Capítulo I. Fundamentación Teórica
7. Con que frecuencia cambia su clave de acceso:
DESCRIPCIÓN FRECUENCIA PORCENTAJE
Mensual 1 10%
Trimestral 8 80%
Semestral 1 10%
Anual 0 0%
TOTAL 10 100%
Elaborado por: Monar Balseca María Luisa Fuente: Talento Humano Cooperativa Rey David
Ilustración 16: Pregunta 7
Elaborado por: Monar Balseca María Luisa Fuente: Talento Humano Cooperativa Rey David
Análisis e interpretación
El 10% de los encuestados responden que cambia su clave de acceso mensualmente, mientras el 10% manifiestan que cambia su clave de acceso semestralmente y el 80% cambia su clave de acceso trimestralmente.
De acuerdo con la pregunta 7, 80% manifiestan que cambia su clave de acceso trimestralmente, lo que respalda el presente proyecto.
10% 80% 10%0% Mensual Trimestral Semestral Anual
52
3.3.4.2. Resultados de la entrevista
Análisis de la Entrevista al Tglo. Segundo Tisalema gerente de la Cooperativa “Rey David”
Objetivo: Determinar la existencia de mecanismos de control en el área de sistemas de la Cooperativa Rey David y la necesidad de ejecutar una Auditoria Informática
Fecha: 16/05/2019
Tabla 19: Resultados de la Entrevista al Gerente de la Cooperativa “Rey David”
INDICADORES EVALUADOS
Informante
Tglo. Segundo Tisalema
Gerente de la Cooperativa Rey David Existencia de un Departamento de TIC´s Duda en su respuesta por falta de
conocimiento en cuanto a tecnología y luego manifiesta que sí sin embargo se verifica mediante la observación que no existe dicho departamento
Existencia de un diagrama funcional Manifiesta que no cuenta con un diagrama funcional ya que sólo hay un encargado de tics lo que corrobora la inexistencia del departamento
Existencia de procedimiento para el uso de equipos de cómputo
No existe
Inventario actualizado de los recursos informáticos
No existe
Revisiones periódicas de la capacidad y desempeño de los recursos de
informáticos
En alguna ocasión sí se realizó
Conocimiento sobre riesgos en el manejo de la información
Posee poco conocimiento
Conocimiento y existencia de
Procedimientos y medidas de seguridad
No posee conocimiento y manifiesta que en alguna ocasión se intentó incorporar medidas
53
en caso de un ataque dos software malicioso y virus informático
de seguridad
Realización de auditoría informática auditoría informática
Como tal manifiesta que no
Necesidad de auditoría para el control del centro de datos
Muy necesario
Existencia de un plan de contingencia No existe
Elaborado por: Monar Balseca María Luisa Fuente: Talento Humano Cooperativa Rey David
3.3.4.3. Resultados de la Observación
Tabla 20: Resultados de la observación en la Cooperativa “Rey David”
Indicadores para la observación Informe
Principales procesos que lleva a cabo la cooperativa
Caja – Crédito – Contabilidad - Gerencia Atención al cliente – Negocios
Valoración de la agilidad de cada proceso: • Caja:
• Depósitos: El tiempo para realizar los depósitos es lento
• Retiros: El tiempo para realizar los retiros son lentos
• Pagos: El tiempo para realizar los pagos depende de la operadora que parcialmente son medianamente rápidos
• Recargas: Igualmente el tiempo para realizar los pagos depende de la operadora que parcialmente son medianamente rápidos
• Crédito: Los créditos que se realizan en la cooperativa son lentos según el monto y el acuerdo con el deudor. • Contabilidad: Son lentos ya que el
sistema que ocupan se cuelga
• Gerencia: La atención del gerente para los socios es rápida
• Atención al cliente: La atención lenta ya que el sistema que ocupan se cuelga
54
• Negocios: La atención es medianamente rápida
Caja1:
• El sistema operativo es Microsoft Windows XP Professional 32-Bit • Nombre de dominio REYDAVID • ROLES: Estación de trabajo,
servidor, navegador de potencial, navegador de copia de seguridad • Procesador Pentium(R) Dual-Core
CPU E5800 @ 3.20GHz • BIOS Versión Intel - 12 BIOS • Memoria total 2016MB • Memoria libre 1077MB
Caja2:
• El sistema operativo es Microsoft Windows XP Professional 32-Bit • Nombre de dominio REYDAVID • ROLES: Estación de trabajo,
servidor, navegador de potencial, navegador de copia de seguridad • Procesador Pentium(R) Dual-Core
CPU E5800 @ 3.20GHz • BIOS Versión Intel - 12 BIOS • Memoria total 2016MB • Disco Duro Total 932GB
CONTABILIDAD-PC
• Nombre de dominio REYDAVID • Roles Estación de trabajo, servidor,
navegador potencial
• El sistema operativo es Microsoft Windows 6.2 Professional 32-Bit • Procesador CPU Intel (R) Core
(TM) i3-3240 a 3,40 GHz | • Memoria total 3504MB • Disco Duro Total 698GB • BIOS Versión INTEL - 9
SECRETARIA-PC
• Nombre de dominio REYDAVID • Roles Estación de trabajo, servidor,
55
• Sistema operativo |Microsoft Windows 7 Professional de 32 bits • Descripción del procesador
Pentium (R) CPU de doble núcleo E5500 @ 2.80GHz
• Memoria total 2016MB • Disco Duro Total 466GB
• Versión BIOS _ASUS_ - 12 BIOS
FINANCIERO-PC
• Nombre de dominio REYDAVID • Roles Estación de trabajo, servidor,
navegador potencial
• Sistema operativo Microsoft Windows 6.2 Professional de 32 bits
• Descripción del procesador CPU Intel (R) Core (TM) i3-3240 a 3,40 GHz
• Memoria total 3504MB • Disco Duro Total 698GB • Versión BIOS INTEL – 9
ASESOR-PC
• Nombre de dominio REYDAVID • Roles Estación de trabajo, servidor,
navegador de potencial, navegador de copia de seguridad
• Sistema operativo Microsoft Windows 7 Home Premium de 32 bits
• Descripción del procesador Intel (R) Pentium (R) 4 CPU 2.80GHz • Memoria total 480MB
• Disco Duro Total 74.6GB • Versión BIOS ACRSYS -
42302e31 Phoenix
REYPC02
• Nombre de dominio REYDAVID • Estación de trabajo, servidor,
navegador potencial, navegador maestro
• Sistema operativo Microsoft Windows XP Professional de 32
56
bits
• Descripción del procesador Pentium (R) CPU de doble núcleo E5500 @ 2.80GHz
• Memoria total 2016MB • Disco Duro Total 466GB • Versión BIOS | HPQOEM –
20100303
GERENTEPC
• Nombre de dominio REYDAVID • Estación de trabajo, servidor,
navegador potencial, navegador maestro
• Sistema operativo |Microsoft Windows 7 Professional de 32 bits • Descripción del procesador
Pentium (R) CPU de doble núcleo E5500 @ 2.80GHz
• Memoria total 3504MB • Disco Duro Total 698GB • BIOS Versión INTEL – 9
NEGOCIOS-PC
• Nombre de dominio REYDAVID • Roles Estación de trabajo, servidor,
navegador potencial
• Sistema operativo | Microsoft Windows 6.2 Professional de 32 bits
• Descripción del procesador CPU Intel (R) Core (TM) i3-3240 a 3,40 GHz
• Memoria total 3504MB • Disco Duro Total 698GB • Versión BIOS | INTEL - 9
Existencia del departamento de TIC’s No existe un departamento e TIC’s Existencia de organigrama estructural y
funcional
Observe que no existe dicho organigrama estructural y tampoco un funcional.
Existencia de inventarios de recursos informáticos
Si tienen, pero no actualizado, la fecha del inventario es el 12/04/2016
Existencia de licenciamiento de software La Base de Datos que utilizan es POSTGRESQL
57
Cliente- Servidor (Dos capas) Con licencia de Uso
Versión 1.30
Lenguaje de programación POWER BUILDER
Microsoft Office Versión 2.0
Valoración del servicio de internet No se puede visualizar el contrato del internet del Proveedor de CNT
Comunicación interna: La comunicación interna es regular, falta
de comunicación acertada, mal interpretación de mensajes internos, ausencia del Departamento de TIC’s, falta de capacitaciones y conocimientos en el tema de tecnología.
Riesgos en la información Los riesgos para la información si existen ya que se puede observar que como no cuentan con un Ingeniero en sistemas, al momento de reparar los equipos de cómputo llaman a un técnico externo.
• Cambio de claves
• Errores de mantenimiento / actualización de programas
• Contaminación por Virus a la Información
• Difusión de software dañino
• Caída del sistema por agotamiento de recursos
• Vulnerabilidades de los programas • Errores del administrador
• Errores de configuración.
Inversión en tecnología La inversión tecnología es de $29.600
Equipos de cómputo $15,000 Impresoras $1,000 Redes $2,000 Infraestructura $,500 Proveedores $9,000 Equipamiento de oficina $500
Satisfacción del cliente Los clientes se pudieron observar que se encuentran a gusto con la atención bridada
Existencia de software de aplicación Si existe
La Base de Datos que utilizan es POSTGRESQL
58
Cliente- Servidor (Dos capas) Con licencia de Uso
Versión 1.30
Lenguaje de programación POWER BUILDER
Capacitación a los empleados No se da una capitación adecuada a los empleados, ya que por lo que pude observar carecen de conocimientos básicos
Elaborado por: Monar Balseca María Luisa Fuente: Talento Humano Cooperativa Rey David
Análisis de las encuestas, entrevistas y observación
Una vez realizado el diagnóstico de la situación a través, de un estudio de campo realizado en el lugar mismo de los hechos, mediante la aplicación de encuestas a los empleados, entrevista y mediante la observación en la Cooperativa de Ahorro y Crédito Rey David de la ciudad de Ambato se concluyó que:
• La Cooperativa Rey David carece de un departamento de TIC’s lo que hace que la información sea vulnerable ya que al momento de mantenimientos o daños en los equipos de cómputo llamen a un técnico externo.
• Los empleados de la cooperativa desconocen de temas de seguridad de la información.
• Las claves personales en cada equipo de cómputo no son cambiadas frecuentemente y esto hace que sea vulnerable para que personas ajenas a la entidad financiera tengan acceso a la información.
• La cooperativa no cuenta con un plan de contingencia para garantizar el funcionamiento de los equipos de cómputo, en caso de daños o alguna emergencia.
• Los empleados carecen de conocimientos básicos de los equipos de cómputo y esto hace que no sean utilizados de una correcta manera.
59
3.4. Elaboración del plan de Auditoria
3.4.1. Análisis de procesos realizados en la Cooperativa “Rey David”
En el plan de auditoria se van a detallar los procesos elaborados en la Cooperativa “Rey David”, para esto se ejecuta una elección de los procesos que fueron seleccionados mediante la encuesta, entrevista y la observación, ya que esto nos ayuda para tener en cuenta que procesos se realizan con mayor repetición en la entidad financiera.
La encuesta está establecida en una matriz de posibilidad de ocurrencia de los procesos, comenzando de este punto se elaboran los diagramas de los procesos elegidos para una mejor valoración y observación.
En la Cooperativa “Rey David”, se llevan a realizan seis procesos los cuales son: • Depósitos • Retiros • Créditos • Pagos • Registro de asistencia • Ciclo contable
En esta matriz se muestra la posibilidad de ocurrencia que puede tener cada proceso, dando una apreciación de uno a cuatro siendo uno la evaluación más baja y cuatro la más alta, mostrando la posibilidad de que un proceso ocurra.
Tabla 21: Posibilidad procesos
PROBABILIDAD ESCALA DESCRIPCIÓN
Poco probable 1 El proceso ocurre anualmente
Posible 2 El proceso ocurre mensualmente
Probable 3 El proceso ocurre semanalmente Muy Probable 4 El proceso ocurre a diario
Elaborado por: Monar Balseca María Luisa Fuente: Talento Humano Cooperativa Rey David
En la encuesta realizada sobre la ocurrencia de procesos a los empleados de la Cooperativa “Rey David”, en dichas encuestas se ha tomado los procesos con escala
60
tres y cuatro siendo como tal los procesos con mayor riesgo de fallas, pues son los procesos de ocurrencia diaria o por lo menos semanalmente.
La matriz indica que de los seis procesos que se realizan en la Cooperativa “Rey David”, tres de estos son de ocurrencia usual por lo mismo son los más expuestos a fallas.
Tabla 22: Análisis de procesos
N° PROCESO ANALIZADO ESCALA ALCANZADA SE AUDITA 1 2 3 4 SI NO 1 Depósitos X X 2 Retiros X X 3 Créditos X X 4 Pagos X X 5 Registro de asistencia X X 6 Ciclo contable X X
Elaborado por: Monar Balseca María Luisa Fuente: Talento Humano Cooperativa Rey David
3.4.2. Diagramas de procesos de la Cooperativa “Rey David”
Aquí se puntualizan los seis procesos previamente elegidos, analizados en diagramas de procesos permitiéndonos considerar la interacción de los objetos en el sistema, de una manera más clara y breve.
Primer proceso (P01): Depósitos
Objetivo del proceso: Es mantener el dinero a salvo y aumentar al máximo sus intereses
61 Ilustración 17: Depósitos
Elaborado por: Monar Balseca María Luisa Fuente: Talento Humano Cooperativa Rey David
Segundo proceso (P02): Retiros
Objetivo del proceso: Es la transacción por medio de la cual el cliente retira y recibe determinada cantidad de dinero existente en su cuenta bancaria en la oficina de su institución financiera.
Diagrama: Diagrama del segundo proceso
Ilustración 18: Retiros
Elaborado por: Monar Balseca María Luisa Fuente: Talento Humano Cooperativa Rey David
62
Tercer proceso (P03): Créditos
Objetivo del proceso: Préstamo de dinero a una persona o entidad, que se compromete a devolverlo en un solo pago o en forma gradual
Diagrama: Diagrama del tercer proceso
Ilustración 19: Créditos
Elaborado por: Monar Balseca María Luisa Fuente: Talento Humano Cooperativa Rey David
Cuarto proceso (P04): Pagos
Objetivo del proceso: Administrar los diferentes tipos de pagos de los clientes de manera eficiente.
Diagrama: Diagrama del cuarto proceso
Ilustración 20: Pagos
Elaborado por: Monar Balseca María Luisa Fuente: Talento Humano Cooperativa Rey David
63
Cuarto proceso (P05): Registro de asistencia
Objetivo del proceso: Administrar los diferentes tipos de pagos de los clientes de manera eficiente.
Diagrama: Diagrama del quinto proceso
Ilustración 21: Registro de asistencia
Elaborado por: Monar Balseca María Luisa Fuente: Talento Humano Cooperativa Rey David
Cuarto proceso (P06): Ciclo contable
Objetivo del proceso: Realizar el proceso de registros que va desde el registro inicial de las transacciones hasta los estados financieros finales
Diagrama: Diagrama del sexto proceso
Ilustración 22: Ciclo contable
Elaborado por: Monar Balseca María Luisa Fuente: Talento Humano Cooperativa Rey David
64
3.4.3. Elaboración del FODA y de la Cooperativa “Rey David”
Posteriormente de a ver realizado un análisis detallado de la entidad financiera mediante la observación, indagación, entrevistas y encuestas se ha determino algunas fortalezas y debilidades existentes que son:
Tabla 23: Análisis interno
Análisis Interno
Factores
Fortalezas Debilidades
Atención inmediata a los socios. Falta de conocimientos en el área de informática.
Convenios con principales instituciones del sector público.
Falta de capacitación a los empleados de la cooperativa. Cumple con las principales
obligaciones establecidas por la ley.
Falta de seguridad física en la entidad financiera.
La Cooperativa está ubicada en un lugar estratégico de la ciudad.
Falta de organización.
Capacidad de respuesta oportuna a los socios.
Reducido acceso a la tecnología.
Confianza y credibilidad a los socios de la entidad financiera.
Falta de procedimientos y políticas en el área de sistemas para los mecanismos de control.
Elaborado por: Monar Balseca María Luisa Fuente: Talento Humano Cooperativa Rey David
Tabla 24: Análisis externo
Análisis Externo
65
Factores
Mejorar la imagen institucional.
Mercado competitivo alto.
Mejorar la calidad de tecnología de información y comunicación.
Conocimientos básicos e inadecuados de las tecnologías de la información.
Nuevas tecnologías en software y hardware.
No existen manuales de procesos y procedimientos del uso adecuado de los equipos de cómputo.
Campañas de capacitación para empleados.
Existencia de empresas intermediarias en los mecanismos de control de la cooperativa.
Elaborado por: Monar Balseca María Luisa Fuente: Talento Humano Cooperativa Rey David
3.4.4. Elaboración del plan de trabajo para la auditoría
Posteriormente realizado el estudio inicial y el análisis al entorno a auditar, se tiene una perspectiva completa y ordenada de la Cooperativa “Rey David”, permitiendo llevar a cabo la fase uno de la metodología determinada para la auditoría.
3.4.5. Selección de los procesos COBIT a auditar con relación a la Cooperativa “Rey David”
La Cooperativa “Rey David”, para lograr sus objetivos corporativos necesita disponer los recursos de Tecnologías de la Información por un grupo de procesos, agrupados de forma que faciliten la información necesaria para conseguir lo establecido por la institución financiera. Para lo cual se consideran los procesos COBIT para satisfacer diferentes criterios de la información, cuyos procesos serán elegidos mediante un formulario de entidad propuesto por ISACA en su libro “Cobit Implementation tool set”, admitiendo ejecutar una adecuada clasificación de los procesos a auditar por medio de un análisis de prioridades.
66
3.4.6. Formulario de Entidad
Mediante este formulario se determinó la importancia, el riesgo y los controles que se realizan a los procesos, para la selección de esta información se realizaron las siguientes preguntas:
Importancia: Aquí la persona encuestada según sus roles desempeñados en la Cooperativa de ahorro y crédito “Rey David”, establece el nivel de importancia que crea preciso, las opciones de respuesta serán presentadas de mayor a menor de la siguiente manera:
• Muy importante • Algo importante • No importante
Riesgo: Aquí se busca que el encuestado indique el nivel de riesgo que se puede generar en las tareas realizadas, para lo cual se presenta las siguientes alternativas:
• Alto • Medio • Bajo
Control Interno: Aquí se hace énfasis en la documentación aprobada y publicada en la cooperativa, esta documentación hace referencia a las tareas realizadas. Las alternativas a elegir por el encuestado son:
• Documentado • No Documentado • No está seguro
67
Elaborado por: Monar Balseca María Luisa Fuente: (ISACA, 2019)
EDM01 Asegurar que se fija el Marco de Gobierno y su Mantenimiento EDM02 Asegurar la Entrega de Valor
EDM03 Asegurar la Optimización de los Riesgos EDM04 Asegurar la Optimización de los Recursos EDM05 Asegurar la Transparencia a las partes interesadas
APO01 Administrar el Marco de la Administración de TI APO02 Administrar la Estrategia
APO03 Administrar la Arquitectura Corporativa APO04 Administrar la Innovación
APO05 Administrar el Portafolio
APO06 Administrar el Presupuesto y los Costos APO07 Administrar el Recurso Humano APO08 Administrar las Relaciones
APO09 Administrar los Contratos de Servicios APO10 Administrar los Proveedores
APO11 Administrar la CalidadAPO12 Administrar los Riesgos APO12 Administrar la Seguridad
MEA01 Monitorear, Evaluar y Valorar el Desempeño y Cumplimiento MEA02Monitorear, Evaluar y Valorar el Sistema de Control Interno
MEA03Monitorear, Evaluar y Valorar el Cumplimiento con Requisitos Externos
BAI01 Administrar Programas y Proyectos BAI02 Administrar la Definición de Requerimientos
BAI03 Administrar la Identificación y Construcción de Soluciones BAI04 Administrar la Disponibilidad y Capacidad
BAI05 Administrar la Habilitación del Cambio BAI06 Administrar Cambios
BAI07 Administrar la Aceptación de Cambios y Transiciones BAI08 Administrar el Conocimiento
BAI09 Administrar los Activos BAI10 Administrar la Configuración
DSS01 Administrar las Operaciones
DSS02 Administrar las Solicitudes de Servicios y los Incidentes DSS03 Administrar Problemas
DSS04 Administrar la Continuidad
DSS05 Administrar los Servicios de Seguridad
DSS06 Administrar los Controles en los Procesos de Negocio
Monitorear, Evaluar y Valorar
Construir, Adquirir e Implementar
Entregar, Servir y Dar Soporte Evaluar, Dirigir y Monitorear Departamento
Cargo
Procesos COBIT
Alinear, Planear y Organizar
A lto M e d io Bajo D oc u me n tad o N o D oc u me n tad o N o e sta s e gu r o Importancia FORMULARIO DE ENTIDAD
Riesgo Control Interno
M u y Imp or tan te A lgo Imp or tan te N o I mp or tan te
68
3.4.7. Modelo de Madurez
El modelo de madurez para la administración y el control de los procesos de Tecnologías de Información se basa en un método de evaluación de la organización, de tal forma que se pueda evaluar a si misma desde un nivel de no-existente (0) hasta un nivel de optimizado (5). Este enfoque se deriva del modelo de madurez que el Software Engineering Institute
Se define un estado de madurez para los procesos que son seleccionados el punto anterior mediante el formulario de entidad, la escala incluye 0 a 5 porque es bastante probable que no exista ningún proceso en absoluto. La escala 0-5 se basa en una escala simple de madurez que muestra cómo evoluciona un proceso desde inexistente hasta optimizado.
Se considera que una de las principales ventajas para utilizar el modelo de madurez antes mencionado es la facilidad de auto evaluación ya que permite ubicarse a sí mismo en un nivel y valorar los requerimientos para aplicar una mejora si así se requiere, los principales objetivos del modelo de madurez están determinados de la siguiente manera:
• Donde se encuentra la cooperativa en la actualidad. • La comparación.
• Donde se desea estar que la cooperativa se encuentre en un futuro.
Tabla 25: Nivel de madurez
NIVELES DE MADUREZ
0
NO EXISTENTE
Carencia completa de cualquier proceso reconocible. La empresa no ha reconocido siquiera que existe un problema a resolver
1 INICIAL
Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser resueltos. Sin embargo; no existen procesos estándar en su lugar existen enfoquesad hoc que tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la administración es desorganizado.
69
2 REPETIBLE
Se han desarrollado los procesos hasta el punto en que se