Auditoría de los recursos informáticos para mejorar los mecanismos de control del a}área de sistemas de la Cooperativa "Red}y David"

(1)

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES “UNIANDES”

FACULTAD DE SISTEMAS MERCANTILES CARRERA DE SISTEMAS

PROYECTO DE INVESTIGACIÓN PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERA EN SISTEMAS E INFORMÁTICA

TEMA:

AUDITORIA DE LOS RECURSOS INFORMÁTICOS PARA MEJORAR LOS MECANISMOS DE CONTROL DEL ÁREA DE SISTEMAS DE LA

COOPERATIVA “REY DAVID”

AUTORA: MONAR BALSECA MARÍA LUISA

TUTORA: ING.PICO PICO MARÍA ANGÉLICA MG.

AMBATO – ECUADOR

(2)

APROBACIÓN DE LA TUTORA DEL TRABAJO DE TITULACIÓN

CERTIFICACIÓN:

Quién suscribe, legalmente CERTIFICA QUE: El presente Trabajo de Titulación realizado por la señorita Monar Balseca María Luisa, Estudiante de la Carrera de Sistemas, Facultad de Sistemas Mercantiles, con el tema “AUDITORIA DE LOS

RECURSOS INFORMÁTICOS PARA MEJORAR LOS MECANISMOS DE CONTROL DEL ÁREA DE SISTEMAS DE LA COOPERATIVA “REY DAVID”, ha sido prolijamente revisado, y cumple con todos los requisitos establecidos en la normativa pertinente de la Universidad Regional Autónoma de los Andes “UNIANDES”, por lo que apruebo su presentación.

Ambato, Julio del 2019

(3)

DECLARACIÓN DE AUTENTICIDAD

Yo, María Luisa Monar Balseca, estudiante de la Carrera de Sistemas, Facultad de Sistemas Mercantiles, declaro que todos los resultados obtenidos en el presente trabajo de investigación, previo a la obtención del título de INGENIERA EN SISTEMAS E INFORMATICA, son absolutamente originales, auténticos y personales; a excepción de las citas, por lo que son de mi exclusiva responsabilidad.

Monar Balseca María Luisa C.I. 1804591103

(4)

DERECHOS DE AUTORA

Yo, María Luisa Monar Balseca, declaro que conozco y acepto la disposición constante en el literal d) del Art. 85 del Estatuto de la Universidad Regional Autónoma de Los Andes, que en su parte pertinente textualmente dice: El Patrimonio de la UNIANDES, está constituido por: La propiedad intelectual sobre las Investigaciones, trabajos científicos o técnicos, proyectos profesionales y consultaría que se realicen en la Universidad o por cuenta de ella;

Monar Balseca María Luisa C.I. 1804591103

(5)

DEDICATORIA

El presente trabajo investigativo lo dedico principalmente a Dios, por ser el inspirador y darme fuerza para continuar en este proceso de obtener uno de los sueños más anhelados.

A mi Mamá Isabel por su amor, trabajo y sacrificio en todos estos años, Mamá gracias por darme una carrera para mi futuro, todo esto te lo debo a ti. ¡Te amo mamita!

A mis hijos Isabela y Liam, quienes son mi motor y mi mayor inspiración.

A Vanessa quien siempre me motivó a seguir adelante y a quien prometí que terminaría mis estudios. ¡Promesa cumplida!

A mi Mami Carmen, mis tías, primas y demás familiares, por quererme, apoyarme y siempre creer en mí esto también se los debo a ustedes.

(6)

AGRADECIMIENTO

A Dios por concederme la vida y guiarme y así poder cumplir mi sueño.

A mi madre Isabel quien siempre me apoyo incondicionalmente.

A mí querida Tutora Ingeniera María Pico, quien me supo guiar desinteresadamente, compartiéndome sus conocimientos, siendo más que una docente una amiga que me brindo sabios consejos.

A mis queridos Ingenieros de la Universidad Regional Autónoma de los Andes, quienes día a día me impartieron sus conocimientos a lo largo de la carrera.

A todas las personas que me han apoyado y han hecho que el trabajo se realice con éxito en especial a aquellos que me abrieron las puertas y me compartieron sus conocimientos.

(7)

ÍNDICE GENERAL

APROBACIÓN DE LA TUTORA DEL TRABAJO DE TITULACIÓN DECLARACION DE AUTENTICIDAD

DERECHOS DE AUTORA DEDICATORIA

AGRADECIMIENTO RESUMEN

ABSTRACT

INTRODUCCION ... 1

Actualidad e Importancia ... 1

Problema de la Investigación ... 3

Situación Problémica ... 3

Identificación de la línea de Investigación………4

Formulación del problema ... 4

Objetivos de la Investigación ... 4

Objetivo General ... 4

Objetivo Específicos ... 4

Capítulo I. Fundamentación Teórica ... 5

1.1. Antecedentes de la Investigación ... 5

1.2. Actualidad del objetivo de estudio de la investigación ... 6

1.2.1. Auditoria Informática ... 6

1.2.1.1. Definición ... 6

1.2.1.2. Tipos ... 7

1.2.1.3. Clasificación ... 7

1.2.1.3.1. Auditoría externa ... 7

1.2.1.3.2. Auditoría interna ... 8

1.2.1.4. Objetivos ... 8

1.2.1.5. Exploración ... 10

1.2.1.6. Planeamiento ... 10

1.2.1.7. Supervisión ... 11

1.2.1.8. Ejecución ... 11

1.2.1.9. Informe ... 11

(8)

1.2.2.1. ISACA ... 12

1.2.2.2. ITIL ... 13

1.2.2.3. ISO ... 14

1.2.2.4. COBIT ... 14

1.2.2.4.1. Beneficios Cobit ... 15

1.2.2.4.2. Características ... 15

1.2.2.4.3. Principios ... 15

1.2.3. Áreas para auditar en informática ... 16

1.2.3.1. Tipos ... 16

1.2.3.2. Herramientas ... 17

1.2.4. Síntomas de necesidad de una Auditoría Informática ... 18

1.2.4.1. Síntomas de descoordinación y desorganización ... 18

1.2.4.2. Síntomas de mala imagen e insatisfacción de los usuarios ... 18

1.2.4.3. Síntomas de debilidades económico-financieras ... 18

1.2.4.4. Síntomas de Inseguridad ... 19

1.2.5. Auditoria Informática de Sistemas ... 19

1.2.5.1. Sistema Operativo ... 19

1.2.5.2. Software Básico ... 20

1.2.6. Gestión ... 20

1.2.6.2. Definición ... 20

1.2.6.3. Mecanismos de Control ... 21

1.2.6.4. Revisión de Controles de la Gestión Informática ... 21

1.2.7. Cooperativas ... 22

1.2.7.1. Definición ... 22

1.2.7.2. Características ... 22

1.2.7.3. Tipos de Cooperativas ... 23

1.2.8. Actualidad del sector donde desarrolla el proyecto ... 23

2.1. Paradigma y tipo de investigación ... 24

2.1.1. Paradigma de investigación ... 24

2.1.2. Tipos de investigación ... 24

2.2. Procedimiento para la búsqueda y procesamiento de los datos ... 25

2.2.1. Población y muestra ... 25

2.2.2. Plan de recolección de la información ... 26

2.2.2.1. Métodos de la investigación ... 26

(9)

2.2.2.3. Plan de procesamiento y análisis de la información ... 27

2.3. Resultados de Diagnóstico de la situación Actual ... 28

2.3.1. Análisis e interpretación de los resultados ... 28

2.3.2 Resumen de las principales insuficiencias detectadas ... 37

3.1. Nombre de la propuesta ... 39

3.2. Objetivos ... 39

3.2.1. Objetivo General ... 39

3.2.2. Objetivos Específicos ... 39

3.3. Desarrollo de la Propuesta ... 39

3.3.1. Descripción de la propuesta ... 39

3.3.2. Alcance de la Auditoria ... 41

3.3.3. Estudio inicial en el cual se realiza la auditoría ... 42

3.3.3.1. Estructura organizacional ... 42

3.3.3.2. Número de puestos de trabajo ... 43

3.3.3.3. Seguridad de los departamentos de la Cooperativa ... 43

3.3.4. Establecer los recursos necesarios para la auditoría ... 44

3.3.4.1. Resultados de la encuesta ... 44

3.3.4.2. Resultados de la entrevista ... 52

3.3.4.3. Resultados de la Observación ... 53

3.4. Elaboración del plan de Auditoria ... 59

3.4.1. Análisis de procesos realizados en la Cooperativa “Rey David” ... 59

3.4.2. Diagramas de procesos de la Cooperativa “Rey David” ... 60

3.4.3. Elaboración del FODA y de la Cooperativa “Rey David” ... 64

3.4.4. Elaboración del plan de trabajo para la auditoría ... 65

3.4.5. Selección de los procesos COBIT a auditar con relación a la Cooperativa “Rey David” ... 65

3.4.6. Formulario de Entidad ... 66

3.4.7. Modelo de Madurez ... 68

3.4.8. Evaluación de riesgos de la tecnología de la información ... 69

3.4.8.1. Selección de los involucrados ... 69

3.4.8.2. Selección de los procesos COBIT prioritarios y de riesgo para la Cooperativa Rey David ... 70

3.4.8.3. Resultados de encuestas de selección de procesos COBIT a auditar ... 71

3.4.9. Resultado final del impacto sobre los criterios de la información COBIT ... 84

3.4.10 Presentación grafica del impacto de los Criterios de Información ... 86

(10)

(11)

ÍNDICE DE TABLAS

Tabla 1 Tipos de Auditoria ... 7

Tabla 2 Población ... 25

Tabla 3: Pregunta 1 ... 29

Tabla 10: Análisis e interpretación de la Entrevista ... 36

Tabla 11: Puestos de Trabajo ... 43

Tabla 19: Resultados de la Entrevista al Gerente de la Cooperativa “Rey David” ... 52

Tabla 20: Resultados de la observación en la Cooperativa “Rey David” ... 53

Tabla 21: Posibilidad procesos ... 59

Tabla 22: Análisis de procesos ... 60

Tabla 23: Análisis interno ... 64

Tabla 24: Análisis externo ... 64

Tabla 25: Nivel de madurez ... 68

Tabla 26: Dominio: Evaluar, Dirigir y Monitorear ... 71

Tabla 27: Dominio: Alinear, Planear y Organizar ... 72

Tabla 28: Dominio: Monitorear, Evaluar y Valorar ... 73

Tabla 29: Dominio: Construir, Adquirir e Implementar ... 73

Tabla 30: Dominio: Entregar, Servir y Dar Soporte ... 74

(12)

(13)

ÍNDICE DE ILUSTRACIONES

Ilustración 1Plan de procesamiento y análisis de la información ... 28

Ilustración 2: Pregunta 1 ... 29

Ilustración 9: Estructura organizacional ... 42

Ilustración 17: Depósitos ... 61

Ilustración 18: Retiros ... 61

Ilustración 19: Créditos ... 62

Ilustración 20: Pagos ... 62

Ilustración 21: Registro de asistencia ... 63

Ilustración 22: Ciclo contable ... 63

Ilustración 23: Formulario de entidad que se usa en la Cooperativa “Rey David" ... 67

(14)

RESUMEN

(15)

ABSTRACT

(16)

1

INTRODUCCIÓN

Actualidad e Importancia

El presente proyecto de investigación responde a los objetivos 1, 2 y 5 del Plan Toda una Vida 2017 – 2021, puesto que los mismos tienen directa relación con la educación de calidad y la utilización de Tecnologías de la Información y Comunicación con la finalidad de contribuir con el desarrollo del país. El objetivo 1 del PNBV 2017 – 2021 menciona en una de las partes de su fundamento que para que exista una calidad educativa se debe “pensar en el aprendizaje en sentido amplio y crítico, no en la simple transmisión de conocimientos, sino en el desarrollo de capacidades para preguntar y generar conocimiento, en el impulso a destrezas y talentos, en la realización de las personas y su felicidad.” ( Secretaría Nacional de Planificación y Desarrollo, 2017).

Así también en una parte del fundamento del objetivo 2 del PNBV 2017-2021 manifiesta “En una sociedad del conocimiento, el lenguaje tiene relación con las nuevas tecnologías de la información y la comunicación (lenguajes audiovisuales, informáticos, entre otros); es decir, el conocimiento articulado a la vida y el multilingüismo como factor para el desarrollo de capacidades prácticas para actuar en el mundo.”, y una de las metas del objetivo 5 del PNVB 2017 – 2021 es “Incrementar de 4,6 a 5,6 el Índice de Desarrollo de Tecnologías de la Información y Comunicación a 2021.” ( Secretaría Nacional de Planificación y Desarrollo, 2017).

Considerando todo lo antes mencionado, se puede decir que mediante la elaboración del presente trabajo de investigación, se contribuye con el cumplimiento tanto de metas como objetivos del PNBV 2017-2021, ya que aplicando lo aprendido durante el transcurso de la vida universitaria haciendo uso de destrezas y habilidades investigativas, no solo se incurre en el ámbito universitario, sino también es una ante sala para relacionarse con el campo laboral y a la vez se automatiza procesos para un adecuado manejo de la información.

(17)

2

Agenda Local del Gobierno Provincial de la Prefectura de Tungurahua ya que en uno de sus objetivos sectoriales manifiesta que hay que potenciar al Cantón Ambato como polo de desarrollo industrial y agroindustrial, bajo los criterios de competitividad, desarrollo de tecnología de punta, cultura societaria y bursátil, mano de obra tecnificada y vinculación con los centros de investigación de las universidades del cantón y del país

De acuerdo con el plan Nacional del Buen vivir

Se espera un incremento importante de la oferta en educación superior y un mayor acceso a la misma; la intención, es vincular de manera clara la oferta de carreras de tercer y cuarto nivel con la demanda laboral, tanto aquella presente como la que se proyecta a futuro. El sistema educativo será de calidad, algo que se verá reflejado en los resultados de evaluaciones nacionales e internacionales para estudiantes y maestros. ( Secretaría Nacional de Planificación y Desarrollo, 2017)

Siguiendo este lineamiento el presente proyecto busca mejorar el apartado tecnológico del área administrativa de la carrera de Sistemas en la Universidad Regional Autónoma de los Andes que se dedica a la educación de tercer y cuarto nivel en una de las etapas más importantes de la formación de los estudiantes, las prácticas pre profesionales que son la forma en la que los mismos tienen su primer contacto con el ambiente laboral. Ecuador en los últimos años ha comenzado un cambio en su matriz productiva mediante la incorporación de tecnología y conocimiento en los actuales procesos productivos, administrativos y de servicios, de acuerdo con estos cambios este proyecto cumple con todos los valores necesarios en este ámbito ya que no solo busca incorporar la tecnología en la gestión de las practicas pre profesionales sino que a su vez hace uso del conocimiento del estudiante para ayudar en un proceso del área administrativa.

(18)

3

Problema de la Investigación

Situación Problémica

El Consejo Mundial de Cooperativas de Ahorro y Crédito (WOCCU) ha publicado su Informe Estadístico más reciente, el que ofrece datos financieros y sobre la membresía de las cooperativas de ahorro y crédito y las cooperativas financieras a escala mundial. El informe de este año incluye información de 56,904 cooperativas de ahorro y crédito que prestan servicios a casi 208 millones de asociados en 103 países.

El Consejo Mundial de Cooperativas de Ahorro y Crédito es la asociación gremial y agencia de desarrollo para el sistema internacional de cooperativas de ahorro y crédito. El Consejo Mundial promueve el crecimiento sustentable de las cooperativas de ahorro y crédito y otras cooperativas financieras en todo el mundo a fin de facultar a las personas para que mejoren su calidad de vida a través del acceso a servicios financieros asequibles y de alta calidad. El Consejo Mundial realiza esfuerzos de defensa activa en representación del sistema global de las cooperativas de ahorro y crédito ante organizaciones internacionales y trabaja con gobiernos nacionales para mejorar la legislación y la regulación. (WOCCU, 2014)

Entre los años 1999– 2000 un grupo de personas de la Parroquia Santa Rosa Comunidad de Apatug Alto, por la exclusión social y económica que sufrían como emigrantes en la ciudad de Ambato, proponen crear una Caja de Ahorro y Crédito denominado “Fondo Rotativo”, con el afán de ayudarse mutuamente y trabajar en forma conjunta con el objetivo de mejorar sus condiciones de vida. (CoacReyDavid, 2019)

(19)

4

A partir de este año y debido a la migración de casi un 80% de la población de Santa Rosa hacia las principales ciudades del país, los directivos de esta cooperativa proponen reformar su estatuto y razón social a Cooperativa de Ahorro y Crédito, mejorar su estructura administrativa y operativa e inician su ampliación de cobertura proponiendo instalar agencias y sucursales en principales ciudades de mayor concentración migratoria de la población indígena del Ecuador. (CoacReyDavid, 2019)

Formulación del problema

¿Cómo mejorar los mecanismos de control del área de sistemas de la Cooperativa “Rey David”?

Identificación de la línea de Investigación

La línea de investigación es Tecnologías de Información y Comunicaciones.

Objetivos de la Investigación

Objetivo General

Desarrollar una Auditoria de los Recursos Informáticos mediante la aplicación de estándares para mejorar los mecanismos de control en el área de sistemas de la Cooperativa “Rey David”

Objetivo Específicos

• Determinar los referentes teóricos sobre Auditoria Informática, recursos informáticos, estándares y cooperativas.

• Establecer los nodos críticos existentes en el área de sistemas de la Cooperativa “Rey David”

(20)

5

Capítulo I. Fundamentación Teórica

1.1. Antecedentes de la Investigación

En la investigación realizada por ( Loor Párraga & Espinoza Castillo, 2014) se plantea “Aplicar una auditoría de seguridad física y lógica a los recursos de tecnologías de información en la Carrera Informática, de la Escuela Superior Politécnica Agropecuaria de Manabí Manuel Félix López de la ciudad de Calceta, evaluando la integridad de los mismos” se concluye que el estudio y diagnóstico de la situación actual, permitió conocer las necesidades existentes para las distintas áreas de la carrera, en la que se registra inexistencia de manuales, políticas y procesos a cumplir.

En la investigación realizada por (Yangua Jumbo , 2014) se plantea “Determinar de qué manera la ineficiente Auditoría Informática influye en los riesgos para el manejo de la información en la Cooperativa de Ahorro y Crédito Educadores de Tungurahua” se concluye que en la mayoría de los Departamentos investigados de la empresa no existe ningún tipo de Seguridad física para los visitantes a los Departamentos, causando una desconfianza de que la información está bien protegida.

(21)

6

1.2. Actualidad del objetivo de estudio de la investigación

1.2.1. Auditoria Informática

1.2.1.1. Definición

Los campos de aplicación de la auditoría han evolucionado mucho, desde su uso en los aspectos netamente contables, hasta su uso en áreas y disciplinas de carácter especial, como la ingeniería, la medicina y los sistemas computacionales. Evidentemente, junto con ese progreso, también se ha registrado el desarrollo de las técnicas, métodos, procedimientos y herramientas de cada uno de estos tipos de auditorías, así como un enfoque cada vez más característico y especializado hacia el uso de técnicas más apegadas al área que se va a evaluar. Debido a esos constantes cambios, a continuación citaremos el concepto más amplio de la auditoría, para de ahí analizarlo de acuerdo con lo aportado por la Real Academia Española y después, con esa conceptualización, trasladarlo a una propuesta de clasificación de los tipos de auditoría. (Muñoz Razo , 2002)

La auditoría, se puede concebir como una parte del control interno, la cual la ejecutan profesionales acreditados por el auditor interno en el sector público, a fin de emitir una opinión y agregar valor a la consecución de los objetivos institucionales; ese profesionalismo no se produce de la noche a la mañana, más bien se desarrolla a partir de compromiso y dedicación, crecimiento y ética; el proceso se desarrolla de forma sistemática, independiente, objetiva, evalúa una entidad que actúe como sujeto pasivo, gestión, proyectos, entre otros. (Mora Quiró, 2017 )

La Auditoria Informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los dalos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. De este modo la auditoría informática sustenta y confirma la consecución de los objetivos tradicionales de la auditoría:

(22)

7

• Objetivos de gestión que abarcan, no solamente los de protección de activos, sino también los de eficacia y eficiencia. (Piattini Velthuis , 2001)

1.2.1.2. Tipos

Los tipos de Auditoría se basan según: La clasificación que se propone está integrada por: Auditoría por lugar, Área, Especialización, Ambiental, y Especializadas en Sistemas Computacionales.

Tabla 1 Tipos de Auditoria

Clase Contenido Objeto Finalidad

Financiera Opinión Cuentas anuales Presentan realidad

Informática Opinión Sistemas de aplicación, recursos informáticos, planes de contingencia, etc.

Operatividad

eficiente y según normas establecidas

Gestión Opinión Dirección Eficacia, eficiencia,

economicidad.

Cumplimiento Opinión Normas establecidas Las operaciones se

adecuan a estas normas

Fuente(Piattini Velthuis , 2001)

Elaborado por: Monar Balseca María Luisa

1.2.1.3. Clasificación

1.2.1.3.1. Auditoría externa

La auditoría externa es aquella que se realiza con personal totalmente ajeno a la empresa auditada, con libertad absoluta de actuación y libre de cualquier injerencia por parte de la institución donde se practica. (Muñoz Razo , 2002)

(23)

8

propia de consultores, y que incluso llevaremos a cabo implantaciones, redactaremos normas, o que al menos en los informes especificaremos las soluciones: nombre de la herramienta que refuerza la seguridad en mi entorno, por ejemplo, cuando a menudo esto requiere un estudio que se sale de los limites e incluso de la independencia propios de la auditoría. Por ello, es importante que se delimiten las responsabilidades y los productos a entregar que son objeto de una auditoria externa en el contrato o propuesta. (Piattini Velthuis , 2001)

1.2.1.3.2. Auditoría interna

En la realización de estos tipos de evaluación, el auditor que lleva a cabo la auditoría labora en la empresa donde se realiza la misma y, por lo tanto, de alguna manera está involucrado en su operación normal; debido a esto, el auditor puede tener algún tipo de dependencia con las autoridades de la institución, lo cual puede llegar a influir en el juicio que emita sobre la evaluación de las áreas de la empresa. La definición que se sugiere es: Es la revisión que realiza un profesional de la auditoría, cuya relación de trabajo es directa y subordinada a la institución donde se aplicará la misma, con el propósito de evaluar en forma interna el desempeño y cumplimiento de las actividades, operaciones y funciones que se desarrollan en la empresa y sus áreas administrativas, así como evaluar la razonabilidad en la emisión de sus resultados financieros. El objetivo final es contar con un dictamen interno sobre las actividades de toda la empresa, que permita diagnosticar la actuación administrativa, operacional y funcional de empleados y funcionarios de las áreas que se auditan. (Muñoz Razo , 2002)

1.2.1.4. Objetivos

La definición de los objetivos de la auditoría informática es un tema difícil y complejo. No existe un total acuerdo en la definición de tales objetivos y en consecuencia, en el establecimiento de las funciones que debe desarrollar un auditor informático.

(24)

9

Para el campo de actuación del auditor, sería preciso reflexionar sobre los siguientes aspectos:

• Organización en la que se desenvolverá el auditor. • Estructura.

• Tipo de actividad de la empresa.

• Departamento de informática objeto de la auditoría. • Grado de sofisticación.

• Tamaño.

• Recursos del departamento

• Relaciones con la auditoría financiera.

• las propias limitaciones técnicas del auditor. (Huesca Aguilar, 2013)

De un modo general los objetivos de la auditoría informática podrían ser:

• Elaborar un informe sobre los aspectos que afecten al alcance de una auditoría y señalar riesgos de errores o fraudes de un sistema informático. • Evaluar la fiabilidad de los sistemas informáticos, en cuanto a la exactitud de

los datos a las informaciones tratadas.

• Verificar el cumplimiento de la normativa general de la empresa. • Comprobar la eficacia de los sistemas implantados.

• Comprobar si se ha estudiado el coste / beneficio. • Garantizar la seguridad física y lógica.

• Evaluar la dependencia de una organización respecto a sus sistemas informáticos, revisando las medidas tomadas en el caso de que se produzca un fallo y que permitan asegurar la continuidad de las actividades normales. • Emisión de informes con la evaluación independiente de los sistemas

informáticos. Sintetizando riesgos, deficiencias, sugerencias y recomendaciones.

(25)

10

1.2.1.5. Exploración

La exploración es la etapa en la cual se realiza el estudio o examen previo al inicio de la Auditoria con el propósito de conocer en detalle las características de la entidad a auditar para tener los elementos necesarios que permitan un adecuado planeamiento del trabajo a realizar y dirigirlo hacia las cuestiones que resulten de mayor interés de acuerdo con los objetivos previstos. (Manso, 2008 ).

Los resultados de la exploración permiten, además, hacer la selección y las adecuaciones a la metodología y programas a utilizar; así como determinar la importancia de las materias que se habrán de examinar. (Manso, 2008 ).

También posibilita valorar el grado de fiabilidad del control interno (contable y administrativo) así como que en la etapa de planeamiento se elabore un plan de trabajo más eficiente y racional para cada auditor, lo que asegura que la Auditoría habrá de realizarse con la debida calidad, economía, eficiencia y eficacia; propiciando, en buena medida, el éxito de su ejecución. (Manso, 2008 )

1.2.1.6. Planeamiento

El trabajo fundamental en esta etapa es el definir la estrategia que se debe seguir en la Auditoría a acometer. (Manso, 2008 )

Lo anterior conlleva planear los temas que se deben ejecutar, de manera que aseguren la realización de una Auditoría de alta calidad y que se logre con la economía, eficiencia, eficacia y prontitud debidas. (Manso, 2008 )

(26)

11

1.2.1.7. Supervisión

El propósito esencial de la supervisión es asegurar el cumplimiento de los objetivos de la Auditoría y la calidad razonable del trabajo. Una supervisión y un control adecuados de la Auditoría son necesarios en todos los casos y en todas las etapas del trabajo, desde la exploración hasta la emisión del informe y su análisis con los factores de la entidad auditada. (Manso, 2008 )

Asimismo, debe garantizar el cumplimiento de las Normas de Auditoría y que el informe final refleje correctamente los resultados de las comprobaciones, verificaciones e investigaciones realizadas. (Manso, 2008 )

1.2.1.8. Ejecución

El propósito fundamental de esta etapa es recopilar las pruebas que sustenten las opiniones del auditor en cuanto al trabajo realizado, es la fase, por decir de alguna manera, del trabajo de campo, esta depende grandemente del grado de profundidad con que se hayan realizado las dos etapas anteriores, en esta se elaboran los Papeles de Trabajo y las hojas de nota, instrumentos que respaldan excepcionalmente la opinión del auditor actuante. (Manso, 2008 )

1.2.1.9. Informe

En esta etapa el Auditor se dedica a formalizar en un documento los resultados a los cuales llegaron los auditores en la Auditoría ejecutada y demás verificaciones vinculadas con el trabajo realizado. (Manso, 2008 )

Comunicar los resultados al máximo nivel de dirección de la entidad auditada y otras instancias administrativas, así como a las autoridades que correspondan, cuando esto proceda. (Manso, 2008 )

(27)

12

La elaboración del informe final de Auditoría es una de las fases más importante y compleja de la Auditoría, por lo que requiere de extremo cuidado en su confección. (Manso, 2008 )

El informe de Auditoría debe tener un formato uniforme y estar dividido por secciones para facilitar al lector una rápida ubicación del contenido de cada una de ellas. (Manso, 2008 )

El informe de Auditoría debe cumplir con los principios siguientes:

• Que se emita por el jefe de grupo de los auditores actuantes.

• Por escrito.

• Oportuno.

• Que sea completo, exacto, objetivo y convincente, así como claro, conciso y fácil de entender.

• Que todo lo que se consigna esté reflejado en los papeles de trabajo y que responden a hallazgos relevantes con evidencias suficientes y competentes.

• Que refleje una actitud independiente.

• Que muestre la calificación según la evaluación de los resultados de la Auditoría.

• Distribución rápida y adecuada. (Manso, 2008 )

1.2.2. Estándares

1.2.2.1. ISACA

(28)

13

investigación de gran escala para expandir los conocimientos y el valor en el campo de gobierno y control de TI. Conocida previamente como la Information Systems Audit and Control Association (Asociación de Auditoría y Control en Sistemas de Información), ISACA ahora es solo un acrónimo, que refleja la amplia gama de profesionales en gobierno de TI a los que sirve. (Porras Rodriguez, 2013)

1.2.2.2. ITIL

ITIL es un ITIL es un conjunto de prácticas y procesos, destinadas a facilitar la entrega de servicios de tecnologías de la información. No es una metodología, sino un conjunto de mejores prácticas. (Mazza, 2014)

El beneficio principal de ITIL es que permite lograr una correcta alineación de los objetivos de TI con los objetivos estratégicos del negocio. Convirtiendo los objetivos del negocio en parte del portafolio de servicios de IT. (Mazza, 2014)

La implementación de ITIL normalmente mejora la comunicación entre TI y las organizaciones a través de un lenguaje común. (Mazza, 2014)

ITIL mejora la calidad de los servicios provistos, ofrece una visión clara y más confianza de los servicios ofrecidos de TI, aumenta la flexibilidad para las organizaciones a través de un entendimiento con las TI. (Mazza, 2014)

La implementación de ITIL puede ser un proceso complejo y engorroso, por lo cual deben fijarse objetivos realistas y graduales. (Mazza, 2014)

(29)

14

1.2.2.3. ISO

Las normas ISO son documentos que especifican requerimientos que pueden ser empleados en organizaciones para garantizar que los productos y/o servicios ofrecidos por dichas organizaciones cumplen con su objetivo. Hasta el momento ISO (International Organization for Standardization), ha publicado alrededor de 19.500 normas internacionales que se pueden obtener desde la página oficial de ISO

1.2.2.4. COBIT

COBIT (Control Objectives for Information and related Technology, Objetivos de control para la información y tecnologías relacionadas) es una metodología publicada en 1996 por el Instituto de Control de TI y la ISACA (Asociación de Auditoría y Control de Sistemas de Información) que se usa para evaluar el departamento de informática de una compañía. En Francia está representada por la AFAI (Asociación Francesa de Auditoría y Consejo de TI). (Villagómez, 2017)

Este enfoque se basa en un índice de referencia de procesos, indicadores de objetivos clave (KGl) e indicadores de rendimiento clave (KPI) que se usan para controlar los procesos para recoger datos que la compañía puede usar para alcanzar sus objetivos. El enfoque COBIT propone 34 procesos organizados en 4 áreas funcionales más grandes que abarcan 318 objetivos: entrega y asistencia técnica; control; planeamiento y organización; aprendizaje e implementación. (Villagómez, 2017)

(30)

15

recursos de TI para proporcionar información al negocio de acuerdo con los requerimientos del negocio y de gobierno. (Minguillón Roy, 2010)

1.2.2.4.1. Beneficios Cobit

• Mejor alineación basada en una focalización sobre el negocio. • Visión comprensible de TI para su administración.

• Clara definición de propiedad y responsabilidades. • Aceptabilidad general con terceros y entes reguladores.

• Entendimiento compartido entre todos los interesados basados en un lenguaje común.

• Cumplimiento global de los requerimientos de TI planteados en el Marco de Control Interno de Negocio COSO. (Baquero & Guamán, 2013)

1.2.2.4.2. Características

• Orientado al negocio.

• Alineado con estándares y regulaciones "de facto".

• Basado en una revisión crítica y analítica de las tareas y actividades en TI. • Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA,

AICPA). (Baquero & Guamán, 2013)

1.2.2.4.3. Principios

• Satisfacer las necesidades de las Partes Interesadas. • Cubrir la Compañía de Forma Integral.

• Aplicar un solo Marco Integrado. • Habilitar un Enfoque Holístico.

(31)

16

1.2.3. Áreas para auditar en informática

1.2.3.1. Tipos

Hardware

• Plataforma de hardware • Tarjeta madre

• Procesadores

• Dispositivos periféricos

• Arquitectura del sistema Instalaciones eléctricas, de datos y de telecomunicaciones Innovaciones tecnológicas de hardware y periféricos. (Muñoz Razo , 2002)

Software

• Plataforma del software • Sistema operativo

• Lenguajes y programas de desarrollo

• Programas, paqueterías de aplicación y bases de datos • Utilerías, bibliotecas y aplicaciones

• Software de telecomunicación Juegos y otros tipos de software. (Muñoz Razo , 2002)

Gestión informática

• Actividad administrativa del área de sistemas • Operación del sistema de cómputo

• Planeación y control de actividades

• Presupuestos y gastos de los recursos informáticos • Gestión de la actividad informática

• Capacitación y desarrollo del personal informático

(32)

17 Redes de cómputo

• Plataformas y configuración de las redes • Protocolos de comunicaciones

• Sistemas operativos y software

• Administración de las redes de cómputo • Administración de la seguridad de las redes

• Administración de las bases de datos de las redes (Muñoz Razo , 2002)

1.2.3.2. Herramientas

Estas técnicas, métodos y procedimientos de auditoría se ubicaran en tres grandes grupos, considerando a las herramientas tradicionales y otras herramientas específicas aplicables a los sistemas computacionales en tres grupos: (Muñoz Razo , 2002)

Instrumentos de recopilación de datos aplicables en la auditoría de sistemas • Entrevistas

• Cuestionario • Encuestas • Observación • Inventarios • Muestreo

• Experimentación (Muñoz Razo , 2002)

Técnicas de evaluación aplicables en la auditoría de sistemas • Examen

• Inspección • Confirmación • Comparación

• Revisión documental (Muñoz Razo , 2002)

Técnicas especiales para la auditoría de sistemas computacionales • Guías de evaluación

(33)

18 • Evaluación

• Diagrama del círculo de sistemas • Diagramas de sistemas

• Matriz de evaluación • Programas de verificación

• Seguimiento de programación (Muñoz Razo , 2002)

1.2.4. Síntomas de necesidad de una Auditoría Informática

1.2.4.1. Síntomas de descoordinación y desorganización

No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía. Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente. (Huesca Aguilar, 2013)

1.2.4.2. Síntomas de mala imagen e insatisfacción de los usuarios

No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, variación de los ficheros que deben ponerse diariamente a su disposición. (Huesca Aguilar, 2013)

No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente. (Huesca Aguilar, 2013)

No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de aplicaciones críticas y sensibles. (Huesca Aguilar, 2013)

1.2.4.3. Síntomas de debilidades económico-financieras

• Incremento desmesurado de costos.

(34)

19 • Desviaciones Presupuestarias significativas.

• Costos y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición). (Huesca Aguilar, 2013)

1.2.4.4. Síntomas de Inseguridad

• Seguridad lógica. • Seguridad física.

• Confidencialidad. Los datos son propiedad de la organización que los genera. Los datos personales son confidenciales

• Continuidad del servicio. Establecer mecanismos de contingencia para continuar ofreciendo el servicio aun cuando ocurran fallas

• Centros de procesos de datos fuera de control, prevenir antes de que suceda, después de que sucede determinada situación sería inútil la auditoria. (Nguyen, 2010)

1.2.5. Auditoria Informática de Sistemas

1.2.5.1. Sistema Operativo

(35)

20

1.2.5.2. Software Básico

El software libre es aquel que le permite al usuario el usar el programa, con cualquier propósito; el estudiar el funcionamiento; el adaptarlo a sus necesidades; y el distribuir copias. Libre no necesariamente significa gratuito. (Mazza, 2014)

Dado que el código fuente de software libre está disponible, uno de sus principales beneficios es la no dependencia del proveedor, situación que para ciertos casos, un organismo de defensa por ejemplo, puede ser crítica. (Mazza, 2014)

El software libre se puede desarrollar mediante el esfuerzo colectivo, aunque no necesariamente coordinado, de programadores alrededor del globo, utilizando los medios que Internet ofrece: sitios como sourceforge, listas de correos, Wikis, Correos, Foros, etc.

El software libre estimula a la innovación, ya que ofrece un producto potencialmente flexible, de menor costo, al menos en cuanto licenciamiento se refiere, e independiente de lo que el proveedor decida hacer con el mismo. (Mazza, 2014)

Entre los efectos no deseados, asociados el software libre, se encuentra la posible falta de un soporte estructurado, y/o la dependencia del personal particularmente si se han realizado modificaciones al producto original. (Mazza, 2014)

Son ejemplos de Software libre, el sistema operativo LINUX; la plataforma de eLearning Claroline; el navegador Firefox; el servidor web Apache; etc. (Mazza, 2014)

1.2.6. Gestión

1.2.6.2. Definición

(36)

21

conocimiento y del cambio, la organización del área y la motivación del equipo de trabajo, la decisión de hacer o comprar, la selección de proveedores y aplicaciones, etc. (Mazza, 2014)

Marcos de referencia, estándares, y técnicas soportan las actividades descriptas: COBIT, ITIL, TOGAF, etc. en un contexto donde la infraestructura propietaria se complementa con distintas formas de Clould Computing o Computación en la Nube. (Mazza, 2014)

1.2.6.3. Mecanismos de Control

El Control Interno Informático puede definirse como el sistema integrado al proceso administrativo, en la planeación, organización, dirección y control de las operaciones con el objeto de asegurar la protección de todos los recursos informáticos y mejorar los índices de economía, eficiencia y efectividad de los procesos operativos automatizados. (Pinilla Forero, 1997)

El Control Interno como cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos. (Piattini Velthuis , 2001)

1.2.6.4. Revisión de Controles de la Gestión Informática

La gestión de Recursos Informáticos utiliza tanto técnicas comunes a la gestión de otros recursos, como propias dada las características de estos. En el módulo "Gestión de los Recursos Informáticos" se hace mención específica a conceptos e instrumentos para la misma, mientras que en los módulos que lo preceden se describen sistemas, arquitecturas e ideas necesarias para poder comprender los principales recursos informáticos y su potencial. (Mazza, 2014)

(37)

22 • Sistemas Transaccionales

• Sistemas Analíticos

• Arquitecturas de los Sistemas de Información • Internet y Negocios Electrónicos

• Estrategia y Recursos Informáticos • Gestión de los Recursos Informáticos • Nuevas Tecnologías (Mazza, 2014)

1.2.7. Cooperativas

1.2.7.1. Definición

Una 'cooperativa' se puede definir como una asociación gestionada por los socios, con el fin de generar productos y servicios, en la cual los socios participantes, agricultores particulares u hogares, comparten los riesgos y las ganancias de una explotación económica de fundación y en propiedad conjuntas. (Koopmans, 2006)

Normalmente, una cooperativa se establece por parte de agricultores en reacción a unas condiciones de mercado desfavorables, las cuales forman un problema común. Podría tratarse de un problema relacionado con la comercialización de los productos, dando como resultado precios bajos a nivel de la explotación agrícola; el suministro de insumos agrícolas de buena calidad y de precio razonable, tales como semillas y fertilizantes; o la concesión de suficiente crédito económico. Fundando una empresa cooperativa, los agricultores esperan remediar dicho problema, aumentar sus ingresos generados por la explotación agrícola, y fortalecer la posición económica de la misma. (Koopmans, 2006)

1.2.7.2. Características

(38)

23

• Pueden ser socios todos los que se dediquen a la actividad específica de la cooperativa y lo deseen.

• Objetivos dependientes de las necesidades de los socios. • El elemento fundamental es la persona humana.

• Capital variable.

• La condición de socio es intransferible, aunque se transfieran las participaciones. (Orozco Vílchez, 1986)

1.2.7.3. Tipos de Cooperativas

• Cooperativas especializadas • Cooperativas integrales • Cooperativas multiactivas

• Cooperativas de usuarios o de servicios a los asociados • Cooperativas con actividad financiera

• Cooperativas sin actividad financiera (Cruz Martínez , 2011)

1.2.8. Actualidad del sector donde desarrolla el proyecto

Desde su constitución hasta el año 2003, la Cooperativa desarrolló actividades encaminadas al desarrollo comunal de la Parroquia Santa Rosa; con esta intervención la cooperativa pudo ejecutar varios proyectos de desarrollo social entre los principales: Proyecto de Ganadería, Producción Textil, Producción de Especies Menores, Asesoría a distintas Cajas Comunales de Ahorro y Crédito. Este esfuerzo tuvo resultados positivos desde el punto de vista de desarrollo integral; sin embargo, el no especializarse en una sola área fue su debilidad. (CoacReyDavid, 2019)

(39)

24

Capítulo II. Diseño Metodológico y diagnóstico

2.1. Paradigma y tipo de investigación

2.1.1. Paradigma de investigación

La investigación Cuantitativa requiere que entre los elementos del problema de investigación exista una relación cuya naturaleza sea lineal. Es decir, que haya claridad entre los elementos del problema de investigación que conforman el problema, que sea posible definirlo, limitarlos y saber exactamente donde se inicia el problema, en cual dirección va y qué tipo de incidencia existe entre sus elementos. Esta investigación apoyo en la fase final del proyecto. En ese momento obtuve datos para analizar y los resultados salieron exactos.

La investigación Cualitativa está relacionada con los métodos inductivos, evita la cuantificación cualitativa que la cuantitativa está relacionada con los métodos deductivos. La investigación cualitativa en general se basa en la observación de ciertos individuos en su entorno natural, sin una intervención invasiva en términos generales. Por otro lado se investiga así mismo el entorno invasivo para entender el proceso. (Parra Ramiréz, 2006) . La investigación Cualitativa contribuyo en la recolección de información basada en la observación de comportamientos naturales, discursos, respuestas abiertas para la posterior interpretación de significados.

2.1.2. Tipos de investigación

Investigación de campo

(40)

25

Investigación bibliográfica

La investigación bibliográfica consiste en la revisión de material bibliográfico existente con respecto al tema a estudiar. Se trata de uno de los principales pasos para cualquier investigación e incluye la selección de fuentes de información, mediante esta investigación se realizó el marco teórico conceptual. En tal virtud la investigación bibliográfica ayudó con la parte teórica que requiero para la investigación y de esta investigación obtuve los temas propuestos para la elaboración del proyecto de grado.

Investigación Aplicada

La investigación aplicada recibe el nombre de “investigación práctica o empírica”, que se caracteriza porque busca la aplicación o utilización de los conocimientos adquiridos, a la vez que se adquieren otros, después de implementar y sistematizar la práctica basada en investigación. El uso del conocimiento y los resultados de investigación que da como resultado una forma rigurosa, organizada y sistemática de conocer la realidad. La razón por la cual utilice la investigación aplicada fue por la auditoria informática ya que de este modo observe con exactitud cada parámetro necesario para la investigación que realice en la “Cooperativa Rey David”.

2.2. Procedimiento para la búsqueda y procesamiento de los datos

2.2.1. Población y muestra

La población objeto de estudio se describe a continuación Tabla 2 Población

DESCRIPCIÓN FRECUENCIA PORCENTAJE

Gerente 1 8%

Empleados 10 84%

TOTAL 11 100%

Elaborado por: Monar Balseca María Luisa Fuente: Talento Humano Cooperativa Rey David

(41)

26

2.2.2. Plan de recolección de la información

2.2.2.1. Métodos de la investigación

Método inductivo

El uso del método inductivo proyecto investigativo fue de gran importancia, ya que consistió en la recolección los datos para su análisis. La observación fue unos de los aspectos más significativos en el método inductivo y la cual se utilizó para la auditoria informática.

Método deductivo

En este proceso el razonamiento fue una parte fundamental para así llegar a una conclusión. La deducción enlaza los indicios con las conclusiones, si todos los indicios son ciertos, los requisitos son claros y las normas de deducción son usadas.

Método analítico

El método analítico permitió analizar los requerimientos para realizar un examen crítico, ya que nos permitió examinar, descomponer y estudiar cada requerimiento que fue planificado para la auditoria informática.

Método sintético

Fue el método que ayudo al razonamiento para elaborar de una forma resumida y reuniendo los elementos más notables, para así realizar la auditoria informática y tuvo como resultado desarrollar el trabajo investigativo con resultados, claros y reales.

2.2.2.2. Técnicas e instrumentos de la investigación

(42)

27

mecanismos de control en el área de sistemas de la Cooperativa Ambato y la necesidad de ejecutar una Auditoria Informática

El instrumento básico utilizado en para la aplicación de la encuesta fue el cuestionario, que es un documento que recoge en forma organizada los indicadores de las variables implicadas en el objetivo de la encuesta.

También se aplicó la técnica de la entrevista que se realizó al Gerente de la Cooperativa, en su despacho con el objetivo de determinar la existencia de mecanismos de control en el área de sistemas de la Cooperativa Ambato y la necesidad de ejecutar una Auditoria Informática

El instrumento básico utilizado en para la aplicación de la entrevista fue una guía de entrevista, que es un documento que recoge en forma organizada los indicadores de las variables implicadas en el objetivo de la entrevista.

2.2.2.3. Plan de procesamiento y análisis de la información

Una vez aplicada la encuesta a los empleados de la misma, se procedió a la validación de los datos, donde se analizó individualmente cada una de las encuestas. Validadas las encuestas se efectuó la tabulación

(43)

28

Ilustración 1Plan de procesamiento y análisis de la información

2.3. Resultados de Diagnóstico de la situación Actual

(44)

29

Análisis e interpretación de la encuesta aplicada a los empleados de la cooperativa de ahorro y crédito “Rey David”

1. ¿Conoce Ud. si la Cooperativa cuenta con un Departamento de TIC’s?

Tabla 3: Pregunta 1

SI 0 0%

NO 10 100%

TOTAL 10 100%

Ilustración 2: Pregunta 1

Análisis e interpretación

El 100% de los encuestados responden que no tienen conocimientos que la Cooperativa cuenta con el Departamento de Tic’s.

De acuerdo con la pregunta 1, el total encuestados responden que no cuenta la Cooperativa cuenta con el Departamento de Tic’s lo que respalda el presente proyecto.

0%

100%

SI

(45)

30

2. ¿Conoce Ud. si la Cooperativa ha llevado a cabo en los 2 últimos años una Auditoria informática?

SI 0 0%

NO 10 100%

TOTAL 10 100%

El 100% de los encuestados responden que en la Cooperativa en los últimos 2 años no se ha llevado a cabo una Auditoria Informática.

De acuerdo con la pregunta 2, el 100% de encuestados responden que no saben que la Cooperativa Rey David ha realizado dicha Auditoria Informática lo que respalda el presente proyecto.

0%

100%

SI

(46)

31

3. ¿Ud. tiene un manual donde este establecido los procedimientos para el uso de los equipos de cómputo?

SI 2 20%

NO 8 80%

TOTAL 10 100%

El 80% de los encuestados responden que, si cuentan con un manual de procedimientos de usos de los equipos de cómputo, mientras en 20% manifiestan que no se les ha entregado dicho manual de uso de procedimientos para el uso adecuado de los equipos de cómputo.

De acuerdo con la pregunta 3, el 80% de encuestados responden que si se les ha entregado el manual de procedimientos de usos de los equipos de cómputo lo que respalda el presente proyecto.

20%

80%

SI

(47)

32

4. Considera que los Sistemas Informáticos implementados en su computador son:

Muy Rápidos 1 10%

Rápidos 8 80%

Medianamente Rápidos 0 0%

Lentos 1 10%

Muy Lentos 0 0%

TOTAL 10 100%

El 80% de los encuestados responden que los Sistemas Informáticos implementados en su computador son rápidos, mientras que el 10% manifiestan que son muy rápidos, el 10% dicen que son lentos.

De acuerdo con la pregunta 4, el 80% de encuestados responden los Sistemas Informáticos implementados en su computador son rápidos que lo que respalda el presente proyecto.

10%

80% 0%10%0%

Rápidos

Medianamente Rápidos

Lentos

(48)

33

5. ¿En alguna ocasión ha existido errores en la información que Ud. maneja?

SI 3 30%

NO 7 70%

TOTAL 10 100%

El 70% de los encuestados responden que a veces si han existido han existido fallas en los sistemas computacionales, mientras tanto el 30% manifiesta que siempre existen fallas en los sistemas computacionales.

De acuerdo con la pregunta 6, el 70% de encuestados responden si han existido fallas en los sistemas computacionales, lo que respalda el presente proyecto.

30%

70%

SI

(49)

34

6. ¿Ha existido en alguna ocasión fallas en los sistemas computacionales?

Siempre 0 0%

A veces 9 90%

Nunca 1 10%

TOTAL 10 100%

El 90% de los encuestados responden que a veces han existido errores en la información la cual los empleados de la Cooperativa Rey David que manejan, mientras tanto el 10% manifiesta que nunca han tenido errores en su información.

De acuerdo con la pregunta 6, el 90% de encuestados responden a veces si han existido errores en la información la cual los empleados de la Cooperativa Rey David manejan, lo que respalda el presente proyecto.

0%

90% 10%

Siempre

A veces

(50)

35

7. ¿Considera Ud. que es necesario realizar un control de los recursos informáticos existentes en la Cooperativa?

SI 10 100%

NO 0 0%

TOTAL 10 100%

El 100% de los encuestados responden que si es necesario realizar un control de los recursos informáticos existentes en la Cooperativa.

De acuerdo con la pregunta 7, el 100% de encuestados responden que si es necesario realizar un control de los recursos informáticos existentes en la Cooperativa, lo que respalda el presente proyecto.

100% 0%

SI

(51)

36

Análisis e interpretación de la Entrevista al Tglo. Segundo Tisalema gerente de la Cooperativa Rey David

Objetivo: Determinar la existencia de mecanismos de control en el área de sistemas de la Cooperativa Rey David y la necesidad de ejecutar una Auditoria Informática

Fecha: 16/05/2019

Tabla 10: Análisis e interpretación de la Entrevista

INDICADORES EVALUADOS

Informante

Tglo. Segundo Tisalema

Gerente de la Cooperativa Rey David Existencia de un Departamento de

TIC´s

Duda en su respuesta por falta de conocimiento en cuanto a tecnología y luego manifiesta que sí sin embargo se verifica mediante la observación que no existe dicho departamento

Existencia de un diagrama funcional Manifiesta que no cuenta con un diagrama funcional ya que sólo hay un encargado de tics lo que corrobora la inexistencia del departamento

Existencia de procedimiento para el uso de equipos de cómputo

No existe

Inventario actualizado de los recursos informáticos

No existe

Revisiones periódicas de la capacidad y desempeño de los recursos de

informáticos

En alguna ocasión sí se realizó

Conocimiento sobre riesgos en el manejo de la información

Posee poco conocimiento

Conocimiento y existencia de Procedimientos y medidas de seguridad en caso de un ataque dos

(52)

37

software malicioso y virus informático Realización de auditoría informática auditoría informática

Como tal manifiesta que no

Necesidad de auditoría para el control del centro de datos

Muy necesario

Existencia de un plan de contingencia No existe

2.3.2 Resumen de las principales insuficiencias detectadas

Una vez realizado el diagnóstico de la situación a través, de un estudio de campo realizado en el lugar mismo de los hechos, mediante la aplicación de encuestas a los empleados, y entrevista al Tecnólogo Segundo Tisalema Gerente de la Cooperativa de Ahorro y Crédito Rey David de la ciudad de Ambato se concluyó que:

• Por medio de la versión del señor gerente de la Cooperativa y sus empleados, se pudo determinar que, dentro de la Cooperativa, no existe el departamento de Tecnologías de la Información y Comunicación (TIC’s) y por ende tampoco cuenta con un diagrama funcional de los empleados de este departamento.

• Tanto el señor gerente, como los empleados de la Cooperativa de Ahorro y crédito Rey David, consideran que es necesario tener un control de los recursos informáticos, puesto que, según versión del señor gerente, la cooperativa no cuenta con un inventario actualizado de disponibilidad de recursos informáticos, lo que, sin lugar a dudas, desemboca en inconvenientes significativos relacionados con el control de estos recursos.

(53)

38

procedimientos de seguridad que deben seguir en caso de que exista una falla informática en el computador que están usando.

(54)

39

Capítulo III. Propuesta de solución al problema

3.1. Nombre de la propuesta

Auditoria de los recursos informáticos para mejorar los mecanismos de control del área de Sistemas de la Cooperativa “Rey David”

3.2. Objetivos

3.2.1. Objetivo General

Desarrollar una Auditoria de los Recursos Informáticos mediante la aplicación del estándar COBIT 5.0 para mejorar los mecanismos de control en el área de sistemas de la Cooperativa “Rey David”

3.2.2. Objetivos Específicos

• Comprobar si los mecanismos de control del área de sistemas de la cooperativa “Rey David” son útiles.

• Elaborar recomendaciones y medidas para los diferentes trabajos y sus procesos diarios.

• Desarrollar un plan de contingencia para evitar riesgos y tener control de la Cooperativa.

3.3. Desarrollo de la Propuesta

3.3.1. Descripción de la propuesta

Análisis de la situación actual de la metodología en base del estudio de campo

(55)

40

varios proyectos de desarrollo social entre los principales: Proyecto de Ganadería, Producción Textil, Producción de Especies Menores, Asesoría a distintas Cajas Comunales de Ahorro y Crédito. Este esfuerzo tuvo resultados positivos desde el punto de vista de desarrollo integral; sin embargo el no especializarse en una sola área fue su debilidad. (CoacReyDavid, 2019)

A partir de este año y debido a la migración de casi un 80% de la población de Santa Rosa hacia las principales ciudades del país, los directivos de esta cooperativa proponen reformar su estatuto y razón social a Cooperativa de Ahorro y Crédito, mejorar su estructura administrativa y operativa e inician su ampliación de cobertura proponiendo instalar agencias y sucursales en principales ciudades de mayor concentración migratoria de la población indígena del Ecuador quedan la matriz en el cantón Ambato en las calles, tiene dos sucursales que están ubicadas en el cantón Cevallos y en la provincia de Napo. (CoacReyDavid, 2019)

Misión

Es una institución financiera privada con inspiración cristiana y visión social, que apoya el desarrollo local e integral de la población marginada de la provincia en las áreas rurales y urbanas, a través de la prestación de los productos y servicios financieros de calidad, y contribuyendo a reducir la pobreza, crear esperanza, justicia, paz y condiciones de vida más humana. (CoacReyDavid, 2019)

Visión

(56)

41

Valoresinstitucionales

Los valores que rigen el diario vivir y el cumplimiento de deberes y obligaciones de Representantes, Directivos, Gerente General y Trabajadores de la Cooperativa de Ahorro y Crédito Rey David Ltda. (CoacReyDavid, 2019)

La cooperativa cuenta con sistemas y procesos informáticos que no satisfacen en su totalidad las necesidades de la mismas, se pudo detectar mediante el estudio de campo que uno de los principales problemas existentes es el que no cuenta con un Departamento de TIC’s, así como también depende de empresas externas para realizar cambios en los sistemas informáticos, a más de ellos se detectó la falta de conocimiento tanto de empleados como directivos con relación a conocimientos básicos de tecnología de la información y comunicación. (CoacReyDavid, 2019)

3.3.2. Alcance de la Auditoria

En la presente auditoria el alcance está determinado por el marco referencial de COBIT 5.0, se determinará la forma más eficiente de utilizar las TIC’s, mediante la realización de una evaluación de las tecnologías de la información para verificar su calidad y eficacia en los cinco dominós de COBIT 5.0 los cuales son:

• Evaluar, Dirigir y Monitorear • Alinear, Planear y Organizar • Monitorear, Evaluar y Valorar • Construir, Adquirir e Implementar • Entregar, Dar servicio y Soporte

(57)

42

erróneos de acuerdo a los objetivos de control de la metodología COBIT 5.0, nos permite generar recomendaciones mismas que serán planteadas en un dictamen final y que a priori serán tomadas en cuenta en la aplicación de un plan de contingencia.

3.3.3. Estudio inicial en el cual se realiza la auditoría

3.3.3.1. Estructura organizacional

(58)

43

3.3.3.2. Número de puestos de trabajo

Tabla 11: Puestos de Trabajo

Nivel Puestos de Trabajo

Nivel Legislativo -

Nivel Ejecutivo 6

Nivel de Asesor

-Nivel de Apoyo -

Nivel Operativo 5

Total, Puestos de Trabajo 11

3.3.3.3. Seguridad de los departamentos de la Cooperativa

Seguridad Física

La seguridad física en la Cooperativa “Rey David” es regular ya que al momento de atender a los socios la atención es la inadecuada, además no cuentan con un guardia de seguridad o un encargado de realizar el primer contacto con el socio para saber a qué parte de la cooperativa se dirige ya que el ingreso a las misma es libre a todos los departamentos.

En el caso de algún documento o información importante de la cooperativa la realizan con el gerente.

Seguridad Lógica