Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Oswaldo Alejandro Zhañay Soliz; Juan Carlos Erazo Alvárez; Cecilia Ivonne Narváez Zurita
DOI 10.35381/cm.v5i1.271
Information Systems Audit Model for Savings and Credit Cooperatives of segment
1, 2, and 3, in the city of Cuenca
Existen tres enfoques comunes para la auditoría informática: el Enfoque Orientado al Riesgo
(R.O.A.), el uso de Listas de Verificación (Checklists) y la Auditoría de Productos específicos,
como sistemas operativos o software.
Organizaciones internacionales como ISACA, ISO y NIST han desarrollado marcos de referencia
y estándares ampliamente utilizados para la auditoría y el control de sistemas de información en
el sector bancario. Algunos de estos estándares incluyen COBIT, COSO e ISO 27000.
COBIT
Control Objectives for Information and related Technology, u Objetivos de control para la
información y tecnologías relacionadas, es un Marco de Referencia publicado en el año
1
CIENCIAMATRIA
Revista Interdisciplinaria de Humanidades, Educación, Ciencia y Tecnología
Año V. Vol. V. N°1. Edición Especial. 2019
Hecho el depósito de ley: pp201602FA4721
ISSN-L: 2542-3029; ISSN: 2610-802X
Universidad Nacional Experimental Francisco de Miranda (UNEFM). Santa Ana de Coro. Venezuela
Oswaldo Alejandro Zhañay Soliz; Juan Carlos Erazo Alvárez; Cecilia Ivonne Narváez Zurita
1996 por ISACA; aunque en sus inicios contaba con herramientas para la Auditoría
Informática y la actualidad se encuentra en la versión Nro 5, abarcando inclusive lo
referente al Gobierno Corporativo de TI. Se basa en 5 principios y está compuesta por 4
Dominios Principales: alinear, planificar y organizar plan y 32 procesos de estos Dominios
(Saavedra y Torres, 2012).
ISO 27001
se originó como una iniciativa del British Standards Institution en 1995 con el nombre BS 7799,
con el propósito de proporcionar directrices y buenas prácticas para la gestión de la seguridad de
la información. Posteriormente, la norma evolucionó y se convirtió en ISO 17799 en 2000, y más
adelante adoptó la filosofía de Sistemas de Gestión. Además, el texto menciona que un Sistema
de Gestión de Seguridad de la Información busca implementar políticas de control para asegurar
una gestión adecuada de la seguridad de la información y verificar si los procedimientos y
estrategias implementados cumplen con los objetivos establecidos.
Se centra en la estructura de la norma ISO 27001 y señala que esta norma no impone controles
de información específicos debido a las variadas necesidades de cada organización. En cambio,
la norma sugiere que los controles de información se pueden seleccionar de acuerdo con las
necesidades y características particulares de la institución. Luego, se presenta la estructura de la
norma ISO 27001, que abarca áreas como la introducción, el alcance, referencias normativas,
términos y definiciones, contexto de la organización, liderazgo, política, roles organizacionales,
responsabilidades, autoridades, planificación y acciones para abordar riesgos y oportunidades,
así como objetivos y planificación para la seguridad de la información.
2
CIENCIAMATRIA
Revista Interdisciplinaria de Humanidades, Educación, Ciencia y Tecnología
Año V. Vol. V. N°1. Edición Especial. 2019
Hecho el depósito de ley: pp201602FA4721
ISSN-L: 2542-3029; ISSN: 2610-802X
Universidad Nacional Experimental Francisco de Miranda (UNEFM). Santa Ana de Coro. Venezuela
Oswaldo Alejandro Zhañay Soliz; Juan Carlos Erazo Alvárez; Cecilia Ivonne Narváez Zurita
ISO 22301
La norma ISO 22301 requiere que la gerencia del área auditada se asegure de que se
tomen acciones correctivas para eliminar cualquier no conformidad detectada y sus
causas.
3
CIENCIAMATRIA
Revista Interdisciplinaria de Humanidades, Educación, Ciencia y Tecnología
Año V. Vol. V. N°1. Edición Especial. 2019
Hecho el depósito de ley: pp201602FA4721
ISSN-L: 2542-3029; ISSN: 2610-802X
Universidad Nacional Experimental Francisco de Miranda (UNEFM). Santa Ana de Coro. Venezuela
Oswaldo Alejandro Zhañay Soliz; Juan Carlos Erazo Alvárez; Cecilia Ivonne Narváez Zurita
4
CIENCIAMATRIA
Revista Interdisciplinaria de Humanidades, Educación, Ciencia y Tecnología
Año V. Vol. V. N°1. Edición Especial. 2019
Hecho el depósito de ley: pp201602FA4721
ISSN-L: 2542-3029; ISSN: 2610-802X
Universidad Nacional Experimental Francisco de Miranda (UNEFM). Santa Ana de Coro. Venezuela
Oswaldo Alejandro Zhañay Soliz; Juan Carlos Erazo Alvárez; Cecilia Ivonne Narváez Zurita
COSO
Describe la evolución y estructura de las normas ISO 27001, ISO 22301 y el Marco de
Referencia COSO, así como la importancia de la auditoría informática en el sector financiero y
los enfoques utilizados en la auditoría de sistemas de información. Además, presenta resultados
de una encuesta sobre la preparación de las cooperativas de ahorro y crédito en Cuenca para
auditar sistemas de información. El texto sugiere la necesidad de un modelo de auditoría que
aborde los desafíos específicos en esta área.
Es la primera norma internacional para la Gestión de Continuidad del Negocio, que establece
requisitos para la recuperación eficiente de interrupciones en una organización. Fue creada en
1988 por el Diater Recovery Institute y se publicó en 2013. La norma consta de 10 secciones
que abordan diversos aspectos, incluyendo auditorías internas. El apartado 9.2 de la norma
detalla la necesidad de realizar auditorías internas planificadas para evaluar el sistema de
gestión de continuidad del negocio. Estas auditorías deben ser realizadas de manera objetiva e
imparcial, con informes dirigidos a la alta gerencia. La norma también exige que la gerencia del
área auditada tome medidas correctivas para eliminar no conformidades detectadas y sus
causas.
ISO 27001 es una norma internacional que establece los requisitos para un sistema de gestión
de seguridad de la información (SGSI). Proporciona un marco sólido para identificar, evaluar y
gestionar los riesgos de seguridad de la información, así como para establecer controles y
procesos para proteger activos de información. ISO 27001 es ampliamente aceptada a nivel
global y es un estándar de referencia para muchas organizaciones que buscan garantizar la
seguridad de sus datos y sistemas.
Dicho esto, la elección del estándar específico depende de factores como la industria, el tamaño
de la organización y las regulaciones aplicables. Otros estándares y marcos también son
importantes y pueden ser preferibles en ciertos contextos. Algunos ejemplos adicionales
incluyen COBIT, NIST SP 800-53, CIS Controls y PCI DSS. La importancia de un estándar
particular dependerá de los objetivos y necesidades de la organización en cuestión.
5
CIENCIAMATRIA
Revista Interdisciplinaria de Humanidades, Educación, Ciencia y Tecnología
Año V. Vol. V. N°1. Edición Especial. 2019
Hecho el depósito de ley: pp201602FA4721
ISSN-L: 2542-3029; ISSN: 2610-802X
Universidad Nacional Experimental Francisco de Miranda (UNEFM). Santa Ana de Coro. Venezuela
Oswaldo Alejandro Zhañay Soliz; Juan Carlos Erazo Alvárez; Cecilia Ivonne Narváez Zurita
METODOLOGÍA
RESULTADOS
6
CIENCIAMATRIA
Revista Interdisciplinaria de Humanidades, Educación, Ciencia y Tecnología
Año V. Vol. V. N°1. Edición Especial. 2019
Hecho el depósito de ley: pp201602FA4721
ISSN-L: 2542-3029; ISSN: 2610-802X
Universidad Nacional Experimental Francisco de Miranda (UNEFM). Santa Ana de Coro. Venezuela
Oswaldo Alejandro Zhañay Soliz; Juan Carlos Erazo Alvárez; Cecilia Ivonne Narváez Zurita