Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INTEGRANTES:
ALEXANDRA BERMEO
LISBETH GALARZA
MARISOL SINCHI
CURSO:
CS 07 01
DOCENTE:
ING WILSON CUEVA
TEMA:
AUDITORIA DE SISTEMAS
FECHA:
20/06/2018
INTEGRANTES:
ALEXANDRA BERMEO
LISBETH GALARZA
MARISOL SINCHI
PROFESOR:
ING. WILSON CUEVA
CURSO:
CS-07-01
OBJETIVO GENERAL.
Realizar una Auditoria de Sistemas a la Cooperativa de Ahorro y Crédito “Mushuy-Yuyay”
Ltda, al período 2017 aplicando procedimientos que permitan tomar acciones correctivas o
preventivas según sea el caso con el fin de evaluar su gestión de riesgos y emitir un informe y
recomendaciones.
OBJETIVOS ESPECIFICOS
*Conocer a la Cooperativa mediante la aplicación del Coso III ya que permite entender su
funcionamiento y analizar las áreas que tienen falencias para poder mejorarlas.
*Realizar la gestión de riesgos de las TICS que tiene la cooperativa mediante la utilización
del programa PILAR BASIC.
* Elaborar el informe final de Auditoria de Sistemas el cual servirá de mucha ayuda a los
directivos de la cooperativa para tomar decisiones.
La Cooperativa de Ahorro y Crédito “Mushuk-Yuyay” Ltda. Nace como caja Ahorro y Crédito
en el año de 1996 (5 de septiembre) respaldo de manera legal por la Asociación de Productores
Artesanales de Semillas “MushucYuyai” pensamiento nuevo, que la misma es creada en
noviembre del año de 1993 con el objetivo de producir y seleccionar semillas agrícolas de las
variedades nativas y mejoradas en las comunidades indígenas y campesinas del pueblo Kañari.
Antes esta situación la caja se ha fortalecido tanto en la formación de talento humanos y como
financieramente; en donde las políticas del país no permite operar de la manera libre; razón por
cual la cooperativa se legaliza con ACUERDO MINISTERIAL: No. 141 del 16 de Noviembre
del 2005; RUC: 0391005664001 con la finalidad de ampliar los productos financieros y no
financieros acordes a la realidad de nuestros pequeños productores orientadas a conservar y
fortalecer nuestra economía Andina y Solidaria.
INFORMACIÓN GENERAL
MISIÓN
Es brindar servicios financieros y sociales acorde a la realidad y condiciones de nuestros
soci@s, ejecutando acciones en cooperación con instancias involucradas en el campo de
finanzas del territorio, de esta forma para fortalecer las economías y finanzas populares y
solidarias.
VISIÓN
Somos una cooperativa solvente, sólida, que facilita servicios financieros y sociales de calidad,
para promover el buen vivir de los socios y la economía solidaria del pueblo cañari con
directivos, funcionarios y socios comprometidos, capacitados y eficientes.
OBJETIVOS
VALORES
Transparencia
Honestidad
Compromiso
Responsabilidad
Confianza
Fidelidad
Democracia
ACTIVIDADES DE LA COOPERATIVA
1. Recibir depósitos a la vista y a plazo, bajo cualquier mecanismo o modalidad autorizado;
5. Efectuar cobranzas, pagos y transferencias de fondos, así como emitir giros contra sus
propias oficinas o las de instituciones financieras nacionales o extranjeras;
6. Recibir y conservar objetos muebles valores y documentos en depósito para ser custodia y
arrendar casilleros o cajas de seguridad para depósitos de valores;
11. Adicionalmente, podrá efectuar las actividades complementarias que le fueren autorizadas
por la superintendencia de Economía Popular Solidaria.
FODA
La Cooperativa de Ahorro y Crédito “Mushuk Yuyay Ltda.” considera que las
fortalezas hay que impulsarlas y las oportunidades aprovecharlas; por lo tanto, son
aspectos positivos, mientras que las debilidades se deben eliminar y evitar las amenazas
consideradas así como aspectos negativos para la cooperativa.
Fortalezas Debilidades
- La entidad no posee un mecanismo que alerte de
- Contar con un personal motivado para el operaciones anormales en los sistemas que se utiliza.
desarrollo de las actividades.
-No se realizan controles periódicos en cuanto al sistema
- Crecimiento consistente de la cartera. de información.
- Estar ubicados en un buen sector permitiendoles - Los sistemas implementados en la entidad no cuentan con
estar cerca y a la disposición de los socios. un plan de contingencia.
- No tienen ningún sistema que permita que toda
- Poder de liderazgo a nivel directivo. información que se genere, se gestione en forma oportuna.
FODA
Oportunidades
- Lastasas de interés son atractivas; así impulsan Amenazas
la captación de recursos monetarios. - Decrecimiento de la economía.
- Capacidad de los socios para realizar - El creciente control por parte del gobierno sobre costos y
transacciones. tasas de interés reduce la captación de socios.
- Incremento de créditos a prequeños - Cambios y contradicciones en la SEPS en los requisitos
para estar regulada.
productores y microempresas.
- Aquellos socios inactivos prefieren a la competencia.
ASAMBLEA GENERAL DE
REPRESENTANTES
CONSEJO DE CONSEJO DE
VIGILANCIA ADMINISTRACIÒN
UNIDAD DE COMITÉ DE
RIESGOS CRÉDITO
GERENCIA
CRÉDITO CUMPLIMIENTO
FECHA DE INTERVENCIÓN
Esta auditoría de Sistemas será llevada a cabo en la ciudad del Cañar a la COOPERATIVA
DE AHORRO Y CREDITO “MUSHUK-YUYAY LTDA.”, dando cumplimiento a la orden
de trabajo Nº 001 – JA- 2018.
EQUIPO DE TRABAJO
El Equipo de Trabajo que realizará la Auditoria de Sistemas es:
DENOMINACIÓN RESPONSABLE
Auditor Jefe de Equipo CPA. Alexandra Bermeo
Auditor Supervisor CPA. Lisbeth Galarza
Auditor Senior CPA. Marisol Sinchi
ETAPAS DE LA AUDITORÍA
Planificación Preliminar: En esta etapa se conocerá los objetivos y estrategia de la
Cooperativa, se recolectará la documentación e información necesaria para el archivo
permanente, se recolectará información de todas las TICS que posee la cooperativa.
Planificación Específica: Se realizará el programa de auditoría.
Ejecución: Se realizará el ingreso de toda la información obtenida en el programa PILAR
BASIC, se realizara la evaluación de los riesgos y amenazas y salvaguardas.
Adicionalmente se generará el informe de riesgos de la institución.
Comunicación: Se dará a conocer el informe y el acta final de comunicación de resultados.
CRONOGRAMA
DÍAS
PLANIFICACIÓN FECHAS ESTIMADAS
LABORABLES
Preliminar 2 22/05/2018 – 23/05/2018
Específica 3 24/05/2018 – 28/05/2018
EJECUCIÓN
Identificación de Activos 4 29/05/2018 – 01/06/2018
Valoración de Dominios 2 04/06/2018 – 05/06/2018
Factores Agravanres 1 06/06/2018 – 06/06/2018
Medidas Técnicas y Organizativas 1 07/06/2018 – 07/06/2018
Medidas de Protección Legal 2 08/06/2018 – 11/06/2018
Riesgo 1 12/06/2018 – 12/06/2018
COMUNICACIÓN DE
2 13/06/2018 – 14/06/2018
RESULTADOS
SEGUIMIENTO 1 15/06/2018 – 15/06/2018
5% IMPREVISTOS 1 18/06/2018 – 18/06/2018
TOTAL DÍAS DE LA AUDITORIA 20
PROGRAMA DE PLANIFICACIÓN PRELIMINAR
PP/PT 007
OBSERVACIO
N° PRINCIPIO PREGUNTAS SI NO N/A
NES
AMBIENTE DE CONTROL
1 ¿La Cooperativa cuenta con un Código de Ética? X
Integridad y
2 ¿Se ha difundido los valores y principios de la cooperativa a todos sus empleados? X
Valores éticos
¿Ha difundido la normativa bajo la cual se rige la cooperativa a sus principales
3 X
empleados?
¿Existe personal encargado de supervisar las funciones de los miembros de la
4 X
cooperativa?
Ejerce
5 responsabilidad ¿Con que frecuencia se realizan las actividades de supervisión? X
de Supervisión
6 ¿Toma medidas en caso de encontrar deficiencias en las supervisiones? X
7 ¿Tiene definida una estructura clara dentro de su cooperativa? X
Establece
estructura, ¿Todos los niveles de la estructura tienen definido sus funciones y
8 X
responsabilidad y responsabilidades?
autoridad
9 ¿Ha establecido en todos los niveles, el jefe inmediato a quien debe reportar? X
Hace cumplir con ¿Los principales empleados están involucrados para mejorar los procesos de
14 X
la responsabilidad Control Interno?
EVALUACIÓN DE RIESGOS
¿La cooperativa cuenta con un plan de contingencia para posibles clientes que no
25 X
Evalúa el riesgo cumplan con sus obligaciones?
de fraude ¿El personal que labora en caja es capacitado de manera periódica o solo en caso
26 X
de ser necesario?
¿La entidad recibe una declaración del cliente que asegure que el dinero que ingresa
27 X
es lícito?
¿Las regulaciones que emite la superintendencia de economía popular y solidaria
28 X
son importantes para la entidad?
Identifica y
analiza cambios ¿La cooperativa se mantiene actualizada en la información que proporciona el
29 X
importantes Banco Central del Ecuador?
¿La entidad posee algún mecanismo que alerte de operaciones anormales en los
30 X
sistemas que utiliza?
ACTIVIDADES DE CONTROL
31 ¿La información está documentada y disponible para su verificación? X
¿Se implementan controles para verificar que la información sea utilizada por el
32 X
personal responsable?
Selecciona y
desarrolla ¿La entidad cuenta con Indicadores de gestión que le permitan evaluar el
33 X
rendimiento de la entidad?
actividades de ¿Los directivos realizan un seguimiento permanente de cada actividad con el
34 control. X
objetivo de asegurar que el control interno funcione correctamente?
INFORMACIÓN Y COMUNICACIÓN
¿Se entregan a todos los empleados información como manuales, reglamentos y
46 X
normativas?
¿Cada empleado está informado sobre de qué manera están relacionados sus
47 X
actividades con las actividades de los demás?
Comunica ¿Tienen algún sistema que permita que toda información que se genere, se
48 X
Internamente gestione en forma oportuna, eficiente y ordenada?
1. VALORACIÓN
PT = Ponderación Total
NC= Nivel de Confianza
CT= Calificación Total
NC= CT x 100
PT
69
x 100= 92%
6
x 100= 8%
15% - 50% 51% - 75% 76% - 95%
75 75
CONFIANZA
MEMORANDO DE PLANIFICACIÓN PRELIMINAR
ANTECEDENTES:
MOTIVO DE LA AUDITORÍA:
OBJETIVO GENERAL:
Verificar que el área de sistemas de la Cooperativa Mushuk Yuyay Ltda. al realizar sus
actividades de manera conjunta con todos sus departamentos brinden satisfacción a los
socios y alcancen los estándares establecidos bajo la normativa establecida por los
organismos de control.
ALCANCE:
PRINCIPALES ACIVIVIDADES
Área de Sistemas
Área de Contabilidad
Área de Cajas
MATRIZ PRELIMINAR DE RIESGOS
PAPEL DE TRABAJO
NOMBRE DE LA COOPERATIVA: COAC MUSHUK YUYAY LTDA.
NOMBRE DE LA AUDITORIA: AUDITORIA DE SISTEMAS
NOMBRE DEL PAPEL DE TRABAJO: ENTREVISTA AL JEFE DE CAJAS DE LA
COOPERATIVA
PERIODO: Enero – Diciembre 2017
PREGUNTAS RESPUESTAS
1. ¿Qué tiempo ejerce el cargo de Jefe de
3 años
Caja?
2. ¿Cuáles son sus funciones como Jefe de Caja principal, Jefe de Caja, Encargado de
Caja? archivo
Si, desde septiembre-octubre, el 70% del
3. ¿En el tiempo que trabaja en la
personal está capacitado, hace poco tiempo
Cooperativa ha encontrado
cambiaron el sistema y no hubo capacitación,
irregularidades en las cajas?
por lo que hubo número de cedulas duplicados.
Si dispone de recursos tecnológicos, tenemos
4. ¿En su área de trabajo, existe los recursos un sistema para cajas. El departamento cuenta
tecnológicos suficientes para desempeñar con computadores, impresoras y tambien
sus funciones? contamos con redes para comunicar la
información.
- Mantener todo ordenado con amplia
5. ¿Describa los principales objetivos que responsabilidad
tiene su área de trabajo? - Coordinación adecuada con los 3 asistentes
- Por el Jefe de Recursos Humanos
6. ¿Cuáles son los medios formales e - Gerente de riesgos
informales por los que puede recibir - Todo mediante escritos, firmas o a través
información? de correos.
- Manual de Cajas
- Con capacitaciones, nuevos cambios,
7. ¿Cómo es la relación que tiene con sus mantienen una buena comunicación
colaboradores del área de caja? - Todo se reporta al Gerente, Jefe de
Recursos Humanos y Jefe de Riesgos
Preparado por: Auditores Marisol Sinchi
Supervisado por: Auditor Lisbeth Galarza
Fecha: 22-Abr-2018
PAPEL DE TRABAJO
NOMBRE DE LA COOPERATIVA: COAC MUSHUK YUYAY LTDA.
NOMBRE DE LA AUDITORIA: AUDITORIA DE SISTEMAS
NOMBRE DEL PAPEL DE TRABAJO: ENTREVISTA AL CONTADOR DE LA
COOPERATIVA
PERIODO: Enero – Diciembre 2017
PREGUNTAS RESPUESTAS
1. ¿Qué es lo que más le motiva estar en Ejercer la profesión (12 años en la
este trabajo? Cooperativa)
2. ¿Qué es lo que más le gusta de su Todo lo relacionado con la profesión y ayudar
trabajo? en la toma de decisiones.
3. ¿Según su criterio que es lo más
Cumplir todas las leyes (SEPS, SRI, IESS,
importante que todo contador debe
Código Monetario, Presupuestos)
saber?
Si, tenemos un sistema que es de mucha ayuda
4. ¿Tiene un sistema informático que le
para nuestro departamento, este sistema es
ayude a cumplir con sus funciones?
utilizado por los otros departamentos también.
El sistema es bueno, pero hay veces que no
5. ¿Usted considera que el sistema
hay como realizar ciertas actividades y
informático es completo y le ayuda a
tenemos que esperar a que llegue el encargado
desempeñar sus funciones
del sistema para que pueda resolver los
eficientemente?
problemas que éste genera.
Intermediación financiera (captación y
6. ¿Para usted cual es la actividad colocación)
fundamental que debe realizar en la
entidad? Reportar todo a la SEPS mensualmente los
estados financieros.
PAPEL DE TRABAJO
NOMBRE DE LA COOPERATIVA: COAC MUSHUK YUYAY LTDA.
NOMBRE DE LA AUDITORIA: AUDITORIA DE SISTEMAS
NOMBRE DEL PAPEL DE TRABAJO: PRINCIPALES EMPLEADOS DE LA ENTIDAD
PERIODO:
Gerente de Riesgos
Lcdo. Ramón Pichasaca Acero
Gerente de Contabilidad
CPA. Rosa Lazo Zaruma
Oficial de Cumplimiento
Ing. Walter Mayancela M.
Jefe de Cajas
Sra. Luz Mayancela P.
Proveedor de Sistemas
VimaSystem – Ing. Luis Villalta
Proveedor de Redes
REFLA- Ing. Carlos Fajardo
Área de Contabilidad
Es un área que siempre necesita de un respaldo en TICS para realizar sus actividades diarias,
además de que necesita que el sistema que utiliza este funcionando correctamente y que
mantenga actualizado todos los requerimientos que exigen las autoridades competentes.
Área de Sistemas
Las herramientas informáticas son fundamentales para desempeñar las actividades diarias
de la Cooperativa, pero no cuenta con un departamento propio de sistemas dentro de la
entidad y está manejado por un Proveedor externo, así como el area de redes, también tienen
proveedores externos que la suministran.
Área de Cajas
Es la parte operativa principal de la empresa y aquí fundamentalmente realizan las
captaciones de dinero, por lo tanto, necesitan mantener un orden adecuado y controles
efectivos que garanticen una eficiente captación de los fondos, así como necesitan que toda
su parte tecnológica este funcionando todo el tiempo al 100%.
Área de Gerencia
Es la encargada de administrar toda la cooperativa , por esto siempre requiere que la
información esté disponible todo el tiempo, así como es el que establece los requerimientos
del área de sistemas y redes.
PLANIFICACION ESPECÍFICA
Telefonía IP
Red LAN
Red WAN
Otros: Rack de Datos con Patchpanel
PT/PE 003
COOPERATIVA DE AHORRO Y CRÉDITO MUSHUK YUYAY LTDA.
GESTIÓN DE RIESGOS DE LAS TICS
PERIODO: DEL 01 DE ENERO AL 31 DE DICIEMBRE DE 2017
Fuentes de Alimentación
Sistemas de Alimentación Ininterrumpida
Generador Eléctrico
X Equipo de Climatización
Centro de Datos
Robots
Caja Fuerte
X Sistema de Alarma
Biometría
Acceso Temporizado
Detector de Incendios
Extintor de Incendios
X UPS
PT/PE 004
COOPERATIVA DE AHORRO Y CRÉDITO MUSHUK YUYAY LTDA.
GESTIÓN DE RIESGOS DE LAS TICS
PERIODO: DEL 01 DE ENERO AL 31 DE DICIEMBRE DE 2017
Enumere las áreas relacionadas a Sistemas y Nombre el Personal responsable de cada una
de ellas
Área Responsable
Infraestructura y Telecomunicaciones Ing. Carlos Fajardo
Administración de Base de Datos Ing. Luis Villalta
Ingeniería de Software Ing. Luis Villalta
Programador/Desarrollador Ing. Luis Villalta
Soporte a Usuarios Ing. Carlos Fajardo
EJECUCIÓN
Identificación de Activos
Activos Esenciales
Son aquellos servicios para los cuáles fue creada la cooperativa, es decir aquellos que son
fundamentales para que mantenga una continuidad en el negocio.
SERVICIOS BANCARIOS
TIPO AHORROS
INFORMACIÓN QUE
GENERA DATOS PERSONALES
CARACTERÍSTICAS DIFERENTES TIPOS DE AHORRO
SERVICIOS BANCARIOS
TIPO CRÉDITOS
MICROCRÉDITO, CRÉDITO DE CONSUMO, CRÉDITP
CLASES PRODUCTIVO
MONTOS DESDE $500
AUTORIZACIÓN DIFERENTES NIVELES
SERVICIOS BANCARIOS
TIPO PAGINA WEB
ENLACE WWW.MUSHUKYUYAY.FIN.EC
SIMULADOR CRÉDITOS
SERVICIO INFROMACIÓN GENERAL DE LA COOPERATIVA
Equipamiento
Dentro del Equipamiento podemos encontrar las aplicaciones que usa la cooperativa, es decir
todo lo que corresponde al software de la cooperativa, así como el hardware y los equipos
auxiliares y redes de comunicación que posee.
EQUIPAMIENTO
TIPO APLICACIONES
NOMBRE VIMASYSTEM
CONTABILIDAD, COMPRAS, COLOCACIONES, CAPTACIONES,
MÓDULOS TRANSACCIONES
VERSION 2
EQUIPAMIENTO
TIPO APLICACIONES
NOMBRE ESET ENDPOINT SECURITY
FUNCION ANTIVIRUS
VERSIÓN 6
CANTIDAD 15 LICENCIAS
EQUIPAMIENTO
TIPO APLICACIONES
NOMBRE MICROSOFT WINDOWS
TIPO SISTEMA OPERATIVO
VERSION DESDE 7.0 HASTA 10
EQUIPAMIENTO
TIPO APLICACIONES
NOMBRE MICROSOFT OFFICE
PROCESAMIENTO
DE TEXTO, HOJAS DE C´LACULO. OUTLOOK
VERSIONES DESSDE 2013 HASTA 2016
EQUIPAMIENTO
TIPO APLICACIONES
NOMBRE TEAMVIEWER
FUNCIÓN HERRAMIENTA DE CONTROL REMOTO PARA SOPORTE
EQUIPAMIENTO
TIPO EQUIPOS
NOMBRE COMPUTADORAS PORTÁTILES
MARCA DELL
CANTIDAD 2
EQUIPAMIENTO
TIPO EQUIPOS
NOMBRE COMPUTADORAS PORTÁTILES
MARCA HP
CANTIDAD 1
PROCESADOR INTEL
MEMORIA RAM 8GB
EQUIPAMIENTO
TIPO EQUIPOS
NOMBRE COMPUTADORAS PORTÁTILES
MARCA HACER
CANTIDAD 1
PROCESADOR INTEL
MEMORIA RAM 4GB
EQUIPAMIENTO
TIPO EQUIPOS
NOMBRE SERVIDOR
TIPO CLON
SISTEMA OPERATIVO WINDOWS 2013
EQUIPAMIENTO
TIPO EQUIPOS
NOMBRE SERVIDOR
TIPO IBM
SISTEMA OPERATIVO RED HAT
EQUIPAMIENTO
TIPO EQUIPOS
NOMBRE ROUTER
MODELO RB450
SISTEMA TOTER OS 6.4
EQUIPAMIENTO
TIPO EQUIPOS
NOMBRE SWITCH
MARCA TP/LINK
PUERTOS 24
EQUIPAMIENTO
TIPO EQUIPOS
NOMBRE IMPRESORA DE RED
MARCA RICOH OFICIO MP
EQUIPAMIENTO
TIPO EQUIPOS
NOMBRE IMPRESORA LASER
MARCA EPSON L375
CANTIDAD 11
EQUIPAMIENTO
TIPO EQUIPOS
NOMBRE IMPRESORA LASER
MARCA EPSON 360
CANTIDAD 3
EQUIPAMIENTO
TIPO EQUIPOS
NOMBRE DVR
CANALES 16
SISTEMA MONITOREO
EQUIPAMIENTO
TIPO EQUIPOS
NOMBRE CENTRAL TELEFÓNICA
MARCA PANASONIC
EQUIPAMIENTO
TIPO EQUIPOS
NOMBRE PC
CARACTERÍSTICA CLONES
CANTIDAD 13
EQUIPAMIENTO
TIPO COMUNICACIONES
NOMBRE LAN
CARACTERISTICAS RED CABLEADA
CATEGORÍA 5E
RED WIFI
RED DE DATOS PATCH PANEL
EQUIPAMIENTO
TIPO COMUNICACIONES
NOMBRE WAN
ENLACE FIBRA ÓPTICA
TRANSMISIÓN 3 MEGAS
EQUIPAMIENTO
TIPO COMUNICACIONES
NOMBRE DISCO EXTERNO
CAPACIDAD 2 TB
MARCA TOSHIBA
CANTIDAD 3
EQUIPAMIENTO
TIPO COMUNICACIONES
NOMBRE CLOUD
ALMACENAMIENTO 1TB
EQUIPAMIENTO
TIPO ELEMENTOS AUXILIARES
NOMBRE CENTRO DE DATOS
ALIMENTACIÓN ELECTRICA 15KV
SEGURIDAD FISICA Y VIRTUAL
EQUIPAMIENTO
TIPO ELEMENTOS AUXILIARES
NOMBRE UPS
CARACTERÍSTICA 1500 WATTS ONLINE
EQUIPAMIENTO
TIPO ELEMENTOS AUXILIARES
NOMBRE SISTEMA D ALARMA
CONTROL REMOTO EXTERNO
CALENDARIO PROGRAMABLE DIARIO
Servicios Subcontratados
Son servicios que utiliza la cooperativa que son contratados a terceras personas.
SERVICIOS SUBCONTRATADOS
TIPO DOMINIO PAGINA WEB
ENLACE WWW.MUSHUKYUYAY.FIN.EC
SERVICIOS SUBCONTRATADOS
TIPO HOSTING
SERVICIOS ALOJAMIENTO DE APLICACIONES
FUNCIÓN CIFRAR BASE DE DATOS
SERVICIOS SUBCONTRATADOS
TIPO CORREO ELECTRÓNICO
ALCANCE TODOS LOS EMPLEADOS
Instalaciones
INSTALACIONES
TIPO EDIFICIO
UBICACIÓN COMUNIDAD SAN RAFAEL
INFRAESTRUCTURA 3 PISOS
INSTALACIONES
TIPO OFICINA
UBICACIÓN TERMINAL DE CAÑAR
FUNCIÓN CAPTACIONES Y RETIROS
Valoración de Dominios
La valoración de dominios se realiza únicamente de los activos esenciales de la cooperativa. Se
los valora de acuerdo a los siguientes criterios:
Disponibilidad
La disponibilidad consiste en que los procesos autorizados dentro de la entidad sean accesibles
cuando lo requieren.
Integridad de Datos
Este criterio es importante pues nos dice que la información no ha sido alterada sin previa
autorización y cuán importante serían los sucesos en caso de suceder aquello.
Confidencialidad de la Información
Este Criterio garantiza que la información sea mantenida de forma segura y que no puedan
acceder a estos datos personas que no estén debidamente autorizadas.
Autenticidad
Garantiza que las personas que van a acceder a algún tipo de servicios sea identificada
correctamente, y también garantiza la procedencia de los datos que se manejan.
Trazabilidad
Nos indica que las acciones realizadas por la entidad puedan ser imputadas exclusivamente a la
misma entidad, debe quedar constancia del uso del servicio.
De acuerdo a los criterios antes mencionado, se realizó la valoración del dominio de los activos
esenciales y obtuvimos los siguientes resultados.
NIVEL DE RIESGO
DIMENSIONES
ACTIVOS DISPONIBILI INTEGRID CONFIDENCIALI AUTENTICI TRAZABILI
DAD AD DAD DAD DAD
ESENCIALES 5 7 7 3 5
Servicios Bancarios -
Ahorros 5 7 3 3 5
Servicios Bancarios .
Créditos 5 5 7 1 5
Página Web 1 0 n.a n.a n.a
RIEGO REPERCUTIDO.
NIVELES DE CRITICIDAD
9
8
7 Extremadamente crítico
6 Muy crítico
5 Crítico
4 Muy alto
3 Alto
2 Medio
1 Bajo
0 Despreciable
ACTIVO D I C A T
ACTIVOS {3,3} {5,3} {5,3} {2,9} {3,4}
SERVICIOS BANCARIOS- AHORROS {3,3} {5,3} {2,9} {2,9} {3,4}
SERVICIOS BANCARIOS- CREDITOS {3,3} {4,1} {5,3} {1,7} {3,4}
PAGINA PARA USUARIOS DE LA ENTIDAD {0,99} {1,1}
Como se puede observar el riesgo es crítico ya que por su naturaleza por ser una cooperativa de
Ahorro y crédito tiene dos riesgos tanto el riesgo de incumplimiento como el riego de mercado,
el primero hace referencia a la probabilidad de que la contraparte incumpla y el segundo que se
da cuando existe perdidas por la disminución del valor de mercado.
*Como se puede observar el riego es crítico ya que los criterios de valoración son altos en cuanto
* A la información del personal. - ya que probablemente pueda quebrantar leyes o regulaciones.
*A las obligaciones legales. - ya que probablemente cause un incumplimiento grave de una ley
o regulación.
*A la administración y gestión. – ya que probablemente impedirá la operación efectiva de la
organización.
*A la perdida de la confianza. - ya que probablemente podrá afectar gravemente a las relaciones
con el público en general.
Estos servicios se encuentran íntimamente relacionados con la integridad, es decir que si
existen modificaciones en la información sin previa autorización se da una mala valoración de
los activos y por ende surge un riesgo crítico para la Cooperativa.
SALVAGUARDAS
ECONOMISTA
RUMIÑAHUI PICHIZACA
GERENTE DE LA COOPERATIVA “MUSHUK-YUYAY LTDA.”
CAÑAR
INFORME DE AUDITORIA
Nuestro Equipo de Auditoria ha llevado a cabo la Auditoria a los sistemas y activos esenciales
que posee la entidad. Nuestra auditoria se desarrolló en conformidad con las Normas
Internacionales de Auditoria y Aseguramiento (NIAA). Estas normas tienen como requisito que
la auditoria sea planificada para que posteriormente se ejecute y así poder obtener evidencia
razonable de la información que se examine. También se requiere que las operaciones se hayan
efectuado conforme a las disposiciones legales y reglamentarias, políticas y demás normas que
sean aplicables.
RESULTADOS.
COMPUTADORAS PORTATILES.
Se dice que existe un riego en las computadoras portátiles porque pueden estar
infectadas con virus al tener instalado software pirata y conectarse a la red LAN de la
empresa, ya que esto permite ingresar a la información de la Cooperativa y se realizan
ataques de denegación o robar información importante de la Cooperativa que este
almacenada en las computadoras portátiles.
SERVIDOR.
Cualquier usuario puede acceder al servidor y no existe un control de acceso a las
personas para que se realice modificación del servidor. No existe respaldo de la
información y en caso de caerse el servidor se perderían todos los datos.
LAN Y WAN.
La red de la empresa no está protegida por un firewall, cualquier usuario podrá intentar
conectarse al servidor desde la red interna por lo que puede ser vulnerable a ataques y
el servidor puede estar en riesgo.
Si no existe un proxy en la red o un firewall bien configurado los usuarios pueden acceder
a páginas de dudosa procedencia y poner en peligro la integridad de la información de
la empresa y de los servidores.
ANEXOS
Modelo de valor
proyecto: [CS 0701] GESTIÓN DE RIESGOS
Licencia
[edu] ucuenca.edu.ec
Auditoria de Sistemas Contables Automatizados
Escuela de Contabilidad Superior
Universidad de Cuenca
Cuenca - Ecuador
[ ... 1.1.2019]
2. Dimensiones
o [D] disponibilidad
o [I] integridad de los datos
o [C] confidencialidad de los datos
o [A] autenticidad de los usuarios y de la información
o [T] trazabilidad del servicio y de los datos
o [V] Valor (ej. vidas humanas, patromonio corporativo, etc.)
o [DP] Datos personales
3. Dominios de seguridad
dominio de seguridad [D] [I] [C] [A] [T] [V] [DP]
[base] Base [5] [7] [7] [3] [5]
4. Activos
4.1. Capa - [B] Activos esenciales
[AE001] SERVICIOS BANCARIOS - AHORROS
[AE002] SERVICIOS BANCARIOS - CRÉDITOS
[AE003] PAGINA PARA USUARIOS DE LA ENTIDAD
5. Activos
5.1. [AE001] SERVICIOS BANCARIOS - AHORROS
o [essential] Activos esenciales
o [essential.info] información
o [D.biz] datos de interés para el negocio
o [D.com] datos de interés comercial
o [D.per] datos de carácter personal
o [essential.service] servicio
o [essential.service.financial] financieros
o [arch.bp] proceso de negocio
o [S] Servicios
o [S.prov] proporcionado por nosotros
o [S.prov.pub] al público en general (sin relación contractual)
Dominio de seguridad
o [base] Base
Datos
CARACTERÍSTICAS DIFERENTES TIPOS DE AHORRO
INFORMACIÓN QUE GENERA DATOS PERSONALES
Dominio de seguridad
o [base] Base
Datos
TIPOS MICROCRÉDITO, CRÉDITO DE CONSUMO, CRÉDITO
PRODUCTIVO
MONTOS DESDE $500
AUTORIZACIÓN DIFERNETES NIVELES DE AUTORIZACIÓN
Dominio de seguridad
o [base] Base
Datos
ENLACE WWW.MUSHUKYUYAY.FIN.EC
INFORMACIÓN SERVICIOS QUE PRESTA LA COACMY
SIMULADOR SIMULADOR DE CRÉDITOS
Dominio de seguridad
o [base] Base
Datos
MODULOS CONTABILIDAD, COMPRAS, COLOCACIONES, CAPTACIONES Y
TRANSACCIONES
Versión 2.0
Dominio de seguridad
o [base] Base
Datos
FUNCION ANTIVIRUS
Versión 6.0
LICENCIAS 15
Dominio de seguridad
o [base] Base
Datos
TIPO SISTEMA OPERATIVO
VERSIÓN MÁS ANTIGUA 7.0
VERSIÓN MÁS ACTUAL MICROSOFT 10
Dominio de seguridad
o [base] Base
Datos
PROCESAMIENTO DE TEXTO, JOJAS DE CÁLCULO, OUTLOOK
VERSIÓN MÁS ANTIGUA 2013
VERSIÓN MÁS ACTUAL 2016
Dominio de seguridad
o [base] Base
Datos
FUNCIÓN HERRAMIENTA DE CONTROL REMOTO, PARA SOPORTE TÉCNICO
Dominio de seguridad
o [base] Base
Datos
MARCA DELL
CANTIDAD 2
Dominio de seguridad
o [base] Base
Datos
MARCA HP
PEOCESADOR INTEL
MEMORIA RAM 8GB
Datos
MARCA ACER
PROCESADOR INTEL
RAM 4GB
Dominio de seguridad
o [base] Base
Datos
TIPO CLON
SISTEMA OPERATIVO WINDOWS 2013
5.13. [EQ006] SERVIDOR
o [keys] Claves criptográficas
o [keys.info] protección de la información
o [keys.com] protección de las comunicaciones
o [keys.disk] cifrado de soportes de información
o [HW] Equipamiento informático (hardware)
o [HW.mid] equipos medios
o [HW.backup] equipamiento de respaldo
o [HW.data] que almacena datos
o [Media] Soportes de información
o [Media.electronic] electrónicos
Dominio de seguridad
o [base] Base
Datos
TIPO IBM
SISTEMA OPERATIVO RED HAT
Dominio de seguridad
o [base] Base
Datos
MODELO RB450
SISTEMA TOTER OS 6.4
Dominio de seguridad
o [base] Base
Datos
MARCA TP / LINK
PUERTOS 24
10/100
Datos
MARCA RICOH OFICIO MP
Dominio de seguridad
o [base] Base
Datos
MARCA EPSON L375
CANTIDAD 11
Dominio de seguridad
o [base] Base
Datos
MARCA EPSON 360
CANTIDAD 3
Dominio de seguridad
o [base] Base
Datos
MARCA HIKVISION
CANALES 16
SISTEMA MONITOREO
Dominio de seguridad
o [base] Base
Datos
MARCA PANASONIC
5.21. [EQ014] PC
o [HW] Equipamiento informático (hardware)
o [HW.pc] informática personal
Dominio de seguridad
o [base] Base
Datos
CARACTERISTICAS CLONES
CANTIDAD 13
Dominio de seguridad
o [base] Base
Datos
CARACTERISTICAS RED CABLEADA 10/100
CATEGORÍA 5E
RED WIFI
ROUTER QUE UTILIZA TP LINK Y D LINK
RED DE DATOS PATCH PANEL
Datos
ENLACE FIBRA ÓPTICA
TRANSMISIÓN 3 MEGAS
PROVEEDOR TELCONET
Dominio de seguridad
o [base] Base
Datos
CAPACIDAD 2 TERABYTES
MARCA TOSHIBA
CANTIDAD 3
Dominio de seguridad
o [base] Base
Datos
PROVEEDOR ONEDRIVE CON OFFICE 365
ALMACENAMIENTO 1TB
5.26. [EAU001] CENTRO DE DATOS
o [HW] Equipamiento informático (hardware)
o [HW.mid] equipos medios
o [HW.data] que almacena datos
o [COM] Redes de comunicaciones
o [COM.X25] X25 (red de datos)
o [Media] Soportes de información
o [Media.electronic] electrónicos
o [Media.electronic.other] otros ...
o [AUX] Equipamiento auxiliar
o [AUX.other] otros ...
Dominio de seguridad
o [base] Base
Datos
ALIMENTACION ELÉCTRICA 15KV
SEGURIDAD FISICA Y VIRTUAL
Dominio de seguridad
o [base] Base
Datos
CARACTERÍSTICAS 1500 WATTS ONLINE
Dominio de seguridad
o [base] Base
Datos
CONTROL REMOTO EXTERNO
CALENDARIO PROGRAMABLE DIARIO
Dominio de seguridad
o [base] Base
Datos
ENLACE WWW.MUSHUKYUYAY.FIN.EC
Dominio de seguridad
o [base] Base
Datos
SERVICIO ALOJAMIENTO DE APLICACIONES
PERMITE CREAR BASES DE DATOS
Dominio de seguridad
o [base] Base
Datos
ALCANCE TODOS LOS EMPLEADOS
Dominio de seguridad
o [base] Base
Datos
UBICACIÓN COMUNIDAD SAN RAFAEL
INFRAESTRUCTURA 3 PISOS
Dominio de seguridad
o [base] Base
Datos
UBICACIÓN TERMINAL DE CAÑAR
Dominio de seguridad
o [base] Base
Datos
SOPORTE INFRAESTRUCTURA Y TELECOMUNICACIONES
Dominio de seguridad
o [base] Base
Datos
SISTEMA VIMASISTEM
NOMBRE ING. CARLOS FAJARDO
Dominio de seguridad
o [base] Base
Datos
RESPONSABLE ING. CALOS FAJARDO
5.37. [PE004] SOPORTE A USUARIOS
o [P] Personal
o [P.ue] usuarios externos
o [P.ui] usuarios internos
Dominio de seguridad
o [base] Base
Datos
RESPONSABLE REFLA
Dominio de seguridad
o [base] Base
Datos
RESPONSABLE ING. CARLOS FAJARDO