CIENCIAMATRIA

Revista Interdisciplinaria de Humanidades, Educación, Ciencia y Tecnología

Año V. Vol. V. N°1. Edición Especial. 2019
Hecho el depósito de ley: pp201602FA4721
ISSN-L: 2542-3029; ISSN: 2610-802X
Universidad Nacional Experimental Francisco de Miranda (UNEFM). Santa Ana de Coro. Venezuela

Oswaldo Alejandro Zhañay Soliz; Juan Carlos Erazo Alvárez; Cecilia Ivonne Narváez Zurita

DOI 10.35381/cm.v5i1.271

Modelo de Auditoria de Sistemas de Información para las Cooperativas de ahorro

y crédito del segmento 1, 2, y 3, de la ciudad de Cuenca

Information Systems Audit Model for Savings and Credit Cooperatives of segment
1, 2, and 3, in the city of Cuenca

Importancia de la auditoria informática o auditoria a los sistemas de información

en el sector bancario, estándares y marcos de referencia más utilizados
La auditoría informática en el sector bancario es esencial debido al rápido avance tecnológico y
la creciente importancia de la información. Los sistemas de información son fundamentales para
procesar y gestionar datos y se componen de individuos, actividades, datos y recursos
materiales. La auditoría informática es un proceso que recopila y evalúa evidencias de sistemas
informáticos para garantizar su correcto funcionamiento y la seguridad de la información.

En el sector bancario, la auditoría informática se enfoca en la revisión de recursos informáticos,

que incluyen información, programas, infraestructura y recursos humanos. Se siguen pasos que
abarcan desde la investigación previa hasta la presentación de informes, con el objetivo de
evaluar la eficacia del sistema de información y garantizar el cumplimiento de leyes y
estándares.

Existen tres enfoques comunes para la auditoría informática: el Enfoque Orientado al Riesgo
(R.O.A.), el uso de Listas de Verificación (Checklists) y la Auditoría de Productos específicos,
como sistemas operativos o software.

Organizaciones internacionales como ISACA, ISO y NIST han desarrollado marcos de referencia
y estándares ampliamente utilizados para la auditoría y el control de sistemas de información en
el sector bancario. Algunos de estos estándares incluyen COBIT, COSO e ISO 27000.

En resumen, la auditoría informática desempeña un papel fundamental en el sector bancario

para garantizar la seguridad y eficiencia en la gestión de la información. Se siguen procesos
específicos y se utilizan estándares reconocidos para lograr estos objetivos.

COBIT
Control Objectives for Information and related Technology, u Objetivos de control para la
información y tecnologías relacionadas, es un Marco de Referencia publicado en el año
1
 CIENCIAMATRIA
Revista Interdisciplinaria de Humanidades, Educación, Ciencia y Tecnología
Año V. Vol. V. N°1. Edición Especial. 2019
Hecho el depósito de ley: pp201602FA4721
ISSN-L: 2542-3029; ISSN: 2610-802X
Universidad Nacional Experimental Francisco de Miranda (UNEFM). Santa Ana de Coro. Venezuela

Oswaldo Alejandro Zhañay Soliz; Juan Carlos Erazo Alvárez; Cecilia Ivonne Narváez Zurita
1996 por ISACA; aunque en sus inicios contaba con herramientas para la Auditoría
Informática y la actualidad se encuentra en la versión Nro 5, abarcando inclusive lo
referente al Gobierno Corporativo de TI. Se basa en 5 principios y está compuesta por 4
Dominios Principales: alinear, planificar y organizar plan y 32 procesos de estos Dominios
(Saavedra y Torres, 2012).

ISO 27001

se originó como una iniciativa del British Standards Institution en 1995 con el nombre BS 7799,
con el propósito de proporcionar directrices y buenas prácticas para la gestión de la seguridad de
la información. Posteriormente, la norma evolucionó y se convirtió en ISO 17799 en 2000, y más
adelante adoptó la filosofía de Sistemas de Gestión. Además, el texto menciona que un Sistema
de Gestión de Seguridad de la Información busca implementar políticas de control para asegurar
una gestión adecuada de la seguridad de la información y verificar si los procedimientos y
estrategias implementados cumplen con los objetivos establecidos.

ISO 27001: ESTRUCTURA

Se centra en la estructura de la norma ISO 27001 y señala que esta norma no impone controles
de información específicos debido a las variadas necesidades de cada organización. En cambio,
la norma sugiere que los controles de información se pueden seleccionar de acuerdo con las
necesidades y características particulares de la institución. Luego, se presenta la estructura de la
norma ISO 27001, que abarca áreas como la introducción, el alcance, referencias normativas,
términos y definiciones, contexto de la organización, liderazgo, política, roles organizacionales,
responsabilidades, autoridades, planificación y acciones para abordar riesgos y oportunidades,
así como objetivos y planificación para la seguridad de la información.

2
 CIENCIAMATRIA
Revista Interdisciplinaria de Humanidades, Educación, Ciencia y Tecnología
Año V. Vol. V. N°1. Edición Especial. 2019
Hecho el depósito de ley: pp201602FA4721
ISSN-L: 2542-3029; ISSN: 2610-802X
Universidad Nacional Experimental Francisco de Miranda (UNEFM). Santa Ana de Coro. Venezuela

Oswaldo Alejandro Zhañay Soliz; Juan Carlos Erazo Alvárez; Cecilia Ivonne Narváez Zurita

ISO 22301

Esta normativa es la primera norma internacional para la Gestión de Continuidad del

Negocio, la cual incluye los requerimientos base que permitan recuperarse en el menor
tiempo posible de las interrupciones que pueda tener una organización, además de
establecer adecuadamente un sistema de Gestión de Continuidad de Negocio (BCMs).
La norma aparece por primera vez en el año 1988 con la creación del Diater
Recovery.

La norma ISO 22301, publicada en 2013, consta de 10 secciones que abordan la

gestión de continuidad del negocio. El punto 9, que se centra en la auditoría interna, es
relevante para esta investigación. En particular, la sección 9.2 establece que las
organizaciones deben realizar auditorías internas planificadas para evaluar su sistema
de gestión de continuidad del negocio. Esto implica la planificación, implementación y
mantenimiento de un programa de auditoría que considere la importancia de los
procesos y resultados anteriores, la definición de criterios y alcance de las auditorías, la
selección de auditores imparciales, la presentación de resultados a la alta gerencia y la
retención de información documentada como evidencia de la implementación del
programa de auditoría y sus resultados.

La norma ISO 22301 requiere que la gerencia del área auditada se asegure de que se
tomen acciones correctivas para eliminar cualquier no conformidad detectada y sus
causas.

3
 CIENCIAMATRIA
Revista Interdisciplinaria de Humanidades, Educación, Ciencia y Tecnología
Año V. Vol. V. N°1. Edición Especial. 2019
Hecho el depósito de ley: pp201602FA4721
ISSN-L: 2542-3029; ISSN: 2610-802X
Universidad Nacional Experimental Francisco de Miranda (UNEFM). Santa Ana de Coro. Venezuela

Oswaldo Alejandro Zhañay Soliz; Juan Carlos Erazo Alvárez; Cecilia Ivonne Narváez Zurita

4
 CIENCIAMATRIA
Revista Interdisciplinaria de Humanidades, Educación, Ciencia y Tecnología
Año V. Vol. V. N°1. Edición Especial. 2019
Hecho el depósito de ley: pp201602FA4721
ISSN-L: 2542-3029; ISSN: 2610-802X
Universidad Nacional Experimental Francisco de Miranda (UNEFM). Santa Ana de Coro. Venezuela

Oswaldo Alejandro Zhañay Soliz; Juan Carlos Erazo Alvárez; Cecilia Ivonne Narváez Zurita

COSO

Describe la evolución y estructura de las normas ISO 27001, ISO 22301 y el Marco de
Referencia COSO, así como la importancia de la auditoría informática en el sector financiero y
los enfoques utilizados en la auditoría de sistemas de información. Además, presenta resultados
de una encuesta sobre la preparación de las cooperativas de ahorro y crédito en Cuenca para
auditar sistemas de información. El texto sugiere la necesidad de un modelo de auditoría que
aborde los desafíos específicos en esta área.

La norma ISO 22301

Es la primera norma internacional para la Gestión de Continuidad del Negocio, que establece
requisitos para la recuperación eficiente de interrupciones en una organización. Fue creada en
1988 por el Diater Recovery Institute y se publicó en 2013. La norma consta de 10 secciones
que abordan diversos aspectos, incluyendo auditorías internas. El apartado 9.2 de la norma
detalla la necesidad de realizar auditorías internas planificadas para evaluar el sistema de
gestión de continuidad del negocio. Estas auditorías deben ser realizadas de manera objetiva e
imparcial, con informes dirigidos a la alta gerencia. La norma también exige que la gerencia del
área auditada tome medidas correctivas para eliminar no conformidades detectadas y sus
causas.

AUDITORÍA A LOS SISTEMAS DE INFORMACIÓN EN LAS ENTIDADES

FINANCIERAS.
No existe un único estándar que sea el "más importante" en términos absolutos para los
controles a auditar o implementar en seguridad de la información, ya que la elección depende en
gran medida del contexto y los requisitos específicos de una organización. Sin embargo, uno de
los estándares más ampliamente reconocidos y utilizados en el ámbito de la seguridad de la
información es ISO 27001.

ISO 27001 es una norma internacional que establece los requisitos para un sistema de gestión
de seguridad de la información (SGSI). Proporciona un marco sólido para identificar, evaluar y
gestionar los riesgos de seguridad de la información, así como para establecer controles y
procesos para proteger activos de información. ISO 27001 es ampliamente aceptada a nivel
global y es un estándar de referencia para muchas organizaciones que buscan garantizar la
seguridad de sus datos y sistemas.

Dicho esto, la elección del estándar específico depende de factores como la industria, el tamaño
de la organización y las regulaciones aplicables. Otros estándares y marcos también son
importantes y pueden ser preferibles en ciertos contextos. Algunos ejemplos adicionales
incluyen COBIT, NIST SP 800-53, CIS Controls y PCI DSS. La importancia de un estándar
particular dependerá de los objetivos y necesidades de la organización en cuestión.
5
 CIENCIAMATRIA
Revista Interdisciplinaria de Humanidades, Educación, Ciencia y Tecnología
Año V. Vol. V. N°1. Edición Especial. 2019
Hecho el depósito de ley: pp201602FA4721
ISSN-L: 2542-3029; ISSN: 2610-802X
Universidad Nacional Experimental Francisco de Miranda (UNEFM). Santa Ana de Coro. Venezuela

Oswaldo Alejandro Zhañay Soliz; Juan Carlos Erazo Alvárez; Cecilia Ivonne Narváez Zurita

METODOLOGÍA

La metodología de la investigación propone un modelo de auditoría de sistemas de información,

siendo de tipo no experimental y de enfoque mixto (cualitativo y cuantitativo). Es descriptiva y
explicativa, ya que analiza las variables independientes y dependientes, y busca abordar un
vacío en los servicios de auditoría informática en Cuenca. Se trata de una investigación
transversal, y se utiliza el método histórico lógico en la revisión bibliográfica. Las técnicas de
investigación incluyen entrevistas a directivos de cooperativas para diagnosticar los servicios de
auditoría informática en la ciudad.

UNIVERSO DE ESTUDIO Y TRATAMIENTO MUESTRAL

La población de estudio en esta investigación incluye 19 Cooperativas de Ahorro y Crédito en la

Ciudad de Cuenca, divididas en tres segmentos (Segmento 1: 7 Cooperativas, Segmento 2: 9
Cooperativas y Segmento 3: 3 Cooperativas), según la Superintendencia de Economía Popular y
Solidaria de 2019.

RESULTADOS

Presenta los resultados de una encuesta realizada a personal técnico y directivos de

cooperativas de ahorro y crédito en la ciudad de Cuenca. Se destaca que la mayoría de los
encuestados tienen un Departamento de Auditoría Interna, pero carecen de personal
especializado en Auditoría Informática. Además, la encuesta revela opiniones divididas sobre la
efectividad de las herramientas automatizadas en la gestión de activos de información, con un
porcentaje significativo que no está seguro de su eficacia. La mayoría de los encuestados
considera importante implementar medidas de control, monitoreo y auditorías para verificar la
efectividad de las medidas de seguridad informática y la calidad de la información generada. El
texto sugiere que desarrollar un modelo de auditoría de sistemas de información sería
beneficioso para las entidades financieras, especialmente aquellas que carecen de
conocimientos específicos en este campo, como la mayoría de los encuestados.

6
 CIENCIAMATRIA
Revista Interdisciplinaria de Humanidades, Educación, Ciencia y Tecnología
Año V. Vol. V. N°1. Edición Especial. 2019
Hecho el depósito de ley: pp201602FA4721
ISSN-L: 2542-3029; ISSN: 2610-802X
Universidad Nacional Experimental Francisco de Miranda (UNEFM). Santa Ana de Coro. Venezuela

Oswaldo Alejandro Zhañay Soliz; Juan Carlos Erazo Alvárez; Cecilia Ivonne Narváez Zurita