Auditoria Cobit

UNIVERSIDADTCNICAPARTICULARDELOJA
LaUniversidadCatlicadeLoja
MODALIDADPRESENCIAL
AuditoraInformticaorientadaalosprocesos crticosdecrditogeneradosenlaCooperativade AhorroYCrditoFortunaaplicandoelmarcode trabajoCOBIT

TESISDEGRADOPREVIAALAOBTENCINDELTTULODEINGENIERAENSISTEMAS INFORMTICOSYCOMPUTACIN
AUTOR: KarolayMichellCoronelCastro
DIRECTOR:
Ing.MarcoPatricioAbadEspinoza
CODIRECTORA:
Ing.SamantaPatriciaCuevaCarrin
LojaEcuador 2012
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel
CERTIFICACIN
Ingeniero. MarcoPatricioAbadEspinoza. DOCENTE INVESTIGADOR DE LA ESCUELA DE CIENCIAS DE LA COMPUTACIN DE LA UNIVERSIDADTCNICAPARTICULARDELOJA. CERTIFICA: HaberdirigidoysupervisadoeldesarrollodelpresenteproyectodetesisconeltemaAuditora Informtica Orientada a los Procesos Crticos de Crdito generados en la Cooperativa de Ahorro y Crdito Fortuna aplicando el Marco de Trabajo COBIT previo a la obtencin del ttulo de INGENIERA EN SISTEMAS INFORMTICOS Y COMPUTACIN, y una vez que este cumplecontodas las exigenciasy los requisitos legales establecidos por la UniversidadTcnica ParticulardeLoja,autorizasupresentacinparalosfineslegalespertinentes. _____________________ Ing.MarcoPatricioAbadEspinoza. DIRECTORDETESIS ii
CERTIFICACIN
Ingeniera. SamantaPatriciaCuevaCarrin. DOCENTE INVESTIGADOR DE LA ESCUELA DE CIENCIAS DE LA COMPUTACIN DE LA UNIVERSIDADTCNICAPARTICULARDELOJA. CERTIFICA: HaberdirigidoysupervisadoeldesarrollodelpresenteproyectodetesisconeltemaAuditora Informtica Orientada a los Procesos Crticos de Crdito generados en la Cooperativa de Ahorro y Crdito Fortuna aplicando el Marco de Trabajo COBIT previo a la obtencin del ttulo de INGENIERA EN SISTEMAS INFORMTICOS Y COMPUTACIN, y una vez que este cumplecontodas las exigenciasy los requisitos legales establecidos por la UniversidadTcnica ParticulardeLoja,autorizasupresentacinparalosfineslegalespertinentes. _____________________ Ing.SamantaPatriciaCuevaCarrin. CODIRECTORADETESIS iii
AUTORA
El presente proyecto de tesis con cada una de sus observaciones, anlisis, evaluaciones, conclusionesyrecomendacionesemitidas,esdeabsolutaresponsabilidaddelautor. Adems, es necesario indicar que la informacin de otros autores empleada en el presente trabajoestdebidamenteespecificadaenfuentesdereferenciayapartadosbibliogrficos. ................................. KarolayMichellCoronelCastro Autor iv
CESINDEDERECHOS

Yo, Karolay Michell Coronel Castro, declaro ser autor del presente trabajo y eximo expresamente a la Universidad Tcnica Particular de Loja y a sus representantes legales de posiblesreclamosoaccioneslegales. AdicionalmentedeclaroconoceryaceptarladisposicindelArt.67delEstatutoOrgnicodela Universidad Tcnica Particular de Loja que su parte pertinente textualmente dice: Forman parte del patrimonio de la Universidad la propiedad intelectual de investigaciones, trabajos cientficos o tcnicos y tesis de grado que se realicen a travs, o con el apoyo financiero, acadmicooinstitucional(operativo)delaUniversidad. ................................. KarolayMichellCoronelCastro Autor v
DEDICATORIA
MegustaradedicarestaTesisatodamifamilia. AmiesposoJuanCarlos,alespecialmentelededicoestaTesisporsuayuda,porsupaciencia, por su comprensin, por su empeo, por sus nimos, por su amor, por ser tal y como es. Realmente l me llena por dentro para conseguir un equilibrio que me permita dar el mximo dem.Nuncalepodrestarsuficientementeagradecida. AmihijoNicolasSebastin,quienhansidomi fuerza,mi soporteyporquientodoesfuerzoy sacrificio vale la pena. l es la persona que ms directamente ha sufrido las consecuencias del trabajorealizado.Essindudamireferenciaparaelpresenteyparaelfuturo. AmimadreMelvita,cuyorespaldoyejemplohansidofundamentalesenmiformacinnosolo acadmica sino tambin tica y moral; ella me ha enseado a encarar las adversidades sin perder nunca la dignidad ni desfallecer en el intento. Me ha dado todo lo que soy como persona, mis valores, mis principios, mi perseverancia y mi empeo, y todo ello con una gran dosis de amor y sin pedir nunca nada a cambio. A ella quien me enseo a ser constante, responsable y sobre todo a esforzarme para lograr cumplir las metas que me proponga en la vida,sindejarmevencerporlasadversidadesquesepresentaroneneltrayecto. KarolayMichellCoronelCastro Autor vi
AGRADECIMIENTO
A Dios que todo lo permite, dndome fortaleza y perseverancia para culminar con este sueo anhelado. A los ingenieros Patricio Abad, Director de Tesis, y Samanta Cueva, Codirectora de Tesis, quienesaportaronconsudireccinyconocimientoparacumplirconestameta. A la Cooperativa de Ahorro y Crdito Fortuna , que permiti efectuar ste trabajo en sus instalaciones. A mis compaeras de la Cooperativa de Ahorro y Crdito Fortuna, por los nimos y palabras dealientobrindadasentodomomentodifcildeldesarrollodemitesis. AmisamigosdelaUniversidad,porcompartirsusconocimientosconmigo,porhaberdedicado parte de su apretado tiempo a ayudarme, por sus nimos y apoyo brindados en los momentos malosyenlosmenosmalos. A todos quienes de una u otra forma apoyaron desinteresadamente al desarrollo de este proyecto. Atodosellos,muchasgracias.
vii
NDICEDECONTENIDOS
CERTIFICACIN.............................................................................................................................. ii CERTIFICACIN.............................................................................................................................. iii AUTORA........................................................................................................................................ iv CESINDEDERECHOS................................................................................................................... v DEDICATORIA................................................................................................................................ vi AGRADECIMIENTO....................................................................................................................... vii NDICEDECONTENIDOS .............................................................................................................. viii NDICEDEFIGURAS....................................................................................................................... xi NDICEDETABLAS........................................................................................................................ xii RESUMEN......................................................................................................................................1 INTRODUCCIN............................................................................................................................. 2 OBJETIVOS.....................................................................................................................................3 General......................................................................................................................................3 Especficos.................................................................................................................................3 METODOLOGA............................................................................................................................. 3 RESULTADOSESPERADOS............................................................................................................. 4 ESTRUCTURADELATESIS............................................................................................................. 4 ESTRATEGIADEEJECUCIN.......................................................................................................... 5 CAPTULO1:..................................................................................................................................9 1. ELPROCESODELAAUDITORAINFORMTICA...................................................................10 1.1. AUDITORAINFORMTICA.............................................................................................. 10 1.1.1. DEFINICIN .............................................................................................................. 10 1.1.2. ALCANCE.................................................................................................................. 10 1.1.3. TIPOSDEAUDITORAINFORMTICA......................................................................10 1.1.4. METODOLOGASDEAUDITORAINFORMTICA.....................................................11 1.1.5. PRINCIPALESPRUEBASYHERRAMIENTASPARAEFECTUARUNA AUDITORAINFORMTICA...................................................................................................... 12 1.1.6. PROCESODEUNAAUDITORAINFORMTICA.......................................................12 1.1.7. ESTNDARESDEAUDITORAINFORMTICA...........................................................14 1.2. AUDITORAINFORMTICAENELSECTORBANCARIO....................................................16 1.2.1. NECESIDADYBENEFICIOSDELAAUDITORAINFORMTICAENLAS ENTIDADESFINANCIERAS........................................................................................................ 16 1.2.2. AUDITORAINFORMTICAENLAPROTECCINDEDATOSPERSONALES...............16 1.2.3. ACTIVIDADESDEAUDITORAENRELACINCONLAPROTECCINDEDATOS PERSONALES............................................................................................................................ 17 1.3. EJEMPLOSDEAPLICACIN.............................................................................................. 17 1.4. COBITCOMOMARCODEREFERENCIAPARAAUDITORAINFORMTICA......................20 1.4.1. ESTRUCTURADELMARCOREFERENCIALCOBIT.....................................................20 1.4.2. DOMINIOS............................................................................................................... 21 1.4.2.1. PLANEARYORGANIZAR(PO).......................................................................... 21 1.4.2.2. ADQUIRIREIMPLEMENTAR(AI)......................................................................22 viii
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel 1.4.2.3. ENTREGARYDARSOPORTE(DS).....................................................................22 1.4.2.4. MONITOREARYEVALUAR(ME).....................................................................22 1.4.3. OBJETIVOSDECONTROL......................................................................................... 23 1.4.4. MODELOSDEMADUREZ......................................................................................... 24 CAPTULO2:................................................................................................................................26 2. ANLISISSITUACIONALDELACOOPERATIVADEAHORROYCRDITOFORTUNA..........27 2.1. DEFINICINDELAPROBLEMTICA................................................................................. 27 2.2. ANTECEDENTES............................................................................................................... 27 2.3.INFORMACININSTITUCIONAL........................................................................................... 28 2.3.1. DESCRIPCINDELAEMPRESA................................................................................ 28 2.3.2. MISIN.................................................................................................................... 29 2.3.3. VISIN..................................................................................................................... 29 2.3.4. VALORES.................................................................................................................. 29 2.3.5. OBJETIVOSINSTITUCIONALES................................................................................. 29 2.3.6. PRODUCTOSYSERVICIOS........................................................................................ 30 2.3.7. INFRAESTRUCTURA................................................................................................. 31 2.3.8. ORGANIGRAMAESTRUCTURAL............................................................................... 31 2.3.8.1. DEPARTAMENTODESISTEMAS.......................................................................32 2.3.8.2. DEPARTAMENTODECRDITO......................................................................... 32 2.4. ESTRATEGIAGENERAL..................................................................................................... 33 2.4.1. ANTECEDENTES....................................................................................................... 33 2.4.2. ALCANCE.................................................................................................................. 33 2.4.3. EQUIPOAUDITOR.................................................................................................... 33 2.4.4. INVOLUCRADOS....................................................................................................... 33 2.5. PROCESOSDECRDITOENLACOOPERATIVA................................................................33 FORTUNA.................................................................................................................................33 2.5.1. PROCESOSPARAOTORGARCRDITOSALOSSOCIOS............................................35 2.5.1.1. PRIMERPROCESO(PC1):ANLISISDELCRDITO..........................................35 2.5.1.2. SEGUNDOPROCESO(PC2):APROBACINDELCRDITO ...............................38 2.5.1.3. TERCERPROCESO(PC3):LEGALIZACINDELCRDITO.................................40 2.5.1.4. CUARTOPROCESO(PC4):DESEMBOLSODELCRDITO.................................42 2.5.1.5. QUINTOPROCESO(PC5):RECUPERACINDELCRDITO..............................44 2.6. PROCESOSCOBITQUESEAPLICARNENLAAUDITORA...............................................47 CAPTULO3:................................................................................................................................50 3. APLICACINDELAAUDITORAINFORMTICA...................................................................51 3.1. DISEODEINSTRUMENTOS ............................................................................................ 51 3.2. ESTUDIOYSELECCINDEHERRAMIENTASDEVALIDACIN......................................56 3.3. PROCESODELAAUDITORA............................................................................................ 56 3.3.1. APLICACINDENESSUS.......................................................................................... 58 3.3.2. APLICACINDEIDEA............................................................................................... 70 3.3.3. APLICACINDELOSMODELOSDEMADUREZ........................................................87 3.5.1. HALLAZGOSDELAAUDITORA................................................................................ 89 ix
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel CAPTULO4:................................................................................................................................95 4. RESULTADOSDELAAUDITORAINFORMTICA..................................................................96 4.1. ANLISISDERESULTADOS ............................................................................................... 96 4.2. DEFINICINDEOPORTUNIDADESDEMEJORA............................................................ 102 4.3. PLANDEACCIN........................................................................................................... 104 CONCLUSIONESYRECOMENDACIONES.................................................................................... 110 CONCLUSIONES......................................................................................................................... 110 RECOMENDACIONES................................................................................................................ 111 GLOSARIO..................................................................................................................................112 BIBLIOGRAFA............................................................................................................................ 117 LISTAANEXOS ............................................................................................................................ 122 ANEXOS.....................................................................................................................................126 PAPER........................................................................................................................................127
NDICES NDICEDEFIGURAS
Figura1.1.ProcesodelOperativodeAuditora...................................................................................... 13 Figura1.2.CuboCOBIT............................................................................................................................20 Figura1.3.LoscuatrodominiosdeCOBIT.............................................................................................. 21 Figura1.4.Representacingrficadelosmodelosdemadurez.............................................................. 24 Figura2.1.OrganigramaEstructuraldelaCooperativadeAhorroyCrditoFortuna. ..........................32 Figura2.2.DiagramaSIPOCdelprocesodeAnlisisdelCrdito.............................................................. 38 Figura2.3.DiagramaSIPOCdelprocesodeAprobacindelCrdito........................................................40 Figura2.4.DiagramaSIPOCdelprocesodeLegalizacindelCrdito.......................................................42 Figura2.5.DiagramaSIPOCdelprocesodeDesembolsodelCrdito.......................................................44 Figura2.6.DiagramaSIPOCdelprocesodeRecuperacindelCrdito.....................................................46 Figura3.1.ProcesodelaAuditora.......................................................................................................... 58 Figura3.2.ComponentesdeNESSUS........................................................................................................ 58 Figura3.3.PantallaprincipaldeNESSUS................................................................................................. 60 Figura3.4.Ventanaprincipalconpluginsobtenidos............................................................................... 61 Figura3.5.Procesodecreacindeunnuevousuario.............................................................................. 62 Figura3.6.IngresoaNESSUSClient. ........................................................................................................ 63 Figura3.7.PolticacreadaparalacooperativaFortuna....................................................................... 63 Figura3.8.InformacindeCredentials. .................................................................................................... 64 Figura3.9.InformacindePlugins.......................................................................................................... 64 Figura3.10.SeleccindetipodebasededatosenPreferences.............................................................. 65 Figura3.11.Creacindenuevoscan....................................................................................................... 65 Figura3.12.Informacindescanrealizado............................................................................................. 66 Figura3.13.Informacindevulnerabilidadesencontradas..................................................................... 66 Figura3.14.Obtencindelreportedevulnerabilidades.......................................................................... 67 Figura3.15.ComponentesdeIDEA......................................................................................................... 71 Figura3.16.VentanaprincipaldeIDEA................................................................................................... 72 Figura3.17.Asistentedeimportacin................................................................................................... 73 Figura3.18.Importacindelabasededatos.......................................................................................... 73 Figura3.19.Archivodeimportacin ........................................................................................................ 74 Figura3.20.OpcinExtraccinDirecta .................................................................................................... 75 Figura3.21.FrmulaparaobtenerelmontolmitedeCrditoComercialyConsumo.............................76 Figura3.22.Resultadosdelmiteselevados............................................................................................ 76 Figura3.23.OpcinCompararBasesdeDatos........................................................................................ 77 Figura3.24.Calculodemoraennuevabasededatos............................................................................. 78 Figura3.25.Procesodecomparacindedosbasesdedatos.................................................................. 78 Figura3.26.Resultadosdelacomparacindelcampomora................................................................... 79 Figura3.27.OpcinSumarizacin........................................................................................................... 80 Figura3.28.ProcesodeSumarizacin..................................................................................................... 80 Figura3.29.Resultadosdeclientesdemandados.................................................................................... 81 Figura3.30.OpcinClaveDuplicada....................................................................................................... 82 Figura3.31.Resultadodelaverificacindeclavesrepetidas.................................................................. 82 Figura3.32.Frmulaparaverificaroperacioneseldadomingo............................................................. 83 Figura3.33.Extraccindedatosdadalaformula................................................................................... 83
xi

Figura3.34.ResultadosdeoperacionesendaDomingo......................................................................... 84 Figura3.35.OpcinDeteccindeOmisiones........................................................................................... 85 Figura3.36.Procesodedeteccindeomisiones...................................................................................... 86 Figura3.37.Resultadosdedeteccindeomisiones................................................................................. 86 Figura3.38.ComparativadelosnivelesdemadurezvsdominiosCOBIT.................................................89 Figura4.1.CronogramadeActividadesdelPlandeAccin................................................................... 105
NDICEDETABLAS
Tabla1.1.TiposdeAuditoraInformtica[4].......................................................................................... 11 Tabla1.2.CuadrocomparativoentreCOBITT,ITILylaISO27000...........................................................14 Tabla2.1.MatrizdeProbabilidaddeOcurrenciadeunProcesodeCrdito............................................34 Tabla2.2.ProcesosdeCrditoaAuditar................................................................................................. 34 Tabla2.3.RelacinentreprocesosdecrditoydominiosCOBIT............................................................. 49 Tabla3.1.ParmetrosdeconfiguraciondeNESSUS................................................................................ 59 Tabla3.2.DeteccindevulnerabilidadesenelservidordeBasedeDatosyservidorDNS.......................67 Tabla3.3.Deteccindevulnerabilidadesenlosequiposdelreadecrdito...........................................69 Tabla3.4.Tiposdecrditos..................................................................................................................... 74 Tabla3.5.NiveldeMadurezdelDominioPLANEARYORGANIZAR..........................................................88 Tabla3.6.NiveldeMadurezdelDominioADQUIRIREIMPLEMENTAR....................................................88 Tabla3.7.NiveldeMadurezdelDominioENTREGARYDARSOPORTE....................................................88 Tabla3.8.NiveldeMadurezdelDominioMONITOREARYEVALUAR .......................................................89 Tabla3.9.MatrizdeMedicindeCriticidad............................................................................................ 90 Tabla3.10.HallazgosdelaAuditoraInformtica................................................................................... 90 Tabla4.1.FortalezasencontradasluegoderealizadalaAuditoraInformtica......................................96 Tabla4.2.DebilidadesencuantoapolticasyprocedimientosluegoderealizadalaAuditoraInformtica. ................................................................................................................................................................98 Tabla4.3.DebilidadesencuantoaseguridadfsicaluegoderealizadalaAuditoraInformtica............99 Tabla4.4.DebilidadesencuantoalsistemaluegoderealizadalaAuditoraInformtica ......................100 Tabla4.5.DebilidadesencuantoaservidoresluegoderealizadalaAuditoraInformtica ...................101 Tabla4.6.PropuestaEconmicadeDispositivos.................................................................................... 103 Tabla4.7.PropuestaEconmicadeSoftware........................................................................................ 103 Tabla4.8.PlandeAccin...................................................................................................................... 106 Tabla4.9.Presupuestodelplandeaccin............................................................................................. 108
xii
RESUMEN
Lapresenteinvestigacinseenfocaaldesarrollodelprocesodeunaauditorainformticapara evaluar y determinar el nivel de cumplimiento de los procesos crticos de crdito de la Cooperativa de Ahorro y Crdito Fortuna, en base al marco de referencia COBIT. El proceso abarca la recopilacin de la mayor cantidad de evidencia tcnica mediante la aplicacin dos herramientas: IDEA para anlisis de la base de datos y NESSUS para escaneo de vulnerabilidades de equipos, tambin se aplic la metodologa de los modelos de madurez del COBIT,lacualpormediodeunamatrizdeevaluacinpermitilaverificacindelcumplimiento delosprocesosdecrdito,todoestoconelfindeemitiruninformedehallazgos,quemuestre las falencias existentes en dichos procesos, tanto manuales como sistematizados. Finalmente se plantea un plan de accin el cual pretende facilitar la toma de decisiones por parte de los directivos de institucin, el cual asociado a la introduccin y consolidacin de la auditora informticaestablecerunaculturadeseguridadeneltratamientodelainformacinentodos losprocesosdenegocio.
INTRODUCCIN
Segn Pilar Amador Contra [1], una de las tareas clsicas en cualquier actividad auditora es la relacionada con las funciones de control, ya que se debe verificar la existencia de procedimientos y mecanismos de control suficientes y adecuados que permitan asegurar el correcto funcionamiento de los sistemas informticos y principalmente evaluar la implicacin de la inexistencia, la insuficiencia y la no adecuacin de dichos procedimientos, todo esto con el fin de asegurar que las aplicaciones informticas cumplan con los criterios funcionales definidosporlaentidadfinanciera. Laimportanciadelatecnologadeinformacindentrodeunaorganizacinfinancierajuegaen la actualidad uno de los papeles ms relevantes, pues brindan un soporte indispensable a los procesos crticos de la institucin y permite la toma de acciones correctivas para el progreso del negocio, por lo cual es fundamental que se preste un correcto seguimiento de las polticas yprocedimientosestablecidosdentrodelaorganizacin. Durante el desarrollo del trabajo se define la problemtica, se establece el plan de auditora informtica,elcualcontemplaelobjetivoprincipal,elalcancedelaauditora,quinvarealizar la auditora, qu personas estarn involucradas y la elaboracin del informe final de la ejecucindelaauditorainformtica. La principal preocupacin que ha surgido en la cooperativa de Ahorro y Crdito Fortuna, es que los procesos correspondientes a los productos y servicios que se generan diariamente puedan estar obsoletos o que no exista el control adecuado para verificar su funcionamiento, hacindose necesario realizar una auditora a los procesos de crdito, al sistema informtico CONEXUSydeTI(TecnologadelaInformacin),ascomoelcumplimientodelasnormativas querigendichosprocesos. Paraeldesarrollodestetemasebuscounadelasmejoresprcticasdeauditorainformtica, que sea factible de implementar y que permita generar resultados confiables, tomando en cuenta las condiciones de la institucin, es por ello que se opt por COBIT (Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas,) ya que cumple con los requerimientosantesmencionados.
OBJETIVOS
El propsito de este trabajo de investigacin es cumplir con los objetivos propuestos, a continuacinsedefinenlossiguientes:
General
Aplicar auditora informtica para evaluar y determinar el nivel del cumplimiento de los procesos crticos de crdito generados en la Cooperativa de Ahorro y Crdito Fortuna, en
basealmarcodereferenciaCOBIT.
Especficos
Losobjetivosespecficossonlossiguientes:
EstudiodelosprocesosdelmarcodetrabajoCOBIT. Establecer el grado de madurez actual de acuerdo con los modelos de madurezdeCOBIT. Conocerlosprocedimientoscrediticiosinternosdelacooperativa. Auditar el funcionamiento del sistema informtico con respecto a los procesosdecrdito. Analizar, verificar y controlar la existencia de seguridad, eficiencia y calidad delainformacincrediticiadelsistemainformticodelacooperativa. Estudio y determinacin del grado de confianza a depositar en el sistema informticodelacooperativa. Generar recomendaciones y un plan de accin con las posibles mejoras que se puedan realizar tanto a los procesos manuales como informticos, para mejoraraselmanejodelainformacincrediticia. Elaborar el Informe de la auditora informtica considerando todo los hallazgosencontrados.
METODOLOGA
Lametodologaaplicadaeneldesarrollodelatesiseslasiguiente: Lecturayestudio,deconceptualizacinyanlisisdeinformacinrelacionada. Anlisis comparativo de posibles herramientas y controles de implementacin en la auditorainformtica. Investigacindeunametodologaaplicablealmbitodeentidadesfinancierasydando unenfoqueprincipalalacooperativaFortunabasadoenCOBIT. 3
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel Aplicacindelametodologainvestigada(COBIT). Conclusiones. Propuestadeaccionesdecontrolymejoraenlosprocesosdecrdito. Presentacindelinformefinal.
RESULTADOSESPERADOS
Al finalizarla investigacindeauditoraaplicadaa losprocesosdecrditodelacooperativade Ahorro y Crdito Fortuna, la cual est siendo desarrollada en base a la identificacin y aplicacin de los procesos correspondientes a los cuatro dominios del marco de referencia COBIT los mismos que tendrn relacin con los procesos de crdito que se aplican en la cooperativa,seobtendrnlossiguientesresultados: Pautas que permitan guiar el anlisis de la informacin generada por la auditora informtica. Un informe con los resultados de la auditora informtica aplicada a los procesos de crditoydesarrolladaenlaCooperativadeAhorroyCrditoFortuna. Recomendacionesobtenidasenbasealainvestigacin. PlandeaccinatomarsedeacuerdoalametodologainvestigadaCOBIT.
ESTRUCTURADELATESIS
LapresenteauditoraorientadaalosprocesoscrticosdecrditodelacooperativadeAhorroy CrditoFortunaestestructuradaencuatrocaptulos,quesemencionanacontinuacin: Enlaseccininicialsedefinelaintroduccin,definicindelproblema,objetivos,metodologay resultadosesperadosdelatesis. Luegoenelcaptulo1,serevisaelprocesodelaauditorainformtica,enestafaseseplantea el marco terico base para el desarrollo de este trabajo, primeramente con los conocimientos generales de la auditora informtica su definicin, objetivos, importancia, alcance, tipos, metodologas, funciones, pruebas y herramientas de una auditora informtica, el proceso de una auditora informtica, controles, anlisis de riesgos, entre otros aspectos; y, la seccin correspondiente al estndar COBIT, definicin, misin, objetivos, principios, beneficios, marco de trabajo, estructura, dominios, los objetivos de control y modelos de madurez de cada proceso,finalizandoconejemplosdeaplicacin. En el captulo 2, se realiza el anlisis situacional acerca de la Cooperativa de Ahorro y Crdito Fortuna como antecedentes, informacin institucional, descripcin de la empresa, objetivos institucionales, productos y servicios, infraestructura, organigrama institucional, estrategia general, detalle de los procesos de crdito, diagramas SIPOC de los procesos de crditos, seleccindelosprocesosdelosdominiosdelCOBITaaplicar. 4
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel En el captulo 3, se realiza la aplicacin de la auditora informtica, en esta fase, se realiza la ejecucin de la auditora informtica iniciando por el diseo de instrumentos a utilizar, el estudio y seleccin de herramientas de validacin, la aplicacin de la auditora informtica en base a las herramientas y metodologa estudiadas, la verificacin de las evidencias en base a unamatrizdeevaluacin,yelinformederesultadosdetallandoloshallazgosdelaauditora. Finalmenteenelcaptulo4,sepresentalosresultadosdelaauditorainformtica,endondese analizan los productos obtenidos de la auditora, se define una oportunidad de mejora para la cooperativa y una se elabora el plan de accin en base a los hallazgos ms significativos de la auditora con sus respectivas recomendaciones, adems se emite el informe final de la auditorainformticaalacooperativaFortuna. Para culminar se emiten las conclusiones y recomendaciones ms relevantes de ste trabajo detesis.
ESTRATEGIADEEJECUCIN
Al ser el marco de trabajo COBIT la metodologa en la que se basar el presente proyecto, es necesario mencionar que ha sido escogida principalmente por su facilidad de adaptacin a cualquier tipo de negocio, por lo que no presentar ninguna dificultad para la revisin de los sistemas de informacin de la cooperativa de ahorro y crdito Fortuna, adems que COBIT (Control Objectives For Information anRelated Technology), es un modelo desarrollado basndose en las mejores prcticas de seguridad tecnolgica, administracin y control de la tecnologadelainformacin(TI). Los objetivos principales del proceso de una auditora informtica son salvaguardar los activos, asegurar la integridad de los datos, la consecucin de los objetivos gerenciales, y la utilizacin de los recursos con eficiencia y eficacia, para ello se debe realizar la recoleccin y evaluacindeevidencias,peroesteesuntrabajoquesedebeefectuardemaneraorganizada siguiendoprocedimientosordenados,alosqueselosdividienlassiguientesfases: 1) Planificacindelaauditorainformtica 2) Ejecucindelaauditorainformtica 3) Finalizacindelaauditorainformtica,lascualessedetallanacontinuacin. Es importante la participacin de todas las reas involucradas en la auditora a la cooperativa durante las fases del proyecto de la misma puesto que son una pieza fundamental para alcanzarlosobjetivosdesta. 1)Planificacindelaauditorainformtica Como todo proyecto implantado dentro de una organizacin, el proyecto de auditora informtica a losprocesos crticos decrdito generados en laCooperativadeAhorroyCrdito Fortuna iniciara con una fase de planeacin en la cual participaran las reas de gerencia, 5
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel crdito y sistemas, con la finalidad de identificar los recursos necesarios que permitirn llevar a cabo este proyecto, como son, objetivos que se pretenden alcanzar con el proyecto, anlisis costo/beneficio, personal humano que intervendr en el proyecto, marco de referencia de auditorainformticaquesevaautilizar(COBIT),basndoseenvariosobjetivosfundamentales como: Evaluacindelossistemasyprocedimientos. Evaluacindelprocesodedatos. Evaluacindelasseguridades
Esta fase se resume en obtener un conocimiento inicial de la cooperativa, con especial nfasis ensusprocesoscrediticioseinformticosbasadosenevaluacionesadministrativasrealizadasa losprocesoselectrnicos,sistemasyprocedimientos,seguridadyconfidencialidaddelosdatos yaspectoslegalesdelossistemasydela informacinobteniendoasunaseleccinadecuada delosdominiosdelmarcodereferenciaCOBITacordealosprocesosdecrdito. Una vez que se ha obtenido un conocimiento inicial de la cooperativa se proceder a establecermetas,programasdetrabajodeauditora,personalqueintervendrenelproyecto, y las fechas y la manera como se presentarn el informe de las actividades de cumplimiento delproyecto,basadosenlarealidaddelaCooperativadeAhorroyCrditoFortuna. Tambin dentro del proceso de planificacin de la auditora informtica se incluir y documentara: Losobjetivosyelalcancedeltrabajo. El relevamiento de informacin de las actividades a auditarse en la que se apoyar el anlisis. Losrecursosquesenecesitarnparallevaracaboelproyectodeauditora. Los canales de comunicacin necesarios entre los involucrados en el proyecto de auditora. El procedimiento apropiado a utilizarse para realizar una inspeccin fsica que permita la obtencin del conocimiento de la manera como se ejecutan las actividades y controles a auditar, as como de las reas crticas en las que se debe poner mayor nfasisalrealizarlaauditora. Laaprobacindelplandetrabajodeauditora.
2)Ejecucindelaauditorainformtica En la ejecucin de la auditora informtica se har la recoleccin de informacin y evidencias suficientes, para fundamentar los comentarios, conclusiones y recomendaciones, para lo cual sepodrnutilizarandiversastcnicascomolassiguientes: Entrevistas Cuestionarios(listasdechequeo) Observacindirecta 6
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel Anlisisdelainformacindocumentalentregadaporelauditado(evidencias) Paquetesdeauditora(generadoresdeprogramas). Revisinyanlisisdelainformacindeauditorasanteriores Revisinyevaluacindecontrolesyseguridades. MetodologadelosmodelosdemadurezdelmarcodetrabajoCOBIT
En el anlisis de esta informacin ser utilizado el criterio profesional adquirido por la experiencia de lo aprendido en el marco terico, por medio de las encuestas aplicadas, las evidencias obtenidas claras y suficientes para comprobar el adecuado conocimiento de la entidad. Lostiposdeevidenciasausarsesernevidenciadocumental,fsica,analtica,ytestimonial. Una vez que se haya recolectado informacin confiable sobre la cual se pueda evaluar a la cooperativa,seprocederaprobarlamaneraenlaquehansidodiseadosloscontroles,para esto se realizaran diagramas de flujo por los procesos de crdito con los cuales se verificar la informacin procesada por medios electrnicos y utilizarn mtodos especializados de informtica. Se tomar en cuenta que para dar una opinin favorable acerca de los sistemas y determinar suconfiabilidadenelprocesamientodelainformacin,sernecesarioefectuarunarevisinde loscontrolesgeneralesdelcomputador,puestoqueenlaconfiabilidaddeellossebasaelbuen funcionamientodelossistemasdeaplicacin. 3)Finalizacindelaauditorainformtica El resultado de la auditora Informtica, se materializar en un informe de conclusiones que ser redactado y entregado a la administracin de la cooperativa para su evaluacin, por lo que antes de la emisin del informe final se debern realizar varios borradores, que sern analizados en conjunto con la administracin de la institucin, para descubrir fallos en la evaluacindelaauditoraposiblementedebidoaotrasinterpretacionesacercadelaentidad. La estructura del informe de conclusiones a entregarse a la administracin de la cooperativa seralasiguiente: Iniciarconelperododetiempoenelqueseharealizadolaevaluacin. Seindicarelequipodeauditoraquehaintervenidoenlaevaluacin. Seincluirnlosobjetivosquesepretendieronalcanzarconlaevaluacindeauditora. Posteriormente se indicar los dominios de los cuales se ha realizado la evaluacin de auditoradeacuerdoalmarcodetrabajoqueutilizado,enestecasoCOBIT. Seindicarelcriteriosobreelcualseharealizadolaevaluacin,enestecasoelcriterio recomendadoporlosobjetivosdecontroldefinidosenCOBIT. Identificar la condicin en la que se encontr a la cooperativa, o tambin conocida comoobservacin. Seidentificarnlascausasqueprovocanlasituacinobservadaenlacooperativa. 7
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel Se incluir los efectos que puede provocar el hecho de que se mantenga la situacin actualidentificadaporlaauditoraenlacooperativa. Se incluirn las recomendaciones que la administracin debera adoptar para cumplir con el criterio de los objetivos de control, que permita reducir la posibilidad de ocurrenciadelosefectosanotadosanteriormente. Por ltimo incluir el punto de vista de la administracin en la que se indique si tomarnencuentalasrecomendacionesemitidasylasfechasenlascualesestassern adoptadas,locualfacilitarlaejecucindeunseguimientoposteriordelaauditora.
En el informe final a ser presentado a la administracin se incluirn solo los hechos importantesencontrados,puestoquelainclusindeobjetivosirrelevantesnorepresentavalor alaevaluacin. Cabemencionarquelapresenteestrategiaestsujetaacambiosquesepuedandarconforme avanceelprocesodeauditora.
CAPTULO1:
ELPROCESODELAAUDITORA INFORMTICA
9
1. ELPROCESODELAAUDITORAINFORMTICA
Enel presente captulo se realizaun anlisisterico sobreeltema de auditora informtica,su definicin, sus objetivos, importancia, anlisis de riesgos, controles internos, metodologa, sus funciones, sus tipos y herramientas, la planeacin de la auditora finalizando con el conocimiento del informe final de la auditora y una seccin de auditora informtica en el sectorbancario,queabarcatemasrelacionadosalprocesodecrditodelacooperativa. Adems tambin se realiza el anlisis terico de lo que engloba este trabajo de tesis que es el marco de trabajo COBIT, conocer los dominios y sus procesos, los objetivos de control y sus respectivosmodelosdemadurezquepermitirnposteriormenteanalizarlasituacinenlaque se encuentra la Cooperativa de Ahorro y Crdito Fortuna en cuanto a los procesos de crdito. Finalmente se describe algunos ejemplos de aplicacin que estn basados en el estudioyaplicabilidaddelmarcodereferenciaCOBIT. Tanto los temas de auditora informtica como de COBIT son parte fundamental para el desarrollodeestetrabajodeinvestigacin,paratomarlocomounaguainicialeneldesarrollo delaauditorainformtica.
1.1. AUDITORAINFORMTICA
1.1.1. DEFINICIN
J.J. Acha define auditora informtica como un conjunto de procedimientos y tcnicas para evaluar y controlar total o parcialmente un sistema informtico, con el fin de proteger sus activosyrecursos,verificarsisusactividadessedesarrollaneficientementeydeacuerdoconla normativainformticaygeneralexistenteencadaempresayparaconseguirlaeficaciaexigida enelmarcodelaorganizacincorrespondiente.[1]
1.1.2. ALCANCE
Elalcancedelaauditoradefineconprecisinelentornoyloslmitesenquevaadesarrollarse la auditora informtica y se complementa con los objetivos de sta. El alcance se concretar expresamente en el informe final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas [26].
1.1.3. TIPOSDEAUDITORAINFORMTICA
En la Tabla 1.1 se presenta una clasificacin de los diferentes tipos de auditoras[4].
10

Tabla1.1.TiposdeAuditoraInformtica[4]
TIPO Auditoradelasbasesdedatos
DESCRIPCION Controles de acceso, de actualizacin, de integridadycalidaddelosdatos. Referidos a datos e informacin verificando disponibilidad, integridad, confidencialidad, autenticacin y no repudio. Comprende los mtodos de autenticacin delossistemasdeinformacin. Errores,accidentesyfraudes.
Auditoradelaseguridad
Auditoradelaseguridadlgica Auditoradelaseguridadenproduccin
Yaqueunainstitucinfinancieradebegarantizarquelainformacinydatosdesussociossean confidencialesentegros,seconsideranecesarioaplicarenelpresentetrabajodeauditoralos dosprimerostiposmencionadosenlaTabla1.1.
1.1.4. METODOLOGASDEAUDITORAINFORMTICA
La metodologa es necesaria para que un equipo de profesionales alcance un resultado homogneotalcomosilohicieraunoslo.Porello,resultahabitualelusodemetodologasen las empresas auditoras/consultoras profesionales (desarrolladas por los ms expertos) para conseguirresultadossimilares(homogneos)enequiposdetrabajodiferentes(heterogneos). [1] Lasmetodologasquesepuedeencontrarenlaauditorainformticasondosfamiliasdistintas [1]: Las auditoras de controles generales: Cuyo objetivo es dar una opinin sobre la fiabilidad de los datos del ordenador para la auditora financiera. El resultado externo es un escueto informe como parte del informe de auditora, donde se destacan las vulnerabilidades encontradas. Estn basadas en pequeos cuestionarios estndares que dan como resultado informesmuygeneralistas. Las metodologas de los auditores internos: Estn formuladas por recomendaciones de plan de trabajo y de todo el proceso que se debe seguir, por tanto, estn basadas en profesionales de gran nivel de experiencia y formacin, capaces de dictar recomendaciones tcnicas, operativasyjurdicas, que exigen unagranprofesionalidady formacin. De la misma forma se describeenformadecuestionariosgenricos,conunaorientacindeloscontrolesarevisar.El auditor interno debe crear sus metodologas necesarias para auditar los distintos aspectos o reasenelplanauditor. 11
1.1.5. PRINCIPALES PRUEBAS Y HERRAMIENTAS PARA EFECTUAR UNA AUDITORAINFORMTICA

Alelaborarunaauditorainformticaelauditorpuederealizarlassiguientespruebas[5]: Pruebas clsicas: Consiste en probar las aplicaciones/sistemas con datos de prueba, observando la entrada, la salida esperada, y la salida obtenida. Existen paquetes que permitenlarealizacindeestaspruebas. Pruebas sustantivas: Aportan al auditor informtico las suficientes evidencias y que se pueda formar un juicio. Se suelen obtener mediante observacin, clculos, muestreos, entrevistas, tcnicas de examen analtico, revisiones y conciliaciones. Verifican as mismo laexactitud,integridadyvalidezdelainformacin. Pruebas de cumplimiento: Determinan si un sistema de control interno funciona adecuadamente segn la documentacin, segn declaran los auditados y segn las polticasyprocedimientosdelaorganizacin. Lasprincipalesherramientasdelasquedisponeunauditorinformticoson:

Observacin Realizacindecuestionarios Entrevistasaauditadosynoauditados Flujogramas Listasdechequeo
1.1.6. PROCESODEUNAAUDITORAINFORMTICA
Elprocesodeunaauditorainformticaseresumeenlasfasesyetapasquesemuestranen laFigura1.1,cuyodetalleseencuentraenelAnexo1:
12
Figura1.1.ProcesodelOperativodeAuditora1.
Todo proceso posee una metodologa para ser realizado, es as que el mtodo de trabajo del auditorpasaporlassiguientesetapas[18]:
PLANIFICACINDELAAUDITORAINFORMTICA
Losmbitosquedebensercubiertosdentrodelaplanificacindelaauditorason: Comprensindelaempresa Riesgoymaterialidaddeauditora Objetivosdecontrolyobjetivosdeauditora Procedimientosdeauditora

1 Fuente: It Governance Institute, Cobit 4.1. (2007), www.itgi.org, http://www.isaca.org/KnowledgeCenter/cobit/Documents/cobiT4.1spanish.pdf[44]. 13

EJECUCINDELAAUDITORAINFORMTICA
Para el desarrollo adecuado de una auditora por lo general se debe llevar una apropiada documentacinquedemodogeneralincluye: Temadeauditora:Dondeseidentificaelreaaserauditada. Objetivosdeauditora:Dondeseindicaelpropsitodeltrabajodeauditora Alcances de auditora: Se detalla los sistemas especficos o unidades de organizacin que se han de incluir en la revisin en un perodo de tiempo determinado. Planificacin previa: Donde se identifica los recursos y destrezas que se necesitan para realizar el trabajo as como las fuentes de informacin para pruebasorevisinylugaresfsicosoinstalacionesdondesevaauditar. Procedimientosdeauditora
FINALIZACINDELAAUDITORAINFORMTICA
Preparacinyredaccindelinformefinal Redaccin de la carta de introduccin o carta de presentacin del informe finalyseguimientodelasmedidascorrectivas.
1.1.7. ESTNDARESDEAUDITORAINFORMTICA
El auditor de procesos TI tiene una variada gama de herramientas y/o marcos de trabajo que pueden asistirle al momento de aplicar la auditora que corresponda, dando una visin objetivaparaqueelauditordecidaqumarcoeselmejorparausarseenbasealmediodonde realicesutrabajoydependiendodelafuncinquecumplelaorganizacin:[27]. A continuacin en la Tabla 1.2, se resumen en un cuadro comparativo los marcos de trabajo que se han considerado ms importantes, cuya principal diferencia entre ellos es el enfoque quemanejanparaatenderydesarrollarlasreasdeTIysucobertura:
Tabla1.2.CuadrocomparativoentreCOBITT,ITILylaISO27000.
2
REA
COBIT(Gestindela Seguridaddela Informacin),

Abarcatodoelespectro delasactividadesdeIT (seguridad,control,
ITIL(Gestindela Seguridaddela Informacin)

Muycentradoenla administracinde servicios
ISO27000(Gestin delaSeguridadde laInformacin),

Cubretodolo referentealaentrega deserviciosdeTI
Alcance
2Fuentes: http://itilv3sosw.blogspot.com/2011/05/itilv3alineadaconcobit41ylaiso.html, http://bibdigital.epn.edu.ec/bitstream/15000/2222/1/CD3019.pdf.
14
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel serviciosyriesgo)
Definirlos Establececontroles Objetivo principal internosparaasegurar buenasprcticasde gestindeITyun gobiernodeITexitoso. requerimientos Darsoportealos procesosdelnegocio desdeunaperspectivade gestindeservicios. necesariospara realizarunaentrega deserviciosdeTI alineadosconlas necesidadesdel negocio. Funciones MapeodeprocesosIT 4Procesosy34 Dominios ISACA MapeodelaGestinde NivelesdeServiciodeIT 9Procesos Marcodereferencia deseguridaddela informacin 10Dominios ISOInternational Creador OGC Organizationfor Standardization Paraquse implementa? AuditoradeSistemas deInformacin GestindeNivelesde Servicio Cumplimientodel estndarde seguridad Compaasde Quineslo evalan? Compaasde contabilidad,Compaas deconsultoraenTI consultoraenTI, Compaasdeconsultora enTI Empresasde seguridad, Consultoresde seguridadenredes. Adems de los estndares de auditora existen herramientas que ayudan en la auditora informtica, en el presente trabajo se trabajar con el paquete IDEA, el cual permite leer, analizar, visualizar, manipular, obtener muestras y extraer datos de diferentes fuentes, para verificarbasesdedatos[32]. Tambin se aplicar una herramienta que basada en plugins permite escanear las debilidades delared,yaseaequiporemotooequipolocal,dichaherramientaesconocidacomoNESSUS,y se caracteriza por tener alta velocidad de descubrimiento, auditora en la configuracin de aplicacionesydescubrimientodedatossensibles.[64]. 15
reas
1.2. AUDITORAINFORMTICAENELSECTORBANCARIO
EstaseccinestomadadellibrodeMarioPiattiniyEmiliodelPeso[1]yaqueserelacionacon laauditorainformticaenelsectorfinanciero,queeseltemaprincipaldelproyectodetesis.
1.2.1. NECESIDADYBENEFICIOSDELAAUDITORAINFORMTICAENLAS ENTIDADESFINANCIERAS

Una de las caractersticas de cualquier actividad auditora est relacionada con las funciones de control. Por ello la participacin de la auditora informtica en el sector financiero la constituye la revisin de las aplicaciones informticas con el objeto de asegurar que cumplan conloscriteriosfuncionalesyoperativosdefinidosporlaentidadfinanciera. Los sistemas de informacin de bancos y entidades financieras tienen entre sus caractersticas particulares la de construir fuentes de datos para mltiples agentes externos. La importancia de la auditora informtica debe garantizar el correcto funcionamiento de los sistemas, no solo desde la perspectiva de la gestin de la propia empresa sino tambin desde la ptica de losclientes. La auditora informtica en las entidades financieras suele aportar con la deteccin de procesosobsoletos, ineficacesoredundantes, que no aadenvalor a la actividad denegocioy que sin embargo suponen un coste. El auditor informtico tiene la oportunidad de analizar la informacin, los procesos operativos relacionados con los productos y tratamientos informticos.
1.2.2. AUDITORA INFORMTICA EN LA PROTECCIN DE DATOS PERSONALES

Una entidad financiera dispone de diversa informacin patrimonial y personal de cada uno de sus clientes. Los datos que posee la entidad pueden ser, sus datos personales (nombre, direccin, telfono), tambin puede disponer de datos profesionales (actividad a la que se dedica, empresapara la que trabaja), ademsposicincompleta de suscuentas (saldos),valor tasadodesuviviendaencasodequelehayaotorgadounprstamo,niveldeendeudamiento, etc. La sensibilidad de la informacin manejada por una entidad financiera es mayor si se tiene en cuenta la totalidad de sus clientes y productos, ya que tienen informacin ms completa y valiosa y por tanto ms sensible, que disponer exclusivamente de las cuentas de un nico cliente. Losprincipalesriesgosalosquehacefrentelagestindelainformacinson:
16
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel Difusin no autorizada, intencionada o no, hacia destinos improcedentes. La confidencialidadesuntemade especialpreocupacinencualquierentidad financiera yaqueenunaentidadbancariaintervienelaconfianzadepositadaporelcliente. Obtencin de informacin errnea, por accidente o por manipulacin indebida, y como consecuencia de la normativa a la que est sometida la actividad bancaria perjudicandoalosclientes.
1.2.3. ACTIVIDADES DE AUDITORA EN RELACIN CON LA PROTECCIN DEDATOSPERSONALES

Con respecto a la realizacin de la auditora, esta debera verificar el cumplimiento de los controlesenlasreassiguientes: Controlesdeprocedimientosynormasoperativas. Controlesrelacionadosconlaseguridadfsica. Controlesrelativosalaseguridadlgica. Controlesderespaldo.
1.3. EJEMPLOSDEAPLICACIN
1. Gonzlez Narvez Geovanny y Ruiz Barzola Omar. Auditora informtica a una institucin delsectorfinancieroagenciaGuayaquil,perodo2008[20] En este trabajo, se realiza la auditora informtica a una sucursal bancaria en un periodo determinado aplicando tcnicas de auditora bsicas para determinar la integridad, disponibilidadyconfidencialidaddelainformacin. El estudio comprende desde un conocimiento completo de la institucin hasta la emisin de uninformedelasobservacionesencontradasconsusrespectivasrecomendaciones. Adicionalmente desarrollan un pequeo anlisis estadstico, el cual comprende determinar el grado de satisfaccin de los usuarios actuales hacia el sistema que utilizan, y la importancia y gradodeaceptacinquesetieneenmigrarlosdatosaunnuevosistema. Adems pudieron constatar que la institucin carece de seguridades fsicas y lgicas en el manejo de la informacin de todos sus departamentos debido a los sistemas caducos que posee. Entrelasrecomendacionesdelpresentetrabajopresentanlassiguientes: Establecer y hacer cumplir polticas para tener un mayor control con los servidores dondeseespecifiquemantenerlasesindeusuariocerrada. Elaboraraplicativosdelsistemaqueelaborenprocesosautomticamente. Designarunequipodeevaluacindesistemasparaquemitigueerrorespotenciales. Escogerunlugarapropiadoyseguroparalosrespaldosdiariosdetodaslasreas. Eliminar ciertos atributos que poseen los usuarios para evitar que se acceda a mdulosoreascrticasquepuedenocasionarquelainformacindejedeserintegra. 17
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel Con esta investigacin logran conocer la situacin real en la que se encuentra la agencia de Guayaquildelaentidadfinancieraauditada,conrespectoalatecnologadelainformacin. 2. Carlos Geovanny Guzmn de Len. Lineamientos Generales para una Auditora de SistemasenelCentrodeInformacindeunaInstitucinBancaria[24]. Este trabajo fue realizado tomando en cuenta la importancia que tiene la funcin de la auditora de sistemas en las instituciones financieras, as como la necesidad de planificarla o desarrollarla Enestainvestigacindeterminanlasestrategiasycursosdeaccindelainstitucinfinanciera, lascualesseestablecenmedianteentrevistasyunanlisisdetalladodecadaprocesobsicode laorganizacin. steestudiocontempla,amanerageneral,lassiguientescaractersticas: Unprocesoqueinvolucratodaslasreasdelainstitucinfinanciera Evalanelmedioexternoensusdiferentesentornos Seapoyaenasesoresexternosoespecialistasdelainstitucinfinanciera Detecta fortalezas, debilidades y reas de oportunidad de la institucin financiera (financieras,recursoshumanos,tecnologa,mercadotecnia,etc.) Establecenlasamenazasquerepresentalacompetencia Determinanestrategiasymetasdelainstitucinfinanciera Losproyectossecontemplanacorto,medianoylargoplazo Aprobacin del informedeauditora, por los accionistaso dueos de la institucin financiera Para el desarrollo de la auditora de sistemas realizan un muestreo en el sector financiero del pas (instituciones bancarias), debido a la gran cantidad de datos que manejan, el tipo de operaciones(puntosdeventa,cajeros automticos,agenciasyotros),yelpersonalqueexiste ensuscentrosdeinformacin. En este proyecto hablan del marco de trabajo COBIT para el desarrollo e implantacin de la auditora informtica, pero no detallan la aplicacin del mismo en el desarrollo de la investigacin. Entreslasrecomendacionesqueseemitenenesteproyectotenemosque: Lasinstitucionesfinancierasdebencrearunplanestratgicodeacuerdoalosobjetivosde laorganizacinendondesedesempean,parapoderobtenermejoresfrutos. Losescasosauditoresdesistemasqueseencuentranennuestromediodebencapacitarse conpersonalcalificado,enlasdistintasareasdedichaauditora,loquelesproporcionar las herramientas y el conocimiento necesarios para garantizar plena confianza en la exactitudeintegridaddelosdatosquesongeneradosporlossistemasdeinformacin. Tomar en cuenta por parte de la administracin (Junta Directiva y/o Presidencia) de cada una de las instituciones financieras, el adelanto tecnolgico del que son objeto los sistemasdeinformacin. Adoptar una metodologa de acuerdo a los estndares de calidad ISO, para poder llevar a cabodeunamaneraorganizadalasauditorasenloscentrosdeinformacin. 18
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel Brindaralos miembrosdelaunidaddeauditoradesistemas,unacapacitacinconstante de acuerdo a las necesidades del centro de informacin y a las necesidades tecnolgicas denuestromedio. 3. Fayer Alexis Caldern Yong. Auditora Informtica Aplicando COBIT 4.0 en la Cooperativa deAhorroyCrditoPabloMuozVegaLtda.[11]. Estetrabajorealiza un anlisis de riesgosenconjuntoconlosprocesos del marco detrabajo COBIT 4.0 para poder determinar en qu nivel de riesgo tecnolgico se encuentra el rea de sistemas y por ende la Cooperativa de Ahorro y Crdito Pablo Muoz Vega Cia. Ltda. Luego efecta un anlisis de cada proceso de COBIT para poder determinar las fortalezas y debilidades tecnolgicas de la institucin, planteando finalmente la aplicacin de mejoras o correctivosnecesariosparamonitorearycontrolarelreadeTI. El principal objetivo de esta auditora informtica es asesorar a la administracin de la cooperativa en el cumplimiento efectivo de sus responsabilidades, facilitndoles anlisis, apreciaciones, comentarios y recomendaciones relacionados con las actividades del procesamientodelainformacin. Con el desarrollo de la auditora informtica se pretende, evaluar lo correspondiente a la tecnologa de la informacin de la cooperativa y lograr con ello un adecuado retorno de la inversin que se realza en tecnologa, que la institucin posea una correcta administracin de losriesgosenTI,yquedispongadeunapropiadomarcodecontrolinterno. Para cumplir con el objetivo de la auditora se recab toda documentacin e informacin correspondientealreadesistemasdelacooperativaacordeacadaprocesodeCOBIT4.0. Paraello,enprimerlugarrealizanunanlisisderiesgoaniveltecnolgico,concualtienenuna visin general de posibles riesgos en cuanto a tecnologa que podran presentarse en la Cooperativa de Ahorro y Crdito Pablo Muoz Vega Ltda. Posteriormente aplicando el modelo de madurez de cada una de los procesos de COBIT 4.0 presenta el informe final de la auditora informtica, el que permitir a la cooperativa tener una apreciacin de cmo y en qu estado se encuentra su rea de sistemas, emitindose en este informe las observaciones vertidasporcadaunodedichosprocesos. Entreslasrecomendacionesqueseemitenenesteproyectotenemosque: Se considera importante que el personal tanto del rea de sistemas como de auditora interna, unidad de riesgos y la alta direccin reciban una induccin en la metodologa de auditoraparaquesuaplicacinseamsproductivaylosresultadosdelaevaluacinsean elementosdejuicioparatomadedecisiones. Basados en los lineamientos de la metodologa COBIT para el rea de TI, las organizaciones deben adoptar las mejores prcticas y adaptarlas a sus procesos para alcanzarunnivelptimodemadurezparamejorarlacompetitividaddelaorganizacin. Disear un proceso de implementacin de las recomendaciones generadas en la evaluacin de auditora efectuada, el mismo que complementara el objetivo principal de laejecucindelaauditorainformticaqueconsisteenlamejoracontinuadelosprocesos deTI. 19
1.4. COBIT COMO MARCO DE REFERENCIA PARA AUDITORAINFORMTICA

1.4.1. ESTRUCTURADELMARCOREFERENCIALCOBIT
El marco de referencia de COBIT consta de objetivos de control de TI de alto nivel y de una estructurageneralparasuclasificacinypresentacin,quehansidobasadasentresnivelesde actividadesdeTIalconsiderarlaadministracindesusrecursos,estosson[2]: Actividades: las actividades y tareas son las acciones requeridas para lograr un resultado medible. Las actividades tienen un ciclo de vida, mientras que las tareas son msdiscretas. Procesos:sonconjuntosdeactividadesotareascondelimitacinocortesdecontrol. Dominios: es la agrupacin natural de procesos denominados frecuentemente como dominiosquecorrespondenalaresponsabilidadorganizacional. Por lo tanto, el marco de referencia conceptual puede ser enfocado desde tres puntos estratgicos:criteriosdeinformacin,recursosdeTIyprocesosdeTI. EstostrespuntosestratgicossondescritosenelcuboCOBITqueseilustraenFigura1.2.
Figura1.2.CuboCOBIT3
Para lograr la alineacin de las mejores prcticas con los requerimientos del negocio, se recomienda que COBIT se utilice al ms alto nivel, brindando as un marco de control general basadoenunmodelodeprocesosdeTIquedebeseraplicableengeneralatodaempresa. 3 Fuente: It Governance Institute, Cobit 4.1. (2007), www.itgi.org, http://www.isaca.org/KnowledgeCenter/cobit/Documents/cobiT4.1spanish.pdf[2].
20
1.4.2. DOMINIOS
COBIT presenta treinta y cuatro objetivos generales, uno para cada uno de los procesos de las TI,estosprocesosestnagrupadosencuatrodominioscomolomuestralaFigura1.3:
Figura1.3.LoscuatrodominiosdeCOBIT4
1.4.2.1. PLANEARYORGANIZAR(PO)
Este dominio cubre las estrategias y las tcticas, y tiene que ver con identificar la manera en que TI pueda contribuir de la mejor manera al logro de los objetivos del negocio. Adems, la realizacin de la visin estratgica requiere ser planeada, comunicada y administrada desde diferentesperspectivas. Finalmente,sedebeimplementarunaestructuraorganizacionalyuna estructuratecnolgicaapropiada[2]. Estedominioconsideralossiguientesobjetivosdealtoniveloprocesos: PO1Definirunplanestratgicodetecnologadeinformacin PO2DefinirlaarquitecturadeInformacin PO3Determinarladireccintecnolgica PO4DefinirlaorganizacinydelasrelacionesdeTI PO5ManejarlainversinenTecnologadeInformacin PO6Comunicarladireccinyaspiracionesdelagerencia PO7Administrarrecursoshumanos PO8Asegurarelcumplimientoderequerimientosexternos PO9Evaluarriesgos PO10Administrarproyectos PO11Administrarcalidad
4 Fuente: It Governance Institute, Cobit 4.1. (2007), www.itgi.org, http://www.isaca.org/KnowledgeCenter/cobit/Documents/cobiT4.1spanish.pdf[4].
21
1.4.2.2. ADQUIRIREIMPLEMENTAR(AI)
Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas as como la implementacin e integracin en los procesos del negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes[2]. Estedominioconsideralossiguientesobjetivosdealtoniveloprocesos: AI1Identificarsoluciones AI2Adquirirymantenersoftwaredeaplicacin AI3Adquirirymantenerarquitecturadetecnologa AI4DesarrollarymantenerprocedimientosrelacionadosconTI AI5Instalaryacreditarsistemas AI6Administrarcambios
1.4.2.3. ENTREGARYDARSOPORTE(DS)
Estedominiocubrelaentregaensdelosserviciosrequeridos,loqueincluyelaprestacindel servicio, la administracin de la seguridad y de la continuidad, el soporte del servicio a los usuarios,laadministracindelosdatosydelasinstalacionesoperacionales[2]. Estedominioconsideralossiguientesobjetivosdealtoniveloprocesos: DS1Definirnivelesdeservicio DS2Administrarserviciosprestadosporterceros DS3Administrardesempeoycapacidad DS4Asegurarserviciocontinuo DS5Garantizarlaseguridaddesistemas DS6Identificaryasignarcostos DS7Educaryentrenaralosusuarios DS8ApoyaryasistiralosclientesdeTI DS9Administrarlaconfiguracin DS10Administrarproblemaseincidentes DS11Administrardatos DS12Administrarinstalaciones DS13Administraroperaciones
1.4.2.4. MONITOREARYEVALUAR(ME)
TodoslosprocesosdeTIdebenevaluarsedeformaregulareneltiempoencuantoasucalidad y cumplimiento de los requerimientos de control. Este dominio abarca la administracin del
22
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel desempeo, el monitoreo del control interno, el cumplimiento regulatorio y la aplicacin del gobierno[2]. Estedominioconsideralossiguientesobjetivosdealtoniveloprocesos: M1Monitorearlosprocesos M2EvaluarloadecuadodelcontrolInterno M3Obteneraseguramientoindependiente M4Proporcionarauditoraindependiente.
En resumen, los Recursos de TI necesitan ser administrados por un conjunto de procesos agrupadosenformanatural,conelfindeproporcionarlainformacinquelaempresanecesita paraalcanzarsusobjetivos[14]. COBIT es considerada una herramienta completa ya que permite administrar los sistemas de informacinaunnivelmsaltoquelosestndaresexistentesparaelmismopropsito. Se ha determinado que por las caractersticas y ambiente de aplicacin de COBIT, sta es la herramienta ms tilpara fundamentarel presente proyecto,ya que, independientemente de lamisindelaorganizacin aserauditada,laplataformaenlaquesebasaeldesarrollodelas tecnologasdelainformacin,elserviciooproductoqueofrezca,eltipodeadministracinque predomine; el marco de referencia COBIT no es slo una gua para auditores o tcnicos profesionales en procesos TI, sino tambin para gerentes y todos quienes estn involucrados en el cumplimiento de los objetivos del negocio, pues en ambos aspectos, gerencial y tecnolgico, su implementacin ser fundamental para que el gobierno de TI se desarrolle comodebeser.
1.4.3. OBJETIVOSDECONTROL
Un objetivo de control de TI es una declaracin del resultado o fin que se desea lograr al implantar procedimientos de control en una actividad de TI en particular. Los objetivos de controldeCOBIT son los requerimientos mnimosparauncontrol efectivode cadaprocesode IT. Ya que los objetivos de control de TI de COBIT estn organizados por procesos de TI, el marco de trabajo brinda vnculos claros entre los requerimientos de gobierno de TI, los procesosdeTIyloscontrolesdeTI[2]. CadaunodelosprocesosdeTIdeCOBITtieneunobjetivodecontroldealtonivelyunnmero deobjetivosdecontroldetallados[2]. Los objetivos de control detallados se identifican por dos caracteres que representan el dominio(PO,AI,DSyME)msunnmerodeprocesoyunnmerodeobjetivodecontrol[2].
23
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel Adems de los objetivos de control detallados, cada proceso COBIT tiene requerimientos de control genricos que se identifican con PCn (Control de Proceso nmero). Estos se deben tomar como un todo junto con los objetivos de control del proceso para tener una visin completadelosrequerimientosdecontrol[2],loscualsedetallaenelAnexo2. COBIT tambin ofrece un conjunto recomendado de objetivos de control de las aplicaciones identificados por ACn, nmero de Control de Aplicacin [2], esto tambin se explica detenidamenteenelAnexo2. Una descripcin detallada de cada proceso COBIT con su respectivo objetivo de control se puedeencontrarenelAnexo16.
1.4.4. MODELOSDEMADUREZ
Los modelos de madurez para el control de los procesos de TI consisten en desarrollar un mtodo de puntaje de modo que una organizacin pueda calificarse a s misma desde inexistente hastaoptimizada (de 0a 5).Este mtodohasido derivado del modelo de madurez que elSoftwareEngineeringInstitutedefiniparalamadurezde lacapacidaddedesarrollode software.Contraestosniveles,desarrolladosparacadaunodelostreintaycuatroprocesosde TIdeCOBIT,laadministracinpuedemapearocruzar[2]: Elestadoactualdelaorganizacindndeestlaorganizacinactualmente Elestadoactualdelaindustria(lamejordesuclaseen)lacomparacin Elestadoactualdelosestndaresinternacionalescomparacinadicional La estrategia de la organizacin para mejoramiento dnde quiere estar la organizacin.
Figura1.4.Representacingrficadelosmodelosdemadurez
0 Inexistente. Carencia completa de cualquier proceso reconocible. La empresa no ha reconocidosiquieraqueexisteunproblemaaresolver. 5 Fuente: It Governance Institute, Cobit 4.1. (2007), www.itgi.org, http://www.isaca.org/KnowledgeCenter/cobit/Documents/cobiT4.1spanish.pdf[2].
24
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel 1Inicial. Existeevidenciaquelaempresahareconocidoquelosproblemasexistenyrequieren ser resueltos. Sin embargo; no existen procesos estndar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la administracinesdesorganizado. 2 Repetible. Sehandesarrollado los procesoshasta elpunto en que se siguen procedimientos similares en diferentes reas que realizan la misma tarea. No hay entrenamiento o comunicacinformaldelosprocedimientosestndar,ysedejalaresponsabilidadalindividuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los erroressonmuyprobables. 3 Definido. Los procedimientos se han estandarizado y documentado, y se han difundido a travs de entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, yespocoprobableque sedetectendesviaciones.Losprocedimientosen snosonsofisticados peroformalizanlasprcticasexistentes. 4Administrado.Esposiblemonitorearymedirelcumplimientodelosprocedimientosytomar medidas cuando los procesos no estn trabajando de forma efectiva. Los procesos estn bajo constante mejora y proporcionan buenas prcticas. Se usa la automatizacin y herramientas deunamaneralimitadaofragmentada. 5 Optimizado. Los procesos se han refinado hasta un nivel de mejor prctica, se basan en los resultados demejorascontinuasy en unmodelo de madurez con otrasempresas.TI seusa de forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidadylaefectividad,haciendoquelaempresaseadaptedemanerarpida. En resumen, los modelos de madurez brindan un perfil genrico de las etapas a travs de las cualesevolucionan las empresaspara la administracin yelcontrol de losprocesos deTI, este perfiles[2]: Un conjunto de requerimientos y los aspectos que los hacen posibles en los distintos nivelesdemadurez Unaescaladondeladiferenciasepuedemedirdeformasencilla Unaescalaqueseprestaasmismaparaunacomparacinprctica Labaseparaestablecerelestadoactualyelestadodeseado Soporte para un anlisis de brechas para determinar qu se requiere hacer para alcanzarelnivelseleccionado Tomadoenconjunto,unavistadecmoseadministralaTIenlaempresa.
25
CAPTULO2:
ANLISISSITUACIONALDELA COOPERATIVADEAHORROY CRDITOFORTUNA

26
2. ANLISISSITUACIONALDELACOOPERATIVADE AHORROYCRDITOFORTUNA
Durante el desarrollo de esta fase se conocer ms a fondo a la Cooperativa de Ahorro y Crdito Fortuna, realizando el anlisis situacional de la misma, esto es, su descripcin, su infraestructura, cmo est organizada estructuralmente, cmo est conformada su rea de sistemas,cmoestestructuradafsicamente,qusistemaseutilizaysobrequbasededatos trabaja, cul es su plataforma de desarrollo, productos y servicios que ofrece, entre otros temas; dndonos con ello una idea general de la misma, pues es la empresa en la cual se desarrollaelpresentetrabajodetesis. Con estos conocimientos previos se define la problemtica, se establece el plan de auditora informtica,elcualcontemplaelobjetivoprincipal,elalcancedelaauditora,quinvarealizar la auditora, qu personas estarn involucradas y el proceso que se sigue para otorgar un crditoenlacooperativaFortuna. Ademssedefinenlosprocesosdecrditoqueserealizanenlacooperativaparalaotorgacin de crditos a sus socios, mismos que se encuentran esquematizados en un grfico, posteriormente se realiza la eleccin de los procesos correspondientes a los dominios del marcoreferencialCOBIT,estoshansidoseleccionadosenbasealcriteriodelauditor,haciendo relacin con el proceso de crdito que se realiza en la cooperativa, mismo que se ha seleccionadopararealizarlaauditorainformtica.
2.1. DEFINICINDELAPROBLEMTICA
La Cooperativa de Ahorroy Crdito Fortunadentro del proceso de planificacin y mejoramiento de la calidad de sus servicios ha tomado como un hito principal realizar un adecuado seguimiento y control de los procesos de negocio, principalmente en el departamentodecrditoydeTIquesonlacolumnavertebraldetodainstitucinfinanciera. Es por ello que se ha establecido como proceso inicial la realizacin de una auditora informticaadichosprocesos,tomandocomomarcodetrabajoaCOBIT,paradeestamanera verificar elcumplimientodelasnormativasdelacooperativadentrodelprocesocrediticio,ya partir de este estudio encontrar las diferentes falencias y proponer posibles mejoras que puedan adoptarse en la institucin, tanto en el rea de crdito como en el rea de tecnologa de informacin; y de la misma manera, asegurar que el sistema informtico cumpla con los requerimientos de la entidad, permitiendo un adecuado manejo y control de los procesos de crdito.
2.2. ANTECEDENTES
La Cooperativa de Ahorro y Crdito Fortuna funciona en la ciudad de Loja desde hace siete aosyesunainstitucinfinancieraquetrabajaalserviciodetodossussocios. 27
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel El sistema que utiliza la Cooperativa de Ahorro y Crdito Fortuna tiene por nombre CONEXUS el cual posee mdulos operativos, mdulos administrativos, mdulos de control, mdulos adicionales e interfaces externas, los cuales se detallan en el Anexo 3 . Este sistema es centralizado ya que se encuentra localizado en el servidor LINUX, y por ende todas las terminalesaccedenasteparacualquieroperacinquesedeseeefectuar. La cooperativaposeedos servidores, uno para labasededatos el cualtrabaja conelsistema operativoLINUXCENTOS5.2.,ycuyomotordebasededatosesINFORMIXinstaladosobreun servidor hp con tecnologa INTEL XEON, Y el segundo bajo la plataforma de Windows 2000 Service Pack 4 que controla bajo un software propio del sistema CONEXUS los usuarios logueadosalmismo(controldelicenciasporusuarios)yestdesarrolladoenVisualBasic6.0. La pgina web de la Cooperativa de Ahorro y Crdito Fortuna [22] contiene toda la informacin correspondiente a ella, en lo que respecta a su misin, visin, productos financieros, servicios e informacin financiera. Siendo sta una pgina esttica ya que se encuentra en proyecto la elaboracin de una pgina web dinmica con ms servicios para todossussocios. La cooperativa cuenta con un departamento de auditora interna, pero en l no existe una personaqueseencargueespecficamentederealizarunaauditorainformtica. Laspersonasinvolucradaseneldesarrollodeestaauditorason: Gerente general: para apoyar sus decisiones de inversin en TI y control sobre el rendimientodelasmismas,analizarelcostobeneficiodelcontrol. Jefe de sistemas y asistente tcnico operativo: para identificar los controles que requierenencadaunadesusreas. Departamentodecrdito:paraidentificarlosprocesoscrticosenestarea. Los usuarios finales: quienes obtienen una garanta sobre la seguridad y el control de losproductosqueadquiereninternayexternamente
Este trabajo de auditora informtica servir como una herramienta, tanto para el departamento de crdito, como para el departamento de auditora interna de la cooperativa Fortuna, el cual permitir efectuar evaluaciones peridicas al rea de crdito, rea de sistemasyalaplicativoCONEXUS.
2.3.INFORMACININSTITUCIONAL
2.3.1. DESCRIPCINDELAEMPRESA
La Cooperativa de Ahorro y Crdito Fortuna, se crea el 27 de Noviembre del 2003, con treintaynuevesociosfundadores,ensumayoraLojanos. 28
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel Estaprestigiosainstitucin,seinscribilegalmenteenelRegistroGeneraldeCooperativascon el nmero de orden 6630, y se registraron sus estatutos en el Registro Mercantil del Cantn Lojadelao2006,bajopartidaN.105,yanotadoenelrepertorioconelN.1195. La Cooperativa de Ahorro y Crdito Fortuna est dirigida a la prestacin de servicios financierosynofinancieros,atravsdelasactividadesdecaptaciones,colocacionesyservicios complementariosquesatisfaganlasnecesidadesdesociosyclientesensusoficinasoperativas.
2.3.2. MISIN
Brindar a sus sociosycomunidad lojanael mejor serviciocooperativo,competitivoyoportuno para contribuir al desarrollo econmico y social de cada uno de los sectores de su economa, incentivandoelahorroyelcrecimientomutuo.
2.3.3. VISIN
Ser la cooperativa de ahorro y crdito lder en la ciudad y provincia de Loja, mediante la prestacin de productos y servicios financieros de calidad, conforme a los requerimientos de sus socios y ciudadana en general con solvencia, agilidad y honradez, garantizando de esta manera la seguridad de sus depsitos y siendo una mano amiga a la hora de necesitar su apoyo.
2.3.4. VALORES
Seguridadyconfianza Transparencia Agilidadyeficiencia Responsabilidadsocial Trabajoenequipo Flexibilidadoperativa
2.3.5. OBJETIVOSINSTITUCIONALES
Objetivosgenerales Fortalecerelpatrimonioinstitucional. Integraralossociosconlainstitucin. Mejorarlaatencinalsocioycliente. Objetivosespecficos Obteneruncrecimientosostenidoytransparentedeactivosypasivos. Realizarelmanejoeficientedelacarteradecrditoysumorosidad. 29
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel Mantenercostosdeoperacinmnimos. Adquirirlatecnologaadecuadaparaservirmejoralsocio,ascomoparacontrarrestar elriesgooperativo. Ofrecer a nuestros socios y ciudadana en general calidad en los productos y servicios conbajoscostosparaobtenerventajacompetitiva. Crear productos innovadores acorde con los requerimientos de nuestros socios y ciudadanaengeneral. Mejorar el ambiente laboral, donde el personal desenvuelva sus capacidades de maneraeficiente. Implementar un plan de capacitacin continua al personal de la institucin con el fin dealcanzarobjetivosencomnconlacooperativa. Establecer normas que permitan reducir gastos para tener mejores resultados al final decadaperiodo. Elaborar un plan de publicidad dirigido a todos los socios para mantener al socio informadodelosnuevosserviciosybeneficiosqueofrecelacooperativa. Realizarel presupuestoestructuradoparalaconstruccindeledificiocasamatrizdela cooperativa, aprovechando que se cuenta con el terreno ubicado en el centro de la ciudad. Realizar el control peridico del desempeo de los concejos y comisiones de la cooperativaconelfindequecumplansusfuncionesdemaneraeficiente. Implementarunareddecajerosautomticosenlasinstalacionesdelacooperativa. Desarrollar el plan de contingencias para la recuperacin de informacin en caso de desastresinformticosconelfindeeliminarelriesgooperativo.
2.3.6. PRODUCTOSYSERVICIOS
Ahorros Sonlosdepsitos alavistaque efectanlossociosaloscuales selespagaunatasade intersacordealmercado,sobreelsaldoquemantengaensulibreta. AhorroEstudio,AhorroNavidad,AhorroVacaciones,AhorroFondosdeReserva Es un ahorro programado cooperativo al cual se le paga una de inters preferencial siempre que se encuentre dentro del mercado, los depsitos que realizan en ste productosonmensualesysepuedendisponerdeellosalaodeaportaciones. DepsitosaPlazoFijo Son los depsitos a corto y mediano plazo, que realizan socios y clientes, a los cuales selespagaunatasadeintersacordealmercado. Crditos La cooperativa ofrece una variedad de crditos a sus socios, as como: crditos de consumo, comercio, microcrdito y vivienda, con garantas personales, garanta hipotecariaygarantaprendariaygarantadeaval.
30
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel Garantascooperativas Es un aval que la cooperativa emite a favor de los profesionales de la construccin, paragarantizareltrabajoquedesarrollenconinstitucionespblicasoprivadas. Pagoderemuneraciones La cooperativa puede cancelar los sueldos al personal de las instituciones que desee cobrarlo,atravsdeunconvenioconlasasociaciones. Segurodevidayaccidentes El afiliado que mantenga su cuenta activa tiene el beneficio de una cobertura de seguro de vida y accidentes en los casos de muerte natural y muerte accidental, y gastos de sepelio, atencin mdica gratuita, descuentos especiales en asistencia oftalmolgica,odontologaycomprademedicina Pagodeserviciosbsicos La cooperativa ofrece a sus socios el pago de servicios a travs de las libretas de ahorros, con los descuentos por el consumo que realizan tanto de luz, telfono, agua potable.
2.3.7. INFRAESTRUCTURA
Actualmente la cooperativa tiene una oficina matriz ubicada en la ciudad de Loja, en las calles BolvarentreQuitoeImbabura,sinsucursalesalafecha.
2.3.8. ORGANIGRAMAESTRUCTURAL
La Cooperativa de Ahorro y Crdito Fortuna se encuentra estructurada segn lo muestra la Figura2.1.
31
Figura2.1.OrganigramaEstructuraldelaCooperativadeAhorroyCrditoFortuna.
2.3.8.1. DEPARTAMENTODESISTEMAS
El departamento de sistemas de la Cooperativa de Ahorro y Crdito Fortuna se encuentra conformadoporelsiguientepersonal: Jefedesistemas Operadordesistemasysoportealusuario Actualmenteeldepartamentodesistemasnotieneelaboradosuorganigrama.
2.3.8.2. DEPARTAMENTODECRDITO
El departamento de crdito de la Cooperativa de Ahorro y Crdito Fortuna se encuentra conformadoporlassiguientespersonas: Oficialdecrdito1 Oficialdecrdito2 Asesorlegal
EstosevereflejadoenlaFigura2.1.
32
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel Existen algunas falencias en este departamento tanto operativas como automatizadas, las cualessernevaluadasenesteestudio.
2.4. ESTRATEGIAGENERAL
2.4.1. ANTECEDENTES
Con la finalidad de evaluar el control de los procesos crticos de crdito de la Cooperativa de Ahorro y Crdito Fortuna, se ha visto en la necesidad de realizar una auditora informtica, utilizandocomobasedeevaluacinelmarcoreferencialCOBIT.
2.4.2. ALCANCE
Elalcancedelapresenteevaluacinestdeterminadaporlosprocesosdeloscuatrodominios comoson:Planificaryorganizar,adquirireimplementar,entregarydarsoporte,monitoreary evaluar, del marco referencial COBIT en el mbito de los procesos Crdito y de TI de La CooperativadeAhorroyCrditoFortuna.
2.4.3. EQUIPOAUDITOR
KarolayMichellCoronelCastro.
2.4.4. INVOLUCRADOS
Gerentegeneral Personaldesistemas Personaldecrdito Director/Codirectoradetesis
2.5. PROCESOSDECRDITOENLACOOPERATIVA FORTUNA

En esta seccin se detallan los procesos que se realizan en la Cooperativa de Ahorro y Crdito Fortuna, se hace una seleccin de los procesos a auditar en base a una matriz de probabilidad de ocurrencia de un proceso de crdito y tambin se elaboran diagramas SIPOC loscualesesquematizanlosprocesosseleccionadosparaauditar. Existen varios procesos que se realizan el departamento de crdito de la cooperativa, los cualesselistanacontinuacin: Anlisisdelcrdito Aprobacindelcrdito 33
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel Legalizacindelcrdito Desembolsodelcrdito Recuperacindelcrdito. Constitucindehipotecasyprendas Levantamientodehipotecasyprendas Compradedocumentos Castigodecrditos
La Tabla 2.1 muestra la matriz de probabilidad de ocurrencia de un proceso de crdito, en la cual de acuerdo a determinados criterios se establece la posibilidad de que se de un proceso, alcualseleasignaunacalificacindeunoacuatro,siendocuatrolacalificacinmsalta.
Tabla2.1.MatrizdeProbabilidaddeOcurrenciadeunProcesodeCrdito.
MATRIZDEPROBABILIDADDEOCURRENCIADEUNPROCESODE CRDITO PROBABILIDAD CRITERIO CALIFICACIN Muyprobable Probable Posible Pocoprobable Elprocesoocurreadiario Elprocesoocurresemanalmente Elprocesoocurremensualmente Elprocesoocurreanualmente 4 3 2 1
LaTabla2.2muestralaseleccindelosprocesosdecrditoaauditarse,enbasealoscriterios establecidos en la Tabla 2.1, los procesos con calificacin cuatro y tres han sido determinados como los procesos cotidianos, por lo que son ms susceptibles a errores, por lo tanto deben seranalizados.
Tabla2.2.ProcesosdeCrditoaAuditar.
PROCESO Anlisisdelcrdito Aprobacindelcrdito Legalizacindelcrdito Desembolsodelcrdito
SEAUDITA?
34
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel Recuperacindelcrdito Constitucindehipotecasyprendas Levantamientodehipotecasyprendas Compradedocumentos Castigodecrditos Con la correspondiente matriz de evaluacin de ocurrencia, se determin que de nueve procesos de crdito que se llevan a cabo en el departamento de crdito de la cooperativa, cincorequierenserauditados. AcontinuacinsedetallanlosprocesosaauditarseysusrespectivosdiagramasSIPOC.
2.5.1. PROCESOSPARAOTORGARCRDITOSALOSSOCIOS
2.5.1.1. PRIMERPROCESO(PC1):ANLISISDELCRDITO Objetivo del Proceso: Revisin y anlisis de la documentacin presentada por el socio, y
elaboracin del informe de crdito por parte del oficial, el mismo que es remitido al comit decrdito.
DetalledelProceso:
Revisindedocumentacin: El oficial de crdito revisa la documentacin presentada por el socio, esto incluye que la solicitud de crdito y el estado econmico del garante estn llenos con los respectivos datos que se piden y que estn debidamente firmados, adems de que losrequisitossolicitadosestncompletos. El crdito puede ser solicitado bajo garantes, bajo garanta hipotecaria, garanta prendaria, garanta de un aval, con garante hipotecario, garante prendario o garante con aval, este tipo de garanta depende de cmo lo quiera hacer el socio y tambin dependedelmontoquesolicite. Se revisa el bur de crdito (central de riegos) del solicitante y garantes si es el caso deuncrditocongarantes. Se confirman que las direcciones domiciliarias y certificados de trabajo del solicitante ygarantesseanverdicos. 35
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel Estudiodelasituacinfinancieradelsolicitante: Se analiza la situacin econmica del solicitante y garantes en base a los ingresos justificados, a los gastos declarados en la respectiva solicitud de crdito y estado econmico,yalreportedelburdecrdito. Elaboracindelinformedecrdito: Seelaboraelmediodeaprobacin(informedecrdito,Anexo4)enelcualseresume todalainformacindelcrdito,delsocioysugaranta. Toda la documentacin se archiva en una carpeta para ser entregada al comit de crdito.
DiagramaSIPOCdelProceso:
A continuacin se emite una descripcin previa al diagrama de la Figura 2.2, para una mejor comprensindelmismo. Proveedores: Socio:Cuentaahorristadelacooperativa. Garanta: Respaldo del crdito, puede ser del tipo personal (garantes) respaldada por las firmas de los mismos, del tipo hipotecaria con respaldo de un bien inmueble, del tipo prendaria con respaldado de un vehculo o maquinaria, del tipo aval con respaldo de un certificado de depsito a plazo, generado por la cooperativa (Anexo 26), las garantas tambin puedenserpormediodeungarantehipotecario,garanteprendarioogaranteconaval. Tipo de garanta hipotecaria: Est formada por las escrituras del bien a hipotecar, un certificado historiado del bien a hipotecar y el avalu del bien a hipotecar, el cual es informe detalladoyconvalordelbieninmueblequerespaldarelcrdito,esteavaluesrealizadopor elperitoavaluadordelacooperativa. Tipo de garanta prendaria: Est formada por la copia de la matrcula del vehculo o maquinaria, y el avalu del mismo, el cual es un informe detallado y con valor del vehculo o maquinaria que respaldar el crdito, este es realizado por el perito avaluador de la cooperativa. Garantehipotecario:Personaquerespaldaelcrditoconsubieninmuebleyconsufirma. Garanteprendario:Personaquerespaldaelcrditoconsuvehculooprendayconsufirma. Garante con aval: Persona que respalda el crdito con su certificado de depsito de ahorro a plazoyconsufirma. Certificadodedepsitodeahorroaplazo:plizaaplazofijo(Anexo26) Bur de crdito: empresa constituida como sociedad de informacin crediticia, que proporciona informacin, previo a la concesin de uncrdito, cuyo objetivo principal es registrar el historial crediticio de laspersonasyempresasque hayan obtenido algn tipo de crdito, financiamiento, prstamo o servicio, a este servicio se tiene acceso por medio de una pginaweb Sistema: Software financiero utilizado en la Cooperativa de Ahorro y Crdito Fortuna el cual llevaelnombredeCONEXUS. 36
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel Entradas: Solicitud de crdito: documento impreso que recaba toda la informacin personal y econmicadelsolicitantedelcrdito(Anexo25) Documentacinpersonal:copiasdecdulasydecertificadosdevotacin. Documentacindeingresos:certificadodetrabajo/roldepagos/rucydeclaracionesalSRI. Documentacin de patrimonio: predios de bienes inmuebles y copias de matrculas de vehculosomaquinaria. Estado econmico:documentoimpresoquerecabatodalainformacinpersonalyeconmica delgarantedelcrdito(Anexo31). Historial crediticio: Reporte obtenido del bur de crdito, en el que se detallan el endeudamientodeunapersona,ascomosuhistorialdepagos(Anexo24). Reporte de estado econmico del socio: Reporte que emite el sistema y que detalla la informacin de los saldos de la cuenta del socio, as como informacin de crditos o garantas vigentes en la cooperativa, e informacin de inversiones con certificados de depsito a plazo enlacooperativa(Anexo30). Salidas: Mediodeaprobacin:informedecrditoenformatoExcelelcualposeeunresumendetodos losdatosconcernientesalcrdito(Anexo4). Clientes: Comit de crdito: Gerenteysociosfundadoresdelacooperativaelegidosparalarevisinde lassolicitudesdecrdito. 37

PROVEEDORES ENTRADAS PROCESO SALIDA CLIENTES
Socio Garanta Bur de Crdito Sistema CONEXUS
Solicitud de crdito Documentacin personal Documentacin deingresos Documentacin depatrimonio Hoja de estado econmico Documentacin personal Documentacin deingresos Documentacin depatrimonio Historial crediticio Reporte de estado econmico del socio.
Medio de aprobacin
Comit de Crdito
Figura2.2.DiagramaSIPOCdelprocesodeAnlisisdelCrdito.
2.5.1.2. SEGUNDOPROCESO(PC2):APROBACINDELCRDITO ObjetivodelProceso:Revisin,anlisisyveredictodelcomitdecrdito. DetalledelProceso:

Exposicindelcrdito: Dependiendoelmontoquesoliciteelsocio,lagerenteoeloficialdecrditoexponen el informe del crdito al comit, dando lectura al medio de aprobacin y mostrando todaladocumentacinpresentadaporelsocio. Si la solicitud de crdito es de hasta $2000.00, es aprobada nicamente por la gerencia. Silasolicituddecrditoesdesde$2001.00hasta$7500.00,esaprobadaporelcomit de crdito el cual est formado por dos socios fundadores de la cooperativa y la gerente.
38
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel Si la solicitud de crdito es desde $7501.00 hasta el 10% del patrimonio actual de la cooperativa, es aprobada por el Consejo de Administracin el cual est formado por cincosociosfundadoresdelaentidad. Anlisisdelcrdito: El comit encargado de aprobar la solicitud presentada, analiza la peticin, documentacinyelmediodeaprobacinyemitesuresolucin. Resultadosobtenidos: En caso de ser aprobada la peticin de crdito se firma la aprobacin en la solitud de crditopresentadaporelsocio,estaaprobacinquedasentadaenlasactasdecrdito (Anexo12). Sielcrditofuenegado,nosefirmalasolicitud decrditoysedevuelvelacarpetadel socio al oficial de crdito para que esta sea entregada al socio previa explicacin de porqumotivosetomestaresolucin.
A continuacin se emite una descripcin previa al diagrama de la Figura 2.3 para una mejor comprensindelmismo. Proveedores: Oficial de crdito: Funcionariodelacooperativaencargadadeayudaralossociosoempresas paraobtenerloscrditos. Gerente:Personaqueestacargodeladireccindelacooperativa. Comit de crdito: Socios fundadores de la cooperativa, asignados para revisar las solicitudes decrdito. Entradas: Carpeta del socio: Folder con toda la documentacin presentada por el socio y toda la informacinqueadicionaeloficialdecrditocuandohaceelanlisisdelcrdito. Firmas en solicitud de peticin del crdito: Firmas con las que los miembros del comit de crditoaceptanlaaprobacindelcrditosolicitado. Salidas: Crditoaprobadoonegado:Respuestaalapeticindelcrdito. Clientes: Socio:Cuentaahorristadelacooperativa. Oficial de crdito: Funcionariodelacooperativaencargadadeayudaralossociosoempresas paraobtenerloscrditos. 39

Oficial de crdito/Gerente Comit de crdito
Carpeta socio Firmas solicitud peticin crdito
del
en de del
Crdito aprobado onegado
Socio / Oficial de crdito
Figura2.3.DiagramaSIPOCdelprocesodeAprobacindelCrdito.
2.5.1.3. TERCERPROCESO(PC3):LEGALIZACINDELCRDITO Objetivo del Proceso: Emisin y legalizacin del pagar a la orden o contrato de prstamo
comodocumentoderespaldodelapeticindecrditoaprobadaporelcomitdecrdito.
DetalledelProceso:
Elaboracindepagardecrditoocontratodeprstamo: El pagar a la orden o el contrato de prstamo se elabora en formato word, el cual debeserfirmadoporlosinvolucradosenelcrdito. Dependedel plazoydela formadepagodelcrditosolicitado,eltipodedocumento a firmarse, si el crdito est aprobado para pagarse en un solo dividendo al vencimiento de ste, se firmara un pagar a la orden; y, si el crdito est aprobado para pagarse en cuotasya seade formaquincenal, mensual,bimensualo trimestral se firmaruncontratodeprstamo. nicamenteelcontratodeprstamoeslegalizadoanteunNotario. Recepcindefirmasylegalizacin Se reciben y verifican las firmas del solicitante, garantes (de ser el caso), cnyuges y gerentedelacooperativa,enelpagarocontratodeprstamo,elcualselegalizaante un notario de ser caso. Tanto el pagar a la orden como el contrato de prstamo son revisadosysumilladosporasesorlegaldelacooperativa. 40
A continuacin se emite una descripcin previa al diagrama de la Figura 2.4, para una mejor comprensindelmismo. Proveedores: Socio:Cuentaahorristadelacooperativa. Garante:Personaquerespaldalaoperacindecrdito Garantehipotecario:Personaquerespaldaelcrditoconsubieninmuebleyconsufirma. Garanteprendario:Personaquerespaldaelcrditoconsuvehculooprendayconsufirma. Garante con aval: Persona que respalda el crdito con su certificado de depsito de ahorro a plazoyconsufirma. Oficial de crdito: Funcionariodelacooperativaencargadadeayudaralossociosoempresas paraobtenerloscrditos. Gerente:Personaqueestacargodeladireccindelacooperativa. Notario: Funcionario cuya intervencin otorga carcter pblico a los documentos privados,autorizndolosatalfinconsufirmaysello. Entradas: Pagar o contrato de prstamo: Documento legal en donde constan las condiciones del crditoyfirmasdelaspersonasqueintervieneenelmismo(Anexo5). CduladeIdentidad:Cedulaoriginalparaverificacindelafirmadelsocioygarantes. Firma:Daautenticidadyvalidezalpagarocontratodeprstamo. Nombramiento: Documento de designacin del cargo de gerente el cual est legalizado ante unnotarioyeinscritoanteelRegistromercantildeLoja(Anexo27). Firmaysellodelanotara:Danvalidezalcontratodeprstamo. Salidas: Pagar o contrato de prstamo debidamente legalizado: Documento legal en donde constan lascondicionesdelcrditoyfirmasdelaspersonasqueintervieneenelmismo(Anexo5). Clientes: Asesorlegal: Abogadodelacooperativaqueseencargadeverificarlospagarsocontratosde crditoyderecuperarlosporlavajudicial.
41

Oficial crdito Socio Garante Gerente Notario
o de Pagar contrato de prstamo Cdula de identidad Firma Cdula de identidad Firma Cdula de identidad Firma Nombramiento Firma y sello delanotara
Pagaro contrato de prstamo debidamente legalizado
Asesor legal de la cooperativa
Figura2.4.DiagramaSIPOCdelprocesodeLegalizacindelCrdito.
2.5.1.4. CUARTOPROCESO(PC4):DESEMBOLSODELCRDITO Objetivo del Proceso: Liquidacin del crdito solicitado y emisin de la tabla de
amortizacin.
DetalledelProceso:
Actualizacindedatos: Se procede a actualizar los datos del socio en el sistema, esto se hace en la ficha de creacin de cuenta que se genera al momento que el socio realiza la apertura su cuentadeahorros. Se ingresa tambin la informacin del garante en la ficha respectiva, o la informacin delahipoteca,prendaoaval,enlaopcinparaestostiposdegaranta. Ingresoycalificacindelcrdito: Se registra en el sistema la informacin de la solicitud de crdito que presenta el socio en y luego se califica esta solicitud de crdito de igual manera en el sistema, paraprocederaimprimirestosdosreportes. Calculodedescuentosdelcrdito: Seelabora unatirillade los descuentos que sehacen almonto solicitado,el resultado deestosvaloreseselqueseracreditadoenlacuentadeahorrosdelsocio. Desembolsodelcrdito: Se entrega al jefe operativo toda la carpeta del socio, con los reportes y tirilla antes mencionados, para quesea revisada y en caso de que todos los ingresos de los datos 42
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel del crdito y clculos efectuados estn correctos se proceda con el desembolso del crditopormediodelaopcinrespectivaenelsistemadeliquidacindelcrdito,esta liquidacin acreditael dinerodel crdito en lacuentadel socioy generaunatabla de amortizacinqueserentregadaalmismoparalospagosrespectivos. Si hay algn dato que no haya sido bien ingresado o calculado se devuelve la carpeta delsocioaloficialdecrditoparalasrespectivasrectificaciones.
A continuacin se emite una descripcin previa al diagrama de la Figura 2.5, para una mejor comprensindelmismo. Proveedores: Sistema: Software financiero utilizado en la Cooperativa de Ahorro y Crdito Fortuna el cual llevaelnombredeCONEXUS. Oficial de crdito: Funcionariodelacooperativaencargadadeayudaralossociosoempresas paraobtenerloscrditos. Jefe operativo: Funcionario de la cooperativa encargado de verificar los datos del crdito y desembolsarelmismo. Entradas: Solicitud y calificacin del crdito: Opciones del sistema que permiten ingresar los datos de crditoquehasidoaprobadosypermitenlacalificacindelmismopormediodeseleccinde puntajes,paraqueluegoelcrditopuedaserliquidado. Detalle de rubros de descuentos (tirilla): Clculosrealizadosenunamaquinasumadora,estos clculoscorrespondenalosdescuentosdelosrubrosqueporleyseaplicanaloscrditos. Reportes de solicitud y calificacin del crdito: Documentos impresos del resultado de haber ingresadola solicituddecrditoenelsistemadehabercalificadodichasolicitudtambinenel sistema. Liquidacindelcrdito:Opcindelsistemalacualpermiteacreditareldinerodelcrditoyala vez generar la tabla de amortizacin, es manejada nicamente por el jefe operativo de la cooperativa. Salidas: Tabladeamortizacin:Tabladepagosdelcrditootorgado(Anexo28). Clientes: Socio:Cuentaahorristadelacooperativa.
43

Oficial de Crdito Sistema CONEXUS Jefeoperativo
Solicitud y calificacin del crdito Detalle de rubros de descuentos(tirilla) Reportes de solicitud y calificacin del crdito Liquidacin del crdito
Acreditacin Socio del dinero en la cuenta del socio y generacin de tabla de amortizacin
Figura2.5.DiagramaSIPOCdelprocesodeDesembolsodelCrdito.
2.5.1.5. QUINTOPROCESO(PC5):RECUPERACINDELCRDITO ObjetivodelProceso:Seguimientodepagosdelcrditootorgadoalsocio.
DetalledelProceso:
Recuperacinpormediodellamadatelefnica: Conforme se van venciendo los crditos se realizan llamadas telefnicas del oficial, gerente y abogado, a los socios que todava no han efectuado los pagos para que se acerquenalacooperativaahacerlo. Cuando el socio no se ha acercado a realizar el pago de la cuota del crdito luego de vencidos quince das, se procede a reportar de esto a sus garantes mediante una llamadatelefnica. Sielsocioluegodeestoefectaelpagoelcrditosedaporrecuperado. 44
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel Recuperacinpormedionotificacinescritadeloficialdecrdito: Si el socio no se ha acercado a efectuar el pago y ha han transcurrido treinta das, se envaunnotificacinescritaaldeudoryasusgarantesfirmadaporeloficialdecrdito (Anexo6). Sielsocioluegodeestoefectaelpagoelcrditosedaporrecuperado. Recuperacinpormedionotificacinescritadelagerencia: Si luego de haber pasado cuarenta a sesenta y cinco das, el socio no ha realizado el pago se enva otra notificacin firmada por la gerente (Anexo 6) de la cooperativa al deudory garantes en laque se daunplazo decuarentayochohoras paraquerealice lospagosrespectivos. Sielsocioluegodeestoefectaelpagoelcrditosedaporrecuperado. Recuperacinpormedionotificacinescritadelasesorlegal: Si luego del plazo antes mencionado, el socio no se acerca a realizar el pago, se enva otra notificacin firmada por el asesor legal de la cooperativa (Anexo 6) al deudor y garantes, advirtiendo que si los dividendos vencidos no son pagados en veinte y cuatrohoras,elcrditoserdemandadojudicialmente. Demandajudicial: Una vez que el crdito ya ha llegado a noventa das de vencido y el socio no ha realizado los pagos respectivos, se entrega el pagar o contrato de prstamo al medianteoficiofirmadoporgerenciaalasesorlegaldelacooperativa,paraqueinicie eltrmitededemandajudicialeneljuzgado.
A continuacin se emite una descripcin previa al diagrama de la Figura 2.6, para una mejor comprensindelmismo. Proveedores: Socio:Cuentaahorristadelacooperativa. Sistema: Software financiero utilizado en la Cooperativa de Ahorro y Crdito Fortuna el cual llevaelnombredeCONEXUS. Oficial de crdito: Funcionariodelacooperativaencargadadeayudaralossociosoempresas paraobtenerloscrditos. Gerente:Personaqueestacargodeladireccindelacooperativa. Asesorlegal: Abogadodelacooperativaqueseencargadeverificarlospagarsocontratosde crditoyderecuperarlosporlavajudicial. Entradas: Tabladeamortizacin:Tabladepagosdelcrditootorgado(Anexo28). Llamada:Llamadatelefnica Notificacin escrita: Documento en formato word, con el cual se recuerda al socio el vencimiento de su crdito, son de tres tipos, de Oficial de crdito, de Gerencia y de Abogado (Anexo6). 45
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel Oficio de demanda: Documento en formato word, firmado por la gerencia y entregado al asesorlegaldelacooperativasolicitandoseinicieeltrmitededemandadelcrditovencido. Pagodelcrdito:pagodeldividendoolosdividendosdelcrditovencido. Salidas: Proceso de demanda: Proceso legal llevado a cabo por el juzgado para conseguir recuperar el crditovencido. Clientes: Juzgado: El tribunal de justicia o corte, es el rgano pblico cuya finalidad es colaborar en la recuperacindelcrdito.
Sistema CONEXUS Oficialde crdito Gerente Asesorlegal Socio
Tabla de amortizacin / Llamada Notificacin escrita / Llamada Notificacin escrita/Oficio dedemanda Llamada / Notificacin escrita Pago del crdito
Proceso deJuzgado demanda
Figura2.6.DiagramaSIPOCdelprocesodeRecuperacindelCrdito.
46
2.6. PROCESOS COBIT QUE SE APLICARN EN LA AUDITORA

En base a los criterios de informacin de efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento de leyesregulaciones, y confiabilidad, que propone COBIT, se han desarrollado y aplicado encuestas para el rea de gerencia (Anexo 7), el rea de crdito (Anexo 8) y al rea desistemas(Anexo 9) de lacooperativa, las cualespermitieron determinar la criticidad de los procesos crediticios y de TI, y as poder establecer que procesos del marco referencialserelacionanconlosprocesosdecrditoquesellevanacaboenlainstitucin. Acontinuacinsedescribenloscriteriosquesehantomadocomoguaparalaseleccindelos procesos de COBIT y su relacin con cada uno de los procesos de crdito, basndose en los dominiosdecontroldeTIdecadaprocesoCOBIT. LosprocesosdecrditoPC1,PC2yPC3serelacionanconlossiguientesprocesosdeCOBIT. PO6Cominicar las aspiraciones y la direccin de la gerencia: La seleccin de este proceso radica en la importancia que tiene la definicin de polticas y procedimientos de control en toda entidad, en este caso se aplica las polticas para el anlisis, aprobacin y legalizacin del crdito en la cooperativa, adems se toma en cuenta quedebeexistirlaconstantecomunicacinconlagerencia. PO9Evaluar y administrar los riesgos de TI: Para este proceso se toma en cuenta la importancia de evaluar y administrar los riesgos, considerando cualquier riesgo posibleenelanlisis,aprobacinylegalizacindelcrditoconelfindeevitarposibles amenazas o vulnerabilidades que puedan afectar el mbito financiero de la cooperativa. ME2Monitorear y evaluar el control interno: Este proceso se considera de importancia en todos los procesos de crdito ya que se debe evaluar lo correspondiente a control interno en la cooperativa, verificando el monitoreo de los controles internos, evaluando su efectividad y emitiendo reportes sobre ellos en formaregular. ME3Garantizar el cumplimiento regulatorio: Para estos procesos de crdito se considera de gran importancia la evaluacin de las leyes y regulaciones a nivel de cooperativaparaverificarsisegarantizaelcumplimientodelasmismas. LosprocesosdecrditoPC4yPC5serelacionanconlossiguientesprocesosdeCOBIT: PO9Evaluar y administrar los riesgos de TI: Se considera de gran importancia la evaluacin de riesgos en el desembolso y recuperacin del crdito, tomando en cuenta que estos procesos tienden a ser ms crticos con respecto a la situacin 47
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel financiera, ya que una posible falla en el sistema ocasionara serios problemas en la cooperativa. AI4Facilitarla operacin y el uso:Esteprocesodefacilidaddeoperacinyuso,seha considerado en los procesos de desembolso y recuperacin del crdito, ya que estos se realizan en el sistema y se requiere verificar que exista la transferencia de conocimiento a usuarios involucrados, adems de la constatacin de si en la cooperativa se cuenta con medidas de control dirigidas a la revisin y monitoreo de acuerdos y procedimientos existentes con respecto a las polticas de la Institucin en cuantoasuefectividadysuficiencia. DS4Garantizar la continuidad del servicio: Es importante el control sobre los procesos de desembolso y recuperacin del crdito con el objetivo de minimizar la probabilidad de interrupcin, alteraciones no autorizadas y errores en el sistema, ya que para realizar el proceso de crdito es primordial tomar en cuenta la continuidad del servicio, verificando que en la cooperativa se cuente con los respaldos correspondientes y tener un plan de continuidad del servicio debidamente documentadoyaprobado. DS5Garantizar la seguridad de los sistemas: Se considera de importancia la Seguridad del sistema en la realizacin de desembolso y recuperacin el crdito, con elobjetivodesalvaguardarlainformacincontraeluso,revelacinomodificacinno autorizada, dao o prdida de informacin y determinar si existe este tipo de seguridadenlacooperativa. DS11Administrar los datos: Se considera de importancia asegurar que los datos permanezcan completos, precisos y vlidos durante su entrada, actualizacin y almacenamiento, para ello se debe verificar si la cooperativa cuenta con una combinacin efectiva de controles generales y de aplicacin sobre las operaciones crediticiasydeTI. ME2Monitorear y evaluar el control interno: Se considera de importancia ya que se debe realizar peridicamente la evaluacin de lo adecuado del control interno en la cooperativa,incluyendotodoslosprocesosdecrdito.
ME3Garantizar el cumplimiento regulatorio: Para todos los procesos de crdito se ha tomado en cuenta este proceso de COBIT, el cual debe satisfacer los requerimientos de la cooperativa, lo que permitir evaluar los niveles de confianza entre la organizacin, los socios y proveedoresexternos. 48
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel La Tabla 2.3 muestra la relacin existente entre cada uno de los procesos de crdito y los procesosseleccionadosdelmarcoreferencialCOBIT,tomandoencuentaquelostresprimeros procesosde crditoson realizados manualmente y los dosltimos se losrealizapormediodel sistema.
Tabla2.3.RelacinentreprocesosdecrditoydominiosCOBIT.
DOMINIOSCOBIT PROCESOSDECRDITO
PLANEARY ORGANIZAR PO6 PO9 ADQUIRIRE ENTREGARYDAR MONITOREAR IMPLEMENTAR SOPORTE YEVALUAR AI4 DS4 DS5 DS11 ME2 ME3
PC1:Anlisisdelcrdito x PC2:Aprobacindelcrdito x PC3:Legalizacindelcrdito x PC4:Desembolsodelcrdito PC5:Recuperacindelcrdito
x x x x x
x x
x x
x x
x x
x x x x x
x x x x x
49
CAPTULO3:
APLICACINDELAAUDITORA INFORMTICA
50
3. APLICACINDELAAUDITORAINFORMTICA
Con los conocimientos obtenidos en el captulo anterior y una vez determinados que dominios de COBIT se acogen al tema de tesis propuesto, se puede establecer una planificacin orientada directamente a cada proceso de COBIT seleccionado con sus respectivasactividadesyobjetivosdecontrol. Adems en esta seccin se realiza la seleccin de las herramientas que se aplicaran en la auditora informtica, de acuerdo a sus caractersticas e importancia se ha seleccionado las herramientas IDEA para verificacin de la base de datos, y NESSUS para escaneo de vulnerabilidades en los equipos correspondientes a los servidores de la cooperativa y a las terminalesdelreadecrditorespectivamente.
3.1. DISEODEINSTRUMENTOS
Se aplicar la metodologa de los modelos de madurez de cada proceso de COBIT para poder determinar en qu nivel de madurez se encuentra la cooperativa Fortuna y en base a los resultadosobtenidospoderemitirrecomendacionesqueayudarnalacooperativaacontrolar demejormaneratodolorelacionadoconlosprocesosdecrditoydeTI. Las tcnicas y herramientas seleccionadas para realizar este proceso de auditora informtica sernlassiguientes: 1. Cuestionarios La aplicacin de cuestionarios ser realizada a gerencia, al jefe de sistemas y al oficial de crditodelacooperativaFortuna. Acontinuacinsemuestraeldiseodedichoscuestionarios: CUESTIONARIOPARAEVALUARELCONTROLINTERNODELDEPARTAMENTODECRDITO DELACOOPERATIVADEAHORROYCREDITOFORTUNA Fecha: Nombredelempleado: SI Cargo: NO
ControlInternoaplicadoalotorgamientode un crdito 1. Laentidadcuentaconunmanualoreglamentodecrdito? 2. Esclaroyobjetivoelmanualoreglamentodecrdito? 3. Poseeeldepartamentodecrditopolticasestablecidas? 4. Secumplenacabalidadlaspolticas decrditoenlacooperativa? 5. Existe un reglamento interno que establezca el procedimiento a seguir paraotorgarloscrditos? 51
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel 6. Posee el departamento de crdito un manual de procedimientos que ayudaasugestininterna? 7. Se planifica, organiza, ejecuta y controla el otorgamiento del crdito y recuperacin en concordancia a la normativa interna (Reglamento de Crdito)yalorganismodecontrol? 8. Existeunresponsabledeaprobaronegar loscrditosaotorgar? 9. Existe una gerencia legalmente establecida para evaluar solicitudes de crdito? 10. Se realiza peridicamente la revisin de crditos por la direccin de la cooperativa? 11. Ustedrealizasusactividadeseneltiemporequerido? 12. Creeustedquedebeexistirmspersonaleneldepartamento? 13. Cuentalacooperativaconunsistemaautomatizadodecrdito? 14. Considera que el sistema CONEXUS realiza los procesos con exactitud y eficiencia? 15. Existen manuales de usuarios para el uso del sistema CONEXUS en lo referentealosprocesosdecrdito? 16. El sistema CONEXUS es apropiado para optimizar el uso de la informacin? 17. Existen controles internos en la captacin de datos que no permita su manipulacinindebida? 18. Alainformacincrediticiatieneaccesocualquierempleado? 19. Se mantiene un registro actualizado de los socios en cuanto a los crditos otorgados? 20. Existeunaadecuadafuncindesupervisindeloscrditos? 21. El departamento cuenta con un programa de capacitacin para su personal? 22. Existenfallasdeexactitudenlosprocesosderecoleccindeinformacin? 23. Se ha establecido un procedimiento documentado para el control de los requisitosdecrdito? 24. Seotorgancrditosaempresas? 25. Los procesos, polticas y procedimientos de crdito estn definidos y documentadosparatodaslasactividades? 26. Existenactasdereunionesdecrdito? ControlInternoaplicadoarecuperacindecrdito 1. Existe un reglamento interno que establezca el procedimiento a seguir paralascobranzasdeloscrditosotorgadosporlacooperativa? 2. Existen formalmente polticas administrativas y legales de cobranza que permitandisminuirelndicedemorosidad? 3. Existe claridad en las polticas y normas de la cooperativa en cuanto a las operacionesdecobranza? 4. Existe un manual de normas y procedimientos en el departamento de crdito? 5. Cuentalacooperativaconunsistemaautomatizadodecobranzas? 6. Existeuninstrumentodecontrolparaelanlisisdeloscrditos? 7. Se lleva un control manual y sistemtico de los crditos vencidos y no pagados? 52
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel 8. Se mantiene un registrado actualizado de los socios en cuanto a los crditos? 9. Se controla que se enven oportunamente las notificaciones de los avisos devencimientoypagodeloscrditos? 10. Visitaalosclientesdelacooperativaqueseencuentranenmorosidad? 11. Revisadiariamenteelcomportamientodelacarteraenmora? 12. Se efecta el seguimiento de las acciones de cobranza de la cartera, mediantemecanismosdecontroleficientesparasurecuperacin? 13. Se desarrollan e implementan estrategias para evitar riesgos crediticios, evaluandoyasegurandolarecuperacindelcrditoconcedido? 14. Se informa peridicamente a Gerencia General sobre el movimiento de cartera? 15. Se organizan las actividades de promocin, colocacin y recuperacin del crdito?

CUESTIONARIOPARAEVALUARELCONTROLINTERNODELREAINFORMTICA DELACOOPERATIVADEAHORROYCREDITOFORTUNA Fecha: Nombredelempleado: Cargo: SI NO
1. ElsistemaCONEXUSesapropiadoparaoptimizarelusodelainformacin? 2. ElsistemaCONEXUSesadquiridoaterceros? 3. El sistema CONEXUS cuenta tanto con el repositorio como con el diccionariodedatos? 4. Existeunmanualdeestndaresdeprogramacinenlacooperativa? 5. Existeunmanualdedesarrollodeaplicacionesenlacooperativa? 6. Existeunmanualdefuncionesdeldepartamentodesistemas? 7. SeencuentraclasificadalainformacindelsistemaCONEXUS deacuerdoa lacriticidad? 8. SeencuentrandefinidosestndaresdentrodeTI? 9. Se encuentran definidos procedimientos para garantizar la integridad y consistencia de todos los datos almacenados en formato electrnico, tales comobasesdedatos,almacenesdedatosyarchivos? 10. ExisteunmonitoreodeldesempeodeTI? 11. La cooperativa cuenta con requerimientos, procedimientos y polticas claras decalidadensusistema? 12. LaCooperativacuentaconunsistemadeadministracindecalidad? 13. ExisteunplandecontingenciasdeTIaprobado,difundidoyprobado? 14. SehanprevistoriesgosdeTI? 15. SehadefinidoycomunicadoelgradodetoleranciadelriesgoenTI? 16. SecuentaconherramientasdeTIactualizadas? 17. El sistema CONEXUS est disponible con los requerimientos de la cooperativa? 53
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel 18. ExistedocumentacinymanualesparausuariosyparaTI? 19. Considera que el sistema CONEXUS realiza los procesos con exactitud y eficiencia? 20. Se tiene un proceso definido para la adquisicin y mantenimiento de software? 21. ExisteunmonitoreodelservicioprestadoporproveedoresdeTI? 22. Han existido problemas en la instalacin del software financiero luego dehaberseaprobadosuutilizacin? 23. Se cuenta con un listado de empresas idneas proveedoras de servicios de TI? 24. Losproveedoresdeaplicacionesbrindanlacapacitacinrespectiva? 25. Losequiposdecomputacinsoportanlosprogramasainstalarse? 26. Elusuariofinalesconsideradoenlaspruebasdelsoftware? 27. Elusuariocertificalaspruebasantesdepasaraproduccin? 28. SecuentaconunadefinicindocumentadadeacuerdosdeserviciosdeTIde nivelesdeservicio? 29. SehandefinidoypuestosenconocimientolosnivelesdeserviciodeTI? 30. SehanestablecidoconveniosdeserviciosentreelreadeTIylosusuarios? 31. Existe un proceso para revisar peridicamente el desempeo actual y la capacidaddelosrecursosdeTI? 32. Se ha evaluado la prdida econmica cuando puede existir una falta en la continuidaddelnegocio? 33. Existenequiposderespaldoquepermitereanudarlasactividades? 34. Alainformacintieneaccesocualquierempleado? 35. Sehandefinidopolticasencuantoalaseguridadinformtica? 36. Seencuentraen loscontratosdelpersonaldeTIunaclusulaquedetermine laconfidencialidad? 37. Se tienen identificados los archivos con informacin confidencial y se cuentaconclavesdeacceso? 38. CuentaconinfraestructuraparaelcontroldeaccesoaInternet? 39. Existeunadecuadocontroldevirusinformticos? 40. Existeunprocesodeadministracindeincidentes? 41. Se tiene registros de problemas y la revisin del estatus de las acciones correctivas? 42. Seefectanrespaldosdelainformacin? 43. Secuentaconestndaresderepresentacindedatos? 44. Existenprocedimientosderespaldosyrecuperacindeinformacin? 45. Secuentaconcontratosdemantenimientodeequiposdecomputacin? 46. ExistenevaluacionesalosclientesinternosdelreadeTI? 47. SeefectauncontrolinternoalreadeTI? 54
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel CUESTIONARIOPARAEVALUARELCONTROLINTERNODEGERENCIA DELACOOPERATIVADEAHORROYCREDITOFORTUNA Fecha: Nombredelempleado: 1. Losusuariosconocenlaspolticasinstitucionales? 2. Se cuenta con procedimientos que permita evaluar y priorizar requerimientos para establecer soluciones de TI (Tecnologa de informacin)? 3. Las soluciones de TI estn definidas de acuerdo a la actividad que realiza la cooperativa? 4. Se han encaminado los recursos de la cooperativa en tecnologa acorde a susnecesidades? 5. Existen actas de reuniones del rea de TI para evaluar las actividades que prestalamisma? 6. SegeneranreportesgerencialesquepermitanevaluaralreadeTI? 7. Se realiza peridicamente la revisin de la documentacin por la direccin delacooperativa? 8. ExisteenlacooperativaunComitdeAuditora? 9. Los empleados de la cooperativa conocen claramente sus funciones y responsabilidadeseneldepartamentoquelaboran? 10. Seconocenlasleyesyregulacionesaplicadasaniveldecrdito? 11. Cuentalacooperativaconuncdigodetica? 12. Lacooperativatienedefinidounplandecapacitacinasusempleados? 13. Existeenlacooperativaundepartamentodeauditorainterna? Cargo: SI NO
2. Listasdechequeo Las listas de chequeo a usarse sern del tipo binario y formaran parte de una matriz de evaluacin, la cual, en base a las repuestas seleccionadas permitir obtener el nivel de madurez actual en el que se encuentra la cooperativa en cuanto a lo que establecen los procesosdecadadominiodeCOBIT. La matriz de evaluacin (Anexo 22), por la extensin de dicha matriz ha sido necesario incluirla en un anexo) permitir obtener informacin de evidencias, localizacin de estas evidencias y las observaciones o conclusiones de esta evaluacin, lo que ayudara a una correctadescripcindepuntosdbilesypuntofuertesdelosprocesosenlacooperativa. 3. Paquetedeanlisisdevulnerabilidadesdelared(NESSUS) LainterfazdeusuarioNESSUSpermitiranalizarlosservidoresdelacooperativa,ascomo las terminales de crdito, esta herramienta 55
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel generar reportes con los datos de las vulnerabilidades y las polticas de exploracin, y emitir una lista de los objetivos y resultados de los anlisis los cuales se almacenarn en unnicoarchivo,elcualsepodrexportarfcilmente.AlserNESSUSindependientemente de la plataforma base se podr usar sin problemas en los servidores como en las terminalesquesernanalizadasenestaauditora. 4. Paquetesdeauditora(IDEA). Es un software especial para la auditora informtica, el cual admitir especificaciones de auditora para organizar, combinar, calcular y analizar datos de la base de datos de la cooperativa. 5. Observacin Esta tcnica permitir cerciorarse de cmo se ejecutan las operaciones, como estn los activos y documentos, con el objeto de establecer su existencia y autenticidad. La observacinharmsconfiablelaobtencindelainformacinyevidencias. Tambinseemplearnlossiguientesrecursos: Recursosmateriales Recursos materiales software: Programas propios de la auditora, muy potentes y flexibles. Recursos materiales hardware: Activos que el auditor necesitar y que sern proporcionados por la cooperativa, para lo cual habr de convenir tiempo de mquina,espaciodedisco,impresoras,etc. Recursoshumanos Elauditorypersonalentrevistado.
3.2. ESTUDIO Y SELECCIN DE HERRAMIENTAS DE VALIDACIN

De las herramientas de auditora mencionadas en el captulo 1, se ha usado IDEA para realizar laverificacindelosdatosqueseencuentranenlabasededatosdelacooperativaFortuna, ytambinsehaempleadolaherramientaNESSUSparaevaluarlaseguridadenlaredyrealizar labsquedadevulnerabilidadesenelservidoryenlasterminalesdecrdito.
3.3. PROCESODELAAUDITORA
Acontinuacinsedetallaelprocesodeauditorarealizado: 56
PLANIFICACINDELAAUDITORAINFORMTICA
Definicindelosobjetivosyalcancedelaauditora Designacindelequipoauditor Determinacindelosinvolucradosenlaauditora Obtencin de informacin detallada de los procesos a auditar,loscualesseseleccionaronpormediodeunamatriz deprobabilidaddeocurrencia Seleccin de los procesos COBIT a aplicarse en la auditora pormediodelaaplicacindeencuestasaldepartamentode crdito,gerenciaysistemas(Anexo7,Anexo8,Anexo9) Estudio y seleccin de instrumentos, herramientas y metodologasausarenlaauditora
EJECUCINDELAAUDITORAINFORMTICA
Las herramientas seleccionadas para la ejecucin de la auditorasonIDEAyNESSUS MediantelaejecucindeDEAsepodrauditarlabasede datosmediantelasfuncionesquestaposee Mediante la aplicacindeNESSUS se podrdeterminar las vulnerabilidades de los servidores y las terminales de crditomediantelaemisindeunreporte Seaplicarlametodologadenivelesdemadurezdecada uno de los ocho procesos COBIT seleccionados (ver Tabla 2.3), para ello se usar una matriz de evaluacin (Anexo 22), esta matriz est realizada en formato Excel y compuesta por una lista de chequeo con los criterios que establece COBIT por cada proceso y su nivel de madurez , stos criterio son encuestados a las funcionarias de crdito, sistemas y gerencia de la cooperativa, y sus respuestas ms la observacin, recopilacin y verificacin de evidencias por cada actividad efectuada, permitirn determinar el nivel de madurez actual de los procesos de crdito de la cooperativa, los cuales se presentaran el tablasymedianteunagrficadenivelesversusprocesos.
57

FINALIZACINDELAAUDITORAINFORMTICA
Se analizarn los hallazgos encontrados, determinando los puntos fuertes y puntos dbiles de la cooperativa, en los procesosevaluados. Se emitir un plan de accin a seguir para mejorar o cambiar lasfalenciasdelainstitucin Seemitirelinformefinaldeauditoria
Figura3.1.ProcesodelaAuditora
3.3.1. APLICACINDENESSUS
La herramienta NESSUS6, permite la configuracin de opciones como polticas que se pueden especificar de acuerdo a los requerimientos del escaneo de vulnerabilidades. El objetivo de realizar la auditora en seguridad, es encontrar las falencias existentes en lo referente a controlesdeaccesosnoautorizadosalared.[64] COMPONENTESDELAHERRAMIENTA:
Listado de vulnerabilida des detectadas Parmetros de control de aspectos tcnicos de escaneo tales como temporizadores, nmero de host y tipos de puertos para escanear, credenciales para escaneo del sistema operativo, autenticacin de bases de datos, protocolos HTTP, SMTP, SNMP, FTP,POP,IMAP, Opciones de configuracin para ejecutar escaneo de vulnerabilidades Servidores, terminales
NESSUS
REPORTES
SCANEO
POLITICAS
USUARIOS
Figura3.2.ComponentesdeNESSUS
6 Fuente: Gua de Instalacin, Disponible http://static.tenable.com/documentation/nessus_4.4_installation_guide.pdf.
en:
58
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel INSTALACINYCONFIGURACION: DescargarlaltimaversindeNESSUSen:http://www.nessus.org/download/ Realizarlainstalacindelaherramientaenbasealaguadeinstalacin. UnavezrealizadalainstalacindelaherramientaNESSUS,serealizalaconfiguracin. Para iniciar, parar y configurar el Servidor NESSUS, se usa el NESSUS Server Manager, permitiendorealizarlosiguiente: RegistrarelServidorNESSUSennessus.orgpararecibirpluginsactualizados. Ejecutarunpluginactualizado. AdministrarusuariosdeNESSUS. IniciaropararelServidorNESSUS.
Para realizar las acciones mencionadas anteriormente ir a Inicio/Todos los programas/Tenable network security/Nessus64/Nessus Server Manager/ y aparecer la ventana principal, como se muestra en la Figura 3.3. Adems se debe obtener el cdigo de activacin que ser enviado al correo electrnico registrado7, luego ingresar el cdigo y hacer clicenRegister,paraqueseactivelaaccinStartNessusServer. Se debe cambiar el puerto de Nessus por defecto, para eso es necesario editar el archivo nessusd.conf que est localizado en C:\Program Files\Tenable\Nessus\conf\,y se deben configurarlosparmetros,comosemuestraenlaTabla3.1. Se realizar el anlisis de vulnerabilidades a los servidores y a los equipos pertenecientes al readecrdito,cuyosIPtambindedetallanenlaTabla3.1.
Tabla3.1.ParmetrosdeconfiguraciondeNESSUS.
PARMETROACONFIGURAR PuertoparaelclienteNESSUS
VALORDEL PARMETRO 1241
PuertoparaelservidorwebNESSUS 8834 IPdelservidordebasededatos IPdelservidorDNS IPdelequipodecrdito1 IPdelequipodecrdito2 Basededatos PortScan 192.100.X.X 192.168.X.X 192.168.X.X 192.168.X.X Informix Tcp
7 Fuente: Pagina de registro para obtener cdigo de activacin: Disponible en: http://www.nessus.org/plugins/?view=registerinfo. 59
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel Despusdecambiarestosvalores,pararelserviciodeNESSUSvaelServerManageryreiniciar elprograma.
Figura3.3.PantallaprincipaldeNESSUS.
Una vez registrado el NESSUS Server Manager y obtenidos los plugins aparecer la siguiente ventana,comosemuestraenlaFigura3.4.
60
Figura3.4.Ventanaprincipalconpluginsobtenidos.
Para crear y administrar cuentas de usuarios en NESSUS se ubica en Manage Users , aparecer una ventana que permite aadir o editar una nueva cuenta de usuario, para esto hacer clic en el signo , donde aparece una nueva ventana para ingresar el nombre de usuario y contrasea, se debe seleccionar la opcin Administrator y luego clic en Save para guardarelnuevousuariocreado,comosemuestraenlaFigura3.5. Adems seleccionando un nombre de la lista y haciendo clic en Edit se puede cambiar la contraseadelusuarioyhaciendoclicen sepuedeeliminarelusuarioseleccionado.
61
Figura3.5.Procesodecreacindeunnuevousuario.
Si el demonio de NESSUS no est corriendo o la interfaz de usuario no est disponible, el buscadorwebdaraunmensajedeerrorindicandoquenosepuedeconectar. Sielpuerto8834estenestadoLISTENING,yasetendraccesoalservidorweb,paraluegode acceder al servidor web, donde se solicita usuario y contrasea previamente creada en el ServerManager. Despusdelaautenticacinsatisfactoria,semuestraelmendeopcionesdelaFigura3.6.
62
Figura3.6.IngresoaNESSUSClient.
PLANDEPRUEBASAUSAR: QusevaaevaluarconNESSUS? PERSONALIZACIONYENTORNODEPRUEBAS: AcontinuacinsedetallalaaplicacindeNESSUS: Elsiguientepasoescrearunapoltica,paraelloseubicaenlapestaaPoliciesyluegoenAdd, aparecer una nueva ventana que solicitan ingresar informacin necesaria para crear la polticayluegoclicenNext,elprocesosemuestraenlaFigura3.7. Seguridadenlared(deteccindevulnerabilidades). Seguridadenelservidor(deteccindevulnerabilidades). Seguridadenelsistemaoperativo.(deteccindevulnerabilidadesdelS.O) Seguridadenlabasededatos.
Figura3.7.PolticacreadaparalacooperativaFortuna.
63
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel AcontinuacinseseleccionainformacindelaspestaasCredentialscomosemuestraenla Figura3.8.
Figura3.8.InformacindeCredentials.
La Figura 3.9, muestra informacin de los Plugins, se puede filtrar y seleccionar los plugins necesarios.
Figura3.9.InformacindePlugins.
Luego en Preferences se selecciona el tipo de base de datos que se utiliza, en este caso es InformixyfinalmenteenSubmitparacrearlapoltica.ElprocesoserealizaenlaFigura3.10.
64
Figura3.10.SeleccindetipodebasededatosenPreferences.
Una vez creada la poltica, ubicarse en la pestaa Scans y luego en Add para aadir un scan, donde se asigna un nombre, se selecciona la poltica creada en el paso anterior y se aade las direcciones IP de los equipas que se va escanear. Selecciona Lauch Scan para iniciar, como se reflejaenlaFigura3.11.
Figura3.11.Creacindenuevoscan.
Finalmente en la pestaa Reports, Figura 3.12, muestra los Scans que se realiz en el paso anterior(pormotivosdeseguridadnosepresentanlasdireccionesIPcompletas).
65
Figura3.12.Informacindescanrealizado.
RESULTADOS: SeguidamentesepuedevisualizarenlaFigura3.13,lasvulnerabilidadesencontradasconalto, medioybajonivelderiesgo.
Figura3.13.Informacindevulnerabilidadesencontradas.
Luego para obtener el reporte completo de las vulnerabilidades encontradas se hace clic en Download Report como se observa en la Figura 3.14, y finalmente se obtiene un reporte de vulnerabilidadesqueselopuedeleerenformatoWordyqueseresumeenlaTabla3.2y 66
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel Tabla3.3.
Figura3.14.Obtencindelreportedevulnerabilidades Tabla3.2.DeteccindevulnerabilidadesenelservidordeBasedeDatosyservidorDNS.
PLUGIN ID#
PLUGIN NAME
SEVERITY
34460 47709 42411 36036 35362 22194 22034 21193
2 1 1 1 1 1 1 1
Obsolete Web Server Detection Microsoft Windows 2000 Unsupported Installation Detection Microsoft Windows SMB Shares Unprivileged Access Conficker Worm Detection (uncredentialed check) MS09-001: Microsoft Windows SMB Vulnerabilities Remote Code Execution (958687) (uncredentialed check) MS06-040: Vulnerability in Server Service Could Allow Remote Code Execution (921883) (uncredentialed check) MS06-035: Vulnerability in Server Service Could Allow Remote Code Execution (917159) (uncredentialed check) MS05-047: Plug and Play Remote Code Execution and Local Privilege Elevation (905749) (uncredentialed check) MS05-039: Vulnerability in Plug and Play Service Could Allow Remote Code Execution (899588) (uncredentialed check)
High Severity problem(s) found High Severity problem(s) found High Severity problem(s) found High Severity problem(s) found High Severity problem(s) found High Severity problem(s) found High Severity problem(s) found High Severity problem(s) found High Severity problem(s) found
19408
67

MS05-043: Vulnerability in Printer Spooler Service Could 19407 1 Allow Remote Code Execution (896423) (uncredentialed check) 56211 56210 2 2 SMB Use Host SID to Enumerate Local Users Without Credentials Microsoft Windows SMB LsaQueryInformationPolicy Function SID Enumeration Without Credentials MS10-024: Vulnerabilities in Microsoft Exchange and 45517 1 Windows SMTP Service Could Allow Denial of Service (981832) (uncredentialed check) 26920 18602 18585 12218 11213 10079 22964 22319 11111 11011 24260 54615 45590 25220 19506 1 1 1 1 1 1 8 4 4 4 3 2 2 2 2 Microsoft Windows SMB NULL Session Authentication Microsoft Windows SMB svcctl MSRPC Interface SCM Service Enumeration Microsoft Windows SMB Service Enumeration via \srvsvc mDNS Detection HTTP TRACE / TRACK Methods Allowed Anonymous FTP Enabled Service Detection MSRPC Service Detection RPC Services Enumeration Microsoft Windows SMB Service Detection HyperText Transfer Protocol (HTTP) Information Device Type Common Platform Enumeration (CPE) TCP/IP Timestamps Supported Nessus Scan Information High Severity problem(s) found Medium Severity problem(s) found Medium Severity problem(s) found Medium Severity problem(s) found Medium Severity problem(s) found Medium Severity problem(s) found Medium Severity problem(s) found Medium Severity problem(s) found Medium Severity problem(s) found Medium Severity problem(s) found Low Severity problem(s) found Low Severity problem(s) found Low Severity problem(s) found Low Severity problem(s) found Low Severity problem(s) found Low Severity problem(s) found Low Severity problem(s) found Low Severity problem(s) found Low Severity problem(s) found
68

Tabla3.3.Deteccindevulnerabilidadesenlosequiposdelreadecrdito.
PLUGIN ID#
PLUGIN NAME
SEVERITY
51192 26920 26919 12218 22964 11011 54615 53491 45590 35716
2 2 2 1 9 4 2 2 2 2
SSL Certificate signed with an unknown Certificate Authority Microsoft Windows SMB NULL Session Authentication Microsoft Windows SMB Guest Account Local User Access mDNS Detection Service Detection Microsoft Windows SMB Service Detection Device Type SSL / TLS Renegotiation DoS Common Platform Enumeration (CPE) Ethernet Card Manufacturer Detection
Medium Severity problem(s) found Medium Severity problem(s) found Medium Severity problem(s) found Medium Severity problem(s) found Low Severity problem(s) found Low Severity problem(s) found Low Severity problem(s) found Low Severity problem(s) found Low Severity problem(s) found Low Severity problem(s) found
Para mayor detalle en el Anexo 23, se halla el reporte completo de las vulnerabilidades encontradas ascomounaposible solucinparacada una deellas,en base alpluginsasociado de acuerdo a los resultados obtenidos de la ejecucin de NESSUS en el servidor de base de datos,elservidorDNS,yenlasterminalesdecrdito. Acontinuacinseresumenlasvulnerabilidadesdemayorndicederiesgo,especficamentelas denivelaltoynivelmedio. El sistema operativo del servidor DNS es obsoleto, ya que est corriendo en una versin de Microsoft Windows 2000, la misma que ya no tiene soporte para las vulnerabilidadesexistentes. Se puede acceder a un recurso compartido de red usando una sesin nula, permitiendoaunatacanteleeroescribirlosdatosconfidenciales. Los servidores parecen estar infectados por algunos tipos de gusanos que podran propagarse aotroshosty permitir aun atacanteejecutarcdigo maliciosodebido a la falladealgunosservicios. Emulando llamadas a ciertas funciones es posible obtener el SID del servidor sin credenciales, este puede ser usado para conseguir la lista de usuarios locales. Adems se podra obtener informacin del equipo como: tipo de S.O y versin exacta, nombre delhostylistadeserviciospropiosdelsistemaqueestncorriendo. 69
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel El servidor permite logins con texto claro permitiendo a los atacantes manejar usuarios y contraseas por sniffing de trfico al servidor, los host tienen contraseas configuradas para que nunca expiren y los controles de seguridad local estn desactivados. Entre las recomendaciones principales otorgadas por NESSUS se mencionan que: se desactivenlosserviciospropiosdelsistemaoperativosinosonnecesarios,seactualice el sistema operativo a una nueva versin, se actualice el antivirus y realizar un scan completoalsistemaoperativodelosequipos.
Deacuerdoalosresultadosobtenidossepuedeconcluirquelamayoradelasvulnerabilidades encontradas han sido en los equipos que tienen instalado el sistema operativo Windows, ya que el servidor de base de datos est en Linux y no se han encontrado mayores riesgos posibles.
3.3.2. APLICACINDEIDEA
IDEA8esunaherramientaqueayudaaauditoresyprofesionalesdesistemasyfinanzas. IDEApermiteleerdiferentestiposdearchivosentreellosExcel,loquefacilitarelanlisisdela base de datos de la cooperativa, debido a que el sistema que maneja la Institucin permite exportarreportesdelabasededatosconesteformato. Caractersticas IDEApermite: Importardatosdesdeunampliorangodetiposdearchivo. Crearvistaspersonalesdelosdatosylosreportes. Llevar a cabo anlisis especficos de los datos como el clculo de estadsticas diversas, deteccindeomisiones,deteccindeduplicadosysumarizaciones. Efectuardiversidaddeclculos. Obtenermuestrasusandodiversastcnicasdemuestreo. Unirycomparardiferentesarchivosdedatos. Cuenta con funciones para aritmtica, textos, fechas y horas, e incluso funciones financieras, que permiten ejecutar operaciones con fechas, clculos financieros y estadsticos. Disearreportes.
Fuente:http://www.casewareidea.com/ 70
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel COMPONENTESDELAHERRAMIENTA: IDEA Extracciones Clave duplicada Sumarizacin Deteccin de omisiones Muestroaleatorio deregistros Extraccindirecta Extraccinindexada Extraccin por valor clave Extraccinderegistros
Anlisis
Basesdedatos
Compararbasesdedatos Unirbasesdedatos Agregarbasesdedatos
Importacin de archivos Importacinde reportes

Figura3.15.ComponentesdeIDEA.
INSTALACINYCONFIGURACION: DescargarlaltimaversindeIDEAen:http://www.casewareidea.com/ Realizarlainstalacindelaherramientaenbasealaguadeinstalacin9, PLANDEPRUEBASAUSAR: QusevaaevaluarconIDEA?
Fuente: Gua de Instalacin, Disponible en: http://es.scribd.com/doc/55192739/Installation Guide

9
71
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel Consistenciadeinformacin o Lmitedecrditos. o Evaluarsilosclculosdeinteresesdemorasoncorrectos o Totalizar las cuotas y das de mora por cliente para obtener los socios demandados Redundancia o Datosclaveduplicados(crditosconelmismonmerodeoperacin). Validez o Verificarquenohayaoperacionesenfechasinusuales Integridad o Verificar que en las secuencias de los nmeros de crditos no existan omisiones
PERSONALIZACIONYENTORNODEPRUEBAS: Para la aplicacin de esta herramienta se han tomado datos de reportes obtenidos de la base dedatosdelacooperativa. Los reportes contienen datos de crditos otorgados desde Enero del 2004 hasta Septiembre del 2011, ya que IDEA permite analizar volmenes grandes de registros se tomado como muestraeluniverso,esdecirtodoslosregistrosexistentes. Una vezrealizada la instalacinde laherramienta IDEAde acuerdoa la guade instalacin, se puedevisualizarinformacindelasbasesdedatos,comosemuestraenlaFigura3.16.
Figura3.16.VentanaprincipaldeIDEA.
ElsiguientepasoesimportararchivosdeExcelparaseranalizadosconlaherramienta.Para elloseubicaenelicono ,aparecerunanuevaventanaquecorrespondealAsistentede ,para
Importacin,sedebemarcarlaopcinMicrosoftExcelyluegoclicenelicono 72
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel seleccionarelarchivoqueseranalizado.LuegoclicenSiguienteseaccedealasistentede importacincomolomuestralaFigura3.17.
Figura3.17.Asistentedeimportacin
En la nueva ventana, seleccionar las dos opciones para que se muestren los encabezados correspondientesacadacampodelarchivodeExcelyluegoclicenAceptar,comoloilustrala Figura3.18.
Figura3.18.Importacindelabasededatos
En la siguiente ventana como lo muestra Figura 3.19, aparecer el archivo importado con la respectivainformacin. 73
Figura3.19.Archivodeimportacin
Seguidamente se procede a realizar las acciones necesarias en base a los criterios antes mencionados: 1. CONSISTENCIADEINFORMACIN
Lmitedecrditos
Con la finalidad de comprobar si los cupos de los crditos concedidos estn acorde con lo reglamentadoporlacooperativa,seaplicalaopcinextraccindirecta. Para aplicar esta funcin se ha tomado como referencia los crditos concedidos (vigentes y cancelados)desdeenerodel2004hastaSeptiembredel2011,ensusdiferentestiposymontos comosemuestraenlaTabla3.4.
Tabla3.4.Tiposdecrditos
TIPOSDECRDITOS CREDITO Comercial (desde$200hasta10%delpatrimonio tcnicodelacooperativa) Consumo (desde$200hasta10%delpatrimonio tcnicodelacooperativa) Vivienda (desde$200hasta10%delpatrimonio tcnicodelacooperativa) FINANCIA Capitaldetrabajo Comercio Educacin Salud Viajes Gastosvarios Construccindevivienda Adquisicindevivienda
74
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel Microcrdito (desde$2005000) Crditosamicroempresarios Organizacincomunitaria10
En la Figura 3.20, se muestra la funcin Extraccin Directa que ser aplicada al reporte TotalCreditosConcedidos (Anexo 29) el cual est formado por listados de socios de todos los tipos de crditos, la cual permitir obtener los montos de los crditos por cada socio, y de acuerdoacadatipodecrdito.
Figura3.20.OpcinExtraccinDirecta
EnlaFigura3.21,sepuedeobservarlaformulaMONTO>80000.00,donde80000.00esel10% del patrimonio actual de la cooperativa y es el valor mximo de crdito para los crditos de comercio y de consumo. Para microcrdito el MONTO >10000.00 en donde 10000.00 es el valormximodemicrocrditosegnresolucinemitidaporelConsejodeAdministracindela cooperativa,yparaviviendaelMONTO>40000.00,endonde40000.00eselvalormximode crditos de vivienda segn resolucin emitida por el Consejo de Administracin de la cooperativa.
10 Fuente:ReglamentodeCrditodelaCooperativadeAhorroyCrditoFortuna.
75
Figura3.21.FrmulaparaobtenerelmontolmitedeCrditoComercialyConsumo.
Como se muestra en la Figura 3.22, con extraccion directa se realiza la obtencion del lmite de creditos concedidos en base al reporte TotalCrditosConcedidos el cual est formado por listadosdesociosdetodoslostiposdecrditos(Anexo29).
Figura3.22.Resultadosdelmiteselevados.
Luegodehaberaplicadolaformulacorrespondientesehaobtenidolossiguientesresultados: Encrditocomercial,existendosregistrosqueexcedenelmontomayora800000.00 Encrditoconsumo,noexistenregistros,eliconosemuestraencolorrojo. Enmicrocrdito,existeunregistroquesuperaelmontomayora10000.00 Encrditovivienda,existendosregistrosquesuperanelmontomayora40000.00
Enconclusin,conlosresultadosobtenidossepuedemencionarquenosehacumplidoconlas polticas establecidas enelreglamento decrdito de lacooperativa ni con los cambiosen los cupos de crditos emitidos por las resoluciones del Consejo de Administracin, ya que los montosotorgadossobrepasanellmiteestipulado.
76
Evaluarsilosclculosdeinteresesdemorasoncorrectos
Con la finalidad evaluar si los clculos de intereses de mora coinciden con los clculos que realizaelsistemainformaticodelacooperativa,seaplicalaopcincompararbasesdedatos. Para aplicar esta funcin se ha tomado como muestra los crditos concedidos vigentes y vencidos desde Julio del 2010 hasta Septiembre del 2011, en sus diferentes tipos como se muestraenlaTabla3.4. EnlaFigura3.23,semuestra laopcinComparar Bases de Datos,queseraplicadaalreporte Crditos Vencidos el cual est formado por listados de socios de todos los tipos de crditos (Anexo33).

Figura3.23.OpcinCompararBasesdeDatos.
Primero se crea con IDEA una nueva base de datos por cada tipo de crdito con el nombre Clculo de mora (Anexo 34), en esta base de datos que se calcula el campo MORA mediante unafrmulamatemtica,comosemuestraenlaFigura3.24.
77
Figura3.24.Calculodemoraennuevabasededatos.
Como se muestra en la Figura 3.25Figura 3.25, una vez que se tiene la nueva base de datos Clculo de mora (Anexo 34) y con la base de datos del reporte Crditos Vencidos1 (Anexo 35), se realiza el proceso de comparacin de las bases de datos en base al campo MORA con la funcinCompararBasesdeDatos,cuyacoincidenciaeselcampoCLIENT.
Figura3.25.Procesodecomparacindedosbasesdedatos.
Los resultados de la comparacin del campo MORA se muestran en la Figura 3.26, los campos TOTAL_P y TOTAL_S, son iguales, esto quiere decir que el clculo de mora est correcto, con esto se comprueba que no hay ninguna diferencia en la mora en ninguno de los tipos de crditosotorgados,losresultadossonlosmismosenlasdosbasesdedatos. 78
Figura3.26.Resultadosdelacomparacindelcampomora.
Totalizar las cuotas y das de mora por cliente para obtener los socios demandados
Con la finalidad comprobar que los socios que tienen sus crditos vencidos ms de noventa dasestndemandados,seaplicalaopcinsumarizacin. Para aplicar esta funcin se ha tomado como muestra los crditos concedidos vigentes y vencidos desde Enero del 2005 hasta Septiembre del 2011, en sus diferentes tipos como se muestraenlaTabla3.4. En la Figura 3.27, se muestra la opcin Sumarizacin que ser aplicada al reporte crditos vencidos y demandados (Anexo 36), el cual est formado por listados de socios de todos los tipos de crditos, la cual permitir obtener el total de los montos vencidos por cada socio, el totaldedividendosvencidoseltotaldedasdemora.
79
Figura3.27.OpcinSumarizacin.
En la Figura 3.28, se realiza el proceso de Sumarizacin tomando el campo CLIENT, el campo TOTAL_DVDyelcampoDIAS_DE_MORA,basadoenelcriterioDIAS_DE_MORA>=90,yaquelos sociosqueestnvencidosmsdenoventadasdeberanestardemandados.
Figura3.28.ProcesodeSumarizacin
Una vez aplicada la Sumarizacin a cada tipo de crdito, y como se puede observar en la Figura 3.29, existen socios con hasta veinte y un cuotas vencidas y con un valor de das de mora mayor a noventa, con estos resultados y con la observacin de los reportes de crditos demandados (Anexo 10) que posee el departamento de crdito se pudo comprobar que los
80
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel socios que aparecen como resultado de la Sumarizacin efectivamente estn demandados judicialmenteporlacooperativa.

Figura3.29.Resultadosdeclientesdemandados.
2. REDUNDANCIA Datosclaveduplicados
Con la finalidad comprobar que el nmero de crdito de un socio, en sus diferentes tipos de crditos,noseaelmismonmerodecrditodeotrosocio,seaplicalaClaveDuplicada. Para aplicar esta funcin se ha tomado como referencia todos los crditos concedidos sean estos vigentes y cancelados (Anexo 37) desde Enero del 2004 hasta Septiembre del 2011, en susdiferentestiposcomosemuestraenlaTabla3.4. EnlaFigura3.30,semuestralaopcindeClaveDuplicada,lacualpermitirrealizarelproceso de verificacin, para esto se utiliza el reporte TotalCreditosConcedidos (Anexo 29), que correspondeatodoslosregistrosdelossociosaquienesseleshaotorgadouncrditodesdela aperturadelacooperativa.
81
Figura3.30.OpcinClaveDuplicada.
ComomuestralaFigura3.31,luegoderealizarlaoperacindeverificacindeClaveDuplicada, el smbolo en rojo indica que no existen valores repetidos, es decir que en todos los registros de crditos otorgados no existen nmeros de crditos repetidos, por lo tanto ningn socio poseeelmismonmerodecrditodeotrosocio.
Figura3.31.Resultadodelaverificacindeclavesrepetidas.
3. VALIDEZ Verificarquenohayaoperacionesenfechasinusuales
Con la finalidad de comprobar si se realizo algn desembolso de crdito en das no laborables enestecasodadomingo,seaplicalaopcinExtraccinDirecta,comomuestralaFigura3.20. Para aplicar esta funcin se ha tomado como referencia todos los crditos concedidos (vigentes y cancelados) desde Enero del 2004 hasta Septiembre del 2011, en sus diferentes tiposcomosemuestraenlaTabla3.4. La Figura 3.32, muestra la funcin y la frmula para realizar una extraccin, tomando como informacin los datos de del reporte TotalCrditosConcedidos (Anexo 29) para verificar si se harealizadoconcesionesdecrditoslosdasdomingos,
82
Figura3.32.Frmulaparaverificaroperacioneseldadomingo.
En la Figura 3.33, se realiza el proceso de extraccin de datos, en la que se toma en cuenta el campoFECHA_DE_CONCESparaseranalizadoenbasealcriteriooperacionesdadomingo.
Figura3.33.Extraccindedatosdadalaformula.
De acuerdo a los resultados que se muestran en la Figura 3.34, el icono en rojo indica que no existen registros para esta funcin, por lo tanto todas las fechas de concesin de crdito han sidorealizadasendaslaborables.
83
Figura3.34.ResultadosdeoperacionesendaDomingo.
4. INTEGRIDAD
Verificarqueenlassecuenciasdelosnmerosdecrditosnoexistanomisiones
Con la finalidad de comprobar que los nmeros de crditos, por cada tipo de crdito, mantienenunasecuencia,seaplicalaopcinDeteccindeOmisiones. Para aplicar esta funcin se ha tomado como referencia todos los crditos concedidos (vigentes y cancelados) desde Enero del 2004 hasta Septiembre del 2011, en sus diferentes tiposcomosemuestraenlaTabla3.4. Debido a que los tipos de crdito tienen cdigos diferentes, ha sido necesario realizar la verificacin de secuencias por cada tipo de crdito, para ello se han creado los siguientes comandos: Campoausar:CDIGO_CRDITO Donde;TIPO_DE_CREDITO=="COMERCIO" TIPO_DE_CREDITO=="CONSUMO" TIPO_DE_CREDITO=="MICROCRE" TIPO_DE_CREDITO=="VIVIENDA" Cada tipo de crdito tiene su numeracin, la cual est formada por el cdigo asignado por defectosegneltipodecrditoyporlasecuenciaquesedaconformesevanincrementando loscrditos,as:
84
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel CrditosdeCOMERCIO44010100nmerosegnsecuencia CrditosdeCONSUMO44010200nmerosegnsecuencia CrditosdeVIVIENDA44010300nmerosegnsecuencia CrditosdeMICROCREDITO44010400nmerosegnsecuencia En la Figura 3.35, se muestra la funcin de Deteccin de Omisiones, la cual permitir realizar el proceso de comprobacin, para esto se utiliza el reporte TotalCreditosConcedidos (Anexo 29),quecorrespondeatodoslosregistrosdelossociosaquienesseleshaotorgadouncrdito desdelaaperturadelacooperativa.
Figura3.35.OpcinDeteccindeOmisiones.
En la Figura 3.36, se realiza el proceso de Deteccin de Omisiones, en el que se toma en cuenta el campo CODIGO_CREDITO que es un identificador nico, y ser analizado en base al criterioTIPO_DE_CREDITO==COMERCIALypornmerodecrdito,
85
Figura3.36.Procesodedeteccindeomisiones.
EnlaFigura3.37,seobtienenlosresultadosdelaejecucindelaopcinDeteccinOmisiones, los reportes con icono en color azul dan como resultado que para el tipo de crdito de comercio existen seis omisiones en los registros, para el tipo de crdito consumo existen dos omisiones en los registros. Para el resto de tipos de crdito no existen omisiones como lo demuestra el icono de color rojo, por lo tanto no hay secuencias en la generacin de los nmerosdecrditos.
Figura3.37.Resultadosdedeteccindeomisiones
86
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel RESULTADOS: Finalmente de la aplicacin de IDEA en base a los criterios de evaluacin mencionados anteriormente,sepuedeconcluirque: No se ha cumplido con las polticas establecidas en el reglamento de crdito de la cooperativa en cuanto a los montos establecidos para cada tipo de crdito, ya que existen crditosdesembolsadosconvaloressuperioresalosfijadosendichoreglamento. Elclculodemoraquerealizaelsistemaconelquetrabajadelacooperativaescorrecto. Los socios que estn ms de noventa das vencidos en los crditos, en efecto estn demandadosjudicialmenteporlacooperativa. No existen nmeros de crditos repetidos, por lo tanto ningn socio posee el mismo nmerodecrditodeotrosocio. Todoslosdesembolsosdeloscrditossehandadoendaslaborables. Nohaysecuenciasenlageneracindelosnmerosdecrditos,existenciertasomisiones.
3.3.3. APLICACINDELOSMODELOSDEMADUREZ
El modelo de madurez es una forma de medir qu tan bien estn desarrollados los procesos administrativos de TI, con ello se determinarn procesos y sistemas crticos que requieren de unamayoratencinqueotrosquesonmenoscrticos. Los modelos de madurez brindan un perfil genrico de las etapas a travs de las cuales evolucionalacooperativaparalaadministracinyelcontroldelosprocesosdeTI. Los modelos de madurez COBIT no son un nmero al cual hay que llegar, ni estn diseados para ser una base formal de certificacin, sin embargo, se disearon para ser aplicables siempre. En base a la escala de niveles de cada modelo de madurez, la administracin de la cooperativa tendr una idea clara de todo lo que engloba TI en la organizacin, y podr catalogar,priorizaryestablecermejorasalosprocesosdeTIqueseencuentranennivelesmuy bajos permitiendo con su aplicacin, mejorar el nivel de calificacin y provocando con ello la perfeccionamiento continuo; siempre y cuando se tome en cuenta que existen algunos aspectos que dependen mucho tanto de recursos econmicos , de recursos humanos y del tiempo.
3.4. VERIFICACINDEEVIDENCIAS
En esta etapa mediante la tcnica de la observacin se pudo realizar la verificacin de las evidencias y su respectiva localizacin, lo que permiti determinar el nivel de madurez en el queseencuentralacooperativaensusdiferentesprocesosdecrdito. Eldetalledetodaestainformacinencuentraenlamatrizdeevaluacin(Anexo22).
87
3.5. INFORMEDERESULTADOS
Luegodelanlisisdelainformacinrecopiladaenbasealosnivelesdemadurez,sepresentan lossiguientescuadrosresumenylagrficadedichosnivelesenloscualesseencuentrala cooperativaporcadadominiodeCOBIT. En base a la aplicacin de la lista de chequeo que forma parte de la matriz de evaluacin (Anexo 22) se pudo determinar que de los ocho procesos seleccionados, dos procesos se encuentran en la escala del nivel de madurez uno y seis procesos se encuentran en la escala delniveldemadurezdos. Acontinuacinenlassiguientestablas,semuestranlosresultadosdelniveldemadurezactual obtenidoporcadaprocesoCOBIT.
Tabla3.5.NiveldeMadurezdelDominioPLANEARYORGANIZAR
DOMINIO REF. PLANEARY ORGANIZAR
PROCESO
NIVELDEMADUREZ 2REPETIBLE 2REPETIBLE
PO6 ComunicarlasAspiracionesylaDireccindelaGerencia
PO9 EvaluaryAdministrarlosRiesgosdeTI

Tabla3.6.NiveldeMadurezdelDominioADQUIRIREIMPLEMENTAR
DOMINIO REF. ADQUIRIRE IMPLEMENTAR
PROCESO
NIVELDEMADUREZ
AI4 FacilitarlaOperacinyelUso
2REPETIBLE
Tabla3.7.NiveldeMadurezdelDominioENTREGARYDARSOPORTE
DOMINIO REF. ENTREGARYDAR SOPORTE
PROCESO
NIVELDEMADUREZ 2REPETIBLE 2REPETIBLE 1 INICIAL
DS4 GarantizarlaContinuidaddelServicio
DS5 GarantizarlaSeguridaddelosSistemas DS11 AdministrarlosDatos
88

Tabla3.8.NiveldeMadurezdelDominioMONITOREARYEVALUAR
DOMINIO REF. MONITOREARY EVALUAR
PROCESO
NIVELDEMADUREZ 1INICIAL 2REPETIBLE
ME2 MonitorearyEvaluarelControlInterno
ME3 GarantizarCumplimientoRegulatorio
La Figura 3.38, muestra la relacin entre los niveles de madurez actuales de la cooperativa y losdominiosCOBITquefueronseleccionadosparaestaauditora.
PO6 2 ME3 1.5 1 0.5 ME2 0 AI4 NIVELACTUAL PO9
DS11 DS5
DS4
Figura3.38.ComparativadelosnivelesdemadurezvsdominiosCOBIT.
3.5.1. HALLAZGOSDELAAUDITORA
UnavezejecutadalaauditoraenlaCooperativadeAhorroyCrditoFortuna,evaluandolos niveles de madurez por cada dominio de COBIT, as como la aplicacin de encuestas, la observacin y la ejecucin de las herramientas NESSUS e IDEA , se han detectado algunas falenciaslascualessedetallanenunatabladehallazgos. Para poder comprender la tabla de hallazgos es necesario explicar de qu manera se determin el nivel de criticidad en el que se encuentra cada descubrimiento, para ello se ha elaborado una matriz, la cual en base a ciertos criterios establece si el nivel de criticidad del hallazgoseencuentraenlaescalaalta,mediaobaja,todoestosedetallaenlaTabla3.9.
89

Tabla3.9.MatrizdeMedicindeCriticidad.
MATRIZDEMEDICINDECRITICIDAD Nivelde Criticidad Criterio Afectaatodoslosdepartamentosdelacooperativa. Incumplimientoconlamayoradelosobjetivosdelacooperativa. Potencialprdidaqueafectaalpatrimoniodelacooperativa. Alto Reclamosagranescaladelosusuariosdelacooperativa. Afectamedianamentealacontinuidaddelacooperativa. .Afectaalamayoradedepartamentosdelacooperativa. Incumplimientoconpartedelosobjetivosdelacooperativa. Medio Prdidaqueafectaalpatrimoniodelacooperativa. Aumentalasquejasdelosusuariosdelacooperativa. Poneenpeligrolacontinuidaddelacooperativa. Noafectaaningndepartamentodelacooperativa. Incumplimientoenningnobjetivodelacooperativa. Bajo Mnimoimpactoenelpatrimoniodelacooperativa. Noexistenquejasdelosusuariosdelacooperativa. Noafectaalacontinuidaddelacooperativa.
AcontinuacinsepresentalatabladehallazgosdelaauditorainformticaalaCooperativade AhorroyCrditoFortunaysurelacinconcadaprocesodelCOBIT.
Tabla3.10.HallazgosdelaAuditoraInformtica.
TABLADEHALLAZGOSDELAAUDITORA HALLAZGO Los manuales y reglamento de crdito no han sido actualizadosdesdeelao2009. No existe un manual de procedimientos para gestin interna. No se cumple con el cronograma establecido para capacitacin al personal en cuantoapolticas. NIVELDE CRITICIDAD Bajo ACCIONES RECOMENDADAS Actualizar el reglamento de crdito. Definir manual de procedimientos para gestininterna. Definiruncronograma para capacitacin al personal. PROCESO PROCESO COBIT DECRDITO
Bajo
PO6
PC1,PC2, PC3
Bajo
90

Existen crditos otorgados cuyos montos por tipo de crdito superan lo establecido enelreglamentodecrdito. No existen polticas seguridaddeTI. Alto Revisin de las polticas del reglamento de crdito. Implementar polticas deseguridaddeTI. Definir un marco de trabajo. Definir y documentar un plan de accin de riesgos. Definir, documentar y comunicar la administracin de riesgosdeTI. Definir, documentar y comunicar la administracin de riesgosdeTI. Actualizar el sistema operativo Windows 2000 o cambiarse a un sistema operativo menosvulnerable. Establecer una adecuada planificacin para el desarrollo y la adquisicin de aplicaciones de acuerdo a los requerimientos de la cooperativa. Actualizar los manualesdeusuario. Establecer acuerdos firmados de capacitacin al personal para uso del sistema. Elaboracin de un plan de contingencias debidamente documentado y aprobado. Revisar y actualizar peridicamente las polticas del plan de contingencias. PC1,PC2, PC3,PC4, PC5
de Medio Medio
No existe un marco de trabajo paraevaluacinderiesgos. No existe un plan de accin documentado contra riesgos crediticios, tecnolgicos, de seguridad,decontinuidad. Noestdefinidalaevaluaciny administracin de riesgos en TI (amenazas,vulnerabilidades). No existe evidencia de que se haya definido y comunicado el grado de tolerancia del riesgo enTI. Existen vulnerabilidades tanto en los servidores como en las terminalesdecrdito.
Medio
Medio
PO9
Medio
Alto
No se cuenta con un plan general para cubrir las necesidades referentes a la elaboracin de las aplicaciones informticas que desarrolla el departamento de sistemas de lacooperativa. Los manuales de usuario del aplicativo con el que trabaja la cooperativasonobsoletos No se da capacitacin a los usuarios del sistema financiero con el que opera la cooperativa, por parte de los proveedoresdelmismo.
Medio
AI4
PC4,PC5
Medio
Medio
No existe un contingencias
plan
de
Alto
DS4
PC4,PC5
91

No existe la debida seguridad fsicaenelcentrodecmputo. Alto Implementacin de seguridad fsica e infraestructura. Definir actividades para la administracin de riesgos (riesgos crediticios, tecnolgicos, de seguridad, de continuidad). Concienciar y capacitar a todo el personal de la cooperativaacercade la importancia de la seguridad tanto a nivel de software comodehardware. Implementar polticas y procedimientos de seguridad estandarizados, revisar y confirmar peridicamente los derechos de acceso, riesgo de errores, fraudes, alteracin no autorizada o accidental. Implementar las soluciones propuestas por la herramienta NESSUS para mitigar las vulnerabilidades existentes. Implementar un adecuado control de virus informtico en losequipos. Restringir a usuarios no autorizados el acceso a informacin confidencial de los sociosimplementando tcnicasdeseguridad. Contratar los servicios de un especialista de seguridad para la identificacin de amenazas.
Falta de actividades definidas para la administracin de riesgos crediticios, tecnolgicos, de seguridad, de continuidad.
Alto
No se presta atencin a la seguridad de TI a nivel de softwarenidehardware.
Alto
No existen polticas y procedimientos estandarizados deseguridaddeTI.
Alto
No existen seguridades en la red y el antivirus con el que cuentalacooperativanobrinda laconfianzanecesaria.
Alto
DS5
PC4,PC5
A la informacin fsica de los crditos tiene acceso cualquier empleadodelacooperativa. No existe evidencia de procedimientospara establecer revisiones peridicas de los derechosdeaccesoasignadosa los usuarios del aplicativo con elqueoperalacooperativa.
Alto
Alto
92

No est documentado un procedimiento que permita eliminar los respaldos de la informacin de manera segura cuando estos ya no se los utilice o hayan cumplido con el tiempodepermanencia. No existe seguridad con la informacin fsica de los socios decrdito. Nosecuentaconuninventario de los recursos crticos de software y hardware de la cooperativa. Los montos de crditos segn el tipo de prstamo no estn parametrizados en el sistema con el que opera la cooperativa. En el tipo de crditos de comercio y crditos de consumo existen omisiones en las secuencias de los nmeros decrdito. Falta de estndares representacindedatos. de Definicin de un procedimiento para la eliminacin de respaldos dentro de las polticas del departamento de sistemas. Establecer mecanismos de seguridad para la documentacin de los socios. Implementar procedimientos para mantener un inventario de los recursos crticos de softwareyhardware. Parametrizar en el sistema de la cooperativa los montos de crditos, segnsutipo. Implementacin controles en sistema. Implementar estndares representacin datos. de el
Medio
Alto
Alto
Alto
Medio
DS11
PC4,PC5
Alto
de de
No existe un programa de control interno y proceso de monitoreodeTI.
Medio
Definir y documentar un programa de monitoreo y control internodeTI. Contratar los servicios profesionales de un auditorinformtico. Realizar auditora al departamento de sistemas. Definir y documentar un programa de evaluacindeTI. Conformar un comit de seguridad informtica. ME3 PC1,PC2, PC3,PC4, ME2 PC1,PC2, PC3,PC4, PC5
Falta de seguimiento y evaluacindeprocesosdeTI. No se hacen revisiones de auditora interna al departamentodesistemas.
Medio
Alto
No se dan procesos de evaluacin de tecnologa de Alto informacin. La cooperativa no cuenta con un comit de seguridad Medio informtica.
93

Contratacin de serviciosprofesionales para el rea de seguridad informtica con el fin de garantizar que los requisitos legales y regulatorios del departamento de sistemas se cubran y cumplan de forma eficiente. PC5
No se garantiza que los requisitos legales y regulatorios se cubran y cumplan de forma eficiente.
Medio

94
CAPTULO4:
RESULTADOSDELAAUDITORA INFORMTICA

95
4. RESULTADOSDELAAUDITORAINFORMTICA
En esta fase se presentan los resultados de la auditora realizada a la Cooperativa de Ahorro y Crdito Fortuna, los cuales permite evaluar el control del departamento de crdito, medir laeficaciadelsistemainformtico,verificarelcumplimientodelanormativadelosorganismos decontrolyrevisarlagestindelosrecursosdeTI. En esta seccin tambin se plantean una estrategia para resolver las criticidades encontradas yserealizaelPlandeaccinapartirdeloshallazgosdelaauditorainformtica,loscualesse obtuvieron mediante la aplicacin de los modelos de madurez y las herramientas IDEA y NESSUS. Finalmente se define un plan de accin con actividades que ayuden tanto a Gerencia General como al Consejo de Administracin en la toma de decisiones para mejorar los procesos en la cooperativaFortuna. CabemencionarquecadaprocesodeCOBITcuentaconunconjuntodemejoresprcticaspara la seguridad, calidad, eficacia y eficiencia en TI, las cuales sirven como pautas para alinear TI con las actividades de la cooperativa, identificar riesgos, gestionar recursos y medir el desempeo y cumplimiento de metas y evaluar el nivel de madurez de los procesos de la entidad.
4.1. ANLISISDERESULTADOS
Una vez finalizada la auditora informtica a la Cooperativa de Ahorro y Crdito Fortuna, se hanpodidodeterminaralgunasfortalezasydebilidadesexistentes,alascualesselasdetallaa mododecausayefectoenlassiguientestablas:
FORTALEZAS
Tabla4.1.FortalezasencontradasluegoderealizadalaAuditoraInformtica.
EFECTO
CAUSA
La cooperativa cuenta con un reglamento de Existe un Consejo de Vigilancia, los cuales se crdito. renen semanalmente y controlan el cumplimientodelaspolticasdecrdito. Se lleva un control manual y sistemtico de los Existe monitoreo por parte de la Gerencia de la crditos al da y de los crditos vencidos y no recuperacindeloscrditos. pagados. Controlesdeauditorainterna La cooperativa ha reconocido que los problemas de control interno existen y que necesitan ser resueltos. Se hacen revisiones de auditora interna al departamento de crdito, en base a las polticas, leyesyregulacionesdelacooperativa. Auditora interna y los miembros del Consejo de
96

Vigilancia se encargan de verificar el cumplimiento regulatorio en cuanto a los crditos otorgados. Auditora interna realiza revisiones peridicas de loscrditos. El Consejo de Vigilancia se rene semanalmente para realizar las revisiones de los crditos otorgados,vigentes,vencidosydemandados,enel caso de que en los informes del Consejo de Vigilancia o de auditora Interna se notifiquen errores estos deben ser corregidos a la brevedad delcaso. Existe un documento firmado por el personal de crdito en el cual se determina la confidencialidad yelsigilo. Los contratos de prstamos y pagars de crdito son redactados por el asesor legal de la cooperativa, por lo tanto son documentos que respaldanlegalmentelasoperacionesdecrdito. Seguridadesdeingreso El aplicativo con el que opera la cooperativa bloquea al usuario cuando se han dado tres intentosdeingresosconclavesinvlidas El sistema con el que opera la cooperativa posee expiracinmensualdeclaves. Adecuadoprocesamientodedatos. El aplicativo con el que opera la cooperativa provee de una adecuada automatizacin de los desembolsosyrecuperacindeloscrditos. El clculo de los intereses normales e intereses de moraque realiza el sistemasalosdiferentes tipos decrditosonloscorrectos. Los nmeros de crdito de un socio, en sus diferentes tipos de prstamos, no es el mismo nmerodecrditodeotrosocio,esdecirnose danduplicidadesdelosnmerosdecrditos. La continuidad del servicio se cumple por Seguridad en el resguardo de informacin de la responsabilidaddeldepartamentodesistemas. basededatos. Existen mecanismos para reanudacin de servicios en caso de cortes de energa o falencias en los servidores. Lasbasesdedatossonrespaldadasadiarioencds reutilizables y cada cuatro meses estas son reemplazadas por nuevos respaldos, el resguardo de los cds se lo realiza fuera de las instalaciones
97

delacooperativa. Existe un inventario del almacenamiento de los cdsderespaldosdelasbasesdedatos. La cooperativa cuenta con un firewall el cual impide que software malintencionado o usuarios no autorizados puedan tener acceso a los equipos a travs de internet o de la red, adems permite filtrarloscorreosbasura.
Controldetrficodeinternet
DEBILIDADES
Lasdebilidadessehanclasificadoporelobjetodeanlisisas: 1) POLTICASYPROCEDIMIENTOS
Tabla4.2.DebilidadesencuantoapolticasyprocedimientosluegoderealizadalaAuditoraInformtica.
EFECTOOPROBLEMA
El cumplimiento de las polticas de crdito no es riguroso.
CAUSA
Manuales y reglamentos de crdito no estn actualizados. Cambiosfrecuentesalaspolticasdecrdito. No se capacita a los empleados en la aplicacin de laspolticas. Alto grado de confianza en los conocimientos de losempleados. Falta de procedimientos para monitorear si el personal de la cooperativa ha comprendido y cumplidolanormatividadinstitucional. Falta de control en la seguridad, confidencialidad ycontrolesinternos. Falta de recursos para implantacin de estas polticas. Se desconoce la responsabilidad acerca de la difusindelaspolticas. No se tienen objetivos de TI orientados hacia la calidad. Ausencia de una persona que realice auditora informtica lo cual no le permite obtener un aseguramiento efectivo de los controles internos deTI.
NoexistenpolticasreferentesaTI.
98

No existen polticas y estandarizadosdeseguridad. Falta de auditoras internas al departamento de sistemas. FaltadeevaluacinalosprocesosdeTI. Falta de controles que permitan evaluar la gestin deTI. procedimientos No se identifican los requerimientos de seguridad aplicables al recibo, procesamiento, almacenamientoysalidadelosdatos. Ausenciadeuncomitdeseguridadinformtica.
2)
Tabla4.3.DebilidadesencuantoaseguridadfsicaluegoderealizadalaAuditoraInformtica.
SEGURIDADFSICA
EFECTOOPROBLEMA
No existe un plan de contingencias documentado ni aprobado para poder evaluar y minimizar interrupcionesdelosserviciosprestadosdeTI.
CAUSA
No hay la debida seguridad fsica en el cuarto en donde estn los servidores, y no est organizado comodebeser. La cooperativa no ve la seguridad de TI tanto a nivel de software como de hardware como parte desupropiadisciplina. LaseguridaddeTIeslimitada. Falta de una evaluacin de riesgos de fallas o interrupciones. Falta de procedimientos para mantener el inventario de los recursos crticos de software y hardwaredelacooperativa. No existe evidencia de un procedimiento para mantener el inventario de los recursos crticos de softwareyhardwaredelacooperativa. Falta de controles que permitan evaluar la infraestructuraderedesylascomunicaciones. A la informacin crediticia tiene acceso cualquier Escasa seguridad en los lugares de empleadodelacooperativa. almacenamiento de las carpetas de los socios de crdito. Espaciofsicopequeo. Falta de un plan de accin documentado contra No existe un proceso para la Evaluacin e Riesgos. Identificacin de Riesgos del negocio, ni un marco dereferenciarelacionado.
99

Nosedaunenfoquegeneralparalaevaluacinde riesgos (alcance, lmites, metodologa, responsabilidadesyhabilidades). No se han implementado estrategias para evitar riesgoscrediticios. Falta de definicin en la evaluacin y la No se identifican todos los eventos, sean estos administracinderiesgosdeTI. amenazasovulnerabilidades. No se determinan el nivel de impacto de los riesgos en la cooperativa, por lo que ello puede afectar considerablemente a los activos de la informacindelainstitucin. Monitoreo del desempeo de TI de manera informal. No se ha definido y comunicado el grado de toleranciaderiesgosdeTI.
3)
Tabla4.4.DebilidadesencuantoalsistemaluegoderealizadalaAuditoraInformtica
SISTEMA
EFECTOOPROBLEMA
El sistema informtico de la cooperativa ya ha terminadosuciclodevidadentrodelamisma.
CAUSA
Falta de procedimientos para asegurar acciones oportunas relacionadas con la solicitud, establecimiento, emisin, suspensin y cierre de cuentasdeusuariodelsistema. Ya no se adapta a las necesidades del negocio actual y futuro por lo que se deben realizar muchos procesos de forma manual lo que retrasa la ejecucin de procesos y genera cuellos de botellaenalgunosdepartamentos. La estructura de la base de datos y el motor de la baseestndesactualizados. Creacin de pequeas aplicaciones extras de acuerdo a las necesidades de la cooperativa, stos programas son probados por los usuarios de la cooperativa antes de su aplicacin, para la elaboracin de estos programas no hay un plan general para dar entrenamiento, la capacitacin a estos programas se da de manera informal, y la responsabilidad en estos se deja al usuario, por lo tantoesprobablequesegenerenerrores.
100

Escasa capacitacin en el uso del sistema Falta de conocimiento sobre la existencia de informticodelacooperativa. tablasdeclavesdeusuario. Desconocimiento sobre la encriptacin de las clavesdeusuario. Los proveedores del sistema no brindan de manera efectiva ni eficiente el apoyo que se requiereencuantoalasfalenciasdelmismo. Losmanualesdelaplicativosonobsoletos. Noposeeconfiguracionesderegistro. Elsistemainformticoesvulnerable. Faltadeprocedimientosparaestablecerrevisiones peridicasdelosderechosdeaccesoasignadoslos usuariosdelsistema. El sistema no tiene parametrizados los montos de crditossegneltipodecrdito. Omisiones en las secuencias de la numeracin de loscrditosdesembolsados.
4)
Tabla4.5.DebilidadesencuantoaservidoresluegoderealizadalaAuditoraInformtica
SERVIDORES
EFECTOOPROBLEMA
ServidordeusuarioWindows2000ServicePack4.
CAUSA
Sistemaoperativoobsoleto. No tiene soporte para las vulnerabilidades existentes. Falla en la interfaz RPC (Llamada a Procedimiento Remoto) FallaenlafuncinRemoteActivation. Es posible obtener el SID (identificador nico para lasesindeusuario)delservidor,sincredenciales. Se puede acceder a un recurso compartido de red usandouna sesinnulapermitiendoa un atacante leeroescribirlosdatosconfidenciales. Interrupciones en los servicios informticos causadasporvirus. Permite logins con texto claro permitiendo a los atacantes manejar usuarios y contraseas por sniffingdetrficoalservidor.
101

Loshosttienencontraseasconfiguradasparaque nuncaexpiren. Los controles de seguridad local estn desactivados. Es posible logearse en el equipo con unasesinNULL(sinloginypassword) Nosoportanuevasbasesdedatos. Nosoportanuevasaplicaciones. Servidor de BD con sistema operativo LINUX Poca compatibilidad para importar desde CENTOS5.2. Windows. Instalarcontroladores de hardwarey programas resultacomplicado.
MotordebasededatosINFORMIX Nosoportaaplicacionestipoweb. Lentitud en el procesamiento de peticiones mltiples. Pocas aplicaciones de tipo financiera trabajan con estegestordeBD. Nobrindaseguridades. Bajacapacidaddealmacenamiento. Suvidatilcaducaenmayodel2012. 2GBmemoriaRAMdelservidordeBD. 2.66GHzprocesadordelservidordeBD. 1GBmemoriaRAMdelservidordeusuarios. 2.86GHzprocesadordelservidordeusuarios. 80 GB memoria del disco duro del servidor de usuarioydeBD.
Equipoobsoleto
4.2. DEFINICINDEOPORTUNIDADESDEMEJORA
Con la finalidad de mejorar la calidad del servicio en la cooperativa y optimizar e incrementar las seguridades, tanto a la red de datos como a la base de datos del sistema, se presenta una propuesta econmica, tcnica y operativa que podr dar solucin a varios inconvenientes con losactualesservidores. Se plantea el cambio de los servidores existentes por servidores virtualizados tipo rack, y para ellosehatomadoenconsideracinquelacooperativadeberacontarcon: Unservidorparalaaplicacin. Un servidor de correo y pgina web propios ya que actualmente tienen contratado un Hosting, y por motivos de seguridad lo ideal sera tener una pgina web local para poderimplementarunawebtransaccional. 102
Unservidorproxyparacontroldetrficodeinternet,yaqueactualmenteeselfirewall elencargadodeesto. Unservidordedirectorioactivoparacontroldelareddelocal. Unservidordeantivirus.
Acontinuacinsedetallaelanlisiseconmico,tcnicoyoperativodelosequiposysoftwarea usarse. PropuestaTcnica: Los recursos requeridos para la puesta en marcha del proyecto serian bsicamente los siguientes: Servidordebasededatostipotorre. Softwareylicencias UPS. PropuestaEconmica[64]: En cuanto a los costos de recursos de hardware y software a adquirir, se han tomado en cuentalossiguientes:
Tabla4.6.PropuestaEconmicadeDispositivos.
DISPOSITIVOS Rackcerrado Servidorpararack UPSderackde6kva Switchde24puertosadministrable Patchpanelde24puertospararackde19" Patchcordde1metro
CANTIDAD PRECIO SUBTOTAL 1 1 1 1 1 19 900.00 3158.00 1050.00 405.00 50.00 2.00 Total (USD) 900.00 3158.00 1050.00 405.00 50.00 38.00 4208.00
Tabla4.7.PropuestaEconmicadeSoftware.
SOFTWARE/LICENCIA SistemaOperativoparaServidor SoftwareAntivirus SoftwareBasedeDatos Licencia de Core Cal para acceso a base de datos y domino
CANTIDAD 1 19 1 19
PRECIO 2400.00 45.00 5400.00 150.00 Total (USD)
SUBTOTAL 2400.00 855.00 5400.00 2850.00 11505.00
Eltotaldelainversinparaimplementarlosservidoresvirtualizadosserade$15713.00
103
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel Cabe mencionar que los servidores virtualizados tienen mucha ventaja, ya que su respaldo es ms fcil y se lo puede migrar sencillamente, adems consumen menos energa lo que ahorraragastosalacooperativa. PropuestaOperativa: LosrequisitosptimosquesehanconsideradoparaestaalternativaselistanenelAnexo32.
4.3. PLANDEACCIN
Despusdehaberseestablecidoloshallazgosde laauditora informticarealizada mediante la aplicacin de los modelos de madurez del marco referencial COBIT y las herramientas IDEA y NESSUS, se plantean las siguientes recomendaciones, con el responsable de ejecutarlas, los tiemposestimadosparasucumplimientoyloscostosaproximados. En el plan de accin es necesario priorizar la urgencia con las que se deben resolver los problemas encontrados en la auditora, es por ello que es conveniente realizar algunas actividades en paralelo. El detalle de todas y cada una de las actividades se muestra en el cronogramaquesemuestraenlaFigura4.1.
104
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenlaCooperativadeAhorroyCrditoFortunaaplicandoelmarcode trabajoCOBIT KarolayCoronel
Figura4.1.CronogramadeActividadesdelPlandeAccin
105
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel La Tabla 4.8 muestra el plan de accin de las actividades con los responsables y costos aproximadosdeimplementacin.
Tabla4.8.PlandeAccin.
ACTIVIDAD Definirpolticasdeseguridad,confidencialidadyprocesosinternos. Revisin, aprobacin y difusin de las polticas de seguridad, confidencialidadyprocesosinternos. Definicin de un plan de accin documentado y formal para evaluacinderiesgoscrediticios. Revisin, aprobacin y difusin del plan de accin para evaluacin de riesgoscrediticios. Definicin de un plan de accin documentado y formal para evaluacinderiesgosdeTI. Revisin, aprobacin y difusin del plan de accin para evaluacin de riesgosdeTI. ImplementarlagestinderiegosdeTI.
RESPONSABLE Consultorexterno ConsejodeAdministracin GerenteGeneral Consultorexterno ConsejodeAdministracin GerenteGeneral Consultorexterno GerenteGeneral JefedeSistemas JefedeSistemas Operadordesistemasysoporte alusuario
JefedeSistemas ActualizarelsistemaoperativodelosservidoresaMicrosoftWindows Operadordesistemasysoporte Server2008R2Standardw/SP1. alusuario JefedeSistemas Actualizarelsistemaoperativodelasterminalesdelacooperativapor Operadordesistemasysoporte elMS OEMWindows7ProfesionalSP1. alusuario Elaboracin de un plan de contingencias, que permita evaluar y minimizar interrupciones de los servicios prestados propios del sistema, anlisis de puntos de falla y administracin de problemas, tambin se debe incluir seguridad en la estructura fsica del departamentodesistemasydelared. Revisin,aprobacinydifusindelplandecontingencias
Consultorexterno
GerenteGeneral JefedeSistemas JefedeSistemas Operadordesistemasysoporte alusuario
Implementarelplandecontingencias
Resolver los problemas de seguridad de la red, derechos de acceso, Consultorexterno riesgodeerrores,fraudes,alteracinnoautorizadaoaccidental. Adquirir un antivirus para los dos servidores, recomendable JefedeSistemas Enterprise Security for Endpoints Server Protect de la marca Trend Operadordesistemasysoporte Micro. alusuario
106

Adquirir un antivirus para las catorce terminales por Enterprise JefedeSistemas SecurityforEndpointsOfiiceScandelamarcaTrendMicro. Operadordesistemasysoporte alusuario Adquirir mecanismos de seguridad para restringir a personal no autorizadoelaccesoalainformacinfsicadelossociosdecrdito. Adquirir un nuevo software financiero de acuerdo a los requerimientos de la cooperativa y capacitar al personal en su manejo. Actualizarydifundirelreglamentodecrdito. Formular un manual de procedimientos de gestin interna para el departamentodecrdito. Revisin, aprobacin y difusin del manual de procedimientos de gestininternaparaeldepartamentodecrdito. Elaborarunreglamentoparaeldepartamentodesistemas. Revisin, aprobacin y difusin del reglamento para el departamento desistemas. Implementar un proceso de seguimiento y control de las acciones de cobranzadelacarteradecrdito. GerenteGeneral
Proveedorexterno ConsejodeVigilancia GerenteGeneral Consultorexterno ConsejodeAdministracin GerenteGeneral Consultorexterno ConsejodeAdministracin GerenteGeneral JefedeSistemas ConsejodeAdministracin GerenteGeneral
Automatizar la elaboracin del informe de crdito y del pagar de JefedeSistemas crdito. Operadordesistemasysoporte alusuario Capacitar al personal, para de esta manera evitar posibles errores o Consultorexterno riesgosquepuedanproducirseenlosprocesosoaplicaciones. Incorporar eventos de simulacro dentro del entrenamiento de la contingenciaparaunarespuestaalaverificacinefectivadelpersonal ensituacionesdecrisis. Concienciar y capacitar atodo elpersonal dela cooperativa acercade la importancia de la seguridad tanto a nivel de software como de hardware.
Consultorexterno
Consultorexterno
JefedeSistemas Estructurar un inventario de los recursos crticos de software y Operadordesistemasysoporte hardwaredelacooperativa. alusuario Definir, documentar y difundir un programa de monitoreo y control internoparaelreadecrdito. Definir, documentar y difundir un programa de monitoreo y control internoparaelreadesistemas. Supervisarelcumplimientodelreglamentodecrditoactualizado. Supervisarelcumplimientodelreglamentodesistemas. Auditorexterno
Auditorinformtico Auditorinterno Auditorinformtico
107

Supervisar que los requisitos legales y regulatorios se cubran y cumplandeformaeficiente. Auditorexterno
APROXIMACINDECOSTOS De acuerdo con la investigacin realizada, en la Tabla 4.9 se presentan los costos estimados para los diferentes componentes considerados en el plan de accin, como recursos humanos, adquisicin de equipos y de software, materiales y suministros e imprevistos. Las cifras se presentanendlaresestadounidenses. Paraefectosdelaestimacinsehanconsideradolossiguientessupuestos: Para el jefe de sistemas, operador de sistemas y soporte al usuario, auditor interno, gerente general, Consejo de Administracin, Consejo de Vigilancia, se estima el mismo salarioquerecibenmensualmente. Para el puesto del auditor informtico se ha considerado la misma categora del profesionalinformticoactual. Las estimaciones de costos de software se fundamentan en cotizaciones obtenidas por algunosdistribuidoresnacionales. Se considera la adquisicin una estacin de trabajo, que corresponde al faltante para el auditor informtico, con procesador Core I7, velocidad de 2.8Ghz, 4Gb de memoria RAM, 1000Gbdediscoduro. Elcostodelequiposeestimsegndatosproporcionadospordistribuidoresdeequipos.
Tabla4.9.Presupuestodelplandeaccin.
PRESUPUESTODELPLANDEACCINDEDELACOOPERATIVADEAHORROYCREDITO"FORTUNA" PERODOMAYOOCTUBRE2012
RECURSOSHUMANOS Consultorexternodeseguridades Consultorexternodecontrolinterno Consultorexternoderiesgos Auditorinformtico Auditorinterno Jefedesistemas Consejodevigilancia Consejodeadministracin Gerentegeneral Operadordesistemasysoportealusuario Capacitacin HERRAMIENTASTECNOLGICAS LicenciadeMicrosoftWindowsServer2008R2Standardw/SP1. LicenciadeMSOEMWindows7ProfesionalSP1. N. 1 1 1 1 1 1 3 5 1 1 1 2 14 COSTO/ MESES MES 3600.00 2 3600.00 2 3600.00 2 1000.00 2 1000.00 2 1000.00 2 250.00 2 250.00 2 1500.00 2 500.00 2 3000.00 2 1003.52 208.32 VALOR 7200.00 7200.00 7200.00 2000.00 2000.00 2000.00 1500.00 2500.00 3000.00 1000.00 6000.00 2007.04 2916.48
108

Licencia de Enterprise Security for Endpoints Server Protect de lamarcaTrendMicro 2 Licencia de Enterprise Security for Endpoints Ofiice Scan de la marcaTrendMicro 14 Softwarefinanciero 1 Adquisicindeequipo 1 MATERIALESYSUMINISTROS IMPREVISTOS 50.40 50.40 85000.00 900.00 100.80 705.60 85000.00 900.00 3000.00 3000.00
TOTAL
$139,229.92
Eltiempoestimadoparallevaracaboelplandeaccinesdeaproximadamentesietemeses,y conuncostototalde$139229.92 Con el planteamiento de las actividades del plan de accin, se pretende facilitar la toma de decisiones por parte de los directivos de la cooperativa, las cuales asociadas con la introduccinyconsolidacindelaauditorainformticaestablecenunaculturadelaseguridad y una excelencia en el tratamiento de la informacin en todos sus procesos de negocio, permitindole a sta llegar a un nivel de madurez superior al actual. As, aporta a la cooperativa unvalor aadidode reconocido prestigio, en lacalidad de losservicios queofrece asussocios. Un aspecto fundamental para que se lleve a cabo este plan de accin es el compromiso de la administracin de la institucin, la cual debe asumir la responsabilidad que le es propia en cuantoaldiseo, actualizacin e implantacindel sistemadecontrol interno. Por grandes que sean los esfuerzos y aportes de la auditora, no habr valor agregado en tanto la administracin no asuma este papel y se comprometa con la implantacin de las recomendacionespropuestas. Otroaspectoaconsiderarparalaejecucindelplandeaccinesladisponibilidadderecursos, la administracin debe asignar los recursos financieros y humanos requeridos para la implantacindelapropuesta. Cabe mencionar que la propuesta de mejora de, implementacin de servidores virtualizados, planteada en el apartado anterior se podra llevar a cabo a largo plazo, conforme se vaya resolviendolourgentequeeslodetalladoenelplandeaccin. El no implementar del plan de accin propuesto, dejara a la cooperativa estancada y no alcanzarlamejoracontnuaparaservireficientementealossocios,ascomocontrarrestarel riesgooperativo,queesloquelaorganizacintienepropuestoenunodesusobjetivos. 109
CONCLUSIONESYRECOMENDACIONES
CONCLUSIONES
Unavezfinalizadoeltrabajodeinvestigacinsetienencomoconclusioneslassiguientes: Se conocieron los procedimientos crediticios internos de la cooperativa, pudindose determinar que los procesos de crdito son realizados en un 40% mediante un sistema automatizado y el 60% de estos procesos de crdito son realizados de forma manual, lo que supone un coste alto, tanto en recursos como en tiempo de trabajo para las oficiales decrditodelainstitucin. Elsistemaconelquetrabajalacooperativanogarantizaconfianzaencuantoalaveracidad y consistencia de la informacin, ya que se deben realizar muchos procesos de forma manual, lo cual retrasa la ejecucin de las actividades en los diferentes departamentos, pudiendo generarse errores, por lo tanto este aplicativo no se adapta a las necesidades de lacooperativa. La consecucin de un nivel de madurez mayor al actual en base a los objetivos de control del marco referencial COBIT, se lograr a travs de la aplicacin del plan de accin planteadoenlapresentetesis. Si bien existe un plan de accin a seguir, hay que tener en cuenta que debe haber un enfoquedemejoracontnua,esdecir;unprocesoevolutivo,cuyaconsolidacindemandar esfuerzo y tiempo, siendo el avance de la tecnologa de la informacin uno de los factores quemarcarlapautaparalograrlo. Existe una gran cantidad de herramientas computarizadas de apoyo a la funcin de auditora, su adecuada utilizacin puede redundar en significativos beneficios para las organizaciones, siendo de especial relevancia una adecuada seleccin conforme a los requerimientosycaractersticasinstitucionales.

110
RECOMENDACIONES
Unavezrealizadalaejecucindelaauditorainformticaserecomiendalosiguiente: Aplicarelplandeaccinplanteadocomoresultadodeesteproyecto. Alinearlosobjetivosestratgicosconlaspolticasquesetieneplanteadasenlacooperativa, yasuvezmonitorearelcumplimientodelosmismos. Enbase a los lineamientosquedefine elmarcodetrabajoCOBIT,juntoconla adopcinde mejoresprcticasdeTIylaimplementacindelplandeaccinrecomendado,tantoparael departamento de crdito como en el departamento de sistemas de la cooperativa, sta podrelevarsuniveldemadurezactualyasmejorarsucompetitividad. Concientizar al personal y a la alta direccin de la cooperativa sobre la importancia y el valorqueposeelatecnologadeinformacin. Segn la experiencia adquirida en el presente proyecto, se considera importante que el personal tanto del rea de sistemas como de auditora interna, y la alta direccin reciban una induccin en la metodologa de auditora informtica, para que su aplicacin sea ms productiva y los resultados de la evaluacin sean elementos de juicio para toma de decisiones. En la planificacin de la auditora informtica es necesario identificar correctamente los elementos que intervienen, de modo que se tenga una visin global y concreta de los objetivosdeevaluacindelprocesodeauditora. Un elemento muy importante en el xito de una auditora es el tiempo asignado para la planificacin de la misma, pues en esta fase se identifican las directrices de su realizacin, por ello se recomienda tomar en cuenta variables como el tamao de la organizacin, la cantidad de procesos a evaluar, la metodologa a utilizar, conformacin del equipo auditor, entre otros, para que el resultado de la planificacin sea la hoja de trabajo principal del auditor.

111
GLOSARIO
AUDITOR Persona encargada de verificar, de manera independiente, la calidad e integridad del trabajo queseharealizadoenunreaparticular.[54] AUDITORA Eslaactividadconsistenteenlaemisindeunaopininprofesionalsobresielobjetosometido a anlisis presenta adecuadamente la realidad que pretende reflejar y/o cumple las condicionesquelehansidoprescritas.[1] Conjuntodemtodosytcnicasconlosqueseprocuraidentificaryevaluaralgo. AUDITORAINFORMTICA Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmentelosfinesdelaorganizacinyutilizaeficientementelosrecursos.[1] AUDITORINFORMTICO Evala y comprueba en determinados momentos del tiempo los controles y procedimientos informticos ms complejos, desarrollando y aplicando tcnicas mecanizadas de auditora, incluyendoelusodelsoftware[1]. AUDITORADEPROCESOS Es una rama de la auditora interna. Contar con un proceso estandarizado y documentado sobre la forma como debe realizarse la supervisin de actividades de una funcin las cuales arrojen resultados para la mejora continua con el fin de determinar el cumplimiento de los indicadoresestablecidosdentrodeunaorganizacin.[46]
BASEDEDATOS Conjuntodedatospertenecientesaunmismocontextoyalmacenadossistemticamentepara suposterioruso.[51] BURDECRDITO Reporte al que se accede va internet y debe ser contratado por la entidad financiera, en el cualpormediodelnmerodecedulasepuedeconsultarelhistorialcrediticiodeunapersona.
COBIT MarcodereferenciadebuenasprcticasparaelcontroldeTI.AcrnimoeninglsdeObjetivos de Control para la Informacin y la Tecnologa Relacionada, emitido por el IT Governance Institute.[2] COMITDECRDITO Gerente y socios fundadores de la cooperativa elegidos para la revisin de las solicitudes de crdito. 112
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel CONTROL Las Polticas, Procedimientos, Prcticas y Estructura Organizacional, diseadas para proveer una razonable seguridad de que los objetivos del negocio sern alcanzados y los eventos indeseadossernprevenidosodetectadosycorregidos.[50] CONTROLINTERNO Cualquieractividadoaccinrealizadamanualy/oautomticamenteparaprevenir,corregir erroresoirregularidadesquepuedanafectaralfuncionamientodeunsistemaparaconseguir susobjetivos.[14] CONEXUS SistemafinancieroutilizadoenlaCooperativadeAhorroyCrditoFortuna CRDITO Usodelosfondosdealguienmsacambiodeunapromesadepago(generalmentecon intereses)enunafechaposterior.[59] DOMINIO AgrupacindeobjetivosdecontrolenetapaslgicasenelciclodevidadeinversinenTI.[2] ESTNDAR Modelo que se sigue para realizar un proceso. Producto de software o hardware que cumple
determinadasreglasfijadasporacuerdointernacional,nacionaloindustrial.[53]
EVALUACINDERIESGOS Evaluardeformarecurrentelaposibilidadeimpactodetodoslosriesgosidentificados,usando mtodos cualitativos y cuantitativos. La posibilidad e impacto asociados a los riesgos inherentesyresidualessedebedeterminardeformaindividual,porcategorayconbaseenel portafolio.[53] GESTINDERIESGOS Proceso de identificacin, control y minimizacin o eliminacin, a un coste aceptable, de los riesgos que afecten a la informacin de la organizacin. Incluye la valoracin de riesgos y el tratamiento de riesgos. Segn [ISO/IEC Gua 73:2002]: actividades coordinadas para dirigir y controlarunaorganizacinconrespectoalriesgo.[54] GOBIERNODETI Es responsabilidad del consejo de administracin y de la direccin ejecutiva. Es una parte integral del gobierno corporativo y consiste en el liderazgo y estructuras de organizacin y procesos que aseguran que la tecnologa de informacin de la empresa ofrece sustento a los objetivosyestrategiasdelaorganizacin.[47]
GOVERNANCEINSTITUTE El (ITGI, por sus siglas en Ingls) (www.itgi.org) se estableci en 1998 para evolucionar el pensamientoylosestndaresinternacionalesrespectoaladireccinycontroldelatecnologa de informacin de una empresa. Un gobierno de TI efectivo, ayuda a garantizar que la TI soporte las metas del negocio, optimice la inversin del negocio en TI, y administre de forma adecuada los riesgos y oportunidades asociados a la TI. El IT Governance Institute ofrece
113
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel investigacin original, recursos electrnicos y casos de estudio para ayudar a los lderes de las empresasyasusconsejosdirectivosensusresponsabilidadesdeGobiernodeTI.[2] HALLAZGO: Debilidades, deficiencias o brechas apreciables respecto a un criterio o estndar previamente definido.[58] INTEGRIDADDELAINFORMACIN Serefierealvalordelcontenidodelainformacinconeltiempoygeneralmenteserelaciona altrabajodelautorocreador.[2] INFORMACIN Conjuntoorganizadodedatosprocesados,queconstituyenunmensajesobreundeterminado enteofenmeno.
ISACAInformationSystemsAuditandControlAssociation(www.isaca.org) SystemsAuditandControlAssociationInformation(AsociacindeAuditoresdeProcesamiento Electrnico de Datos). Publica COBIT y emite diversas acreditaciones en el mbito de la seguridaddelainformacin.[54] LISTADECHEQUEO Lista de apoyo para el auditor con los puntos a auditar, que ayuda a mantener claros los objetivos de la auditora, sirve de evidencia del plan de auditora, asegura su continuidad y profundidadyreducelosprejuiciosdelauditorysucargadetrabajo.[54] MARCODETRABAJO(framework) Un conjunto estandarizado de conceptos, prcticas y criterios para enfocar un tipo de problemticaparticularquesirvecomoreferenciaparaenfrentaryresolvernuevosproblemas dendolesimilar.[48]
MEDIODEAPROBACIN Documento en Excel en donde se resume toda la informacin que el socio llen en la solicitud decrdito.
MODELODEMADUREZ Mtodo de puntaje de modo que una organizacin pueda calificarse a s misma desde inexistentehastaoptimizada(de0a5).[58]
n/a Nohayrespuesta,noaplicable,nodisponible
NIVELDEMADUREZ Modelo utilizado por muchas organizaciones para identificar las mejores prcticas, las cuales sonconvenientesparaayudarlesaevaluarymejorarlamadurezdesuprocesodedesarrollode software.[2]
114
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel OBJETIVODECONTROL Una declaracin del resultado o propsito que se desea alcanzar al Implementar procedimientosdecontrolenunprocesoenparticular.[58] PAGAR Documentolegalquerespaldaunaoperacindecrdito.
POLTICA Porlogeneral,undocumentoqueofreceunprincipiodealtonivelounaestrategiaaseguir.El propsito de una poltica es influenciar y guiar la toma de decisiones presente y futura, haciendo que estn de acuerdo a la filosofa, objetivos y planes estratgicos establecidos por losequiposgerencialesdelaempresa.Ademsdelcontenidodelapoltica,estadebedescribir las consecuencias de la falta de cumplimiento de la misma, el mecanismo para manejo de excepcionesylamaneraenqueseverificarymedirelcumplimientodelapoltica.[2] PLANESTRATGICODETI Conjuntodedefiniciones tecnolgicaseiniciativasdeTIque debensoportar la visin,misiny estrategiasqueelnegociotieneparaunhorizontedetiempodefinido. PROCESO Porlogeneral,unconjuntodeprocedimientosinfluenciadosporlaspolticasyestndaresdela organizacin, que toma las entradas provenientes de un nmero de fuentes, incluyendo otros procesos, manipula las entradas, y genera salidas, incluyendo a otros procesos, para los clientes de los procesos. Los procesos tienen razones claras de negocio para existir, dueos responsables, roles claro y responsabilidades alrededor de la ejecucin del proceso, as como losmediosparamedireldesempeo.[2] PROCEDIMIENTO Es un mtodo de ejecutar una serie comn de pasos definidos que permite realizar un trabajo enformacorrecta.
QUINQUENAL Repetitivocadacincoaos.[1] RED Sistema de comunicacin entre computadoras que permite la transmisin de datos de una mquinaaotra. RIESGO Es la vulnerabilidad de los bienes de una institucin ante un posible o potencial perjuicio o dao. RPC Del ingls Remote Procedure Call (Llamada a Procedimiento Remoto), es un protocolo que permite a un programa de ordenador ejecutar cdigo en otra mquina remota sin tener que preocuparseporlascomunicacionesentreambos.[61] 115
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel SERVIDORVIRTUALIZADO Servidor virtual dedicado o privado (VPS), una particin dentro de un servidor fsico que habilita varias mquinas virtuales dentro de dicha mquina por medio del uso de diversas tecnologas.[63] SISTEMAINFORMTICO Unsistemainformticoesunconjuntodepartesquefuncionanrelacionndoseentresconun objetivopreciso. SISTEMADEADMINISTRACINDELIBRERASDEMEDIOS Uninventariofsicodelosmediosmagnticosalmacenados.[2] SID(identificadornicoparalasesindeusuario) Identificador de seguridad, es un nmero utilizado para identificar a usuarios, grupos y cuentasdeequipoenWindows.[62] SOFTWAREENGINEERINGINSTITUTE(SEISEI:http://www.sei.cmu.edu/) Es un instituto federal estadounidense de investigacin y desarrollo, fundado por el Congreso de los Estados Unidos en 1984 para desarrollar modelos de evaluacin y mejora en el desarrollo de software, que dieran respuesta a los problemas que generaba al ejrcito estadounidense la programacin e integracin de los subsistemas de software en la construccin de complejos sistemas militares. Financiado por el Departamento de Defensa de losEstadosUnidosyadministradoporlaUniversidadCarnegieMelln.[58] TABLADEAMORTIZACIN Detalledelospagosconnmerodecuota,fechadepago,valorcapital,valordeinters,valor desegurodedesgravamen,otros(mora,judicial),totaldelacuotaysaldocapital. TI Tecnologa de Informacin, conjunto de tcnicas que permiten la captura, almacenamiento, transformacin, transmisin y presentacin de la informacin generada o recibida a partir de procesos, de manera que pueda ser organizada y utilizada en forma consistente y comprensible por los usuarios que estn relacionados con ella. Incluye elementos de hardware,software,telecomunicacionesyconectividad.[58] TIRILLA Detallenumricodelvaloraacreditarrealizadoenlamaquinasumadora.
116
BIBLIOGRAFA
[1]PiattiniM.yDelPesoE.(2007).AuditoraInformtica,unenfoqueprctico.Mxico 2007,2da.Edicin [2]ItGovernanceInstitute.Cobit4.1.(2007),EstadosUnidos,[EnLnea].Disponibleen: www.itgi.org, http://www.isaca.org/KnowledgeCenter/cobit/Documents/cobiT4.1spanish.pdf [Consulta18012011] [3]LardentA.yHallP.(2001).SistemasdeInformacinParaGestinEmpresarial: Procedimientos,SeguridadyAuditora. [4]EcheniqueJ.yMcGrawH.(2001).AuditoraenInformtica. [5SantoDomingoA.(1997).Introduccinalainformtica.EditorialArielS.A. [6]GarcaS.(1997)."AuditoraInformticaI:Notatcnicaparaelcurso".CostaRica. [7]HeviaVzquezE.(1999).ConceptoModernodelaAuditoraInterna.Espaa. [8]ItGovernanceInstitute.(2000).DirectricesdeAuditoraCOBITvs3.0. [9] Velastegui Snchez T. (2008). Tesis Anlisis de la Gestin de las Tecnologas de la InformacinenlaUnidaddeGestindelaInformacindelaEPNusandoCOBIT.Ecuador. [10]CaizaA.yMatuteM.(2007).TesisEvaluacindeRiesgosenempresasdesarrolladorasde SoftwareutilizandolaherramientaMSAT.Ecuador. [11]CaldernYongF.A.(2010),TesisAUDITORAINFORMTICAAPLICANDOCOBIT4.0EN LACOOPERATIVADEAHORROYCRDITOPABLOMUOZVEGALTDA,Ecuador Tulcn. [12] Soluciones en Ingeniera de Gestin, (2009), [En Lnea], Disponible en: http://es.scribd.com/doc/40028764/normascalidad[Consulta21022011] [13]FonsecaBorjaR.(2004).AuditoraInterna,Unenfoquemodernodeplanificacin, Ejecucinycontrol.Guatemala. [14] Sobrinos R. (1999). La Mancha. (2011). [En Lnea] Disponible en: http://alarcos.inf cr.uclm.es/per/fruiz/cur/mso/comple/Cobit.pdf[Consulta01182011] [15]RicardoVilches.(2008).Apuntesdelestudiantedeauditora,[EnLnea], Disponibleen:http://www.gestiopolis.com/recursos4/docs/fin/apuestaud.htm [Consulta18012011]
117
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel [16]LugmaaF.yRecaldeL.(2009).Procedimientopararealizarauditoradeprocesostisobre plataformas Windows utilizando herramientas comerciales, [En Lnea]. Disponible en: http://bibdigital.epn.edu.ec/bitstream/15000/1133/1/CD1978.pdf[Consulta18012011] [17]Documento disponible en: http://www.mioruro.com/libros/derecho/Todas%20Leyes%20Bolivianas/CLASES_DE_AUD ITOR_A_GUBERNA.DOC[Consulta11022011] [18]AuditoraInformticadelossistemasdeinformacindelaESPEDominiodePlaneaciny Organizacin. [En Lnea]. Disponible en: http://www3.espe.edu.ec:8700/bitstream/21000/723/1/TESPE021849.pdf[Consulta23 102011] [19]LandacayK.(2010).TesisDefinicindeunmarcodegobiernodeTIparalaUTPL.Ecuador. [20]GonzalesNarvezG.(2008),AuditoraInformticaAUnaInstitucinDelSectorFinanciero Agencia Guayaquil. [En Lnea] http://www.dspace.espol.edu.ec/handle/123456789/4884/1/7660.pdf [Consulta 2803 2011] [21]lvarezF.(2007),ElcontrolinternobasadoenCOBIT.[Consulta27052010] [22]Cooperativa Fortuna, Disponible en: http://cooperativafortuna.com/index.php?option=com_content&task=view&id=5&Itemid =39[Consulta02022011] [23] Tipos de auditoras y conceptos bsicos. [En Lnea]. Disponible http://es.scribd.com/doc/22224605/2TiposdeAuditora[Consulta11022011] en:
[24] Guzmn de Len C. (2000), Lineamientos Generales para una Auditora de Sistemas en el centro de Informacin de una Institucin Bancaria. [En Lnea]. Guatemala. Disponible en: http://issuu.com/oiram96/docs/12916/#download[Consulta28032011] [25]COBIT,DIRECTRICESDEAUDITORA,Juliode2000,3aEdicin,EmitidoporelComit DirectivodeCOBITyElITGovernanceInstituteTM [26] Vandama N.; Lescay M.; Castillo G. y Garca F. Auditora Informtica en ETECSA. [En Lnea]. Cuba. Disponible en: http://espejos.unesco.org.uy/simplac2002/Ponencias/Segurm%E1tica/VIR024.doc [Consulta25032011] [27] Einnova, Estndares TI. [En Lnea]. Disponible http://auditorasistemas.com/estandaresti/[Consulta08042011] en:
[28]ISO 27000: Sistemas de seguridad de la informacin. [En Lnea]. Disponible en: http://www.iso27000.es/iso27000.html[Consulta09042011] [29] Normas para la seguridad del software. (2007). [En Lnea]. Documento Disponible en: icicm.com/files/NormasCalSegSoftware.doc[Consulta09042011] 118
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel [30]ISO/IEC 15404: SPICE. [En Lnea]. Disponible en: http://ingenieria.ucaldas.edu.co/auditora/index.php/ISO/IEC_15404:SPICE,_ISO/IEC_15 408:2005,_ISO/IEC_19770:2006_ISO_12207[Consulta09042011] [31]IT Baseline Protection Manual. [En Lnea]. Disponible en: http://ingenieria.ucaldas.edu.co/auditora/index.php/IT_Baseline_Protection_Manual_( BPM)[Consulta02072011] [32]CaseWare.[EnLnea].Disponibleen:http://www.caseware.com/products/idea [Consulta15082011] [33]Datasec, Meycor Cobit Guas de auditora. [En Lnea]. Disponible en: http://www.datasec soft.com/sp/content/view/9/12/[Consulta09042011] [34] Computer Assisted Audit Techniques CAAT: Captulo 3. Legislacin informtica, mejores prcticas y tcnicas de auditora informtica. [En Lnea]. Disponible en. http://olea.org/~yuri/propuestaimplantacionauditorainformticaorgano legislativo/ch03s04.html[Consulta11042011] [35]Auditoradesistemas.[EnLnea].Disponibleen:http://naizona.blogspot.com/2009/08/v behaviorurldefaultvmlo.html[Consulta04022011] [36]Wikipedia,TickIT.[EnLnea].Disponibleen:http://es.wikipedia.org/wiki/TickIT[Consulta 09042011] [37]Wikipedia, Modelo de Capacidad y Madurez. [En Lnea]. Disponible en: http://es.wikipedia.org/wiki/Modelo_de_Capacidad_y_Madurez[Consulta12042011] [38] Brito Domnguez J. (2009). Tesis: Creacin de un Marco de Control para la Administracin del Riesgo Operativo relacionado con la Tecnologa de Informacin como modelo para las Cooperativas de Ahorro y Crdito del Ecuador. [En Lnea]. Ecuador. Disponible en: http://www.docstoc.com/docs/48942061/CreacindeunMarcodeControlparala Administracin[Consulta13052011] [39] Balseca S. y Cachimuel M. (2008). Evaluacin y auditora informtica del sistema de informacin de la escuela politcnica del ejrcito: dominio entrega de servicios y soporte [EnLnea].Ecuador.Disponibleen: http://www3.espe.edu.ec:8700/bitstream/21000/688/1/TESPE021854.pdf[Consulta 25102011] [40] Peralta A.; Nez J.; Hernndez V y Hilario F. (2011). Auditora de Aplicaciones y Base de Datos.[EnLnea]. Disponibleen: http://www.slideshare.net/Fausto_Hilario/infouditorsrl analisisfoda[Consulta05112011] [41]ITGOVERNANCEINSTITUTE,ISACA(2006):COBIT4.0. [42]Comparacin de Controles Internos: COBIT, SAC y COSO. [En Lnea]. Disponible en: http://www.netconsul.com/riesgos/cci.pdf[Consulta01182011] 119
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel [43]SarmientoR.ElProcesoGeneraldeAuditora,InstitutoSonorensedeContadoresPblicos. [44]ManualdeprocedimientosdeAuditoraInterna,UniversidaddeBuenosAires. [45]Mg.FloresA,SISBIB,Auditoraalosprocesosenlasempresas,(2003). [46]InstitutoMexicanodecontadorespblicos,Auditoradeprocesos. [47] Gobierno de TI. [En Lnea]. Disponible en: http://es.scribd.com/doc/52944054/Auditora Informtica00GobiernodeTI[Consulta10022011] [48]Wikipedia,Framework.[EnLnea].Disponibleenhttp://es.wikipedia.org/wiki/Framework [Consulta03032011] [49]ISACA, [En Lnea]. Pgina oficial: http://www.isaca.org/About ISACA/History/Espanol/Pages/default.aspx[Consulta10022011] C. COBIT, [En Lnea]. Disponible en: [50]Pallavicine www.dspace.espol.edu.ec/bitstream/123456789/5300/2/COBIT.ppt [Consulta 2809 2011] [51]Definicin disponible: http://www.pergaminovirtual.com.ar/definicion/Base_de_datos.html [Consulta 0827 2011] [52]Definicindisponible:http://es.thefreedictionary.com/est%C3%A1ndar[Consulta0827 2011] [53]COBIT 4.0. (2006). Control Objetives ManagementGuidelines MaturityModels.[EnLnea]. E.E.U.U. Disponible en: www.securitycn.net/img/uploadimg/20070831/cobit4.0_en.pdf [Consulta18012011] [54]Definicindisponibleen:http://armnet.com.ar/es/glosario.html[Consulta08272011] [55] Endara Njer F. Estudio de la Metodologa COBIT: IT Governance y Control Objetives, aplicadosalaAuditoraySeguridadInformtica. [56] Coronel Hoyos K. (2008). Tesis: Metodologa de evaluacin del riesgo tecnolgico en las instituciones del sistema financiero ecuatoriano, utilizando COBIT 4.1 [En Lnea]. Ecuador. Disponible en: www3.espe.edu.ec:8700/bitstream/21000/410/1/TESPE 021885.pdf[Consulta09292011] [57] Lara H.; Reyes J. y Navarrete W. (2006). Diseo de Sistema de Gestin de Seguridad de Informacin para Ecuacolor [En Lnea]. Ecuador. Disponible en: http://www.dspace.espol.edu.ec/handle/123456789/6962/7/Tesis [Consulta 0921 2011] [58] Superintendencia General de entidades Financieras (2008), Gua para completar la Matriz de Calificacin de la Gestin de TI, [En Lnea]. Costa Rica. Disponible en: http://www.sugef.fi.cr/servicios/documentos/normativa/Reglamento%2014
120
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel 09/Descarga/FormulariosyGuias/Gua%20para%20completar%20la%20Matriz%20de%20 Calificacin.pdf[Consulta18012011] [59]SamuelsonP.(2006).Economa.Mxico2006,18ava.Edicin [60]RPC,Disponibleen:http://www.slideshare.net/crack_708/rpc [61] Identificador de Seguridad [En lnea]. Disponible en: http://pays talmondais.com/od/termss/g/securityidentifier.htm?Identificadordeseguridad Definici%C3%B3n(SID)[Consulta05102011]
[62] UNDERMEDIA S.A.(2002 2011). Servidores dedicados virtuales [En lnea]. Ecuador. Disponible en: http://www.mangohosting.com/servidores/servidoresdedicados virtuales/[Consulta05112011] [63] Nessus 4.4 User Guide [En Lnea]. Disponible en: http://static.tenable.com/documentation/nessus_4.4_user_guide.pdf [Consulta 1208 2011]
121
LISTAANEXOS
Los anexos estn disponibles en el CD de esta memoria en la carpeta Anexos. Cuyos documentos tienen distintos formatos, entre ellos: PDF, DOC, XLS, JPG, TXT y HTML; cuyonombreestdisponibleenordensecuencial.
ANEXO
DESCRIPCIN
Documentotcnicasdeauditora Descripcin de las principales tcnicas de auditora, que incluye partes bsicas del plan de trabajo de un auditor informtico y el proceso que se deberealizarenunaauditorainformtica. Documentoobjetivosdecontrol Definicin de los objetivos y procesos de control del marco referencial COBIT, adems se define los controles generales de TI y controles de aplicacin. MdulosdelsistemaCONEXUS Presenta un listado de los mdulos existentes en el sistema con el que trabajalacooperativa. Formatomediodeaprobacin Formato realizado en Excel que sirve como medio de aprobacin del crditosolicitadoporelsocioalacooperativaFortuna. Formatopagaryformatocontratodeprstamo FormatodepagardelcontratodeprstamodelacooperativaFortuna, especificando elmontodelcrditosolicitadoy losdatosde los firmantes delcrdito. Formatonotificaciones Formato de notificacin al socio en caso de no cumplir con los plazos de pagoestablecidos. Cuestionarioparaevaluarelcontrolinternoagerencia Documento que incluye el cuestionario realizado a gerencia para evaluar elcontrolinternoenlacooperativa. Cuestionarioparaevaluarelcontrolinternoeneldepartamentode crdito Documento con preguntas que se ha realizado a las oficiales de crdito paraevaluarelcontrolinterno. 122
Anexo1
Anexo2
Anexo3
Anexo4
Anexo5
Anexo6
Anexo7
Anexo8
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel Anexo9 CuestionarioparaevaluarelcontrolinternomedianteCOBITalrea informtica Cuestionario realizado al jefe de sistemas para evaluar el control interno enelreadeinformtica. Formatodecrditosdemandados Incluye datos de los socios con crditos vencidos ms de noventa das y queestnentrmitededemandajudicial. Reglamentodecrdito Documento que incluye el Reglamento de crdito de la cooperativa Fortuna. ActaderesolucindelConsejodeAdministracin Documentodeconstatacindelaexistenciadelasactasderesolucindel ConsejodeAdministracin. Actacomitdecrdito Documento de constatacin de la existencia de las actas del comit de crdito. Actamanualdelsistemainformaticodelacooperativa Documento de constatacin de la existencia del manual de usuario del sistemaconelquetrabajalacooperativa. ActainventarioCDS Documento de constatacin de la existencia de respaldos en CDs de la basededatosdelacooperativa. Dominios,procesosyobjetivosdecontroldeCOBIT Definicin de todos los dominios, procesos y objetivos de control del marcoreferencialCOBIT. Informefinaldeauditora DocumentodelInformefinaldelaauditora. Actainformedeauditora Documento de constatacin de informes de auditoras realizadas al departamentodecrdito. Actareglamentointernodetrabajo Documento de constatacin de la existencia del reglamento interno de trabajodelacooperativa Actacdigodeconductadetica Documento de constatacin de la existencia del cdigo de conducta y ticadelacooperativa. 123
Anexo10
Anexo11
Anexo12
Anexo13
Anexo14
Anexo15
Anexo16
Anexo17
Anexo18
Anexo19
Anexo20
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel Anexo21 Manualdecrdito/cartera Documento que incluye un manual de procedimientos de crdito y cartera. Matrizdeevaluacin Documentoenexcelqueincluyelamatrizdeevaluacinyladefinicinde los procesos seleccionados con sus respectivos objetivos de control que se utiliz para realizar la auditora en la cooperativa, en base a los modelosdemadurez. ReporteNESSUS ResultadosdelaejecucindelaherramientaNESSUSqueseejecutpara ladeteccindevulnerabilidadesenelservidordeBasedeDatos,servidor DNSyequiposutilizadosenelreadecrdito. Burdecrdito Reporte al que se accede va internet y debe ser contratado por la entidad financiera, en el cual por medio del nmero de cedula se puede consultarelhistorialcrediticiodeunapersona. Solicituddecrditodeudor Formatodesolicituddecrditoquerealizaelsocioalacooperativa. Certificadodedepsitodeahorro Formatodecertificadodedepsitodeahorroaplazodelacooperativa. Nombramientogerente NombramientodelgerentegeneraldelacooperativaFortuna. Tabladeamortizacin Formato de una tabla de amortizacin de la cooperativa Fortuna, que contieneinformacindelclienteyloscrditossolicitados. ReportesTotalCrditosConcedidos Documento en Excel que contiene datos de crditos concedidos obtenidosdelabasededatosdelacooperativa. Estadoeconmicodelcliente Informacin del estado econmico del cliente, tomado del sistema CONEXUS. Estadoeconmicodelgarante Formato de estado de situacin personal de la persona que servir como garantedelcrdito. Propuesta Descripcin e informacin de la propuesta operativa para los servidores virtualizados. 124
Anexo22
Anexo23
Anexo24
Anexo25
Anexo26
Anexo27
Anexo28
Anexo29
Anexo30
Anexo31
Anexo32
AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel Anexo33 ReporteCrditosVencidos Documento en Excel que contiene datos de crditos vencidos, obtenidos delabasededatosdelacooperativa. ReporteClculodemora Documento en Excel que contiene datos de crditos vencidos y sus respectivasmoras,obtenidosdelabasededatosdelacooperativa. ReportesCrditosvencidos1 Documento en Excel que contiene datos de crditos vencidos que permitencompararbasesdedatos. ReportesCrditosvencidosydemandados DocumentoenExcelquecontienedatosdecrditosvencidosyqueestn demandadosenlacooperativa. ReportesCrditosConcedidos DocumentoenExcelquecontienedatosdetodosloscrditosconcedidos sean estos vigentesocanceladosdesde Enerodel 2004 hastaSeptiembre del2011,obtenidosdelabasededatosdelacooperativa.
Anexo34
Anexo35
Anexo36
Anexo37
125
ANEXOS
126
PAPER
127

Auditoria Cobit

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Auditoria Cobit

Hochgeladen von

Copyright:

Verfügbare Formate

UNIVERSIDADTCNICAPARTICULARDELOJA

AuditoraInformticaorientadaalosprocesos crticosdecrditogeneradosenlaCooperativade AhorroYCrditoFortunaaplicandoelmarcode trabajoCOBIT

AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel

AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel

AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel

AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel

AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel

AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel

AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel

AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel

AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel

AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel

AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel

AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel

AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel Aplicacindelametodologainvestigada(COBIT). Conclusiones. Propuestadeaccionesdecontrolymejoraenlosprocesosdecrdito. Presentacindelinformefinal.

AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel

AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel

AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel

Yaqueunainstitucinfinancieradebegarantizarquelainformacinydatosdesussociossean confidencialesentegros,seconsideranecesarioaplicarenelpresentetrabajodeauditoralos dosprimerostiposmencionadosenlaTabla1.1.

AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel

1.1.5. PRINCIPALES PRUEBAS Y HERRAMIENTAS PARA EFECTUAR UNA AUDITORAINFORMTICA

Observacin Realizacindecuestionarios Entrevistasaauditadosynoauditados Flujogramas Listasdechequeo

AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel

Losmbitosquedebensercubiertosdentrodelaplanificacindelaauditorason: Comprensindelaempresa Riesgoymaterialidaddeauditora Objetivosdecontrolyobjetivosdeauditora Procedimientosdeauditora

1 Fuente: It Governance Institute, Cobit 4.1. (2007), www.itgi.org, http://www.isaca.org/KnowledgeCenter/cobit/Documents/cobiT4.1spanish.pdf[44]. 13

AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel

Preparacinyredaccindelinformefinal Redaccin de la carta de introduccin o carta de presentacin del informe finalyseguimientodelasmedidascorrectivas.

COBIT(Gestindela Seguridaddela Informacin),

ITIL(Gestindela Seguridaddela Informacin)

ISO27000(Gestin delaSeguridadde laInformacin),

2Fuentes: http://itilv3sosw.blogspot.com/2011/05/itilv3alineadaconcobit41ylaiso.html, http://bibdigital.epn.edu.ec/bitstream/15000/2222/1/CD3019.pdf.

AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel serviciosyriesgo)

AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel

1.2.1. NECESIDADYBENEFICIOSDELAAUDITORAINFORMTICAENLAS ENTIDADESFINANCIERAS

1.2.2. AUDITORA INFORMTICA EN LA PROTECCIN DE DATOS PERSONALES

1.2.3. ACTIVIDADES DE AUDITORA EN RELACIN CON LA PROTECCIN DEDATOSPERSONALES

AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel

1.4. COBIT COMO MARCO DE REFERENCIA PARA AUDITORAINFORMTICA

AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel

4 Fuente: It Governance Institute, Cobit 4.1. (2007), www.itgi.org, http://www.isaca.org/KnowledgeCenter/cobit/Documents/cobiT4.1spanish.pdf[4].

AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel

AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel

ANLISISSITUACIONALDELA COOPERATIVADEAHORROY CRDITOFORTUNA

AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel

AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel

2.5. PROCESOSDECRDITOENLACOOPERATIVA FORTUNA

PROCESO Anlisisdelcrdito Aprobacindelcrdito Legalizacindelcrdito Desembolsodelcrdito

AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel

Socio Garanta Bur de Crdito Sistema CONEXUS

2.5.1.2. SEGUNDOPROCESO(PC2):APROBACINDELCRDITO ObjetivodelProceso:Revisin,anlisisyveredictodelcomitdecrdito. DetalledelProceso:

AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel

Oficial de crdito/Gerente Comit de crdito

Carpeta socio Firmas solicitud peticin crdito

Crdito aprobado onegado

Socio / Oficial de crdito

AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel

AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel

Oficial crdito Socio Garante Gerente Notario

Pagaro contrato de prstamo debidamente legalizado

Asesor legal de la cooperativa

AuditoraInformticaorientadaalosprocesoscrticosdecrditogeneradosenla CooperativadeAhorroyCrditoFortunaaplicandoelmarcodetrabajoCOBIT KarolayCoronel

Oficial de Crdito Sistema CONEXUS Jefeoperativo

2.5.1.5. QUINTOPROCESO(PC5):RECUPERACINDELCRDITO ObjetivodelProceso:Seguimientodepagosdelcrditootorgadoalsocio.