AUDITORÍA INFORMÁTICA DE LA COOPERATIVA DE AHORRO Y CRÉDITO ALIANZA DEL VALLE LTDA. APLICANDO COBIT 4.0

Transcripción

1 ESCUELA POLITÉCNICA DEL EJÉRCITO CARRERA DE INGENIERÍA DE SISTEMAS E INFORMÁTICA DPTO. DE CIENCIAS DE LA COMPUTACIÓN AUDITORÍA INFORMÁTICA DE LA COOPERATIVA DE AHORRO Y CRÉDITO ALIANZA DEL VALLE LTDA. APLICANDO COBIT 4.0 Previa a la btención del Títul de: INGENIERO EN SISTEMAS E INFORMÁTICA REALIZADO POR: GABRIELA FERNANDA BARROS MARCILLO ANDREA ERIKA CADENA MARTEN SANGOLQUÍ, 10 de Ener del 2012

2 CERTIFICACIÓN Certific que el presente trabaj fue realizad en su ttalidad pr las Srtas. GABRIELA FERNANDA BARROS MARCILLO y ANDREA ERIKA CADENA MARTEN cm requerimient parcial a la btención del títul de INGENIERAS EN SISTEMAS E INFORMÁTICA. Sanglquí, 10 de Ener del 2012 ING. MARIO RON 2

3 DEDICATORIA A mis Padres, quienes durante tda mi vida me han brindad la fuerza, cnfianza, ánim y apy necesari; siend mi apy incndicinal en tda esta etapa de mi vida, también es dedicada a mi herman que es el mtiv de mi lucha diaria y, pr el que me esfuerz día a día. Rland Neidy y Héctr ANDREA CADENA 3

4 DEDICATORIA Dedic este pryect de tesis a DIOS, a mi familia y mi nvi. A Dis prque ha estad cnmig a cada pas que dy, cuidándme y dándme frtaleza para cntinuar, a mi familia, quienes a l larg de mi vida han velad pr mi bienestar y educación siend mi apy en td mment. Depsitand su entera cnfianza en cada ret que se me presentaba sin dudar ni un sl mment en mi inteligencia y capacidad. A mi nvi, cmpañer inseparable apy en ls mments difíciles y alient para seguir adelante y n desmayar. Es pr ells que sy l que sy ahra. Ls am cn mi vida. GABRIELA BARROS 4

5 AGRADECIMIENTO A mis padres pr ser mi ejempl a seguir, pr brindarme td el amr y apy durante mi vida, a mi herman pr darme la fuerza para seguir adelante a pesar de td, a mi enamrad pr ser mi sprte, a mi familia pr siempre estar a mi lad, a la Escuela Plitécnica del Ejércit pr tdas las enseñanzas recibidas, a ls ingeniers que ayudarn en la elabración de este pryect: Ing. Mari Rn, Ec. Gabriel Chiribga; pr su guía en tdas las fases de la tesis y a tdas las persnas que de una u tra frma ayudarn a la culminación de esta meta. ANDREA CADENA 5

6 AGRADECIMIENTO En primer lugar a DIOS pr haberme guiad pr el camin de la felicidad hasta ahra; en segund lugar a cada un de ls que sn parte de mi familia a mi PADRE Víctr Barrs, mi MADRE Rsari Marcill, mis hermans y sbrins pr siempre haberme dad su fuerza y apy incndicinal que me han ayudad y llevad hasta dnde esty ahra. A mi cmpañera de tesis y amiga Andrea Cadena, a la Escuela Plitécnica del Ejércit pr tdas las enseñanzas recibidas y, de una manera muy especial agradezc a quienes fuern guía y apy para culminar este pryect Ing. Mari Rn y Ec. Gabriel Chiribga. GABRIELA BARROS 6

7 TABLA DE CONTENIDOS ANEXOS Anex A Hjas de Evaluación Anex B Carpeta de Evidencias Anex C Lista de Dcumentación Slicitada Anex D INFORME EJECUTIVO Anex E INFORME DETALLADO Anex F NIVEL DE MADUREZ DE LA COOPERATIVA Anex G PROPUESTA DE SERVICIOS DE AUDITORÍA EN INFORMÁTICA BIBLIOGRAFÍA CAPÍTULO I GENERALIDADES EL PROCESO DE LA AUDITORÍA INFORMÁTICA CLASIFICACIÓN DE LOS CONTROLES TI CAPÍTULO II INTRODUCCIÓN CONTENIDO (PRODUCTOS COBIT) GENERALIDADES DEL MODELO COBIT CAPÍTULO III SITUACIÓN ACTUAL DE LA ENTIDAD APLICACIÓN DEL MODELO COBIT A LA COOPERATIVA DE AHORRO Y CREDITO ALIANZA DEL VALLE INVESTIGACIÓN DE CAMPO CAPÍTULO IV INTRODUCCIÓN RESUMEN EJECUTIVO DESCRIPCIÓN DEL TRABAJO EFECTUADO

8 4.4. RESULTADOS INFORME DE LAS RECOMENDACIONES ACORDADAS CON LAS AUTORIDADES PERTINENTES CAPÍTULO V índice DE GRÁFICAS... 8 índice DE TABLAS... 7 PRÓLOGO RESUMEN ÍNDICE DE TABLAS TABLA 2: MATRIZ COBIT VS ITIL, COSO TABLA 3: MATRIZ DE RIESGOS TABLA 4:MATRIZ DE INVESTIGACIÓN DE CAMPO ÍNDICE DE GRÁFICAS GRÁFICA 1:PIRÁMIDE DE PROCESOS GRÁFICA 2:PAQUETE DE PROGRAMAS DE COBIT GRÁFICA 3: PRINCIPIOS BÁSICOS DE COBIT GRÁFICA 4:CUBO COBIT GRÁFICA 5:NIVELES DE ACTIVIDADES DE TI GRÁFICA 6:MARCO DE COBIT GRÁFICA 7:ESTRUCTUTA ORGANIZACIONAL GRÁFICA 8: AREA OCUPACIONAL GRÁFICA 9:GRUPO OCUPACIONAL GRÁFICA 10:OCUPACIONES GRÁFICA 11:ESTRUCTURA ORGANIZACIONAL DEL AREA DE SISTEMAS GRÁFICA 12: ESPECIFICACIÓN DE SERVIDORES GRÁFICA 13:ESQUEMA DE LA RED LAN/ WAN

9 GLOSARIO DE TÉRMINOS Alcance de la auditría.- El marc límite de la auditría y las materias, temas, segments actividades que sn bjet de la misma. Alta gerencia.-la alta gerencia está cmpuesta pr una cantidad de persnas cmparativamente pequeña y es la respnsable de administrar tda la rganización. Estas persnas reciben el nmbre de ejecutivs. Establecen las plíticas de las peracines y dirigen la interacción de la rganización cn su entrn. Amenaza.- Cualquier aspect escenari que pueda casinar que un riesg se cnvierta en incidente, sea, que llegue a realizarse. Archivs de sistema.- Sn aquells archivs de us exclusiv del sistema perativ. Ests archivs n pueden ser eliminads nrmalmente pr el usuari el sistema le advierte que se dispne a eliminar un ficher necesari para su crrect funcinamient. Auditr.- Persna que efectúa una auditría. Auditría.- Examen de las peracines de una empresa, realizad pr especialistas ajens a ella y cn bjetivs de evaluar la situación de la misma. Auditría de sistema. Es la revisión que se dirige a evaluar ls métds y prcedimients de us en una entidad, cn el prpósit de determinar si su diseñ y aplicación sn crrects; y cmprbar el sistema de prcesamient de infrmación cm parte de la evaluación de cntrl intern; así cm para identificar aspects susceptibles de mejrarse eliminarse. Auditría de tecnlgías de la infrmación. Cnsiste en el examen de las plíticas, prcedimients y utilización de ls recurss infrmátics; cnfiabilidad y validez de la infrmación, efectividad de ls cntrles en las áreas, las 9

10 aplicacines, ls sistemas de redes y trs vinculads a la actividad infrmática. Bases de Dats.- Clección de dats pertenecientes a un mism cntext, rganizada de tal md que el rdenadr pueda acceder rápidamente a ella. Una base de dats relacinar, es aquella en la que las cnexines entre ls distints elements que frman la base de dats, están almacenadas explícitamente cn el fin de ayudar a la manipulación y el acces a ésts. Bitácras.- Es cm el "diari" de alguns prgramas dnde se graban tdas las peracines que realizan, para psterirmente abrirls y ver qué es l que ha sucedid en cada mment. Capacitación.- Tda acción rganizada y evaluable que se desarrlla en una empresa para: mdificar, mejrar y ampliar ls cncimients; habilidades y actitudes del persnal, generand un cambi psitiv en el desempeñ de sus tareas. COBIT: Cntrl Objectives fr Infrmatin and related Technlgy (Objetivs de Cntrl para Tecnlgía de la Infrmación y Relacinadas). Cliente.- Cliente prgrama cliente, es aquel prgrama que permite cnectarse a un determinad sistema, servici red. Cliente-Servidr.- Se denmina así, al binmi cnsistente en un prgrama cliente que cnsigue dats de tr llamad servidr, sin tener que estar bligatriamente ubicads en el mism rdenadr. Esta técnica de cnsulta 'remta' se utiliza frecuentemente en redes cm 'Internet'. Eficacia.- Capacidad de lgrar el efect que se desea se espera. Eficiencia.- Cnjunt de atributs, que se refieren a las relacines entre el nivel de rendimient del sftware y, la cantidad de recurss utilizads baj unas cndicines predefinidas. 10

11 Estándar.- Es tda regla aprbada práctica requerida, para el cntrl de la perfrmance técnica y de ls métds utilizads pr el persnal invlucrad en el Planeamient y Análisis de ls Sistemas de Infrmación. Evaluación.- Es el prces de reclección y análisis de infrmación y, a partir de ella, presentar las recmendacines que facilitarán la tma de decisines. Element del mdel.- Es una abstracción destacada del sistema que está siend mdelad. Evaluación de Riesg.- Es el prces utilizad para identificar y evaluar riesgs y su impact ptencial. Evidencia.- Es tda infrmación que utiliza el AI, para determinar, si el ente ls dats auditads siguen ls criteris u bjetivs de la auditría. Evidencia de auditría. Sn las pruebas que btiene el auditr, durante la ejecución de la auditría, que hace patente y manifiesta la certeza cnvicción, sbre ls hechs hallazgs, que prueban y demuestran claramente ésts, cn el bjetiv de fundamentar y respaldar sus pinines y cnclusines. Estándares: Es una especificación mdels que regulan la realización de cierts prcess la fabricación de cmpnentes para garantizar la interperabilidad. Hallazgs. Sn evidencias, cm resultad de un prces de recpilación y síntesis de infrmación: la suma y la rganización lógica de infrmación, relacinada cn la entidad, actividad, situación asunt que se haya revisad evaluad, para llegar a cnclusines al respect para cumplir algun de ls bjetivs de la auditría. Sirven de fundament a las cnclusines del auditr y, a las recmendacines que este frmula para que se adpten las medidas crrectivas. 11

12 Herramienta.- Es el cnjunt de elements físics utilizads para llevar a cab las accines y pass definids en la técnica. Herramienta de Cntrl.- Sn elements de sftware, que permiten definir un varis prcedimients de cntrl, para cumplir una nrmativa y un bjetiv de cntrl. Herramientas de Sftware de Auditría.- Sn prgramas cmputarizads, que pueden utilizarse para brindar infrmación para us de auditría. Infrmática.- Ciencia que estudia el tratamient autmátic de la infrmación en cmputadras, dispsitivs electrónics y, sistemas infrmátics. Infrme de Auditría.- Es el prduct final del Auditr de SI; cnstituye un medi frmal de cmunicar ls bjetivs de la auditría, el cuerp de las nrmas de auditría que se utilizan, el alcance de auditría y, ls hallazgs, cnclusines y recmendacines. Integridad.- Cnsiste en que sl ls usuaris autrizads puedan variar ls dats. Irregularidades.- Sn las vilacines intencinales a una plítica gerencial establecida, declaracines falsas deliberadas u misión de infrmación del área auditada de la rganización. Infraestructura tecnlógica.- Cnjunt de elements de hardware (servidres, puests de trabaj, redes, enlaces de telecmunicacines, etc.), sftware (sistemas perativs, bases de dats, lenguajes de prgramación, herramientas de administración, etc.) y servicis (sprte técnic, segurs, cmunicacines, etc.); que en cnjunt dan sprte a las aplicacines (sistemas infrmátics) de una empresa. 12

13 Jerarquía.- Es la dispsición de persnas, animales csas, en rden ascendente descendente, según criteris de clase, pder, fici, categría, autridad cualquier tr asunt que cnduzca a un sistema de clasificación. Metdlgía: Se refiere a ls métds de investigación que se siguen para alcanzar una gama de bjetivs en una ciencia. Aún cuand el términ puede ser aplicad a las artes, cuand es necesari efectuar una bservación análisis más rigurs explicar una frma de interpretar la bra de arte. En resumen, sn el cnjunt de métds que se rigen en una investigación científica en una expsición dctrinal. Nrma.- Principi que se impne se adpta para dirigir la cnducta la crrecta realización de una acción, así cm el crrect desarrll de una actividad. Nrmas de auditría: Cnstituyen el cnjunt de reglas que deben cumplirse, para realizar una auditría cn la calidad y eficiencia indispensables. Objetiv de la auditría. Prpósit fin que persigue la auditría, la pregunta que se desea cntestar pr medi de aquella. Auditría. Objetiv de Cntrl.- Sn declaracines sbre el resultad final desead prpósit a ser alcanzad, mediante las prteccines y ls prcedimients de cntrl. Sn ls bjetivs a cumplir en el cntrl de prcess. Ofimática.- Es el sistema infrmatizad que genera, prcesa, almacena, recupera, cmunica y presenta dats relacinads cn el funcinamient de la ficina. Outsurcing.- Es un cntrat a larg plaz de un sistema de infrmación prces de negcis, a un prveedr de servicis externs. Plíticas.- Cnjunt de dispsicines dcumentadas que regulan el cmprtamient de un grup de individus. 13

14 Plítica interna.- Cnjunt de nrmas, reglas y dispsicines que regulan el cmprtamient, las respnsabilidades y las restriccines del persnal de una empresa. Prevención.- Adpción de medidas encaminadas a impedir que se prduzcan deficiencias físicas, mentales y sensriales (prevención primaria) a impedir que las deficiencias, cuand se han prducid, tengan cnsecuencias físicas, psiclógicas y sciales negativas. Prcedimients de Cntrl.- Sn ls prcedimients perativs de las distintas áreas de la empresa, btenids cn una metdlgía aprpiada, para la cnsecución de un varis bjetivs de cntrl y, pr tant deben estar dcumentads y aprbads pr la Dirección. Prcedimients Generales de Auditría.- Sn ls pass básics en la realización de una auditría. Pruebas de Cumplimient.- Sn aquellas evidencias que determinan que (prprcinan evidencia de que) ls cntrles claves existen y que sn aplicables en frma efectiva y unifrme. Pruebas Sustantivas.- Sn aquellas que implican el estudi y evaluación de la infrmación, pr medi de cmparacines cn trs dats relevantes. Resumen Ejecutiv.- Es un infrme de fácil lectura, gramaticalmente crrect y breve, que presenta ls hallazgs a la gerencia en frma cmprensible. Riesg. Psibilidad de que n puedan prevenirse detectarse errres irregularidades imprtantes. Riesg inherente. Existe un errr que es significativ y se puede cmbinar cn trs errres cuand n hay cntrl. Rieg de cntrl. Errr que n puede ser evitad detectad prtunamente pr el sistema de cntrl intern. 14

15 Riesg de detección. Se realizan pruebas exitsas a partir de un prcedimient de prueba inadecuad. Sistema Operativ: Sftware de sistema, es decir, un cnjunt de prgramas de cmputadra, destinad a permitir una administración eficaz de sus recurss. Cmienza a trabajar cuand es cargad en memria pr un prgrama específic, que se ejecuta al iniciar el equip, al iniciar una máquina virtual y, gestina el hardware de la máquina desde ls niveles más básics, brindand una interfaz cn el usuari. Técnicas de auditría. Métds que el auditr emplea, para realizar las verificacines planteadas en ls prgramas de auditría, que tienen cm bjetiv la btención de evidencia. UPS: Es un dispsitiv que prveen y mantiene energía eléctrica de respald en cas de interrupcines eléctricas eventualidades en la línea acmetida. Adicinalmente, ls UPS cumplen la función de mejrar la calidad de la energía eléctrica que llega a las cargas, cm el filtrad, prtección de subidas (pics de tensión), bajadas de tensión (caídas), apagnes y eliminación de crrientes parasitarías cm ruids, interrupción de energía, perdida de data, etc. 15

16 RESUMEN E l presente trabaj, describe la Auditría Infrmática de ls Sistemas de Tecnlgía e Infrmación, realizada a la Cperativa de Ahrr y Crédit Alianza del Valle. Ltda. Utilizand COBIT, una herramienta desarrllada para, ayudar a ls administradres de negcis a entender y administrar ls riesgs asciads cn la implementación de nuevas tecnlgías, las buenas prácticas de COBIT están enfcadas en el ambiente de cntrl óptim que debe tener una empresa para de esta manera lgrar una alineación efectiva entre TI y ls bjetivs de negci. El fin de esta revisión técnica es identificar debilidades y emitir recmendacines que permitan minimizar riesgs. Para llevar a cab la presente Auditría, se realizarn las siguientes actividades: - Entregar un listad de requerimients a la entidad a ser auditada. - Revisar la dcumentación entregada al Equip de Auditría. - Se frmularn preguntas, cn el fin de aclarar cierts punts de la dcumentación. - Se elabrarn encuestas al persnal de la entidad. - En base a ls resultads btenids, se llevarn a cab las entrevistas que cnstituye un métd de auditría persnalizada, para prfundizar en la indagación. - Tmand cm base las encuestas y las entrevistas, se elabrarn las pruebas sustantivas (checklist) y se recpilarn evidencias. - De acuerd a ls resultads btenids en las encuestas, entrevistas y pruebas sustantivas y, alineand tds ests resultads cn cada bjetiv de cntrl, que prpne COBIT, se presentarn las bservacines y recmendacines emitidas en un infrme a la Gerencia. 16

17 PRÓLOGO La naturaleza especializada de la auditría de ls sistemas de infrmación y, las habilidades necesarias para llevar a cab la misma, requieren el desarrll, la generación y la prmulgación de Nrmas Generales para la auditría de ls Sistemas de Infrmación. La auditría de ls sistemas de infrmación se define cm cualquier auditría que abarca la revisión y evaluación de tds ls aspects ( de cualquier prción de ells) de ls sistemas autmátics de prcesamient de la infrmación, incluids ls prcedimients n autmátics relacinads cn ells y las interfaces crrespndientes. Para hacer una adecuada planeación de la auditría en infrmática, hay que seguir una serie de pass previs que permitirán dimensinar el tamañ y características de área dentr del rganism a auditar, sus sistemas, rganización y equip. En el capítul 1 se detallan ls bjetivs y alcances del presente estudi, debidamente justificads, además se expnen alguns cncepts y parámetrs que definen a la Auditría Infrmática, relacinads cn el ambiente de cntrl, sus prcess y, ls cntrles de TI. El capítul 2 indica el mdel COBIT, el cual es usad para este trabaj; describiend ls prducts Cbit 4.0, sus generalidades, sus respectivs dminis y las ventajas sbre trs mdels. En el capítul 3 se presenta la Aplicación del Mdel en la Cperativa de Ahrr y Crédit Alianza del Valle. En el capítul 4 se presenta el infrme y resultads del cas práctic, describiend las debidas cnclusines y recmendacines. En el capítul 5 se presentan las cnclusines y recmendacines btenidas a l larg del presente trabaj. 17

18 CAPÍTULO I AUDITORÍA INFORMÁTICA DE LOS SISTEMAS TECNOLÓGICOS DE INFORMACIÓN 1.1 GENERALIDADES DESCRIPCIÓN GENERAL DEL PROYECTO Antecedentes Ls Sistemas Infrmátics, están integrads a la gestión empresarial; pr ell, las nrmas y estándares infrmátics deben estar alineads e implantads previa la aprbación de la Dirección de Sistemas de la rganización, misma que se encargará de la implementación de cntrles de acces a la infrmación, que se maneja en ls diverss prcess de la Cperativa Alianza del Valle; en cnsecuencia, se debe destacar que, las rganizacines infrmáticas frman parte de la gestión de la empresa y se cnstituyen en un element de apy en la tma de decisines. Actualmente, la infrmación institucinal, se ha cnvertid en un activ fij real invaluable, similar a la materia prima, sin embarg, debems cnsiderar que, a pesar de la capacidad que pueden tener ls miembrs de la Dirección de Sistemas de la Cperativa Alianza del Valle; la cantidad de trabaj, centrad mayrmente en el desarrll de sistemas y redes, sin el persnal suficiente hace que, necesariamente se tmen alternativas rápidas para ganar tiemp, afectand de esta manera, la calidad de ls prducts que se desean entregar, para servici del cliente intern en este cas. De ahí parte una necesidad de la Escuela Plitécnica del Ejércit, cm parte del prces de frmación de prfesinales en la Carrera de Ingeniería 18

19 en Sistemas e Infrmática, cperand en el desarrll del país, mediante la elabración de tesis de grad, que certifiquen la frmación de graduads, a la vez que clabran cn el desarrll intelectual y persnal en las empresas públicas y privadas y, el desarrll cnstante del país JUSTIFICACIÓN E IMPORTANCIA El desarrll tecnlógic que enfrenta la Cperativa de Ahrr y Crédit Alianza del Valle, cn el manej de diverss sistemas de infrmación y autmatización en sus prcess, necesita crregir fallas, ejecutar prcess de calidad y, entregarls en el mment prtun; detectar ls errres mediante una Auditría Infrmática, realizada y ejecutada pr un grup capacitad, que prpnga slucines efectivas, para minimizar riesgs y mejrar el emple de la tecnlgía de infrmación en la rganización. La evaluación de ls sistemas de infrmación, deberá cubrir aspects de planificación, rganización, prcess, ejecución de pryects, seguridades, equips, redes y cmunicacines, cn el bjet de determinar ls riesgs a ls que se encuentra expuesta la Cperativa Alianza del Valle Ltda. y recmendar prcedimients que permitan minimizarls eliminarls. El análisis de ls Objetivs de Cntrl cn COBIT 1, debe ser de carácter bjetiv e independiente, crític, basad en evidencias, sistemátic, baj nrmas y metdlgías aprbadas a nivel internacinal, que seleccine plíticas, nrmas, prácticas, funcines, prcess, prcedimients e infrmes relacinads cn ls sistemas de infrmación cmputarizads, que permiten btener una pinión prfesinal e imparcial, enfcada en aspects cm: criteris de infrmación y prácticas requeridas, que ayuden a determinar cn 1 Definición Infrmática pr el Ingenier Philippe Dreyfus 1 Definición Infrmática: 1 Definición Infrmática: 19

20 eficiencia, el us de ls recurss infrmátics, la validez de la infrmación y efectividad de ls cntrles establecids. Cm parte del sistema de administración de la Cperativa Alianza del Valle, se hace evidente la necesidad de evaluar y valrar el us de ls recurss de TI, para de esta manera, justificar su cst y determinar medidas que permitan su racinal aplicación, eficiencia y efectividad. La situación actual pr la que atraviesa la Dirección de Sistemas de la Cperativa Alianza del Valle, requiere que, mediante el us de un cnjunt de prcedimients y técnicas, se prceda a evaluar y cntrlar ls sistemas de infrmación y el ambiente infrmátic, cn el fin de cnstatar si sus prcess y actividades sn crrects y, se encuentran enmarcads y en cnfrmidad cn las mejres nrmativas infrmáticas y generales de la rganización ALCANCE DEL PROYECTO El presente pryect de plan de tesis AUDITORÍA INFORMÁTICA DE LA COOPERATIVA DE AHORRO Y CREDITO ALIANZA DEL VALLE LTDA, está rientad a la revisión del cntrl intern infrmátic del Departament de Sistemas de la Cperativa de Ahrr y Crédit Alianza del Valle. Se utilizará el estándar COBIT 4.0, para la evaluación y auditría del ambiente infrmátic de la Cperativa de Ahrr y Crédit Alianza del Valle Ltda., prfundizand cncepts de cntrl intern y prcedimients que se ejecutan. Ls móduls en ls que se ejecuta este pryect, abarcan ls siguientes aspects: Identificación de Slucines Autmatizadas: dnde se utilizaran criteris de infrmación sbre efectividad y eficiencia en ls prcess del 20

21 negci, requerids para la Cperativa Alianza del Valle y, así satisfacer ls requerimients de ls usuaris. Las prácticas de cntrl que se utilizan en este módul están directamente invlucrads cn ls recurss de TI, siend ests: Cncimient de slucines existentes en el mercad, Metdlgías de adquisición e implementación, Invlucramient del usuari en el prces de cmpra, Orientación a las estrategias de TI y de la Cperativa Alianza del Valle. Definición de ls requerimients de infrmación, Estudis de factibilidad (cst, benefici, alternativas, etc.), Cumplimient cn la arquitectura de infrmación, Requerimients de funcinalidad, peratividad, aceptación, sstenimient y mantenimient, Seguridad y cntrl de Cst-Benefici, Respnsabilidad de ls prveedres. Adquisición y Mantenimient del Sftware de Aplicación: ls criteris de infrmación que se aplican, se enmarcan sbre parámetrs de efectividad, eficiencia, integridad, cumplimient y cnfiabilidad; llegand a prprcinar funcines autmatizadas que sprten efectivamente ls prcess del negci y la especificación de ls requerimients funcinales y peracinales 2. Las prácticas de cntrl que se aplican sn: Niveles de aceptación y pruebas funcinales, Requerimients de seguridad y cntrles de la aplicación, Dcumentación requerida, Cicl de vida del sftware, Arquitectura de la infrmación empresarial,

22 Cicl de vida metdlógic para el desarrll de aplicacines, Interface de usuari, Persnalización de paquetes. Adquisición y Mantenimient de la Infraestructura Tecnlógica: definids sbre ls criteris de infrmación de efectividad, eficiencia e integridad, prveyend al prces de las platafrmas aprpiadas a las aplicacines del negci. La frma de lgrarl se dirige a una adquisición aprpiada de hardware y sftware, estandarización de sftware y, un cnsistente sistema de administración. Las prácticas de cntrl que se definen en esta etapa sn: Cumplimient de las directrices y estándares de la infraestructura tecnlógica, Evaluación tecnlógica, Instalación, mantenimient y cntrl de cambis, Actualizacines, cnversines y, planes de migración, El us de infraestructura y/ recurss interns y externs, Respnsabilidades de ls prveedres y la relación cn ls misms, Administración de cambis, Cst ttal de prpiedad, Seguridad del sftware. Desarrll y Mantenimient de Prcess: manejarems alguns criteris de infrmación, guiads sbre la efectividad, eficiencia, integridad, cumplimient, cnfiabilidad; llegand a que el prces del negci asegure el us aprpiad de las aplicacines y la infraestructura existente, cn la sustentación de manuales estructurads de usuaris y peracinales, materiales de entrenamient y requerimients de servici. Las prácticas de cntrl sn: Rediseñ de ls prcess de negci, Cnsideración a ls prcedimients cm a cualquier tra tecnlgía existente, 22

23 Desarrll a tiemp, Prcedimients y cntrles de usuari, Prcedimients y cntrles peracinales, Materiales de entretenimient, Administración de cambis. Cn el manej aprpiad de ls recurss humans, aplicacines, tecnlgías e instalacines. Instalación y Acreditación de Sistemas: el prces de negci requerid sbre la verificación y cnfirmación de slucines adecuadas, en base al prpósit desead y ls criteris de infrmación de efectividad, integridad y dispnibilidad, cn la realización de un plan frmalizad de instalación migración y cnversión. Las prácticas de cntrl que se utilizan en este módul se fusinan cn ls recurss de TI y, estas sn: Entrenamient de usuaris y del persnal técnic de TI Cnversión de Dats, Un ambiente de pruebas que refleje el ambiente real, Retralimentación y revisines pst implementación, Participación del usuari final en la etapa de pruebas, Planes de cntinu mejramient de calidad, Criteris y medidas de aceptación, Requerimients cntinus del negci, Acuerds y criteris de aceptación. Administración de Cambis: se encarga de la minimización de alteracines, interrupcines y cambis n autrizads; manejand eficacia, eficiencia, integridad, dispnibilidad y cnfiabilidad de un sistema de administración, que permita realizar una implementación, un seguimient de tds ls cambis requerids y desarrllads a la infraestructura tecnlógica actual. Algunas de las prácticas de cntrl se describen a cntinuación: Identificación de cambis, Prcedimients de emergencia, categrización y prirización, 23

24 Análisis de impact, Autrización para cambis, Administración de versines, Distribución de sftware, Us de herramientas autmatizadas, Administración de la cnfiguración, Rediseñ de ls prcess del negci. El pryect de tesis será ejecutad en el Departament de Sistemas de La Cperativa Alianza del Valle, ubicad en la ciudad de Sanglquí, para l cual, se realizará la revisión de ls cntrles mencinads cn anteriridad y, establecids en el pryect del Departament de Sistemas aplicand el estándar internacinal COBIT OBJETIVOS General Realizar una Auditría Infrmática del Sistema de Infrmación de la Cperativa Alianza del Valle, utilizand el estándar internacinal COBIT 4.0, a fin de identificar debilidades y emitir recmendacines que permitan eliminar minimizar ls riesgs en la rganización. Específics - Evaluar y describir la planeación, rganización y situación actual de ls Sistemas de Infrmación de la Cperativa Alianza del Valle, enfcándse en las estrategias, tácticas e infraestructura tecnlógica de infrmación, que cntribuyen al lgr de ls bjetivs del negci. - Evaluar la adquisición e implementación de las TI, ls prcess en ls que estas se desenvuelven, cambis y mantenimient realizad a ls sistemas existentes, así cm la verificación de la calidad y suficiencia 24

25 de ls prcess de la Institución y, el mnitre de ls requerimients de cntrl. - Evaluar la entrega de ls servicis requerids, desde las peracines tradicinales hasta el entrenamient al persnal que interfiere directamente cn las Tecnlgías de Infrmación, abarcand aspects de seguridad, cntinuidad del negci, revisión del prcesamient de ls dats pr sistemas de aplicación, frecuentemente clasificads cm cntrles de aplicación. - Aplicar el estándar COBIT4.0 en la evaluación y auditría de sistemas de la Cperativa Alianza del Valle. - Emitir recmendacines que permitan asegurar una mayr integridad, cnfidencialidad y cnfiabilidad de la infrmación, en base a un estudi y aplicación de metdlgías, a ls prcess de la Cperativa Alianza del Valle AMBIENTE DE CONTROL El ambiente de cntrl se determina pr el cnjunt de circunstancias que enmarcan el accinar de una entidad, rganización empresa, desde una perspectiva de cntrl intern y que sn determinantes para el cumplimient de las metas y bjetivs de la rganización en que ls principis y plíticas actúan, sbre las cnductas y ls prcedimients rganizacinales. El sistema de cntrl intern está relacinad directamente cn las actividades perativas y de prcedimient dentr de la rganización y, existen pr raznes empresariales fundamentales y, a que ests fmentan la eficiencia, reducen el riesg de pérdida de valr de ls activs y, ayudan a garantizar la fiabilidad de ls estads financiers y el cumplimient de las leyes y nrmas vigentes. El ambiente cntrl se puede definir cm un prces, efectuad pr el 25

26 persnal de una rganización, diseñad para cnseguir bjetivs específics. La definición es amplia y cubre tds ls aspects de cntrl de un negci, per al mism tiemp, permite centrarse en bjetivs específics. Ls auditres deben cnsiderar factres que influyen en la rganización y que garantizan el éxit de sus prcess interns, siend ls más imprtantes ls siguientes: La filsfía y el estil de la dirección y gerencia. La estructura del plan rganizacinal, ls reglaments y ls manuales de prcedimients. La integridad, ls valres étics, la cmpetencia prfesinal y el cmprmis de tds ls clabradres de la rganización, así cm su adhesión a las plíticas y bjetivs establecids. Las frmas de asignación de respnsabilidades, de administración y desarrll del persnal. El grad de dcumentación de plíticas, decisines y de frmulación de prgramas que cntengan metas, bjetivs e indicadres de rendimient. Cada un de ests factres ayudan a que las rganizacines crezcan y cumplan sus principales bjetivs, que permiten el éxit fracas de las mismas, siend ests criteris: Eficacia y eficiencia de las peracines. Fiabilidad de la infrmación financiera. Cumplimient de las leyes y nrmas aplicables. De acuerd a ests factres, es necesari realizar evaluacines al ambiente de cntrl que permitan identificar ls riesgs y definir ls cntrles adecuads para neutralizarlsy,a que el núcle principal de cntrl sn las persnas, mismas que, si n tienen una integridad prbada, valres étics y cmpetencias, el rest de prcess psiblemente n funcinarán, pr l cual, 26

27 debe establecerse un adecuad ambiente de cntrl sbre el que se desarrllan las peracines de la rganización evaluada EL PROCESO DE LA AUDITORÍA INFORMÁTICA El prces de la auditría infrmática es similar al que se lleva a cab a ls de estads financiers, en el cual, ls bjetivs principales sn: salvaguardar ls activs, asegurar la integridad de ls dats, la cnsecución de ls bjetivs gerenciales y, la utilización racinal de ls recurss, cn eficiencia y eficacia, para l que se realiza la reclección y evaluación de evidencias. Para que una auditría sea exitsa, debe tmar en cuenta muchs de ls aspects tratads en el punt anterir. A cntinuación se muestra un grafic que muestra cóm actúan cnjuntamente tds ls cmpnentes, tant de la empresa cm del auditr, para que se genere una auditría efectiva y eficaz. Gráfica 1: Pirámide de prcess 27

28 Muchs de ls cmpnentes de la pirámide nacen de un prces de auditría, el cual se detalla a cntinuación y al cual hems dividid en 3 etapas: Planificación de la auditría Infrmática Ejecución de la auditría Infrmática Finalización de la auditría Infrmática Planificación de la auditría Infrmática En esta fase se establecen las relacines entre auditres y clabradres de la rganización, para determinar el alcance y bjetivs. Se hace un bsquej de la situación de la entidad, acerca de su rganización, sistema cntable, cntrles interns, estrategias y demás elements que le permitan al auditr elabrar el prgrama de auditría que se llevará a efect. Elements Principales de esta Fase: 1. Cncimient y Cmprensión de la Entidad 2. Objetivs y Alcance de la auditría 3. Análisis Preliminar del Cntrl Intern 4. Análisis de ls Riesgs 5. Planeación Específica de la auditría 6. Elabración de prgramas de Auditría 1. Cncimient y Cmprensión de la Entidad a auditar. Previ a la elabración del plan de auditría, se debe investigar y analizar td l relacinad cn la entidad a auditar, para pder elabrar el plan en frma bjetiva. Este análisis debe cntemplar: su naturaleza perativa, su estructura rganizacinal, gir del negci, capital, estatuts de cnstitución, dispsicines legales que la rigen, sistema cntable que utiliza, vlumen de sus ventas y, td aquell que sirva para cmprender exactamente cóm funcina la rganización. 28

29 Para el lgr del cncimient y cmprensión adecuads de la entidad, se deben establecer diferentes mecanisms técnicas que el auditr deberá dminar, siend entre tras: a) Visitas al lugar b) Entrevistas y encuestas c) Análisis cmparativs de Estads Financiers d) Análisis FODA (Frtalezas, prtunidades, debilidades, amenazas) e) Análisis Causa-Efect Espina de Pescad f) Árbl de Objetivs.- Desdblamient de Cmplejidad. g) Árbl de Prblemas 2. Objetivs y Alcance de la auditría. Ls bjetivs indican el prpósit para el cual es cntratada la firma de auditría, qué se persigue cn el examen, para qué y pr qué. Si es cn el bjetiv de infrmar a la gerencia sbre el estad real de la empresa, si es pr cumplimient de ls estatuts que mandan efectuar auditrías anualmente, en td cas, siempre se cumple cn el bjetiv de infrmar a ls scis, a la gerencia y rest de interesads sbre la situación encntrada para que sirvan de base para la tma de decisines. El alcance de una auditría ha de definir cn precisión el entrn y ls límites, en que va a desarrllarse la auditría infrmática, se cmplementa cn ls bjetivs de ésta. Pr tr lad, el alcance también puede estar referid al períd a examinar: puede ser de un añ, de un mes, de una semana y, pdría ser hasta de varis añs. 3. Análisis Preliminar del Cntrl Intern Este análisis es de vital imprtancia en esta etapa, prque de su resultad se cmprenderá la naturaleza y extensión del plan de auditría 29

30 y, la valración y prtunidad de ls prcedimients a utilizarse durante el examen. 4. Análisis de ls Riesgs El Riesg en auditría, representa la psibilidad de que el auditr exprese una pinión errada en su infrme, debid a que ls estads financiers la infrmación suministrada a él estén afectads pr una distrsión material nrmativa. En auditría se cncen tres tips de riesg: Inherente, de Cntrl y de Detección. El riesg inherente, es la psibilidad de que existan errres significativs en la infrmación auditada, al margen de la efectividad del cntrl intern relacinad; sn errres que n se pueden prever. El riesg de cntrl, está relacinad cn la psibilidad de que ls cntrles interns imperantes n prevean detecten fallas que se están dand en sus sistemas y que se pueden remediar cn cntrles interns más efectivs. El riesg de detección, está relacinad cn el trabaj del auditr y, es que éste en la utilización de ls prcedimients de auditría, n detecte errres en la infrmación que le suministran. La Materialidad es el errr mnetari máxim que puede existir en el sald de una cuenta, sin dar lugar a que ls estads financiers estén sustancialmente defrmads. A la materialidad también se le cnce cm Imprtancia Relativa. 5. Planeación Específica de la Auditría. Para cada auditría que se va a practicar, se debe elabrar un plan. Est l cntemplan las Nrmas para la ejecución. Este plan debe ser técnic 30

31 y administrativ. El plan administrativ debe cntemplar td l referente a cálculs mnetaris a cbrar, persnal que cnfrmarán ls equips de auditría, hras hmbres, etc. 6. Elabración de Prgrama de Auditría Cada miembr del equip de auditría, debe tener en sus mans, el prgrama detallad de ls bjetivs y prcedimients de auditría, bjet de su examen. Ejempl: si un auditr va a examinar el efectiv y tr va a examinar las cuentas pr cbrar, cada un debe tener ls bjetivs que se persiguen cn el examen y ls prcedimients que se crrespnden para el lgr de ess bjetivs planteads. Es decir, que debe haber un prgrama de auditría para la auditría del efectiv y un prgrama de auditría para la auditría de cuentas pr cbrar y, así sucesivamente. De est se deduce que un prgrama de auditría debe cntener ds aspects fundamentales: Objetivs de la auditría y Prcedimients a aplicar durante el examen de auditría. También se pueden elabrar prgramas de auditría n pr áreas específicas, sin pr cicls transaccinales Ejecución de la auditría Infrmática La ejecución de la auditría infrmática, cnstituye la recpilación de la mayr cantidad de infrmación necesaria, cm sn dcuments y evidencias que permitan al auditr fundamentar sus cmentaris, sugerencias y recmendacines, cn respect al manej y administración de TI. 31

32 Para la reclección de infrmación, se pueden aplicar las siguientes técnicas: Entrevistas Simulación Cuestinaris Análisis de la infrmación dcumental entregada pr el auditad Revisión y Análisis de Estándares Revisión y Análisis de la infrmación de auditrías anterires Tda la infrmación entra lueg en un prces de análisis, el cual debe ser realizad utilizand un criteri prfesinal pr parte de ls auditres y el equip a carg del prces de Auditría, tda la infrmación recpilada debe ser clasificada de manera que ns permita ubicarla fácilmente y además permita, lueg del análisis respectiv, justificar de manera crrecta las recmendacines. La evidencia se clasifica de la siguiente manera: a) Evidencia dcumental. b) Evidencia física. c) Evidencia analítica. d) Evidencia testimnial. Una vez que tenems infrmación real y cnfiable, prcedems a evaluar y prbar la manera en la que han sid diseñads ls cntrles en la rganización, para el mejramient cntinu de la misma, para est el equip de Auditría utilizara medis infrmátics y electrónics que permitan btener resultads reales. El equip de auditres, para pder dar una pinión sbre un sistema prces infrmátic, debe cmprbar el funcinamient de ls sistemas 32

33 de aplicación y efectuar una revisión cmpleta de ls equips de cómput Finalización de la auditría Infrmática Para finalizar un prces de Auditría Infrmática, se debe presentar un infrme que cntenga cnclusines y recmendacines, necesarias para que una empresa este en mejramient cntinu, esta dcumentación debe ser redactada pr el equip de Auditría y entregarse a la Alta Dirección de la empresa para su evaluación y análisis. Lueg, en cnjunt la Alta Dirección de la empresa y auditres, evaluaran ls resultads del prces; ls auditres defenderán su punt de vista basándse en las evidencias reclectadas durante td el prces. El infrme que presenta el grup de Auditres debe cntener cm bligatris ls siguientes punts: Debe hacer cnstar el períd de tiemp que abarcó la evaluación. Indicar el equip de auditría que intervin en la evaluación, se detallan ls integrantes y su experiencia en el camp de auditría. Indicar ls bjetivs que se prpusiern alcanzar cn el prces de auditría. También se debe indicar, en base a que se realizó la auditría, en el cas de utilizar COBIT 4.0, se debe especificar el dmini que fue utilizad para la evaluación, est debe especificarse claramente en el plan de trabaj que también debe ser entregad a la administración. Se debe indicar el criteri sbre el cual se está evaluand, en el cas de COBIT 4.0, l más cmún es el de riesgs y el de bjetivs de cntrl. Se detalla la cndición inicial en la que se encntró la empresa u rganización. 3 Mckeever, J. Sistemas de Infrmación para la Gerencia, Editrial Mc Graw Hill, Méxic (1984) 33

34 Se describen las causas que generarn el diagnóstic inicial, además, se debe detallar las cnsecuencias que puede traer si la empresa cntinua manejándse de la misma frma. Detallar explicativamente las recmendacines que se hacen a la Alta Dirección y qué medidas se deberían adptar para pder cumplir cn ls bjetivs prpuests desde el inici y, la rganización deje de ser afectada pr circunstancias que fuern encntradas en la situación inicial. Dentr de ls infrmes también incluye las pinines y punts de vista de la administración, debe especificarse si la rganización va a adptar n las recmendacines prpuestas pr el grup de auditres. El infrme final se l debe entregar a la Alta Dirección de la rganización y cm detallams inicialmente, debems presentar las evidencias de percances más imprtantes que se encntrarn durante el prces de Auditría CLASIFICACIÓN DE LOS CONTROLES TI Al mment de realizar un pryect de auditría, se desarrllan una gran variedad de actividades de cntrl para verificar la exactitud, integridad y autrización de las transaccines. Estas actividades pueden agruparse en ds grandes cnjunts de cntrles de ls sistemas de infrmación, ls cuales sn: cntrles de aplicación y ls cntrles generales de la cmputadra. Sin embarg, ests ds cnjunts de cntrles se encuentran estrechamente relacinads, puest que, ls cntrles generales de la cmputadra, sn nrmalmente necesaris para sprtar el funcinamient de ls cntrles de aplicación, además de la efectividad de ambs depende el aseguramient del prcesamient cmplet y precis de la infrmación.. 34

35 Cntrles de Aplicación Ls cntrles de aplicación sn prcedimients manuales autmatizads que peran típicamente a nivel de ls prcess de la rganización. Ls cntrles de aplicación pueden ser de naturaleza preventiva de detección y están diseñads para asegurar la integridad de la infrmación que se prcesa en ells. Debid a l cual, ls cntrles de aplicación se relacinan cn ls prcedimients utilizads para iniciar, registrar, prcesar e infrmar las transaccines de la rganización. Estas actividades de cntrl ayudan a asegurar que las transaccines curridas, estén autrizadas y cmpletamente registradas y prcesadas cn exactitud. Debid al tamañ y cmplejidad de varis sistemas, n siempre se ls pdrá revisar a tds, pr l que es necesari evaluar ls sistemas de aplicación para cnsiderar en el plan de auditría ls sistemas de aplicación que tienen un efect significativ en el desarrll de las peracines de la rganización, cn el fin de realizar un análisis más prfund de ests sistemas. Existen varis parámetrs que se deben cnsiderar para calificar ls sistemas de aplicación, siend ls siguientes: - Imprtancia de las transaccines prcesadas. - Ptencial para el riesg de errr incrementad debid a fraude. - Si el sistema sól realiza funcines sencillas, cm acumular resumir infrmación funcines más cmplejas, cm la iniciación y ejecución de transaccines. - Tamañ y cmplejidad de ls sistemas de aplicación. Se debe incluir ls cntrles implantads, para verificar la validez del ingres de dats dentr de ls sistemas, cntrles que pdems evaluar mediante el seguimient manual de ls infrmes de excepción la crrección en el punt de entrada de dats. Debid al tamañ y cmplejidad de varis sistemas, n siempre se ls pdrá revisar a tds, pr l que es necesari evaluar ls sistemas de aplicación para 35

36 cnsiderar en el plan de auditría aquells que tienen un efect significativ en el desarrll de las peracines de la rganización, cn el fin de realizar un análisis más prfund de ests sistemas Cntrles Generales Ls cntrles generales sn plíticas y prcedimients que se relacinan cn muchs sistemas de aplicación y, sprtan el funcinamient eficaz de ls cntrles de aplicación, ayudand a asegurar la peración cntinua y aprpiada de ls sistemas de infrmación. Ls cntrles generales mantienen la integridad de la infrmación y la seguridad de ls dats. Es pr est que antes de realizar una evaluación de ls cntrles de aplicación, nrmalmente se actualiza la cmprensión general de ls cntrles del ambiente de prcesamient de la cmputadra y se emite una cnclusión acerca de la eficacia de ests cntrles. Las actividades que se llevan a cab para la evaluación de ests cntrles, inician cn entrevistas a la administración, lueg de las cuales se tendrá una mejr capacidad para cmprender y definir la estrategia y las pruebas que realizarems sbre ls cntrles. Psterirmente, se debe determinar si ls cntrles generales de la cmputadra se diseñan e implementan para sprtar el prcesamient cnfiable de la infrmación, respect a ls cntrles que se han identificad, para l cual se debe realizar l siguiente: - Evaluación del diseñ de ls cntrles, en la que se determinará que ls cntrles evitan ls riesgs para ls que fuern diseñads. - Determinar si ls cntrles se han implementad, l cual cnsiste en evaluar si ls cntrles que se han diseñad y, se están utilizand durante el tiemp de funcinamient de la rganización. 36

37 CAPÍTULO II Mdel COBIT INTRODUCCIÓN COBIT 4.0 tiene cm misión desde sus inicis investigar, desarrllar, publicar y prmver un cnjunt de bjetivs de cntrl en tecnlgía de la infrmación cn autridad, debidamente actualizads, de carácter internacinal y aceptad generalmente para el us ctidian de gerentes de empresas y auditres. Ls gerentes, auditres y usuaris se benefician del desarrll de COBIT 4.0 ya que este les ayuda a entender y cmprender el nivel de seguridad de sus sistemas TI, además permite definir qué cntrl es el necesari para prteger ls activs de sus empresas mediante el desarrll de un mdel de gbernación TI. Ls pryects de auditría Infrmática, necesitan de una base estándar para guiarse; en el presente pryect de tesis guiad, a la auditría infrmática, se ha decidid tmar cm base al Mdel COBIT versión 4.0 ya que permite un enfque distint y actual de ls sistemas, pr cuant ls mira en su ámbit glbal, frmad pr prcess manuales e infrmátics. Se adptó la versine 4.0 del Mdel COBIT puest que, una vez que se realizó un análisis de tdas las versines de COBIT se identificarn las siguientes características en cada una de ellas. Versión 1.0: us de estándares internacinales, las pautas y la investigación en las mejres prácticas cndujern al desarrll de ls Objetivs del cntrl. 37

38 Versión 2.0: análisis de fuentes internacinales, dedicads a la cmpilación, revisión e incrpración aprpiada de ls estándares técnics internacinales, códigs de la cnducta, estándares de calidad, estándares prfesinales y ls requisits de la industria, cm se relacinan cn el marc y cn ls bjetivs del cntrl individual. Versión 3.0: cnsiste en prveer a la gerencia un us del marc de referencia, COBIT, para que de él pueda determinar las mejres pcines a ser puestas en práctica y las mejras del cntrl sbre su infrmación y tecnlgía relacinada. Versión 4.0: acentúa el cumplimient reguladr, ayuda a las rganizacines a aumentar el valr lgrad de TI ya que psee un enfque más gerencial que permite la alineación y simplifica la puesta en práctica del Mdel COBIT. Lueg de este análisis se cncluyó que la versión 4.0 se basa en ls principis de, prprcinar la infrmación que la empresa requiere para lgrar sus bjetivs y que la empresa necesita administrar y cntrlar ls recurss de TI, usand un cnjunt estructurad de prcess que frezcan ls servicis requerids de infrmación CONTENIDO (PRODUCTOS COBIT) En el Mdel de COBIT 4.0 ls prducts se han definid en tres niveles, ls misms que dan sprte a: Administración y cnsejs ejecutivs. Administración del negci y de Tecnlgía de Infrmación. Prfesinales de gbiern, aseguramient, cntrl y seguridad, cm se detalla en la Gráfica 2. 4 GOVENANCE INSTITUTE COBIT

39 Gráfica 2: Paquete de prgramas de COBIT Resumen Ejecutiv El Resumen Ejecutiv, cnsiste en una descripción que prprcina una cnciencia cuidadsa y el entendimient de ls cncepts claves de COBIT, es decir, un entendimient más detallad de ls cncepts y principis de auditría de Sistemas, identificand ls cuatr dminis de COBIT y sus 34 prcess de TI Marc Referencial El Marc Referencial COBIT, es la base para el desarrll de ls demás elements COBIT. El marc referencial explica cm ls prcess de TI deben entregar la infrmación, que el negci requiere, para alcanzar sus bjetivs, prprcinand al prpietari de ls prcess del negci, herramientas que faciliten el cumplimient de esta respnsabilidad. 39

40 El Marc Referencial, permite también definir; si la infrmación prcesada para cumplir cn ls bjetivs del negci se están adaptand a ls criteris de infrmación (efectividad, eficiencia, cnfidencialidad, integridad, dispnibilidad, cumplimient y cnfiabilidad), así cm también define cuales de ls recurss de TI (sistemas de aplicación, tecnlgía, instalacines, dats) sn imprtantes para apyar a ls bjetivs del negci Objetivs de Cntrl Un Objetiv de Cntrl en TI, es la definición del resultad prpósit que se desea alcanzar siguiend prcedimients de cntrl específics dentr de una Actividad de Cntrl de TI. Ls Objetivs de Cntrl de COBIT sn ls requerimients mínims que debe cumplir un cntrl de cada prces de TI, para que sea definid cm efectiv. Ls Objetivs de Cntrl están definids y rientads a ls prcess, pr medi del principi de reingeniería de negcis. Cada un de ls prcess de TI de COBIT tiene un bjetiv de cntrl de alt nivel y un númer de bjetivs de cntrl detallads. A ls que se les debe analizar cm un td ya que representan las características de un prces bien administrad Guía Directriz de Auditría Las Guías de Auditría indican pautas y recmendacines, mediante las que la gerencia de la entidad auditada puede cumplir de una manera más óptima cn ls Objetivs de Cntrl. Estas Guías de Auditría prvistas pr COBIT n sn específicas, sin sn accines genéricas que se pueden pner en práctica en mayr menr grad, dependiend de la entidad y están rientadas para prveer a la gerencia actividades que le permitan, mantener baj cntrl la infrmación de la empresa y sus prcess relacinads, mnitrear el 40

41 lgr de las metas rganizacinales, mnitrear el desempeñ de cada prces de TI y llevar a cab un benchmarking de ls lgrs rganizacinales Prácticas de Cntrl Las Prácticas de Cntrl prveen guías para diseñar cntrles y cóm implementarls, puest que ayudan al persnal encargad de diseñar e implementar cntrles específics a administrar riegs en pryects de TI. Además las Prácticas de Cntrl ayudan a mejrar el rendimient de TI ya que definen mejres prácticas para evitar el incumplimient mal us de cntrles interns Guías de Administración Las Guías de Administración directrices gerenciales, cntienen mdels de madurez asciad al gbiern de TI, que sirven para determinar en qué psición se encuentra la rganización. También las Guías de Administración prveen factres crítics de éxit específic, indicadres claves pr bjetiv e indicadres clave de desempeñ, que sn las mejres prácticas administrativas para alcanzar ls Objetivs de Cntrl en TI Cnjunt de Herramientas de Implementación El Cnjunt de Herramientas COBIT prprcina leccines aprendidas pr aquellas rganizacines que aplicarn COBIT, bteniend resultads exitss, las cuales pueden ser utilizadas pr tras rganizacines. 41

42 Estas herramientas incluyen ds particularmente útiles: Diagnóstic de Sensibilización Gerencial (Management Awareness Diagnstic). Diagnóstic de Cntrl en TI (IT Cntrl Diagnstic), para prprcinar asistencia en el análisis del ambiente de cntrl de TI en una rganización GENERALIDADES DEL MODELO COBIT Marc de Trabaj de COBIT El mdel de COBIT fue cread para ser rientad a negcis y prcess, basad en cntrles e impulsad pr medicines Orientad a Negcis El Mdel de COBIT es rientad a negcis ya que se encuentra diseñad para ser una guía para la gerencia, prpietaris de ls prcess de negci, ls prveedres de servicis, usuaris y auditres de TI. Además es el enfque de cntrl en TI que se lleva a cab visualizand la infrmación necesaria para dar sprte a ls prcess del negci. Siend la Infrmación el resultad de la aplicación cmbinada de recurss relacinads cn la Tecnlgía de Infrmación, que deben ser administrads pr prcess TI. El Marc de Trabaj de COBIT frece herramientas para garantizar la alineación de la administración de TI cn ls requerimients del negci, basads en ls principis básics de COBIT. 42

43 Gráfica 3: Principis básics de Cbit En dnde ls requerimients de infrmación del negci, deben adaptarse a cierts criteris de infrmación, para que la misma permita cumplir cn ls bjetivs de la rganización, ls cuales sn: Efectividad: la infrmación relevante y pertinente al prces del negci existe y es entregada a tiemp, crrecta, cnsistente y utilizable. Eficiencia: es la ptimización (más ecnómica y prductiva) de ls recurss que se utilizan para la prvisión de la infrmación. Cnfidencialidad: es relativ a la prtección de infrmación sensitiva de acces y divulgación n autrizada. Integridad: se refiere a l exact y cmplet de la infrmación, así cm a su validez de acuerd cn las expectativas del negci. Dispnibilidad: accesibilidad a la infrmación para ls prcess del negci en el presente y en el futur, también salvaguardar ls recurss y capacidades asciadas a ls misms. Cumplimient: sn las leyes, regulacines, acuerds cntractuales a ls que el prces del negci está sujet. Cnfiabilidad de la Infrmación: prveer la infrmación aprpiada para que la administración tme las decisines adecuadas para 43

44 manejar la empresa y cumplir cn las respnsabilidades de reprtes financiers. ls Una vez que las metas del negci se encuentran alineadas y han sid definidas, requieren ser mnitreadas para garantizar que la entrega cumpla cn las expectativas del negci. Ls recurss de TI sn: Dats: Tds ls bjets de infrmación interna y externa, estructurada n, gráficas, snids, etc. Aplicacines: ls sistemas de infrmación, que integran prcedimients manuales y sistematizads. Tecnlgía: incluye hardware y sftware básic, sistemas perativs, sistemas de administración de bases de dats, de redes, telecmunicacines, multimedia, etc. Instalacines: sn recurss necesaris para aljar y dar sprte a ls sistemas de infrmación. Recurss Humans: habilidad, cnciencia y prductividad del persnal para planear, adquirir, prestar servicis, dar sprte y mnitrear ls sistemas de Infrmación. Se deben gestinar tds ls recurss de TI, mediante un cnjunt de prcess agrupads, para lgrar metas de TI que prprcinen la infrmación que el negci necesita para alcanzar sus bjetivs. Este es el principi básic del marc de trabaj COBIT, cm se ilustra en el cub COBIT 5. 5 Definición Auditría: 44

45 Gráfica 4: Cub cbit Orientad a Prcess Se pueden diferenciar tres niveles de actividades en un prces de TI: El nivel superir de agrupación.- sn ls dminis que cnstituyen ls prcess agrupads, ls dminis en una estructura rganizacinal se denminan dminis de respnsabilidad y se alinean cn el cicl de vida administrativ de ls prcess TI. En el nivel intermedi se encuentran ls prcess, que sn un cnjunt de varias tareas y actividades. En el nivel baj se hallan las actividades y tareas necesarias para alcanzar un resultad medible, es decir, sn las actividades más discretas, cm se puede bservar en la Gráfica 5. 45

46 Gráfica 5: Niveles de actividades de ti 2.4. DOMINIOS Planificación y Organización: Cubre las estrategias, las tácticas y la manera de identificar la frma en que TI puede cntribuir al lgr de ls bjetivs del negci Objetivs de Cntrl Niveles Alts Planificación y Organización - PO1 Definen un Plan de TI Estratégic - PO2 Definen la Infrmación Arquitectura - PO3 Determinan Dirección Tecnlógica - PO4 Definen ls Prcess de TI, Organización y Relacines - PO5 Manejan la Inversión TI - PO6 Cmunican Objetivs de Dirección y Dirección - PO7 Manejan Recurss TI Humans - PO8 Manejan Calidad 46

47 - PO9 Evalúan y Manejan Riesgs de TI - PO10 Manejan Pryects Adquisición e Implementación Cubre las estrategias de TI, las slucines de TI necesitan ser identificadas, desarrlladas adquiridas así cm la implementación e integración en ls prcess del negci Objetivs de Cntrl Niveles Alts - AI1 Identifican Slucines Autmatizadas - AI2 Adquieren y Mantienen Sftware De aplicación - AI3 Adquieren y Mantienen Infraestructura de Tecnlgía - AI4 Permiten Operación y Usan - AI5 Prcuran Recurss TI - AI6 Manejan Cambis - AI7 Instalan y acreditan Slucines y Cambis Sprte y Servicis Incluye ls prcess de entrega distribución, desde las peracines tradicinales hasta el entrenamient, tmand en cuenta aspects de seguridad y cntinuidad de las peracines. Cn el fin de entregar servicis. En dnde se incluye el prcesamient de dats, ls sistemas de aplicación, clasificads de frma frecuente cm cntrles de aplicación 47

48 Objetivs de Cntrl Niveles Alts Sprte y servici - DS1 Definen y Manejan Niveles de Servici - DS2 Manejan Servicis de Tercer - DS3 Manejan Funcinamient y Capacidad - DS4 Aseguran Servici Cntinu - DS5 Aseguran Seguridad de Sistemas - DS6 Identifican y Asignan Gasts - DS7 Educan y Entrenan a Usuaris - DS8 Manejan Escritri de Servici e Incidentes - DS9 Manejan la Cnfiguración - DS10 Manejan Prblemas - DS11 Manejan Dats - DS12 Manejan el Ambiente Físic - DS13 Manejan Operacines Evaluación y Seguimient Se debe evaluar de frma regular ls prcess de cntrl independientes, ls misms que sn definids pr auditrías externas e internas pr fuentes alternativas. También abarca la administración del desempeñ, el mnitre del cntrl intern, el cumplimient regulatri y la aplicación del gbiern de TI. 48

49 Objetivs de Cntrl Niveles Alts Evaluación y seguimient - ME1 Supervisan y Evalúan Prcess de TI - ME2 Supervisan y Evalúan Cntrl Intern - ME3 Aseguran Cumplimient Reguladr - ME4 Prprcinan Gbernación TI Gráfica 6: Marc de COBIT 49

50 2.5. VENTAJAS Y DESVENTAJAS SOBRE LOS MODELOS Y BUENAS PRÁCTICAS ITIL Y COSO Tabla 1: Matriz Cbit vs Itil, Cs ATRIBUTO COBIT COSO ITIL Audiencia Primaria Objetivs Organizacinales del CI Cmpnentes Dminis Fc Dirección, usuaris, Dirección Dirección, usuaris, auditres de SI auditres de SI Operacines efectivas y Operacines efectivas y eficientes eficientes Infrmes Cnfidencialidad, financiers cnfiables integridad y Cumplimient de las dispnibilidad de leyes y regulacines infrmación Infrmes financiers cnfiables Cumplimient de las leyes y regulacines Dminis: Cmpnente: Planeamient y Supervisión rganización Adquisición Ambiente de cntrl e implementación Administración de Entrega y sprte riesgs Actividades de Mnitre cntrl Infrmación y cmunicación Aplicar el ITIL en las empresas que han integrad en sus prcess a sus clientes y prveedres a través de redes infrmáticas. Ofrecer un marc cmún para tdas las actividades del departament de ti. Cmpnentes (fases): Estrategia del servici Diseñ del servici Transición del servici Operacines del servici Mejra cntinua del servici Tecnlgía Infrmática Tda la entidad Cicl de vida de un servici Cnfiabilidad Alta Alta Media Depende de la Dispnibilidad de la Depende del us y Tiemp que se dispnibilidad de la infrmación del estad actual de requiere para su infrmación de las la infraestructura TI desarrll aéreas de la empresa Cst Alt Alt Alt 50

51 Ls usuaris finales -Ls usuaris de COSO -Mejra la btienen una garantía sn rientads sbre cmunicación cn sbre la seguridad y cntrl intern, gestión ls clientes y cntrl de ls prducts del riesg, fraudes, ética usuaris finales a que adquieren interna y empresarial. través de ls externamente. diverss punts de -Cnfiabilidad de la cntact acrdads. infrmación financiera: -Ls servicis se cntrl de la elabración detallan en lenguaje y publicación de estads del cliente y cn cntables cnfiables. más detalles. -Se maneja mejr la VENTAJAS calidad y ls csts (CLIENTES Y de ls servicis. USUARIOS) -La entrega de servicis se enfca más al cliente, mejrand cn ell la calidad de ls misms y relación entre el cliente y el departament de IT. -Una mayr flexibilidad y adaptabilidad de ls servicis -Ayuda a salvar las Las actividades de - La rganización TI brechas existentes entre cntrl: las plíticas, desarrlla una riesgs de negci, prcedimients y estructura más necesidades de cntrl y prácticas que aseguran clara, se vuelve más aspects técnics. el lgr de ls bjetivs eficaz y, se centra - Cn el fin de de la cnducción y que más en ls bjetivs VENTAJAS (TI) prprcinar la se cumple cn las de la rganización. infrmación que la estrategias para mitigar - La administración rganización necesita ls riesgs tiene un mayr para alcanzar sus cntrl, se bjetivs, señala que ls estandarizan e recurss de TI deben ser identifican ls administrads pr un prcedimients y, 51

52 cnjunt de prcess de ls cambis resultan TI agrupads en frma más fáciles de natural. manejar. - Prprcina -La estructura de herramientas al prcess en IT respnsable de ls prprcina un prcess que facilitan el marc para cumplimient de ls cncretar de prcedimients de TI. manera más - Es la herramienta adecuada ls innvadra para el servicis de manej de TI que ayuda utsurcing. a la gerencia a -A través de las cmprender y administrar mejres prácticas ls riesgs asciads de ITIL se apya al cn TI. cambi en la cultura de TI y su rientación hacia el servici y, se facilita la intrducción de un sistema de administración de calidad. - ITIL prprcina un marc de referencia unifrme para la cmunicación interna y cn prveedres. -Requiere ciert nivel de -Errres pr falta de -Tiemp y esfuerz manej de las TI, pr l capacidad para ejecutar necesari para su que acplarl resulta ser las instruccines implementación. un prces, en ciert -Errres de juici en la - N se da un DESVENTAJAS md, más cmplej que su prpia ejecución. tma de decisines. -Errres pr mala cambi previ en la cultura del área -COBIT cnsta cn una interpretación, invlucrada. cláusula de limitación de negligencia, distracción - N se ve reflejada respnsabilidad la cual fatiga. una mejra pr falta bliga a ls gerentes y Inbservancia gerencial de entendimient 52

53 persnas invlucradas a investigar el manual de COBIT. -Resulta un mdel ambicis que requiere de prfundidad en el estudi. -N existe en la bibligrafía de resultads experiencias prácticas de implementación de este mdel que l hagan medible, para saber su nivel de cnfiabilidad. a las plíticas prcedimients prescrits. -Clusión. -Cst - benefici. sbre prcess, indicadres y métds para ser cntrlads. - El persnal n se invlucra y n se cmprmete. - La mejra del servici y la reducción de csts puede n ser visible. - La inversión en herramientas de sprte sea escasa. Ls prcess pdrán parecer inútiles y n se alcanzaría las mejras en ls servicis. 53

54 CAPÍTULO III Estudi del mdel COBIT en la Cperativa de Ahrr y Crédit Alianza del Valle 3.1. SITUACIÓN ACTUAL DE LA ENTIDAD Cperativa Alianza del Valle, es una Institución que nació hace 41 añs cn el fin de clabrar cn el prgres y bienestar de la cmunidad y, es gracias a sus asciads que ha lgrad cnvertirse en una institución financiera sólida cn visión de liderazg. Alianza del Valle es una entidad slidaria que trabaja pr la cmunidad freciend sbre td seguridad y cnfianza, que le han cnvertid en Su Cperativa Amiga. Misión: Satisfacer las necesidades y expectativas de nuestrs scis, freciéndles prducts y servicis financiers innvadres, de calidad y cn valr agregad, cntand cn una estructura administrativa/financiera sólida y cn persnal y directivs cn visión scial Visión: Mantenerns cm una Institución Financiera Sólida, cn mayr participación en el mercad, que brinda prducts y servicis financiers cmpetitivs cn cbertura nacinal, para impulsar el desarrll de ls scis y de la cmunidad cn respnsabilidad scial. Valres de la Cperativa Equidad: A través de un ambiente de justicia y transparencia para el trgamient de prducts y servicis a nuestrs scis/clientes, prveedres, entes de cntrl y talent human. Hnestidad: Cn ls asciads, recurss financiers, dcuments, que sean de la Cperativa, ésts serán utilizads cn absluta rectitud e 54

55 integridad rganizacinal. Trabajams cn transparencia y ética cuidand siempre el bienestar de nuestrs scis e Institución. Respnsabilidad: Para asumir nuestras accines, estand siempre preparads a esclarecer e infrmar sbre las actividades ejecutadas, de manera que el sci/cliente incremente su cnfianza en la capacidad del persnal y de la Cperativa cm Institución sólida y transparente. Disciplina: Cumpliend a cabalidad nrmas, plíticas y prcedimients que cnstituyen ls pilares del accinar de la Cperativa. Slidaridad: Hacia nuestrs scis/clientes y la cmunidad ecuatriana, basándns en nuestrs principis de ayuda mutua Cncimient y cmpresión de la institución. La Cperativa de Ahrr y Crédit ALIANZA DEL VALLE Ltda. Cuenta cn ls siguientes servicis: Cperativa en Línea, Cntacts, Prducts y Servicis, Cbertura. Ls prducts y servicis que brinda la Cperativa de Ahrr y Crédit ALIANZA DEL VALLE Ltda. Sn: Servicis: - Segur Amig - Tarjeta de Débit - Pag de Bn de Desarrll Human - Sistema de Remesas CREER Ecuadr - Impuest Predial - Sistema de Envís Western Unin - Transferencias Interbancarias - Megared - Ventanillas Extendidas - Cpyline - Acreditacines a Institucines - Acreditacines IESS 55

56 Prducts: Prducts de Ahrr - Cuenta Efectiva - Cuenta Sueña - Cuenta Jven - Cuenta Metahrr Prducts de Crédit - Segur de desgravamen - Bajas tasas de interés - Cer cmisines - CrediCnsum - MicrCrédit - CrediVivienda Inversines - Plaz Fij Alianza Cncimient y cmpresión de las actividades del departament de TI. El Departament de TI principales: tiene a su carg las siguientes actividades - Asesrar en el desarrll e implementación de nuevas herramientas infrmáticas, que sirvan de instrument para agilitar, simplificar, mejrar el desempeñ de las actividades de ls usuaris perativs y administrativs, salvaguardand la integridad, cnfiabilidad y dispnibilidad de la infrmación de la cperativa. - Apyar, cmputacinalmente, las actividades de tds las Direccines, Departaments y tras unidades de la Cperativa 56

57 de Ahrr y Crédit Alianza del Valle, precupándse del desarrll de prgramas cm de la actualización de td su equip. - Mantener y administrar las redes, sistemas y equips cmputacinales de la Cperativa de Ahrr y Crédit Alianza del Valle. - Prestar sprte a usuaris en td l relativ a la platafrma cmputacinal de la Cperativa de Ahrr y Crédit Alianza del Valle. - Cntrlar las cncesines que le crrespndan, de acuerd a su participación, en la elabración de las especificacines técnicas y que le sean atingentes a la naturaleza de sus funcines. - Velar pr la integridad de la infrmación almacenada en equips cmputacinales, de prpiedad de la cperativa, además de elabrar y ejecutar ls planes de cntingencia necesaris en cas de pérdida de dicha infrmación. - Crdinar el accinar de las distintas dependencias de la Cperativa de Ahrr y Crédit Alianza del Valle de manera de ir integrand y crrelacinand infrmación y bases de dats. - Participar en la elabración y ejecución del Plan Estratégic de la cperativa; así cm elabrar y ejecutar el Plan Anual Operativ del Departament de TI. - Prpner al Directri para su aprbación, pr medi del Área de Administración y de la Gerencia General, las plíticas respect a las Tecnlgías de Infrmación. 57

58 - Velar pr la alta dispnibilidad del Servici de tecnlgía de Infrmación que sprte la peratividad de la cperativa. - Prpner ls planes y presupuests para la adquisición de recurss de tecnlgías de infrmación, requerids para asegurar la renvación tecnlógica e implantación de ls pryects de Tecnlgía de Infrmación. - Establecer las nrmas y estándares para la gestión de las actividades y us de recurss de tecnlgías de infrmación. - Dar cnfrmidad al cumplimient de ls cntrats que deriven de la adquisición, alquiler y/ mantenimient de equips y/ aplicativs, dentr del ámbit de su cmpetencia. - Apyar, dentr del ámbit de su cmpetencia, en la definición de especificacines técnicas de prcess de selección que guarden relación cn tecnlgía de la infrmación. - Participar en la elabración del Plan de Seguridad de la Infrmación y el Plan de Cntinuidad de Negcis de la cperativa, ejecutándls de acuerd al ámbit de su cmpetencia. - Hacer seguimient del cumplimient de ls cntrats de servicis slicitads pr el área a su carg. - Atender e implementar las medidas crrectivas, recmendadas pr el Departament de Auditría Interna y ls rganisms de cntrl extern. 58

59 Descripción de Funcines del nivel directiv Gráfica 7: ESTRUCTURA ORGANIZACIONAL 59

60 La Estructura Organizacinal de la Cperativa de Ahrr y Crédit Alianza del Valle Ltda., está cnfrmada pr áreas, grups y cargs cupacinales Áreas Ocupacinales Ests sn cnjunts de actividades afines que cnstituyen las relacines labrales Gráfica 8: Área cupacinal Grups Ocupacinales Sn cupacines de naturaleza similar, de acuerd al tip de funcines, respnsabilidades y requerimients para el cumplimient de su cupación. Gráfica 9: Grup Ocupacinal 60

61 Cargs Listad de Cargs Gráfica 10: Ocupacines 61

62 A cntinuación se describirá las principales funcines del persnal relevante de la Cperativa de Ahrr y Crédit ALIANZA DEL VALLE Ltda. Gerente General Presentar para aprbación del cnsej de administración el plan estratégic, el plan perativ y el presupuest de la cperativa. Representar judicialmente a la cperativa Respnder pr la gestión administrativa y financiera de la cperativa Cumplir y hacer cumplir a ls scis las dispsicines emanadas de la asamblea general y del cnsej de administración Actualizar y mantener baj custdia ls inventaris de bienes y valres de la entidad. Cntratar, remver y sancinar, de acuerd a las plíticas que fije el cnsej de administración a s empleads de la cperativa, cuy nmbramient remción n sea de cmpetencia de tr órgan de la entidad y fijar sus remuneracines que deberán cnstar en el presupuest de la entidad Suministrar la infrmación que slicite ls scis, representantes, órgans interns y su impact en el patrimni, cumplimient del plan estratégic y sbre td que sean slicitads, así cm el plan anual de gestión. Infrmar al cnsej de administración sbre la situación financiera de la entidad, de riesgs y su impact en el patrimni, cumplimient del plan estratégic y sbre trs que sean slicitads, así cm el infrme anual de gestión. Mantener ls cntrles y prcedimients adecuads para asegurar el cntrl intern. Delegar revcar delegacines cnferidas a trs funcinaris de la cperativa, previa infrmación al cnsej de administración, sin que ell implique exnerarse de la respnsabilidad legal. Presidir el cmité de crédit de la cperativa y ls que determinen las nrmas de la junta bancaria 62

63 Mantener y actualizar el registr de certificads de aprtación Ejecutar las plíticas de tasas de interés y de servicis de acuerd a ls lineamients fiads pr el cnsej de administración Analizar y aprbar las estrategias de mercade de prducts y servicis de la cperativa Evaluar ls resultads de la implantación de las estrategias, según prgrama aprbad. Aprbar la adquisición de bienes y servicis requerids para la gestión de la cperativa de acuerd a l establecid en el manual de adquisición Suscribir cnvenis de préstam cn entidades financieras según plíticas de endeudamient aprbadas. Asistente de Gerencia Crdinar la agenda de Gerencia General Elabrar memrands y ficis para funcinaris, rganisms de cntrl, institucines financieras y trs. Cumplir actividades de apy administrativ a jefaturas de la cperativa. Asistir y crdinar reunines de trabaj cn jefes departamentales jefes de agencias, etc. Mnitrear el cumplimient de instructivs, dispsicines, registrs, reprtes y mas requerimients establecids pr las autridades de la cperativa y rganisms de cntrl. Elabrar infrmes para el cnsej de administración de las actividades realizadas pr gerencial general. Custdiar y velar pr la crrecta utilización de la central telefónica. Supervisar el cumplimient de entrega y recepción de crrespndencia. Administrar el prgrama de desblque de claves de ls funcinaris y empleads. Administrar el módul de seguridad de módul COBIS Realizar las veces de ficial de cumplimient Back UP 63

64 Auditr Intern Vigilar cualquier tiemp las peracines de la institución Cmprbar la existencia y el adecuad funcinamient de ls sistemas del cntrl intern, cn el prpósit de prveer una garantía raznable en cuant al lgr de ls bjetivs de la institución; eficiencia y eficacia de las peracines; salvaguarda de ls activs; una adecuada revelación de ls estads financiers; y, cumplimient de las plíticas y prcedimients interns, leyes y nrmas aplicables. Evaluar ls recurss infrmátics y sistemas de infrmación de la institución del sistema financier, cn el fin de determinar si sn adecuads para prprcinar a la administración y demás áreas de la institución, infrmación prtuna y suficiente que cuenten cn tdas las seguridades necesarias. Verificar si la infrmación que utiliza internamente la institución para la tma de decisines y la que reprta a la superintendencia de bancs y seguridades es fidedigna, prtuna y surge de sistemas de infrmación y bases de dats institucinales. Verificar que el directr el rganisms que haga sus veces de la institución del sistema financier haya expedid las plíticas para prevenir el lavad de activs prvenientes de actividades ilícitas y cnstatar la aplicación de estas pr parte de la administración de la entidad cntrlada. Evaluar si la gestión del ficial de cumplimient se sujeta a las dispsicines Verificar que la institución cuente cn rganigramas estructurales y funcinales; Verificar que la institución del sistema financier cuente cn un plan estratégic y que su frmulación se efectuó a base de un análisis de elements tales cm: debilidades, prtunidades frtalezas y amenazas, líneas de negcis, mercad bjetiv, evlución de la cuta de mercade, pryeccines financieras, planes de expansión reducción, entre trs. 64

65 Verificar la existencia, actualización, difusión, eficacia y, cumplimient de las plíticas, prcedimients, estrategias, metdlgías frmalmente establecidas para identificar, evaluar, cntrlar y administrar ls riesgs y si estas sn cmpatibles cn el vlumen y cmplejidad de las transaccines. Aplicar las pruebas de auditría necesarias para verificar la raznabilidad de las estads financiers, la existencia de respalds de ls registrs cntables; y cumplimient de las nrmas de carácter general dispuestas pr la superintendencia de bancs y segurs cntenidas en el catalg únic de cuentas y en la cdificación de reslucines de la superintendencia de bancs y segurs y de la junta bancaria. Evaluar la crrecta selección y aplicación de ls principis cntables en la elabración de ls estads financiers Verificar la transparencia, cnsistencia, cnfiabilidad y suficiencia de las cifras cntenidas en ls estads financiers y de sus ntas. Identificar las peracines cn partes vinculadas y verificar su adecuada revelación en ls estads financiers para el cas de las cperativas de ahrr y crédit que realizan intermediación financiera cn el públic y de las asciacines mutualistas de ahrr y crédit para la vivienda. Suscribir cnjuntamente cn el representante legal y el cntadr general de la institución del sistema financier, ls estads financiers y demás reprtes que se remitirán a la superintendencia de bancs y segurs. Verificar la suficiencia de ls asients cntables incluids en ls estads financiers de la institución del sistema financier, mediante la evaluación de ls prcedimients aplicads pr la administración y ls auditres externs. Verificar que la institución del sistema financier acate las dispsicines de la superintendencia de bancs y segurs, así cm las recmendacines de ls auditres externs y del anterir auditr intern, si l hubiese. 65

66 Velar pr el cumplimient de las reslucines de la junta general de accinistas, asamblea de scis, del directr de ls órgans que hagan a sus veces, según crrespnda. Verificar que ls auments de capital de la institución se ajusten a l previst en el artícul 42 de la ley general institucines del sistema financier y a las nrmas pertinentes de la cdificación de reslucines de la superintendencia de bancs y segurs y de la junta bancaria. Elabrar el plan anual de auditría a ser ejecutad durante el ejercici ecnómic y remitid a la superintendencia de bancs y segurs, en el frmat establecid para ell. Ejecutar el plan de auditría, en base de ls requerimients de ls cntrles establecids. Dirigir y crdinar las accines de auditría en las diferentes áreas, de acuerd al plan aprbad. Asesrar a gerencia general y jefaturas departamentales y de agencias. Jefe de Infrmática y Tecnlgía Administrar ls recurss de infrmátics y tecnlógics de la cperativa. Realizar el Plan estratégic y perativ del área alineand al plan estratégic institucinal. Elabrar presupuest anual del departament. Elabrar actualizar el plan de cntingencia. Planificación, seguimient y mnitre de ls mantenimients de las redes WAN, LAN (Remtas ficinas/lcales) y del sistema COBIS, BDD (base de dats). Instalación y cnfiguración de sftware especializad Asesrar a gerencia general de las nuevas herramientas infrmáticas. Planificación, seguimient y mnitre de las actividades asignadas al área de TI y CC. 66

67 Realizar un infrme a gerencia general de la administración de ls recurss infrmátics y tecnlógics. Planificación, seguimient y mnitre de ls nuevs pryects infrmátics de sftware y hardware. Jefe de Riesgs Prpner al cmité de administración integral de riesgs de la entidad, las plíticas, de riesgs para la institución, de acuerd cn ls lineamients que fije el directr u rganism que haga sus veces. Elabrar y smeter a cnsideración y aprbación del cmité de administración integral de riesgs, la metdlgía para identificar, medir, cntrlar/mitigar y mnitrear ls diverss riesgs asumids pr la institución en sus peracines. Velar pr el cumplimient de ls límites de expltacines pr tip de riesgs respect de ls principales clientes, sectres ecnómics de actividad, área gegráfica, entre trs. Diseñar un sistema de infrmación basad en reprtes bjetivs y prtuns, que permita analizar las psicines para cada riesg y el cumplimient de ls límites fijads; e, infrmar periódicamente al cmité ls planes de cntingencia que cnsidere distintas situacines prbables, según crrespnda. Implantar de manera sistemática en tda rganización y en tds ls niveles de persnal las estrategias de cmunicación, a fin fe entender sus respnsabilidades cn respect a la administración integral de riesgs. Calcular las psicines de riesg y su afectación a patrimni técnic de la entidad Analizar la incursión de la institución del sistema financier en nuevs negcis, peracines y actividades acrde cn la estrategia del negci, cn sujeción a las dispsicines legales, nrmativa y estatutaria, en cumplimient del prces de administración integral de riesgs. 67

68 Analizar el entrn ecnómic y de la industria y sus efects en la psición de riesgs de la institución, así cm las pérdidas ptenciales que pdrá sufrir ante una situación adversa en ls mercads en ls que pera. Diseñar las plíticas y el prces de administración del riesg perativ Estructura Organizativa del Área de Sistemas JEFE DE INFORMÁTICA Y TECNOLÓGIA ADMINISTRADOR DE TI ANALISTA DE PRODUCCIÓN ADMINISTRADOR DEL CENTRO DE CÓMPUTO ANALISTA PROGRAMADOR OPERADOR PROGRAMADOR Gráfica 11: Estructura rganizacinal del área de sistemas En la Cperativa Alianza del Valle LTDA., al área tecnlógica se la cnce cm el Departament de Tecnlgía e infrmación, dnde detallarems ls cargs principales que cnstituyen este departament..administradr de TI: Administrar pryects de sftware que satisfagan las necesidades de mejramient y calidad de ls prcedimients y actividades institucinales, cn la implementación de sistemas autmatizads. 68

69 Analizar ls requerimients enviads pr el administradr de TI y apyar en la mejra de ests. Administradr del Centr de Cómput: Administrar ls recurss tecnlógics mnitreand el buen desempeñ de ls equips servidres, supervisar que las redes de telecmunicacines estén perativas en su ttalidad, cntrlar inventari del hardware y sftware licenciad. Operadr: Ejecutar prcess diaris, mantener la peratividad de ls equips tecnlógics y servicis relacinads al área. Analista Prgramadr: Analizar ls requerimients enviads pr el administradr de ti y apyar en la mejra de ests. Prgramadr: Desarrllar sftware que cumpla cn ls requerimients institucinales Características de ls Sistemas y Ambiente Cmputarizad COBIS Sistema Bancari COBIS es un Sistema Bancari, que se encarga de manejar ls siguientes móduls, que sn fundamentales para el funcinamient de la cperativa: MÓDULO DE CUENTAS DE AHORROS El módul está diseñad para brindar un cnjunt variad y cmplet de transaccines para la administración, manipulación y cnsultas sbre las cuentas de ahrrs que psee el banc. En l que tiene que ver cn el manej de las libretas, el módul presenta pcines para manipular las líneas pendientes, prduct de la ejecución de transaccines internas de transaccines en 69

70 las cuales el cliente n dispus de la libreta (transaccines financieras sin libreta). Dich manej se ve cmplementad pr las características que brinda la terminal financiera (ATX), para manejar diferentes tips de impresras validadras y, cn la peración de reimpresión, en cas de fall en la impresión riginal, prduct de la ejecución de una transacción cn libreta. ESTANDARES: Cuentas de Ahrr Persnalización Remesas MÓDULO DE CARTERA Cbis Cartera, presenta una slución a ls prblemas que se presentan al prcesar ls préstams, permitiend tener un cntrl ttal sbre cada una de las peracines, realizand cálculs diaris de ls valres que deben cbrarse pr cada un de ls cncepts que se definen en un préstam y teniéndls dispnibles el mment que se requiera. El módul tiene una gran facilidad en cuant a la simulación de tablas de amrtización, la misma que facilitará la negciación de un crédit, prprcinand un mejr servici al cliente y ptimizand recurss de la empresa. También se encuentra diseñad para que pueda realizar prcess de regeneración de tablas de amrtización pr reajustes de tasas, l cual casina prblemas y much esfuerz para pder cntrlar crrectamente si n existe un sistema autmátic. Permite aceptar cualquier tip de abn que desee hacer el cliente cn su crrespndiente aplicación y registr. 70

71 MÓDULO CONTABIIDAD Manej de Empresas El módul de Cntabilidad permite el manej multiempresa manej cntable de diferentes empresas, asciándlas pr tips de planes, pr grups ecnómics pr su capacidad de manej cntable, independiente pr empresa, freciend servicis cntables para empresas ajenas al grup ecnómic. Manej de la Estructura Organizacinal El sistema se adapta a la estructura de cada empresa, permitiend definir la estructura rganizacinal de la misma (ficinas y áreas). Se puede realizar cnsultas de tdas las sucursales existentes en la empresa, realizar una búsqueda de las mismas según su jerarquía nmbre. Las áreas también pueden ser definidas cm perativas canceladas. Perids Cntables Es psible definir ls perids cntables que el usuari requiera, cn fechas de inici y fin de ls misms. En cnsecuencia, es psible, pr ejempl, trabajar cn un nuev perid (añ 95) y seguir dispniend del anterir perid (añ 94) para realizar ajustes y crreccines. También es psible realizar cmparacines de resultads generads pr cada perid. Ls perids pueden ser anuales, semestrales, mensuales, etc. Al finalizar un perid cntable se transfieren ls salds de las cuentas de resultads a utilidad pérdida del 71

72 ejercici, lueg de l cual éstas sn inicializadas para el cmienz de un nuev perid. Plan de Cuentas Es psible definir un Plan de Cuentas para cada Empresa, sin límite en el númer de niveles ni en el númer de dígits pr nivel. Es psible definir qué cuentas sn perativas en qué nivel rganizacinal. El Plan de Cuentas se ascia a las diferentes ficinas y pr cada una de las ficinas a las diferentes áreas, según cm el usuari l defina. Esta asciación se realiza de una manera fácil y dinámica, l que permite tener un Plan de Cuentas cmplet pr cada Empresa y dentr de la misma pr cada nivel rganizacinal (región, sucursal agencia), sin un crecimient innecesari del plan de cuentas. Manej de Mnedas El sistema maneja múltiples tips mnedas, l que permite btener salds en función de ells. Un archiv históric de mnedas extranjeras, permite cncer las ctizacines tant de cmpra cm de venta, pudiéndse btener gráfics histórics. Us de Cmprbantes Cntables Ls cmprbantes tienen las siguientes características: Las cuentas cntables que intervienen en ls cmprbantes, deben ser digitadas cn su respectiv dígit de verificación para evitar cualquier ingres erróne. El módul cntrla autmáticamente el cuadre de débit cntra el crédit. 72

73 El módul genera el númer de cmprbante pr departament, e imprimir ls cmprbantes cntables generads. Es psible el manej de entradas interires, a través de las cuales se permite el cruce de valres mnetaris entre ficinas departaments. Recepción de cmprbantes cntables, desde el departament de cntabilidad, desde tdas las agencias y, de tds ls prducts bancaris de las agencias. Salds Cntables Es psible la cnsulta autmática de salds sumarizads de la Empresa; salds pr Oficinas, pr Sucursales, (Machachi, Guamaní, Amaguaña, Sanglquí, Inca, Cnct, Ecuatriana, Chillgall, Matriz). y, de tdas y cada una de las cuentas cntables: es decir hasta el nivel estructural más baj y prfund que se requiera. Ls salds pueden ser btenids pr ficina, perid requerid y crte, pudiéndse btener gráfics de la variación de salds de la cuenta. Reexpresión Mnetaria El sistema cnvierte tds ls salds en mneda extranjera, a la mneda base que se haya definid para la Empresa, para la presentación de Balances a la Superintendencia de Bancs. Interfaces Cntables 73

74 Manej de interfaces cntables cn Prducts Bancaris cm: Cuentas Crrientes, Cuentas de Ahrrs y Cámara y Remesas, etc., para la realización de transaccines, indicand ls sucursales rigen y destin de la transacción, así cm la empresa a la que pertenecen dichas sucursales. Cntrl Presupuestari Es psible el manej del Cntrl Presupuestari mensual, cn partidas presupuestarias armadas, definiéndse las cuentas de Presupuest (similares a las del Plan de Cuentas). Al final de cada perid es psible hacer una cmparación gráfica entre ambs sistemas de cuantas. MÓDULO DE CRÉDITO El módul de crédit, permite autmatizar el prces de cncesión de crédit, facilitand la apertura de una slicitud de crédit (peracines riginales, renvacines líneas de crédit), el cntrl y aprbación de las etapas de dicha slicitud, su rechaz y, el seguimient de ls préstams trgads y rechazads pr la Institución Financiera, brindand tda la infrmación necesaria para la tma de decisines prtunas cn el menr riesg para la Institución. MÓDULO DE FIRMAS Mediante el presente módul se pueden digitalizar firmas de clientes. También pueden digitalizarse sells de cmpañías. El númer de firmas y sells que pueden ser registrads pr cliente es virtualmente infinit. Para ell es necesari, además del presente módul, de un scanner cnvenientemente cnectad al equip Cliente (tarjeta de scanner). 74

75 El módul puede ser usad en diferentes niveles de peratividad, según se hayan definid ls Rles pr medi del módul Administración y Cntrl Distribuid; per básicamente admitiría ds rles: aquel que permite registrar nuevas firmas de clientes (y necesarias actualizacines), según se indica en el primer párraf y, tr para la Administración de dichas firmas. MÓDULO VALORES EN GARANTÍA El módul está diseñad para brindar un cnjunt variad y cmplet de transaccines, para la administración, manipulación y cnsultas sbre las garantías que psee la institución financiera. El módul de Valres en Garantías, registra la infrmación de las garantías que presenta un cliente al mment que éste slicita una peración de Crédit. Cmplementariamente, presenta pcines para realizar el mantenimient y cnsultas de las garantías, así cm el manej de las inspeccines realizadas a las garantías que las requieran. MÓDULO CLIENTES El módul de CLIENTES permite la simulación de cndicines perativas de una Institución, el análisis de nuevs prducts y servicis cnsiderand las características de ls clientes, permitiend su segmentación pr mercads y ubicación gegráfica. 75

76 El módul cnsta de 3 elements principales: El CIF (Central Infrmatin File) Que cntiene la infrmación general de ls clientes de la institución, sus relacines cn trs clientes y cn ls prducts bancaris y financiers que tienen cntratads. Infrmación para Mercade Manej de infrmación para sprte a las actividades del área de mercade de la Institución, cn psibilidades de análisis de factibilidad de nuevs prducts, distribución gegráfica de clientes y evaluación del cmprtamient de prducts. Infrmación de Salds de Clientes Obtención de infrmación sbre ls Salds, Salds Prmedis y Fluj de Mvimients pr Cuentas Crrientes y Cuentas de Ahrr de cada Cliente Grup Ecnómic en ls últims seis meses. MÓDULO DEPOSITOS A PLAZO FIJO El sistema de infrmación COBIS Depósit a Plaz Fij, brinda al banc, la facilidad de pder cntrlar la gestión riginada en el manej de ls diferentes tips de depósits que sn utilizads pr el mism. El cntrl sbre ls depósits se inicia cn el ingres de éste al sistema, permitiend registrar la infrmación necesaria para pder realizar ls prcess de cálculs de intereses, fecha de vencimient, fecha de próxim pag, etc. aprpiadamente. 76

77 El sistema se encuentra aljad en el servidr central de prducción de la Cperativa, en auditría infrmática este sistema debe ser analizad en su cmprtamient de mtr transaccinal basándse en alguns punts claves cm sn: Cnfiguración de permiss de acces de cmunicacines Cnfiguración del mtr transaccinal Cnexión a la base de dats Variables de entrn en el sistema Revisión de estadísticas de ejecución de transaccines del sistema Cmprtamient del sistema en el ambiente de prducción COBIS cntiene ds cmpnentes muy imprtantes para su funcinamient cm sn el MUX y COMSERVER ests sn utilizads cn la finalidad de eliminar psibles cuells de btella en el servidr central al respnder las transaccines slicitadas pr ls servidres de agencia, en un instante específic en cas de transaccines recursivas masivas Base de Dats La Cperativa tiene a COBIS cm su Cre Bancari siend su administradr de Base de Dats un Servidr Adaptive Server Enterprise de Sybase. La Cperativa cuenta cn un plan de cntingencia y cntinuidad del servidr de Base de Dats y tienen cnfigurad el Sistema de Cntingencia Standby mediante la Recpilación Sybase. Para el buen funcinamient de la base y evitar pérdidas de infrmación caídas en la cnexión el departament de Sistemas asigna 2 prcesadres y discs cn la suficiente capacidad para sprtar el númer de transaccines diarias. Ls usuaris se cnectan directamente a la base de dats. 77

78 A cntinuación se describe la arquitectura del Sistema de Base de Dats y Replicación Servidres La Cperativa cuenta cn servidres (Branch) de Prducción, un Servidr central y un de Transaccines. El servidr central es el que cntrla tda la infrmación imprtante de la Cperativa de Ahrr y Crédit Alianza del Valle, tant de la matriz cm sus agencias. Ls servidres Branch, se encuentran en cada una de las agencias, ests sn ls que se cnectan directamente al central, mism que se encuentra en la matriz, para el intercambi y actualización de infrmación. Cada servidr de agencia presenta l siguiente: Psee cnfigurad 4 APLSERVER(según la carga que sprtan) Esquema de seguridad Enclamient en las transaccines Servidr de prducción Nmbre del hst Alianza Dirección IP Servidr de Standby Nmbre del hst alianza1 Dirección IP Servidr de Replicación Nmbre del hst Alianza Dirección IP

79 Servidr de Base de Dats Nmbre del hst SERVIDOR ASE DE PRODUCCION Dirección IP Nmbre del hst SERVIDOR ASE DE STANDBY Dirección IP Nmbre del hst SERVIDOR ASE QUE ADMINISTRA LA RSSD Dirección IP Gráfica 12: especificación de servidres Servidr Central Sun Fire 250 (PRODUCCIÓN) Servidr Central SUN 250 ENTER PRISE (DESARROLLO) Servidr Cmpaq EVO para cntrl de BANRED Servidr HP de red LAN de Matriz Alianza de Valle Servidr HP Linux Firewall Servidr HP cajers autmátics Servidr HP Siti Web Micrsft Visual Surce Safe Es una herramienta que dentr de la Cperativa se utiliza para el cntrl de acces a ls prgramas fuentes y ejecutables; cabe destacar que, slamente el persnal del área de desarrll tiene acces de administradr, permitiéndles tener tds ls privilegis necesaris para pder realizar cambis sea en línea de códig cnfiguración del sistema ejecutable. Clar que para pder realizar cualquier cambi en el sftware, existe una plítica de administración, en la cual se debe especificar cn que intensión benefici se realiza el cambi. 79

80 RED Equips de Cmunicacines cablead.- Se cmpne de ds cncentradres de red que se pdrían denminar cm principales, su red es plana, utilizand equips de cmunicacines tales cm. El primer es un SWITCH 3COM de 24 y 12 Puerts a 100 MBPS que cntrla ls punts de red que desde el servidr están intercnectads en un rack en la sala de máquinas del área de sistemas; desde este siti se distribuye la red a tds ls, para su gestión. En cuant a la distribución de ls punts de red, ests han sid realizads mediante cablead tip par trenzad UTP categría 5e, mism que permite una transmisión entre 100 BT 100 MBPS y que se ha extendid baj canaleta de plástic. Gráfica 13: Esquema de la red LAN/ WAN 80