Auditoria de Los Recursos Informáticos para Mejorar Los
Auditoria de Los Recursos Informáticos para Mejorar Los
Auditoria de Los Recursos Informáticos para Mejorar Los
“UNIANDES”
TEMA:
AUDITORIA DE LOS RECURSOS INFORMÁTICOS PARA MEJORAR LOS
MECANISMOS DE CONTROL DEL ÁREA DE SISTEMAS DE LA
COOPERATIVA “REY DAVID”
AMBATO – ECUADOR
2019
APROBACIÓN DE LA TUTORA DEL TRABAJO DE TITULACIÓN
CERTIFICACIÓN:
Yo, María Luisa Monar Balseca, declaro que conozco y acepto la disposición
constante en el literal d) del Art. 85 del Estatuto de la Universidad Regional Autónoma
de Los Andes, que en su parte pertinente textualmente dice: El Patrimonio de la
UNIANDES, está constituido por: La propiedad intelectual sobre las Investigaciones,
trabajos científicos o técnicos, proyectos profesionales y consultaría que se realicen en
la Universidad o por cuenta de ella;
María Monar
AGRADECIMIENTO
María Monar
ÍNDICE GENERAL
This investigative research project directly approaches the different issues found
relating to the management of IT (Information Technology) resources within “Rey
David” Association of savings and credits, due to the absence of internal and external
audits which would allow an adequate control of different processes pertaining to the
field of technology in the association. One cannot forget that one of the key success
factors in business is the development of a critical exam of the systems resources since
these generate a great quantity of information which is considered one the most valuable
assets in every company. Due to this, through a mixed focus investigation, through the
conduction of surveys and interviews to the employees and manager of the association,
important data is obtained about the actual state of the company and hence to propose a
solution to any issues found. By applying an external IT audit using the framework
COBIT 5 the efficiency, effectiveness, integrity, fulfillment, and trustworthiness of the
information and the systems processes can be observed so that afterwards an
improvement proposal can be generated as a contingency plan which will minimize the
risks involved in the management of IT resources.
INTRODUCCIÓN
Actualidad e Importancia
Así también en una parte del fundamento del objetivo 2 del PNBV 2017-2021
manifiesta “En una sociedad del conocimiento, el lenguaje tiene relación con las
nuevas tecnologías de la información y la comunicación (lenguajes audiovisuales,
informáticos, entre otros); es decir, el conocimiento articulado a la vida y el
multilingüismo como factor para el desarrollo de capacidades prácticas para actuar en el
mundo.”, y una de las metas del objetivo 5 del PNVB 2017 – 2021 es “Incrementar de
4,6 a 5,6 el Índice de Desarrollo de Tecnologías de la Información y Comunicación a
2021.” ( Secretaría Nacional de Planificación y Desarrollo, 2017).
Considerando todo lo antes mencionado, se puede decir que mediante la elaboración del
presente trabajo de investigación, se contribuye con el cumplimiento tanto de metas
como objetivos del PNBV 2017-2021, ya que aplicando lo aprendido durante el
transcurso de la vida universitaria haciendo uso de destrezas y habilidades
investigativas, no solo se incurre en el ámbito universitario, sino también es una ante
sala para relacionarse con el campo laboral y a la vez se automatiza procesos para un
adecuado manejo de la información.
1
Agenda Local del Gobierno Provincial de la Prefectura de Tungurahua ya que en uno de
sus objetivos sectoriales manifiesta que hay que potenciar al Cantón Ambato como polo
de desarrollo industrial y agroindustrial, bajo los criterios de competitividad, desarrollo
de tecnología de punta, cultura societaria y bursátil, mano de obra tecnificada y
vinculación con los centros de investigación de las universidades del cantón y del país
2
Problema de la Investigación
Situación Problémica
Entre los años 1999– 2000 un grupo de personas de la Parroquia Santa Rosa Comunidad
de Apatug Alto, por la exclusión social y económica que sufrían como emigrantes en la
ciudad de Ambato, proponen crear una Caja de Ahorro y Crédito denominado “Fondo
Rotativo”, con el afán de ayudarse mutuamente y trabajar en forma conjunta con el
objetivo de mejorar sus condiciones de vida. (CoacReyDavid, 2019)
3
A partir de este año y debido a la migración de casi un 80% de la población de Santa
Rosa hacia las principales ciudades del país, los directivos de esta cooperativa proponen
reformar su estatuto y razón social a Cooperativa de Ahorro y Crédito, mejorar su
estructura administrativa y operativa e inician su ampliación de cobertura proponiendo
instalar agencias y sucursales en principales ciudades de mayor concentración
migratoria de la población indígena del Ecuador. (CoacReyDavid, 2019)
¿Cómo mejorar los mecanismos de control del área de sistemas de la Cooperativa “Rey
David”?
Objetivos de la Investigación
Objetivo General
Objetivo Específicos
4
Capítulo I. Fundamentación Teórica
En la investigación realizada por ( Loor Párraga & Espinoza Castillo, 2014) se plantea
“Aplicar una auditoría de seguridad física y lógica a los recursos de tecnologías de
información en la Carrera Informática, de la Escuela Superior Politécnica Agropecuaria
de Manabí Manuel Félix López de la ciudad de Calceta, evaluando la integridad de los
mismos” se concluye que el estudio y diagnóstico de la situación actual, permitió
conocer las necesidades existentes para las distintas áreas de la carrera, en la que se
registra inexistencia de manuales, políticas y procesos a cumplir.
5
1.2. Actualidad del objetivo de estudio de la investigación
1.2.1.1. Definición
Los campos de aplicación de la auditoría han evolucionado mucho, desde su uso en los
aspectos netamente contables, hasta su uso en áreas y disciplinas de carácter especial,
como la ingeniería, la medicina y los sistemas computacionales. Evidentemente, junto
con ese progreso, también se ha registrado el desarrollo de las técnicas, métodos,
procedimientos y herramientas de cada uno de estos tipos de auditorías, así como un
enfoque cada vez más característico y especializado hacia el uso de técnicas más
apegadas al área que se va a evaluar. Debido a esos constantes cambios, a continuación
citaremos el concepto más amplio de la auditoría, para de ahí analizarlo de acuerdo con
lo aportado por la Real Academia Española y después, con esa conceptualización,
trasladarlo a una propuesta de clasificación de los tipos de auditoría. (Muñoz Razo ,
2002)
La auditoría, se puede concebir como una parte del control interno, la cual la ejecutan
profesionales acreditados por el auditor interno en el sector público, a fin de emitir una
opinión y agregar valor a la consecución de los objetivos institucionales; ese
profesionalismo no se produce de la noche a la mañana, más bien se desarrolla a partir
de compromiso y dedicación, crecimiento y ética; el proceso se desarrolla de forma
sistemática, independiente, objetiva, evalúa una entidad que actúe como sujeto pasivo,
gestión, proyectos, entre otros. (Mora Quiró, 2017 )
6
• Objetivos de gestión que abarcan, no solamente los de protección de activos,
sino también los de eficacia y eficiencia. (Piattini Velthuis , 2001)
1.2.1.2. Tipos
Los tipos de Auditoría se basan según: La clasificación que se propone está integrada
por: Auditoría por lugar, Área, Especialización, Ambiental, y Especializadas en
Sistemas Computacionales.
1.2.1.3. Clasificación
La auditoría externa es aquella que se realiza con personal totalmente ajeno a la empresa
auditada, con libertad absoluta de actuación y libre de cualquier injerencia por parte de
la institución donde se practica. (Muñoz Razo , 2002)
Auditoría externa, los clientes que no conocen los límites. Habituales de la auditoría
sobreentienden que una vez finalizada ésta los auditores daremos una asistencia mis
7
propia de consultores, y que incluso llevaremos a cabo implantaciones, redactaremos
normas, o que al menos en los informes especificaremos las soluciones: nombre de la
herramienta que refuerza la seguridad en mi entorno, por ejemplo, cuando a menudo
esto requiere un estudio que se sale de los limites e incluso de la independencia propios
de la auditoría. Por ello, es importante que se delimiten las responsabilidades y los
productos a entregar que son objeto de una auditoria externa en el contrato o propuesta.
(Piattini Velthuis , 2001)
1.2.1.4. Objetivos
8
Para el campo de actuación del auditor, sería preciso reflexionar sobre los siguientes
aspectos:
9
1.2.1.5. Exploración
1.2.1.6. Planeamiento
Lo anterior conlleva planear los temas que se deben ejecutar, de manera que aseguren la
realización de una Auditoría de alta calidad y que se logre con la economía, eficiencia,
eficacia y prontitud debidas. (Manso, 2008 )
10
1.2.1.7. Supervisión
1.2.1.8. Ejecución
El propósito fundamental de esta etapa es recopilar las pruebas que sustenten las
opiniones del auditor en cuanto al trabajo realizado, es la fase, por decir de alguna
manera, del trabajo de campo, esta depende grandemente del grado de profundidad con
que se hayan realizado las dos etapas anteriores, en esta se elaboran los Papeles de
Trabajo y las hojas de nota, instrumentos que respaldan excepcionalmente la opinión
del auditor actuante. (Manso, 2008 )
1.2.1.9. Informe
11
La elaboración del informe final de Auditoría es una de las fases más importante y
compleja de la Auditoría, por lo que requiere de extremo cuidado en su confección.
(Manso, 2008 )
El informe de Auditoría debe tener un formato uniforme y estar dividido por secciones
para facilitar al lector una rápida ubicación del contenido de cada una de ellas. (Manso,
2008 )
1.2.2. Estándares
1.2.2.1. ISACA
ISACA comenzó en 1967, cuando un pequeño grupo de personas con trabajos similares
auditar controles en los sistemas computacionales que se estaban haciendo cada vez más
críticos para las operaciones de sus respectivas organizaciones se sentaron a discutir la
necesidad de tener una fuente centralizada de información y guías en dicho campo. En
1969, el grupo se formalizó, incorporándose bajo el nombre de EDP Auditors
Association (Asociación de Auditores de Procesamiento Electrónico de Datos). En 1976
la asociación formó una fundación de educación para llevar a cabo proyectos de
12
investigación de gran escala para expandir los conocimientos y el valor en el campo de
gobierno y control de TI. Conocida previamente como la Information Systems Audit
and Control Association (Asociación de Auditoría y Control en Sistemas de
Información), ISACA ahora es solo un acrónimo, que refleja la amplia gama de
profesionales en gobierno de TI a los que sirve. (Porras Rodriguez, 2013)
1.2.2.2. ITIL
El beneficio principal de ITIL es que permite lograr una correcta alineación de los
objetivos de TI con los objetivos estratégicos del negocio. Convirtiendo los objetivos
del negocio en parte del portafolio de servicios de IT. (Mazza, 2014)
ITIL mejora la calidad de los servicios provistos, ofrece una visión clara y más
confianza de los servicios ofrecidos de TI, aumenta la flexibilidad para las
organizaciones a través de un entendimiento con las TI. (Mazza, 2014)
La versión actual de ITIL cubre más de 25 procesos propios de la gestión del CIO, y
está organizada en 5 libros. Por ejemplo, en la parte estratégica de los servicios, se dice
cómo establecer un caso de negocio que sirva como disparador de aprobaciones
ejecutivas de un proyecto. (Mazza, 2014).
13
1.2.2.3. ISO
Las normas ISO son documentos que especifican requerimientos que pueden ser
empleados en organizaciones para garantizar que los productos y/o servicios ofrecidos
por dichas organizaciones cumplen con su objetivo. Hasta el momento ISO
(International Organization for Standardization), ha publicado alrededor de 19.500
normas internacionales que se pueden obtener desde la página oficial de ISO
1.2.2.4. COBIT
14
recursos de TI para proporcionar información al negocio de acuerdo con los
requerimientos del negocio y de gobierno. (Minguillón Roy, 2010)
1.2.2.4.2. Características
• Orientado al negocio.
• Alineado con estándares y regulaciones "de facto".
• Basado en una revisión crítica y analítica de las tareas y actividades en TI.
• Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA,
AICPA). (Baquero & Guamán, 2013)
1.2.2.4.3. Principios
15
1.2.3. Áreas para auditar en informática
1.2.3.1. Tipos
Hardware
• Plataforma de hardware
• Tarjeta madre
• Procesadores
• Dispositivos periféricos
• Arquitectura del sistema Instalaciones eléctricas, de datos y de
telecomunicaciones Innovaciones tecnológicas de hardware y periféricos.
(Muñoz Razo , 2002)
Software
• Plataforma del software
• Sistema operativo
• Lenguajes y programas de desarrollo
• Programas, paqueterías de aplicación y bases de datos
• Utilerías, bibliotecas y aplicaciones
• Software de telecomunicación Juegos y otros tipos de software. (Muñoz
Razo , 2002)
Gestión informática
• Actividad administrativa del área de sistemas
• Operación del sistema de cómputo
• Planeación y control de actividades
• Presupuestos y gastos de los recursos informáticos
• Gestión de la actividad informática
• Capacitación y desarrollo del personal informático
• Administración de estándares de operación, programación y desarrollo.
(Muñoz Razo , 2002)
16
Redes de cómputo
• Plataformas y configuración de las redes
• Protocolos de comunicaciones
• Sistemas operativos y software
• Administración de las redes de cómputo
• Administración de la seguridad de las redes
• Administración de las bases de datos de las redes (Muñoz Razo , 2002)
1.2.3.2. Herramientas
17
• Evaluación
• Diagrama del círculo de sistemas
• Diagramas de sistemas
• Matriz de evaluación
• Programas de verificación
• Seguimiento de programación (Muñoz Razo , 2002)
18
• Desviaciones Presupuestarias significativas.
• Costos y plazos de nuevos proyectos (deben auditarse simultáneamente a
Desarrollo de Proyectos y al órgano que realizó la petición). (Huesca Aguilar,
2013)
• Seguridad lógica.
• Seguridad física.
• Confidencialidad. Los datos son propiedad de la organización que los genera.
Los datos personales son confidenciales
• Continuidad del servicio. Establecer mecanismos de contingencia para continuar
ofreciendo el servicio aun cuando ocurran fallas
• Centros de procesos de datos fuera de control, prevenir antes de que suceda,
después de que sucede determinada situación sería inútil la auditoria. (Nguyen,
2010)
19
1.2.5.2. Software Básico
El software libre es aquel que le permite al usuario el usar el programa, con cualquier
propósito; el estudiar el funcionamiento; el adaptarlo a sus necesidades; y el distribuir
copias. Libre no necesariamente significa gratuito. (Mazza, 2014)
Dado que el código fuente de software libre está disponible, uno de sus principales
beneficios es la no dependencia del proveedor, situación que para ciertos casos, un
organismo de defensa por ejemplo, puede ser crítica. (Mazza, 2014)
Entre los efectos no deseados, asociados el software libre, se encuentra la posible falta
de un soporte estructurado, y/o la dependencia del personal particularmente si se han
realizado modificaciones al producto original. (Mazza, 2014)
1.2.6. Gestión
1.2.6.2. Definición
20
conocimiento y del cambio, la organización del área y la motivación del equipo de
trabajo, la decisión de hacer o comprar, la selección de proveedores y aplicaciones, etc.
(Mazza, 2014)
21
• Sistemas Transaccionales
• Sistemas Analíticos
• Arquitecturas de los Sistemas de Información
• Internet y Negocios Electrónicos
• Estrategia y Recursos Informáticos
• Gestión de los Recursos Informáticos
• Nuevas Tecnologías (Mazza, 2014)
1.2.7. Cooperativas
1.2.7.1. Definición
Una 'cooperativa' se puede definir como una asociación gestionada por los socios, con el
fin de generar productos y servicios, en la cual los socios participantes, agricultores
particulares u hogares, comparten los riesgos y las ganancias de una explotación
económica de fundación y en propiedad conjuntas. (Koopmans, 2006)
1.2.7.2. Características
22
• Pueden ser socios todos los que se dediquen a la actividad específica de la
cooperativa y lo deseen.
• Objetivos dependientes de las necesidades de los socios.
• El elemento fundamental es la persona humana.
• Capital variable.
• La condición de socio es intransferible, aunque se transfieran las
participaciones. (Orozco Vílchez, 1986)
• Cooperativas especializadas
• Cooperativas integrales
• Cooperativas multiactivas
• Cooperativas de usuarios o de servicios a los asociados
• Cooperativas con actividad financiera
• Cooperativas sin actividad financiera (Cruz Martínez , 2011)
23
Capítulo II. Diseño Metodológico y diagnóstico
Investigación de campo
24
Investigación bibliográfica
Investigación Aplicada
Tabla 2 Población
25
2.2.2. Plan de recolección de la información
Método inductivo
El uso del método inductivo proyecto investigativo fue de gran importancia, ya que
consistió en la recolección los datos para su análisis. La observación fue unos de los
aspectos más significativos en el método inductivo y la cual se utilizó para la auditoria
informática.
Método deductivo
En este proceso el razonamiento fue una parte fundamental para así llegar a una
conclusión. La deducción enlaza los indicios con las conclusiones, si todos los indicios
son ciertos, los requisitos son claros y las normas de deducción son usadas.
Método analítico
Método sintético
Fue el método que ayudo al razonamiento para elaborar de una forma resumida y
reuniendo los elementos más notables, para así realizar la auditoria informática y tuvo
como resultado desarrollar el trabajo investigativo con resultados, claros y reales.
La técnica de recolección de datos utilizada fue la encuesta misma que se realizó a los
empleados de la Cooperativa Rey David, con el objetivo de determinar la existencia de
26
mecanismos de control en el área de sistemas de la Cooperativa Ambato y la necesidad
de ejecutar una Auditoria Informática
Con los resultados de las encuetas tabuladas se realizó un análisis estadístico con la
ayuda de grafico los mismos que permitieron realizar una mejor interpretación y con el
apoyo del marco teórico se estableció las recomendaciones y conclusiones.
27
Ilustración 1Plan de procesamiento y análisis de la información
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David
28
Análisis e interpretación de la encuesta aplicada a los empleados de la cooperativa
de ahorro y crédito “Rey David”
Tabla 3: Pregunta 1
0%
SI
NO
100%
Ilustración 2: Pregunta 1
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David
Análisis e interpretación
29
2. ¿Conoce Ud. si la Cooperativa ha llevado a cabo en los 2 últimos años una
Auditoria informática?
Tabla 4: Pregunta 2
0%
SI
NO
100%
Ilustración 3: Pregunta 2
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David
Análisis e interpretación
30
3. ¿Ud. tiene un manual donde este establecido los procedimientos para el uso de los
equipos de cómputo?
Tabla 5: Pregunta 3
20%
SI
NO
80%
Ilustración 4: Pregunta 3
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David
Análisis e interpretación
31
4. Considera que los Sistemas Informáticos implementados en su computador son:
Tabla 6: Pregunta 4
Rápidos
10%0%10% Medianamente
0%
Rápidos
Lentos
Muy Lentos
80%
Ilustración 5: Pregunta 4
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David
Análisis e interpretación
32
5. ¿En alguna ocasión ha existido errores en la información que Ud. maneja?
Tabla 7: Pregunta 5
30%
SI
NO
70%
Ilustración 6: Pregunta 5
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David
Análisis e interpretación
El 70% de los encuestados responden que a veces si han existido han existido fallas en
los sistemas computacionales, mientras tanto el 30% manifiesta que siempre existen
fallas en los sistemas computacionales.
33
6. ¿Ha existido en alguna ocasión fallas en los sistemas computacionales?
Tabla 8: Pregunta 6
10%0%
Siempre
A veces
Nunca
90%
Ilustración 7: Pregunta 6
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David
Análisis e interpretación
El 90% de los encuestados responden que a veces han existido errores en la información
la cual los empleados de la Cooperativa Rey David que manejan, mientras tanto el 10%
manifiesta que nunca han tenido errores en su información.
34
7. ¿Considera Ud. que es necesario realizar un control de los recursos informáticos
existentes en la Cooperativa?
Tabla 9: Pregunta 7
0%
SI
NO
100%
Ilustración 8: Pregunta 7
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David
Análisis e interpretación
35
Análisis e interpretación de la Entrevista al Tglo. Segundo Tisalema gerente de la
Cooperativa Rey David
Informante
INDICADORES EVALUADOS Tglo. Segundo Tisalema
Gerente de la Cooperativa Rey David
Existencia de un Departamento de Duda en su respuesta por falta de
TIC´s conocimiento en cuanto a tecnología y
luego manifiesta que sí sin embargo se
verifica mediante la observación que no
existe dicho departamento
Existencia de un diagrama funcional Manifiesta que no cuenta con un
diagrama funcional ya que sólo hay un
encargado de tics lo que corrobora la
inexistencia del departamento
Existencia de procedimiento para el No existe
uso de equipos de cómputo
36
software malicioso y virus informático
Realización de auditoría informática Como tal manifiesta que no
auditoría informática
Necesidad de auditoría para el control Muy necesario
del centro de datos
37
procedimientos de seguridad que deben seguir en caso de que exista una falla
informática en el computador que están usando.
38
Capítulo III. Propuesta de solución al problema
Auditoria de los recursos informáticos para mejorar los mecanismos de control del área
de Sistemas de la Cooperativa “Rey David”
3.2. Objetivos
La cooperativa Rey David del cantón Ambato se creó como una entidad financiera
privada, es una cooperativa que desarrollan actividades encaminadas al desarrollo
comunal de la Parroquia Santa Rosa; con esta intervención la cooperativa pudo ejecutar
39
varios proyectos de desarrollo social entre los principales: Proyecto de Ganadería,
Producción Textil, Producción de Especies Menores, Asesoría a distintas Cajas
Comunales de Ahorro y Crédito. Este esfuerzo tuvo resultados positivos desde el punto
de vista de desarrollo integral; sin embargo el no especializarse en una sola área fue su
debilidad. (CoacReyDavid, 2019)
Misión
Es una institución financiera privada con inspiración cristiana y visión social, que apoya
el desarrollo local e integral de la población marginada de la provincia en las áreas
rurales y urbanas, a través de la prestación de los productos y servicios financieros de
calidad, y contribuyendo a reducir la pobreza, crear esperanza, justicia, paz y
condiciones de vida más humana. (CoacReyDavid, 2019)
Visión
40
Valores institucionales
41
erróneos de acuerdo a los objetivos de control de la metodología COBIT 5.0, nos
permite generar recomendaciones mismas que serán planteadas en un dictamen final y
que a priori serán tomadas en cuenta en la aplicación de un plan de contingencia.
42
3.3.3.2. Número de puestos de trabajo
Nivel Legislativo -
Nivel Ejecutivo 6
Nivel de Asesor -
Nivel de Apoyo -
Nivel Operativo 5
Seguridad Física
Seguridad Lógica
43
mantenimientos pertinentes o daño en algún equipo informático se requiere de técnico
externo el mismo que está ubicado en la ciudad de Cuenca, por lo cual están
vulnerables, y por esta misma razón al carecer de un departamento de TIC’s no cuentan
con copias de seguridad que respalden su información.
Dentro de los recursos utilizados para realizar el proceso de auditoría se encuentran las
encuestas realizadas a todos los empleados de la Cooperativa “Rey David”, también la
entrevista realizada al Gerente.
Otro punto muy importante fue la observación, ya que permitió evidenciar la carencia
de los recursos informáticos en la Cooperativa “Rey David”, permitiéndonos observar la
falta de conocimientos de parte de los empleados sobre las tecnologías de la
información.
Al igual se implementaron algunos recursos materiales y humanos como son:
Recursos materiales
Los recursos materiales fueron brindados por la cooperativa, por tal manera se realizó
una solicitud pidiendo la autorización para poder utilizar los activos de la entidad
financiera, como son los equipos de cómputo y uso de discos duros e impresoras.
Recursos humanos
Los recursos humanos los empleados de la Cooperativa “Rey David”, a los cuales se les
realizó las encuestas propuestas para esta auditoría, al Gerente al mismo que se le
ejecuto la entrevista.
La auditora en este caso mi persona María Monar y la tutora del presente trabajo.
44
Análisis e interpretación de la encuesta aplicada a los empleados de la cooperativa
de ahorro y crédito “Rey David”
0%
SI
NO
100%
Análisis e interpretación
45
2. Considera que la seguridad de la información que Ud. maneja en la cooperativa es la
adecuada
40%
SI
NO
60%
Análisis e interpretación
46
3. A su criterio se debería mejorar el manejo de la información en la cooperativa
0%
SI
NO
100%
Análisis e interpretación
47
4. A su criterio se debería mejorar los equipos informáticos en la cooperativa
0%
SI
NO
100%
Análisis e interpretación
El 100% de los encuestados responden que si debiese mejorar los equipos informáticos
en la cooperativa.
48
5. Se realizan copias de seguridad de la información en la Cooperativa
30%
SI
NO
70%
Análisis e interpretación
49
6. Está establecido claves únicas para su computador
20%
SI
NO
80%
Análisis e interpretación
El 20% de los encuestados responden que, si se han establecido claves únicas para su
computador, mientras el 80% manifiestan que no han establecido claves únicas para su
computador.
De acuerdo con la pregunta 6, 80% manifiestan que no han establecido claves únicas
para su computador, lo que respalda el presente proyecto.
50
7. Con que frecuencia cambia su clave de acceso:
10%0%10%
Mensual
Trimestral
Semestral
Anual
80%
Análisis e interpretación
51
3.3.4.2. Resultados de la entrevista
Informante
INDICADORES EVALUADOS Tglo. Segundo Tisalema
Gerente de la Cooperativa Rey David
Existencia de un Departamento de TIC´s Duda en su respuesta por falta de
conocimiento en cuanto a tecnología y luego
manifiesta que sí sin embargo se verifica
mediante la observación que no existe dicho
departamento
Existencia de un diagrama funcional Manifiesta que no cuenta con un diagrama
funcional ya que sólo hay un encargado de
tics lo que corrobora la inexistencia del
departamento
Existencia de procedimiento para el uso No existe
de equipos de cómputo
52
en caso de un ataque dos software de seguridad
malicioso y virus informático
53
• Negocios: La atención es
medianamente rápida
Caja1:
• El sistema operativo es Microsoft
Windows XP Professional 32-Bit
• Nombre de dominio REYDAVID
• ROLES: Estación de trabajo,
servidor, navegador de potencial,
navegador de copia de seguridad
• Procesador Pentium(R) Dual-Core
CPU E5800 @ 3.20GHz
• BIOS Versión Intel - 12 BIOS
• Memoria total 2016MB
• Memoria libre 1077MB
Caja2:
• El sistema operativo es Microsoft
Windows XP Professional 32-Bit
• Nombre de dominio REYDAVID
• ROLES: Estación de trabajo,
servidor, navegador de potencial,
navegador de copia de seguridad
• Procesador Pentium(R) Dual-Core
CPU E5800 @ 3.20GHz
• BIOS Versión Intel - 12 BIOS
• Memoria total 2016MB
• Disco Duro Total 932GB
CONTABILIDAD-PC
•
Nombre de dominio REYDAVID
•
Roles Estación de trabajo, servidor,
navegador potencial
• El sistema operativo es Microsoft
Windows 6.2 Professional 32-Bit
• Procesador CPU Intel (R) Core
(TM) i3-3240 a 3,40 GHz |
• Memoria total 3504MB
• Disco Duro Total 698GB
• BIOS Versión INTEL - 9
SECRETARIA-PC
• Nombre de dominio REYDAVID
• Roles Estación de trabajo, servidor,
navegador potencial
54
• Sistema operativo |Microsoft
Windows 7 Professional de 32 bits
• Descripción del procesador
Pentium (R) CPU de doble núcleo
E5500 @ 2.80GHz
• Memoria total 2016MB
• Disco Duro Total 466GB
• Versión BIOS _ASUS_ - 12 BIOS
FINANCIERO-PC
• Nombre de dominio REYDAVID
• Roles Estación de trabajo, servidor,
navegador potencial
• Sistema operativo Microsoft
Windows 6.2 Professional de 32
bits
• Descripción del procesador CPU
Intel (R) Core (TM) i3-3240 a 3,40
GHz
• Memoria total 3504MB
• Disco Duro Total 698GB
• Versión BIOS INTEL – 9
ASESOR-PC
•Nombre de dominio REYDAVID
•Roles Estación de trabajo, servidor,
navegador de potencial, navegador
de copia de seguridad
• Sistema operativo Microsoft
Windows 7 Home Premium de 32
bits
• Descripción del procesador Intel
(R) Pentium (R) 4 CPU 2.80GHz
• Memoria total 480MB
• Disco Duro Total 74.6GB
• Versión BIOS ACRSYS -
42302e31 Phoenix
REYPC02
• Nombre de dominio REYDAVID
• Estación de trabajo, servidor,
navegador potencial, navegador
maestro
• Sistema operativo Microsoft
Windows XP Professional de 32
55
bits
• Descripción del procesador
Pentium (R) CPU de doble núcleo
E5500 @ 2.80GHz
• Memoria total 2016MB
• Disco Duro Total 466GB
• Versión BIOS | HPQOEM –
20100303
GERENTEPC
•Nombre de dominio REYDAVID
•Estación de trabajo, servidor,
navegador potencial, navegador
maestro
• Sistema operativo |Microsoft
Windows 7 Professional de 32 bits
• Descripción del procesador
Pentium (R) CPU de doble núcleo
E5500 @ 2.80GHz
• Memoria total 3504MB
• Disco Duro Total 698GB
• BIOS Versión INTEL – 9
NEGOCIOS-PC
• Nombre de dominio REYDAVID
• Roles Estación de trabajo, servidor,
navegador potencial
• Sistema operativo | Microsoft
Windows 6.2 Professional de 32
bits
• Descripción del procesador CPU
Intel (R) Core (TM) i3-3240 a 3,40
GHz
• Memoria total 3504MB
• Disco Duro Total 698GB
• Versión BIOS | INTEL - 9
Existencia del departamento de TIC’s No existe un departamento e TIC’s
Existencia de organigrama estructural y Observe que no existe dicho organigrama
funcional estructural y tampoco un funcional.
Existencia de inventarios de recursos Si tienen, pero no actualizado, la fecha del
informáticos inventario es el 12/04/2016
Existencia de licenciamiento de software La Base de Datos que utilizan es
POSTGRESQL
56
Cliente- Servidor (Dos capas)
Con licencia de Uso
Versión 1.30
Lenguaje de programación POWER
BUILDER
Microsoft Office Versión 2.0
Valoración del servicio de internet No se puede visualizar el contrato del
internet del Proveedor de CNT
Comunicación interna: La comunicación interna es regular, falta
de comunicación acertada, mal
interpretación de mensajes internos,
ausencia del Departamento de TIC’s, falta
de capacitaciones y conocimientos en el
tema de tecnología.
Riesgos en la información Los riesgos para la información si existen
ya que se puede observar que como no
cuentan con un Ingeniero en sistemas, al
momento de reparar los equipos de
cómputo llaman a un técnico externo.
• Cambio de claves
• Errores de mantenimiento /
actualización de programas
• Contaminación por Virus a la
Información
• Difusión de software dañino
• Caída del sistema por agotamiento
de recursos
• Vulnerabilidades de los programas
• Errores del administrador
• Errores de configuración.
Inversión en tecnología La inversión tecnología es de $29.600
Equipos de cómputo $15,000
Impresoras $1,000
Redes $2,000
Infraestructura $,500
Proveedores $9,000
Equipamiento de oficina $500
Satisfacción del cliente Los clientes se pudieron observar que se
encuentran a gusto con la atención bridada
Existencia de software de aplicación Si existe
La Base de Datos que utilizan es
POSTGRESQL
57
Cliente- Servidor (Dos capas)
Con licencia de Uso
Versión 1.30
Lenguaje de programación POWER
BUILDER
Capacitación a los empleados No se da una capitación adecuada a los
empleados, ya que por lo que pude
observar carecen de conocimientos básicos
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David
58
3.4. Elaboración del plan de Auditoria
En esta matriz se muestra la posibilidad de ocurrencia que puede tener cada proceso,
dando una apreciación de uno a cuatro siendo uno la evaluación más baja y cuatro la
más alta, mostrando la posibilidad de que un proceso ocurra.
59
tres y cuatro siendo como tal los procesos con mayor riesgo de fallas, pues son los
procesos de ocurrencia diaria o por lo menos semanalmente.
La matriz indica que de los seis procesos que se realizan en la Cooperativa “Rey
David”, tres de estos son de ocurrencia usual por lo mismo son los más expuestos a
fallas.
60
Ilustración 17: Depósitos
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David
Objetivo del proceso: Es la transacción por medio de la cual el cliente retira y recibe
determinada cantidad de dinero existente en su cuenta bancaria en la oficina de su
institución financiera.
61
Tercer proceso (P03): Créditos
Objetivo del proceso: Préstamo de dinero a una persona o entidad, que se compromete a
devolverlo en un solo pago o en forma gradual
Objetivo del proceso: Administrar los diferentes tipos de pagos de los clientes de
manera eficiente.
62
Cuarto proceso (P05): Registro de asistencia
Objetivo del proceso: Administrar los diferentes tipos de pagos de los clientes de
manera eficiente.
Objetivo del proceso: Realizar el proceso de registros que va desde el registro inicial de
las transacciones hasta los estados financieros finales
63
3.4.3. Elaboración del FODA y de la Cooperativa “Rey David”
Análisis Interno
Fortalezas Debilidades
Atención inmediata a los socios. Falta de conocimientos en el
área de informática.
Convenios con principales Falta de capacitación a los
instituciones del sector público. empleados de la cooperativa.
Análisis Externo
Oportunidades Amenazas
64
Mejorar la imagen Mercado competitivo alto.
institucional.
Mejorar la calidad de Conocimientos básicos e inadecuados
tecnología de información y de las tecnologías de la información.
Factores comunicación.
Nuevas tecnologías en No existen manuales de procesos y
software y hardware. procedimientos del uso adecuado de los
equipos de cómputo.
Campañas de capacitación Existencia de empresas intermediarias
para empleados. en los mecanismos de control de la
cooperativa.
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David
La Cooperativa “Rey David”, para lograr sus objetivos corporativos necesita disponer
los recursos de Tecnologías de la Información por un grupo de procesos, agrupados de
forma que faciliten la información necesaria para conseguir lo establecido por la
institución financiera. Para lo cual se consideran los procesos COBIT para satisfacer
diferentes criterios de la información, cuyos procesos serán elegidos mediante un
formulario de entidad propuesto por ISACA en su libro “Cobit Implementation tool
set”, admitiendo ejecutar una adecuada clasificación de los procesos a auditar por medio
de un análisis de prioridades.
65
3.4.6. Formulario de Entidad
Riesgo: Aquí se busca que el encuestado indique el nivel de riesgo que se puede generar
en las tareas realizadas, para lo cual se presenta las siguientes alternativas:
• Alto
• Medio
• Bajo
66
FORMULARIO DE ENTIDAD
No Documentado
No Importante
No esta seguro
Documentado
Departamento
Importante
Importante
Medio
Bajo
Alto
Cargo
Muy
Algo
Procesos COBIT
Evaluar, Dirigir y Monitorear
EDM01 Asegurar que se fija el Marco de Gobierno y su Mantenimiento
EDM02 Asegurar la Entrega de Valor
EDM03 Asegurar la Optimización de los Riesgos
EDM04 Asegurar la Optimización de los Recursos
EDM05 Asegurar la Transparencia a las partes interesadas
Alinear, Planear y Organizar
APO01 Administrar el Marco de la Administración de TI
APO02 Administrar la Estrategia
APO03 Administrar la Arquitectura Corporativa
APO04 Administrar la Innovación
APO05 Administrar el Portafolio
APO06 Administrar el Presupuesto y los Costos
APO07 Administrar el Recurso Humano
APO08 Administrar las Relaciones
APO09 Administrar los Contratos de Servicios
APO10 Administrar los Proveedores
APO11 Administrar la CalidadAPO12 Administrar los Riesgos
APO12 Administrar la Seguridad
Monitorear, Evaluar y Valorar
MEA01 Monitorear, Evaluar y Valorar el Desempeño y Cumplimiento
MEA02Monitorear, Evaluar y Valorar el Sistema de Control Interno
MEA03Monitorear, Evaluar y Valorar el Cumplimiento con Requisitos Externos
Construir, Adquirir e Implementar
BAI01 Administrar Programas y Proyectos
BAI02 Administrar la Definición de Requerimientos
BAI03 Administrar la Identificación y Construcción de Soluciones
BAI04 Administrar la Disponibilidad y Capacidad
BAI05 Administrar la Habilitación del Cambio
BAI06 Administrar Cambios
BAI07 Administrar la Aceptación de Cambios y Transiciones
BAI08 Administrar el Conocimiento
BAI09 Administrar los Activos
BAI10 Administrar la Configuración
Entregar, Servir y Dar Soporte
DSS01 Administrar las Operaciones
DSS02 Administrar las Solicitudes de Servicios y los Incidentes
DSS03 Administrar Problemas
DSS04 Administrar la Continuidad
DSS05 Administrar los Servicios de Seguridad
DSS06 Administrar los Controles en los Procesos de Negocio
Ilustración 23: Formulario de entidad que se usa en la Cooperativa “Rey David"
Elaborado por: Monar Balseca María Luisa
Fuente: (ISACA, 2019)
67
3.4.7. Modelo de Madurez
Se define un estado de madurez para los procesos que son seleccionados el punto
anterior mediante el formulario de entidad, la escala incluye 0 a 5 porque es bastante
probable que no exista ningún proceso en absoluto. La escala 0-5 se basa en una escala
simple de madurez que muestra cómo evoluciona un proceso desde inexistente hasta
optimizado.
Se considera que una de las principales ventajas para utilizar el modelo de madurez
antes mencionado es la facilidad de auto evaluación ya que permite ubicarse a sí mismo
en un nivel y valorar los requerimientos para aplicar una mejora si así se requiere, los
principales objetivos del modelo de madurez están determinados de la siguiente manera:
NIVELES DE MADUREZ
Carencia completa de cualquier proceso reconocible. La
0
empresa no ha reconocido siquiera que existe un problema a
NO EXISTENTE
resolver
Existe evidencia que la empresa ha reconocido que los
problemas existen y requieren ser resueltos. Sin
1 embargo; no existen procesos estándar en su lugar existen
INICIAL enfoquesad hoc que tienden a ser aplicados de forma
individual o caso por caso. El enfoque general hacia la
administración es desorganizado.
68
Se han desarrollado los procesos hasta el punto en que se
siguen procedimientos similares en diferentes áreas que
realizan la misma tarea. No hay entrenamiento o
2
comunicación formal de los procedimientos estándar, y se deja
REPETIBLE
la responsabilidad al individuo. Existe un alto grado de
confianza en el conocimiento de los individuos y, por lo tanto,
los errores son muy probables.
Los procedimientos se han estandarizado y documentado, y se
han difundido a través de entrenamiento. Sin embargo, se
3 deja que el individuo decida utilizar estos procesos, y
DEFINIDO es poco probable que se detecten desviaciones. Los
procedimientos en sí no son sofisticados, pero formalizan las
prácticas existentes.
Es posible monitorear y medir el cumplimiento de
los procedimientos y tomar medidas cuando los procesos no
4 estén trabajando de forma efectiva. Los procesos están bajo
ADMINISTRADO constante mejora y proporcionan buenas prácticas. Se usa la
automatización y herramientas de una manera limitada
o fragmentada.
Los procesos se han refinado hasta un nivel de mejor práctica,
se basan en los resultados de mejoras continuas y en un
5
modelo de madurez con otras empresas. TI se usa de forma
integrada para automatizar el flujo de trabajo, brindando
OPTIMIZADO
herramientas para mejorar la calidad y la efectividad, haciendo
que la empresa se adapte de manera rápida.
Elaborado por: Monar Balseca María Luisa
Fuente: (Ulloa Barrera, 2017)
69
Como muestra se consideró a todas las personas que laboran en la cooperativa Rey
David, puesto que esta población son 11 individuos aquí se tiene como fin determinar la
información más adecuada para realizar, un examen minucioso a lo misma.
Cabe mencionar que las personas fueron clasificadas mediante grupos de acuerdo con
las experiencias en sus respectivos puestos de trabajo, áreas y departamentos que tiene
la cooperativa
Parte Gerencial: Este nos dará a conocer cuáles son los temas de mayor interés a su
criterio, para posterior a ellos considerarlo en la auditoria.
Aquí se consideró los procesos importantes para las personas encuestadas mediante el
Formulario de Entidad.
70
3.4.8.3. Resultados de encuestas de selección de procesos COBIT a auditar
Aquí se muestra los resultados obtenidos de las encuestas aplicadas a directivos, jefes y
empleados de la cooperativa para posterior a ello seleccionar los procesos de más
transcendencia acorde con la metodología COBIT.
Dominio: Evaluar, Dirigir y Monitorear
Matriz de encuesta: Formulario de Entidad diagnóstico de Prioridad y Riesgo.
Parámetro de Medición: Importancia y Riesgo
Departamento
Importancia
Empleados
Promedio
Gerente
Jefe de
RESULTADOS DE INVOLUCRADOS
71
Tabla 27: Dominio: Alinear, Planear y Organizar
Departamento
Importancia
Empleados
Promedio
Gerente
Jefe de
RESULTADOS DE INVOLUCRADOS
72
Parámetro de Medición: Importancia y Riesgo
Departamento
Importancia
Empleados
Promedio
Gerente
Jefe de
RESULTADOS DE INVOLUCRADOS
Importancia
Empleados
Promedio
Gerente
Jefe de
RESULTADOS DE INVOLUCRADOS
73
Soluciones
BAI04 Administrar la Disponibilidad y Capacidad 4 4 3 4
BAI05 Administrar la Habilitación del Cambio 5 4 5 5
BAI06 Administrar Cambios 3 3 4 3
Administrar la Aceptación de Cambios y
BAI07 Transiciones 5 4 5 5
BAI08 Administrar el Conocimiento 5 5 4 5
BAI09 Administrar los Activos 5 5 4 5
BAI10 Administrar la Configuración 5 6 6 6
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David
Importancia
Empleados
Promedio
Gerente
Jefe de
RESULTADOS DE INVOLUCRADOS
74
Incidentes
DSS03 Administrar Problemas 5 5 6 5
DSS04 Administrar la Continuidad 5 4 3 4
DSS05 Administrar los Servicios de Seguridad 6 6 6 6
Administrar los Controles en los Procesos de
DSS06 Negocio 5 4 4 4
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David
Disponibilidad
Cumplimiento
Confiabilidad
Información
Efectividad
Integridad
Aplicación
Eficiencia
Personas
75
de los Riesgos
Asegurar la Optimización
X X X P P S P P
EDM04 de los Recursos
Alinear, Planear y Organizar
Administrar el Marco de
X X X P P S P P
APO01 la Administración de TI
APO02 Administrar la Estrategia X X X P S P P
APO05 Administrar el Portafolio X X X P S P
Administrar el
X X P S P P
APO06 Presupuesto y los Costos
Administrar las
X X X P S P
APO08 Relaciones
Administrar los
X X X P S S P
APO10 Proveedores
APO12 Administrar la Seguridad X X X X P P P S P
Monitorear, Evaluar y Valorar
Monitorear, Evaluar y
Valorar el Desempeño y X X S P P
MEA01 Cumplimiento
Monitorear, Evaluar y
Valorar el Cumplimiento X X X P S P P
MEA03 con Requisitos Externos
Construir, Adquirir e
Implementar
Administrar la Definición
X X P S P
BAI02 de Requerimientos
Administrar la
Identificación y
X X P S P
Construcción de
BAI03 Soluciones
Administrar la
X X X X P P S P P P
BAI05 Habilitación del Cambio
76
Administrar la Aceptación
de Cambios y X X X X P S P P
BAI07 Transiciones
Administrar el
X X P P P P P P
BAI08 Conocimiento
BAI09 Administrar los Activos X X X P S P P P P
Administrar la
X X P P P
BAI10 Configuración
Entregar, Servir y Dar Soporte
Administrar las
X X X X P S P
DSS01 Operaciones
DSS03 Administrar Problemas X X X X P P P P P P
Administrar los Servicios
X X P P P P P P
DSS05 de Seguridad
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David
(P) Cuando el proceso tenga un impacto directo sobre el requerimiento de los criterios
de COBIT.
(S) Cuando el proceso tenga un impacto indirecto o secundario sobre los requerimientos
de los criterios de COBIT.
(Vacío) Cuando el proceso no tiene ningún impacto sobre los requerimientos de los
criterios de COBIT.
Aquí los recursos de COBIT tendrán una nomenclatura diferente que será simbolizada
de la siguiente manera:
(X) Cuando el proceso seleccionado tenga impacto sobre los recursos de del TI.
77
(Vacío) Cuando el proceso seleccionado no tiene ningún impacto sobre los recursos del
TI.
Aquí vamos determinar los porcentajes conseguidos, acorde al impacto de los procesos
COBIT sobre los criterios de la información elegidos anteriormente, por medio de lo
planteado por COSO se determinará un valor de 92% a los de impacto primario y un
52% cuando el impacto sea secundario y espacio en blanco (vacío) cuando el impacto
sea nulo, asignándolo de la siguiente manera:
Criterios de Información
COBIT
Disponibilidad
Cumplimiento
Confiabilidad
Efectividad
Integridad
Eficiencia
78
Asegurar que se fija el Marco de
0,92 0,52 0,92 0,92
EDM01 Gobierno y su Mantenimiento
EDM02 Asegurar la Entrega de Valor 0,92 0,92 0,92
EDM03 Asegurar la Optimización de los Riesgos 0,52 0,92 0,92 0,52 0,92 0,92
Asegurar la Optimización de los
0,92 0,92 0,52 0,92 0,92
EDM04 Recursos
Alinear, Planear y Organizar
Administrar el Marco de la
0,92 0,92 0,52 0,92 0,92
APO01 Administración de TI
APO02 Administrar la Estrategia 0,92 0,52 0,92 0,92
APO05 Administrar el Portafolio 0,92 0,52 0,92
BAI05 Administrar la Habilitación del Cambio 0,92 0,92 0,52 0,92 0,92 0,92
79
Entregar, Servir y Dar Soporte
DSS01 Administrar las Operaciones 0,92 0,52 0,92
DSS03 Administrar Problemas 0,92 0,92 0,92 0,92 0,92 0,92
DSS05 Administrar los Servicios de Seguridad 0,92 0,92 0,92 0,92 0,92 0,92
Para lo cual se obtendrá de los procesos COBIT que fueron elegidos anteriormente, por
medio del formulario de entidad elaborado a los empleados de la Cooperativa “Rey
David”.
Certificar una cuantía recomendable de las decisiones de las TI, valores y activos
utilizables, para la eficientemente entrega de valores y recursos para una posición
confidencial de los costes y de la ayuda para cubrir las necesidades de la Cooperativa
“Rey David”, para que haya la positiva y eficiente entrega de valores.
80
EDM03Asegurar la Optimización de los Riesgos
Para la optimización de riesgos se plantea realizar una estrategia, ya que los procesos
evaluados en toda la Cooperativa “Rey David”, y con la observación y contestación a
los riesgos que pueden ser vulnerables la cooperativa se dio a conocer las capacidades y
conocimientos de los empleados de dicha entidad financiera.
81
superior manejo de los recursos del TI de la Cooperativa “Rey David”, reconociendo un
óptimo servicio a los socios y a los empleados de la cooperativa.
Por lo cual se recomienda un balance del presupuesto y el costo real con los calculados
para obviar desvíos y tomar correctivos adecuados y así controlar la cooperación de las
futuras inversiones en consecuencias recomendables para el desempeño y así lograr las
metas y objetivos de la entidad financiera.
82
APO08 Administrar las Relaciones
PROCESOS EVALUADOS
83
APO01 Administrar el Marco de la Administración de TI 1
APO02 Administrar la Estrategia 1
APO05 Administrar el Portafolio 2
APO06 Administrar el Presupuesto y los Costos 2
APO08 Administrar las Relaciones 1
APO10 Administrar los Proveedores 1
APO12 Administrar la Seguridad 0
Monitorear, Evaluar y Valorar
MEA01 Monitorear, Evaluar y Valorar el Desempeño y Cumplimiento 1
MEA03 Monitorear, Evaluar y Valorar el Cumplimiento con Requisitos 1
Externos
Construir, Adquirir e Implementar
BAI02 Administrar la Definición de Requerimientos 1
BAI03 Administrar la Identificación y Construcción de Soluciones 0
BAI05 Administrar la Habilitación del Cambio 2
BAI07 Administrar la Aceptación de Cambios y Transiciones 2
BAI08 Administrar el Conocimiento 1
BAI09 Administrar los Activos 1
BAI10 Administrar la Configuración 0
Entregar, Servir y Dar Soporte
DSS01 Administrar las Operaciones 1
DSS03 Administrar Problemas 0
DSS05 Administrar los Servicios de Seguridad 0
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David
3.4.9. Resultado final del impacto sobre los criterios de la información COBIT
Aquí se muestra la tabla que tiene los resultados del impacto que se obtuvo de los
criterios de información de COBIT, los valores fueron obtenidos mediante una
multiplicación de los valores determinados para los impactos de los criterios de
información los cuales fueron primarios y secundarios, y por los estados de madurez
alcanzados por cada proceso los cuales fueron obtenidos de la siguiente manera:
84
Total real, fue obtenido de la suma de cada una de las columnas de los criterios.
Total ideal, fue obtenido de la suma de las columnas de los criterios multiplicada por el
grado de madurez más alto.
Porcentaje final, alcanzado de cada uno de los criterios de información, realizando una
división del valor real para el valor ideal y multiplicándolo por 100.
Tabla 35: Resultado final del impacto sobre los criterios de la información COBIT
Disponibilidad
Cumplimiento
Confiabilidad
Efectividad
Integridad
Eficiencia
PROCESOS COBIT SELECIONADOS
85
MEA0 Monitorear, Evaluar y Valorar el
1 Desempeño y Cumplimiento 0.52 0.92 0.92
MEA0 Monitorear, Evaluar y Valorar el
3 Cumplimiento con Requisitos Externos 0.92 0.52 0,92 0.92
Construir, Adquirir e Implementar
Administrar la Definición de
BAI02 Requerimientos 0.92 0.92 0.52
Administrar la Identificación y
BAI03 Construcción de Soluciones 0.92 0.52 0.92
BAI05 Administrar la Habilitación del Cambio 0.92 0.92 0.92 0.92 0.92 0.52
Administrar la Aceptación de Cambios y
BAI07 Transiciones 0.92 0.52 0.92 0.92
BAI08 Administrar el Conocimiento 0.92 0.92 0.92 0.92 0.92 0.92
BAI09 Administrar los Activos 0.92 0.52 0.92 0.92 0.92 0.92
BAI10 Administrar la Configuración 0.00 0.00 0.00
Entregar, Servir y Dar Soporte
DSS01 Administrar las Operaciones 0.92 0.52 0.92
DSS03 Administrar Problemas 0.00 0.00 0.00 0.00 0.00 0.00
DSS05 Administrar los Servicios de Seguridad 0.00 0.00 0.00 0.00 0.00 0.00
TOTAL REAL 13.9 7.7 6.7 14.7 4.6 5.8
TOTAL IDEAL 69.6 61.8 33.4 88.3 32.2 28.8
PROMEDIO 20.0 12.5 20.0 16.7 14.3 20.0
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David
Efectividad: Se alcanzó un porcentaje del 20% con relación al 100%, significando que
la información significativa manipulada regularmente en los procesos en la Cooperativa
86
“Rey David”, es facilitada de manera adecuada, veras y permanente en un 20%,
habiendo un 80% de inefectividad en el proceso.
Eficiencia: Se logró un porcentaje 12,5% con relación al 100%, cabe señalar que la
información obtenida por la Cooperativa “Rey David”, por lo cual sus recursos poseen
una eficiencia del 12,5%, dejando una ineficiencia del 87,5%.
Confiabilidad: Se consiguió un porcentaje 20% con respecto al 100%, cabe señalar que
la Cooperativa “Rey David”, tiene la información inadecuada para la gerencia de toma
de decisiones para desempeñar con los compromisos de la cooperativa en un 20,0%,
siendo la inconfiabilidad es de un 80%
87
Confiabilidad 20
Cumplimiento 14,3
Disponibilidad 16,7
Integridad 20
Efectividad 12,5
Eficiencia 20
0 5 10 15 20
Alcance: Por medio de esta auditoria se aspira valorar la etapa real de la Cooperativa
“Rey David”, apreciando los procesos elegidos de los cinco dominios desplegados por
COBIT y de esta manera poder ofrecer las concernientes conclusiones y
recomendaciones a la Cooperativa “Rey David”.
Objetivo: El presente trabajo asumió tal objetivo ejecutar una auditoría informática
empleando la metodología COBIT 5 en la Cooperativa “Rey David”.
Metodología: La auditoría estuvo ejecutada por medio del marco de trabajo COBIT
5.0, puesto que su objetivo principal es optimizar los conocimientos de la cooperativa
en la cual se está administrando, por medio de cinco dominios los cuales quedan
combinados por 37 procesos mostrando las acciones de una forma manejable y
analizando el control previamente para la realización.
88
Desarrollo: Aquí, se muestra los procesos elegidos de los cinco dominios de COBIT
con la ayuda del referente nivel de madurez, una conclusión del proceso y las
recomendaciones emitidas por COBIT.
MADUREZ
GRADO
PROCESOS EVALUADOS
DE
Evaluar, Dirigir y Monitorear
EDM01 Asegurar que se fija el Marco de Gobierno y su Mantenimiento 1
EDM02 Asegurar la Entrega de Valor 2
EDM03 Asegurar la Optimización de los Riesgos 2
EDM04 Asegurar la Optimización de los Recursos 1
Alinear, Planear y Organizar
APO01 Administrar el Marco de la Administración de TI 1
APO02 Administrar la Estrategia 1
APO05 Administrar el Portafolio 2
APO06 Administrar el Presupuesto y los Costos 2
APO08 Administrar las Relaciones 1
APO10 Administrar los Proveedores 1
APO12 Administrar la Seguridad 0
Monitorear, Evaluar y Valorar
MEA01 Monitorear, Evaluar y Valorar el Desempeño y Cumplimiento 1
Monitorear, Evaluar y Valorar el Cumplimiento con Requisitos
MEA03 1
Externos
Construir, Adquirir e Implementar
BAI02 Administrar la Definición de Requerimientos 1
BAI03 Administrar la Identificación y Construcción de Soluciones 0
BAI05 Administrar la Habilitación del Cambio 2
BAI07 Administrar la Aceptación de Cambios y Transiciones 2
89
BAI08 Administrar el Conocimiento 1
BAI09 Administrar los Activos 1
BAI10 Administrar la Configuración 0
Entregar, Servir y Dar Soporte
DSS01 Administrar las Operaciones 1
DSS03 Administrar Problemas 0
DSS05 Administrar los Servicios de Seguridad 0
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David
Por medio de los estados de madurez de los procesos elegidos, se ejecutó un análisis
individual de cada uno de los procesos para dar a saber una conclusión de fase del
proceso en la cooperativa y las concernientes recomendaciones planteadas por COBIT,
para así poder lograr un nivel mejor de madurez
Recomendaciones COBIT
• Cuidar el apropiado cumplimiento y aplicación de las destrezas que procedan de
para mejorar el Marco de Referencia de Gobierno.
• Describir un modelo estratégico de toma de decisiones para que sean efectivas y
estén alineadas con el ambiente externo e interno de la cooperativa y los
requerimientos.
• Certificar que el Marco de Referencia de Gobierno que sea funcional y este
asociado a la distribución de la cooperativa.
Recomendaciones COBIT
90
• Satisfacción del desempeño del servicio de Tecnologías de la Información en la
Cooperativa “Rey David”.
• Concienciación para realizar de innovación de Tecnologías de la Información en
la Cooperativa “Rey David”.
• Mejorar la gestión ejecutiva para la entrega de valor y los costes de Tecnologías
de la Información adecuados.
Recomendaciones COBIT
• Inspeccionar y eliminar los riesgos de la Cooperativa “Rey David”.
• Impartir conocimientos para los riesgos existentes en la cooperativa.
• Eficacia para la mejoría de los riesgos de la cooperativa.
Recomendaciones COBIT
• Observar los procesos para la adecuada optimización de los recursos de la
Cooperativa “Rey David”.
• Implantar KPIs y así obtener mayor eficiencia de los procesos, certificando un
enfoque imparcial en los procesos de optimización de los recursos de la
Cooperativa “Rey David”.
• Examinar los fundamentos para la toma de decisiones pertinentes y de los
resultados logrados.
Recomendaciones COBIT
• Planear y monitorear las acciones ordenadas con la orientación determinada para
así lograr los objetivos de la Cooperativa “Rey David”.
91
• Conseguir disposición y eficacia en las operaciones de Tecnologías de la
Información.
• Responsabilidades a los empleados dentro de una organización determinada
dentro de la cooperativa que permita resolver el adecuado comportamiento de
las Tecnologías de la Información.
Recomendaciones COBIT
• Establecer un plan estratégico de Tecnologías de la Información, y así aprobar,
formar las tecnologías de la información con el plan estratégico para la
Cooperativa “Rey David”.
• Realizar evaluaciones internas para así observar las debilidades y fortalezas de la
Cooperativa “Rey David”, y de esta manera realizar un plan estratégico
adecuado.
• Para el plan de estrategia crear labores demandadas para su desempeño, se
reunirán los recursos precisos y la responsabilidad de su adecuado
cumplimiento.
Recomendaciones COBIT
• Establecer un plan estratégico de Tecnologías de la Información, y así aprobar,
formar las tecnologías de la información con el plan estratégico para la
Cooperativa “Rey David”.
• Realizar evaluaciones internas para así observar las debilidades y fortalezas de la
Cooperativa “Rey David”, y de esta manera realizar un plan estratégico
adecuado.
• Para el plan de estrategia crear labores demandadas para su desempeño, se
reunirán los recursos precisos y la responsabilidad de su adecuado
cumplimiento.
92
APO06 Administrar el Presupuesto y los Costos
Recomendaciones COBIT
• Garantizar la sostenibilidad financiera para la Cooperativa “Rey David”.
• Elaborar estrategias para una adecuada toma de decisiones para el mejoramiento
de la Cooperativa “Rey David”.
• Encomendar y realizar medidas de acciones correctivas cuando sean requeridas
para la cooperativa.
Recomendaciones COBIT
• Cumplir con las expectativas del negocio y así mejorar la actual administración
de la Cooperativa “Rey David”.
• Mejorar oportunidades, reconocer riesgos y limitaciones de Tecnologías de las
Información para así mejorar la cooperativa.
• Suministrar información para la mejora continua de los servicios en la
cooperativa.
Recomendaciones COBIT
• Contratos con proveedores apropiadamente y en un tiempo prudente en la
Cooperativa “Rey David”.
• Proveedores que certifiquen la elección del mejor para que se aplique a los
requisitos requeridos.
• Conservar un inventario de los riesgos conteniendo reiteración de impacto
potencial y respuestas.
Recomendaciones COBIT
93
• Garantizar que la tecnología importante relacionada con la seguridad no sea
susceptible de sabotaje y que la documentación de seguridad de la Cooperativa
“Rey David” no sea divulgada.
• Desarrollar medidas de prevención, detección y corrección.
• Encomendar que los servicios de datos sensibles sean intercambiadas de una
manera adecuada y así asegurar la información.
Recomendaciones COBIT
• Realizar aportes significativos para las Tecnologías de la Información para
mejorar los riesgos diagnosticados en la Cooperativa “Rey David”.
• Desarrollo de actualizaciones del perfil de riesgo.
• Concientizar en la entrega de bienes para las Tecnologías de la Información.
94
Conclusiones
95
Recomendaciones
96
Bibliografía
Instrucciones:
• Lea cuidadosamente el instrumento
• Responda con objetividad y veracidad toda la encuesta.
• Gracias por su cordial ayuda.
3. ¿Ud. tiene un manual donde este establecido los procedimientos para el uso de
los equipos de cómputo?
SI ( )
NO ( )
7. ¿Conoce usted cuáles son los procedimientos de seguridad que debe seguir en caso
de que exista un ataque o falla informática en su computador?
11. ¿Cuenta la entidad con un plan de contingencia en caso de una emergencia o falla
computacional?
12. ¿Considera que una Auditoria Informática externa es necesaria actualmente dentro
de la Cooperativa?
Anexo 3
Instrucciones:
• Lea cuidadosamente el instrumento
• Responda con objetividad y veracidad toda la encuesta.
• Gracias por su cordial ayuda.
OBSERVACIÓN
NO CUMPLE
CUMPLE
NIVELES DEL MODELO DE MADUREZ
NO CUMPLE
OBSERVACI
CUMPLE
ÓN
NIVELES DEL MODELO DE MADUREZ
OBSERVACIÓN
NO CUMPLE
CUMPLE
NIVELES DEL MODELO DE MADUREZ
OBSERVACIÓN
NO CUMPLE
CUMPLE
NIVELES DEL MODELO DE MADUREZ
OBSERVACIÓN
NO CUMPLE
CUMPLE
NIVELES DEL MODELO DE MADUREZ
OBSERVACIÓN
NO CUMPLE
CUMPLE
NIVELES DEL MODELO DE MADUREZ
OBSERVACIÓN
NO CUMPLE
CUMPLE
NIVELES DEL MODELO DE MADUREZ
OBSERVACIÓN
NO CUMPLE
CUMPLE
NIVELES DEL MODELO DE MADUREZ
OBSERVACIÓN
NO CUMPLE
CUMPLE
NIVELES DEL MODELO DE MADUREZ
OBSERVACIÓN
NO CUMPLE
CUMPLE
NIVELES DEL MODELO DE MADUREZ
OBSERVACIÓN
NO CUMPLE
CUMPLE
NIVELES DEL MODELO DE MADUREZ
OBSERVACIÓN
NO CUMPLE
CUMPLE
NIVELES DEL MODELO DE MADUREZ
OBSERVACIÓN
NO CUMPLE
CUMPLE
NIVELES DEL MODELO DE MADUREZ
OBSERVACIÓN
NO CUMPLE
CUMPLE
NIVELES DEL MODELO DE MADUREZ
OBSERVACIÓN
NO CUMPLE
CUMPLE
NIVELES DEL MODELO DE MADUREZ
La gerencia no reconoce que los procesos clave del negocio pueden requerir
altos niveles de desempeño de TI o que el total de los requerimientos de
0 X
servicios de TI del negocio pueden exceder la capacidad. No se lleva cabo un
proceso de planeación de la capacidad.
Los usuarios, con frecuencia, tienen que llevar acabo soluciones alternas para
resolver las limitaciones de desempeño y capacidad. Los responsables de los
procesos del negocio valoran poco la necesidad de llevar a cabo una
1 planeación de la capacidad y del desempeño. Las acciones para administrar el X
desempeño y la capacidad son típicamente reactivas. El proceso de
planeación de la capacidad y el desempeño es informal. El entendimiento
sobre la capacidad y el desempeño de TI, actual y futuro, es limitado.
Los responsables del negocio y la gerencia de TI están conscientes del
impacto de no administrar el desempeño y la capacidad. Las necesidades de
desempeño se logran por lo general con base en evaluaciones de sistemas
2 individuales y el conocimiento y soporte de equipos de proyecto. Algunas X
herramientas individuales pueden utilizarse para diagnosticar problemas de
desempeño y de capacidad, pero la consistencia de los resultados depende de
la experiencia de individuos clave.
Los requerimientos de desempeño y capacidad están definidos a lo largo del
ciclo de vida del sistema. Hay métricas y requerimientos de niveles de
servicio bien definidos, que pueden utilizarse para medir el desempeño
operacional. Los pronósticos de la capacidad y el desempeño se modelan por
3 X
medio de un proceso definido. Los reportes se generan con estadísticas de
desempeño. Los problemas relacionados al desempeño y a la capacidad
siguen siendo susceptibles a ocurrir y su resolución sigue consumiendo
tiempo.
Hay procesos y herramientas disponibles para medir el uso del sistema, el
desempeño y la capacidad, y los resultados se comparan con metas definidas.
Hay información actualizada disponible, brindando estadísticas de
desempeño estandarizadas y alertando sobre incidentes causados por falta de
4 desempeño o de capacidad. Los problemas de falta de desempeño y de X
capacidad se enfrentan de acuerdo con procedimientos definidos y
estandarizados. Se utilizan herramientas automatizadas para monitorear
recursos específicos tales como espacios en disco, redes, servidores y
compuertas de red.
Los planes de desempeño y capacidad están completamente sincronizados
con las proyecciones de demanda del negocio. La infraestructura de TI y la
demanda del negocio están sujetas a revisiones regulares para asegurar que se
logre una capacidad óptima con el menor costo posible. Las herramientas
para monitorear recursos críticos de TI han sido estandarizadas y usadas a
través de diferentes plataformas y vinculadas a un sistema de administración
5 X
de incidentes a lo largo de toda la organización. Las herramientas de
monitoreo detectan y pueden corregir automáticamente problemas
relacionados con la capacidad y el desempeño. Se llevan a cabo análisis de
tendencias, los cuales muestran problemas de desempeño inminentes
causados por incrementos en los volúmenes de negocio, lo que permite
planear y evitar problemas inesperados.
Anexo 20
0MODELO MADUREZ DOMINIO:
DSS05: Administrar los Servicios de Seguridad
OBSERVACIÓN
NO CUMPLE
CUMPLE
NIVELES DEL MODELO DE MADUREZ