Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Auditoria Informatica
Auditoria Informatica
RESUMEN
El siguiente artculo presenta la Auditoria Informtica de los Sistemas Tecnolgicos de Informacin
realizada a la Cooperativa de Ahorro y Crdito Alianza del Valle. Ltda. Utilizando COBIT 4.0 que es un
estndar internacional de buenas prcticas en administracin y gobierno de tecnologas de informacin, que
permite una alineacin efectiva entre TI y los objetivos de negocio. El objeto de esta revisin tcnica es
identificar debilidades y emitir recomendaciones que permitan minimizar riesgos.
Para llevar a cabo este ejercicio de Auditoria, se elabor una matriz de riesgos, para establecer los ms
crticos y enfocar la evaluacin hacia ellos, con este resultado se elabor un plan de investigacin de campo o
programa detallado de auditora, en el que se establecen los diferentes instrumentos de evaluacin y prueba de
los controles. Luego de efectuar la investigacin de campo se orden y analiz la informacin en forma
comparativa, tomando como referencia los criterios de la norma antes indicada. Como resultado del anlisis se
elaboraron las observaciones y recomendaciones incluidas en dos informes: uno gerencial y otro detallado, los
que conjuntamente con la carpeta de evidencias fue aceptado luego de las lecturas de estos informes en
borrador y definitivo, el que contiene tambin los puntos de vista de los auditados.
Palabras Clave: Auditoria Informtica, Ambiente de Control, Ti, Cobit 4.0, Cooperativa Alianza del Valle.
ABSTRACT
This article aims to explain the process of achieving an Audit in the field of System Information for the Valley
Alliance Mutual (Cooperativa de Ahorro y Crdito Alianza del Valle Ltda.). along with COBIT 4.0, a tool
developed to help business managers understand and manage risks related to the implementation of new
technologies. COBIT runs through the finest controlled environment that focuses on optimizing the value of IT
thus achieving a successful design between IT and business goals. The sole purpose of this technical review is
to identify weaknesses and build suggestions minimizing risks.
To carry out this audit it was necessary to send a list of requirements to the entity, conducting a
comprehensive analysis of the documents submitted to the audit team in order clarify certain points of proposed
questions from the documents thus developing surveys to the staff of the entity receiving a clear response.
According to the results of these surveys, interviews will be conducted as an audit method to customize further
investigation, based on these surveys and interviews we were able to unfold and collect substantial tests and
evidence. Hence the results of the surveys, interviews and substantial testing and the alignment of the results to
each objective proposed by COBIT, we were able to obtain the observations and suggestions to be issued as a
statement to the management.
KeyWords: Computer-Audit, Environment-Control, Ti, Cobit, Cooperativa Alianza del Valle.
1. INTRODUCCIN
Los Sistemas Informticos deben integrarse a la gestin empresarial; a travs de normas y estndares
informticos implementados mediante controles en los procesos que cumplen los sistemas como apoyo al
negocio, especialmente en la toma de decisiones.
En el desarrollo tecnolgico que realiza la Cooperativa de Ahorro y Crdito Alianza del Valle, es necesario
una Auditoria Informtica, que permita asegurar que las soluciones propuestas e implantadas son las
adecuadas para el correcto funcionamiento del negocio financiero en el que se desenvuelve la Cooperativa y
que los riesgos han sido minimizados reducindolos al mximo posible en razn de su eficiencia y eficacia.
La evaluacin de los sistemas informticos, deber cubrir aspectos de planificacin, organizacin, procesos,
ejecucin de proyectos, seguridades, equipos, redes y comunicaciones, con el objeto de determinar los riesgos
a los que se encuentra sometida la Cooperativa Alianza del Valle y recomendar procedimientos que permitan
minimizarlos o eliminarlos.
El anlisis de los Objetivos de Control con COBIT debe ser de carcter objetivo e independiente, crtico,
basado en evidencia, sistemtico, bajo normas y metodologas aprobadas a nivel internacional, que seleccione
polticas, normas, prcticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de
informacin computarizados, que permiten obtener una opinin profesional e imparcial enfocada en aspectos
como: criterios de informacin y prcticas requeridas que ayuden a determinar con eficiencia el uso de los
recursos informticos, validez de la informacin y efectividad de los controles establecidos.
El proyecto de plan de tesis AUDITORA INFORMTICA DE LA COOPERATIVA DE AHORRO
CRDITO ALIANZA DEL VALLE LTDA, utilizar el estndar COBIT 4.0, para la evaluacin y auditoria del
ambiente informtico de la Cooperativa Alianza del Valle, profundizando conceptos de control interno y
procedimientos que se ejecutan.
2. METODOLOGA
Para la ejecucin de este trabajo se utiliza la metodologa ABR (Auditoria en base a riesgos), se
fundamenta en el estndar internacional COBIT 4.0 y se desarrolla en las siguientes etapas:
Planeacin de la Auditora.
Desarrollo de la Auditora.
Origen de la Auditora
Marco de Trabajo
Alcance
Desarrollo
Entrevistas
Simulacin
Cuestionarios
Toda la informacin pas luego al anlisis que se realiz utilizando un criterio profesional por parte
de los auditores y el equipo a cargo del proceso de Auditoria, toda la informacin recopilada fue
clasificada de manera que permita ubicarla fcilmente y
recomendaciones.
La evidencia se clasifica de la siguiente manera:
. Evidencia documental.
b. Evidencia fsica.
c. Evidencia analtica.
d. Evidencia testimonial.
Una vez que se tuvo informacin real y confiable se procedi a evaluar y probar el diseo y
aplicacin de los controles en la organizacin, para esto el equipo de Auditoria utiliz medios
informticos y electrnicos que permiten obtener resultados reales.
Para dar una opinin favorable o no de un sistema o proceso informtico, el equipo de auditores
comprob el funcionamiento de los sistemas de aplicacin y efectu una revisin completa de los equipos
de cmputo.
El estndar utilizado; en este caso al utilizar COBIT 4.0 se especific los dominios que se
utilizaron para la evaluacin y el plan de trabajo realizado entregado a la administracin.
Describir las causas del estado actual de la organizacin, adems se detall las consecuencias
que puede traer si la empresa continua manejndose de la misma forma.
3. MATERIALES Y MTODOS
En la realizacin de esta auditora informtica, las pruebas que se usaron son las que se describen a
continuacin:
Observacin Directa.- Es una tcnica que nos permite captar con todos nuestro sentido la realidad de
la organizacin y puede ser de dos tipos. No participante es aquella en que el auditor observa
externamente el proceso sin interferir en ellos. Y participante es aquella en la que el auditor participa en
los procesos de la unidad auditada, sea integrndose en el grupo y sus actividades. En cualquier caso
hay que definir el objetivo de la observacin (cul es el motivo de su realizacin), las variables de la
observacin (que queremos observar, planificacin de la observacin (que haremos durante la
observacin y trascripcin de la observacin (como se expresara la observacin, por escrito,
visualmente, etc.).
Entrevistas.- Es una tcnica til y arriesgada, sta representa la inversin del territorio laboral de una
persona, es lgico por lo tanto reacciones defensivas e incluso hostiles. Una forma de 'rebajar" tensin
est en adoptar una postura amigable y de colaboracin. El rendimiento de la entrevista depende de los
siguientes factores (repartidos por igual entre el auditor y el entrevistado); la experiencia y los
conocimientos del auditor y la predisposicin y los conocimientos del entrevistado.
4. DISEO E IMPLEMENTACIN
Existen varias posibilidades para enfrentar la auditora segn lo establecido por COBIT, y pueden ser:
Controles de riesgo
Pasos y Tareas
Puntos
Decisin.
de
El esquema planteado para el presente trabajo corresponde a examinar los Pasos y Tareas, debido a que
se revisaron los controles seleccionados para cada dominio y se evaluaron las actividades realizadas el sistema
de informacin.
Otra decisin a tomada en este momento fu definir si la auditora sera llevada a cabo con una
metodologa Cuantitativa o Cualitativa (Subjetiva).
En este caso se utiliz un mtodo mayormente cualitativo, aunque en ciertos casos se utiliz anlisis
cuantitativo, ya que el enfoque con el que se trabaja est basado en la experiencia, concentrndose en factores
intangibles.
5. RESULTADOS
La siguiente matriz muestra el estado o situacin inicial en la que se encuentra la empresa nos ayuda a
determinar los riesgos altos que deben ser auditados y mejorados.
Matriz de riesgos base para la investigacin de campo.Dominio General a analizar
Subdominio a analizar
Documentado
bajo
PO1
PO1.1
PO1.2
PO1.3
PO1.4
Plan estratgico de TI
PO1.5
Planes tcticos de TI
PO1.6
PO2
PO2.1
Medio
Alto
Proceso de TI
o
o
x
o
PO2.2
PO2.3
PO2.4
Administracin de la integridad
PO3
PO3.1
PO3.2
PO3.3
PO3.4
Estndares tecnolgicos
PO3.5
Consejo de arquitectura
PO4
No Documentado
Control de Fuentes
Riesgo
No importante
importante
Muy
importante
Algo
Importancia
o
o
o
x
o
x
Resultados Oficiales:
Se debe implantar de forma inmediata un esquema de clasificacin de datos que aplique a toda la
empresa (pblica, confidencial, secreta); al no tener un correcto esquema de clasificacin de datos
es imposible aplicar un sistema de seguridad eficaz y eficiente; esto puede ser causa de perjuicio
econmico a la Cooperativa con alto riesgo en la proteccin de los datos crticos que no hayan sido
considerados como tales.
La Cooperativa Alianza del Valle no cuenta con una correcta administracin de riesgos en TI; por
este motivo el Jefe del Departamento de Sistemas debe implementar un esquema de administracin
de riesgos en base a un plan que considere: identificacin y anlisis de riesgos, riesgos e impacto a
la funcionalidad de negocio, posibilidad de concurrencia, prioridad de riesgos, factores de
minimizacin de impacto de riesgos definidos y nuevos, evaluacin permanente de los riesgos.
La Cooperativa no cumple con una administracin de la base de datos SYBASE acorde con polticas
de monitoreo de servidores, revisin de consistencia de base de datos, bitcoras para el registro de
sucesos y permisos de acceso de los usuarios, por este motivo es necesario cumplir con las normas
de administracin de base de datos que se encuentran estipuladas.
No se pudo evidenciar el cumplimiento del manual para ejecucin de pruebas ni documentos que
validen la actualizacin del plan de contingencia en transicin.
En el anlisis de las seguridades fsicas se pudo constatar, que los data center no cuentan con un
adecuado control de acceso, poseen cmaras que no estn debidamente monitoreadas, su personal
no cuenta con capacitacin en el uso de los extintores; no poseen pisos falsos ni otros dispositivos
que mitiguen el riesgo de dao en los equipos en caso de inundacin.
6. TRABAJOS RELACIONADOS.
Existen otros trabajos realizados con anterioridad y que fueron revisados por parte del equipo de auditora
como: Evaluacin de las Seguridades y redes de la Cooperativa, ejecutado por una empresa consultora.
7. CONCLUSIONES Y TRABAJO FUTURO
La auditora realizada presenta las debilidades en los aspectos definidos por la matriz de riegos, con las
evidencias obtenidas de las actividades de verificacin de los controles especificadas en la norma Internacional
COBIT, en base a una metodologa de Auditora en Base de Riesgos (ABR), detallada en un Plan de
investigacin de campo y ejecutada con instrumentos de evaluacin acordes con el objetivo de investigacin.
Es importante que las recomendaciones sean acogidas por la Administracin de la Cooperativa y se
disponga la elaboracin de un plan de cumplimiento, el que deber estar en concordancia con el Plan
Estratgico y Plan Operativo de la Institucin.
8. AGRADECIMIENTOS
Los autores, expresarn su reconocimiento y agradecimiento a quienes hicieron posible la ejecucin de esta
tesis: los miembros de la administracin de la Cooperativa de Ahorro y Crdito Alianza del Valle, a los directores
de la tesis, quienes aportaron con su experiencia en la direccin de la misma.
9. REFERENCIAS BIBLIOGRFICAS
[1] ISO 27002 y COBIT 4.0 Disponible en:
www.monografias.com [2] Resolucin y decretos, Disponible en:
http://www.sbs.gob.ec/
[3] Manual de Auditora; Proporcionada por una firma de Auditora, Edicin del 2008.
[4] Jos Antonio Echenique Garca, Auditoria Informtica, Editorial McGraw-Hill. Segunda
Edicin. [5] Murphy, David, La auditora de sistemas informticos, (1998)
[6] Gil Peuchan Ignacio, Sistemas y Tecnologas de la Informacin para la Gestin, Edit. McGraw Hill,
Madrid- Espaa (1999),
[7] Sergio Etcheverry, Auditoria a las Tecnologias de la
Informacion,
http://www.unap.cl/~setcheve/ati/DefinirunaPlanEstratgicoenTI.html