T Espe 033091 PDF

ESCUELA POLITCNICA DEL EJRCITO
CARRERA DE INGENIERA DE SISTEMAS E INFORMTICA
DPTO. DE CIENCIAS DE LA COMPUTACIN
AUDITORA INFORMTICA DE LA COOPERATIVA DE

AHORRO Y CRDITO ALIANZA DEL VALLE LTDA.
APLICANDO COBIT 4.0
Previa a la obtencin del Ttulo de:
INGENIERO EN SISTEMAS E INFORMTICA
REALIZADO POR:
GABRIELA FERNANDA BARROS MARCILLO
ANDREA ERIKA CADENA MARTEN
SANGOLQU, 10 de Enero del 2012
CERTIFICACIN
Certifico que el presente trabajo fue realizado en su totalidad por las Srtas.
GABRIELA FERNANDA BARROS MARCILLO y ANDREA ERIKA CADENA
MARTEN como requerimiento parcial a la obtencin del ttulo de INGENIERAS
EN SISTEMAS E INFORMTICA.
Sangolqu, 10 de Enero del 2012
_________________________
ING. MARIO RON
DEDICATORIA
A mis Padres, quienes durante toda mi vida me han brindado la fuerza,

confianza, nimo y apoyo necesario; siendo mi apoyo incondicional en toda
esta etapa de mi vida, tambin es dedicada a mi hermano que es el motivo de
mi lucha diaria y, por el que me esfuerzo da a da.
Rolando Neidy y Hctor
ANDREA CADENA
DEDICATORIA
Dedico este proyecto de tesis a DIOS, a mi familia y mi novio. A Dios porque

ha estado conmigo a cada paso que doy, cuidndome y dndome fortaleza
para continuar, a mi familia, quienes a lo largo de mi vida han velado por mi
bienestar y educacin siendo mi apoyo en todo momento. Depositando su
entera confianza en cada reto que se me presentaba sin dudar ni un solo
momento en mi inteligencia y capacidad. A mi novio, compaero inseparable
apoyo en los momentos difciles y aliento para seguir adelante y no desmayar.
Es por ellos que soy lo que soy ahora. Los amo con mi vida.
GABRIELA BARROS
AGRADECIMIENTO
A mis padres por ser mi ejemplo a seguir, por brindarme todo el amor y apoyo
durante mi vida, a mi hermano por darme la fuerza para seguir adelante a
pesar de todo, a mi enamorado por ser mi soporte, a mi familia por siempre
estar a mi lado, a la Escuela Politcnica del Ejrcito por todas las enseanzas
recibidas, a los ingenieros que ayudaron en la elaboracin de este proyecto:
Ing. Mario Ron, Eco. Gabriel Chiriboga; por su gua en todas las fases de la
tesis y a todas las personas que de una u otra forma ayudaron a la culminacin
de esta meta.
ANDREA CADENA
AGRADECIMIENTO
En primer lugar a DIOS por haberme guiado por el camino de la felicidad hasta
ahora; en segundo lugar a cada uno de los que son parte de mi familia a mi
PADRE Vctor Barros, mi MADRE Rosario Marcillo, mis hermanos y sobrinos
por siempre haberme dado su fuerza y apoyo incondicional que me han
ayudado y llevado hasta donde estoy ahora. A mi compaera de tesis y amiga
Andrea Cadena, a la Escuela Politcnica del Ejrcito por todas las enseanzas
recibidas y, de una manera muy especial agradezco a quienes fueron gua y
apoyo para culminar este proyecto Ing. Mario Ron y Eco. Gabriel Chiriboga.
GABRIELA BARROS
TABLA DE CONTENIDOS
ANEXOS ........................................................................................................ 116
Anexo A
Hojas de Evaluacin ............................................................................... 116
Anexo B
Carpeta de Evidencias ............................................................................ 149
Anexo C
Lista de Documentacin Solicitada ......................................................... 213
Anexo D
INFORME EJECUTIVO........................................................................... 215
Anexo E
INFORME DETALLADO ......................................................................... 221
Anexo F
NIVEL DE MADUREZ DE LA COOPERATIVA ....................................... 250
Anexo G
PROPUESTA DE SERVICIOS DE AUDITORA EN INFORMTICA ...... 256
BIBLIOGRAFA .............................................................................................. 261
CAPTULO I ..................................................................................................... 18
1.1 GENERALIDADES ................................................................................. 18
1.2. EL PROCESO DE LA AUDITORA INFORMTICA .............................. 27
1.3. CLASIFICACIN DE LOS CONTROLES TI .......................................... 34
CAPTULO II .................................................................................................... 37
2.1. INTRODUCCIN ................................................................................... 37
2.2. CONTENIDO (PRODUCTOS COBIT) ................................................... 38
2.3. GENERALIDADES DEL MODELO COBIT ........................................... 42
CAPTULO III ................................................................................................... 54
3.1. SITUACIN ACTUAL DE LA ENTIDAD ................................................ 54
3.2. APLICACIN DEL MODELO COBIT A LA COOPERATIVA DE
AHORRO Y CREDITO ALIANZA DEL VALLE ........................................ 81
3.3. INVESTIGACIN DE CAMPO ............................................................... 87
CAPTULO IV ................................................................................................. 107
4.1. INTRODUCCIN ................................................................................. 107
4.2. RESUMEN EJECUTIVO ...................................................................... 107
4.3. DESCRIPCIN DEL TRABAJO EFECTUADO ................................... 109
7
4.4. RESULTADOS INFORME DE LAS RECOMENDACIONES

ACORDADAS CON LAS AUTORIDADES PERTINENTES .................... 110
CAPTULO V .................................................................................................. 114
NDICE DE GRFICAS ...................................................................................... 8
NDICE DE TABLAS .......................................................................................... 7
PRLOGO ....................................................................................................... 17
RESUMEN ....................................................................................................... 16
NDICE DE TABLAS
TABLA 2: MATRIZ COBIT VS ITIL, COSO ................................................................. 50

TABLA 3: MATRIZ DE RIESGOS .............................................................................. 87
TABLA 4:MATRIZ DE INVESTIGACIN DE CAMPO ..................................................... 97
NDICE DE GRFICAS
GRFICA 1:PIRMIDE DE PROCESOS ..................................................................... 27

GRFICA 2:PAQUETE DE PROGRAMAS DE COBIT .................................................. 39
GRFICA 3: PRINCIPIOS BSICOS DE COBIT ........................................................... 43
GRFICA 4:CUBO COBIT ...................................................................................... 45
GRFICA 5:NIVELES DE ACTIVIDADES DE TI ........................................................... 46
GRFICA 6:MARCO DE COBIT ............................................................................. 49
GRFICA 7:ESTRUCTUTA ORGANIZACIONAL................................................ 59
GRFICA 8: AREA OCUPACIONAL .......................................................................... 60
GRFICA 9:GRUPO OCUPACIONAL ....................................................................... 60
GRFICA 10:OCUPACIONES ................................................................................. 61
GRFICA 11:ESTRUCTURA ORGANIZACIONAL DEL AREA DE SISTEMAS ...................... 68
GRFICA 12: ESPECIFICACIN DE SERVIDORES ...................................................... 79
GRFICA 13:ESQUEMA DE LA RED LAN/ WAN ...................................................... 80
GLOSARIO DE TRMINOS
Alcance de la auditora.- El marco o lmite de la auditora y las materias,
temas, segmentos o actividades que son objeto de la misma.
Alta gerencia.-La alta gerencia est compuesta por una cantidad de personas
comparativamente pequea y es la responsable de administrar toda la
organizacin. Estas personas reciben el nombre de ejecutivos. Establecen las
polticas de las operaciones y dirigen la interaccin de la organizacin con su
entorno.
Amenaza.- Cualquier aspecto o escenario que pueda ocasionar que un riesgo
se convierta en incidente, o sea, que llegue a realizarse.
Archivos de sistema.- Son aquellos archivos de uso exclusivo del sistema

operativo. Estos archivos no pueden ser eliminados normalmente por el usuario
o el sistema le advierte que se dispone a eliminar un fichero necesario para su
correcto funcionamiento.
Auditor.- Persona que efecta una auditora.
Auditora.- Examen de las operaciones de una empresa, realizado por

especialistas ajenos a ella y con objetivos de evaluar la situacin de la misma.
Auditora de sistema. Es la revisin que se dirige a evaluar los mtodos y

procedimientos de uso en una entidad, con el propsito de determinar si su
diseo y aplicacin son correctos; y comprobar el sistema de procesamiento de
informacin como parte de la evaluacin de control interno; as como para
identificar aspectos susceptibles de mejorarse o eliminarse.
Auditora de tecnologas de la informacin. Consiste en el examen de las

polticas, procedimientos y utilizacin de los recursos informticos; confiabilidad
y validez de la informacin, efectividad de los controles en las reas, las
aplicaciones, los sistemas de redes y otros vinculados a la actividad

informtica.
Bases de Datos.- Coleccin de datos pertenecientes a un mismo contexto,
organizada de tal modo que el ordenador pueda acceder rpidamente a ella.
Una base de datos relacionar, es aquella en la que las conexiones entre los
distintos elementos que forman la base de datos, estn almacenadas
explcitamente con el fin de ayudar a la manipulacin y el acceso a stos.
Bitcoras.- Es como el "diario" de algunos programas donde se graban todas

las operaciones que realizan, para posteriormente abrirlos y ver qu es lo que
ha sucedido en cada momento.
Capacitacin.- Toda accin organizada y evaluable que se desarrolla en una

empresa para: modificar, mejorar y ampliar los conocimientos; habilidades y
actitudes del personal, generando un cambio positivo en el desempeo de sus
tareas.
COBIT: Control Objectives for Information and related Technology (Objetivos

de Control para Tecnologa de la Informacin y Relacionadas).
Cliente.- Cliente o programa cliente, es aquel programa que permite
conectarse a un determinado sistema, servicio o red.
Cliente-Servidor.- Se denomina as, al binomio consistente en un programa

cliente que consigue datos de otro llamado servidor, sin tener que estar
obligatoriamente ubicados en el mismo ordenador. Esta tcnica de consulta
'remota' se utiliza frecuentemente en redes como 'Internet'.
Eficacia.- Capacidad de lograr el efecto que se desea o se espera.
Eficiencia.- Conjunto de atributos, que se refieren a las relaciones entre el

nivel de rendimiento del software y, la cantidad de recursos utilizados bajo unas
condiciones predefinidas.
10
Estndar.- Es toda regla aprobada o prctica requerida, para el control de la

performance tcnica y de los mtodos utilizados por el personal involucrado en
el Planeamiento y Anlisis de los Sistemas de Informacin.
Evaluacin.- Es el proceso de recoleccin y anlisis de informacin y, a partir

de ella, presentar las recomendaciones que facilitarn la toma de decisiones.
Elemento del modelo.- Es una abstraccin destacada del sistema que est
siendo modelado.
Evaluacin de Riesgo.- Es el proceso utilizado para identificar y evaluar

riesgos y su impacto potencial.
Evidencia.- Es toda informacin que utiliza el AI, para determinar, si el ente o

los datos auditados siguen los criterios u objetivos de la auditora.
Evidencia de auditora. Son las pruebas que obtiene el auditor, durante la

ejecucin de la auditora, que hace patente y manifiesta la certeza o conviccin,
sobre los hechos o hallazgos, que prueban y demuestran claramente stos,
con el objetivo de fundamentar y respaldar sus opiniones y conclusiones.
Estndares: Es una especificacin o modelos que regulan la realizacin de

ciertos procesos o la fabricacin de componentes para garantizar la
interoperabilidad.
Hallazgos. Son evidencias, como resultado de un proceso de recopilacin y
sntesis de informacin: la suma y la organizacin lgica de informacin,
relacionada con la entidad, actividad, situacin o asunto que se haya revisado o
evaluado, para llegar a conclusiones al respecto o para cumplir alguno de los
objetivos de la auditora. Sirven de fundamento a las conclusiones del auditor y,
a las recomendaciones que este formula para que se adopten las medidas
correctivas.
11
Herramienta.- Es el conjunto de elementos fsicos utilizados para llevar a cabo

las acciones y pasos definidos en la tcnica.
Herramienta de Control.- Son elementos de software, que permiten definir

uno o varios procedimientos de control, para cumplir una normativa y un
objetivo de control.
Herramientas de Software de Auditora.- Son programas computarizados,

que pueden utilizarse para brindar informacin para uso de auditora.
Informtica.- Ciencia que estudia el tratamiento automtico de la informacin

en computadoras, dispositivos electrnicos y, sistemas informticos.
Informe de Auditora.- Es el producto final del Auditor de SI; constituye un

medio formal de comunicar los objetivos de la auditora, el cuerpo de las
normas de auditora que se utilizan, el alcance de auditora y, los hallazgos,
conclusiones y recomendaciones.
Integridad.- Consiste en que solo los usuarios autorizados puedan variar los
datos.
Irregularidades.- Son las violaciones intencionales a una poltica gerencial

establecida, declaraciones falsas deliberadas u omisin de informacin del rea
auditada o de la organizacin.
Infraestructura tecnolgica.- Conjunto de elementos de hardware (servidores,

puestos de trabajo, redes, enlaces de telecomunicaciones, etc.), software
(sistemas
operativos,
bases
de
datos,
lenguajes
de
programacin,
herramientas de administracin, etc.) y servicios (soporte tcnico, seguros,

comunicaciones, etc.); que en conjunto dan soporte a las aplicaciones
(sistemas informticos) de una empresa.
12
Jerarqua.- Es la disposicin de personas, animales o cosas, en orden

ascendente o descendente, segn criterios de clase, poder, oficio, categora,
autoridad o cualquier otro asunto que conduzca a un sistema de clasificacin.
Metodologa: Se refiere a los mtodos de investigacin que se siguen para

alcanzar una gama de objetivos en una ciencia. An cuando el trmino puede
ser aplicado a las artes, cuando es necesario efectuar una observacin o
anlisis ms riguroso o explicar una forma de interpretar la obra de arte. En
resumen, son el conjunto de mtodos que se rigen en una investigacin
cientfica o en una exposicin doctrinal.
Norma.- Principio que se impone o se adopta para dirigir la conducta o la

correcta realizacin de una accin, as como el correcto desarrollo de una
actividad.
Normas de auditora: Constituyen el conjunto de reglas que deben cumplirse,

para realizar una auditora con la calidad y eficiencia indispensables.
Objetivo de la auditora. Propsito o fin que persigue la auditora, o la

pregunta que se desea contestar por medio de aquella. Auditora.
Objetivo de Control.- Son declaraciones sobre el resultado final deseado o

propsito a ser alcanzado, mediante las protecciones y los procedimientos de
control. Son los objetivos a cumplir en el control de procesos.
Ofimtica.- Es el sistema informatizado que genera, procesa, almacena,

recupera, comunica y presenta datos relacionados con el funcionamiento de la
oficina.
Outsourcing.- Es un contrato a largo plazo de un sistema de informacin o

proceso de negocios, a un proveedor de servicios externos.
Polticas.-
Conjunto
de
disposiciones
documentadas
que
regulan
el
comportamiento de un grupo de individuos.

13
Poltica interna.- Conjunto de normas, reglas y disposiciones que regulan el

comportamiento, las responsabilidades y las restricciones del personal de una
empresa.
Prevencin.- Adopcin de medidas encaminadas a impedir que se produzcan

deficiencias fsicas, mentales y sensoriales (prevencin primaria) o a impedir
que las deficiencias, cuando se han producido, tengan consecuencias fsicas,
psicolgicas y sociales negativas.
Procedimientos de Control.- Son los procedimientos operativos de las

distintas reas de la empresa, obtenidos con una metodologa apropiada, para
la consecucin de uno o varios objetivos de control y, por tanto deben estar
documentados y aprobados por la Direccin.
Procedimientos Generales de Auditora.- Son los pasos bsicos en la

realizacin de una auditora.
Pruebas de Cumplimiento.- Son aquellas evidencias que determinan que

(proporcionan evidencia de que) los controles claves existen y que son
aplicables en forma efectiva y uniforme.
Pruebas Sustantivas.- Son aquellas que implican el estudio y evaluacin de la

informacin, por medio de comparaciones con otros datos relevantes.
Resumen Ejecutivo.- Es un informe de fcil lectura, gramaticalmente correcto

y breve, que presenta los hallazgos a la gerencia en forma comprensible.
Riesgo. Posibilidad de que no puedan prevenirse o detectarse errores o

irregularidades importantes.
Riesgo inherente. Existe un error que es significativo y se puede
combinar con otros errores cuando no hay control.
Riego de control. Error que no puede ser evitado o detectado
oportunamente por el sistema de control interno.
14
Riesgo de deteccin. Se realizan pruebas exitosas a partir de un

procedimiento de prueba inadecuado.
Sistema Operativo: Software de sistema, es decir, un conjunto de programas

de computadora, destinado a permitir una administracin eficaz de sus
recursos. Comienza a trabajar cuando es cargado en memoria por un programa
especfico, que se ejecuta al iniciar el equipo, o al iniciar una mquina virtual y,
gestiona el hardware de la mquina desde los niveles ms bsicos, brindando
una interfaz con el usuario.
Tcnicas de auditora. Mtodos que el auditor emplea, para realizar las

verificaciones planteadas en los programas de auditora, que tienen como
objetivo la obtencin de evidencia.
UPS: Es un dispositivo que proveen y mantiene energa elctrica de respaldo

en caso de interrupciones elctricas o eventualidades en la lnea o acometida.
Adicionalmente, los UPS cumplen la funcin de mejorar la calidad de la energa
elctrica que llega a las cargas, como el filtrado, proteccin de subidas (picos
de tensin), bajadas de tensin (cadas), apagones y eliminacin de corrientes
parasitaras como ruidos, interrupcin de energa, perdida de data, etc.
15
RESUMEN
presente trabajo, describe la Auditora Informtica de los Sistemas de

ElTecnologa
e Informacin, realizada a la Cooperativa de Ahorro y Crdito
Alianza del Valle. Ltda. Utilizando COBIT, una herramienta desarrollada para,
ayudar a los administradores de negocios a entender y administrar los riesgos
asociados con la implementacin de nuevas tecnologas, las buenas prcticas
de COBIT estn enfocadas en el ambiente de control ptimo que debe tener
una empresa para de esta manera lograr una alineacin efectiva entre TI y los
objetivos de negocio. El fin de esta revisin tcnica es identificar debilidades y
emitir recomendaciones que permitan minimizar riesgos.
Para llevar a cabo la presente Auditora, se realizaron las siguientes

actividades:
Entregar un listado de requerimientos a la entidad a ser auditada.
Revisar la documentacin entregada al Equipo de Auditora.
Se formularon preguntas, con el fin de aclarar ciertos puntos de la

documentacin.
Se elaboraron encuestas al personal de la entidad.
En base a los resultados obtenidos, se llevaron a cabo las entrevistas

que constituye un mtodo de auditora personalizada, para profundizar
en la indagacin.
Tomando como base las encuestas y las entrevistas, se elaboraron las

pruebas sustantivas (checklist) y se recopilaron evidencias.
De acuerdo a los resultados obtenidos en las encuestas, entrevistas y

pruebas sustantivas y, alineando todos estos resultados con cada
objetivo
de
control,
que
propone
COBIT,
se
presentaron
las
observaciones y recomendaciones emitidas en un informe a la Gerencia.
16
PRLOGO
La naturaleza especializada de la auditora de los sistemas de informacin
y, las habilidades necesarias para llevar a cabo la misma, requieren el
desarrollo, la generacin y la promulgacin de Normas Generales para la
auditora de los Sistemas de Informacin.
La auditora de los sistemas de informacin se define como cualquier
auditora que abarca la revisin y evaluacin de todos los aspectos (o de
cualquier porcin de ellos) de los sistemas automticos de procesamiento de la
informacin, incluidos los procedimientos no automticos relacionados con
ellos y las interfaces correspondientes.
Para hacer una adecuada planeacin de la auditora en informtica, hay

que seguir una serie de pasos previos que permitirn dimensionar el tamao y
caractersticas de rea dentro del organismo a auditar, sus sistemas,
organizacin y equipo.
En el captulo 1 se detallan los objetivos y alcances del presente estudio,

debidamente justificados, adems se exponen algunos conceptos y parmetros
que definen a la Auditora Informtica, relacionados con el ambiente de control,
sus procesos y, los controles de TI.
El captulo 2 indica el modelo COBIT, el cual es usado para este trabajo;

describiendo los productos Cobit 4.0, sus generalidades, sus respectivos
dominios y las ventajas sobre otros modelos.
En el captulo 3 se presenta la Aplicacin del Modelo en la Cooperativa de

Ahorro y Crdito Alianza del Valle.
En el captulo 4 se presenta el informe y resultados del caso prctico,

describiendo las debidas conclusiones y recomendaciones.
En el captulo 5 se presentan las conclusiones y recomendaciones
obtenidas a lo largo del presente trabajo.
17
CAPTULO I
AUDITORA INFORMTICA DE LOS SISTEMAS TECNOLGICOS DE

INFORMACIN
1.1 GENERALIDADES
1.1.1 DESCRIPCIN GENERAL DEL PROYECTO
Antecedentes
Los Sistemas Informticos, estn integrados a la gestin empresarial; por

ello, las normas y estndares informticos deben estar alineados e
implantados previa la aprobacin de la Direccin de Sistemas de la
organizacin, misma que se encargar de la implementacin de controles de
acceso a la informacin, que se maneja en los diversos procesos de la
Cooperativa Alianza del Valle; en consecuencia, se debe destacar que, las
organizaciones informticas forman parte de la gestin de la empresa y se
constituyen en un elemento de apoyo en la toma de decisiones.
Actualmente, la informacin institucional, se ha convertido en un activo

fijo real invaluable, similar a la materia prima, sin embargo, debemos
considerar que, a pesar de la capacidad que pueden tener los miembros de
la Direccin de Sistemas de la Cooperativa Alianza del Valle; la cantidad de
trabajo, centrado mayormente en el desarrollo de sistemas y redes, sin el
personal suficiente hace que, necesariamente se tomen alternativas rpidas
para ganar tiempo, afectando de esta manera, la calidad de los productos
que se desean entregar, para servicio del cliente interno en este caso.
De ah parte una necesidad de la Escuela Politcnica del Ejrcito, como

parte del proceso de formacin de profesionales en la Carrera de Ingeniera
18
en Sistemas e Informtica, cooperando en el desarrollo del pas, mediante la

elaboracin de tesis de grado, que certifiquen la formacin de graduados, a
la vez que colaboran con el desarrollo intelectual y personal en las empresas
pblicas y privadas y, el desarrollo constante del pas.
1.1.2 JUSTIFICACIN E IMPORTANCIA

El desarrollo tecnolgico que enfrenta la Cooperativa de Ahorro y
Crdito Alianza del Valle, con el manejo de diversos sistemas de
informacin y automatizacin en sus procesos, necesita corregir fallas,
ejecutar procesos de calidad y, entregarlos en el momento oportuno;
detectar los errores mediante una Auditora Informtica, realizada y
ejecutada por un grupo capacitado, que proponga soluciones efectivas, para
minimizar riesgos y mejorar el empleo de la tecnologa de informacin en la
organizacin.
La evaluacin de los sistemas de informacin, deber cubrir aspectos

de
planificacin,
organizacin,
procesos,
ejecucin
de
proyectos,
seguridades, equipos, redes y comunicaciones, con el objeto de determinar

los riesgos a los que se encuentra expuesta la Cooperativa Alianza del
Valle Ltda. y recomendar procedimientos que permitan minimizarlos o
eliminarlos.
El anlisis de los Objetivos de Control con COBIT1, debe ser de

carcter objetivo e independiente, crtico, basado en evidencias, sistemtico,
bajo normas y metodologas aprobadas a nivel internacional, que seleccione
polticas, normas, prcticas, funciones, procesos, procedimientos e informes
relacionados con los sistemas de informacin computarizados, que permiten
obtener una opinin profesional e imparcial, enfocada en aspectos como:
criterios de informacin y prcticas requeridas, que ayuden a determinar con
Definicin Informtica por el Ingeniero Philippe Dreyfus

Definicin Informtica: http://www.mastermagazine.info/termino/5368.php
1
Definicin Informtica: http://www.webtaller.com/maletin/articulos/que-es-informtica.php
1
19
eficiencia, el uso de los recursos informticos, la validez de la informacin y

efectividad de los controles establecidos.
Como parte del sistema de administracin de la Cooperativa Alianza
del Valle, se hace evidente la necesidad de evaluar y valorar el uso de los
recursos de TI, para de esta manera, justificar su costo y determinar
medidas que permitan su racional aplicacin, eficiencia y efectividad.
La situacin actual por la que atraviesa la Direccin de Sistemas de la

Cooperativa Alianza del Valle, requiere que, mediante el uso de un conjunto
de procedimientos y tcnicas, se proceda a evaluar y controlar los sistemas
de informacin y el ambiente informtico, con el fin de constatar si sus
procesos y actividades son correctos y, se encuentran enmarcados y en
conformidad con las mejores normativas informticas y generales de la
organizacin.
1.1.3
ALCANCE DEL PROYECTO

El presente proyecto de plan de tesis AUDITORA INFORMTICA
DE LA COOPERATIVA DE AHORRO Y CREDITO ALIANZA DEL VALLE

LTDA, est orientado a la revisin del control interno informtico del
Departamento de Sistemas de la Cooperativa de Ahorro y Crdito Alianza
del Valle.
Se utilizar el estndar COBIT 4.0, para la evaluacin y auditora del

ambiente informtico de la Cooperativa de Ahorro y Crdito Alianza del
Valle Ltda., profundizando conceptos de control interno y procedimientos
que se ejecutan.
Los mdulos en los que se ejecuta este proyecto, abarcan los

siguientes aspectos:
Identificacin de Soluciones Automatizadas: donde se utilizaran criterios

de informacin sobre efectividad y eficiencia en los procesos del
20
negocio, requeridos para la Cooperativa Alianza del Valle y, as

satisfacer los requerimientos de los usuarios. Las prcticas de control
que se utilizan en este mdulo estn directamente involucrados con los
recursos de TI, siendo estos:
Conocimiento de soluciones existentes en el mercado,
Metodologas de adquisicin e implementacin,
Involucramiento del usuario en el proceso de compra,
Orientacin a las estrategias de TI y de la Cooperativa Alianza
del Valle.
Definicin de los requerimientos de informacin,
Estudios de factibilidad (costo, beneficio, alternativas, etc.),
Cumplimiento con la arquitectura de informacin,
Requerimientos
de
funcionalidad,
operatividad,
aceptacin,
sostenimiento y mantenimiento,
Seguridad y control de Costo-Beneficio,
Responsabilidad de los proveedores.
Adquisicin y Mantenimiento del Software de Aplicacin: los criterios de
informacin que se aplican, se enmarcan sobre parmetros de
efectividad, eficiencia, integridad, cumplimiento y confiabilidad; llegando
a proporcionar funciones automatizadas que soporten efectivamente los
procesos del negocio y la especificacin de los requerimientos
funcionales y operacionales2. Las prcticas de control que se aplican
son:
Niveles de aceptacin y pruebas funcionales,
Requerimientos de seguridad y controles de la aplicacin,
Documentacin requerida,
Ciclo de vida del software,
Arquitectura de la informacin empresarial,
http://www.auditorasistemas.com/
21
Ciclo de vida metodolgico para el desarrollo de aplicaciones,

Interface de usuario,
Personalizacin de paquetes.
Adquisicin y Mantenimiento de la Infraestructura Tecnolgica: definidos
sobre los criterios de informacin de efectividad, eficiencia e integridad,
proveyendo al proceso de las plataformas apropiadas a las aplicaciones
del negocio. La forma de lograrlo se dirige a una adquisicin apropiada
de hardware y software, estandarizacin de software y, un consistente
sistema de administracin. Las prcticas de control que se definen en
esta etapa son:
Cumplimiento
de
las
directrices
estndares
de
la
infraestructura tecnolgica,
Evaluacin tecnolgica,
Instalacin, mantenimiento y control de cambios,
Actualizaciones, conversiones y, planes de migracin,
El uso de infraestructura y/o recursos internos y externos,
Responsabilidades de los proveedores y la relacin con los
mismos,
Administracin de cambios,
Costo total de propiedad,
Seguridad del software.
Desarrollo y Mantenimiento de Procesos: manejaremos algunos

criterios de informacin, guiados sobre la efectividad, eficiencia,
integridad, cumplimiento, confiabilidad; llegando a que el proceso del
negocio asegure el uso apropiado de las aplicaciones y la
infraestructura
existente,
estructurados
de
con
usuarios
la
y
sustentacin
operacionales,
entrenamiento y requerimientos de servicio.
de
manuales
materiales
de
Las prcticas de control
son:
Rediseo de los procesos de negocio,
Consideracin a los procedimientos como a cualquier otra
tecnologa existente,
22
Desarrollo a tiempo,
Procedimientos y controles de usuario,
Procedimientos y controles operacionales,
Materiales de entretenimiento,
Administracin de cambios.
Con el manejo apropiado de los recursos humanos, aplicaciones,

tecnologas e instalaciones.
Instalacin y Acreditacin de Sistemas: el proceso de negocio requerido
sobre la verificacin y confirmacin de soluciones adecuadas, en base al
propsito deseado y los criterios de informacin de efectividad,
integridad y disponibilidad, con la realizacin de un plan formalizado de
instalacin migracin y conversin. Las prcticas de control que se
utilizan en este mdulo se fusionan con los recursos de TI y, estas son:
Entrenamiento de usuarios y del personal tcnico de TI
Conversin de Datos,
Un ambiente de pruebas que refleje el ambiente real,
Retroalimentacin y revisiones post implementacin,
Participacin del usuario final en la etapa de pruebas,
Planes de continuo mejoramiento de calidad,
Criterios y medidas de aceptacin,
Requerimientos continuos del negocio,
Acuerdos y criterios de aceptacin.
Administracin de Cambios: se encarga de la minimizacin de
alteraciones, interrupciones y cambios no autorizados; manejando
eficacia, eficiencia, integridad, disponibilidad y confiabilidad de un
sistema de administracin, que permita realizar una implementacin, un
seguimiento de todos los cambios requeridos y desarrollados a la
infraestructura tecnolgica actual. Algunas de las prcticas de control se
describen a continuacin:
Identificacin de cambios,
Procedimientos de emergencia, categorizacin y priorizacin,
23
Anlisis de impacto,
Autorizacin para cambios,
Administracin de versiones,
Distribucin de software,
Uso de herramientas automatizadas,
Administracin de la configuracin,
Rediseo de los procesos del negocio.
El proyecto de tesis ser ejecutado en el Departamento de Sistemas

de La Cooperativa Alianza del Valle, ubicado en la ciudad de Sangolqu,
para lo cual, se realizar la revisin de los controles mencionados con
anterioridad y, establecidos en el proyecto del Departamento de Sistemas
aplicando el estndar internacional COBIT 4.0.
1.1.4
OBJETIVOS
General
Realizar una Auditora Informtica del Sistema de Informacin de la

Cooperativa Alianza del Valle, utilizando el estndar internacional COBIT 4.0,
a fin de identificar debilidades y emitir recomendaciones que permitan eliminar
o minimizar los riesgos en la organizacin.
Especficos
Evaluar y describir la planeacin, organizacin y situacin actual de

los Sistemas de Informacin de la Cooperativa Alianza del Valle,
enfocndose en las estrategias, tcticas e infraestructura tecnolgica
de informacin, que contribuyen al logro de los objetivos del negocio.
Evaluar la adquisicin e implementacin de las TI, los procesos en los

que estas se desenvuelven, cambios y mantenimiento realizado a los
sistemas existentes, as como la verificacin de la calidad y suficiencia
24
de los procesos de la Institucin y, el monitoreo de los requerimientos

de control.
Evaluar la entrega de los servicios requeridos, desde las operaciones

tradicionales hasta el entrenamiento al personal que interfiere
directamente con las Tecnologas de Informacin, abarcando
aspectos de seguridad, continuidad del negocio, revisin del
procesamiento
de
los
datos
por
sistemas
de
aplicacin,
frecuentemente clasificados como controles de aplicacin.
Aplicar el estndar COBIT4.0 en la evaluacin y auditora de sistemas

de la Cooperativa Alianza del Valle.
Emitir recomendaciones que permitan asegurar una mayor integridad,

confidencialidad y confiabilidad de la informacin, en base a un
estudio y aplicacin de metodologas, a los procesos de la
Cooperativa Alianza del Valle.
1.1. AMBIENTE DE CONTROL
El ambiente de control se determina por el conjunto de circunstancias que

enmarcan el accionar de una entidad, organizacin o empresa, desde una
perspectiva de control interno y que son determinantes para el cumplimiento de
las metas y objetivos de la organizacin en
que
los
principios y polticas
actan, sobre las conductas y los procedimientos organizacionales.
El sistema de control interno est relacionado directamente con las actividades

operativas y de procedimiento dentro de la organizacin y, existen por razones
empresariales fundamentales y, a que estos fomentan la eficiencia, reducen el
riesgo de prdida de valor de los activos y, ayudan a garantizar la fiabilidad de
los estados financieros y el cumplimiento de las leyes y normas vigentes.
El ambiente control se puede definir como un proceso, efectuado por el

25
personal de una organizacin, diseado para conseguir objetivos especficos.

La definicin es amplia y cubre todos los aspectos de control de un negocio,
pero al mismo tiempo, permite centrarse en objetivos especficos.
Los auditores deben considerar factores que influyen en la organizacin y que

garantizan el xito de sus procesos internos, siendo los ms importantes los
siguientes:
La filosofa y el estilo de la direccin y gerencia.
La estructura del plan organizacional, los reglamentos y los manuales de

procedimientos.
La integridad, los valores ticos,
la
competencia
profesional
y el
compromiso de todos los colaboradores de la organizacin, as como su

adhesin a las polticas y objetivos establecidos.
Las formas de asignacin de responsabilidades, de administracin y

desarrollo del personal.
El grado de documentacin de polticas, decisiones y de formulacin de

programas
que
contengan
metas,
objetivos e
indicadores
de
rendimiento.
Cada uno de estos factores ayudan a que las organizaciones crezcan y

cumplan sus principales objetivos, que permiten el xito o fracaso de las
mismas, siendo estos criterios:
Eficacia y eficiencia de las operaciones.
Fiabilidad de la informacin financiera.
Cumplimiento de las leyes y normas aplicables.
De acuerdo a estos factores, es necesario realizar evaluaciones al ambiente de

control que permitan identificar los riesgos y definir los controles adecuados
para neutralizarlosy ,a que el ncleo principal de control son las personas,
mismas que, si no tienen una integridad probada, valores ticos y
competencias, el resto de procesos posiblemente no funcionarn, por lo cual,
26
debe establecerse un adecuado ambiente de control sobre el que se

desarrollan las operaciones de la organizacin evaluada.
1.2. EL PROCESO DE LA AUDITORA INFORMTICA
El proceso de la auditora informtica es similar al que se lleva a cabo a los

de estados financieros, en el cual, los objetivos principales son: salvaguardar
los activos, asegurar la integridad de los datos, la consecucin de los objetivos
gerenciales y, la utilizacin racional de los recursos, con eficiencia y eficacia,
para lo que se realiza la recoleccin y evaluacin de evidencias.
Para que una auditora sea exitosa, debe tomar en cuenta muchos de los
aspectos tratados en el punto anterior. A continuacin se muestra un grafico
que muestra cmo actan conjuntamente todos los componentes, tanto de la
empresa como del auditor, para que se genere una auditora efectiva y eficaz.
Grfica 1: Pirmide de procesos
27
Muchos de los componentes de la pirmide nacen de un proceso de auditora,

el cual se detalla a continuacin y al cual hemos dividido en 3 etapas:
Planificacin de la auditora Informtica
Ejecucin de la auditora Informtica
Finalizacin de la auditora Informtica
1.2.1. Planificacin de la auditora Informtica
En esta fase se establecen las relaciones entre auditores y

colaboradores de la organizacin, para determinar el alcance y objetivos.
Se hace un bosquejo de la situacin de la entidad, acerca de su
organizacin, sistema contable, controles internos, estrategias y dems
elementos que le permitan al auditor elaborar el programa de auditora
que se llevar a efecto.
Elementos Principales de esta Fase:

1. Conocimiento y Comprensin de la Entidad
2. Objetivos y Alcance de la auditora
3. Anlisis Preliminar del Control Interno
4. Anlisis de los Riesgos
5. Planeacin Especfica de la auditora
6. Elaboracin de programas de Auditora
1.
Conocimiento y Comprensin de la Entidad a auditar.
Previo a la elaboracin del plan de auditora, se debe investigar y

analizar todo lo relacionado con la entidad a auditar, para poder elaborar
el plan en forma objetiva. Este anlisis debe contemplar: su naturaleza
operativa, su estructura organizacional, giro del negocio, capital,
estatutos de constitucin, disposiciones legales que la rigen, sistema
contable que utiliza, volumen de sus ventas y, todo aquello que sirva
para comprender exactamente cmo funciona la organizacin.
28
Para el logro del conocimiento y comprensin adecuados de la entidad,

se deben establecer diferentes mecanismos o tcnicas que el auditor
deber dominar, siendo entre otras:
a) Visitas al lugar
b) Entrevistas y encuestas
c) Anlisis comparativos de Estados Financieros
d) Anlisis FODA (Fortalezas, oportunidades, debilidades,
amenazas)
e) Anlisis Causa-Efecto o Espina de Pescado
f) rbol de Objetivos.- Desdoblamiento de Complejidad.
g) rbol de Problemas
2.
Objetivos y Alcance de la auditora.
Los objetivos indican el propsito para el cual es contratada la firma de

auditora, qu se persigue con el examen, para qu y por qu. Si es con
el objetivo de informar a la gerencia sobre el estado real de la empresa,
o si es por cumplimiento de los estatutos que mandan efectuar auditoras
anualmente, en todo caso, siempre se cumple con el objetivo de informar
a los socios, a la gerencia y resto de interesados sobre la situacin
encontrada para que sirvan de base para la toma de decisiones.
El alcance de una auditora ha de definir con precisin el entorno y los
lmites, en que va a desarrollarse la auditora informtica, se
complementa con los objetivos de sta.
Por otro lado, el alcance tambin puede estar referido al perodo a
examinar: puede ser de un ao, de un mes, de una semana y, podra ser
hasta de varios aos.
3.
Anlisis Preliminar del Control Interno
Este anlisis
es de vital importancia en esta etapa, porque de su
resultado se comprender la naturaleza y extensin del plan de auditora
29
y, la valoracin y oportunidad de los procedimientos a utilizarse durante

el examen.
4.
Anlisis de los Riesgos
El Riesgo en auditora, representa la posibilidad de que el auditor

exprese una opinin errada en su informe, debido a que los estados
financieros o la informacin suministrada a l estn afectados por una
distorsin material o normativa.
En auditora se conocen tres tipos de riesgo: Inherente, de Control y de
Deteccin.
El riesgo inherente, es la posibilidad de que existan errores significativos

en la informacin auditada, al margen de la efectividad del control interno
relacionado; son errores que no se pueden prever.
El riesgo de control, est relacionado con la posibilidad de que los

controles internos imperantes no prevean o detecten fallas que se estn
dando en sus sistemas y que se pueden remediar con controles internos
ms efectivos.
El riesgo de deteccin, est relacionado con el trabajo del auditor y, es

que ste en la utilizacin de los procedimientos de auditora, no detecte
errores en la informacin que le suministran.
La Materialidad es el error monetario mximo que puede existir en el

saldo de una cuenta, sin dar lugar a que los estados financieros estn
sustancialmente deformados. A la materialidad tambin se le conoce
como Importancia Relativa.
5.
Planeacin Especfica de la Auditora.
Para cada auditora que se va a practicar, se debe elaborar un plan. Esto

lo contemplan las Normas para la ejecucin. Este plan debe ser tcnico
30
y administrativo. El plan administrativo debe contemplar todo lo referente

a clculos monetarios a cobrar, personal que conformarn los equipos
de auditora, horas hombres, etc.
6.
Elaboracin de Programa de Auditora
Cada miembro del equipo de auditora, debe tener en sus manos, el

programa detallado de los objetivos y procedimientos de auditora, objeto
de su examen.
Ejemplo: si un auditor va a examinar el efectivo y otro va a examinar las

cuentas por cobrar, cada uno debe tener los objetivos que se persiguen
con el examen y los procedimientos que se corresponden para el logro
de esos objetivos planteados.
Es decir, que debe haber un programa de auditora para la auditora del

efectivo y un programa de auditora para la auditora de cuentas por
cobrar y, as sucesivamente. De esto se deduce que un programa de
auditora debe contener dos aspectos fundamentales: Objetivos de la
auditora y Procedimientos a aplicar durante el examen de auditora.
Tambin se pueden elaborar programas de auditora no por reas

especficas, sino por ciclos transaccionales.
1.2.2. Ejecucin de la auditora Informtica
La ejecucin de la auditora informtica, constituye la recopilacin de la

mayor cantidad de informacin necesaria, como son documentos y
evidencias que permitan al auditor fundamentar sus comentarios,
sugerencias y recomendaciones, con respecto al manejo y administracin
de TI.
31
Para la recoleccin de informacin, se pueden aplicar las siguientes

tcnicas:
Entrevistas
Simulacin
Cuestionarios
Anlisis de la informacin documental entregada por el auditado
Revisin y Anlisis de Estndares
Revisin y Anlisis de la informacin de auditoras anteriores
Toda la informacin entra luego en un proceso de anlisis, el cual debe

ser realizado utilizando un criterio profesional por parte de los auditores y
el equipo a cargo del proceso de Auditora, toda la informacin
recopilada debe ser clasificada de manera que nos permita ubicarla
fcilmente y adems permita, luego del anlisis respectivo, justificar de
manera correcta las recomendaciones.
La evidencia se clasifica de la siguiente manera:

a) Evidencia documental.
b) Evidencia fsica.
c) Evidencia analtica.
d) Evidencia testimonial.
Una vez que tenemos informacin real y confiable, procedemos a

evaluar y probar la manera en la que han sido diseados los controles
en la organizacin, para el mejoramiento continuo de la misma, para
esto el equipo de Auditora utilizara medios informticos y electrnicos
que permitan obtener resultados reales.
El equipo de auditores, para poder dar una opinin sobre un sistema o

proceso informtico, debe comprobar el funcionamiento de los sistemas
32
de aplicacin y efectuar una revisin completa de los equipos de

cmputo3.
1.2.3. Finalizacin de la auditora Informtica
Para finalizar un proceso de Auditora Informtica, se debe presentar un

informe que contenga conclusiones y recomendaciones, necesarias para
que una empresa este en mejoramiento continuo, esta documentacin
debe ser redactada por el equipo de Auditora y entregarse a la Alta
Direccin de la empresa para su evaluacin y anlisis.
Luego, en conjunto la Alta Direccin de la empresa y auditores, evaluaran

los resultados del proceso; los auditores defendern su punto de vista
basndose en las evidencias recolectadas durante todo el proceso.
El informe que presenta el grupo de Auditores debe contener como

obligatorios los siguientes puntos:
Debe hacer constar el perodo de tiempo que abarc la evaluacin.
Indicar el equipo de auditora que intervino en la evaluacin, se

detallan los integrantes y su experiencia en el campo de auditora.
Indicar los objetivos que se propusieron alcanzar con el proceso de

auditora.
Tambin se debe indicar, en base a que se realiz la auditora, en el

caso de utilizar COBIT 4.0, se debe especificar el dominio que fue
utilizado para la evaluacin, esto debe especificarse claramente en el
plan de trabajo que tambin debe ser entregado a la administracin.
Se debe indicar el criterio sobre el cual se est evaluando, en el caso

de COBIT 4.0, lo ms comn es el de riesgos y el de objetivos de
control.
Se detalla la condicin inicial en la que se encontr la empresa u

organizacin.
Mckeever, J. Sistemas de Informacin para la Gerencia, Editorial Mc Graw Hill, Mxico (1984)
33
Se describen las causas que generaron el diagnstico inicial,

adems, se debe detallar las consecuencias que puede traer si la
empresa continua manejndose de la misma forma.
Detallar explicativamente las recomendaciones que se hacen a la

Alta Direccin y qu medidas se deberan adoptar para poder cumplir
con los objetivos propuestos desde el inicio y, la organizacin deje de
ser afectada por circunstancias que fueron encontradas en la
situacin inicial.
Dentro de los informes tambin incluye las opiniones y puntos de

vista de la administracin, debe especificarse si la organizacin va a
adoptar o no las recomendaciones propuestas por el grupo de
auditores.
El informe final se lo debe entregar a la Alta Direccin
de la
organizacin y como detallamos inicialmente, debemos presentar las

evidencias de percances ms importantes que se encontraron durante el
proceso de Auditora.
1.3. CLASIFICACIN DE LOS CONTROLES TI
Al momento de realizar un proyecto de auditora, se desarrollan una gran

variedad de actividades de control para verificar la exactitud, integridad y
autorizacin de las transacciones. Estas actividades pueden agruparse en dos
grandes conjuntos de controles de los sistemas de informacin, los cuales son:
controles de aplicacin y los controles generales de la computadora. Sin
embargo, estos dos conjuntos de controles se encuentran estrechamente
relacionados, puesto que, los controles generales de la computadora, son
normalmente necesarios para soportar el funcionamiento de los controles de
aplicacin, adems de la efectividad de ambos depende el aseguramiento del
procesamiento completo y preciso de la informacin.
.
34
1.3.1. Controles de Aplicacin
Los
controles
de
aplicacin
son
procedimientos
manuales
automatizados que operan tpicamente a nivel de los procesos de la

organizacin. Los controles de aplicacin pueden ser de naturaleza
preventiva o de deteccin y estn diseados para asegurar la integridad
de la informacin que se procesa en ellos. Debido a lo cual, los controles
de aplicacin se relacionan con los procedimientos utilizados para iniciar,
registrar, procesar e informar las transacciones de la organizacin. Estas
actividades de control ayudan a asegurar que las transacciones ocurridas,
estn autorizadas y completamente registradas y procesadas con
exactitud.
Debido al tamao y complejidad de varios sistemas, no siempre se los

podr revisar a todos, por lo que es necesario evaluar los sistemas de
aplicacin para considerar en el plan de auditora los sistemas de
aplicacin que tienen un efecto significativo en el desarrollo de las
operaciones de la organizacin, con el fin de realizar un anlisis ms
profundo de estos sistemas. Existen varios parmetros que se deben
considerar para calificar los sistemas de aplicacin, siendo los siguientes:
- Importancia de las transacciones procesadas.

- Potencial para el riesgo de error incrementado debido a fraude.
- Si el sistema slo realiza funciones sencillas, como acumular o resumir
informacin o funciones ms complejas, como la iniciacin y ejecucin
de transacciones.
- Tamao y complejidad de los sistemas de aplicacin.
Se debe incluir los controles implantados, para verificar la validez del

ingreso de datos dentro de los sistemas, controles que podemos evaluar
mediante el seguimiento manual de los informes de excepcin o la
correccin en el punto de entrada de datos. Debido al tamao y
complejidad de varios sistemas, no siempre se los podr revisar a todos,
por lo que es necesario evaluar los sistemas de aplicacin para
35
considerar en el plan de auditora aquellos que tienen un efecto

significativo en el desarrollo de las operaciones de la organizacin, con el
fin de realizar un anlisis ms profundo de estos sistemas.
1.3.2. Controles Generales
Los controles generales son polticas y procedimientos que se

relacionan
con
muchos
sistemas
de
aplicacin
y,
soportan
el
funcionamiento eficaz de los controles de aplicacin, ayudando a

asegurar la operacin continua y apropiada de los sistemas de
informacin. Los controles generales mantienen la integridad de la
informacin y la seguridad de los datos. Es por esto que antes de realizar
una evaluacin de los controles de aplicacin, normalmente se actualiza
la comprensin general de los controles del ambiente de procesamiento
de la computadora y se emite una conclusin acerca de la eficacia de
estos controles.
Las actividades que se llevan a cabo para la evaluacin de estos

controles, inician con entrevistas a la administracin, luego de las cuales
se tendr una mejor capacidad para comprender y definir la estrategia y
las pruebas que realizaremos sobre los controles. Posteriormente, se
debe determinar si los controles generales de la computadora se disean
e implementan para soportar el procesamiento confiable de la
informacin, respecto a los controles que se han identificado, para lo cual
se debe realizar lo siguiente:
Evaluacin del diseo de los controles, en la que se determinar que

los controles evitan los riesgos para los que fueron diseados.
Determinar si los controles se han implementado, lo cual consiste en

evaluar si los controles que se han diseado y, se estn utilizando
durante el tiempo de funcionamiento de la organizacin.
36
CAPTULO II
Modelo COBIT 4.0
2.1. INTRODUCCIN
COBIT 4.0 tiene como misin desde sus inicios investigar,

desarrollar, publicar y promover un conjunto de objetivos de control en
tecnologa de la informacin con autoridad, debidamente actualizados,
de carcter internacional y aceptado generalmente para el uso cotidiano
de gerentes de empresas y auditores.
Los gerentes, auditores y usuarios se benefician del desarrollo de
COBIT 4.0 ya que este les ayuda a entender y comprender el nivel de
seguridad de sus sistemas TI, adems permite definir qu control es el
necesario para proteger los activos de sus empresas mediante el
desarrollo de un modelo de gobernacin TI.
Los proyectos de auditora Informtica, necesitan de una base o

estndar para guiarse; en el presente proyecto de tesis guiado, a la
auditora informtica, se ha decidido tomar como base al Modelo COBIT
versin 4.0 ya que permite un enfoque distinto y actual de los sistemas,
por cuanto los mira en su mbito global, formado por procesos
manuales e informticos.
Se adopt la versione 4.0 del Modelo COBIT puesto que, una vez que
se realiz un anlisis de todas las versiones de COBIT se identificaron
las siguientes caractersticas en cada una de ellas.
Versin 1.0: uso de estndares
internacionales, las pautas y la
investigacin en las mejores prcticas condujeron al desarrollo de los

Objetivos del control.
37
Versin 2.0: anlisis de fuentes internacionales, dedicados a la

compilacin, revisin e incorporacin apropiada de los estndares
tcnicos internacionales, cdigos de la conducta, estndares de calidad,
estndares profesionales y los requisitos de la industria, como se
relacionan con el marco y con los objetivos del control individual.
Versin 3.0: consiste en proveer a la gerencia un uso del marco de
referencia, COBIT, para que de l pueda determinar las mejores
opciones a ser puestas en prctica y las mejoras del control sobre su
informacin y tecnologa relacionada.
Versin
4.0:
acenta
el
cumplimiento
regulador,
ayuda
las
organizaciones a aumentar el valor logrado de TI ya que posee un

enfoque ms gerencial que permite la alineacin y simplifica la puesta
en prctica del Modelo COBIT.
Luego de este anlisis se concluy que la versin 4.0 se basa en los
principios de, proporcionar la informacin que la empresa requiere para
lograr sus objetivos y que la empresa necesita administrar y controlar
los recursos de TI, usando un conjunto estructurado de procesos que
ofrezcan los servicios requeridos de informacin4.
2.2. CONTENIDO (PRODUCTOS COBIT)
En el Modelo de COBIT 4.0 los productos se han definido en tres niveles, los
mismos que dan soporte a:
Administracin y consejos ejecutivos.
Administracin del negocio y de Tecnologa de Informacin.
Profesionales de gobierno, aseguramiento, control y seguridad,
como se detalla en la Grfica 2.
GOVENANCE INSTITUTE COBIT 4.0
38
Grfica 2: Paquete de programas de COBIT
2.2.1. Resumen Ejecutivo
El Resumen Ejecutivo, consiste
en una descripcin que
proporciona una conciencia cuidadosa y el entendimiento de los

conceptos claves de COBIT, es decir, un entendimiento ms detallado
de los conceptos y principios de auditora de Sistemas, identificando los
cuatro dominios de COBIT y sus 34 procesos de TI.
2.2.2. Marco Referencial
El Marco Referencial COBIT, es la base para el desarrollo de los

dems elementos COBIT. El marco referencial explica como los
procesos de TI deben entregar la informacin, que el negocio requiere,
para alcanzar sus objetivos, proporcionando al propietario de los
procesos del negocio, herramientas que faciliten el cumplimiento de esta
responsabilidad.
39
El Marco Referencial, permite tambin
definir; si la informacin
procesada para cumplir con los objetivos del negocio se estn adaptando a
los criterios de informacin (efectividad, eficiencia, confidencialidad,
integridad, disponibilidad, cumplimiento y confiabilidad), as como tambin
define cuales de los recursos de TI (sistemas de aplicacin, tecnologa,
instalaciones, datos) son importantes para apoyar a los objetivos del
negocio.
2.2.3. Objetivos de Control
Un Objetivo de Control en TI, es la definicin del resultado o

propsito que se desea alcanzar siguiendo procedimientos de control
especficos dentro de una Actividad de Control de TI. Los Objetivos de
Control de COBIT son los requerimientos mnimos que debe cumplir un
control de cada proceso de TI, para que sea definido como efectivo.
Los Objetivos de Control estn definidos y orientados a los procesos,

por medio del principio de reingeniera de negocios. Cada uno de los
procesos de TI de COBIT tiene un objetivo de control de alto nivel y un
nmero de objetivos de control detallados. A los que se les debe analizar
como un todo ya que representan las caractersticas de un proceso bien
administrado.
2.2.4. Gua o Directriz de Auditora
Las Guas de Auditora indican pautas
y recomendaciones,
mediante las que la gerencia de la entidad auditada puede cumplir de

una manera ms ptima con los Objetivos de Control.
Estas Guas de Auditora provistas por COBIT no son especficas, sino

son acciones genricas que se pueden poner en prctica en mayor o
menor grado, dependiendo de la entidad y estn orientadas para proveer
a la gerencia actividades que le permitan, mantener bajo control la
informacin de la empresa y sus procesos relacionados, monitorear el
40
logro de las metas organizacionales, monitorear el desempeo de cada

proceso de TI y llevar a cabo un benchmarking de los logros
organizacionales.
2.2.5. Prcticas de Control
Las Prcticas de Control proveen guas para disear controles y

cmo implementarlos, puesto que ayudan al personal encargado de
disear e implementar controles especficos a administrar riegos en
proyectos de TI.
Adems las Prcticas de Control ayudan a mejorar el rendimiento de TI

ya que definen mejores prcticas para evitar el incumplimiento o mal uso
de controles internos.
2.2.6. Guas de Administracin
Las Guas de Administracin o directrices gerenciales, contienen

modelos de madurez asociado al gobierno de TI, que sirven para
determinar en qu posicin se encuentra la organizacin. Tambin las
Guas de Administracin proveen factores crticos de xito especfico,
indicadores claves por objetivo e indicadores clave de desempeo, que
son las mejores prcticas administrativas para alcanzar los Objetivos de
Control en TI.
2.2.7. Conjunto de Herramientas de Implementacin
El Conjunto de Herramientas COBIT proporciona lecciones

aprendidas
por
aquellas
organizaciones
que
aplicaron
COBIT,
obteniendo resultados exitosos, las cuales pueden ser utilizadas por

otras organizaciones.
41
Estas herramientas incluyen dos particularmente tiles:

o Diagnstico de Sensibilizacin Gerencial (Management
Awareness Diagnostic).
o Diagnstico de Control en TI (IT Control Diagnostic), para
proporcionar asistencia en el anlisis del ambiente de control de
TI en una organizacin.
2.3. GENERALIDADES DEL MODELO COBIT
2.3.1. Marco de Trabajo de COBIT
El modelo de COBIT fue creado para ser orientado a negocios y

procesos, basado en controles e impulsado por mediciones.
2.3.1.1.
Orientado a Negocios
El Modelo de COBIT es orientado a negocios ya que se encuentra

diseado para ser una gua para la gerencia, propietarios de los
procesos de negocio, los proveedores de servicios, usuarios y
auditores de TI. Adems es el enfoque de control en TI que se lleva
a cabo visualizando la informacin necesaria para dar soporte a los
procesos del negocio. Siendo la Informacin el resultado de la
aplicacin combinada de recursos relacionados con la Tecnologa de
Informacin, que deben ser administrados por procesos TI.
El Marco de Trabajo de COBIT ofrece herramientas para garantizar

la alineacin de la administracin de TI con los requerimientos del
negocio, basados en los principios bsicos de COBIT.
42
Grfica 3: Principios bsicos de Cobit
En donde los requerimientos de informacin del negocio,
deben
adaptarse a ciertos criterios de informacin, para que la misma permita

cumplir con los objetivos de la organizacin, los cuales son:
Efectividad: la informacin relevante y pertinente al proceso del
negocio existe y es entregada a tiempo, correcta, consistente y
utilizable.
Eficiencia: es la optimizacin (ms econmica y productiva) de los
recursos que se utilizan para la provisin de la informacin.
Confidencialidad: es relativo a la proteccin de informacin sensitiva
de acceso y divulgacin no autorizada.
Integridad: se refiere a lo exacto y completo de la informacin, as
como a su validez de acuerdo con las expectativas del negocio.
Disponibilidad: accesibilidad a la informacin para los procesos del
negocio en el presente y en el futuro, tambin salvaguardar los
recursos y capacidades asociadas a los mismos.
Cumplimiento: son las leyes, regulaciones, acuerdos contractuales a
los que el proceso del negocio est sujeto.
Confiabilidad de la Informacin: proveer la informacin apropiada
para que
la administracin tome las decisiones adecuadas para
43
manejar la empresa y cumplir con las responsabilidades de
los
reportes financieros.
Una vez que las metas del negocio se encuentran alineadas y han sido
definidas, requieren ser monitoreadas para garantizar que la entrega
cumpla con las expectativas del negocio.
Los recursos de TI son:

Datos: Todos los objetos de informacin interna y externa,
estructurada o no, grficas, sonidos, etc.
Aplicaciones:
los
sistemas
de
informacin,
que
integran
bsico,
sistemas
procedimientos manuales y sistematizados.

Tecnologa:
incluye
hardware
software
operativos, sistemas de administracin de bases de datos, de redes,

telecomunicaciones, multimedia, etc.
Instalaciones: son recursos necesarios para alojar y dar soporte a
los sistemas de informacin.
Recursos Humanos: habilidad, conciencia y
productividad del
personal para planear, adquirir, prestar servicios, dar soporte y

monitorear los sistemas de Informacin.
Se deben gestionar todos los recursos de TI, mediante un conjunto de

procesos agrupados, para lograr metas de TI que
proporcionen la
informacin que el negocio necesita para alcanzar sus objetivos. Este es

el principio bsico del marco de trabajo COBIT, como se ilustra en el
cubo COBIT5.
Definicin Auditora: http://www.mega-consulting.com/herramientas/Auditora/2concepto.htm
44
Grfica 4: Cubo cobit
2.3.1.2.
Orientado a Procesos
Se pueden diferenciar tres niveles de actividades en un proceso de

TI:
El nivel superior de agrupacin.- son los dominios que constituyen
los procesos
agrupados, los dominios en una estructura
organizacional se denominan dominios de responsabilidad y se

alinean con el ciclo de vida o administrativo de los procesos TI.
En el nivel intermedio se encuentran los procesos, que son un
conjunto de varias tareas y actividades.
En el nivel bajo se hallan las actividades y tareas necesarias para
alcanzar un resultado medible, es decir, son las actividades ms
discretas, como se puede observar en la Grfica 5.
45
Grfica 5: Niveles de actividades de ti
2.4. DOMINIOS
2.4.1. Planificacin y Organizacin:
Cubre las estrategias, las tcticas y la manera de identificar la

forma en que TI puede contribuir al logro de los objetivos del negocio.
2.4.1.1.
Objetivos de Control Niveles Altos

Planificacin y Organizacin
PO1 Definen un Plan de TI Estratgico
PO2 Definen la Informacin Arquitectura
PO3 Determinan Direccin Tecnolgica
PO4 Definen los Procesos de TI, Organizacin y Relaciones
PO5 Manejan la Inversin TI
PO6 Comunican Objetivos de Direccin y Direccin
PO7 Manejan Recursos TI Humanos
PO8 Manejan Calidad

46
PO9 Evalan y Manejan Riesgos de TI
PO10 Manejan Proyectos
2.4.2. Adquisicin e Implementacin
Cubre las estrategias de TI, las soluciones de TI necesitan ser

identificadas, desarrolladas o adquiridas as como la implementacin e
integracin en los procesos del negocio
2.4.2.1.
AI1 Identifican Soluciones Automatizadas
AI2 Adquieren y Mantienen Software De aplicacin
AI3 Adquieren y Mantienen Infraestructura de Tecnologa
AI4 Permiten Operacin y Usan
AI5 Procuran Recursos TI
AI6 Manejan Cambios
AI7 Instalan y acreditan Soluciones y Cambios
2.4.3. Soporte y Servicios
Incluye los procesos de entrega o distribucin, desde las operaciones

tradicionales hasta el entrenamiento, tomando en cuenta aspectos de
seguridad y continuidad de las operaciones. Con el fin de entregar
servicios. En donde se incluye el procesamiento de datos, los sistemas
de aplicacin, clasificados de forma frecuente como controles de
aplicacin
47
2.4.3.1.

Soporte y servicio
DS1 Definen y Manejan Niveles de Servicio
DS2 Manejan Servicios de Tercero
DS3 Manejan Funcionamiento y Capacidad
DS4 Aseguran Servicio Continuo
DS5 Aseguran Seguridad de Sistemas
DS6 Identifican y Asignan Gastos
DS7 Educan y Entrenan a Usuarios
DS8 Manejan Escritorio de Servicio e Incidentes
DS9 Manejan la Configuracin
DS10 Manejan Problemas
DS11 Manejan Datos
DS12 Manejan el Ambiente Fsico
DS13 Manejan Operaciones
2.4.4. Evaluacin y Seguimiento
Se debe evaluar de forma regular los procesos de control

independientes, los mismos que son definidos por auditoras externas e
internas o por fuentes alternativas. Tambin abarca la administracin del
desempeo, el monitoreo del control interno, el cumplimiento regulatorio
y la aplicacin del gobierno de TI.
48
2.4.4.1.

Evaluacin y seguimiento
ME1 Supervisan y Evalan Procesos de TI
ME2 Supervisan y Evalan Control Interno
ME3 Aseguran Cumplimiento Regulador
ME4 Proporcionan Gobernacin TI
Grfica 6: Marco de COBIT

49
2.5. VENTAJAS Y DESVENTAJAS SOBRE LOS MODELOS Y BUENAS

PRCTICAS ITIL Y COSO
Tabla 1: Matriz Cobit vs Itil, Coso
ATRIBUTO
Audiencia Primaria
Objetivos
Organizacionales del
CI
COBIT
Direccin, usuarios,
COSO
Direccin
auditores de SI
ITIL
Direccin, usuarios,
auditores de SI
Operaciones efectivas y
Operaciones efectivas y
Aplicar el ITIL en las
eficientes
eficientes Informes
empresas que han
Confidencialidad,
financieros confiables
integrado en sus
integridad y
Cumplimiento de las
procesos a sus
disponibilidad de
leyes y regulaciones
clientes y
informacin
proveedores a
Informes financieros
travs de redes
confiables
informticas.
Cumplimiento de las
Ofrecer un marco
leyes y regulaciones
comn para todas

las actividades del
departamento de ti.
Componentes o
Dominios
Dominios:
Componente:
Componentes
Planeamiento y
Supervisin
(fases):
organizacin Adquisicin
Ambiente de control
Estrategia del
e implementacin
Administracin de
servicio
Entrega y soporte
riesgos Actividades de
Diseo del servicio
Monitoreo
control Informacin y
Transicin del
comunicacin
servicio
Operaciones del
servicio
Mejora
continua del servicio

Foco
Confiabilidad
Tiempo que se
requiere para su
desarrollo
Costo
Tecnologa Informtica
Toda la entidad
Ciclo de vida de un
servicio
Alta
Alta
Media
Depende de la
Disponibilidad de la
Depende del uso y
disponibilidad de la
informacin
del estado actual de
informacin de las
la infraestructura TI
areas de la empresa
Alto
Alto
Alto
50
Los usuarios finales
-Los usuarios de COSO
obtienen una garanta
son
sobre la seguridad y
control interno, gestin los clientes y
control de los productos
del riesgo, fraudes, tica usuarios finales a
que adquieren interna y
empresarial.
orientados
-Mejora la
sobre comunicacin con
travs de los
externamente.
diversos puntos de
-Confiabilidad
informacin
de
la contacto acordados.
financiera: -Los servicios se
control de la elaboracin detallan en lenguaje

y publicacin de estados del cliente y con
contables confiables.
ms detalles.
-Se maneja mejor la
VENTAJAS
calidad y los costos
(CLIENTES Y
de los servicios.
USUARIOS)
-La entrega de
servicios se enfoca
ms al cliente,
mejorando con ello
la calidad de los
mismos y relacin
entre el cliente y el
departamento de IT.
-Una mayor
flexibilidad y
adaptabilidad de los
servicios
VENTAJAS (TI)
-Ayuda a salvar las
Las actividades de
- La organizacin TI
brechas existentes entre
control: o las polticas,
desarrolla una
riesgos de negocio,
procedimientos y
estructura ms
necesidades de control y prcticas que aseguran
clara, se vuelve ms
aspectos tcnicos.
el logro de los objetivos
eficaz y, se centra
- Con el fin de
de la conduccin y que
ms en los objetivos
proporcionar la
se cumple con las
de la organizacin.
informacin que la
estrategias para mitigar
- La administracin
organizacin necesita
los riesgos
tiene un mayor
para alcanzar sus
control, se
objetivos, seala que los
estandarizan e
recursos de TI deben ser
identifican los
administrados por un
procedimientos y,
51
conjunto de procesos de
los cambios resultan
TI agrupados en forma
ms fciles de
natural.
manejar.
- Proporciona
-La estructura de
herramientas al
procesos en IT
responsable de los
proporciona un
procesos que facilitan el
marco para
cumplimiento de los
concretar de
procedimientos de TI.
manera ms
- Es la herramienta
adecuada los
innovadora para el
servicios de
manejo de TI que ayuda
outsourcing.
a la gerencia a
-A travs de las
comprender y administrar
mejores prcticas
los riesgos asociados
de ITIL se apoya al
con TI.
cambio en la cultura
de TI y su
orientacin hacia el
servicio y, se facilita
la introduccin de
un sistema de
administracin de
calidad.
- ITIL proporciona
un marco de
referencia uniforme
para la
comunicacin
interna y con
proveedores.
DESVENTAJAS
-Requiere cierto nivel de -Errores por falta de
-Tiempo y esfuerzo
manejo de las TI, por lo
capacidad para ejecutar
necesario para su
que acoplarlo resulta ser
las instrucciones
implementacin.
un proceso, en cierto
-Errores de juicio en la
- No se da un
modo, ms complejo que toma de decisiones.
cambio previo en la
su propia ejecucin.
-Errores por mala
cultura del rea
-COBIT consta con una
interpretacin,
involucrada.
clusula de limitacin de
negligencia, distraccin o - No se ve reflejada
responsabilidad la cual
fatiga.
una mejora por falta
obliga a los gerentes y
Inobservancia gerencial
de entendimiento
52
personas involucradas a
a las polticas o
sobre procesos,
investigar el manual de
procedimientos
indicadores y
COBIT.
prescritos.
mtodos para ser
-Resulta un modelo
-Colusin.
controlados.
ambicioso que requiere
-Costo - beneficio.
- El personal no se
de profundidad en el
involucra y no se
estudio.
compromete.
-No existe en la
- La mejora del
bibliografa de resultados
servicio y la
experiencias prcticas de
reduccin de costos
implementacin de este
puede no ser visible.
modelo que lo hagan
- La inversin en
medible, para saber su
herramientas de
nivel de confiabilidad.
soporte sea escasa.

Los procesos
podrn parecer
intiles y no se
alcanzara las
mejoras en los
servicios.
53
CAPTULO III
Estudio del modelo COBIT en la Cooperativa de Ahorro y

Crdito Alianza del Valle
3.1. SITUACIN ACTUAL DE LA ENTIDAD
Cooperativa Alianza del Valle, es una Institucin que naci hace 41 aos
con el fin de colaborar con el progreso y bienestar de la comunidad y, es
gracias a sus asociados que ha logrado convertirse en una institucin
financiera slida con visin de liderazgo.
Alianza del Valle es una entidad solidaria que trabaja por la comunidad
ofreciendo sobre todo seguridad y confianza, que le han convertido en Su
Cooperativa Amiga.
Misin: Satisfacer las necesidades y expectativas de nuestros socios,
ofrecindoles productos y servicios financieros innovadores, de calidad y con
valor agregado, contando con una estructura administrativa/financiera slida y
con personal y directivos con visin social
Visin: Mantenernos como una Institucin Financiera Slida, con mayor
participacin en el mercado, que brinda productos y servicios financieros
competitivos con cobertura nacional, para impulsar el desarrollo de los socios y
de la comunidad con responsabilidad social.
Valores de la Cooperativa
Equidad: A travs de un ambiente de justicia y transparencia para el

otorgamiento de productos y servicios a nuestros socios/clientes,
proveedores, entes de control y talento humano.
Honestidad: Con los asociados, recursos financieros, documentos, que

sean de la Cooperativa, stos sern utilizados con absoluta rectitud e
54
integridad organizacional. Trabajamos con transparencia y tica

cuidando siempre el bienestar de nuestros socios e Institucin.
Responsabilidad: Para asumir nuestras acciones, estando siempre
preparados a esclarecer e informar sobre las actividades ejecutadas, de
manera que el socio/cliente incremente su confianza en la capacidad del
personal y de la Cooperativa como Institucin slida y transparente.
Disciplina: Cumpliendo a cabalidad normas, polticas y procedimientos

que constituyen los pilares del accionar de la Cooperativa.
Solidaridad: Hacia nuestros socios/clientes y la comunidad ecuatoriana,

basndonos en nuestros principios de ayuda mutua.
3.1.1. Conocimiento y compresin de la institucin.

La Cooperativa de Ahorro y Crdito ALIANZA DEL VALLE Ltda. Cuenta
con los siguientes servicios:
Cooperativa en Lnea, Contactos, Productos y Servicios, Cobertura.

Los productos y servicios que brinda la Cooperativa de Ahorro y Crdito
ALIANZA DEL VALLE Ltda. Son:
Servicios:
-
Seguro Amigo
Tarjeta de Dbito
Pago de Bono de Desarrollo Humano
Sistema de Remesas CREER Ecuador
Impuesto Predial
Sistema de Envos Western Union
Transferencias Interbancarias
Megared - Ventanillas Extendidas
Cpyline - Acreditaciones a Instituciones
Acreditaciones IESS
55
Productos:
Productos de Ahorro
-
Cuenta Efectiva
Cuenta Suea
Cuenta Joven
Cuenta Metahorro
Productos de Crdito
-
Seguro de desgravamen
Bajas tasas de inters
Cero comisiones
CrediConsumo
MicroCrdito
CrediVivienda
Inversiones
-
Plazo Fijo Alianza
3.1.2. Conocimiento
compresin
de
las
actividades
del
departamento de TI.
El Departamento de TI
tiene a su cargo las siguientes actividades
principales:
Asesorar
en
el
desarrollo
implementacin
de
nuevas
herramientas informticas, que sirvan de instrumento para agilitar,

simplificar, mejorar el desempeo de las actividades de los
usuarios
operativos
administrativos,
salvaguardando
la
integridad, confiabilidad y disponibilidad de la informacin de la

cooperativa.
- Apoyar, computacionalmente, las actividades de todos las

Direcciones, Departamentos y otras unidades de la Cooperativa
56
de Ahorro y Crdito Alianza del Valle, preocupndose del

desarrollo de programas como de la actualizacin de todo su
equipo.
- Mantener y administrar las
redes,
sistemas
equipos
computacionales de la Cooperativa de Ahorro y Crdito Alianza

del Valle.
- Prestar soporte a usuarios en todo lo relativo a la plataforma

computacional de la Cooperativa de Ahorro y Crdito Alianza del
Valle.
- Controlar las concesiones que le correspondan, de acuerdo a su

participacin, en la elaboracin de las especificaciones tcnicas y
que le sean atingentes a la naturaleza de sus funciones.
- Velar por la integridad de la informacin almacenada en equipos

computacionales, de propiedad de la cooperativa, adems de
elaborar y ejecutar los planes de contingencia necesarios en caso
de prdida de dicha informacin.
Coordinar el accionar de las distintas dependencias de la

Cooperativa de Ahorro y Crdito Alianza del Valle de manera
de ir integrando y correlacionando informacin y bases de datos.
Participar en la elaboracin y ejecucin del Plan Estratgico de la

cooperativa; as como elaborar y ejecutar el Plan Anual Operativo
del Departamento de TI.
Proponer al Directorio para su aprobacin, por medio del rea de

Administracin
de
la
Gerencia
General, las
polticas
respecto a las Tecnologas de Informacin.
57
Velar por la alta disponibilidad del Servicio
de
tecnologa de
Informacin que soporte la operatividad de la cooperativa.
Proponer los planes y presupuestos para la adquisicin de

recursos
de
asegurar la
tecnologas
renovacin
de
informacin,
tecnolgica
requeridos
implantacin
de
para
los
proyectos de Tecnologa de Informacin.
Establecer
las
normas
estndares
para
la gestin de
las actividades y uso de recursos de tecnologas de informacin.
Dar conformidad al cumplimiento de los contratos que deriven de

la
adquisicin,
alquiler
y/o
mantenimiento
de
equipos
y/o aplicativos, dentro del mbito de su competencia.
Apoyar, dentro del mbito de su competencia, en la definicin de

especificaciones tcnicas de procesos de seleccin que guarden
relacin con tecnologa de la informacin.
Participar en la elaboracin del
Plan de Seguridad de la
Informacin y el Plan de Continuidad de Negocios de la

cooperativa, ejecutndolos
de acuerdo
al mbito de su
competencia.
Hacer seguimiento del cumplimiento de los contratos de servicios

solicitados por el rea a su cargo.
Atender e implementar las medidas correctivas, recomendadas

por el Departamento de Auditora Interna y los organismos de
control externo.
58
3.1.3. Descripcin de Funciones del nivel directivo
Grfica 7: ESTRUCTURA ORGANIZACIONAL
59
La Estructura Organizacional de la Cooperativa de Ahorro y Crdito Alianza

del Valle Ltda., est conformada por reas, grupos y cargos ocupacionales
reas Ocupacionales
Estos son conjuntos de actividades afines que constituyen las relaciones

laborales
Grfica 8: rea ocupacional

Grupos Ocupacionales
Son ocupaciones de naturaleza similar, de acuerdo al tipo de funciones,
responsabilidades y requerimientos para el cumplimiento de su
ocupacin.
Grfica 9: Grupo Ocupacional
60
Cargos
o Listado de Cargos
Grfica 10: Ocupaciones
61
A continuacin se describir las principales funciones del personal relevante de

la Cooperativa de Ahorro y Crdito ALIANZA DEL VALLE Ltda.
Gerente General
o Presentar para aprobacin del consejo de administracin el plan
estratgico, el plan operativo y el presupuesto de la cooperativa.
o Representar judicialmente a la cooperativa
o Responder por
la gestin administrativa y financiera de la
cooperativa
o Cumplir y hacer cumplir a los socios las disposiciones emanadas
de la asamblea general y del consejo de administracin
o Actualizar y mantener bajo custodia los inventarios de bienes y
valores de la entidad.
o Contratar, remover y sancionar, de acuerdo a las polticas que fije
el consejo de administracin a os empleados de la cooperativa,
cuyo nombramiento o remocin no sea de competencia de otro
rgano de la entidad y fijar sus remuneraciones que debern
constar en el presupuesto de la entidad
o Suministrar la informacin que solicite los socios, representantes,
rganos internos y su impacto en el patrimonio, cumplimiento del
plan estratgico y sobre todo que sean solicitados, as como el
plan anual de gestin.
o Informar al consejo de administracin sobre la situacin financiera
de la entidad, de riesgos
y su impacto en el patrimonio,
cumplimiento del plan estratgico y sobre otros que sean

solicitados, as como el informe anual de gestin.
o Mantener los controles y procedimientos adecuados para
asegurar el control interno.
o Delegar o revocar delegaciones conferidas a otros funcionarios de
la cooperativa, previa informacin al consejo de administracin,
sin que ello implique exonerarse de la responsabilidad legal.
o Presidir el comit de crdito de la cooperativa y los que
determinen las normas de la junta bancaria
62
o Mantener y actualizar el registro de certificados de aportacin

o Ejecutar las polticas de tasas de inters y de servicios de
acuerdo
los
lineamientos
fiados
por
el
consejo
de
administracin
o Analizar y aprobar las estrategias de mercadeo de productos y
servicios de la cooperativa
o Evaluar los resultados de la implantacin de las estrategias,
segn programa aprobado.
o Aprobar la adquisicin de bienes y servicios requeridos para la
gestin de la cooperativa de acuerdo a lo establecido en el
manual de adquisicin
o Suscribir convenios de prstamo con entidades financieras segn
polticas de endeudamiento aprobadas.
Asistente de Gerencia
o Coordinar la agenda de Gerencia General
o Elaborar memorandos y oficios para funcionarios, organismos de
control, instituciones financieras y otros.
o Cumplir actividades de apoyo administrativo a jefaturas de la
cooperativa.
o Asistir y coordinar reuniones de trabajo con jefes departamentales
jefes de agencias, etc.
o Monitorear
el
cumplimiento
de
instructivos,
disposiciones,
registros, reportes y mas requerimientos establecidos por las

autoridades de la cooperativa y organismos de control.
o Elaborar informes para el consejo de administracin de las
actividades realizadas por gerencial general.
o Custodiar y velar por la correcta utilizacin de la central telefnica.
o Supervisar
el
cumplimiento
de
entrega
recepcin
de
correspondencia.
o Administrar el programa de desbloqueo de claves de los
funcionarios y empleados.
o Administrar el mdulo de seguridad de mdulo COBIS
o Realizar las veces de oficial de cumplimiento Back UP
63
Auditor Interno
o Vigilar cualquier tiempo las operaciones de la institucin
o Comprobar la existencia y el adecuado funcionamiento de los
sistemas del control interno, con el propsito de proveer una
garanta razonable en cuanto al logro de los objetivos de la
institucin; eficiencia y eficacia de las operaciones; salvaguarda
de los activos; una adecuada revelacin de los estados
financieros; y, cumplimiento de las polticas y procedimientos
internos, leyes y normas aplicables.
o Evaluar los recursos informticos y sistemas de informacin de la
institucin del sistema financiero, con el fin de determinar si son
adecuados para proporcionar a la administracin y dems reas
de la institucin, informacin oportuna y suficiente que cuenten
con todas las seguridades necesarias.
o Verificar si la informacin que utiliza internamente la institucin
para la toma de decisiones y la que reporta a la superintendencia
de bancos y seguridades es fidedigna, oportuna y surge de
sistemas de informacin y bases de datos institucionales.
o Verificar que el director o el organismos que haga sus veces de la
institucin del sistema financiero haya expedido las polticas para
prevenir el lavado de activos provenientes de actividades ilcitas y
constatar la aplicacin de estas por parte de la administracin de
la entidad controlada.
o Evaluar si la gestin del oficial de cumplimiento se sujeta a las
disposiciones
o Verificar que la institucin cuente con organigramas estructurales
y funcionales;
o Verificar que la institucin del sistema financiero cuente con un
plan estratgico y que su formulacin se efectu a base de un
anlisis de elementos tales como: debilidades, oportunidades
fortalezas y amenazas, lneas de negocios, mercado objetivo,
evolucin de la cuota de mercadeo, proyecciones financieras,
planes de expansin o reduccin, entre otros.
64
o Verificar
la
existencia,
actualizacin,
difusin,
eficacia
y,
cumplimiento de las polticas, procedimientos, estrategias,

metodologas formalmente establecidas para identificar, evaluar,
controlar y administrar los riesgos y si estas son compatibles con
el volumen y complejidad de las transacciones.
o Aplicar las pruebas de auditora necesarias para verificar la
razonabilidad de las estados financieros, la existencia de
respaldos de los registros contables; y cumplimiento de las
normas de carcter general dispuestas por la superintendencia de
bancos y seguros contenidas en el catalogo nico de cuentas y
en la codificacin de resoluciones de la superintendencia de
bancos y seguros y de la junta bancaria.
o Evaluar la correcta seleccin y aplicacin de los principios
contables en la elaboracin de los estados financieros
o Verificar la transparencia, consistencia, confiabilidad y suficiencia
de las cifras contenidas en los estados financieros y de sus notas.
o Identificar las operaciones con partes vinculadas y verificar su
adecuada revelacin en los estados financieros para el caso de
las cooperativas de ahorro y crdito que realizan intermediacin
financiera con el pblico y de las asociaciones mutualistas de
ahorro y crdito para la vivienda.
o Suscribir conjuntamente con el representante legal y el contador
general de la institucin del sistema financiero, los estados
financieros
dems
reportes
que
se
remitirn
la
superintendencia de bancos y seguros.

o Verificar la suficiencia de los asientos contables incluidos en los
estados financieros de la institucin del sistema financiero,
mediante la evaluacin de los procedimientos aplicados por la
administracin y los auditores externos.
o Verificar que la institucin del sistema financiero acate las
disposiciones de la superintendencia de bancos y seguros, as
como las recomendaciones de los auditores externos y del
anterior auditor interno, si lo hubiese.
65
o Velar por el cumplimiento de las resoluciones de la junta general

de accionistas, asamblea de socios, del director o de los rganos
que hagan a sus veces, segn corresponda.
o Verificar que los aumentos de capital de la institucin se ajusten a
lo previsto en el artculo 42 de la ley general instituciones del
sistema financiero y a las normas pertinentes de la codificacin
de resoluciones de la superintendencia de bancos y seguros y de
la junta bancaria.
o Elaborar el plan anual de auditora a ser ejecutado durante el
ejercicio econmico y remitido a la superintendencia de bancos y
seguros, en el formato establecido para ello.
o Ejecutar el plan de auditora, en base de los requerimientos de los
controles establecidos.
o Dirigir y coordinar las acciones de auditora en las diferentes
reas, de acuerdo al plan aprobado.
o Asesorar a gerencia general y jefaturas departamentales y de
agencias.
Jefe de Informtica y Tecnologa
o Administrar los recursos de informticos y tecnolgicos de la
cooperativa.
o Realizar el Plan estratgico y operativo del rea alineando al plan
estratgico institucional.
o Elaborar presupuesto anual del departamento.
o Elaborar o actualizar el plan de contingencia.
o Planificacin, seguimiento y monitoreo de los mantenimientos de
las redes WAN, LAN (Remotas oficinas/locales) y del sistema
COBIS, BDD (base de datos).
o Instalacin y configuracin de software especializado
o Asesorar a gerencia general de las nuevas herramientas
informticas.
o Planificacin, seguimiento y monitoreo de las actividades
asignadas al rea de TI y CC.
66
o Realizar un informe a gerencia general de la administracin de los

recursos informticos y tecnolgicos.
o Planificacin, seguimiento y monitoreo de los nuevos proyectos
informticos de software y hardware.
Jefe de Riesgos
o Proponer al comit de administracin integral de riesgos de la
entidad, las polticas, de riesgos para la institucin, de acuerdo
con los lineamientos que fije el director u organismo que haga sus
veces.
o Elaborar y someter a consideracin y aprobacin del comit de
administracin integral de riesgos, la metodologa para identificar,
medir,
controlar/mitigar y monitorear los diversos
riesgos
asumidos por la institucin en sus operaciones.

o Velar por el cumplimiento de los lmites de explotaciones por tipo
de riesgos respecto de los principales clientes, sectores
econmicos de actividad, rea geogrfica, entre otros.
o Disear un sistema de informacin basado en reportes objetivos y
oportunos, que permita analizar las posiciones para cada riesgo y
el cumplimiento de los lmites fijados; e, informar peridicamente
al comit los planes de contingencia que considere distintas
situaciones probables, segn corresponda.
o Implantar de manera sistemtica en toda organizacin y en todos
los niveles de personal las estrategias de comunicacin, a fin fe
entender sus responsabilidades con respecto a la administracin
integral de riesgos.
o Calcular las posiciones de riesgo y su afectacin a patrimonio
tcnico de la entidad
o Analizar la incursin de la institucin del sistema financiero en
nuevos negocios, operaciones y actividades acorde con la
estrategia del negocio, con sujecin a las disposiciones legales,
normativa y estatutaria, en cumplimiento del proceso de
administracin integral de riesgos.
67
o Analizar el entorno econmico y de la industria y sus efectos en la

posicin de riesgos de la institucin, as como las prdidas
potenciales que podr sufrir ante una situacin adversa en los
mercados en los que opera.
o Disear las polticas y el proceso de administracin del riesgo
operativo.
3.1.4. Estructura Organizativa del rea de Sistemas
JEFE DE
INFORMTICA Y
TECNOLGIA
ADMINISTRADOR
DE TI
ANALISTA DE
PRODUCCIN
ANALISTA
PROGRAMADOR
OPERADOR
ADMINISTRADOR
DEL CENTRO DE
CMPUTO
PROGRAMADOR
Grfica 11: Estructura organizacional del rea de sistemas

En la Cooperativa Alianza del Valle LTDA.,
conoce como el
al rea tecnolgica se la
Departamento de Tecnologa e informacin, donde
detallaremos los cargos principales que constituyen este departamento.

.Administrador de TI: Administrar proyectos de software que
satisfagan las necesidades de mejoramiento y calidad de los
procedimientos
actividades
institucionales,
con
la
implementacin de sistemas automatizados.

68
Analizar los requerimientos enviados por el administrador de TI y

apoyar en la mejora de estos.
Administrador del Centro de Cmputo: Administrar los recursos
tecnolgicos monitoreando el buen desempeo de los equipos
servidores, supervisar que las redes de telecomunicaciones estn
operativas en su totalidad, controlar inventario del hardware y
software licenciado.
Operador: Ejecutar procesos diarios, mantener la operatividad de
los equipos tecnolgicos y servicios relacionados al rea.
Analista Programador: Analizar los requerimientos enviados por el
administrador de ti y apoyar en la mejora de estos.
Programador:
Desarrollar
software
que
cumpla
con
los
requerimientos institucionales.
3.1.5. Caractersticas de los Sistemas y Ambiente Computarizado
3.1.5.1.
COBIS Sistema Bancario
COBIS es un Sistema Bancario, que se encarga de manejar los

siguientes mdulos, que son fundamentales para el funcionamiento
de la cooperativa:
MDULO DE CUENTAS DE AHORROS
El mdulo est diseado para brindar un conjunto variado y

completo de transacciones para la administracin, manipulacin y
consultas sobre las cuentas de ahorros que posee el banco.
En lo que tiene que ver con el manejo de las libretas, el mdulo

presenta opciones para manipular las lneas pendientes, producto
de la ejecucin de transacciones internas o de transacciones en
69
las cuales el cliente no dispuso de la libreta (transacciones

financieras sin libreta). Dicho manejo se ve complementado por
las caractersticas que brinda la terminal financiera (ATX), para
manejar diferentes tipos de impresoras validadoras y, con la
operacin de reimpresin, en caso de fallo en la impresin
original, producto de la ejecucin de una transaccin con libreta.
ESTANDARES:
Cuentas de Ahorro
Personalizacin
Remesas
MDULO DE CARTERA
Cobis Cartera, presenta una solucin a los problemas que se

presentan al procesar los prstamos, permitiendo tener un control
total sobre cada una de las operaciones, realizando clculos
diarios de los valores que deben cobrarse por cada uno de los
conceptos que se definen en un prstamo y tenindolos
disponibles el momento que se requiera. El mdulo tiene una gran
facilidad en cuanto a la simulacin de tablas de amortizacin, la
misma que facilitar la negociacin de un crdito, proporcionando
un mejor servicio al cliente y optimizando recursos de la empresa.
Tambin se encuentra diseado para que pueda realizar procesos
de regeneracin de tablas de amortizacin por reajustes de tasas,
lo cual ocasiona problemas y mucho esfuerzo para poder
controlar correctamente si no existe un sistema automtico.
Permite aceptar cualquier tipo de abono que desee hacer el
cliente con su correspondiente aplicacin y registro.
70
MDULO CONTABIIDAD
Manejo de Empresas
El mdulo de Contabilidad permite el manejo multiempresa o

manejo contable de diferentes empresas, asocindolas por
tipos de planes, por grupos econmicos o por su capacidad de
manejo contable, independiente por empresa, ofreciendo
servicios contables para empresas ajenas al grupo econmico.
Manejo de la Estructura Organizacional
El sistema se adapta a la estructura de cada empresa,

permitiendo definir la estructura organizacional de la misma
(oficinas y reas).
Se puede realizar consultas de todas las sucursales existentes

en la empresa, o realizar una bsqueda de las mismas segn
su jerarqua o nombre.
Las reas tambin pueden ser definidas como operativas o

canceladas.
Periodos Contables
Es posible definir los periodos contables que el usuario

requiera, con fechas de inicio y fin de los mismos. En
consecuencia, es posible, por ejemplo, trabajar con un nuevo
periodo (ao 95) y seguir disponiendo del anterior periodo (ao
94) para realizar ajustes y correcciones. Tambin es posible
realizar comparaciones de resultados generados por cada
periodo. Los periodos pueden ser anuales, semestrales,
mensuales, etc. Al finalizar un periodo contable se transfieren
los saldos de las cuentas de resultados a utilidad o prdida del
71
ejercicio, luego de lo cual stas son inicializadas para el

comienzo de un nuevo periodo.
Plan de Cuentas
Es posible definir un Plan de Cuentas para cada

Empresa, sin lmite en el nmero de niveles ni en el nmero de
dgitos por nivel. Es posible definir qu cuentas son operativas
en qu nivel organizacional.
El Plan de Cuentas se asocia a las diferentes oficinas y por

cada una de las oficinas a las diferentes reas, segn como el
usuario lo defina. Esta asociacin se realiza de una manera
fcil y dinmica, lo que permite tener un Plan de Cuentas
completo por cada Empresa y dentro de la misma por cada
nivel organizacional (regin, sucursal o agencia), sin un
crecimiento innecesario del plan de cuentas.
Manejo de Monedas
El sistema maneja mltiples tipos monedas, lo que

permite obtener saldos en funcin de ellos.
Un archivo histrico de monedas extranjeras, permite conocer
las cotizaciones tanto de compra como de venta, pudindose
obtener grficos histricos.
Uso de Comprobantes Contables

Los comprobantes tienen las siguientes caractersticas:
Las cuentas contables que intervienen en los comprobantes,
deben ser digitadas con su respectivo dgito de verificacin
para evitar cualquier ingreso errneo.
El mdulo controla automticamente el cuadre de dbito

contra el crdito.
72
El
mdulo
genera
departamento,
el
nmero
imprimir
los
de
comprobante
comprobantes
por
contables
generados.
Es posible el manejo de entradas interiores, a travs de las

cuales se permite el cruce de valores monetarios entre oficinas
o departamentos.
Recepcin
de
comprobantes
contables,
desde
el
departamento de contabilidad, o desde todas las agencias y,

de todos los productos bancarios de las agencias.
Saldos Contables
Es
posible
la
consulta
automtica
de
saldos
sumarizados de la Empresa; saldos por Oficinas, por

Sucursales, (Machachi, Guaman, Amaguaa, Sangolqu, Inca,
Conocoto, Ecuatoriana, Chillogallo, Matriz). y, de todas y cada
una de las cuentas contables: es decir hasta el nivel
estructural ms bajo y profundo que se requiera.
Los saldos pueden ser obtenidos por oficina, periodo requerido

y corte, pudindose obtener grficos de la variacin de saldos
de la cuenta.
Reexpresin Monetaria
El sistema convierte todos los saldos en moneda

extranjera, a la moneda base que se haya definido para la
Empresa,
para
la
presentacin
de
Balances
la
Superintendencia de Bancos.
Interfaces Contables
73
Manejo
de
interfaces
contables
con
Productos
Bancarios como: Cuentas Corrientes, Cuentas de Ahorros y

Cmara y Remesas, etc., para la realizacin de transacciones,
indicando los sucursales origen y destino de la transaccin, as
como la empresa a la que pertenecen dichas sucursales.
Control Presupuestario
Es posible el manejo del Control Presupuestario

mensual, con partidas presupuestarias armadas, definindose
las cuentas de Presupuesto (similares a las del Plan de
Cuentas). Al final de cada periodo es posible hacer una
comparacin grfica entre ambos sistemas de cuantas.
MDULO DE CRDITO
El mdulo de crdito, permite automatizar el proceso de

concesin de crdito, facilitando la apertura de una solicitud de
crdito (operaciones originales, renovaciones o lneas de crdito),
el control y aprobacin de las etapas de dicha solicitud, o su
rechazo y, el seguimiento de los prstamos otorgados y
rechazados por la Institucin Financiera, brindando toda la
informacin necesaria para la toma de decisiones oportunas con
el menor riesgo para la Institucin.
MDULO DE FIRMAS
Mediante el presente mdulo se pueden digitalizar firmas de

clientes. Tambin pueden digitalizarse sellos de compaas. El
nmero de firmas y sellos que pueden ser registrados por cliente
es virtualmente infinito. Para ello es necesario, adems del
presente mdulo, de un scanner convenientemente conectado al
equipo Cliente (tarjeta de scanner).
74
El mdulo puede ser usado en diferentes niveles de operatividad,

segn se hayan definido los Roles por medio del mdulo
Administracin y Control Distribuido; pero bsicamente admitira
dos roles: aquel que permite registrar nuevas firmas de clientes (y
necesarias actualizaciones), segn se indica en el primer prrafo
y, otro para la Administracin de dichas firmas.
MDULO VALORES EN GARANTA
El mdulo est diseado para brindar un conjunto variado y

completo de transacciones, para la administracin, manipulacin y
consultas sobre las garantas que posee la institucin financiera.
El mdulo de Valores en Garantas, registra la informacin de las

garantas que presenta un cliente al momento que ste solicita
una operacin de Crdito. Complementariamente, presenta
opciones para realizar el mantenimiento y consultas de las
garantas, as como el manejo de las inspecciones realizadas a
las garantas que las requieran.
MDULO CLIENTES
El mdulo de CLIENTES permite la simulacin de condiciones

operativas de una Institucin, el anlisis de nuevos productos y
servicios considerando las caractersticas de los clientes,
permitiendo
su
segmentacin
por
mercados
ubicacin
geogrfica.
75
El mdulo consta de 3 elementos principales:
El CIF (Central Information File)
Que contiene la informacin general de los clientes de la

institucin, sus relaciones con otros clientes y con los
productos bancarios y financieros que tienen contratados.
Informacin para Mercadeo
Manejo de informacin para soporte a las actividades

del rea de mercadeo de la Institucin, con posibilidades de
anlisis de factibilidad de nuevos productos, distribucin
geogrfica de clientes y evaluacin del comportamiento de
productos.
Informacin de Saldos de Clientes
Obtencin de informacin sobre los Saldos, Saldos

Promedios y Flujo de Movimientos por Cuentas Corrientes y
Cuentas de Ahorro de cada Cliente o Grupo Econmico en los
ltimos seis meses.
MDULO DEPOSITOS A PLAZO FIJO
El sistema de informacin COBIS Depsito a Plazo Fijo,

brinda al banco, la facilidad de poder controlar la gestin
originada en el manejo de los diferentes tipos de depsitos que
son utilizados por el mismo.
El control sobre los depsitos se inicia con el ingreso de ste

al sistema, permitiendo registrar la informacin necesaria para
poder realizar los procesos de clculos de intereses, fecha de
vencimiento, fecha de prximo pago, etc. apropiadamente.
76
El sistema se encuentra alojado en el servidor central de produccin

de la Cooperativa, en auditora informtica este sistema debe ser
analizado en su comportamiento de motor transaccional basndose
en algunos puntos claves como son:
o Configuracin de permisos de acceso de comunicaciones
o Configuracin del motor transaccional
o Conexin a la base de datos
o Variables de entorno en el sistema
o Revisin de estadsticas de ejecucin de transacciones del
sistema
o Comportamiento del sistema en el ambiente de produccin
COBIS contiene dos componentes muy importantes para su

funcionamiento como son el MUX y COMSERVER estos son
utilizados con la finalidad de eliminar posibles cuellos de botella en el
servidor central al responder las transacciones solicitadas por los
servidores de agencia, en un instante especfico o en caso de
transacciones recursivas o masivas.
3.1.5.2.
Base de Datos
La Cooperativa tiene a COBIS como su Core Bancario siendo su

administrador de Base de Datos un Servidor Adaptive Server
Enterprise de Sybase.
La Cooperativa cuenta con un plan de contingencia y continuidad del
servidor de Base de Datos y tienen configurado el Sistema de
Contingencia o Standby mediante la Recopilacin Sybase.
Para el buen funcionamiento de la base y evitar prdidas de
informacin o cadas en la conexin el departamento de Sistemas
asigna 2 procesadores y discos con la suficiente capacidad para
soportar el nmero de transacciones diarias.
Los usuarios se conectan directamente a la base de datos.
77
A continuacin se describe la arquitectura del Sistema de Base de

Datos y Replicacin.
3.1.5.3.
Servidores
La Cooperativa cuenta con servidores (Branch) de Produccin, un

Servidor central y uno de Transacciones.
El servidor central es el que controla toda la informacin importante

de la Cooperativa de Ahorro y Crdito Alianza del Valle, tanto de la
matriz como sus agencias.
Los servidores Branch , se encuentran en cada una de las agencias,

estos son los que se conectan directamente al central, mismo que se
encuentra en la matriz, para el intercambio y actualizacin de
informacin.
Cada servidor de agencia presenta lo siguiente:

o Posee configurado 4 APLSERVER(segn la carga que
soportan)
o Esquema de seguridad
o Encolamiento en las transacciones
Servidor de produccin
Nombre del host
Alianza
Direccin IP
192.10.1.3
Servidor de Standby
Nombre del host
alianza1
Direccin IP
192.168.102.3
Servidor de Replicacin
Nombre del host
Alianza
Direccin IP
192.10.1.101
78
Servidor de Base de Datos

Nombre del host
SERVIDOR
ASE
DE
PRODUCCION
Direccin IP
192.10.1.3
Nombre del host
SERVIDOR ASE DE STANDBY
Direccin IP
192.168.102.3
Nombre del host
SERVIDOR
ASE
QUE
ADMINISTRA LA RSSD
Direccin IP
192.10.1.101
Grfica 12: especificacin de servidores
Servidor Central Sun Fire 250 (PRODUCCIN)
Servidor Central SUN 250 ENTER PRISE (DESARROLLO)
Servidor Compaq EVO para control de BANRED
Servidor HP de red LAN de Matriz Alianza de Valle
Servidor HP Linux Firewall
Servidor HP cajeros automticos
Servidor HP Sitio Web
3.1.5.4.
Microsoft Visual Source Safe
Es una herramienta que dentro de la Cooperativa se utiliza para el

control de acceso a los programas fuentes y ejecutables; cabe
destacar que, solamente el personal del rea de desarrollo tiene
acceso de administrador, permitindoles tener todos los privilegios
necesarios para poder realizar cambios sea en lnea de cdigo o
configuracin del sistema ejecutable.
Claro que para poder realizar cualquier cambio en el software, existe

una poltica de administracin, en la cual se debe especificar con que
intensin o beneficio se realiza el cambio.
79
3.1.5.5.
RED
Equipos de Comunicaciones cableado.Se compone de dos concentradores de red que se podran

denominar como principales, su red es plana, utilizando equipos de
comunicaciones tales como.
El primero es un SWITCH 3COM de 24 y 12 Puertos a 100 MBPS

que controla los puntos de red que desde el servidor estn
interconectados en un rack en la sala de mquinas del rea de
sistemas; desde este sitio se distribuye la red a todos los, para su
gestin.
En cuanto a la distribucin de los puntos de red, estos han sido

realizados mediante cableado tipo par trenzado UTP categora 5e,
mismo que permite una transmisin entre 100 BT 100 MBPS y que
se ha extendido bajo canaleta de plstico.
Grfica 13: Esquema de la red LAN/ WAN

80
3.2. APLICACIN DEL MODELO COBIT, A LA COOPERATIVA DE

AHORRO Y CREDITO ALIANZA DEL VALLE
3.2.1. Justificacin de la Aplicacin de los Dominios de Planear y

Organizar y, Monitorear y Evaluar, del Modelo Cobit.
Para la realizacin de esta auditora, se toma como marco

de referencia COBIT 4.0, el cual es un marco de gobernabilidad
de TI y un conjunto de herramientas de ayuda, que permite a los
administradores, tener en cuenta y asociar los conceptos de
requerimientos de control, consideraciones tcnicas y riesgos del
negocio.
Este conjunto de las mejores prcticas permiten evaluar la

seguridad, eficacia, calidad y eficiencia de las TI., mediante esto
se determinan los riesgos, tener una gestin efectiva de los
recursos, medir el desempeo y cumplimiento de metas y, de
manera principal, medir el nivel de madurez de los procesos de la
organizacin.
COBIT satisface las necesidades que tiene la organizacin en lo

referente a las TI de la siguiente manera:
Tomando en cuenta los requerimientos del negocio.
Mediante el modelo de procesos, organiza las actividades
de TI.
Identifica los recursos de TI prioritarios a ser utilizados.
Definiendo los controles de TI.
Garantizando la relacin entre los Planes de Negocio y TI.
Asegurando
que
TI
entregue
todos
los
beneficios
pronosticados en la estrategia.
Administrando los Recursos crticos.
81
Medicin del desempeo, monitoreando y rastreando la

estrategia de implementacin, el uso de recursos entre
otros.
3.2.2. Planificacin del Trabajo (propuesta)
3.2.2.1.
Marco Terico
La metodologa a utilizarse en el proyecto es Cobit 4.0 (Control

Objectives For Information an Related Technology), estndar
generalmente aceptado para buenas prcticas en seguridad
tecnolgica y, en administracin y control de la tecnologa de la
informacin.
Cobit tiene su base en los objetivos de control de ISACF,
actualmente conocida como ISACA (Information Systems Audit and
Control Association), de acuerdo a estndares internacionales, este
modelo de referencia tiene la facilidad de adaptarse a cualquier tipo
de negocio y, los objetivos de control que se han definido en el
modelo, pueden ser aplicados independientemente del ambiente,
plataformas y madurez tecnolgica de la organizacin; por lo que se
proyecta
aplicar el Marco Referencial Cobit, adaptado a la
Cooperativa de Ahorro y Crdito Alianza del Valle Ltda., que se

sujeta a prcticas de administracin a travs de objetivos de control
de alto nivel, organizadas en cuatro categoras o dominios.
Planificacin y organizacin.
Adquisicin e implementacin.
Soporte y servicios.
Evaluacin y seguimiento.
Cada uno de estos dominios contiene declaraciones de los

resultados que se desean obtener, mediante la implementacin de
procedimientos de controles especficos y relacionados a la actividad
82
TI, en funcin de los riesgos identificados y focalizados en el

Departamento de Recursos Informticos de la COOP Alianza del
Valle Ltda.
3.2.2.2.
Objetivos
3.2.2.2.1. Objetivos Generales
Realizar una Auditora Informtica de los
Sistemas de
Informacin Tecnolgicos de la Cooperativa de Ahorro y Crdito

Alianza del Valle LTDA, en
los dominios de Planificacin y
organizacin, Adquisicin e implementacin, Soporte y servicios,

Evaluacin y seguimiento, mediante la revisin del ambiente de
control, implementado en los procesos automatizados y en el
gerenciamiento de los mismos, utilizando COBIT, a fin de identificar
debilidades y emitir recomendaciones que permitan eliminar o
minimizar los riesgos.
3.2.2.2.2. Objetivos Especficos
Presentar el marco terico del Modelo Cobit 4.0.
Evaluar la situacin actual de la organizacin y su

infraestructura tecnolgica.
Identificar la forma en que el uso adecuado de la tecnologa

de la informacin, puede contribuir al logro de los objetivos
de la organizacin.
Evaluar la eficiencia y eficacia con que los Sistemas de

Informacin, apoyan en la toma de decisiones a la Alta
Direccin de la organizacin, considerando el nivel de
detalle provisto por los "Objetivos de Control" y las
"Directrices de Administracin" de Cobit, principalmente
83
enfocados en los criterios de efectividad, disponibilidad,

confidencialidad e integridad.
3.2.2.3.
Alcance
El alcance viene dado por la metodologa COBIT, en los

dominios de Planificacin y Organizacin y, Evaluacin y
Seguimiento; que nos indica la forma de utilizar la tecnologa de la
informacin para lograr los objetivos del negocio; y su evaluacin
paulatina para verificar su calidad y suficiencia, en cuanto a los
requerimientos de control.
Como primera actividad se espera
recoger, agrupar y evaluar
evidencias, para determinar si el sistema informtico mantiene la

integridad de los datos y, principalmente si lleva a cabo eficazmente
los fines de la organizacin, utilizando eficientemente los recursos.
Este trabajo se ejecutar en la Cooperativa de Ahorro y crdito
Alianza del Valle LTDA, para lo cual se realizar la revisin de
controles establecidos dentro de la cooperativa, aplicando el modelo
COBIT. El proyecto que tendr una duracin de 20 semanas, al final
de las cuales se espera obtener recomendaciones en base a las
falencias
detectadas,
las
cuales
nos
permitirn
generar
recomendaciones que quedarn planteadas en el informe final para

que puedan ser aplicadas segn el criterio de las autoridades.
3.2.2.4.
Mtodo de Trabajo y Procedimientos a Ejecutar
Durante la auditora, se debe recopilar informacin til y necesaria,

misma que luego analizarla, permiten obtener conclusiones,
que
luego derivan en recomendaciones para el mejoramiento de la

organizacin. La obtencin de informacin o evidencias, se puede
realizar combinando uno o ms de los siguientes procedimientos:
Indagar y confirmar
Inspeccionar
84
Observar
Recalcular y analizar
Recolectar y analizar evidencia automatizada
3.2.2.5.
Productos a Entregar
En base a la revisin llevada a cabo, se identificarn las

debilidades de control en el Departamento de Recursos Informticos,
se elaborar un informe preliminar, el cual ser presentado a la
Jefatura del Departamento y a la Gerencia General, para
posteriormente emitir un informe final, el cual ser presentado a la
Gerencia General de la empresa.
Las
recomendaciones
emitidas
en
base
las
debilidades
identificadas dependiendo de la factibilidad y posibilidad de la

empresa, debern ser implementadas en un lapso no superior a
cinco meses y una vez que se haya realizado las correcciones en el
departamento de Recursos Informticos, este deber ser evaluado.
3.2.2.6.
Herramientas a Utilizar
La auditora informtica, se basa en una serie de anlisis que se

realiza con tres mtodos base escogidos para la realizacin de este
trabajo:
Encuestas de evaluacin acerca del uso de la tecnologa
Simulaciones de los procesos y casos
Aplicacin de escenarios tecnolgicos
85
Adems existen otros mtodos, como son:
Matrices de Investigacin de Campo
Instrumento elaborado para ser utilizado como base de

datos para la organizacin del trabajo del Equipo de Auditora
Informtica de la ESPE.
Observacin Directa
Es una tcnica que nos permite captar con todos nuestro

sentido la realidad de la organizacin y puede ser de dos tipos.
No participante, es aquella en que el auditor observa
externamente el proceso sin interferir en ellos y, participante,
es aquella en la que el auditor participa en los procesos de la
unidad auditada, integrndose en el grupo y sus actividades.
En cualquier caso, hay que definir el objetivo de la observacin
(cul es el motivo de su realizacin), las variables de la
observacin (que queremos observar, planificacin de la
observacin
(que
haremos
durante
la
observacin
trascripcin de la observacin (como se expresara la

observacin, por escrito, visualmente, etc.).
Entrevistas
Es una tcnica til y arriesgada, sta representa la

inversin del territorio laboral de una persona, es lgico por lo
tanto reacciones defensivas e incluso hostiles. Una forma de
'rebajar" la tensin, est en adoptar una postura amigable y de
colaboracin. El xito de la entrevista, depende de los
siguientes factores (repartidos por igual entre el auditor y el
entrevistado): la experiencia y los conocimientos del auditor y
la predisposicin y los conocimientos del entrevistado.
86
Checklist
El checklist es una tcnica muy utilizada en el campo de la
auditora
informtica.
No
es
ms
que
una
lista
de
comprobacin o cuestionario, que sigue pautas determinadas,

dependiendo de qu estemos evaluando o qu objetivos se
desean alcanzar.
3.3. INVESTIGACIN DE CAMPO
3.3.1. Identificacin de Riesgos de TI Crticos.
La matriz con la que se manej los Riesgos de TI crticos, es la que se

muestra a continuacin, sta corresponde correspondiente a los procesos
crticos que se han encontrado en el sistema de la Cooperativa de Ahorro y
Crdito Alianza del Valle Ltda. (La cual fue contestada por el responsable
del sistema).
Tabla 2: Matriz de riesgos
Dominio General a analizar

Subdominio a analizar
Dominio General no requiere anlisis
Control de
PO1
Definir un Plan Estratgico de TI
PO1.1
Administracin del valor de TI
PO1.2
Alineacin de Ti con el negocio
PO1.3
Evaluacin del desempeo actual
Documentado
Proceso de TI
Fuentes
bajo
Medio
Alto
No importante
Riesgo
No Documentado
Algo importante
Muy importante
Importancia
o
o
o
87
PO1.4
Plan estratgico de TI
PO1.5
Planes tcticos de TI
PO1.6
Administracin del portafolio de TI
PO2
Definir la arquitectura de informacin
PO2.1
PO2.2
Modelo de arquitectura de informacin
X
o
empresarial
Diccionario de datos empresarial y
reglas de sintaxis de datos
PO2.3
Esquema de clasificacin de datos
PO2.4
Administracin de la integridad
PO3
Determinar la direccin tecnolgica
PO3.1
Planeacin de la direccin tecnolgica
PO3.2
Plan de infraestructura tecnolgica
PO3.3
PO3.5
Consejo de arquitectura
PO4.2
Comit estratgico
PO4.3
Comit directivo
o
x
o
o
o
de TI
Estructura organizacional
PO4.6
Roles y responsabilidades
Responsabilidad de aseguramiento de
calidad de TI
Responsabilidad sobre el riesgo, la
seguridad y el cumplimiento
X
o
Ubicacin organizacional de la funcin
PO4.5
PO4.8
relaciones de TI
Marco de trabajo del proceso
PO4.7
Definir los procesos, organizacin y
PO4.1
futuras
Estndares tecnolgicos
PO4.4
Monitoreo de tendencias y regulaciones
PO3.4
PO4
o
o
o
PO4.9
Propiedad de datos y de sistemas
PO4.10
Supervisin
PO4.11
Segregacin de funciones
PO4.12
PO4.13
PO4.14
PO4.15
Personal de TI
Personal clave de TI
Polticas y procedimientos para
personal contratado
Relaciones
o
O
o
88
PO5
PO5.1
PO5.2
financiera
Prioridades dentro del presupuesto de
TI
PO5.4
Administracin de costos
PO5.5
Administracin de beneficios
PO6
Comunicar las aspiraciones y la
direccin de la gerencia
Ambiente de polticas y de control
Riesgo corporativo y marco de
referencia de control interno de TI
Administracin de polticas para TI
PO6.4
Implantacin de polticas de TI
PO7
PO7.1
PO6.3
PO6.5
Comunicacin de los objetivos y la
direccin de TI
Administrar los recursos humanos de TI
Competencias del personal
PO7.3
Asignacin de roles
PO7.4
Entrenamiento del personal de TI
PO7.5
Dependencia sobre los individuos
PO7.7
Procedimientos de Investigacin del
Evaluacin del desempeo del
empleado
Cambios y terminacin de trabajo
PO8
Administrar calidad
PO8.1
Sistema de administracin de calidad
PO8.2
Estndares y prcticas de calidad
PO8.3
personal
PO7.8
O
x
X
O
Estndares de desarrollo y de
adquisicin
PO8.4
Enfoque en el cliente
PO8.5
Mejora continua
PO8.6
PO9
Medicin, monitoreo y revisin de la

calidad
Evaluar y administrar los riesgos de TI
Reclutamiento y retencin del personal
PO7.2
PO7.6
Marco de trabajo para la administracin
Proceso presupuestal
PO6.2
PO5.3
PO6.1
Administrar la inversin en TI
o
x
89
PO9.1
PO9.2
riesgos de TI y del negocio

Establecimiento del contexto del riesgo
PO9.3
Identificacin de eventos
PO9.4
Evaluacin de riegos
PO9.5
Respuesta a los riesgos
PO9.6
X
Alineacin de la administracin de
PO10
PO10.1
PO10.2
Mantenimiento y monitoreo de un plan

de accin de riesgos
Administrar proyectos
o
o
o
o
o
o
x
de programas
de proyectos
PO10.3
Enfoque de administracin de proyectos
PO10.4
Compromiso de los interesados
PO10.5
Estatuto de alcance del proyecto
PO10.6
Inicio de las fases del proyecto
PO10.7
Plan integrado del proyecto
PO10.8
Recursos del proyecto
PO10.9
Administracin de riesgos del proyecto
o
o
PO10.10 Plan de calidad del proyecto

PO10.11 Control de cabios del proyecto
PO10.12
PO10.13
Planeacin del proyecto y mtodos de

aseguramiento
Medicin del desempeo, reportes y
monitoreo del proyecto
o
o
o
PO10.14 Cierre del proyecto

X
Al1
Identificar soluciones automatizadas
o
x
Definicin y mantenimiento de los

Al1.1
requerimientos tcnicos y funcionales
del negocio
Al1.2
Al1.3
Al1.4
X
Reporte de anlisis de riesgos

Estudio de factibilidad y formulacin de
cursos de accin alternativos
o
o
Requerimientos, decisin de factibilidad
y aprobacin
Al2
Adquirir y mantener software aplicativo
Al2.1
Diseo de alto nivel
90
Al2.2
Al2.3
Al2.4
Al2.5
Al2.6
Al2.7
Al2.8
Al2.9
Al2.10
X
Al3
Al3.1
Al3.2
Control y adaptabilidad de las
aplicaciones
Seguridad y disponibilidad de las
aplicaciones
Configuracin e implantacin de
software aplicativo adquirido

Actualizaciones importantes en
sistemas existentes
Desarrollo de software aplicativo
Aseguramiento de la calidad del
software
Administracin de los requerimientos de
aplicaciones
Mantenimiento de software aplicativo
Adquirir y mantener infraestructura
tecnolgica
Plan de adquisicin de infraestructura
tecnolgica
o
x
Proteccin y disponibilidad del recurso
de infraestructura
Al3.3
Mantenimiento de la infraestructura
Al3.4
Ambiente de prueba de factibilidad
Al4
Facilitar la operacin y el uso
Al4.1
Plan para soluciones de operacin
Al4.2
Al4.3
Al4.4
X
Diseo detallado
Transferencia de conocimiento a la
gerencia del negocio
Transferencia de conocimiento a
usuarios finales
Transferencia de conocimiento al
personal de operaciones y soporte
Al5
Adquirir recursos de TI
Al5.1
Control de adquisicin
Al5.2
Administracin de contratos con
Seleccin de proveedores
Al5.4
Adquisicin de software
Al5.5
Adquisicin de recursos de desarrollo
Adquisicin de infraestructura,
proveedores
Al5.3
Al5.6
91
instalaciones y servicios relacionados

X
Al6
Al6.1
Al6.2
Al6.3
Al6.4
Al6.5
X
Al7
Estndares y procedimientos para

cambios
x
o
Evaluacin de impacto, priorizacin y
autorizacin
Cambios de emergencia
Seguimiento y reporte del estatus de
cambio
Cierre y documentacin del cambio
Instalar y acreditar soluciones y
cambios
Al7.1
Entrenamiento
Al7.2
Plan de prueba
Al7.3
Plan de implementacin
Al7.4
Ambiente de prueba
Al7.5
Conversin de sistema y datos
Al7.6
Prueba de cambios
Al7.7
Prueba final de aceptacin
Al7.8
Transferencia a produccin
Al7.9
Liberacin de software
Al7.10
Distribucin del sistema
Al7.11
Registro y rastreo de cambios
Al7.12
Revisin posterior a la implantacin
DS1
DS1.1
Definir y administrar los niveles de

servicio
DS1.3
Acuerdos de niveles de servicio
DS1.4
Acuerdos de niveles de operacin
DS2
DS2.1
Monitoreo y reporte del cumplimiento de

los niveles de servicio
Revisin de los acuerdos de niveles de
servicio y de los contratos
Administrar los servicios de terceros
Identificacin de las relaciones con
todos los proveedores
de los niveles de serbio

Definicin de servicios
DS1.6
Marco de trabajo de la administracin
DS1.2
DS1.5
Administrar cambios
o
o
o
o
o
x
92
DS2.2
DS2.3
DS2.4
DS3
DS3.1
proveedores
Administracin de riesgos del proveedor
Monitoreo del desempeo del
proveedor
Administrar el desempeo y la
capacidad
Planeacin del desempeo y la
capacidad
DS3.2
Capacidad y desempeo actual
DS3.3
Capacidad y desempeo futuro
DS3.4
Disponibilidad de recursos de TI
DS3.5
Monitoreo y reporte
DS4
Garantizar la continuidad de los

servicios
DS4.1
Marco de trabajo de continuidad
DS4.2
Planes de continuidad de TI
DS4.3
Recursos crticos de TI
DS4.4
DS4.5
DS4.6
DS4.7
DS4.8
DS4.9
Administracin de las relaciones con los
o
o
X
O
o
o
Mantenimiento del plan de continuidad
de TI
Pruebas del plan de continuidad de TI
Entrenamiento del plan de continuidad
de TI
Distribucin del plan de continuidad de
TI
Recuperacin y reanudacin de los
servicios de Ti
Almacenamiento de respaldos fuera de
las instalaciones
DS4.10
Revisin port-reanudacion
DS5
Garantizar la seguridad de los sistemas
DS5.1
Administracin de la seguridad de TI
DS5.2
Plan de seguridad de TI
DS5.3
Administracin de identidad
DS5.4
Administracin de cuentas del usuario
DS5.5
Pruebas, vigilancia y monitoreo de la

seguridad
o
x
o
o
o
DS5.6
Definicin de incidente de seguridad
DS5.7
Proteccin de la tecnologa de
93
seguridad
DS5.8
DS5.9
software malicioso
DS5.11
Intercambio de datos sensitivos
DS6
Identificar y asignar costos
DS6.1
Definicin de servicios
DS6.2
Contabilizacin de TI
DS6.3
Modelacin de costos y cargos
DS6.4
Mantenimiento del modelo de costos
DS7
Educar y entrenar a los usuarios
DS7.3
DS8
Identificacin de necesidades de
entrenamiento y educacin
Imparticin de entrenamiento y
educacin
incidentes
o
o
x
Mesa de servicios
DS8.2
Registro de consultas de clientes
DS8.3
Escalamiento de incidentes
DS8.4
Cierre de incidentes
DS8.5
Anlisis de tendencias
DS9
Administrar la configuracin
DS9.2
DS9.3
DS10
DS10.1
Revisin de integridad de la
configuracin
Administracin de problemas
Identificacin y clasificacin de
problemas
o
x
Rastreo y resolucin de problemas
DS10.3
Cierre de problemas
Integracin de las administracin de

cambios, configuracin y problemas
DS10.2
DS10.4
X
o
base
elementos de configuracin
X
o
Repositorio de configuracin y lnea
Identificacin y mantenimiento de
Evaluacin del entrenamiento recibido

Administrar la mesa de servicio y los
DS8.1
DS9.1
Prevencin, deteccin y correccin de
Seguridad de la red
DS7.2
DS5.10
DS7.1
Administracin de llaves criptogrficas
94
DS11
DS11.1
DS11.2
DS11.3
Acuerdos de almacenamiento y
conservacin
Sistema de administracin de libreras
de medios
DS11.5
Respaldo y restauracin
Requerimientos de seguridad para la
administracin de datos
DS12
Administracin del ambiente fsico
DS12.1
Seleccin y diseo de datos
DS12.2
Medidas de seguridad fsica
DS12.3
Acceso Fsico
X
o
Proteccin contra factores ambientales
DS12.5
Administracin de instalaciones fsicas
DS13
Administracin de operaciones
Procedimientos e instrucciones de
Programacin de tareas
DS13.3
Monitoreo de la infraestructura de TI
DS13.5
ME1
ME1.1
ME1.2
Mantenimiento preventivo del hardware
TI
o
x
Enfoque del monitoreo
X
o
Definicin y recoleccin de datos de
monitoreo
Mtodo de monitoreo
ME1.4
Evaluacin del desempeo
o
o
Reportes al consejo directivo y a
ejecutivos
ME1.6
Acciones correctivas
ME2
Monitorear y evaluar el control interno
ME2.1
salida
ME1.3
ME1.5
Documentos sensitivos y dispositivos de
Monitorear y evaluar el desempeo de
Monitorear el marco de trabajo de

control interno
operaciones
DS13.2
DS13.4
administracin de datos
DS13.1
Requerimientos del negocio para
Eliminacin
DS12.4
DS11.4
DS11.6
X
Administracin de la informacin
o
x
X
o
95
ME2.2
Revisiones de auditora
ME2.3
Excepciones de control
ME2.4
Auto-evaluacin de control
ME2.5
Aseguramiento del control interno
ME2.6
Control interno para terceros
ME2.7
Acciones correctivas
ME3
Garantizar el cumplimiento regulatorio
ME3.1
ME3.2
ME3.3
ME3.4
o
o
o
x
Identificar las leyes y regulaciones con
impacto potencial sobre TI

Optimizar la respuesta a requerimientos
regulatorios
Evaluacin del cumplimiento con
requerimientos regulatorios
Aseguramiento positivo del
cumplimiento
ME3.5
Reportes integrados
ME4
Proporcionar gobierno de TI
ME4.1
Establecer un marco de trabajo de

gobierno para TI
o
x
o
ME4.2
Alineamiento estratgico
ME4.3
Entrega de valor
ME4.4
Administracin de recursos
ME4.5
Administracin de riesgos
ME4.6
Medicin del desempeo
96
3.3.2. Matriz de Investigacin de Campo
Tabla 3: Matriz de investigacin de campo
INSTRUMENTOS DE
OBJETIVOS DE CONTROL DETALLADOS
CONTROLES
Nombre
POR VERIFICAR
Descripcin
Prueba del
DOCUMENTACIN
Control
DE REFERENCIA
PREGUNTAS
INVESTIGACION DE
BASICAS
CAMPO
PO1.2 Alineacin Educar a los ejecutivos
1) Plan de
1) Anexo A.1:
Plan de
1)
de TI con el
sobre las capacidades
capacitacin al
Hoja de
capacitaciones.
cuenta
negocio
tecnolgicas actuales y
usuario sobre
Evaluacin
Plan estratgico de justificacin
sobre el rumbo futuro,
tecnologas de TI
PO1
negocio.
relacionada con el plan
sobre las oportunidades
2) Plan
Plan de TI
estratgico y operativo
Cada
proyecto Cuestionario y
con
negocios
una entrevista.
que ofrece TI y, sobre qu estratgico TI
de
de
la
debe hacer el negocio
alineado con plan
empresa?
para capitalizar esas
estratgico de
Conoce la importancia
oportunidades.
negocio
de TI para el negocio y
2)
Asegurarse de que el
su
crecimiento?
rumbo del negocio al cual
3) A futuro TI garantiza
est alineado la TI est
una
bien entendido.
capitalizacin
Las estrategias de
negocio ?
mejor
del
negocio y de TI deben
estar integradas,
relacionando de manera
97
clara las metas de la

empresa y las metas de
TI y reconociendo las
oportunidades as como
las limitaciones en la
capacidad actual y, se
deben comunicar de
manera amplia.
Identificar las reas en
que el negocio
(estrategia) depende de
forma crtica de la TI y,
mediar entre los
imperativos del negocio y
la tecnologa, de tal modo
que se puedan establecer
prioridades concertadas.
PO2.3 Esquema
Establecer un esquema
1) Esquema de
1) Anexo A.2:
Manual general de
1) La informacin que
Cuestionario y
de clasificacin
de clasificacin que
clasificacin de
Hoja de
polticas de gestin
el negocio genera, es
entrevista.
de datos
aplique a toda la
datos
Evaluacin
de informtica y
tratada con la
empresa, basado en que
2) Requerimientos PO2
tecnologa
confidencialidad que
tan crtica y sensible es la
de manejo de
requiere el caso?
informacin (esto es,
datos
2) Es el personal
pblica, confidencial,
3) Descripcin de
consiente del perfil que
secreta) de la empresa.
permisos de
maneja cuando genera
Este esquema incluye
usuario para
o extrae informacin
detalles acerca de la
control de acceso
del sistema?
3)
98
propiedad de datos, la
El modelo de datos es
definicin de niveles
fcil de utilizar ?
apropiados de seguridad
y de controles de
proteccin y, una breve
descripcin de los
requerimientos de
retencin y destruccin de
datos, adems de qu tan
crticos y sensibles son.
Se usa como base para
aplicar controles como el
control de acceso, archivo
o inscripcin.
PO9.1 Alineacin Integrar el gobierno, la
1) Marco de
1) Anexo A.3:
se solicita a la
1) Existen reportes de
Cuestionario y
de la
administracin de riesgos
administracin de
Hoja de
Cooperativa un
monitoreo de riesgos
entrevista.
administracin
y el marco de control de
riesgos de TI
Evaluacin
marco de
activados? 2) Los
de riesgos de TI
TI, al marco de trabajo de
2) Marco de
PO9
administracin de
planes de
y del negocio
administracin de riesgos
trabajo de
riesgos de TI y el
administracin de
de la organizacin. Esto
administracin de
marco de trabajo de riesgos son aprobados
incluye la alineacin con
riesgos del
administracin de
el apetito de riesgo y con
negocio.
riesgos de negocio
por la gerencia?
el nivel de tolerancia al
riesgo de la organizacin
99
AI3.1 Plan de
Generar un plan para
1) Plan de
1) Anexo A.4:
Solicitar a la
1) Cuantos proyectos
adquisicin de
adquirir, implantar y
adquisicin
Hoja de
Cooperativa el plan
estn sujetos a
infraestructura
mantener la
implantacin y
Evaluacin AI3 de adquisicin,
factibilidad dentro del
tecnolgica
infraestructura tecnolgica mantenimiento de
implantacin y
plan anual de los TI?
que satisfaga los
infraestructura
mantenimiento de
2) Cuantos proyectos
requerimientos
tecnolgica.
la infraestructura
de TI han sido
establecidos funcionales y 2) Planificacin de
tecnolgica
entregados a tiempo
tcnicos del negocio y,
Plan de
segn el presupuesto y
que est de acuerdo con
Administracin de
planificacin?
la direccin tecnolgica
cambios
TI
Cuestionario y
entrevista.
de la organizacin. El plan
debe considerar
extensiones futuras para
adiciones de capacidad,
costos de transicin,
riesgos tecnolgicos y
vida til de la inversin
para actualizaciones de
tecnologa.
Evaluar los costos de
complejidad y la viabilidad
comercial del proveedor y
el producto al aadir
nueva capacidad tcnica
100
AI3.3
Desarrollar una estrategia
1) Plan de
1) En qu porcentaje
Mantenimiento
y un plan de
manteamientos de
los usuarios se sienten
de la
mantenimiento de la
infraestructura
satisfechos con la
Infraestructura
infraestructura y
tecnolgica
funcionalidad y
garantizar que se
2) Plan de
mantenimiento de TI?
controlan los cambios, de
administracin de
2) Con qu frecuencia
acuerdo con el
cambios
con la que se realiza
procedimiento de
infraestructura
un mantenimiento? 3)
administracin de
tecnolgica
Que procedimiento
cambios de la
realiza para poder
organizacin. Incluir una
recibir un
revisin peridica contra
mantenimiento
las necesidades del
correctivo o preventivo
negocio, administracin
de parches y estrategias
de actualizacin, riesgos,
evaluacin de
vulnerabilidades y
requerimientos de
seguridad.
101
AI6.1 Estndares Establecer
1) Manual de
1) Anexo A.5:
Solicitar a la
1) Procedimiento que
y procedimientos
procedimientos de
gestin y
Hoja de
Cooperativa el
necesario para realizar
para cambios
administracin de cambio
desarrollo de
Evaluacin AI6 manual de gestin y un cambio o
formales para manejar de
software
manera estndar todas
desarrollo de
mantenimiento de
software
software?
Cuestionario y
entrevista.
2)
las solicitudes (incluyendo
Como se controla el
mantenimiento y parches)
acceso a los
para cambios a
programas fuentes?
aplicaciones,
procedimientos, procesos,
parmetros de sistema y
servicio y, las plataformas
fundamentales.
AI6.3 Cambios
Establecer un proceso
1) Manual de
1) Anexo A.5:
1) Nmero de
de emergencia
para definir, plantear,
gestin y
Hoja de
interrupciones o
evaluar y autorizar los
desarrollo de
Evaluacin AI6
errores reportados y
cambios de emergencia
software
solucionados
que no sigan el proceso
emergentemente?
de cambio establecido. La
2) Que cambios se han
documentacin y pruebas
realizado
se realizan, posiblemente,
emergentemente a la
despus de la
infraestructura?
implantacin del cambio
Cual es el
de emergencia.
procedimiento para
3)
cambios emergentes ?
102
DS1.5 Monitoreo
Monitorear continuamente 1) Marco de
1) Anexo A.6:
Solicitar como se
1) Que servicios han
Cuestionario y
y reporte del
los criterios de
Hoja de
procede en la
sido entregados y no
entrevista.
cumplimento de
desempeo especificados niveles de servicio Evaluacin
administracin de
se encuentran en el
los niveles de
para el nivel de servicio.
2) Reportes de
niveles de servicio
catalogo?
servicio
Los reportes sobre el
cumplimiento de
del departamento
niveles de servicio son
cumplimiento de los
niveles de
de tecnologa y
medidos por el
niveles de servicio deben
servicio.
sistemas
departamento de TI ?
administracin de
DS1
2) Que
emitirse en un formato
3) Que porcentaje de
que sea entendible para
usuarios se encuentran
los interesados. Las
satisfechos con los
estadsticas de monitoreo
niveles de servicio que
son analizadas para
brinda la empresa?
identificar tendencias
positivas y negativas tanto
de servicios individuales
como de los servicios en
conjunto.
DS3.2
Revisar la capacidad y
1) Manual tcnico
1) Anexo A.7:
Solicitar a la
1) Cuantos son los
Capacidad y
desempeo actual de los
del sistema
Hoja de
Cooperativa toda la
activos que intervienen entrevista.
desempeo
recursos de TI en
COBIS 2) Manual Evaluacin
informacin acerca
en el buen
actual
intervalos regulares para
tcnico de la base DS3
del Core Bancario
funcionamiento de este
determinar si existe
de datos 3)
COBIS, manual
sistema? 2)
suficiente capacidad y
Esquema de
tcnico de la base
Seguridades de la
desempeo para prestar
distribucin de red
de datos y
base de datos y tablas
los servicios con base en
esquema de
de auditora del
los niveles de servicio
distribucin de red.
sistema COBIS? 3)
acordados.
Cuestionario y
Los tiempos de
103
ejecucin en las
transacciones son los
adecuados aspirados ?
DS4.2 Planes de
Desarrollar planes de
continuidad de TI continuidad de TI con
1) Plan de
1) Anexo A.8:
contingencia de TI Hoja de
base en el marco de
2) Requerimientos Evaluacin
trabajo, diseado para
de los servicios
reducir el impacto de una
crticos de TI
DS4
Plan de
1) Que tiempo
Cuestionario y
contingencia de TI
transcurre entre las
entrevista.
pruebas de cualquier
elemento dado del plan
de continuidad?
2)
interrupcin mayor de las
Con qu frecuencia
funciones y los procesos
existen interrupciones
clave del negocio. Los
planes deben considerar

requerimientos de
resistencia,
procesamiento alternativo
y, capacidad de
recuperacin de todos los
servicios crticos de TI.
Tambin deben cubrir los
lineamientos de uso, los
roles y responsabilidades,
los procedimientos, los
procesos de
comunicacin y el
enfoque de pruebas
104
DS5.10
Seguridad de la
red
Garantizar que se utilizan
1) Polticas
1) Anexo A.9:
Polticas internas
1) Nmero de
Cuestionario y
tcnicas de seguridad y
internas de
Hoja de
de seguridades de
incidentes con impacto
entrevista.
procedimientos de
seguridad en la
Evaluacin
la red
negativo al negocio
administracin asociados
red
DS5
2) Tiempos para
(por ejemplo, firewalls,
otorgar, cambiar o
dispositivos de seguridad,
eliminar privilegios de
segmentacin de redes y,
acceso
deteccin de intrusos)
para autorizar acceso y
controlar los flujos de
informacin desde y hacia
las redes.
105
1) Anexo A.10:
DS12.2 Medidas
Definir e implementar
1) Regulamiento
de seguridad
medidas de seguridad
estndar de
Hoja de
fsica
fsicas alineadas con los
seguridades
Evaluacin
requerimientos del
fsicas
DS12
Regulamiento
1) Frecuencia de
Cuestionario y
estndar de
capacitacin del
entrevista.
seguridades fsicas
personal respecto a
medidas de proteccin,
negocio. Las medidas
de seguridad y de
deben incluir, pero no
instalaciones.
2)
limitarse al esquema del
Cantidad de personal
permetro de seguridad,
capacitado en medidas
de las zonas de
de proteccin,
seguridad, la ubicacin de
seguridad y de
equipo crtico y de las
instalaciones.
reas de envo y
recepcin. En particular,
mantenga un perfil bajo
respecto a la presencia de
operaciones crticas de TI.
Deben establecerse las
responsabilidades sobre
el monitoreo y los
procedimientos de reporte
y de resolucin de
incidentes de seguridad
fsica.
106
CAPTULO IV
Informe
resultados
de
la
Investigacin
de
Campo
enfocndose a los 4 Dominios del Modelo COBIT 4.0

4.1. INTRODUCCIN
Luego de llevar a cabo la revisin de la documentacin del
Departamento de Sistemas, que es utilizado en la Cooperativa de
Ahorro y Crdito Alianza del Valle Ltda.y, de ejecutar el anlisis
respectivo, de acuerdo a la Gua de Auditora de COBIT, se pudieron
obtener conclusiones que nos permitieron generar recomendaciones,
mismas que se indican en el INFORME PRELIMINAR, el cual fue
presentado y discutido con el encargado del Departamento de
Sistemas,
recibiendo del mismo
las
justificaciones respectivas,
relacionadas con algunas observaciones, ante lo cual se crey

conveniente levantar la observacin.
Posteriormente se elabor el informe final de la auditora, el cual ha sido

enviado a la Gerencia (seccin 4.4). El documento incluye un resumen
gerencial (seccin 4.2) junto con las conclusiones y recomendaciones
realizadas.
4.2. RESUMEN EJECUTIVO
El objetivo principal de la auditora, es detectar si la gestin del

departamento de T.I. es adecuada para cubrir todas las necesidades del
la Cooperativa de Ahorro y Crdito Alianza del Valle.
La auditora se realizo en funcin de entrevistas y obtencin de

informacin, sostenidas con el personal del rea de sistemas de la
cooperativa, en donde efectuamos evaluaciones de las polticas,
controles de aplicacin y procedimientos de Ti existentes.
107
El contenido de esta auditora est basado en 4 pilares de revisin que

son:
Evaluacin Cobis
Evaluacin Base de Datos Sybase
Evaluacin Hardware y Software
Evaluacin Comunicaciones
Estos pilares se traducen en 10 procesos de evaluacin Cobit que se

detallan a continuacin:
PLANEAR Y ORGANIZAR
PO1: Definir un Plan Estratgico de TI
PO2: Definir la arquitectura de la Informacin.
PO9: Evaluar y Administrar los Riesgos de TI
ADQUIRIR E IMPLEMENTAR
AI3: Adquirir y mantener infraestructura tecnolgica
AI6: Administrar cambios
ENTREGAR Y DAR SOPORTE
DS1: Definir y Administrar los niveles de Servicio
DS3: Administrar el desempeo y la capacidad
DS4: Garantizar la continuidad del servicio
DS5: Garantizar la seguridad de los sistemas
DS12: Administrar el Ambiente Fsico
Se inici la auditora realizando la investigacin de los procesos que se

consideran prioritarios para la empresa, considerando su funcionamiento
e importancia, adems evaluando los posibles riesgos segn los
recientes eventos que hayan afectado al proceso.
A continuacin se detalla el resumen ejecutivo presentado a la alta

gerencia: (VER ANEXO D)
108
4.3. DESCRIPCIN DEL TRABAJO EFECTUADO
Una vez analizada y conocida de la situacin actual de la entidad

y, definido el enfoque de auditora a ser utilizado, as como los
responsables de la parte tecnolgica y del negocio; en esta etapa se
realizarn las siguientes actividades:
Detallar la manera en que se probar cada una de las actividades

de control, sealadas en el enfoque de auditora, tanto en su
implementacin, como en su eficacia operativa.
Determinar la documentacin necesaria, para probar cada

actividad de control identificada en el enfoque de auditora (Anexo
C).
Planificar encuestas, Checklist, hojas de evaluacin y entrevistas

con los encargados del rea de Sistemas
de la Cooperativa
Alianza del Valle, con la finalidad de conocer ms a detalle los

procesos y procedimientos existentes en la entidad y solicitar la
documentacin identificada en el punto anterior.
Una vez obtenida la informacin, realizar su respectivo anlisis y

documentacin, en concordancia con el primer punto, esto con la
finalidad de emitir una conclusin para cada actividad de control.
Una vez analizados los atributos de control de cada actividad,

emitir una conclusin acerca de la implementacin y de la eficacia
operativa de cada objetivo de control.
Disear y elaborar el informe de auditora, donde por cada

Objetivo de Control se detallar:
o Criterio
o Condicin
109
o Causa
o Efecto
o Conclusiones
o Recomendaciones
Verificar y discutir con la administracin de la entidad, todas las

oportunidades de mejora encontradas, con la finalidad de conocer
su opinin al respecto.
Despus de discutidas las conclusiones y recomendaciones, con

la administracin de la entidad, indicar en el informe su respuesta
a cada una.
Emitir el informe final de auditora, en el cual a ms de lo indicado

anteriormente, se adjuntar la respuesta de la administracin para
cada una de las recomendaciones emitidas.
4.4. RESULTADOS
INFORME
DE
LAS
RECOMENDACIONES
ACORDADAS CON LAS AUTORIDADES PERTINENTES
En conformidad con el Plan del proyecto de tesis, AUDITORA

INFORMTICA DE LA COOPERATIVA DE AHORRO Y CREDITO
ALIANZA DEL VALLE
LTDA, se analiz cada uno de los
controles referentes a los dominios en estudio, Planificacin y

Organizacin ,Adquisicin e implementacin, Soporte y servicios,
Evaluacin y seguimiento en la Cooperativa de Ahorro y Crdito
Alianza del Valle, de la que se detallan a continuacin las
observaciones y recomendaciones resultantes de la revisin, en
base a la aplicacin del marco de referencia COBIT v. 4.0.
110
INFORME DETALLADO
ANTECEDENTES:
La Cooperativa de Ahorro y Crdito Alianza del Valle, ha

solicitado a travs del departamento de auditora interna y de la
gerencia tecnolgica. la ejecucin de una auditora informtica,
misma que se realizo desde el 1 de Agosto del 2011 al 14 de
Diciembre del 2011.
El Equipo de Auditora,
estuvo conformado por docentes y
egresados de la Carrera de Ingeniera en Sistemas e Informtica

de la ESPE.
En base a los lineamientos del Marco de Referencia de COBIT v.

4.0, se desarroll el trabajo, para el efecto se cumplieron visitas a
las agencias, se aplicaron encuestas y entrevistas al personal, se
ejecutaron exmenes especiales a reas crticas, como son :
Core Bancario Cobis, Base de Datos Sybase, Hardware y
Comunicaciones.
Cabe indicar que durante la evaluacin, las debilidades

detectadas, fueron puestas en conocimiento del Asistente de
Gerencia y el Director de Informtica y Comunicaciones,
en
reuniones de trabajo, a fin de que se tomen las medidas

correctivas correspondientes con la agilidad del caso.
OBJETIVO:
Realizar una Auditora Informtica de los
Sistemas de
Informacin Tecnolgicos de la Cooperativa de Ahorro y Crdito

Alianza del Valle LTDA., mediante la revisin del ambiente de
control implementado en los procesos automatizados y en el
gerenciamiento de los mismos, utilizando COBIT, a fin de
identificar debilidades y emitir recomendaciones que permitan
minimizar los riesgos.
111
GRUPO DE TRABAJO:
Ing. Mario Ron (Jefe de Proyecto)

Eco. Gabriel Chiriboga (Consultor)
Srta. Gabriela Barros
Srta. Andrea Cadena
PERSONAL DE LA DIRECCIN DE INFORMTICA Y

COMUNCACIONES:
Ing. Cesar Obando (Director de la DIC)

Tec. Jenny Gualotua (Administrador de Ti)
Tec. Daniel Ortiz (Administrador del Centro de Cmputo)
PERIODO DE EJECUCION:
1 Agosto 2011 14 Diciembre 2011
MARCO DE REFERENCIA UTILIZADO

COBIT es un Marco de referencia de procesos y objetivos de control TI
que pueden ser implementados para controlar, auditar y administrar la
organizacin TI. Este Marco de referencia est basado en las mejores
prcticas y sistemas de informacin de auditora y control.
Esto en particular aspira a ayudar a los lderes empresariales a entender
y administrar los riesgos relacionados con la tecnologa de la
Informacin y la relacin entre los procesos de administracin, las
preguntas tcnicas, la necesidad de controles y los riesgos.
COBIT est estructurado por 4 campos principales de administracin, los
cuales a su vez implican 34 procesos de administracin asociados con la
tecnologa de la informacin. Cada proceso TI provee una descripcin de
112
los requerimientos del negocio e identifica los asuntos claves que deben
ser llevados a cabo para administrar exitosamente estos procesos.
Los recursos de TI y los criterios de la informacin requeridos para
asegurar el xito son tambin identificados para cada proceso TI. Para
soportar una auto-evaluacin, COBIT incluye un modelo de madurez
para cada proceso TI. Estos modelos de madurez son similares en sus
conceptos bsicos utilizados por otros marcos referenciales, pero as
como los 34 proceso TI de COBIT cubren todos los aspectos de TI, los
modelos pueden ser utilizados para soportar la evaluacin de toda la
organizacin TI, en lugar de especializarse en determinadas reas.
Como soporte a la medicin del rendimiento operacional, factores
crticos de xito, indicadores clave de logro de objetivos, e indicadores
clave de rendimiento son identificados en cada proceso.
COBIT ofrece un conjunto de herramientas para administrar los procesos
TI unificando los dos puntos de vista, el de la administracin y el del
auditor. Las Guas de Administracin TI consideran los controles TI
desde una perspectiva de la administracin, mientras que las Guas de
Auditora proveen asistencia especfica a los auditores en el diseo de
programas adecuados de auditora para cada dominio. COBIT tambin
provee herramientas detalladas y personalizables de auto evaluacin en
forma de matrices y plantillas para asistir en la evaluacin y medicin de
la organizacin comparada con los criterios de COBIT.
En resumen, COBIT, es una herramienta desarrollada para ayudar a los
administradores de negocios a entender y administrar los riesgos
asociados con la implementacin de nuevas tecnologas y demostrar a
las entidades reguladoras e inversionistas, que tan efectiva es su tarea.
Se ha definido a COBIT como: "Una estructura de relaciones y procesos
para direccionar y controlar la compaa para lograr la consecucin de
los objetivos del negocio, entregando valor agregado mientras se
administra el riesgo en funcin del ambiente de sistemas y sus
procesos". Ver informe detallado (Anexo E).
113
CAPTULO V
CONCLUSIONES Y RECOMENDACIONES
Al culminar el proyecto de la evaluacin tcnica e informtica de los sistemas
tecnolgicos de informacin, de la Cooperativa de Ahorro y Crdito Alianza del
Valle Ltda., se han cumplido con los objetivos propuestos en el presente
trabajo, por lo tanto se exponen a continuacin las siguientes conclusiones y
recomendaciones en torno a la realizacin del proyecto.
Para el desarrollo de una Auditora Informtica de los Sistemas de

Informacin es de principal importancia contar con la gua de un marco de
referencia. Para este proyecto se ha escogido el modelo COBIT
desarrollado por ISACA, el cual el cual a travs de sus 4 dominios ofrece
una serie de objetivos de control que permiten evaluar eficientemente el
ambiente de control de una entidad, garantizando que TI est alineada con
el negocio y que los riesgos de TI se administren apropiadamente.
Al alinear la Normativa emitida por la Superintendencia de Bancos respecto

a Tecnologas de la Informacin y los objetivos de control propuestos por
COBIT se logr identificar y valorar los riesgos dentro de la entidad para
tomar las medidas pertinentes y minimizar la materializacin de los riesgos
identificados.
Durante el anlisis y evaluacin del ambiente de control en la entidad

aplicando los dominios propuestos por COBIT se logro identificar
debilidades obteniendo observaciones y recomendaciones para ser emitidas
en el informe final, para llevar a cabo el proceso de la Auditora es de suma
importancia contar con el compromiso y apertura a la Auditora Informtica
de los sistemas de informacin; de los principales involucrados como son
las Autoridades superiores de la Cooperativa, el personal del departamento
de sistemas y el Departamento de Auditora Interna.
114
La Auditora de Ti en la Cooperativa propone mejoras a los controles

existentes en la misma, pues sabiendo que si los controles facilitan la
rendicin de cuentas mediante la evidencia; al mejorar los controles que
estn fallando se lograr mitigar los riesgos. La Administracin debe
identificarse y conocer plenamente los controles.
De acuerdo con lo planteado y el proyecto realizado es responsabilidad de

la entidad aplicar y poner en marcha las recomendaciones emitidas de la
Auditora Informtica, llevando a cabo esto de acuerdo a su capacidad y
crecimiento.
Luego de la revisin se analizo el nivel me madurez en que actualmente se

encuentra la empresa segn los riesgos y fallas encontradas y se determina
el nivel al que se puede ascender si se cumplen con las recomendaciones
planteadas. (Ver Anexo F)
115
ANEXOS
116
BIBLIOGRAFA:
ISACA COBIT3 y COBIT 4
Wikipedia
http://www.solomanuales.org/cursohttp://www.monografias.com/trabajos5/audi/audi.shtml
http://dmi.uib.es/~bbuades/auditora/auditora.PPT#266,11,Metodologa
(2)
http://www.audit.gov.tw/span/span2-2.htm
Auditora Mario B. Ron Resumen
Marco Conceptual Modelo COBIT / Mario B. Ron
Fases de una Auditora / Mario B. Ron
Evaluacin de los Sistemas de Tecnologa Informtica y Revisin de las

Seguridades de Plataforma Especfica
para la empresa EMAPA-I/
Andrea M. Tobar.
-
Management Guidelines Cobit 3rd Edition, Objetivos de Control Cobit,

Resumen Ejecutivo Cobit, Marco Referencial Cobit, Implementation Tool
Set Cobit 3rd Edition
Modelo Coso Report
Auditora interna moderna de Brink y UIT
WHITTINGTON, O. Ray, PANY Kurt, Auditora: Un enfoque Integral,

Irwin McGrawHill, 12. Edicin, Santa Fe de Bogota, Colombia, 2000
Normas de Auditora Interna emitidas por el The Institute of Internal

Auditors
Enciclopedia de la Auditora, Grupo Editorial Ocano, Barcelona,

Espaa, 1999
ARENS, Alvin, Auditora: Un enfoque integral, Prentince Hall
Gua de Auditora, McGrawHill, Mxico, 1996
Robert L. Grinaker Ben B. Barr, Auditora Examen de los Estados

Financieros Mxico 1989
MEIGS, Principios de Auditora, Editorial Diana Mxico 1975
Maldonado Milton, Auditora de Gestin Economa, Ecologa, Eficacia,

Eficiencia, Etica, 2001
Auditora Operacional de Jos Dagoberto Pinilla

117
http://www.monografias.com/trabajos14/auditorasistemas/auditorasiste
mas.shtml
Auditora Informtica, Gonzalo Alonso Rivas, 1998 ediciones Daz de

Santos ISBN 84-87189-13.
Auditora en Informtica Un enfoque metodolgico y prctico, Lic.

Enrique Hernndez Hernndez, 2002 editorial continental ISBN 970-240042-2.
Auditora informtica, Echenique Garca Jos Antonio, segunda edicin.
Auditora informtica, Piattini Velthuis Mario Gerardo y Del Peso Navarro

Emilio, segunda edicin.
COBIT versin 4
http://www.network-sec.com/COBIT_DS
http://itil.osiatis.es/
http://www.adacsi.org.ar/es/content.php
http://www.reddeabastecimiento.org/COBIT%204.pdf
http://www.auditorasistemas.com/
http://dmi.uib.es/~bbuades/auditora/sld006.htm
http://www.monografias.com/trabajos5/audi/audi.shtml
http://www.audit.gov.tw/span/span2-2.htm
Auditora Mario B. Ron Resumen
Marco Conceptual Modelo COBIT / Mario B. Ron
Fases de una Auditora / Mario B. Ron
Evaluacin de los Sistemas de Tecnologa Informtica y Revisin de las

Seguridades de Plataforma Escuela Politcnica del Ejrcitocfica
para
la empresa EMAPA-I/ Andrea M. Tobar.

-
Management Guidelines Cobit 3rd Edition, Objetivos de Control Cobit,

Resumen Ejecutivo Cobit, Marco Referencial Cobit, Implementation Tool
Set Cobit 3rd Edition
Modelo Coso Report
Auditora interna moderna de Brink y UIT
WHITTINGTON, O. Ray, PANY Kurt, Auditora: Un enfoque Integral,

Irwin McGrawHill, 12. Edicin, Santa Fe de Bogota, Colombia, 2000
Normas de Auditora Interna emitidas por el The Institute of Internal

Auditors
118
Enciclopedia de la Auditora, Grupo Editorial Ocano, Barcelona,

Espaa, 1999
ARENS, Alvin, Auditora: Un enfoque integral, Prentince Hall
Gua de Auditora, McGrawHill, Mxico, 1996
Robert L. Grinaker Ben B. Barr, Auditora Examen de los Estados

Financieros Mxico 1989
MEIGS, Principios de Auditora, Editorial Diana Mxico 1975
119
HOJA DE LEGALIZACIN DE FIRMAS
ELABORADA POR
_____________________________
_________________________
Gabriela Fernanda Barros Marcillo.
Andrea Erika Cadena Marten.
DIRECTOR DE LA CARRERA
___________________________________
Ing. Mauricio Campaa
Lugar y fecha: ________________________________
120

T Espe 033091 PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

T Espe 033091 PDF

Cargado por

Copyright:

Formatos disponibles

ESCUELA POLITCNICA DEL EJRCITO

CARRERA DE INGENIERA DE SISTEMAS E INFORMTICA

DPTO. DE CIENCIAS DE LA COMPUTACIN

AUDITORA INFORMTICA DE LA COOPERATIVA DE

Previa a la obtencin del Ttulo de:

INGENIERO EN SISTEMAS E INFORMTICA

SANGOLQU, 10 de Enero del 2012

Sangolqu, 10 de Enero del 2012

A mis Padres, quienes durante toda mi vida me han brindado la fuerza,

Rolando Neidy y Hctor

Dedico este proyecto de tesis a DIOS, a mi familia y mi novio. A Dios porque

4.4. RESULTADOS INFORME DE LAS RECOMENDACIONES

TABLA 2: MATRIZ COBIT VS ITIL, COSO ................................................................. 50

GRFICA 1:PIRMIDE DE PROCESOS ..................................................................... 27

Archivos de sistema.- Son aquellos archivos de uso exclusivo del sistema

Auditor.- Persona que efecta una auditora.

Auditora.- Examen de las operaciones de una empresa, realizado por

Auditora de sistema. Es la revisin que se dirige a evaluar los mtodos y

Auditora de tecnologas de la informacin. Consiste en el examen de las

aplicaciones, los sistemas de redes y otros vinculados a la actividad

Bitcoras.- Es como el "diario" de algunos programas donde se graban todas

Capacitacin.- Toda accin organizada y evaluable que se desarrolla en una

COBIT: Control Objectives for Information and related Technology (Objetivos

Cliente-Servidor.- Se denomina as, al binomio consistente en un programa

Eficacia.- Capacidad de lograr el efecto que se desea o se espera.

Eficiencia.- Conjunto de atributos, que se refieren a las relaciones entre el

Estndar.- Es toda regla aprobada o prctica requerida, para el control de la

Evaluacin.- Es el proceso de recoleccin y anlisis de informacin y, a partir

Evaluacin de Riesgo.- Es el proceso utilizado para identificar y evaluar

Evidencia.- Es toda informacin que utiliza el AI, para determinar, si el ente o

Evidencia de auditora. Son las pruebas que obtiene el auditor, durante la

Estndares: Es una especificacin o modelos que regulan la realizacin de

Herramienta.- Es el conjunto de elementos fsicos utilizados para llevar a cabo

Herramienta de Control.- Son elementos de software, que permiten definir

Herramientas de Software de Auditora.- Son programas computarizados,

Informtica.- Ciencia que estudia el tratamiento automtico de la informacin

Informe de Auditora.- Es el producto final del Auditor de SI; constituye un

Irregularidades.- Son las violaciones intencionales a una poltica gerencial

Infraestructura tecnolgica.- Conjunto de elementos de hardware (servidores,

herramientas de administracin, etc.) y servicios (soporte tcnico, seguros,

Jerarqua.- Es la disposicin de personas, animales o cosas, en orden

Metodologa: Se refiere a los mtodos de investigacin que se siguen para

Norma.- Principio que se impone o se adopta para dirigir la conducta o la

Normas de auditora: Constituyen el conjunto de reglas que deben cumplirse,

Objetivo de la auditora. Propsito o fin que persigue la auditora, o la

Objetivo de Control.- Son declaraciones sobre el resultado final deseado o

Ofimtica.- Es el sistema informatizado que genera, procesa, almacena,

Outsourcing.- Es un contrato a largo plazo de un sistema de informacin o

comportamiento de un grupo de individuos.

Poltica interna.- Conjunto de normas, reglas y disposiciones que regulan el

Prevencin.- Adopcin de medidas encaminadas a impedir que se produzcan

Procedimientos de Control.- Son los procedimientos operativos de las

Procedimientos Generales de Auditora.- Son los pasos bsicos en la

Pruebas de Cumplimiento.- Son aquellas evidencias que determinan que

Pruebas Sustantivas.- Son aquellas que implican el estudio y evaluacin de la

Resumen Ejecutivo.- Es un informe de fcil lectura, gramaticalmente correcto

Riesgo. Posibilidad de que no puedan prevenirse o detectarse errores o

Riesgo de deteccin. Se realizan pruebas exitosas a partir de un

Sistema Operativo: Software de sistema, es decir, un conjunto de programas

Tcnicas de auditora. Mtodos que el auditor emplea, para realizar las

UPS: Es un dispositivo que proveen y mantiene energa elctrica de respaldo

presente trabajo, describe la Auditora Informtica de los Sistemas de

Para llevar a cabo la presente Auditora, se realizaron las siguientes