE LA ENTIDAD ................................................ 54 3.2. APLICACIN DEL MODELO COBIT A LA COOPERATIVA DE AHORRO Y CREDITO ALIANZA DEL VALLE ........................................ 81 3.3. INVESTIGACIN DE CAMPO ............................................................... 87 CAPTULO IV ................................................................................................. 107 4.1. INTRODUCCIN ................................................................................. 107 4.2. RESUMEN EJECUTIVO ...................................................................... 107 4.3. DESCRIPCIN DEL TRABAJO EFECTUADO ................................... 109 7

4.4. RESULTADOS INFORME DE LAS RECOMENDACIONES ACORDADAS CON LAS AUTORIDADES PERTINENTES .................... 110 CAPTULO V .................................................................................................. 114 NDICE DE GRFICAS ...................................................................................... 8 NDICE DE TABLAS .......................................................................................... 7 PRLOGO ....................................................................................................... 17 RESUMEN ....................................................................................................... 16 NDICE DE TABLAS

TABLA 2: MATRIZ COBIT VS ITIL, COSO ................................................................. 50 TABLA 3: MATRIZ DE RIESGOS .............................................................................. 87 TABLA 4:MATRIZ DE INVESTIGACIN DE CAMPO ..................................................... 97

NDICE DE GRFICAS

GRFICA 1:PIRMIDE DE PROCESOS ..................................................................... 27 GRFICA 2:PAQUETE DE PROGRAMAS DE COBIT .................................................. 39 GRFICA 3: PRINCIPIOS BSICOS DE COBIT ........................................................... 43 GRFICA 4:CUBO COBIT ...................................................................................... 45 GRFICA 5:NIVELES DE ACTIVIDADES DE TI ........................................................... 46 GRFICA 6:MARCO DE COBIT ............................................................................. 49 GRFICA 7:ESTRUCTUTA ORGANIZACIONAL................................................ 59 GRFICA 8: AREA OCUPACIONAL .......................................................................... 60 GRFICA 9:GRUPO OCUPACIONAL ....................................................................... 60 GRFICA 10:OCUPACIONES ................................................................................. 61 GRFICA 11:ESTRUCTURA ORGANIZACIONAL DEL AREA DE SISTEMAS ...................... 68 GRFICA 12: ESPECIFICACIN DE SERVIDORES ...................................................... 79 GRFICA 13:ESQUEMA DE LA RED LAN/ WAN ...................................................... 80

GLOSARIO DE TRMINOS
Alcance de la auditora.- El marco o lmite de la auditora y las materias, temas, segmentos o actividades que son objeto de la misma.

Alta gerencia.-La alta gerencia est compuesta por una cantidad de personas comparativamente pequea y es la responsable de administrar toda la organizacin. Estas personas reciben el nombre de ejecutivos. Establecen las polticas de las operaciones y dirigen la interaccin de la organizacin con su entorno. Amenaza.- Cualquier aspecto o escenario que pueda ocasionar que un riesgo se convierta en incidente, o sea, que llegue a realizarse.

Archivos de sistema.- Son aquellos archivos de uso exclusivo del sistema operativo. Estos archivos no pueden ser eliminados normalmente por el usuario o el sistema le advierte que se dispone a eliminar un fichero necesario para su correcto funcionamiento.

Auditor.- Persona que efecta una auditora.

Auditora.- Examen de las operaciones de una empresa, realizado por especialistas ajenos a ella y con objetivos de evaluar la situacin de la misma.

Auditora de sistema. Es la revisin que se dirige a evaluar los mtodos y procedimientos de uso en una entidad, con el propsito de determinar si su diseo y aplicacin son correctos; y comprobar el sistema de procesamiento de informacin como parte de la evaluacin de control interno; as como para identificar aspectos susceptibles de mejorarse o eliminarse.

Auditora de tecnologas de la informacin. Consiste en el examen de las polticas, procedimientos y utilizacin de los recursos informticos; confiabilidad y validez de la informacin, efectividad de los controles en las reas, las

aplicaciones, los sistemas de redes y otros vinculados a la actividad informtica. Bases de Datos.- Coleccin de datos pertenecientes a un mismo contexto, organizada de tal modo que el ordenador pueda acceder rpidamente a ella. Una base de datos relacionar, es aquella en la que las conexiones entre los distintos elementos que forman la base de datos, estn almacenadas explcitamente con el fin de ayudar a la manipulacin y el acceso a stos.

Bitcoras.- Es como el "diario" de algunos programas donde se graban todas las operaciones que realizan, para posteriormente abrirlos y ver qu es lo que ha sucedido en cada momento.

Capacitacin.- Toda accin organizada y evaluable que se desarrolla en una empresa para: modificar, mejorar y ampliar los conocimientos; habilidades y actitudes del personal, generando un cambio positivo en el desempeo de sus tareas.

COBIT: Control Objectives for Information and related Technology (Objetivos de Control para Tecnologa de la Informacin y Relacionadas). Cliente.- Cliente o programa cliente, es aquel programa que permite conectarse a un determinado sistema, servicio o red.

Cliente-Servidor.- Se denomina as, al binomio consistente en un programa cliente que consigue datos de otro llamado servidor, sin tener que estar obligatoriamente ubicados en el mismo ordenador. Esta tcnica de consulta 'remota' se utiliza frecuentemente en redes como 'Internet'.

Eficacia.- Capacidad de lograr el efecto que se desea o se espera.

Eficiencia.- Conjunto de atributos, que se refieren a las relaciones entre el nivel de rendimiento del software y, la cantidad de recursos utilizados bajo unas condiciones predefinidas. 10

Estndar.- Es toda regla aprobada o prctica requerida, para el control de la performance tcnica y de los mtodos utilizados por el personal involucrado en el Planeamiento y Anlisis de los Sistemas de Informacin.

Evaluacin.- Es el proceso de recoleccin y anlisis de informacin y, a partir de ella, presentar las recomendaciones que facilitarn la toma de decisiones.

Elemento del modelo.- Es una abstraccin destacada del sistema que est siendo modelado.

Evaluacin de Riesgo.- Es el proceso utilizado para identificar y evaluar riesgos y su impacto potencial.

Evidencia.- Es toda informacin que utiliza el AI, para determinar, si el ente o los datos auditados siguen los criterios u objetivos de la auditora.

Evidencia de auditora. Son las pruebas que obtiene el auditor, durante la ejecucin de la auditora, que hace patente y manifiesta la certeza o conviccin, sobre los hechos o hallazgos, que prueban y demuestran claramente stos, con el objetivo de fundamentar y respaldar sus opiniones y conclusiones.

Estndares: Es una especificacin o modelos que regulan la realizacin de ciertos procesos o la fabricacin de componentes para garantizar la interoperabilidad. Hallazgos. Son evidencias, como resultado de un proceso de recopilacin y sntesis de informacin: la suma y la organizacin lgica de informacin, relacionada con la entidad, actividad, situacin o asunto que se haya revisado o evaluado, para llegar a conclusiones al respecto o para cumplir alguno de los objetivos de la auditora. Sirven de fundamento a las conclusiones del auditor y, a las recomendaciones que este formula para que se adopten las medidas correctivas.

11

Herramienta.- Es el conjunto de elementos fsicos utilizados para llevar a cabo las acciones y pasos definidos en la tcnica.

Herramienta de Control.- Son elementos de software, que permiten definir uno o varios procedimientos de control, para cumplir una normativa y un objetivo de control.

Herramientas de Software de Auditora.- Son programas computarizados, que pueden utilizarse para brindar informacin para uso de auditora.

Informtica.- Ciencia que estudia el tratamiento automtico de la informacin en computadoras, dispositivos electrnicos y, sistemas informticos.

Informe de Auditora.- Es el producto final del Auditor de SI; constituye un medio formal de comunicar los objetivos de la auditora, el cuerpo de las normas de auditora que se utilizan, el alcance de auditora y, los hallazgos, conclusiones y recomendaciones.

Integridad.- Consiste en que solo los usuarios autorizados puedan variar los datos.

Irregularidades.- Son las violaciones intencionales a una poltica gerencial establecida, declaraciones falsas deliberadas u omisin de informacin del rea auditada o de la organizacin.

Infraestructura tecnolgica.- Conjunto de elementos de hardware (servidores, puestos de trabajo, redes, enlaces de telecomunicaciones, etc.), software (sistemas operativos, bases de datos, lenguajes de programacin,

herramientas de administracin, etc.) y servicios (soporte tcnico, seguros, comunicaciones, etc.); que en conjunto dan soporte a las aplicaciones (sistemas informticos) de una empresa.

12

Jerarqua.- Es la disposicin de personas, animales o cosas, en orden ascendente o descendente, segn criterios de clase, poder, oficio, categora, autoridad o cualquier otro asunto que conduzca a un sistema de clasificacin.

Metodologa: Se refiere a los mtodos de investigacin que se siguen para alcanzar una gama de objetivos en una ciencia. An cuando el trmino puede ser aplicado a las artes, cuando es necesario efectuar una observacin o anlisis ms riguroso o explicar una forma de interpretar la obra de arte. En resumen, son el conjunto de mtodos que se rigen en una investigacin cientfica o en una exposicin doctrinal.

Norma.- Principio que se impone o se adopta para dirigir la conducta o la correcta realizacin de una accin, as como el correcto desarrollo de una actividad.

Normas de auditora: Constituyen el conjunto de reglas que deben cumplirse, para realizar una auditora con la calidad y eficiencia indispensables.

Objetivo de la auditora. Propsito o fin que persigue la auditora, o la pregunta que se desea contestar por medio de aquella. Auditora.

Objetivo de Control.- Son declaraciones sobre el resultado final deseado o propsito a ser alcanzado, mediante las protecciones y los procedimientos de control. Son los objetivos a cumplir en el control de procesos.

Ofimtica.- Es el sistema informatizado que genera, procesa, almacena, recupera, comunica y presenta datos relacionados con el funcionamiento de la oficina.

Outsourcing.- Es un contrato a largo plazo de un sistema de informacin o proceso de negocios, a un proveedor de servicios externos.

Polticas.-

Conjunto

de

disposiciones

documentadas

que

regulan

el

comportamiento de un grupo de individuos. 13

Poltica interna.- Conjunto de normas, reglas y disposiciones que regulan el comportamiento, las responsabilidades y las restricciones del personal de una empresa.

Prevencin.- Adopcin de medidas encaminadas a impedir que se produzcan deficiencias fsicas, mentales y sensoriales (prevencin primaria) o a impedir que las deficiencias, cuando se han producido, tengan consecuencias fsicas, psicolgicas y sociales negativas.

Procedimientos de Control.- Son los procedimientos operativos de las distintas reas de la empresa, obtenidos con una metodologa apropiada, para la consecucin de uno o varios objetivos de control y, por tanto deben estar documentados y aprobados por la Direccin.

Procedimientos Generales de Auditora.- Son los pasos bsicos en la realizacin de una auditora.

Pruebas de Cumplimiento.- Son aquellas evidencias que determinan que (proporcionan evidencia de que) los controles claves existen y que son aplicables en forma efectiva y uniforme.

Pruebas Sustantivas.- Son aquellas que implican el estudio y evaluacin de la informacin, por medio de comparaciones con otros datos relevantes.

Resumen Ejecutivo.- Es un informe de fcil lectura, gramaticalmente correcto y breve, que presenta los hallazgos a la gerencia en forma comprensible.

Riesgo. Posibilidad de que no puedan prevenirse o detectarse errores o irregularidades importantes. Riesgo inherente. Existe un error que es significativo y se puede combinar con otros errores cuando no hay control. Riego de control. Error que no puede ser evitado o detectado oportunamente por el sistema de control interno. 14

 Riesgo de deteccin. Se realizan pruebas exitosas a partir de un procedimiento de prueba inadecuado.

Sistema Operativo: Software de sistema, es decir, un conjunto de programas de computadora, destinado a permitir una administracin eficaz de sus recursos. Comienza a trabajar cuando es cargado en memoria por un programa especfico, que se ejecuta al iniciar el equipo, o al iniciar una mquina virtual y, gestiona el hardware de la mquina desde los niveles ms bsicos, brindando una interfaz con el usuario.

Tcnicas de auditora. Mtodos que el auditor emplea, para realizar las verificaciones planteadas en los programas de auditora, que tienen como objetivo la obtencin de evidencia.

UPS: Es un dispositivo que proveen y mantiene energa elctrica de respaldo en caso de interrupciones elctricas o eventualidades en la lnea o acometida. Adicionalmente, los UPS cumplen la funcin de mejorar la calidad de la energa elctrica que llega a las cargas, como el filtrado, proteccin de subidas (picos de tensin), bajadas de tensin (cadas), apagones y eliminacin de corrientes parasitaras como ruidos, interrupcin de energa, perdida de data, etc.

15

RESUMEN

presente trabajo, describe la Auditora Informtica de los Sistemas de ElTecnologa e Informacin, realizada a la Cooperativa de Ahorro y Crdito Alianza del Valle. Ltda. Utilizando COBIT , una herramienta desarrollada para, ayudar a los administradores de negocios a entender y administrar los riesgos asociados con la implementacin de nuevas tecnologas, las buenas prcticas de COBIT estn enfocadas en el ambiente de control ptimo que debe tener una empresa para de esta manera lograr una alineacin efectiva entre TI y los objetivos de negocio. El fin de esta revisin tcnica es identificar debilidades y emitir recomendaciones que permitan minimizar riesgos.

Para llevar a cabo la presente Auditora, se realizaron las siguientes actividades:

Entregar un listado de requerimientos a la entidad a ser auditada. Revisar la documentacin entregada al Equipo de Auditora. Se formularon preguntas, con el fin de aclarar ciertos puntos de la documentacin.

Se elaboraron encuestas al personal de la entidad. En base a los resultados obtenidos, se llevaron a cabo las entrevistas que constituye un mtodo de auditora personalizada, para profundizar en la indagacin.

Tomando como base las encuestas y las entrevistas, se elaboraron las pruebas sustantivas (checklist) y se recopilaron evidencias.

De acuerdo a los resultados obtenidos en las encuestas, entrevistas y pruebas sustantivas y, alineando todos estos resultados con cada objetivo de control, que propone COBIT, se presentaron las

observaciones y recomendaciones emitidas en un informe a la Gerencia.

16

PRLOGO
La naturaleza especializada de la auditora de los sistemas de informacin y, las habilidades necesarias para llevar a cabo la misma, requieren el desarrollo, la generacin y la promulgacin de Normas Generales para la auditora de los Sistemas de Informacin. La auditora de los sistemas de informacin se define como cualquier auditora que abarca la revisin y evaluacin de todos los aspectos (o de cualquier porcin de ellos) de los sistemas automticos de procesamiento de la informacin, incluidos los procedimientos no automticos relacionados con ellos y las interfaces correspondientes.

Para hacer una adecuada planeacin de la auditora en informtica, hay que seguir una serie de pasos previos que permitirn dimensionar el tamao y caractersticas de rea dentro del organismo a auditar, sus sistemas, organizacin y equipo.

En el captulo 1 se detallan los objetivos y alcances del presente estudio, debidamente justificados, adems se exponen algunos conceptos y parmetros que definen a la Auditora Informtica, relacionados con el ambiente de control, sus procesos y, los controles de TI.

El captulo 2 indica el modelo COBIT, el cual es usado para este trabajo; describiendo los productos Cobit 4.0, sus generalidades, sus respectivos dominios y las ventajas sobre otros modelos.

En el captulo 3 se presenta la Aplicacin del Modelo en la Cooperativa de Ahorro y Crdito Alianza del Valle.

En el captulo 4 se presenta el informe y resultados del caso prctico, describiendo las debidas conclusiones y recomendaciones. En el captulo 5 se presentan las conclusiones y recomendaciones obtenidas a lo largo del presente trabajo. 17

CAPTULO I

AUDITORA INFORMTICA DE LOS SISTEMAS TECNOLGICOS DE INFORMACIN

1.1 GENERALIDADES

1.1.1 DESCRIPCIN GENERAL DEL PROYECTO

Antecedentes

Los Sistemas Informticos, estn integrados a la gestin empresarial; por ello, las normas y estndares informticos deben estar alineados e implantados previa la aprobacin de la Direccin de Sistemas de la organizacin, misma que se encargar de la implementacin de controles de acceso a la informacin, que se maneja en los diversos procesos de la Cooperativa Alianza del Valle; en consecuencia, se debe destacar que, las organizaciones informticas forman parte de la gestin de la empresa y se constituyen en un elemento de apoyo en la toma de decisiones.

Actualmente, la informacin institucional, se ha convertido en un activo fijo real invaluable, similar a la materia prima, sin embargo, debemos considerar que, a pesar de la capacidad que pueden tener los miembros de la Direccin de Sistemas de la Cooperativa Alianza del Valle; la cantidad de trabajo, centrado mayormente en el desarrollo de sistemas y redes, sin el personal suficiente hace que, necesariamente se tomen alternativas rpidas para ganar tiempo, afectando de esta manera, la calidad de los productos que se desean entregar, para servicio del cliente interno en este caso.

De ah parte una necesidad de la Escuela Politcnica del Ejrcito, como parte del proceso de formacin de profesionales en la Carrera de Ingeniera 18

en Sistemas e Informtica, cooperando en el desarrollo del pas, mediante la elaboracin de tesis de grado, que certifiquen la formacin de graduados, a la vez que colaboran con el desarrollo intelectual y personal en las empresas pblicas y privadas y, el desarrollo constante del pas.

1.1.2 JUSTIFICACIN E IMPORTANCIA El desarrollo tecnolgico que enfrenta la Cooperativa de Ahorro y Crdito Alianza del Valle, con el manejo de diversos sistemas de informacin y automatizacin en sus procesos, necesita corregir fallas, ejecutar procesos de calidad y, entregarlos en el momento oportuno; detectar los errores mediante una Auditora Informtica, realizada y ejecutada por un grupo capacitado, que proponga soluciones efectivas, para minimizar riesgos y mejorar el empleo de la tecnologa de informacin en la organizacin.

La evaluacin de los sistemas de informacin, deber cubrir aspectos de planificacin, organizacin, procesos, ejecucin de proyectos,

seguridades, equipos, redes y comunicaciones, con el objeto de determinar los riesgos a los que se encuentra expuesta la Cooperativa Alianza del Valle Ltda. y recomendar procedimientos que permitan minimizarlos o eliminarlos.

El anlisis de los Objetivos de Control con COBIT1, debe ser de carcter objetivo e independiente, crtico, basado en evidencias, sistemtico, bajo normas y metodologas aprobadas a nivel internacional, que seleccione polticas, normas, prcticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de informacin computarizados, que permiten obtener una opinin profesional e imparcial, enfocada en aspectos como: criterios de informacin y prcticas requeridas, que ayuden a determinar con

1 1

Definicin Informtica por el Ingeniero Philippe Dreyfus Definicin Informtica: http://www.mastermagazine.info/termino/5368.php 1 Definicin Informtica: http://www.webtaller.com/maletin/articulos/que-es-informtica.php

19

eficiencia, el uso de los recursos informticos, la validez de la informacin y efectividad de los controles establecidos. Como parte del sistema de administracin de la Cooperativa Alianza del Valle, se hace evidente la necesidad de evaluar y valorar el uso de los recursos de TI, para de esta manera, justificar su costo y determinar medidas que permitan su racional aplicacin, eficiencia y efectividad.

La situacin actual por la que atraviesa la Direccin de Sistemas de la Cooperativa Alianza del Valle, requiere que, mediante el uso de un conjunto de procedimientos y tcnicas, se proceda a evaluar y controlar los sistemas de informacin y el ambiente informtico, con el fin de constatar si sus procesos y actividades son correctos y, se encuentran enmarcados y en conformidad con las mejores normativas informticas y generales de la organizacin.

1.1.3

ALCANCE DEL PROYECTO El presente proyecto de plan de tesis AUDITORA INFORMTICA

DE LA COOPERATIVA DE AHORRO Y CREDITO ALIANZA DEL VALLE LTDA, est orientado a la revisin del control interno informtico del Departamento de Sistemas de la Cooperativa de Ahorro y Crdito Alianza del Valle.

Se utilizar el estndar COBIT 4.0, para la evaluacin y auditora del ambiente informtico de la Cooperativa de Ahorro y Crdito Alianza del Valle Ltda., profundizando conceptos de control interno y procedimientos que se ejecutan.

Los mdulos en los que se ejecuta este proyecto, abarcan los siguientes aspectos:

Identificacin de Soluciones Automatizadas: donde se utilizaran criterios de informacin sobre efectividad y eficiencia en los procesos del 20

negocio, requeridos para la Cooperativa Alianza del Valle y, as satisfacer los requerimientos de los usuarios. Las prcticas de control que se utilizan en este mdulo estn directamente involucrados con los recursos de TI, siendo estos: Conocimiento de soluciones existentes en el mercado, Metodologas de adquisicin e implementacin, Involucramiento del usuario en el proceso de compra, Orientacin a las estrategias de TI y de la Cooperativa Alianza del Valle. Definicin de los requerimientos de informacin, Estudios de factibilidad (costo, beneficio, alternativas, etc.), Cumplimiento con la arquitectura de informacin, Requerimientos de funcionalidad, operatividad, aceptacin,

sostenimiento y mantenimiento, Seguridad y control de Costo-Beneficio, Responsabilidad de los proveedores. Adquisicin y Mantenimiento del Software de Aplicacin: los criterios de informacin que se aplican, se enmarcan sobre parmetros de efectividad, eficiencia, integridad, cumplimiento y confiabilidad; llegando a proporcionar funciones automatizadas que soporten efectivamente los procesos del negocio y la especificacin de los requerimientos funcionales y operacionales2. Las prcticas de control que se aplican son: Niveles de aceptacin y pruebas funcionales, Requerimientos de seguridad y controles de la aplicacin, Documentacin requerida, Ciclo de vida del software, Arquitectura de la informacin empresarial,

http://www.auditorasistemas.com/ 21

 Ciclo de vida metodolgico para el desarrollo de aplicaciones, Interface de usuario, Personalizacin de paquetes. Adquisicin y Mantenimiento de la Infraestructura Tecnolgica: definidos sobre los criterios de informacin de efectividad, eficiencia e integridad, proveyendo al proceso de las plataformas apropiadas a las aplicaciones del negocio. La forma de lograrlo se dirige a una adquisicin apropiada de hardware y software, estandarizacin de software y, un consistente sistema de administracin. Las prcticas de control que se definen en esta etapa son: Cumplimiento

de

las

directrices

estndares

de

la

infraestructura tecnolgica, Evaluacin tecnolgica, Instalacin, mantenimiento y control de cambios, Actualizaciones, conversiones y, planes de migracin, El uso de infraestructura y/o recursos internos y externos, Responsabilidades de los proveedores y la relacin con los mismos, Administracin de cambios, Costo total de propiedad, Seguridad del software. Desarrollo y Mantenimiento de Procesos: manejaremos algunos criterios de informacin, guiados sobre la efectividad, eficiencia, integridad, cumplimiento, confiabilidad; llegando a que el proceso del negocio asegure el uso apropiado de las aplicaciones y la infraestructura estructurados existente, de con y la sustentacin de manuales de

usuarios

operacionales,

materiales

entrenamiento y requerimientos de servicio. son: Rediseo de los procesos de negocio,

Las prcticas de control

Consideracin a los procedimientos como a cualquier otra tecnologa existente, 22

 Desarrollo a tiempo, Procedimientos y controles de usuario, Procedimientos y controles operacionales, Materiales de entretenimiento, Administracin de cambios.

Con el manejo apropiado de los recursos humanos, aplicaciones, tecnologas e instalaciones. Instalacin y Acreditacin de Sistemas: el proceso de negocio requerido sobre la verificacin y confirmacin de soluciones adecuadas, en base al propsito deseado y los criterios de informacin de efectividad, integridad y disponibilidad, con la realizacin de un plan formalizado de instalacin migracin y conversin. Las prcticas de control que se utilizan en este mdulo se fusionan con los recursos de TI y, estas son: Entrenamiento de usuarios y del personal tcnico de TI Conversin de Datos, Un ambiente de pruebas que refleje el ambiente real, Retroalimentacin y revisiones post implementacin, Participacin del usuario final en la etapa de pruebas, Planes de continuo mejoramiento de calidad, Criterios y medidas de aceptacin, Requerimientos continuos del negocio, Acuerdos y criterios de aceptacin. Administracin de Cambios: se encarga de la minimizacin de alteraciones, interrupciones y cambios no autorizados; manejando eficacia, eficiencia, integridad, disponibilidad y confiabilidad de un sistema de administracin, que permita realizar una implementacin, un seguimiento de todos los cambios requeridos y desarrollados a la infraestructura tecnolgica actual. Algunas de las prcticas de control se describen a continuacin: Identificacin de cambios, Procedimientos de emergencia, categorizacin y priorizacin, 23

 Anlisis de impacto, Autorizacin para cambios, Administracin de versiones, Distribucin de software, Uso de herramientas automatizadas, Administracin de la configuracin, Rediseo de los procesos del negocio.

El proyecto de tesis ser ejecutado en el Departamento de Sistemas de La Cooperativa Alianza del Valle, ubicado en la ciudad de Sangolqu, para lo cual, se realizar la revisin de los controles mencionados con anterioridad y, establecidos en el proyecto del Departamento de Sistemas aplicando el estndar internacional COBIT 4.0.

1.1.4

OBJETIVOS

General

Realizar una Auditora Informtica del Sistema de Informacin de la Cooperativa Alianza del Valle, utilizando el estndar internacional COBIT 4.0, a fin de identificar debilidades y emitir recomendaciones que permitan eliminar o minimizar los riesgos en la organizacin.

Especficos

Evaluar y describir la planeacin, organizacin y situacin actual de los Sistemas de Informacin de la Cooperativa Alianza del Valle, enfocndose en las estrategias, tcticas e infraestructura tecnolgica de informacin, que contribuyen al logro de los objetivos del negocio.

Evaluar la adquisicin e implementacin de las TI, los procesos en los que estas se desenvuelven, cambios y mantenimiento realizado a los sistemas existentes, as como la verificacin de la calidad y suficiencia

24

de los procesos de la Institucin y, el monitoreo de los requerimientos de control.

Evaluar la entrega de los servicios requeridos, desde las operaciones tradicionales hasta el entrenamiento al personal que interfiere directamente con las Tecnologas de Informacin, abarcando aspectos de seguridad, continuidad del negocio, revisin del procesamiento de los datos por sistemas de aplicacin,

frecuentemente clasificados como controles de aplicacin.

Aplicar el estndar COBIT4.0 en la evaluacin y auditora de sistemas de la Cooperativa Alianza del Valle.

Emitir recomendaciones que permitan asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin, en base a un estudio y aplicacin de metodologas, a los procesos de la Cooperativa Alianza del Valle.

1.1. AMBIENTE DE CONTROL

El ambiente de control se determina por el conjunto de circunstancias que enmarcan el accionar de una entidad, organizacin o empresa, desde una perspectiva de control interno y que son determinantes para el cumplimiento de las metas y objetivos de la organizacin en que los principios y polticas

actan, sobre las conductas y los procedimientos organizacionales.

El sistema de control interno est relacionado directamente con las actividades operativas y de procedimiento dentro de la organizacin y, existen por razones empresariales fundamentales y, a que estos fomentan la eficiencia, reducen el riesgo de prdida de valor de los activos y, ayudan a garantizar la fiabilidad de los estados financieros y el cumplimiento de las leyes y normas vigentes.

El ambiente control se puede definir como un proceso, efectuado por el 25

personal de una organizacin, diseado para conseguir objetivos especficos. La definicin es amplia y cubre todos los aspectos de control de un negocio, pero al mismo tiempo, permite centrarse en objetivos especficos.

Los auditores deben considerar factores que influyen en la organizacin y que garantizan el xito de sus procesos internos, siendo los ms importantes los siguientes:

La filosofa y el estilo de la direccin y gerencia. La estructura del plan organizacional, los reglamentos y los manuales de procedimientos. La integridad, los valores ticos, la competencia profesional y el

compromiso de todos los colaboradores de la organizacin, as como su adhesin a las polticas y objetivos establecidos. Las formas de asignacin de responsabilidades, de administracin y desarrollo del personal. El grado de documentacin de polticas, decisiones y de formulacin de programas rendimiento. que contengan metas, objetivos e indicadores de

Cada uno de estos factores ayudan a que las organizaciones crezcan y cumplan sus principales objetivos, que permiten el xito o fracaso de las mismas, siendo estos criterios:

Eficacia y eficiencia de las operaciones. Fiabilidad de la informacin financiera. Cumplimiento de las leyes y normas aplicables.

De acuerdo a estos factores, es necesario realizar evaluaciones al ambiente de control que permitan identificar los riesgos y definir los controles adecuados para neutralizarlosy ,a que el ncleo principal de control son las personas, mismas que, si no tienen una integridad probada, valores ticos y competencias, el resto de procesos posiblemente no funcionarn, por lo cual, 26

debe establecerse un adecuado ambiente de control sobre el que se desarrollan las operaciones de la organizacin evaluada.

1.2. EL PROCESO DE LA AUDITORA INFORMTICA

El proceso de la auditora informtica es similar al que se lleva a cabo a los de estados financieros, en el cual, los objetivos principales son: salvaguardar los activos, asegurar la integridad de los datos, la consecucin de los objetivos gerenciales y, la utilizacin racional de los recursos, con eficiencia y eficacia, para lo que se realiza la recoleccin y evaluacin de evidencias. Para que una auditora sea exitosa, debe tomar en cuenta muchos de los aspectos tratados en el punto anterior. A continuacin se muestra un grafico que muestra cmo actan conjuntamente todos los componentes, tanto de la empresa como del auditor, para que se genere una auditora efectiva y eficaz.

Grfica 1: Pirmide de procesos

27

Muchos de los componentes de la pirmide nacen de un proceso de auditora, el cual se detalla a continuacin y al cual hemos dividido en 3 etapas:

Planificacin de la auditora Informtica Ejecucin de la auditora Informtica Finalizacin de la auditora Informtica

1.2.1. Planificacin de la auditora Informtica

En esta fase se establecen las relaciones entre auditores y colaboradores de la organizacin, para determinar el alcance y objetivos. Se hace un bosquejo de la situacin de la entidad, acerca de su organizacin, sistema contable, controles internos, estrategias y dems elementos que le permitan al auditor elaborar el programa de auditora que se llevar a efecto.

Elementos Principales de esta Fase: 1. Conocimiento y Comprensin de la Entidad 2. Objetivos y Alcance de la auditora 3. Anlisis Preliminar del Control Interno 4. Anlisis de los Riesgos 5. Planeacin Especfica de la auditora 6. Elaboracin de programas de Auditora

1.

Conocimiento y Comprensin de la Entidad a auditar.

Previo a la elaboracin del plan de auditora, se debe investigar y analizar todo lo relacionado con la entidad a auditar, para poder elaborar el plan en forma objetiva. Este anlisis debe contemplar: su naturaleza operativa, su estructura organizacional, giro del negocio, capital, estatutos de constitucin, disposiciones legales que la rigen, sistema contable que utiliza, volumen de sus ventas y, todo aquello que sirva para comprender exactamente cmo funciona la organizacin.

28

Para el logro del conocimiento y comprensin adecuados de la entidad, se deben establecer diferentes mecanismos o tcnicas que el auditor deber dominar, siendo entre otras:

a) Visitas al lugar b) Entrevistas y encuestas c) Anlisis comparativos de Estados Financieros d) Anlisis FODA (Fortalezas, oportunidades, debilidades, amenazas) e) Anlisis Causa-Efecto o Espina de Pescado f) rbol de Objetivos.- Desdoblamiento de Complejidad. g) rbol de Problemas

2.

Objetivos y Alcance de la auditora.

Los objetivos indican el propsito para el cual es contratada la firma de auditora, qu se persigue con el examen, para qu y por qu. Si es con el objetivo de informar a la gerencia sobre el estado real de la empresa, o si es por cumplimiento de los estatutos que mandan efectuar auditoras anualmente, en todo caso, siempre se cumple con el objetivo de informar a los socios, a la gerencia y resto de interesados sobre la situacin encontrada para que sirvan de base para la toma de decisiones. El alcance de una auditora ha de definir con precisin el entorno y los lmites, en que va a desarrollarse la auditora informtica, se complementa con los objetivos de sta. Por otro lado, el alcance tambin puede estar referido al perodo a examinar: puede ser de un ao, de un mes, de una semana y, podra ser hasta de varios aos.

3.

Anlisis Preliminar del Control Interno

Este anlisis

es de vital importancia en esta etapa, porque de su

resultado se comprender la naturaleza y extensin del plan de auditora

29

y, la valoracin y oportunidad de los procedimientos a utilizarse durante el examen.

4.

Anlisis de los Riesgos

El Riesgo en auditora, representa la posibilidad de que el auditor exprese una opinin errada en su informe, debido a que los estados financieros o la informacin suministrada a l estn afectados por una distorsin material o normativa. En auditora se conocen tres tipos de riesgo: Inherente, de Control y de Deteccin.

El riesgo inherente, es la posibilidad de que existan errores significativos en la informacin auditada, al margen de la efectividad del control interno relacionado; son errores que no se pueden prever.

El riesgo de control, est relacionado con la posibilidad de que los controles internos imperantes no prevean o detecten fallas que se estn dando en sus sistemas y que se pueden remediar con controles internos ms efectivos.

El riesgo de deteccin, est relacionado con el trabajo del auditor y, es que ste en la utilizacin de los procedimientos de auditora, no detecte errores en la informacin que le suministran.

La Materialidad es el error monetario mximo que puede existir en el saldo de una cuenta, sin dar lugar a que los estados financieros estn sustancialmente deformados. A la materialidad tambin se le conoce como Importancia Relativa.

5.

Planeacin Especfica de la Auditora.

Para cada auditora que se va a practicar, se debe elaborar un plan. Esto lo contemplan las Normas para la ejecucin. Este plan debe ser tcnico 30

y administrativo. El plan administrativo debe contemplar todo lo referente a clculos monetarios a cobrar, personal que conformarn los equipos de auditora, horas hombres, etc. 6. Elaboracin de Programa de Auditora

Cada miembro del equipo de auditora, debe tener en sus manos, el programa detallado de los objetivos y procedimientos de auditora, objeto de su examen.

Ejemplo: si un auditor va a examinar el efectivo y otro va a examinar las cuentas por cobrar, cada uno debe tener los objetivos que se persiguen con el examen y los procedimientos que se corresponden para el logro de esos objetivos planteados.

Es decir, que debe haber un programa de auditora para la auditora del efectivo y un programa de auditora para la auditora de cuentas por cobrar y, as sucesivamente. De esto se deduce que un programa de auditora debe contener dos aspectos fundamentales: Objetivos de la auditora y Procedimientos a aplicar durante el examen de auditora.

Tambin se pueden elaborar programas de auditora no por reas especficas, sino por ciclos transaccionales.

1.2.2. Ejecucin de la auditora Informtica

La ejecucin de la auditora informtica, constituye la recopilacin de la mayor cantidad de informacin necesaria, como son documentos y evidencias que permitan al auditor fundamentar sus comentarios, sugerencias y recomendaciones, con respecto al manejo y administracin de TI.

31

Para la recoleccin de informacin, se pueden aplicar las siguientes tcnicas:

Entrevistas Simulacin Cuestionarios Anlisis de la informacin documental entregada por el auditado Revisin y Anlisis de Estndares Revisin y Anlisis de la informacin de auditoras anteriores

Toda la informacin entra luego en un proceso de anlisis, el cual debe ser realizado utilizando un criterio profesional por parte de los auditores y el equipo a cargo del proceso de Auditora, toda la informacin recopilada debe ser clasificada de manera que nos permita ubicarla fcilmente y adems permita, luego del anlisis respectivo, justificar de manera correcta las recomendaciones.

La evidencia se clasifica de la siguiente manera: a) Evidencia documental. b) Evidencia fsica. c) Evidencia analtica. d) Evidencia testimonial.

Una vez que tenemos informacin real y confiable, procedemos a evaluar y probar la manera en la que han sido diseados los controles en la organizacin, para el mejoramiento continuo de la misma, para esto el equipo de Auditora utilizara medios informticos y electrnicos que permitan obtener resultados reales.

El equipo de auditores, para poder dar una opinin sobre un sistema o proceso informtico, debe comprobar el funcionamiento de los sistemas

32

de aplicacin y efectuar una revisin completa de los equipos de cmputo3.

1.2.3. Finalizacin de la auditora Informtica

Para finalizar un proceso de Auditora Informtica, se debe presentar un informe que contenga conclusiones y recomendaciones, necesarias para que una empresa este en mejoramiento continuo, esta documentacin debe ser redactada por el equipo de Auditora y entregarse a la Alta Direccin de la empresa para su evaluacin y anlisis.

Luego, en conjunto la Alta Direccin de la empresa y auditores, evaluaran los resultados del proceso; los auditores defendern su punto de vista basndose en las evidencias recolectadas durante todo el proceso.

El informe que presenta el grupo de Auditores debe contener como obligatorios los siguientes puntos:

Debe hacer constar el perodo de tiempo que abarc la evaluacin. Indicar el equipo de auditora que intervino en la evaluacin, se detallan los integrantes y su experiencia en el campo de auditora. Indicar los objetivos que se propusieron alcanzar con el proceso de auditora. Tambin se debe indicar, en base a que se realiz la auditora, en el caso de utilizar COBIT 4.0, se debe especificar el dominio que fue utilizado para la evaluacin, esto debe especificarse claramente en el plan de trabajo que tambin debe ser entregado a la administracin.

Se debe indicar el criterio sobre el cual se est evaluando, en el caso de COBIT 4.0, lo ms comn es el de riesgos y el de objetivos de control.

Se detalla la condicin inicial en la que se encontr la empresa u organizacin.

Mckeever, J. Sistemas de Informacin para la Gerencia, Editorial Mc Graw Hill, Mxico (1984)

33

Se describen las causas que generaron el diagnstico inicial, adems, se debe detallar las consecuencias que puede traer si la empresa continua manejndose de la misma forma.

Detallar explicativamente las recomendaciones que se hacen a la Alta Direccin y qu medidas se deberan adoptar para poder cumplir con los objetivos propuestos desde el inicio y, la organizacin deje de ser afectada por circunstancias que fueron encontradas en la situacin inicial.

Dentro de los informes tambin incluye las opiniones y puntos de vista de la administracin, debe especificarse si la organizacin va a adoptar o no las recomendaciones propuestas por el grupo de auditores.

El informe final se lo debe entregar a la Alta Direccin

de la

organizacin y como detallamos inicialmente, debemos presentar las evidencias de percances ms importantes que se encontraron durante el proceso de Auditora.

1.3. CLASIFICACIN DE LOS CONTROLES TI

Al momento de realizar un proyecto de auditora, se desarrollan una gran variedad de actividades de control para verificar la exactitud, integridad y autorizacin de las transacciones. Estas actividades pueden agruparse en dos grandes conjuntos de controles de los sistemas de informacin, los cuales son: controles de aplicacin y los controles generales de la computadora. Sin embargo, estos dos conjuntos de controles se encuentran estrechamente relacionados, puesto que, los controles generales de la computadora, son normalmente necesarios para soportar el funcionamiento de los controles de aplicacin, adems de la efectividad de ambos depende el aseguramiento del procesamiento completo y preciso de la informacin. .

34

1.3.1. Controles de Aplicacin

Los

controles

de

aplicacin

son

procedimientos

manuales

automatizados que operan tpicamente a nivel de los procesos de la organizacin. Los controles de aplicacin pueden ser de naturaleza preventiva o de deteccin y estn diseados para asegurar la integridad de la informacin que se procesa en ellos. Debido a lo cual, los controles de aplicacin se relacionan con los procedimientos utilizados para iniciar, registrar, procesar e informar las transacciones de la organizacin. Estas actividades de control ayudan a asegurar que las transacciones ocurridas, estn autorizadas y completamente registradas y procesadas con exactitud.

Debido al tamao y complejidad de varios sistemas, no siempre se los podr revisar a todos, por lo que es necesario evaluar los sistemas de aplicacin para considerar en el plan de auditora los sistemas de aplicacin que tienen un efecto significativo en el desarrollo de las operaciones de la organizacin, con el fin de realizar un anlisis ms profundo de estos sistemas. Existen varios parmetros que se deben considerar para calificar los sistemas de aplicacin, siendo los siguientes:

- Importancia de las transacciones procesadas. - Potencial para el riesgo de error incrementado debido a fraude. - Si el sistema slo realiza funciones sencillas, como acumular o resumir informacin o funciones ms complejas, como la iniciacin y ejecucin de transacciones. - Tamao y complejidad de los sistemas de aplicacin.

Se debe incluir los controles implantados, para verificar la validez del ingreso de datos dentro de los sistemas, controles que podemos evaluar mediante el seguimiento manual de los informes de excepcin o la correccin en el punto de entrada de datos. Debido al tamao y complejidad de varios sistemas, no siempre se los podr revisar a todos, por lo que es necesario evaluar los sistemas de aplicacin para 35

considerar en el plan de auditora aquellos que tienen un efecto significativo en el desarrollo de las operaciones de la organizacin, con el fin de realizar un anlisis ms profundo de estos sistemas.

1.3.2. Controles Generales

Los controles generales son polticas y procedimientos que se relacionan con muchos sistemas de aplicacin y, soportan el

funcionamiento eficaz de los controles de aplicacin, ayudando a asegurar la operacin continua y apropiada de los sistemas de informacin. Los controles generales mantienen la integridad de la informacin y la seguridad de los datos. Es por esto que antes de realizar una evaluacin de los controles de aplicacin, normalmente se actualiza la comprensin general de los controles del ambiente de procesamiento de la computadora y se emite una conclusin acerca de la eficacia de estos controles.

Las actividades que se llevan a cabo para la evaluacin de estos controles, inician con entrevistas a la administracin, luego de las cuales se tendr una mejor capacidad para comprender y definir la estrategia y las pruebas que realizaremos sobre los controles. Posteriormente, se debe determinar si los controles generales de la computadora se disean e implementan para soportar el procesamiento confiable de la informacin, respecto a los controles que se han identificado, para lo cual se debe realizar lo siguiente:

Evaluacin del diseo de los controles, en la que se determinar que los controles evitan los riesgos para los que fueron diseados.

Determinar si los controles se han implementado, lo cual consiste en evaluar si los controles que se han diseado y, se estn utilizando durante el tiempo de funcionamiento de la organizacin.

36

CAPTULO II Modelo COBIT 4.0

2.1. INTRODUCCIN

COBIT 4.0 tiene como misin desde sus inicios investigar, desarrollar, publicar y promover un conjunto de objetivos de control en tecnologa de la informacin con autoridad, debidamente actualizados, de carcter internacional y aceptado generalmente para el uso cotidiano de gerentes de empresas y auditores. Los gerentes, auditores y usuarios se benefician del desarrollo de COBIT 4.0 ya que este les ayuda a entender y comprender el nivel de seguridad de sus sistemas TI, adems permite definir qu control es el necesario para proteger los activos de sus empresas mediante el desarrollo de un modelo de gobernacin TI.

Los proyectos de auditora Informtica, necesitan de una base o estndar para guiarse; en el presente proyecto de tesis guiado, a la auditora informtica, se ha decidido tomar como base al Modelo COBIT versin 4.0 ya que permite un enfoque distinto y actual de los sistemas, por cuanto los mira en su mbito global, formado por procesos manuales e informticos.

Se adopt la versione 4.0 del Modelo COBIT puesto que, una vez que se realiz un anlisis de todas las versiones de COBIT se identificaron las siguientes caractersticas en cada una de ellas. Versin 1.0: uso de estndares

internacionales, las pautas y la

investigacin en las mejores prcticas condujeron al desarrollo de los Objetivos del control.

37

 Versin 2.0: anlisis de fuentes internacionales, dedicados a la compilacin, revisin e incorporacin apropiada de los estndares tcnicos internacionales, cdigos de la conducta, estndares de calidad, estndares profesionales y los requisitos de la industria, como se relacionan con el marco y con los objetivos del control individual. Versin 3.0: consiste en proveer a la gerencia un uso del marco de referencia, COBIT, para que de l pueda determinar las mejores opciones a ser puestas en prctica y las mejoras del control sobre su informacin y tecnologa relacionada. Versin

4.0:

acenta

el

cumplimiento

regulador,

ayuda

las

organizaciones a aumentar el valor logrado de TI ya que posee un enfoque ms gerencial que permite la alineacin y simplifica la puesta en prctica del Modelo COBIT. Luego de este anlisis se concluy que la versin 4.0 se basa en los principios de, proporcionar la informacin que la empresa requiere para lograr sus objetivos y que la empresa necesita administrar y controlar los recursos de TI, usando un conjunto estructurado de procesos que ofrezcan los servicios requeridos de informacin4.

2.2. CONTENIDO (PRODUCTOS COBIT)

En el Modelo de COBIT 4.0 los productos se han definido en tres niveles, los mismos que dan soporte a: Administracin y consejos ejecutivos. Administracin del negocio y de Tecnologa de Informacin. Profesionales de gobierno, aseguramiento, control y seguridad, como se detalla en la Grfica 2.

GOVENANCE INSTITUTE COBIT 4.0

38

Grfica 2: Paquete de programas de COBIT

2.2.1. Resumen Ejecutivo

El Resumen Ejecutivo, consiste

en una descripcin que

proporciona una conciencia cuidadosa y el entendimiento de los conceptos claves de COBIT, es decir, un entendimiento ms detallado de los conceptos y principios de auditora de Sistemas, identificando los cuatro dominios de COBIT y sus 34 procesos de TI.

2.2.2. Marco Referencial

El Marco Referencial COBIT, es la base para el desarrollo de los dems elementos COBIT. El marco referencial explica como los procesos de TI deben entregar la informacin, que el negocio requiere, para alcanzar sus objetivos, proporcionando al propietario de los procesos del negocio, herramientas que faciliten el cumplimiento de esta responsabilidad.

39

El Marco Referencial, permite tambin

definir; si la informacin

procesada para cumplir con los objetivos del negocio se estn adaptando a los criterios de informacin (efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad), as como tambin define cuales de los recursos de TI (sistemas de aplicacin, tecnologa, instalaciones, datos) son importantes para apoyar a los objetivos del negocio.

2.2.3. Objetivos de Control

Un Objetivo de Control en TI, es la definicin del resultado o propsito que se desea alcanzar siguiendo procedimientos de control especficos dentro de una Actividad de Control de TI. Los Objetivos de Control de COBIT son los requerimientos mnimos que debe cumplir un control de cada proceso de TI, para que sea definido como efectivo.

Los Objetivos de Control estn definidos y orientados a los procesos, por medio del principio de reingeniera de negocios. Cada uno de los procesos de TI de COBIT tiene un objetivo de control de alto nivel y un nmero de objetivos de control detallados. A los que se les debe analizar como un todo ya que representan las caractersticas de un proceso bien administrado.

2.2.4. Gua o Directriz de Auditora

Las Guas de Auditora indican pautas

y recomendaciones,

mediante las que la gerencia de la entidad auditada puede cumplir de una manera ms ptima con los Objetivos de Control.

Estas Guas de Auditora provistas por COBIT no son especficas, sino son acciones genricas que se pueden poner en prctica en mayor o menor grado, dependiendo de la entidad y estn orientadas para proveer a la gerencia actividades que le permitan, mantener bajo control la informacin de la empresa y sus procesos relacionados, monitorear el 40

logro de las metas organizacionales, monitorear el desempeo de cada proceso de TI y llevar a cabo un benchmarking de los logros organizacionales.

2.2.5. Prcticas de Control

Las Prcticas de Control proveen guas para disear controles y cmo implementarlos, puesto que ayudan al personal encargado de disear e implementar controles especficos a administrar riegos en proyectos de TI.

Adems las Prcticas de Control ayudan a mejorar el rendimiento de TI ya que definen mejores prcticas para evitar el incumplimiento o mal uso de controles internos.

2.2.6. Guas de Administracin

Las Guas de Administracin o directrices gerenciales, contienen modelos de madurez asociado al gobierno de TI, que sirven para determinar en qu posicin se encuentra la organizacin. Tambin las Guas de Administracin proveen factores crticos de xito especfico, indicadores claves por objetivo e indicadores clave de desempeo, que son las mejores prcticas administrativas para alcanzar los Objetivos de Control en TI.

2.2.7. Conjunto de Herramientas de Implementacin

El Conjunto de Herramientas COBIT proporciona lecciones aprendidas por aquellas organizaciones que aplicaron COBIT,

obteniendo resultados exitosos, las cuales pueden ser utilizadas por otras organizaciones.

41

Estas herramientas incluyen dos particularmente tiles: o Diagnstico de Sensibilizacin Gerencial (Management Awareness Diagnostic). o Diagnstico de Control en TI (IT Control Diagnostic), para proporcionar asistencia en el anlisis del ambiente de control de TI en una organizacin.

2.3. GENERALIDADES DEL MODELO COBIT

2.3.1. Marco de Trabajo de COBIT

El modelo de COBIT fue creado para ser orientado a negocios y procesos, basado en controles e impulsado por mediciones.

2.3.1.1.

Orientado a Negocios

El Modelo de COBIT es orientado a negocios ya que se encuentra diseado para ser una gua para la gerencia, propietarios de los procesos de negocio, los proveedores de servicios, usuarios y auditores de TI. Adems es el enfoque de control en TI que se lleva a cabo visualizando la informacin necesaria para dar soporte a los procesos del negocio. Siendo la Informacin el resultado de la aplicacin combinada de recursos relacionados con la Tecnologa de Informacin, que deben ser administrados por procesos TI.

El Marco de Trabajo de COBIT ofrece herramientas para garantizar la alineacin de la administracin de TI con los requerimientos del negocio, basados en los principios bsicos de COBIT.

42

Grfica 3: Principios bsicos de Cobit

En donde los requerimientos de informacin del negocio,

deben

adaptarse a ciertos criterios de informacin, para que la misma permita cumplir con los objetivos de la organizacin, los cuales son: Efectividad: la informacin relevante y pertinente al proceso del negocio existe y es entregada a tiempo, correcta, consistente y utilizable. Eficiencia: es la optimizacin (ms econmica y productiva) de los recursos que se utilizan para la provisin de la informacin. Confidencialidad: es relativo a la proteccin de informacin sensitiva de acceso y divulgacin no autorizada. Integridad: se refiere a lo exacto y completo de la informacin, as como a su validez de acuerdo con las expectativas del negocio. Disponibilidad: accesibilidad a la informacin para los procesos del negocio en el presente y en el futuro, tambin salvaguardar los recursos y capacidades asociadas a los mismos. Cumplimiento: son las leyes, regulaciones, acuerdos contractuales a los que el proceso del negocio est sujeto. Confiabilidad de la Informacin: proveer la informacin apropiada para que la administracin tome las decisiones adecuadas para

43

manejar la empresa y cumplir con las responsabilidades de reportes financieros.

los

Una vez que las metas del negocio se encuentran alineadas y han sido definidas, requieren ser monitoreadas para garantizar que la entrega cumpla con las expectativas del negocio.

Los recursos de TI son: Datos: Todos los objetos de informacin interna y externa, estructurada o no, grficas, sonidos, etc. Aplicaciones: Tecnologa: los sistemas de informacin, que integran

procedimientos manuales y sistematizados. incluye hardware y software bsico, sistemas

operativos, sistemas de administracin de bases de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones: son recursos necesarios para alojar y dar soporte a los sistemas de informacin. Recursos Humanos: habilidad, conciencia y productividad del

personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Informacin.

Se deben gestionar todos los recursos de TI, mediante un conjunto de procesos agrupados, para lograr metas de TI que proporcionen la

informacin que el negocio necesita para alcanzar sus objetivos. Este es el principio bsico del marco de trabajo COBIT, como se ilustra en el cubo COBIT5.

Definicin Auditora: http://www.mega-consulting.com/herramientas/Auditora/2concepto.htm

44

Grfica 4: Cubo cobit

2.3.1.2.

Orientado a Procesos

Se pueden diferenciar tres niveles de actividades en un proceso de TI: El nivel superior de agrupacin.- son los dominios que constituyen los procesos agrupados, los dominios en una estructura

organizacional se denominan dominios de responsabilidad y se alinean con el ciclo de vida o administrativo de los procesos TI. En el nivel intermedio se encuentran los procesos, que son un conjunto de varias tareas y actividades. En el nivel bajo se hallan las actividades y tareas necesarias para alcanzar un resultado medible, es decir, son las actividades ms discretas, como se puede observar en la Grfica 5.

45

Grfica 5: Niveles de actividades de ti

2.4. DOMINIOS

2.4.1. Planificacin y Organizacin:

Cubre las estrategias, las tcticas y la manera de identificar la forma en que TI puede contribuir al logro de los objetivos del negocio.

2.4.1.1.

Objetivos de Control Niveles Altos Planificacin y Organizacin

PO1 Definen un Plan de TI Estratgico PO2 Definen la Informacin Arquitectura PO3 Determinan Direccin Tecnolgica PO4 Definen los Procesos de TI, Organizacin y Relaciones PO5 Manejan la Inversin TI PO6 Comunican Objetivos de Direccin y Direccin PO7 Manejan Recursos TI Humanos PO8 Manejan Calidad 46

PO9 Evalan y Manejan Riesgos de TI PO10 Manejan Proyectos

2.4.2. Adquisicin e Implementacin

Cubre las estrategias de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas as como la implementacin e integracin en los procesos del negocio

2.4.2.1.

Objetivos de Control Niveles Altos

AI1 Identifican Soluciones Automatizadas AI2 Adquieren y Mantienen Software De aplicacin AI3 Adquieren y Mantienen Infraestructura de Tecnologa AI4 Permiten Operacin y Usan AI5 Procuran Recursos TI AI6 Manejan Cambios AI7 Instalan y acreditan Soluciones y Cambios

2.4.3. Soporte y Servicios

Incluye los procesos de entrega o distribucin, desde las operaciones tradicionales hasta el entrenamiento, tomando en cuenta aspectos de seguridad y continuidad de las operaciones. Con el fin de entregar servicios. En donde se incluye el procesamiento de datos, los sistemas de aplicacin, clasificados de forma frecuente como controles de aplicacin

47

2.4.3.1.

Objetivos de Control Niveles Altos Soporte y servicio

DS1 Definen y Manejan Niveles de Servicio DS2 Manejan Servicios de Tercero DS3 Manejan Funcionamiento y Capacidad DS4 Aseguran Servicio Continuo DS5 Aseguran Seguridad de Sistemas DS6 Identifican y Asignan Gastos DS7 Educan y Entrenan a Usuarios DS8 Manejan Escritorio de Servicio e Incidentes DS9 Manejan la Configuracin DS10 Manejan Problemas DS11 Manejan Datos DS12 Manejan el Ambiente Fsico DS13 Manejan Operaciones

2.4.4. Evaluacin y Seguimiento

Se debe evaluar de forma regular los procesos de control independientes, los mismos que son definidos por auditoras externas e internas o por fuentes alternativas. Tambin abarca la administracin del desempeo, el monitoreo del control interno, el cumplimiento regulatorio y la aplicacin del gobierno de TI.

48

2.4.4.1.

Objetivos de Control Niveles Altos Evaluacin y seguimiento

ME1 Supervisan y Evalan Procesos de TI ME2 Supervisan y Evalan Control Interno ME3 Aseguran Cumplimiento Regulador ME4 Proporcionan Gobernacin TI

Grfica 6: Marco de COBIT 49

2.5. VENTAJAS Y DESVENTAJAS SOBRE LOS MODELOS Y BUENAS PRCTICAS ITIL Y COSO

Tabla 1: Matriz Cobit vs Itil, Coso

ATRIBUTO Audiencia Primaria

COBIT Direccin, usuarios, auditores de SI Operaciones efectivas y eficientes Confidencialidad, integridad y Direccin

COSO

ITIL Direccin, usuarios, auditores de SI

Operaciones efectivas y eficientes Informes financieros confiables Cumplimiento de las leyes y regulaciones

Aplicar el ITIL en las empresas que han integrado en sus procesos a sus clientes y proveedores a travs de redes informticas. Ofrecer un marco comn para todas las actividades del departamento de ti.

Objetivos Organizacionales del CI

disponibilidad de informacin Informes financieros confiables Cumplimiento de las leyes y regulaciones

Dominios: Planeamiento y organizacin Adquisicin e implementacin Componentes o Dominios Entrega y soporte Monitoreo

Componente: Supervisin Ambiente de control Administracin de riesgos Actividades de control Informacin y comunicacin

Componentes (fases): Estrategia del servicio Diseo del servicio Transicin del servicio Operaciones del servicio Mejora

continua del servicio Foco Confiabilidad Tiempo que se requiere para su desarrollo Costo Tecnologa Informtica Toda la entidad Ciclo de vida de un servicio Alta Depende de la disponibilidad de la informacin de las areas de la empresa Alto Alto Alto Alta Disponibilidad de la informacin Media Depende del uso y del estado actual de la infraestructura TI

50

Los usuarios finales obtienen una garanta sobre la seguridad y control de los productos que adquieren interna y externamente.

-Los usuarios de COSO son orientados

-Mejora la

sobre comunicacin con

control interno, gestin los clientes y del riesgo, fraudes, tica usuarios finales a empresarial. travs de los diversos puntos de -Confiabilidad informacin de la contacto acordados.

financiera: -Los servicios se

control de la elaboracin detallan en lenguaje y publicacin de estados del cliente y con contables confiables. ms detalles. -Se maneja mejor la VENTAJAS (CLIENTES Y USUARIOS) calidad y los costos de los servicios. -La entrega de servicios se enfoca ms al cliente, mejorando con ello la calidad de los mismos y relacin entre el cliente y el departamento de IT. -Una mayor flexibilidad y adaptabilidad de los servicios

-Ayuda a salvar las brechas existentes entre riesgos de negocio,

Las actividades de control: o las polticas, procedimientos y

- La organizacin TI desarrolla una estructura ms clara, se vuelve ms eficaz y, se centra ms en los objetivos de la organizacin. - La administracin tiene un mayor control, se estandarizan e identifican los procedimientos y,

necesidades de control y prcticas que aseguran aspectos tcnicos. - Con el fin de VENTAJAS (TI) proporcionar la informacin que la organizacin necesita para alcanzar sus objetivos, seala que los recursos de TI deben ser administrados por un el logro de los objetivos de la conduccin y que se cumple con las estrategias para mitigar los riesgos

51

conjunto de procesos de TI agrupados en forma natural. - Proporciona herramientas al responsable de los procesos que facilitan el cumplimiento de los procedimientos de TI. - Es la herramienta innovadora para el manejo de TI que ayuda a la gerencia a comprender y administrar los riesgos asociados con TI.

los cambios resultan ms fciles de manejar. -La estructura de procesos en IT proporciona un marco para concretar de manera ms adecuada los servicios de outsourcing. -A travs de las mejores prcticas de ITIL se apoya al cambio en la cultura de TI y su orientacin hacia el servicio y, se facilita la introduccin de un sistema de administracin de calidad. - ITIL proporciona un marco de referencia uniforme para la comunicacin interna y con proveedores.

-Requiere cierto nivel de -Errores por falta de manejo de las TI, por lo que acoplarlo resulta ser un proceso, en cierto DESVENTAJAS capacidad para ejecutar las instrucciones -Errores de juicio en la

-Tiempo y esfuerzo necesario para su implementacin. - No se da un cambio previo en la cultura del rea involucrada.

modo, ms complejo que toma de decisiones. su propia ejecucin. -COBIT consta con una clusula de limitacin de responsabilidad la cual obliga a los gerentes y -Errores por mala interpretacin,

negligencia, distraccin o - No se ve reflejada fatiga. Inobservancia gerencial una mejora por falta de entendimiento

52

personas involucradas a investigar el manual de COBIT. -Resulta un modelo ambicioso que requiere de profundidad en el estudio. -No existe en la bibliografa de resultados experiencias prcticas de implementacin de este modelo que lo hagan medible, para saber su nivel de confiabilidad.

a las polticas o procedimientos prescritos. -Colusin. -Costo - beneficio.

sobre procesos, indicadores y mtodos para ser controlados. - El personal no se involucra y no se compromete. - La mejora del servicio y la reduccin de costos puede no ser visible. - La inversin en herramientas de soporte sea escasa. Los procesos podrn parecer intiles y no se alcanzara las mejoras en los servicios.

53

CAPTULO III

Estudio del modelo COBIT en la Cooperativa de Ahorro y Crdito Alianza del Valle
3.1. SITUACIN ACTUAL DE LA ENTIDAD

Cooperativa Alianza del Valle, es una Institucin que naci hace 41 aos con el fin de colaborar con el progreso y bienestar de la comunidad y, es gracias a sus asociados que ha logrado convertirse en una institucin financiera slida con visin de liderazgo.

Alianza del Valle es una entidad solidaria que trabaja por la comunidad ofreciendo sobre todo seguridad y confianza, que le han convertido en Su Cooperativa Amiga. Misin: Satisfacer las necesidades y expectativas de nuestros socios, ofrecindoles productos y servicios financieros innovadores, de calidad y con valor agregado, contando con una estructura administrativa/financiera slida y con personal y directivos con visin social Visin: Mantenernos como una Institucin Financiera Slida, con mayor participacin en el mercado, que brinda productos y servicios financieros competitivos con cobertura nacional, para impulsar el desarrollo de los socios y de la comunidad con responsabilidad social.

Valores de la Cooperativa

Equidad: A travs de un ambiente de justicia y transparencia para el otorgamiento de productos y servicios a nuestros socios/clientes, proveedores, entes de control y talento humano.

Honestidad: Con los asociados, recursos financieros, documentos, que sean de la Cooperativa, stos sern utilizados con absoluta rectitud e 54

integridad organizacional. Trabajamos con transparencia y tica cuidando siempre el bienestar de nuestros socios e Institucin. Responsabilidad: Para asumir nuestras acciones, estando siempre preparados a esclarecer e informar sobre las actividades ejecutadas, de manera que el socio/cliente incremente su confianza en la capacidad del personal y de la Cooperativa como Institucin slida y transparente.

Disciplina: Cumpliendo a cabalidad normas, polticas y procedimientos que constituyen los pilares del accionar de la Cooperativa.

Solidaridad: Hacia nuestros socios/clientes y la comunidad ecuatoriana, basndonos en nuestros principios de ayuda mutua.

3.1.1. Conocimiento y compresin de la institucin. La Cooperativa de Ahorro y Crdito ALIANZA DEL VALLE Ltda. Cuenta con los siguientes servicios:

Cooperativa en Lnea, Contactos, Productos y Servicios, Cobertura. Los productos y servicios que brinda la Cooperativa de Ahorro y Crdito ALIANZA DEL VALLE Ltda. Son:

Servicios: Seguro Amigo Tarjeta de Dbito Pago de Bono de Desarrollo Humano Sistema de Remesas CREER Ecuador Impuesto Predial Sistema de Envos Western Union Transferencias Interbancarias Megared - Ventanillas Extendidas Cpyline - Acreditaciones a Instituciones Acreditaciones IESS 55

Productos:

Productos de Ahorro Cuenta Efectiva Cuenta Suea Cuenta Joven Cuenta Metahorro

Productos de Crdito Seguro de desgravamen Bajas tasas de inters Cero comisiones CrediConsumo MicroCrdito CrediVivienda

Inversiones Plazo Fijo Alianza

3.1.2. Conocimiento

compresin

de

las

actividades

del

departamento de TI.

El Departamento de TI principales:

tiene a su cargo las siguientes actividades

Asesorar

en

el

desarrollo

implementacin

de

nuevas

herramientas informticas, que sirvan de instrumento para agilitar, simplificar, mejorar el desempeo de las actividades de los usuarios operativos y administrativos, salvaguardando la

integridad, confiabilidad y disponibilidad de la informacin de la cooperativa.

- Apoyar, computacionalmente, las actividades de todos las

Direcciones, Departamentos y otras unidades de la Cooperativa

56

de Ahorro y Crdito Alianza del Valle, preocupndose del desarrollo de programas como de la actualizacin de todo su equipo.

- Mantener y administrar las

del Valle.

redes,

sistemas

equipos

computacionales de la Cooperativa de Ahorro y Crdito Alianza

- Prestar soporte a usuarios en todo lo relativo a la plataforma

computacional de la Cooperativa de Ahorro y Crdito Alianza del Valle.

- Controlar las concesiones que le correspondan, de acuerdo a su

participacin, en la elaboracin de las especificaciones tcnicas y que le sean atingentes a la naturaleza de sus funciones.

- Velar por la integridad de la informacin almacenada en equipos

computacionales, de propiedad de la cooperativa, adems de elaborar y ejecutar los planes de contingencia necesarios en caso de prdida de dicha informacin.

Coordinar el accionar de las distintas dependencias de la Cooperativa de Ahorro y Crdito Alianza del Valle de manera de ir integrando y correlacionando informacin y bases de datos.

Participar en la elaboracin y ejecucin del Plan Estratgico de la cooperativa; as como elaborar y ejecutar el Plan Anual Operativo del Departamento de TI.

Proponer al Directorio para su aprobacin, por medio del rea de Administracin y de la Gerencia General, las polticas

respecto a las Tecnologas de Informacin.

57

Velar por la alta disponibilidad del Servicio

de

tecnologa de

Informacin que soporte la operatividad de la cooperativa.

Proponer los planes y presupuestos para la adquisicin de recursos de tecnologas renovacin de informacin, e requeridos de para los

asegurar la

tecnolgica

implantacin

proyectos de Tecnologa de Informacin.

Establecer

las

normas

estndares

para

la gestin de

las actividades y uso de recursos de tecnologas de informacin.

Dar conformidad al cumplimiento de los contratos que deriven de la adquisicin, alquiler y/o mantenimiento de equipos

y/o aplicativos, dentro del mbito de su competencia.

Apoyar, dentro del mbito de su competencia, en la definicin de especificaciones tcnicas de procesos de seleccin que guarden relacin con tecnologa de la informacin.

Participar en la elaboracin del

Plan de Seguridad de la

Informacin y el Plan de Continuidad de Negocios de la cooperativa, ejecutndolos competencia. de acuerdo al mbito de su

Hacer seguimiento del cumplimiento de los contratos de servicios solicitados por el rea a su cargo.

Atender e implementar las medidas correctivas, recomendadas por el Departamento de Auditora Interna y los organismos de control externo.

58

3.1.3. Descripcin de Funciones del nivel directivo

Grfica 7: ESTRUCTURA ORGANIZACIONAL

59

La Estructura Organizacional de la Cooperativa de Ahorro y Crdito Alianza del Valle Ltda., est conformada por reas, grupos y cargos ocupacionales reas Ocupacionales

Estos son conjuntos de actividades afines que constituyen las relaciones laborales

Grfica 8: rea ocupacional Grupos Ocupacionales Son ocupaciones de naturaleza similar, de acuerdo al tipo de funciones, responsabilidades y requerimientos para el cumplimiento de su ocupacin.

Grfica 9: Grupo Ocupacional

60

 Cargos o Listado de Cargos

Grfica 10: Ocupaciones

61

A continuacin se describir las principales funciones del personal relevante de la Cooperativa de Ahorro y Crdito ALIANZA DEL VALLE Ltda. Gerente General o Presentar para aprobacin del consejo de administracin el plan estratgico, el plan operativo y el presupuesto de la cooperativa. o Representar judicialmente a la cooperativa o Responder por cooperativa o Cumplir y hacer cumplir a los socios las disposiciones emanadas de la asamblea general y del consejo de administracin o Actualizar y mantener bajo custodia los inventarios de bienes y valores de la entidad. o Contratar, remover y sancionar, de acuerdo a las polticas que fije el consejo de administracin a os empleados de la cooperativa, cuyo nombramiento o remocin no sea de competencia de otro rgano de la entidad y fijar sus remuneraciones que debern constar en el presupuesto de la entidad o Suministrar la informacin que solicite los socios, representantes, rganos internos y su impacto en el patrimonio, cumplimiento del plan estratgico y sobre todo que sean solicitados, as como el plan anual de gestin. o Informar al consejo de administracin sobre la situacin financiera de la entidad, de riesgos y su impacto en el patrimonio, la gestin administrativa y financiera de la

cumplimiento del plan estratgico y sobre otros que sean solicitados, as como el informe anual de gestin. o Mantener los controles y procedimientos adecuados para asegurar el control interno. o Delegar o revocar delegaciones conferidas a otros funcionarios de la cooperativa, previa informacin al consejo de administracin, sin que ello implique exonerarse de la responsabilidad legal. o Presidir el comit de crdito de la cooperativa y los que determinen las normas de la junta bancaria 62

o Mantener y actualizar el registro de certificados de aportacin o Ejecutar las polticas de tasas de inters y de servicios de acuerdo a los lineamientos fiados por el consejo de

administracin o Analizar y aprobar las estrategias de mercadeo de productos y servicios de la cooperativa o Evaluar los resultados de la implantacin de las estrategias, segn programa aprobado. o Aprobar la adquisicin de bienes y servicios requeridos para la gestin de la cooperativa de acuerdo a lo establecido en el manual de adquisicin o Suscribir convenios de prstamo con entidades financieras segn polticas de endeudamiento aprobadas. Asistente de Gerencia o Coordinar la agenda de Gerencia General o Elaborar memorandos y oficios para funcionarios, organismos de control, instituciones financieras y otros. o Cumplir actividades de apoyo administrativo a jefaturas de la cooperativa. o Asistir y coordinar reuniones de trabajo con jefes departamentales jefes de agencias, etc. o Monitorear el cumplimiento de instructivos, disposiciones,

registros, reportes y mas requerimientos establecidos por las autoridades de la cooperativa y organismos de control. o Elaborar informes para el consejo de administracin de las actividades realizadas por gerencial general. o Custodiar y velar por la correcta utilizacin de la central telefnica. o Supervisar el cumplimiento de entrega y recepcin de

correspondencia. o Administrar el programa de desbloqueo de claves de los funcionarios y empleados. o Administrar el mdulo de seguridad de mdulo COBIS o Realizar las veces de oficial de cumplimiento Back UP 63

 Auditor Interno o Vigilar cualquier tiempo las operaciones de la institucin o Comprobar la existencia y el adecuado funcionamiento de los sistemas del control interno, con el propsito de proveer una garanta razonable en cuanto al logro de los objetivos de la institucin; eficiencia y eficacia de las operaciones; salvaguarda de los activos; una adecuada revelacin de los estados financieros; y, cumplimiento de las polticas y procedimientos internos, leyes y normas aplicables. o Evaluar los recursos informticos y sistemas de informacin de la institucin del sistema financiero, con el fin de determinar si son adecuados para proporcionar a la administracin y dems reas de la institucin, informacin oportuna y suficiente que cuenten con todas las seguridades necesarias. o Verificar si la informacin que utiliza internamente la institucin para la toma de decisiones y la que reporta a la superintendencia de bancos y seguridades es fidedigna, oportuna y surge de sistemas de informacin y bases de datos institucionales. o Verificar que el director o el organismos que haga sus veces de la institucin del sistema financiero haya expedido las polticas para prevenir el lavado de activos provenientes de actividades ilcitas y constatar la aplicacin de estas por parte de la administracin de la entidad controlada. o Evaluar si la gestin del oficial de cumplimiento se sujeta a las disposiciones o Verificar que la institucin cuente con organigramas estructurales y funcionales; o Verificar que la institucin del sistema financiero cuente con un plan estratgico y que su formulacin se efectu a base de un anlisis de elementos tales como: debilidades, oportunidades fortalezas y amenazas, lneas de negocios, mercado objetivo, evolucin de la cuota de mercadeo, proyecciones financieras, planes de expansin o reduccin, entre otros. 64

o Verificar

la

existencia,

actualizacin,

difusin,

eficacia

y,

cumplimiento de las polticas, procedimientos, estrategias, metodologas formalmente establecidas para identificar, evaluar, controlar y administrar los riesgos y si estas son compatibles con el volumen y complejidad de las transacciones. o Aplicar las pruebas de auditora necesarias para verificar la razonabilidad de las estados financieros, la existencia de respaldos de los registros contables; y cumplimiento de las normas de carcter general dispuestas por la superintendencia de bancos y seguros contenidas en el catalogo nico de cuentas y en la codificacin de resoluciones de la superintendencia de bancos y seguros y de la junta bancaria. o Evaluar la correcta seleccin y aplicacin de los principios contables en la elaboracin de los estados financieros o Verificar la transparencia, consistencia, confiabilidad y suficiencia de las cifras contenidas en los estados financieros y de sus notas. o Identificar las operaciones con partes vinculadas y verificar su adecuada revelacin en los estados financieros para el caso de las cooperativas de ahorro y crdito que realizan intermediacin financiera con el pblico y de las asociaciones mutualistas de ahorro y crdito para la vivienda. o Suscribir conjuntamente con el representante legal y el contador general de la institucin del sistema financiero, los estados financieros y dems reportes que se remitirn a la

superintendencia de bancos y seguros. o Verificar la suficiencia de los asientos contables incluidos en los estados financieros de la institucin del sistema financiero, mediante la evaluacin de los procedimientos aplicados por la administracin y los auditores externos. o Verificar que la institucin del sistema financiero acate las disposiciones de la superintendencia de bancos y seguros, as como las recomendaciones de los auditores externos y del anterior auditor interno, si lo hubiese.

65

o Velar por el cumplimiento de las resoluciones de la junta general de accionistas, asamblea de socios, del director o de los rganos que hagan a sus veces, segn corresponda. o Verificar que los aumentos de capital de la institucin se ajusten a lo previsto en el artculo 42 de la ley general instituciones del sistema financiero y a las normas pertinentes de la codificacin de resoluciones de la superintendencia de bancos y seguros y de la junta bancaria. o Elaborar el plan anual de auditora a ser ejecutado durante el ejercicio econmico y remitido a la superintendencia de bancos y seguros, en el formato establecido para ello. o Ejecutar el plan de auditora, en base de los requerimientos de los controles establecidos. o Dirigir y coordinar las acciones de auditora en las diferentes reas, de acuerdo al plan aprobado. o Asesorar a gerencia general y jefaturas departamentales y de agencias. Jefe de Informtica y Tecnologa o Administrar los recursos de informticos y tecnolgicos de la cooperativa. o Realizar el Plan estratgico y operativo del rea alineando al plan estratgico institucional. o Elaborar presupuesto anual del departamento. o Elaborar o actualizar el plan de contingencia. o Planificacin, seguimiento y monitoreo de los mantenimientos de las redes WAN, LAN (Remotas oficinas/locales) y del sistema COBIS, BDD (base de datos). o Instalacin y configuracin de software especializado o Asesorar a gerencia general de las nuevas herramientas informticas. o Planificacin, seguimiento y monitoreo de las actividades asignadas al rea de TI y CC. 66

o Realizar un informe a gerencia general de la administracin de los recursos informticos y tecnolgicos. o Planificacin, seguimiento y monitoreo de los nuevos proyectos informticos de software y hardware. Jefe de Riesgos o Proponer al comit de administracin integral de riesgos de la entidad, las polticas, de riesgos para la institucin, de acuerdo con los lineamientos que fije el director u organismo que haga sus veces. o Elaborar y someter a consideracin y aprobacin del comit de administracin integral de riesgos, la metodologa para identificar, medir, controlar/mitigar y monitorear los diversos riesgos

asumidos por la institucin en sus operaciones. o Velar por el cumplimiento de los lmites de explotaciones por tipo de riesgos respecto de los principales clientes, sectores econmicos de actividad, rea geogrfica, entre otros. o Disear un sistema de informacin basado en reportes objetivos y oportunos, que permita analizar las posiciones para cada riesgo y el cumplimiento de los lmites fijados; e, informar peridicamente al comit los planes de contingencia que considere distintas situaciones probables, segn corresponda. o Implantar de manera sistemtica en toda organizacin y en todos los niveles de personal las estrategias de comunicacin, a fin fe entender sus responsabilidades con respecto a la administracin integral de riesgos. o Calcular las posiciones de riesgo y su afectacin a patrimonio tcnico de la entidad o Analizar la incursin de la institucin del sistema financiero en nuevos negocios, operaciones y actividades acorde con la estrategia del negocio, con sujecin a las disposiciones legales, normativa y estatutaria, en cumplimiento del proceso de administracin integral de riesgos. 67

o Analizar el entorno econmico y de la industria y sus efectos en la posicin de riesgos de la institucin, as como las prdidas potenciales que podr sufrir ante una situacin adversa en los mercados en los que opera. o Disear las polticas y el proceso de administracin del riesgo operativo.

3.1.4. Estructura Organizativa del rea de Sistemas

JEFE DE INFORMTICA Y TECNOLGIA

ADMINISTRADOR DE TI

ANALISTA DE PRODUCCIN

ADMINISTRADOR DEL CENTRO DE CMPUTO

ANALISTA PROGRAMADOR

OPERADOR

PROGRAMADOR

Grfica 11: Estructura organizacional del rea de sistemas En la Cooperativa Alianza del Valle LTDA., conoce como el al rea tecnolgica se la

Departamento de Tecnologa e informacin, donde

detallaremos los cargos principales que constituyen este departamento. .Administrador de TI: Administrar proyectos de software que satisfagan las necesidades de mejoramiento y calidad de los procedimientos y actividades institucionales, con la

implementacin de sistemas automatizados. 68

 Analizar los requerimientos enviados por el administrador de TI y apoyar en la mejora de estos. Administrador del Centro de Cmputo: Administrar los recursos tecnolgicos monitoreando el buen desempeo de los equipos servidores, supervisar que las redes de telecomunicaciones estn operativas en su totalidad, controlar inventario del hardware y software licenciado. Operador: Ejecutar procesos diarios, mantener la operatividad de los equipos tecnolgicos y servicios relacionados al rea. Analista Programador: Analizar los requerimientos enviados por el administrador de ti y apoyar en la mejora de estos. Programador:

Desarrollar

software

que

cumpla

con

los

requerimientos institucionales.

3.1.5. Caractersticas de los Sistemas y Ambiente Computarizado

3.1.5.1.

COBIS Sistema Bancario

COBIS es un Sistema Bancario, que se encarga de manejar los siguientes mdulos, que son fundamentales para el funcionamiento de la cooperativa: MDULO DE CUENTAS DE AHORROS

El mdulo est diseado para brindar un conjunto variado y completo de transacciones para la administracin, manipulacin y consultas sobre las cuentas de ahorros que posee el banco.

En lo que tiene que ver con el manejo de las libretas, el mdulo presenta opciones para manipular las lneas pendientes, producto de la ejecucin de transacciones internas o de transacciones en 69

las cuales el cliente no dispuso de la libreta (transacciones financieras sin libreta). Dicho manejo se ve complementado por las caractersticas que brinda la terminal financiera (ATX), para manejar diferentes tipos de impresoras validadoras y, con la operacin de reimpresin, en caso de fallo en la impresin original, producto de la ejecucin de una transaccin con libreta.

ESTANDARES:

Cuentas de Ahorro Personalizacin Remesas

MDULO DE CARTERA

Cobis Cartera, presenta una solucin a los problemas que se presentan al procesar los prstamos, permitiendo tener un control total sobre cada una de las operaciones, realizando clculos diarios de los valores que deben cobrarse por cada uno de los conceptos que se definen en un prstamo y tenindolos disponibles el momento que se requiera. El mdulo tiene una gran facilidad en cuanto a la simulacin de tablas de amortizacin, la misma que facilitar la negociacin de un crdito, proporcionando un mejor servicio al cliente y optimizando recursos de la empresa. Tambin se encuentra diseado para que pueda realizar procesos de regeneracin de tablas de amortizacin por reajustes de tasas, lo cual ocasiona problemas y mucho esfuerzo para poder controlar correctamente si no existe un sistema automtico. Permite aceptar cualquier tipo de abono que desee hacer el cliente con su correspondiente aplicacin y registro.

70

MDULO CONTABIIDAD

Manejo de Empresas

El mdulo de Contabilidad permite el manejo multiempresa o manejo contable de diferentes empresas, asocindolas por tipos de planes, por grupos econmicos o por su capacidad de manejo contable, independiente por empresa, ofreciendo servicios contables para empresas ajenas al grupo econmico.

Manejo de la Estructura Organizacional

El sistema se adapta a la estructura de cada empresa, permitiendo definir la estructura organizacional de la misma (oficinas y reas).

Se puede realizar consultas de todas las sucursales existentes en la empresa, o realizar una bsqueda de las mismas segn su jerarqua o nombre.

Las reas tambin pueden ser definidas como operativas o canceladas.

Periodos Contables

Es posible definir los periodos contables que el usuario requiera, con fechas de inicio y fin de los mismos. En consecuencia, es posible, por ejemplo, trabajar con un nuevo periodo (ao 95) y seguir disponiendo del anterior periodo (ao 94) para realizar ajustes y correcciones. Tambin es posible realizar comparaciones de resultados generados por cada periodo. Los periodos pueden ser anuales, semestrales, mensuales, etc. Al finalizar un periodo contable se transfieren los saldos de las cuentas de resultados a utilidad o prdida del 71

ejercicio, luego de lo cual stas son inicializadas para el comienzo de un nuevo periodo.

Plan de Cuentas

Es posible definir un Plan de Cuentas para cada Empresa, sin lmite en el nmero de niveles ni en el nmero de dgitos por nivel. Es posible definir qu cuentas son operativas en qu nivel organizacional.

El Plan de Cuentas se asocia a las diferentes oficinas y por cada una de las oficinas a las diferentes reas, segn como el usuario lo defina. Esta asociacin se realiza de una manera fcil y dinmica, lo que permite tener un Plan de Cuentas completo por cada Empresa y dentro de la misma por cada nivel organizacional (regin, sucursal o agencia), sin un crecimiento innecesario del plan de cuentas.

Manejo de Monedas

El sistema maneja mltiples tipos monedas, lo que permite obtener saldos en funcin de ellos. Un archivo histrico de monedas extranjeras, permite conocer las cotizaciones tanto de compra como de venta, pudindose obtener grficos histricos.

Uso de Comprobantes Contables Los comprobantes tienen las siguientes caractersticas: Las cuentas contables que intervienen en los comprobantes, deben ser digitadas con su respectivo dgito de verificacin para evitar cualquier ingreso errneo.

El mdulo controla automticamente el cuadre de dbito contra el crdito. 72

El

mdulo

genera e

el

nmero los

de

comprobante

por

departamento, generados.

imprimir

comprobantes

contables

Es posible el manejo de entradas interiores, a travs de las cuales se permite el cruce de valores monetarios entre oficinas o departamentos.

Recepcin

de

comprobantes

contables,

desde

el

departamento de contabilidad, o desde todas las agencias y, de todos los productos bancarios de las agencias.

Saldos Contables

Es

posible

la

consulta

automtica

de

saldos

sumarizados de la Empresa; saldos por Oficinas, por Sucursales, (Machachi, Guaman, Amaguaa, Sangolqu, Inca, Conocoto, Ecuatoriana, Chillogallo, Matriz). y, de todas y cada una de las cuentas contables: es decir hasta el nivel estructural ms bajo y profundo que se requiera.

Los saldos pueden ser obtenidos por oficina, periodo requerido y corte, pudindose obtener grficos de la variacin de saldos de la cuenta.

Reexpresin Monetaria

El sistema convierte todos los saldos en moneda extranjera, a la moneda base que se haya definido para la Empresa, para la presentacin de Balances a la

Superintendencia de Bancos. Interfaces Contables

73

Manejo

de

interfaces

contables

con

Productos

Bancarios como: Cuentas Corrientes, Cuentas de Ahorros y Cmara y Remesas, etc., para la realizacin de transacciones, indicando los sucursales origen y destino de la transaccin, as como la empresa a la que pertenecen dichas sucursales.

Control Presupuestario

Es posible el manejo del Control Presupuestario mensual, con partidas presupuestarias armadas, definindose las cuentas de Presupuesto (similares a las del Plan de Cuentas). Al final de cada periodo es posible hacer una comparacin grfica entre ambos sistemas de cuantas.

MDULO DE CRDITO

El mdulo de crdito, permite automatizar el proceso de concesin de crdito, facilitando la apertura de una solicitud de crdito (operaciones originales, renovaciones o lneas de crdito), el control y aprobacin de las etapas de dicha solicitud, o su rechazo y, el seguimiento de los prstamos otorgados y rechazados por la Institucin Financiera, brindando toda la informacin necesaria para la toma de decisiones oportunas con el menor riesgo para la Institucin.

MDULO DE FIRMAS

Mediante el presente mdulo se pueden digitalizar firmas de clientes. Tambin pueden digitalizarse sellos de compaas. El nmero de firmas y sellos que pueden ser registrados por cliente es virtualmente infinito. Para ello es necesario, adems del presente mdulo, de un scanner convenientemente conectado al equipo Cliente (tarjeta de scanner).

74

El mdulo puede ser usado en diferentes niveles de operatividad, segn se hayan definido los Roles por medio del mdulo Administracin y Control Distribuido; pero bsicamente admitira dos roles: aquel que permite registrar nuevas firmas de clientes (y necesarias actualizaciones), segn se indica en el primer prrafo y, otro para la Administracin de dichas firmas.

MDULO VALORES EN GARANTA

El mdulo est diseado para brindar un conjunto variado y completo de transacciones, para la administracin, manipulacin y consultas sobre las garantas que posee la institucin financiera.

El mdulo de Valores en Garantas, registra la informacin de las garantas que presenta un cliente al momento que ste solicita una operacin de Crdito. Complementariamente, presenta opciones para realizar el mantenimiento y consultas de las garantas, as como el manejo de las inspecciones realizadas a las garantas que las requieran.

MDULO CLIENTES

El mdulo de CLIENTES permite la simulacin de condiciones operativas de una Institucin, el anlisis de nuevos productos y servicios considerando las caractersticas de los clientes, permitiendo geogrfica. su segmentacin por mercados y ubicacin

75

El mdulo consta de 3 elementos principales:

El CIF (Central Information File)

Que contiene la informacin general de los clientes de la institucin, sus relaciones con otros clientes y con los productos bancarios y financieros que tienen contratados.

Informacin para Mercadeo

Manejo de informacin para soporte a las actividades del rea de mercadeo de la Institucin, con posibilidades de anlisis de factibilidad de nuevos productos, distribucin geogrfica de clientes y evaluacin del comportamiento de productos.

Informacin de Saldos de Clientes

Obtencin de informacin sobre los Saldos, Saldos Promedios y Flujo de Movimientos por Cuentas Corrientes y Cuentas de Ahorro de cada Cliente o Grupo Econmico en los ltimos seis meses.

MDULO DEPOSITOS A PLAZO FIJO

El sistema de informacin COBIS Depsito a Plazo Fijo, brinda al banco, la facilidad de poder controlar la gestin originada en el manejo de los diferentes tipos de depsitos que son utilizados por el mismo.

El control sobre los depsitos se inicia con el ingreso de ste al sistema, permitiendo registrar la informacin necesaria para poder realizar los procesos de clculos de intereses, fecha de vencimiento, fecha de prximo pago, etc. apropiadamente. 76

El sistema se encuentra alojado en el servidor central de produccin de la Cooperativa, en auditora informtica este sistema debe ser analizado en su comportamiento de motor transaccional basndose en algunos puntos claves como son: o Configuracin de permisos de acceso de comunicaciones o Configuracin del motor transaccional o Conexin a la base de datos o Variables de entorno en el sistema o Revisin de estadsticas de ejecucin de transacciones del sistema o Comportamiento del sistema en el ambiente de produccin

COBIS contiene dos componentes muy importantes para su funcionamiento como son el MUX y COMSERVER estos son utilizados con la finalidad de eliminar posibles cuellos de botella en el servidor central al responder las transacciones solicitadas por los servidores de agencia, en un instante especfico o en caso de transacciones recursivas o masivas.

3.1.5.2.

Base de Datos

La Cooperativa tiene a COBIS como su Core Bancario siendo su administrador de Base de Datos un Servidor Adaptive Server Enterprise de Sybase. La Cooperativa cuenta con un plan de contingencia y continuidad del servidor de Base de Datos y tienen configurado el Sistema de Contingencia o Standby mediante la Recopilacin Sybase. Para el buen funcionamiento de la base y evitar prdidas de informacin o cadas en la conexin el departamento de Sistemas asigna 2 procesadores y discos con la suficiente capacidad para soportar el nmero de transacciones diarias. Los usuarios se conectan directamente a la base de datos.

77

A continuacin se describe la arquitectura del Sistema de Base de Datos y Replicacin.

3.1.5.3.

Servidores

La Cooperativa cuenta con servidores (Branch) de Produccin, un Servidor central y uno de Transacciones.

El servidor central es el que controla toda la informacin importante de la Cooperativa de Ahorro y Crdito Alianza del Valle, tanto de la matriz como sus agencias.

Los servidores Branch , se encuentran en cada una de las agencias, estos son los que se conectan directamente al central, mismo que se encuentra en la matriz, para el intercambio y actualizacin de informacin.

Cada servidor de agencia presenta lo siguiente: o Posee configurado 4 APLSERVER(segn la carga que soportan) o Esquema de seguridad o Encolamiento en las transacciones

Servidor de produccin Nombre del host Direccin IP Servidor de Standby Nombre del host Direccin IP Servidor de Replicacin Nombre del host Direccin IP Alianza 192.10.1.101 alianza1 192.168.102.3 Alianza 192.10.1.3

78

Servidor de Base de Datos Nombre del host SERVIDOR PRODUCCION Direccin IP Nombre del host Direccin IP Nombre del host 192.10.1.3 SERVIDOR ASE DE STANDBY 192.168.102.3 SERVIDOR ASE QUE ASE DE

ADMINISTRA LA RSSD Direccin IP 192.10.1.101

Grfica 12: especificacin de servidores

o o o o o o o

Servidor Central Sun Fire 250 (PRODUCCIN) Servidor Central SUN 250 ENTER PRISE (DESARROLLO) Servidor Compaq EVO para control de BANRED Servidor HP de red LAN de Matriz Alianza de Valle Servidor HP Linux Firewall Servidor HP cajeros automticos Servidor HP Sitio Web

3.1.5.4.

Microsoft Visual Source Safe

Es una herramienta que dentro de la Cooperativa se utiliza para el control de acceso a los programas fuentes y ejecutables; cabe destacar que, solamente el personal del rea de desarrollo tiene acceso de administrador, permitindoles tener todos los privilegios necesarios para poder realizar cambios sea en lnea de cdigo o configuracin del sistema ejecutable.

Claro que para poder realizar cualquier cambio en el software, existe una poltica de administracin, en la cual se debe especificar con que intensin o beneficio se realiza el cambio.

79

3.1.5.5.

RED

Equipos de Comunicaciones cableado.Se compone de dos concentradores de red que se podran denominar como principales, su red es plana, utilizando equipos de comunicaciones tales como.

El primero es un SWITCH 3COM de 24 y 12 Puertos a 100 MBPS que controla los puntos de red que desde el servidor estn interconectados en un rack en la sala de mquinas del rea de sistemas; desde este sitio se distribuye la red a todos los, para su gestin.

En cuanto a la distribucin de los puntos de red, estos han sido realizados mediante cableado tipo par trenzado UTP categora 5e, mismo que permite una transmisin entre 100 BT 100 MBPS y que se ha extendido bajo canaleta de plstico.

Grfica 13: Esquema de la red LAN/ WAN 80

3.2. APLICACIN DEL MODELO COBIT, A LA COOPERATIVA DE AHORRO Y CREDITO ALIANZA DEL VALLE

3.2.1. Justificacin de la Aplicacin de los Dominios de Planear y Organizar y, Monitorear y Evaluar, del Modelo Cobit.

Para la realizacin de esta auditora, se toma como marco de referencia COBIT 4.0, el cual es un marco de gobernabilidad de TI y un conjunto de herramientas de ayuda, que permite a los administradores, tener en cuenta y asociar los conceptos de requerimientos de control, consideraciones tcnicas y riesgos del negocio.

Este conjunto de las mejores prcticas permiten evaluar la seguridad, eficacia, calidad y eficiencia de las TI., mediante esto se determinan los riesgos, tener una gestin efectiva de los recursos, medir el desempeo y cumplimiento de metas y, de manera principal, medir el nivel de madurez de los procesos de la organizacin.

COBIT satisface las necesidades que tiene la organizacin en lo referente a las TI de la siguiente manera: Tomando en cuenta los requerimientos del negocio. Mediante el modelo de procesos, organiza las actividades de TI. Identifica los recursos de TI prioritarios a ser utilizados. Definiendo los controles de TI. Garantizando la relacin entre los Planes de Negocio y TI. Asegurando que TI entregue todos los beneficios

pronosticados en la estrategia. Administrando los Recursos crticos.

81

 Medicin del desempeo, monitoreando y rastreando la estrategia de implementacin, el uso de recursos entre otros.

3.2.2. Planificacin del Trabajo (propuesta)

3.2.2.1.

Marco Terico

La metodologa a utilizarse en el proyecto es Cobit 4.0 (Control Objectives For Information an Related Technology), estndar generalmente aceptado para buenas prcticas en seguridad tecnolgica y, en administracin y control de la tecnologa de la informacin. Cobit tiene su base en los objetivos de control de ISACF, actualmente conocida como ISACA (Information Systems Audit and Control Association), de acuerdo a estndares internacionales, este modelo de referencia tiene la facilidad de adaptarse a cualquier tipo de negocio y, los objetivos de control que se han definido en el modelo, pueden ser aplicados independientemente del ambiente, plataformas y madurez tecnolgica de la organizacin; por lo que se proyecta aplicar el Marco Referencial Cobit, adaptado a la Cooperativa de Ahorro y Crdito Alianza del Valle Ltda., que se sujeta a prcticas de administracin a travs de objetivos de control de alto nivel, organizadas en cuatro categoras o dominios. Planificacin y organizacin. Adquisicin e implementacin. Soporte y servicios. Evaluacin y seguimiento.

Cada uno de estos dominios contiene declaraciones de los resultados que se desean obtener, mediante la implementacin de procedimientos de controles especficos y relacionados a la actividad 82

TI, en funcin de los riesgos identificados y focalizados en el Departamento de Recursos Informticos de la COOP Alianza del Valle Ltda.

3.2.2.2.

Objetivos

3.2.2.2.1. Objetivos Generales

Realizar una Auditora Informtica de los Alianza del Valle LTDA, en

Sistemas de

Informacin Tecnolgicos de la Cooperativa de Ahorro y Crdito los dominios de Planificacin y

organizacin, Adquisicin e implementacin, Soporte y servicios, Evaluacin y seguimiento, mediante la revisin del ambiente de control, implementado en los procesos automatizados y en el gerenciamiento de los mismos, utilizando COBIT, a fin de identificar debilidades y emitir recomendaciones que permitan eliminar o minimizar los riesgos.

3.2.2.2.2. Objetivos Especficos

Presentar el marco terico del Modelo Cobit 4.0. Evaluar la situacin actual de la organizacin y su infraestructura tecnolgica. Identificar la forma en que el uso adecuado de la tecnologa de la informacin, puede contribuir al logro de los objetivos de la organizacin.

Evaluar la eficiencia y eficacia con que los Sistemas de Informacin, apoyan en la toma de decisiones a la Alta Direccin de la organizacin, considerando el nivel de detalle provisto por los "Objetivos de Control" y las "Directrices de Administracin" de Cobit, principalmente

83

enfocados en los criterios de efectividad, disponibilidad, confidencialidad e integridad.

3.2.2.3.

Alcance

El alcance viene dado por la metodologa COBIT, en los dominios de Planificacin y Organizacin y, Evaluacin y Seguimiento; que nos indica la forma de utilizar la tecnologa de la informacin para lograr los objetivos del negocio; y su evaluacin paulatina para verificar su calidad y suficiencia, en cuanto a los requerimientos de control. Como primera actividad se espera recoger, agrupar y evaluar

evidencias, para determinar si el sistema informtico mantiene la integridad de los datos y, principalmente si lleva a cabo eficazmente los fines de la organizacin, utilizando eficientemente los recursos. Este trabajo se ejecutar en la Cooperativa de Ahorro y crdito Alianza del Valle LTDA, para lo cual se realizar la revisin de controles establecidos dentro de la cooperativa, aplicando el modelo COBIT. El proyecto que tendr una duracin de 20 semanas, al final de las cuales se espera obtener recomendaciones en base a las falencias detectadas, las cuales nos permitirn generar

recomendaciones que quedarn planteadas en el informe final para que puedan ser aplicadas segn el criterio de las autoridades.

3.2.2.4.

Mtodo de Trabajo y Procedimientos a Ejecutar

Durante la auditora, se debe recopilar informacin til y necesaria, misma que luego analizarla, permiten obtener conclusiones, que

luego derivan en recomendaciones para el mejoramiento de la organizacin. La obtencin de informacin o evidencias, se puede realizar combinando uno o ms de los siguientes procedimientos: Indagar y confirmar Inspeccionar 84

Observar Recalcular y analizar Recolectar y analizar evidencia automatizada

3.2.2.5.

Productos a Entregar

En base a la revisin llevada a cabo, se identificarn las debilidades de control en el Departamento de Recursos Informticos, se elaborar un informe preliminar, el cual ser presentado a la Jefatura del Departamento y a la Gerencia General, para posteriormente emitir un informe final, el cual ser presentado a la Gerencia General de la empresa.

Las

recomendaciones

emitidas

en

base

las

debilidades

identificadas dependiendo de la factibilidad y posibilidad de la empresa, debern ser implementadas en un lapso no superior a cinco meses y una vez que se haya realizado las correcciones en el departamento de Recursos Informticos, este deber ser evaluado.

3.2.2.6.

Herramientas a Utilizar

La auditora informtica, se basa en una serie de anlisis que se realiza con tres mtodos base escogidos para la realizacin de este trabajo:

Encuestas de evaluacin acerca del uso de la tecnologa Simulaciones de los procesos y casos Aplicacin de escenarios tecnolgicos

85

Adems existen otros mtodos, como son:

Matrices de Investigacin de Campo

Instrumento elaborado para ser utilizado como base de datos para la organizacin del trabajo del Equipo de Auditora Informtica de la ESPE.

Observacin Directa

Es una tcnica que nos permite captar con todos nuestro sentido la realidad de la organizacin y puede ser de dos tipos. No participante, es aquella en que el auditor observa externamente el proceso sin interferir en ellos y, participante, es aquella en la que el auditor participa en los procesos de la unidad auditada, integrndose en el grupo y sus actividades. En cualquier caso, hay que definir el objetivo de la observacin (cul es el motivo de su realizacin), las variables de la observacin (que queremos observar, planificacin de la observacin (que haremos durante la observacin y

trascripcin de la observacin (como se expresara la observacin, por escrito, visualmente, etc.).

Entrevistas

Es una tcnica til y arriesgada, sta representa la inversin del territorio laboral de una persona, es lgico por lo tanto reacciones defensivas e incluso hostiles. Una forma de 'rebajar" la tensin, est en adoptar una postura amigable y de colaboracin. El xito de la entrevista, depende de los siguientes factores (repartidos por igual entre el auditor y el entrevistado): la experiencia y los conocimientos del auditor y la predisposicin y los conocimientos del entrevistado.

86

Checklist El checklist es una tcnica muy utilizada en el campo de la auditora informtica. No es ms que una lista de

comprobacin o cuestionario, que sigue pautas determinadas, dependiendo de qu estemos evaluando o qu objetivos se desean alcanzar.

3.3. INVESTIGACIN DE CAMPO

3.3.1. Identificacin de Riesgos de TI Crticos.

La matriz con la que se manej los Riesgos de TI crticos, es la que se muestra a continuacin, sta corresponde correspondiente a los procesos crticos que se han encontrado en el sistema de la Cooperativa de Ahorro y Crdito Alianza del Valle Ltda. (La cual fue contestada por el responsable del sistema).

Tabla 2: Matriz de riesgos

Dominio General a analizar Subdominio a analizar Dominio General no requiere anlisis Control de Importancia No importante Muy importante Alto Algo importante Riesgo Medio bajo Fuentes Documentado X o o o No Documentado

Proceso de TI PO1 PO1.1 PO1.2 PO1.3 Definir un Plan Estratgico de TI Administracin del valor de TI Alineacin de Ti con el negocio Evaluacin del desempeo actual x

87

PO1.4 PO1.5 PO1.6 X PO2 PO2.1

Plan estratgico de TI Planes tcticos de TI Administracin del portafolio de TI Definir la arquitectura de informacin Modelo de arquitectura de informacin empresarial Diccionario de datos empresarial y reglas de sintaxis de datos Esquema de clasificacin de datos Administracin de la integridad Determinar la direccin tecnolgica Planeacin de la direccin tecnolgica Plan de infraestructura tecnolgica Monitoreo de tendencias y regulaciones futuras Estndares tecnolgicos Consejo de arquitectura Definir los procesos, organizacin y relaciones de TI Marco de trabajo del proceso Comit estratgico Comit directivo Ubicacin organizacional de la funcin de TI Estructura organizacional Roles y responsabilidades Responsabilidad de aseguramiento de calidad de TI Responsabilidad sobre el riesgo, la seguridad y el cumplimiento Propiedad de datos y de sistemas Supervisin Segregacin de funciones Personal de TI o o x

o o o X o

PO2.2 PO2.3 PO2.4 X PO3 PO3.1 PO3.2 PO3.3 PO3.4 PO3.5 X PO4 PO4.1 PO4.2 PO4.3 PO4.4 PO4.5 PO4.6 PO4.7

o x o o o o o x o o o o o X X

PO4.8 PO4.9 PO4.10 PO4.11 PO4.12 PO4.13 PO4.14 PO4.15

o O o o o o O o

Personal clave de TI Polticas y procedimientos para personal contratado Relaciones

88

PO5 PO5.1

Administrar la inversin en TI Marco de trabajo para la administracin financiera Prioridades dentro del presupuesto de TI Proceso presupuestal Administracin de costos Administracin de beneficios Comunicar las aspiraciones y la direccin de la gerencia Ambiente de polticas y de control Riesgo corporativo y marco de referencia de control interno de TI Administracin de polticas para TI Implantacin de polticas de TI Comunicacin de los objetivos y la direccin de TI Administrar los recursos humanos de TI Reclutamiento y retencin del personal Competencias del personal Asignacin de roles Entrenamiento del personal de TI Dependencia sobre los individuos Procedimientos de Investigacin del personal Evaluacin del desempeo del empleado Cambios y terminacin de trabajo Administrar calidad Sistema de administracin de calidad Estndares y prcticas de calidad Estndares de desarrollo y de adquisicin Enfoque en el cliente Mejora continua Medicin, monitoreo y revisin de la calidad Evaluar y administrar los riesgos de TI o x o x o

X O

PO5.2 PO5.3 PO5.4 PO5.5 X PO6 PO6.1 PO6.2 PO6.3 PO6.4 PO6.5 X PO7 PO7.1 PO7.2 PO7.3 PO7.4 PO7.5 PO7.6

O o o o X O X

O O o x O o o o o o X

PO7.7 PO7.8 X PO8 PO8.1 PO8.2 PO8.3 PO8.4 PO8.5 PO8.6 X PO9

O O X O

O O O

89

PO9.1 PO9.2 PO9.3 PO9.4 PO9.5 PO9.6 X PO10 PO10.1

Alineacin de la administracin de riesgos de TI y del negocio Establecimiento del contexto del riesgo Identificacin de eventos Evaluacin de riegos Respuesta a los riesgos Mantenimiento y monitoreo de un plan de accin de riesgos Administrar proyectos Marco de trabajo para la administracin de programas Marco de trabajo para la administracin de proyectos Enfoque de administracin de proyectos Compromiso de los interesados Estatuto de alcance del proyecto Inicio de las fases del proyecto Plan integrado del proyecto Recursos del proyecto Administracin de riesgos del proyecto

o o o o o o x o X

PO10.2 PO10.3 PO10.4 PO10.5 PO10.6 PO10.7 PO10.8 PO10.9

o o o o o o o o o o o

PO10.10 Plan de calidad del proyecto PO10.11 Control de cabios del proyecto PO10.12 Planeacin del proyecto y mtodos de aseguramiento Medicin del desempeo, reportes y monitoreo del proyecto

PO10.13

o o x X

PO10.14 Cierre del proyecto X Al1 Identificar soluciones automatizadas Definicin y mantenimiento de los Al1.1 requerimientos tcnicos y funcionales del negocio Al1.2 Al1.3 Reporte de anlisis de riesgos Estudio de factibilidad y formulacin de cursos de accin alternativos Requerimientos, decisin de factibilidad y aprobacin Adquirir y mantener software aplicativo Diseo de alto nivel x o o o

Al1.4 X Al2 Al2.1

o X

90

Al2.2 Al2.3

Diseo detallado Control y adaptabilidad de las aplicaciones Seguridad y disponibilidad de las aplicaciones Configuracin e implantacin de software aplicativo adquirido Actualizaciones importantes en sistemas existentes Desarrollo de software aplicativo Aseguramiento de la calidad del software Administracin de los requerimientos de aplicaciones Mantenimiento de software aplicativo Adquirir y mantener infraestructura tecnolgica Plan de adquisicin de infraestructura tecnolgica Proteccin y disponibilidad del recurso de infraestructura Mantenimiento de la infraestructura Ambiente de prueba de factibilidad Facilitar la operacin y el uso Plan para soluciones de operacin Transferencia de conocimiento a la gerencia del negocio Transferencia de conocimiento a usuarios finales Transferencia de conocimiento al personal de operaciones y soporte Adquirir recursos de TI Control de adquisicin Administracin de contratos con proveedores Seleccin de proveedores Adquisicin de software Adquisicin de recursos de desarrollo Adquisicin de infraestructura, o x

o O

Al2.4

Al2.5

Al2.6 Al2.7 Al2.8

o o o

Al2.9 Al2.10 X Al3

o o X

Al3.1

Al3.2 Al3.3 Al3.4 X Al4 Al4.1 Al4.2

O X O O X

Al4.3

Al4.4 X Al5 Al5.1 Al5.2 Al5.3 Al5.4 Al5.5 Al5.6

o X O o o O O o X

91

instalaciones y servicios relacionados X Al6 Al6.1 Administrar cambios Estndares y procedimientos para cambios Evaluacin de impacto, priorizacin y autorizacin Cambios de emergencia Seguimiento y reporte del estatus de cambio Cierre y documentacin del cambio Instalar y acreditar soluciones y cambios Entrenamiento Plan de prueba Plan de implementacin Ambiente de prueba Conversin de sistema y datos Prueba de cambios Prueba final de aceptacin Transferencia a produccin Liberacin de software Distribucin del sistema Registro y rastreo de cambios Revisin posterior a la implantacin Definir y administrar los niveles de servicio Marco de trabajo de la administracin de los niveles de serbio Definicin de servicios Acuerdos de niveles de servicio Acuerdos de niveles de operacin Monitoreo y reporte del cumplimiento de los niveles de servicio Revisin de los acuerdos de niveles de servicio y de los contratos Administrar los servicios de terceros Identificacin de las relaciones con todos los proveedores o o x o o X o o o o o o o o o x o o o o X x o X

Al6.2 Al6.3 Al6.4 Al6.5 X Al7 Al7.1 Al7.2 Al7.3 Al7.4 Al7.5 Al7.6 Al7.7 Al7.8 Al7.9 Al7.10 Al7.11 Al7.12 X DS1

DS1.1 DS1.2 DS1.3 DS1.4 DS1.5

o o o

DS1.6 X DS2 DS2.1

o x o X

92

DS2.2 DS2.3 DS2.4

Administracin de las relaciones con los proveedores Administracin de riesgos del proveedor Monitoreo del desempeo del proveedor Administrar el desempeo y la capacidad Planeacin del desempeo y la capacidad Capacidad y desempeo actual Capacidad y desempeo futuro Disponibilidad de recursos de TI Monitoreo y reporte Garantizar la continuidad de los servicios Marco de trabajo de continuidad Planes de continuidad de TI Recursos crticos de TI Mantenimiento del plan de continuidad de TI Pruebas del plan de continuidad de TI Entrenamiento del plan de continuidad de TI Distribucin del plan de continuidad de TI Recuperacin y reanudacin de los servicios de Ti Almacenamiento de respaldos fuera de las instalaciones Revisin port-reanudacion Garantizar la seguridad de los sistemas Administracin de la seguridad de TI Plan de seguridad de TI Administracin de identidad Administracin de cuentas del usuario Pruebas, vigilancia y monitoreo de la seguridad Definicin de incidente de seguridad Proteccin de la tecnologa de o o o o x o o o O O o o x O o o o x o o

DS3

DS3.1 DS3.2 DS3.3 DS3.4 DS3.5 X DS4 DS4.1 DS4.2 DS4.3 DS4.4 DS4.5 DS4.6

DS4.7

DS4.8

DS4.9 DS4.10 X DS5 DS5.1 DS5.2 DS5.3 DS5.4 DS5.5 DS5.6 DS5.7

93

seguridad DS5.8 DS5.9 DS5.10 DS5.11 X DS6 DS6.1 DS6.2 DS6.3 DS6.4 X DS7 DS7.1 Administracin de llaves criptogrficas Prevencin, deteccin y correccin de software malicioso Seguridad de la red Intercambio de datos sensitivos Identificar y asignar costos Definicin de servicios Contabilizacin de TI Modelacin de costos y cargos Mantenimiento del modelo de costos Educar y entrenar a los usuarios Identificacin de necesidades de entrenamiento y educacin Imparticin de entrenamiento y educacin Evaluacin del entrenamiento recibido Administrar la mesa de servicio y los incidentes Mesa de servicios Registro de consultas de clientes Escalamiento de incidentes Cierre de incidentes Anlisis de tendencias Administrar la configuracin Repositorio de configuracin y lnea base Identificacin y mantenimiento de elementos de configuracin Revisin de integridad de la configuracin Administracin de problemas Identificacin y clasificacin de problemas Rastreo y resolucin de problemas Cierre de problemas Integracin de las administracin de cambios, configuracin y problemas o o o o o x o X x o x o o o x o o o o X X o o

DS7.2 DS7.3 X DS8 DS8.1 DS8.2 DS8.3 DS8.4 DS8.5 X DS9 DS9.1

o o X

DS9.2

DS9.3 X DS10 DS10.1 DS10.2 DS10.3 DS10.4

o x o o o o X

94

DS11 DS11.1

Administracin de la informacin Requerimientos del negocio para administracin de datos Acuerdos de almacenamiento y conservacin Sistema de administracin de libreras de medios Eliminacin Respaldo y restauracin Requerimientos de seguridad para la administracin de datos Administracin del ambiente fsico Seleccin y diseo de datos Medidas de seguridad fsica Acceso Fsico Proteccin contra factores ambientales Administracin de instalaciones fsicas Administracin de operaciones Procedimientos e instrucciones de operaciones Programacin de tareas Monitoreo de la infraestructura de TI Documentos sensitivos y dispositivos de salida Mantenimiento preventivo del hardware Monitorear y evaluar el desempeo de TI Enfoque del monitoreo Definicin y recoleccin de datos de monitoreo Mtodo de monitoreo Evaluacin del desempeo Reportes al consejo directivo y a ejecutivos Acciones correctivas Monitorear y evaluar el control interno Monitorear el marco de trabajo de control interno x x o o x

x o

DS11.2

DS11.3 DS11.4 DS11.5 DS11.6 X DS12 DS12.1 DS12.2 DS12.3 DS12.4 DS12.5 X DS13 DS13.1 DS13.2 DS13.3 DS13.4 DS13.5 X ME1 ME1.1 ME1.2 ME1.3 ME1.4 ME1.5 ME1.6 X ME2 ME2.1

o o o o X o

o o x o o o o o X o o o o o o X o X

95

ME2.2 ME2.3 ME2.4 ME2.5 ME2.6 ME2.7 X ME3 ME3.1

Revisiones de auditora Excepciones de control Auto-evaluacin de control Aseguramiento del control interno Control interno para terceros Acciones correctivas Garantizar el cumplimiento regulatorio Identificar las leyes y regulaciones con impacto potencial sobre TI Optimizar la respuesta a requerimientos regulatorios Evaluacin del cumplimiento con requerimientos regulatorios Aseguramiento positivo del cumplimiento Reportes integrados Proporcionar gobierno de TI Establecer un marco de trabajo de gobierno para TI Alineamiento estratgico Entrega de valor Administracin de recursos Administracin de riesgos Medicin del desempeo

o o o o o o x o

ME3.2

ME3.3

ME3.4 ME3.5 X ME4 ME4.1 ME4.2 ME4.3 ME4.4 ME4.5 ME4.6

o o x o o o o o o

96

3.3.2. Matriz de Investigacin de Campo

Tabla 3: Matriz de investigacin de campo

INSTRUMENTOS DE PREGUNTAS OBJETIVOS DE CONTROL DETALLADOS Nombre Descripcin CONTROLES POR VERIFICAR 1) Plan de capacitacin al usuario sobre tecnologas de TI 2) Plan Prueba del Control 1) Anexo A.1: Hoja de Evaluacin PO1 DOCUMENTACIN DE REFERENCIA Plan de capacitaciones. 1) Cada proyecto Cuestionario y con una entrevista. BASICAS INVESTIGACION DE CAMPO

PO1.2 Alineacin Educar a los ejecutivos de TI con el negocio sobre las capacidades tecnolgicas actuales y sobre el rumbo futuro, sobre las oportunidades

cuenta

Plan estratgico de justificacin negocio. Plan de TI relacionada con el plan estratgico y operativo de negocios de la 2)

que ofrece TI y, sobre qu estratgico TI debe hacer el negocio para capitalizar esas oportunidades. Asegurarse de que el rumbo del negocio al cual est alineado la TI est bien entendido. Las estrategias de negocio y de TI deben estar integradas, relacionando de manera alineado con plan estratgico de negocio

empresa?

Conoce la importancia de TI para el negocio y su crecimiento?

3) A futuro TI garantiza una capitalizacin negocio ? mejor del

97

clara las metas de la empresa y las metas de TI y reconociendo las oportunidades as como las limitaciones en la capacidad actual y, se deben comunicar de manera amplia. Identificar las reas en que el negocio (estrategia) depende de forma crtica de la TI y, mediar entre los imperativos del negocio y la tecnologa, de tal modo que se puedan establecer prioridades concertadas. PO2.3 Esquema de clasificacin de datos Establecer un esquema de clasificacin que aplique a toda la empresa, basado en que tan crtica y sensible es la informacin (esto es, pblica, confidencial, secreta) de la empresa. Este esquema incluye detalles acerca de la 1) Esquema de clasificacin de datos 1) Anexo A.2: Hoja de Evaluacin Manual general de polticas de gestin de informtica y tecnologa 1) La informacin que el negocio genera, es tratada con la confidencialidad que requiere el caso? 2) Es el personal consiente del perfil que maneja cuando genera o extrae informacin del sistema? 3) Cuestionario y entrevista.

2) Requerimientos PO2 de manejo de datos 3) Descripcin de permisos de usuario para control de acceso

98

propiedad de datos, la definicin de niveles apropiados de seguridad y de controles de proteccin y, una breve descripcin de los requerimientos de retencin y destruccin de datos, adems de qu tan crticos y sensibles son. Se usa como base para aplicar controles como el control de acceso, archivo o inscripcin. PO9.1 Alineacin Integrar el gobierno, la de la administracin de riesgos de TI y del negocio administracin de riesgos y el marco de control de TI, al marco de trabajo de administracin de riesgos de la organizacin. Esto incluye la alineacin con el apetito de riesgo y con el nivel de tolerancia al riesgo de la organizacin 1) Marco de administracin de riesgos de TI 2) Marco de trabajo de administracin de riesgos del negocio. 1) Anexo A.3: Hoja de Evaluacin PO9 se solicita a la Cooperativa un marco de administracin de riesgos de TI y el

El modelo de datos es fcil de utilizar ?

1) Existen reportes de monitoreo de riesgos activados? 2) Los planes de administracin de

Cuestionario y entrevista.

marco de trabajo de riesgos son aprobados administracin de riesgos de negocio por la gerencia?

99

AI3.1 Plan de adquisicin de infraestructura tecnolgica

Generar un plan para adquirir, implantar y mantener la

1) Plan de adquisicin implantacin y

1) Anexo A.4: Hoja de

Solicitar a la Cooperativa el plan

1) Cuantos proyectos estn sujetos a factibilidad dentro del plan anual de los TI? 2) Cuantos proyectos de TI han sido entregados a tiempo segn el presupuesto y planificacin?

Cuestionario y entrevista.

Evaluacin AI3 de adquisicin, implantacin y mantenimiento de la infraestructura tecnolgica Plan de Administracin de cambios

infraestructura tecnolgica mantenimiento de que satisfaga los requerimientos infraestructura tecnolgica.

establecidos funcionales y 2) Planificacin de tcnicos del negocio y, que est de acuerdo con la direccin tecnolgica de la organizacin. El plan debe considerar extensiones futuras para adiciones de capacidad, costos de transicin, riesgos tecnolgicos y vida til de la inversin para actualizaciones de tecnologa. Evaluar los costos de complejidad y la viabilidad comercial del proveedor y el producto al aadir nueva capacidad tcnica TI

100

AI3.3 Mantenimiento de la Infraestructura

Desarrollar una estrategia y un plan de mantenimiento de la infraestructura y garantizar que se controlan los cambios, de acuerdo con el procedimiento de administracin de cambios de la organizacin. Incluir una revisin peridica contra las necesidades del negocio, administracin de parches y estrategias de actualizacin, riesgos, evaluacin de vulnerabilidades y requerimientos de seguridad.

1) Plan de manteamientos de infraestructura tecnolgica 2) Plan de administracin de cambios infraestructura tecnolgica

1) En qu porcentaje los usuarios se sienten satisfechos con la funcionalidad y mantenimiento de TI? 2) Con qu frecuencia con la que se realiza un mantenimiento? 3) Que procedimiento realiza para poder recibir un mantenimiento correctivo o preventivo ?

101

AI6.1 Estndares Establecer y procedimientos para cambios procedimientos de administracin de cambio formales para manejar de manera estndar todas las solicitudes (incluyendo mantenimiento y parches) para cambios a aplicaciones, procedimientos, procesos, parmetros de sistema y servicio y, las plataformas fundamentales. AI6.3 Cambios de emergencia Establecer un proceso para definir, plantear, evaluar y autorizar los cambios de emergencia que no sigan el proceso de cambio establecido. La documentacin y pruebas se realizan, posiblemente, despus de la implantacin del cambio de emergencia.

1) Manual de gestin y desarrollo de software

1) Anexo A.5: Hoja de

Solicitar a la Cooperativa el

1) Procedimiento que necesario para realizar

Cuestionario y entrevista.

Evaluacin AI6 manual de gestin y un cambio o desarrollo de software mantenimiento de software? 2)

Como se controla el acceso a los programas fuentes?

1) Manual de gestin y desarrollo de software

1) Anexo A.5: Hoja de Evaluacin AI6

1) Nmero de interrupciones o errores reportados y solucionados emergentemente? 2) Que cambios se han realizado emergentemente a la infraestructura? Cual es el procedimiento para cambios emergentes ? 3)

102

DS1.5 Monitoreo y reporte del cumplimento de los niveles de servicio

Monitorear continuamente 1) Marco de los criterios de administracin de

1) Anexo A.6: Hoja de

Solicitar como se procede en la administracin de niveles de servicio del departamento de tecnologa y sistemas

1) Que servicios han sido entregados y no se encuentran en el catalogo? 2) Que

Cuestionario y entrevista.

desempeo especificados niveles de servicio Evaluacin para el nivel de servicio. Los reportes sobre el cumplimiento de los niveles de servicio deben emitirse en un formato que sea entendible para los interesados. Las estadsticas de monitoreo son analizadas para identificar tendencias positivas y negativas tanto de servicios individuales como de los servicios en conjunto. 2) Reportes de cumplimiento de niveles de servicio. DS1

niveles de servicio son medidos por el departamento de TI ? 3) Que porcentaje de usuarios se encuentran satisfechos con los niveles de servicio que brinda la empresa?

DS3.2 Capacidad y desempeo actual

Revisar la capacidad y desempeo actual de los recursos de TI en intervalos regulares para determinar si existe suficiente capacidad y desempeo para prestar los servicios con base en los niveles de servicio acordados.

1) Manual tcnico del sistema

1) Anexo A.7: Hoja de

Solicitar a la Cooperativa toda la informacin acerca del Core Bancario COBIS, manual tcnico de la base de datos y esquema de distribucin de red.

1) Cuantos son los

Cuestionario y

activos que intervienen entrevista. en el buen funcionamiento de este sistema? 2) Seguridades de la base de datos y tablas de auditora del sistema COBIS? 3) Los tiempos de

COBIS 2) Manual Evaluacin tcnico de la base DS3 de datos 3) Esquema de distribucin de red

103

ejecucin en las transacciones son los adecuados aspirados ? DS4.2 Planes de Desarrollar planes de 1) Plan de 1) Anexo A.8: Plan de contingencia de TI 1) Que tiempo transcurre entre las pruebas de cualquier elemento dado del plan de continuidad? Con qu frecuencia existen interrupciones ? 2) Cuestionario y entrevista.

continuidad de TI continuidad de TI con base en el marco de trabajo, diseado para reducir el impacto de una interrupcin mayor de las funciones y los procesos clave del negocio. Los planes deben considerar requerimientos de resistencia, procesamiento alternativo y, capacidad de recuperacin de todos los servicios crticos de TI. Tambin deben cubrir los lineamientos de uso, los roles y responsabilidades, los procedimientos, los procesos de comunicacin y el enfoque de pruebas

contingencia de TI Hoja de 2) Requerimientos Evaluacin de los servicios crticos de TI DS4

104

DS5.10 Seguridad de la red

Garantizar que se utilizan tcnicas de seguridad y procedimientos de administracin asociados (por ejemplo, firewalls, dispositivos de seguridad, segmentacin de redes y, deteccin de intrusos) para autorizar acceso y controlar los flujos de informacin desde y hacia las redes.

1) Polticas internas de seguridad en la red

1) Anexo A.9: Hoja de Evaluacin DS5

Polticas internas de seguridades de la red

1) Nmero de incidentes con impacto negativo al negocio 2) Tiempos para otorgar, cambiar o eliminar privilegios de acceso

Cuestionario y entrevista.

105

DS12.2 Medidas de seguridad fsica

Definir e implementar medidas de seguridad fsicas alineadas con los requerimientos del negocio. Las medidas deben incluir, pero no limitarse al esquema del permetro de seguridad, de las zonas de seguridad, la ubicacin de equipo crtico y de las reas de envo y recepcin. En particular, mantenga un perfil bajo respecto a la presencia de operaciones crticas de TI. Deben establecerse las responsabilidades sobre el monitoreo y los procedimientos de reporte y de resolucin de incidentes de seguridad fsica.

1) Regulamiento estndar de seguridades fsicas

1) Anexo A.10: Hoja de Evaluacin DS12

Regulamiento estndar de seguridades fsicas

1) Frecuencia de capacitacin del personal respecto a medidas de proteccin, de seguridad y de instalaciones. 2)

Cuestionario y entrevista.

Cantidad de personal capacitado en medidas de proteccin, seguridad y de instalaciones.

106

CAPTULO IV Informe y resultados de la Investigacin de Campo

enfocndose a los 4 Dominios del Modelo COBIT 4.0

4.1. INTRODUCCIN Luego de llevar a cabo la revisin de la documentacin del Departamento de Sistemas, que es utilizado en la Cooperativa de Ahorro y Crdito Alianza del Valle Ltda.y, de ejecutar el anlisis respectivo, de acuerdo a la Gua de Auditora de COBIT, se pudieron obtener conclusiones que nos permitieron generar recomendaciones, mismas que se indican en el INFORME PRELIMINAR, el cual fue presentado y discutido con el encargado del Departamento de Sistemas, recibiendo del mismo las justificaciones respectivas,

relacionadas con algunas observaciones, ante lo cual se crey conveniente levantar la observacin.

Posteriormente se elabor el informe final de la auditora, el cual ha sido enviado a la Gerencia (seccin 4.4). El documento incluye un resumen gerencial (seccin 4.2) junto con las conclusiones y recomendaciones realizadas.

4.2. RESUMEN EJECUTIVO

El objetivo principal de la auditora, es detectar si la gestin del departamento de T.I. es adecuada para cubrir todas las necesidades del la Cooperativa de Ahorro y Crdito Alianza del Valle.

La auditora se realizo en funcin de entrevistas y obtencin de informacin, sostenidas con el personal del rea de sistemas de la cooperativa, en donde efectuamos evaluaciones de las polticas, controles de aplicacin y procedimientos de Ti existentes.

107

El contenido de esta auditora est basado en 4 pilares de revisin que son: Evaluacin Cobis Evaluacin Base de Datos Sybase Evaluacin Hardware y Software Evaluacin Comunicaciones

Estos pilares se traducen en 10 procesos de evaluacin Cobit que se detallan a continuacin:

PLANEAR Y ORGANIZAR PO1: Definir un Plan Estratgico de TI PO2: Definir la arquitectura de la Informacin. PO9: Evaluar y Administrar los Riesgos de TI ADQUIRIR E IMPLEMENTAR AI3: Adquirir y mantener infraestructura tecnolgica AI6: Administrar cambios ENTREGAR Y DAR SOPORTE DS1: Definir y Administrar los niveles de Servicio DS3: Administrar el desempeo y la capacidad DS4: Garantizar la continuidad del servicio DS5: Garantizar la seguridad de los sistemas DS12: Administrar el Ambiente Fsico

Se inici la auditora realizando la investigacin de los procesos que se consideran prioritarios para la empresa, considerando su funcionamiento e importancia, adems evaluando los posibles riesgos segn los recientes eventos que hayan afectado al proceso.

A continuacin se detalla el resumen ejecutivo presentado a la alta gerencia: (VER ANEXO D)

108

4.3. DESCRIPCIN DEL TRABAJO EFECTUADO

Una vez analizada y conocida de la situacin actual de la entidad y, definido el enfoque de auditora a ser utilizado, as como los responsables de la parte tecnolgica y del negocio; en esta etapa se realizarn las siguientes actividades:

Detallar la manera en que se probar cada una de las actividades de control, sealadas en el enfoque de auditora, tanto en su implementacin, como en su eficacia operativa.

Determinar la documentacin necesaria, para probar cada actividad de control identificada en el enfoque de auditora (Anexo C).

Planificar encuestas, Checklist, hojas de evaluacin y entrevistas con los encargados del rea de Sistemas de la Cooperativa

Alianza del Valle, con la finalidad de conocer ms a detalle los procesos y procedimientos existentes en la entidad y solicitar la documentacin identificada en el punto anterior.

Una vez obtenida la informacin, realizar su respectivo anlisis y documentacin, en concordancia con el primer punto, esto con la finalidad de emitir una conclusin para cada actividad de control.

Una vez analizados los atributos de control de cada actividad, emitir una conclusin acerca de la implementacin y de la eficacia operativa de cada objetivo de control.

Disear y elaborar el informe de auditora, donde por cada Objetivo de Control se detallar: o Criterio o Condicin 109

o Causa o Efecto o Conclusiones o Recomendaciones

Verificar y discutir con la administracin de la entidad, todas las oportunidades de mejora encontradas, con la finalidad de conocer su opinin al respecto.

Despus de discutidas las conclusiones y recomendaciones, con la administracin de la entidad, indicar en el informe su respuesta a cada una.

Emitir el informe final de auditora, en el cual a ms de lo indicado anteriormente, se adjuntar la respuesta de la administracin para cada una de las recomendaciones emitidas.

4.4. RESULTADOS

INFORME

DE

LAS

RECOMENDACIONES

ACORDADAS CON LAS AUTORIDADES PERTINENTES

En conformidad con el Plan del proyecto de tesis, AUDITORA

INFORMTICA DE LA COOPERATIVA DE AHORRO Y CREDITO ALIANZA DEL VALLE LTDA, se analiz cada uno de los

controles referentes a los dominios en estudio, Planificacin y Organizacin ,Adquisicin e implementacin, Soporte y servicios, Evaluacin y seguimiento en la Cooperativa de Ahorro y Crdito Alianza del Valle, de la que se detallan a continuacin las observaciones y recomendaciones resultantes de la revisin, en base a la aplicacin del marco de referencia COBIT v. 4.0.

110

INFORME DETALLADO

ANTECEDENTES: La Cooperativa de Ahorro y Crdito Alianza del Valle, ha solicitado a travs del departamento de auditora interna y de la gerencia tecnolgica. la ejecucin de una auditora informtica, misma que se realizo desde el 1 de Agosto del 2011 al 14 de Diciembre del 2011. El Equipo de Auditora, estuvo conformado por docentes y

egresados de la Carrera de Ingeniera en Sistemas e Informtica de la ESPE. En base a los lineamientos del Marco de Referencia de COBIT v. 4.0, se desarroll el trabajo, para el efecto se cumplieron visitas a las agencias, se aplicaron encuestas y entrevistas al personal, se ejecutaron exmenes especiales a reas crticas, como son : Core Bancario Cobis, Base de Datos Sybase, Hardware y Comunicaciones. Cabe indicar que durante la evaluacin, las debilidades detectadas, fueron puestas en conocimiento del Asistente de Gerencia y el Director de Informtica y Comunicaciones, en

reuniones de trabajo, a fin de que se tomen las medidas correctivas correspondientes con la agilidad del caso.

OBJETIVO: Realizar una Auditora Informtica de los Sistemas de

Informacin Tecnolgicos de la Cooperativa de Ahorro y Crdito Alianza del Valle LTDA., mediante la revisin del ambiente de control implementado en los procesos automatizados y en el gerenciamiento de los mismos, utilizando COBIT, a fin de identificar debilidades y emitir recomendaciones que permitan minimizar los riesgos.

111

GRUPO DE TRABAJO:

Ing. Mario Ron (Jefe de Proyecto) Eco. Gabriel Chiriboga (Consultor) Srta. Gabriela Barros Srta. Andrea Cadena

PERSONAL DE LA DIRECCIN DE INFORMTICA Y COMUNCACIONES:

Ing. Cesar Obando (Director de la DIC) Tec. Jenny Gualotua (Administrador de Ti) Tec. Daniel Ortiz (Administrador del Centro de Cmputo)

PERIODO DE EJECUCION: 1 Agosto 2011 14 Diciembre 2011

MARCO DE REFERENCIA UTILIZADO COBIT es un Marco de referencia de procesos y objetivos de control TI que pueden ser implementados para controlar, auditar y administrar la organizacin TI. Este Marco de referencia est basado en las mejores prcticas y sistemas de informacin de auditora y control. Esto en particular aspira a ayudar a los lderes empresariales a entender y administrar los riesgos relacionados con la tecnologa de la Informacin y la relacin entre los procesos de administracin, las preguntas tcnicas, la necesidad de controles y los riesgos. COBIT est estructurado por 4 campos principales de administracin, los cuales a su vez implican 34 procesos de administracin asociados con la tecnologa de la informacin. Cada proceso TI provee una descripcin de

112

los requerimientos del negocio e identifica los asuntos claves que deben ser llevados a cabo para administrar exitosamente estos procesos. Los recursos de TI y los criterios de la informacin requeridos para asegurar el xito son tambin identificados para cada proceso TI. Para soportar una auto-evaluacin, COBIT incluye un modelo de madurez para cada proceso TI. Estos modelos de madurez son similares en sus conceptos bsicos utilizados por otros marcos referenciales, pero as como los 34 proceso TI de COBIT cubren todos los aspectos de TI, los modelos pueden ser utilizados para soportar la evaluacin de toda la organizacin TI, en lugar de especializarse en determinadas reas. Como soporte a la medicin del rendimiento operacional, factores crticos de xito, indicadores clave de logro de objetivos, e indicadores clave de rendimiento son identificados en cada proceso. COBIT ofrece un conjunto de herramientas para administrar los procesos TI unificando los dos puntos de vista, el de la administracin y el del auditor. Las Guas de Administracin TI consideran los controles TI desde una perspectiva de la administracin, mientras que las Guas de Auditora proveen asistencia especfica a los auditores en el diseo de programas adecuados de auditora para cada dominio. COBIT tambin provee herramientas detalladas y personalizables de auto evaluacin en forma de matrices y plantillas para asistir en la evaluacin y medicin de la organizacin comparada con los criterios de COBIT. En resumen, COBIT, es una herramienta desarrollada para ayudar a los administradores de negocios a entender y administrar los riesgos asociados con la implementacin de nuevas tecnologas y demostrar a las entidades reguladoras e inversionistas, que tan efectiva es su tarea. Se ha definido a COBIT como: "Una estructura de relaciones y procesos para direccionar y controlar la compaa para lograr la consecucin de los objetivos del negocio, entregando valor agregado mientras se administra el riesgo en funcin del ambiente de sistemas y sus procesos". Ver informe detallado (Anexo E). 113

CAPTULO V
CONCLUSIONES Y RECOMENDACIONES
Al culminar el proyecto de la evaluacin tcnica e informtica de los sistemas tecnolgicos de informacin, de la Cooperativa de Ahorro y Crdito Alianza del Valle Ltda., se han cumplido con los objetivos propuestos en el presente trabajo, por lo tanto se exponen a continuacin las siguientes conclusiones y recomendaciones en torno a la realizacin del proyecto.

Para el desarrollo de una Auditora Informtica de los Sistemas de Informacin es de principal importancia contar con la gua de un marco de referencia. Para este proyecto se ha escogido el modelo COBIT desarrollado por ISACA, el cual el cual a travs de sus 4 dominios ofrece una serie de objetivos de control que permiten evaluar eficientemente el ambiente de control de una entidad, garantizando que TI est alineada con el negocio y que los riesgos de TI se administren apropiadamente.

Al alinear la Normativa emitida por la Superintendencia de Bancos respecto a Tecnologas de la Informacin y los objetivos de control propuestos por COBIT se logr identificar y valorar los riesgos dentro de la entidad para tomar las medidas pertinentes y minimizar la materializacin de los riesgos identificados.

Durante el anlisis y evaluacin del ambiente de control en la entidad aplicando los dominios propuestos por COBIT se logro identificar debilidades obteniendo observaciones y recomendaciones para ser emitidas en el informe final, para llevar a cabo el proceso de la Auditora es de suma importancia contar con el compromiso y apertura a la Auditora Informtica de los sistemas de informacin; de los principales involucrados como son las Autoridades superiores de la Cooperativa, el personal del departamento de sistemas y el Departamento de Auditora Interna.

114

La Auditora de Ti en la Cooperativa propone mejoras a los controles existentes en la misma, pues sabiendo que si los controles facilitan la rendicin de cuentas mediante la evidencia; al mejorar los controles que estn fallando se lograr mitigar los riesgos. La Administracin debe identificarse y conocer plenamente los controles.

De acuerdo con lo planteado y el proyecto realizado es responsabilidad de la entidad aplicar y poner en marcha las recomendaciones emitidas de la Auditora Informtica, llevando a cabo esto de acuerdo a su capacidad y crecimiento.

Luego de la revisin se analizo el nivel me madurez en que actualmente se encuentra la empresa segn los riesgos y fallas encontradas y se determina el nivel al que se puede ascender si se cumplen con las recomendaciones planteadas. (Ver Anexo F)

115

ANEXOS

116

BIBLIOGRAFA:

ISACA COBIT3 y COBIT 4 Wikipedia http://www.solomanuales.org/cursohttp://www.monografias.com/trabajos5/audi/audi.shtml

http://dmi.uib.es/~bbuades/auditora/auditora.PPT#266,11,Metodologa (2)

http://www.audit.gov.tw/span/span2-2.htm Auditora Mario B. Ron Resumen Marco Conceptual Modelo COBIT / Mario B. Ron Fases de una Auditora / Mario B. Ron Evaluacin de los Sistemas de Tecnologa Informtica y Revisin de las Seguridades de Plataforma Especfica Andrea M. Tobar. para la empresa EMAPA-I/

Management Guidelines Cobit 3rd Edition, Objetivos de Control Cobit, Resumen Ejecutivo Cobit, Marco Referencial Cobit, Implementation Tool Set Cobit 3rd Edition

Modelo Coso Report Auditora interna moderna de Brink y UIT WHITTINGTON, O. Ray, PANY Kurt, Auditora: Un enfoque Integral, Irwin McGrawHill, 12. Edicin, Santa Fe de Bogota, Colombia, 2000

Normas de Auditora Interna emitidas por el The Institute of Internal Auditors

Enciclopedia de la Auditora, Grupo Editorial Ocano, Barcelona, Espaa, 1999

ARENS, Alvin, Auditora: Un enfoque integral, Prentince Hall Gua de Auditora, McGrawHill, Mxico, 1996 Robert L. Grinaker Ben B. Barr, Auditora Examen de los Estados Financieros Mxico 1989

MEIGS, Principios de Auditora, Editorial Diana Mxico 1975 Maldonado Milton, Auditora de Gestin Economa, Ecologa, Eficacia, Eficiencia, Etica, 2001

Auditora Operacional de Jos Dagoberto Pinilla 117

http://www.monografias.com/trabajos14/auditorasistemas/auditorasiste mas.shtml

Auditora Informtica, Gonzalo Alonso Rivas, 1998 ediciones Daz de Santos ISBN 84-87189-13.

Auditora en Informtica Un enfoque metodolgico y prctico, Lic. Enrique Hernndez Hernndez, 2002 editorial continental ISBN 970-240042-2.

Auditora informtica, Echenique Garca Jos Antonio, segunda edicin. Auditora informtica, Piattini Velthuis Mario Gerardo y Del Peso Navarro Emilio, segunda edicin.

COBIT versin 4 http://www.network-sec.com/COBIT_DS http://itil.osiatis.es/ http://www.adacsi.org.ar/es/content.php http://www.reddeabastecimiento.org/COBIT%204.pdf http://www.auditorasistemas.com/ http://dmi.uib.es/~bbuades/auditora/sld006.htm http://www.monografias.com/trabajos5/audi/audi.shtml http://www.audit.gov.tw/span/span2-2.htm Auditora Mario B. Ron Resumen Marco Conceptual Modelo COBIT / Mario B. Ron Fases de una Auditora / Mario B. Ron Evaluacin de los Sistemas de Tecnologa Informtica y Revisin de las Seguridades de Plataforma Escuela Politcnica del Ejrcitocfica la empresa EMAPA-I/ Andrea M. Tobar. para

Management Guidelines Cobit 3rd Edition, Objetivos de Control Cobit, Resumen Ejecutivo Cobit, Marco Referencial Cobit, Implementation Tool Set Cobit 3rd Edition

Modelo Coso Report Auditora interna moderna de Brink y UIT WHITTINGTON, O. Ray, PANY Kurt, Auditora: Un enfoque Integral, Irwin McGrawHill, 12. Edicin, Santa Fe de Bogota, Colombia, 2000

Normas de Auditora Interna emitidas por el The Institute of Internal Auditors 118

Enciclopedia de la Auditora, Grupo Editorial Ocano, Barcelona, Espaa, 1999

ARENS, Alvin, Auditora: Un enfoque integral, Prentince Hall Gua de Auditora, McGrawHill, Mxico, 1996 Robert L. Grinaker Ben B. Barr, Auditora Examen de los Estados Financieros Mxico 1989

MEIGS, Principios de Auditora, Editorial Diana Mxico 1975

119

HOJA DE LEGALIZACIN DE FIRMAS

ELABORADA POR

_____________________________ Gabriela Fernanda Barros Marcillo.

_________________________ Andrea Erika Cadena Marten.

DIRECTOR DE LA CARRERA ___________________________________ Ing. Mauricio Campaa

Lugar y fecha: ________________________________

120