PROYECTO DE GRADO PARA LA OBTENCIÓN DEL TÍTULO DE

INGENIERÍA

“AUDITORÍA INFORMÁTICA DE LA COOPERATIVA DE AHORRO Y CRÉDITO ALIANZA DEL VALLE

LTDA. APLICANDO COBIT 4.0”

Barros Marcillo Gabriela FernandaCadena Marten Andrea Erika

Sangolquí – Ecuador2012

Objetivos

General

• Realizar una Auditoría Informática del Sistema de Información de la Cooperativa Alianza del Valle, utilizando el estándar internacional COBIT 4.0, a fin de identificar debilidades y emitir recomendaciones que permitan eliminar o minimizar los riesgos en la Institución

Específicos•Evaluar y describir la planeación, organización y situación actual de los Sistemas de Información de la Cooperativa Alianza del Valle, enfocándose en las estrategias, tácticas e infraestructura tecnológica de información, que contribuyen al logro de los objetivos del negocio.

•Evaluar la adquisición e implementación de las TI, los procesos en los que estas se desenvuelven, cambios y mantenimiento realizado a los sistemas existentes, así como la verificación de la calidad y suficiencia de los procesos de la Institución, y el monitoreo de los requerimientos de control.

• Evaluar la entrega de los servicios requeridos, desde las operaciones tradicionales hasta el entrenamiento al personal que interfiere directamente con las Tecnologías de Información, abarcando aspectos de seguridad, continuidad del negocio, revisión del procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación.

Específicos

• Aplicar el estándar COBIT4.0 en la evaluación y auditoria de sistemas de la Cooperativa Alianza del Valle.

• Emitir recomendaciones que permitan asegurar una mayor integridad, confidencialidad y confiabilidad de la información, en base a un estudio y aplicación de metodologías a los procesos de la Cooperativa Alianza del Valle.

Introducción • En la actualidad la información institucional, se ha convertido en un

activo fijo real invaluable, lo cual obliga a las instituciones a implantar diversos controles que ayuden a proteger la integridad de la información.

• Para vigilar el correcto funcionamiento de dichos controles y comprobar su efectividad es necesaria la evaluación periódica de los sistemas de información implantados, para asegurar la continuidad y cumplimiento de metas del negocio.

Justificación e Importancia

• El desarrollo tecnológico que enfrenta la Cooperativa de Ahorro y Crédito Alianza del Valle Ltda., con el manejo de diversos sistemas de información y automatización en sus procesos, necesita corregir fallas, ejecutar procesos de calidad y entregarlos en el momento oportuno, detectar los errores mediante una Auditoría Informática, realizada y ejecutada por un grupo capacitado, que proponga soluciones efectivas para minimizar riesgos y mejorar el empleo de la tecnología de información en la Cooperativa de Ahorro y Crédito Alianza del Valle Ltda..

Alcance

El alcance viene dado por la metodología COBIT en sus cuatro dominios ; que nos indica la forma de utilizar la tecnología de la información para lograr los objetivos del negocio; y su evaluación paulatina para verificar su calidad y suficiencia en cuanto a los requerimientos de control.

Como primera parte se espera recoger, agrupar y evaluar evidencias para determinar si el sistema informático mantiene la integridad de los datos y principalmente lleva a cabo eficazmente los fines de la organización utilizando eficientemente los recursos.

Este trabajo se ejecuto en la Cooperativa de Ahorro y crédito Alianza del Valle LTDA., aspirando obtener recomendaciones en base a las falencias detectadas las cuales quedarán planteadas en el informe final y deberán ser aplicadas por parte de las autoridades

Auditoría Informática

Definición: Es el conjunto de técnicas, actividades y procedimientos, destinados a analizar, evaluar, verificar y recomendar en asuntos relativos a la planificación, control, eficacia, seguridad y adecuación del servicio informático en la empresa, mediante un examen metódico, puntual y discontinuo del servicio informático, con vistas a mejorar en rentabilidad, seguridad y eficacia.

Importancia: El propósito a alcanzar por una organización que contrata la auditoria de cualquier parte de sus SI es asegurar que sus objetivos estratégicos son los mismos que los de la organización y que los sistemas prestan el apoyo adecuado a la consecución de estos objetivos, tanto en el presente como en su evolución futura.

Ambiente de Control• El ambiente de control es el conjunto de circunstancias que enmarcan el

accionar de una entidad, para establecer o incrementar la efectividad de los procedimientos, desde una perspectiva de control interno.

• El auditor tiene como objetivo verificar que el ambiente de control en la empresa sea adecuado para asegurar la totalidad, integridad y oportunidad de la información.

• Los principales factores para que se produzca ese "Ambiente de Control", son :

 ▫ La filosofía y el estilo de operación de la gerencia▫ La estructura, el plan organizacional, los reglamentos y los manuales de

procedimiento.▫ La integridad, y compromiso de todos por cumplir las metas y políticas

internas.▫ Las formas de asignación de responsabilidades, de administración y

desarrollo del personal.▫ El grado de documentación de políticas, decisiones y de formulación de

programas que contengan metas, objetivos e indicadores de rendimiento

El Proceso de la Auditoría Informática•Planificación

• En esta fase se establecen las relaciones entre auditores y la entidad, para determinar alcance y objetivos. Se hace un bosquejo que le permitan al auditor elaborar el programa de auditoria que se llevará a efecto.

• Elementos Principales de esta Fase:

▫ Conocimiento y Comprensión de la Entidad▫ Objetivos y Alcance de la auditoria▫ Análisis Preliminar del Control Interno▫ Análisis de los Riesgos▫ Planeación Específica de la auditoria▫ Elaboración de programas de Auditoria

Ejecución

• En esta fase se realizan las pruebas y se utilizan todas las técnicas o procedimientos para encontrar las evidencias de auditoria que sustentarán el informe de auditoría.

• Se elaboran las conclusiones y recomendaciones y se las comunican a las autoridades de la entidad auditada.

• Elementos de la fase de ejecución:

▫ Las Pruebas de Auditoria▫ Técnicas de Muestreo▫ Evidencias de Auditoria▫ Papeles de Trabajo▫ Hallazgos de Auditoria

Finalización

• En esta fase se presenta un informe a las autoridades de la entidad donde consten :

• Periodo de tiempo de la auditoria• Personas que integran el grupo de trabajo• Dominios de evaluación • Los objetivos que se pretendieron alcanzar • Condición inicial de la entidad• Causas de lo encontrado con sus respectivos efectos• Recomendaciones para su mejora • Puntos de vista de la administración

• El informe final del auditor, debe estar elaborado de forma sencilla y clara, ser constructivo y oportuno

Técnicas de Auditoría Informática

Son los métodos prácticos de investigación y prueba, que utiliza el auditor, para obtener la evidencia necesaria que fundamente sus opiniones y conclusiones.

•Estudio General: Es la apreciación y juicio de las características generales de la empresa.

•Comprobación: consiste en verificar la evidencia con el fin de corroborar su veracidad mediante el examen de los documentos que la justifican

•Confirmación: Es la ratificación por parte de una persona ajena a la empresa, la cual está en condiciones de informar válidamente sobre ella.

• Inspección: Es la verificación física de las cosas materiales.

• Investigación: Es la recopilación de información mediante pláticas con los funcionarios y empleados de la empresa.

• Entrevistas: Es una de las actividades personales más importante del auditor ya que en ellas se recoge información verídica.

• Observación: Es una manera de inspección, menos formal, y se aplica generalmente a operaciones para verificar como se realiza en la práctica.

Herramientas de Auditoría Informática

• Cuestionarios: Las auditorías informáticas se materializan recabando información y documentación de todo tipo; el auditor debe obtener toda la información necesaria mediante la aplicación.

• Checklist: El auditor conversará y hará preguntas "normales", debe tener elaboradas listas de preguntas muy sistematizadas, coherentes y clasificadas.

COBIT • COBIT es un estándar internacional para el adecuado

control de proyectos de tecnología, flujos de información y los riesgos que estos implican, además esta orientado a procesos de administración de TI, es uno de los estándares mas completos para auditorias informáticas basado en cuatro dominios.

• Los gerentes, auditores y usuarios se benefician del desarrollo de COBIT 4.0 ya que este les ayuda a entender y comprender el nivel de seguridad de sus sistemas TI, además permite definir qué control es el necesario para proteger los activos de sus empresas mediante el desarrollo de un modelo de gobernación TI.

GENERALIDADES DE COBIT

Dominios: agrupación de procesosProcesos: conjunto de tareas o actividadesActividades: tareas necesarias para alcanzar un resultado medible

ORIENTADO A PROCESOS

ORIENTADO A NEGOCIOS

Ya que ofrece herramientas para garantizar la alineación de la administración de TI con los Requerimientos de negocio .

Planear y Organizar

Adquirir e implementar

Entregar y dar Soporte

Monitorear y Evaluar

Dominios de TI

Planear y Organizar

Cubre las estrategias, tácticas y la manera de identificar la forma en que TI puede

contribuir al logro de los objetivos de negocio

• ¿Están alineadas las estrategias de TI y del negocio? • ¿La empresa está

alcanzando un uso óptimo de sus recursos? • ¿Entienden todas las personas

dentro de la organización los objetivos de TI? • ¿Se entienden y administran los

riesgos de TI? • ¿Es apropiada la calidad de los sistemas de TI para las

necesidades del negocio?

Dominios de TI

Planear y Organizar

Procesos de TI

Adquirir e Implementar

Son cambios y mantenimiento de los sistemas existentes para garantizar la

natural continuidad del negocio.

• ¿Los nuevos proyectos generan soluciones que satisfagan las necesidades

del negocio? • ¿Los nuevos proyectos son entregados a tiempo y dentro

del presupuesto? • ¿Trabajarán adecuadamente los nuevos sistemas una

vez sean implementados? • ¿Los cambios afectarán las operaciones

actuales del negocio?

Dominios de TI

Adquirir e Implementar

Procesos de TI

Entregar y Dar Soporte

Prestación efectiva de los servicios requeridos, comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta capacitación.

•¿Se están entregando los servicios de TI de acuerdo con las prioridades del negocio? •¿Están optimizados los costos de TI? •¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? •¿Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?

Dominios de TI

Entregar y Dar Soporte

Procesos de TI

Monitorear y Evaluar

Evaluar regularmente todos los procesos de TI para determinar su calidad y el

cumplimiento de los requerimientos de control.

•¿Se mide el desempeño de TI para detectar los problemas antes de que sea

demasiado tarde? •¿La Gerencia garantiza que los controles internos son efectivos

y eficientes? •¿Puede vincularse el desempeño de lo que TI ha realizado con las

metas del negocio? •¿Se miden y reportan los riesgos, el control, el cumplimiento

y el desempeño?

Dominios de TI

Monitorear y Evaluar

Procesos de TI

Aplicación del modelo COBIT en la Cooperativa de Ahorro y Crédito Alianza del Valle Ltda.

DESCRIPCION DE LA COOPERATIVA

• Cooperativa Alianza del Valle, es una Institución que nació hace 41 años con el fin de colaborar con el progreso y bienestar de la comunidad, y es gracias a sus asociados que ha logrado convertirse en una institución financiera sólida con visión de liderazgo.

• Alianza del Valle es una entidad solidaria que trabaja por la comunidad ofreciendo sobre todo seguridad y confianza, que le han convertido en Su Cooperativa Amiga.

Estructura Organizativa del Área de Sistemas

Antecedentes Generales

La Cooperativa Alianza del Valle a solicitado la ejecución de una auditoria informática, la misma que se realizo en función de entrevistas y obtención de información sostenidas con el personal de sistemas donde efectuamos evaluaciones de las políticas, controles de aplicación y procedimientos de TI existentes.

El contenido de esta auditoria esta basada en cuatro pilares de revisión:

•COBIS•Base de Datos Sybase•Hardware y Software•Comunicaciones o Redes

INVESTIGACION DE CAMPO

Identificación de Riesgos TI Críticos

Matriz de Riesgos:

Matriz de Investigación de Campo:

Herramienta utilizada por COBIT para detectar riesgos críticos en una entidad

Herramienta utilizada por COBIT para la planificación del trabajo a realizar por parte de los auditores.

Planeación de la Auditoría

Nivel de madurez de la empresa

El modelo de madurez es una forma de medir qué tan bien están desarrollados los procesos administrativos, esto es, qué tan capaces son en realidad. Qué tan bien desarrollados o capaces deberían ser, principalmente dependen de las metas de TI y en las necesidades del negocio.

Matriz de madurez

Informe y Resultados del Caso Práctico

• Realizada la revisión de la documentación de la Cooperativa y ejecutado el análisis de acuerdo a la Guía de Auditoría de COBIT, se pudieron obtener un grupo de conclusiones y recomendaciones que se indican en el INFORME BORRADOR DETALLADO, el cual fue presentado y discutido con el encargado del departamento de Sistemas , de lo cual se obtuvo las justificaciones respectivas de algunos temas que se creyó conveniente levantar la observación.

• Posteriormente se elaboró el INFORME FINAL DETALLADO Y UN INFORME FINAL EJECUTIVO, el cual ha sido enviado a la Gerencia, el documento incluye un resumen gerencial, las conclusiones y recomendaciones realizadas.

Conclusiones y Recomendaciones Conclusiones

•El modelo COBIT, en la actualidad es una de las herramientas más importantes que se utiliza de guía para mantener el control de las actividades y procesos de T.I. Este modelo exige que todos los procesos estén documentados, aprobados, en conocimiento, aplicados y evaluados por los usuarios de la organización.

•Mediante el marco de referencia COBIT, se evaluaron los procesos de TI en la Cooperativa Alianza del Vallle, en base a los criterios de: efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.

• Lo importante al utilizar una metodología de control cualquiera que sea ésta, es la colaboración y predisposición de los involucrados en el mismo, ya que cualquier control que se implemente únicamente tendrá efecto en el momento en que la gente tome conciencia de su importancia y el aporte que éste brinda a su desempeño.

• Mediante COBIT la toma de decisiones es más eficaz en: la definición de un plan estratégico, definición de la información, definición de la arquitectura, adquisición de hardware necesario, adquisición de software, el aseguramiento del servicio continuo, y la supervisión de los sistemas de TI.

• Con este estudio se ha dado un conjunto de directrices las cuales pueden ayudar a alinear TI con el negocio, es decir identificar riesgos, gestionar recursos y medir el desempeño, así como el nivel de madurez de cada uno de los procesos.

Conclusiones y Recomendaciones Recomendaciones

•La auditoría informática realizada para el presente proyecto, presenta una serie de observaciones y recomendaciones que consideramos son un buen aporte para la gestión de T.I. dentro de la Cooperativa Alianza del Valle, por lo que recomendamos sean tomadas en cuenta para su aplicación, para evitar los riesgos planteados.

•Es importante tener presente que la interacción permanente entre el grupo de auditoría y la gerencia de la organización, especialmente en las entregas del informe preliminar con el fin de evitar posibles errores u omisiones, que incurran en problemas legales contra el grupo de auditoría.

• Se recomienda hacer uso del presente trabajo, con el fin de tomarlo como guía para futuras mejoras en TI, además de realizar evaluaciones periódicas con el fin de medir el avance de cada uno de los procesos.

• Luego de la revisión se analizo el nivel de madurez en que actualmente se encuentra la empresa según los riesgos y fallas encontradas y se determina el nivel al que se puede ascender si se cumplen con las recomendaciones planteadas.