Академический Документы
Профессиональный Документы
Культура Документы
DEDICATORIA
II
AGRADECIMIENTO
Nuestro ms profundo y sincero agradecimiento a DIOS, porque l nos encamino
dndonos luz para llegar a la Universidad Estatal de Bolvar, y a todos quienes
conforman el Alma Mater, en especial a la facultad de Ciencias Administrativas,
gestin Empresarial e Informtica, que con su dedicacin y abnegacin supieron
encaminarnos por el sendero del conocimiento y por iluminar nuestras mentes,
darnos sabidura, discernimiento para poder realizar nuestras tareas.
Y en particular a nuestro Director de Tesis, Ing. Carlos Ribadeneira Zapata, quin
con su capacidad y sus conocimientos supo guiarnos en forma acertada para la feliz
culminacin del presente trabajo de investigacin.
Edwin
Milton
III
Atentamente.
IV
AUTORA NOTARIADA
Las ideas criterios y propuesta expuestos en la presente tesis cuyo tema es Control
Interno de la Cooperativa San Pedro Ltda. y otras cooperativas de Guaranda
sujetas al control de la Direccin Nacional de Cooperativas mediante el uso de
instructivos para Auditora Informtica perodo 2009- 2010, son de exclusiva
responsabilidad de los autores:
----------------------------------------Edwin Garca V
CI: 0200882967
---------------------------------------Milton Borja S.
CI: 0201008802
TABLA DE CONTENIDOS
Portada
Dedicatoria
Agradecimiento
Certificacin del Director de Tesis
Autora Notariada
Tabla de Contenidos
Lista de Cuadro y Grficos
Lista de Anexos
Resumen
Introduccin
I
II
III
IV
V
VI
X
XI
XIII
XIV
CAPITULO I
1.
2.
3.
4.
TEMA ........................................................................................... 1
ANTECEDENTES ....................................................................... 2
FORMULACIN DE PROBLEMA ............................................. 3
JUSTIFICACIN ......................................................................... 4
5.
5.1.
5.2.
OBJETIVOS ................................................................................ 5
General ......................................................................................... 5
Especficos ................................................................................... 5
6
6.1
6.1.1
6.1.2
6.1.3
6.1.4
6.1.3
6.1.4
6.2
6.2.1
6.2.1.1
6.2.1.2
6.2.1.3
6.2.1.4
6.2.1.4.1.
6.3
6.3.1
6.3.2
6.3.3
6.3.4
6.3.5
VI
6.3.5.1
6.3.5.2
6.3.5.3
6.3.5.3.1
6.3.5.3.2
6.3.5.3.3
6.3.5.3.4
6.3.5.3.5
6.3.5.3.6
6.3.5.3.7
6.3.5.3.8
6.3.5.3.9
6.3.5.3.10
6.3.5.3.11
6.3.5.3.12
6.3.5.3.13
6.3.5.3.14
6.3.5.3.15
6.3.5.3.16
6.3.5.3.17
6.3.5.3.18
6.3.5.3.19
6.3.5.3.20
6.3.5.3.21
6.3.5.3.22
6.3.5.3.23
6.3.5.3.24
6.3.5.3.25
6.4
6.4.1
6.4.2
6.4.3
6.4.3.1
6.4.3.2
6.4.3.3
6.4.3.4
6.4.3.5
6.4.4
6.4.5
6.4.5.1
6.4.6
6.4.7
6.4.7.1
6.4.7.2
6.4.8
6.4.8.1
6.4.8.2
6.4.9
6.4.9.1
7.
8.
8.1
HIPOTESIS ................................................................................ 47
VARIABLES ............................................................................. 47
OPERACIONALIZACIN DE VARIABLES ........................... 48
9.
9.1
9.2
9.2.1
9.2.2
9.2.3
9.3
9.4
9.5
UNIVERSO ............................................................................... 51
TECNICAS DE RECOLECCION DE DATOS .......................... 51
PLAN DE PROCESAMIENTO Y NLISIS .............................. 52
CAPITULO II
ANALISIS, DISCUSIN Y CONCLUSIONES
ENCUESTA A DIRECTIVOS DE LA COOPERATIVA
SAN PEDRO LTDA. .................................................................. 53
ENCUESTA AL PERSONAL DE LA COOPERATIVA
SAN PEDRO LTDA. ................................................................. 63
2.1
2.2
2.3
CONCLUSIONES ...................................................................... 73
RECOMENDACIONES ............................................................. 74
COMPROBACION DE LA HIPOTESIS ................................... 75
CAPITULO III
PROPUESTA
3.1
3.2
3.3
TTULO ...................................................................................... 76
PRESENTACIN ...................................................................... 76
OBJETIVOS .............................................................................. 76
3.5
3.5.1
3.5.2
FUNDAMENTACIN .............................................................. 76
Introduccin a las metodologas .................................................. 76
La Organizacin ......................................................................... 78
3.6
3.6.1
3.6.2
3.6.2.1
3.6.2
3.6.2.1
3.6.2.2
3.7
3.8
3.8.1
3.8.2
3.8.3
3.8.4
3.8.5
3.8.6
3.8.7
3.8.8
3.8.8.1
3.8.8.2
3.8.9
3.9
3.9.1
3.9.2
3.9.3
3.9.4
3.9.5
3.10
3.10.1
3.10.2
3.10.3
3.10.4
3.10.5
3.10.6
3.11
3.12
3.13
IX
7.
1.
2.
3.
4.
5.
Figura 3.1
Figura 3.2
Figura 3.3
Figura 3.4
Figura 3.5
.......................................................................................... 78
.......................................................................................... 80
.......................................................................................... 83
......................................................................................... 92
.......................................................................................... 99
8.
LISTA DE ANEXOS
XI
RESUMEN:
El presente trabajo titulado Control Interno de la Cooperativa San Pedro Ltda. y otras
cooperativas de Guaranda sujetas a la Direccin Nacional de Cooperativas mediante
el uso de instructivos para Auditora Informtica es una herramienta que nos permite
ejecutar procedimientos de control interno y auditora informtica, adems que las
actividades financieras.
En el primer captulo est formado por los antecedentes, formulacin, justificacin y
objetivos, para luego en los tems 6 al 8 entrar al marco terico, el mismo que
recoge algunos aspectos cientficos sobre el control interno que debe existir en toda
entidad financiera que est bajo el control de la Direccin Nacional de Cooperativas;
de igual manera recoge aspectos y principios de la auditora, que valindose de
principios aplicables de la auditora informtica, los tipos de auditora fsica, como
de la interna y externa con todas sus fases, adems se toca temas como la
deontologa de la Auditora Informtica que son las normas que el auditor debe
seguir en su campo profesional
Luego en el tem 9 se detalla la estrategia metodolgica que se aplic en toda la
investigacin, partiendo desde la investigacin descriptiva de la problemtica, los
mtodos de investigacin ms aplicables, las tcnicas de primera mano como la
encuesta tanto directivos como a tcnicos mediante la aplicacin de cuestionarios;
para obtener los resultados que nos sirvieron para elaborar cuadros, grficos y el
anlisis que nos permiti llevar a la propuesta.
En el Captulo dos se detallada la aplicacin de los instrumentos de la encuesta tanto
para los Directivos, como para el personal que labora en la cooperativa, aplicando la
estadstica descriptiva se elaboraron cuadros y grficos de cada pregunta para
establecer el anlisis y la interpretacin de los resultados. Continuando con el
proceso se obtuvieron las conclusiones y recomendaciones. Las mismas que nos
permiti establecer la propuesta o solucin al problema planteado en la
investigacin.
Por ltimo el Captulo tres, est estructurada por una propuesta que es la solucin al
problema y contiene el ttulo, presentacin, objetivos y la fundamentacin, que es la
metodologa de control interno, seguridad y auditora que debe tener toda institucin
financiera, como herramienta de control interno y externo sobre los bienes que
realiza.
XII
INTRODUCCIN
El trabajo de investigacin cuyo tema es Control Interno de la Cooperativa San
Pedro Ltda. de Guaranda y otras sujetas a la Direccin Nacional de Cooperativas
mediante el uso de instructivos para Auditora Informtica periodo 2009- 2010,
recoge un conjunto de argumentos cientficos que nos permiten realizar controles
tanto internos como externos
Tradicionalmente el control interno se adoptaba un enfoque bastante restringido
limitado a los controles contables internos. En tanto se relacionaba con la
informacin financiera, el control interno era un tema que interesaba principalmente
al personal financiero de la organizacin y, por supuesto, al auditor externo.
El control interno es un conjunto de actividades operativas claves destinadas a
prevenir los riesgos efectivos y potenciales a los que se enfrentan las
organizaciones. A fin de evitar la quiebra de numerosas cajas de ahorro y otras
organizaciones afines, la idea es de controlar para evitar que los problemas surgieran
y crecieran.
Durante el ltimo decenio la prensa ha informado sobre muchos escndalos relativos
a errores en el otorgamiento de crditos con la garanta de inmuebles inexistentes o
extremadamente sobrevalorados, la manipulacin de informacin financiera,
operaciones burstiles realizadas con informacin privilegiada, y muchos otros
conocidos fallos de los controles que han afectado a empresas de diferentes
sectores..
Adems de la mayor atencin que prestan las autoridades al problema, se
observan importantes cambios en las empresas. Dichos cambios someten a una
gran tensin a los controles internos existentes.
XIII
CAPITULO I
1.
TEMA:
2.
ANTECEDENTES:
4.
JUSTIFICACIN:
Para nosotros es de mucha importancia dar a conocer el presente trabajo cuyo tema
es: Control Interno de la Cooperativa San Pedro Ltda. y otras cooperativas de
Guaranda sujetas al Control de la Direccin Nacional de Cooperativas mediante el
uso de instructivos para Auditora Informtica perodo 2009- 2010. Si consideramos
que algunas Cooperativas como: La Cooperativa San Pedro Ltda., Intian Ltda., y
Salinas Ltda, entre las ms importantes del cantn Guaranda, (ver Anexo No. 3), no
estn bajo el control de la Superintendencia de Bancos y Cooperativas y que sin
embargo cuenta con los aspectos fundamentales para el examen la auditora, las
dems cooperativas no se las considera por ser relativamente pequeas.
Nuestro inters se basa en que como toda institucin financiera debe estar bajo el
control de las entidades de regulacin deben contar con controles informticos tanto
internos como externos a fin de garantizar los recursos econmicos que depositan los
usuarios en pos de salvaguardar los intereses colectivos.
Entre tantas necesidades es la de demostrar el uso de los sistemas informticos y la
tecnologa al servicio de las finanzas, que utilizando los controles de auditora
informtica se puede tener informacin inmediata, a fin de corregir ciertas
irregularidades y lo que es ms importante darle seguridad al dinero de los
depositantes.
La novedad cientfica de este trabajo es la utilizacin de la tecnologa en la
construccin de la auditora informtica tanto de control interno y externo en las
entidades financieras, ahorrando tiempo y recursos tanto econmicos como humanos,
as mismo tener informacin rpida y al momento requerido por cualquiera de los
directivos y miembros de las comisiones de la Cooperativa motivo de la
investigacin; as como tambin para otros cooperativas de nuestra provincia y del
pas.
Por ltimo la pertinencia que est dado por el perfil de profesionales que estamos
formados para contribuir a mejorar los servicio y dar credibilidad los usuarios y
beneficiarios de las entidades de crdito y finanzas.
5.
OBJETIVOS:
5.1
General:
Especficos
6.
MARCO TEORICO
6.1
TEORA REFERENCIAL.
6.1.4
Beneficios:
8278
Consumo, Vivienda y Microcrditos
200
2400
TIPO
Consumo y Microcrditos
Consumo y Microcrditos
Consumo y Microcrditos
Consumo y Microcrditos
Consumo y Microcrditos
Consumo y Microcrditos
Consumo,
Microcrditos
Vivienda
Servicio Odontolgico
Atencin Mdica
Fondo Mortuorio y Sala de Velaciones
Sorteos Semestrales y obsequios especiales
10
La misin del Control Interno Informtico es asegurarse de que las medidas que se
obtienen de los mecanismos implantados por cada responsable sean correctas y
vlidas.
Control Interno Informtico suele ser un rgano staff de la Direccin del
Departamento de Informtica y est dotado de las personas y medios materiales
proporcionados a los cometidos que se le encomienden.
Como principales objetivos podemos indicar los siguientes:
11
12
Aunque ambas
conviene matizar:
existen
diferencias que
CONTROL
INTERNO AUDITOR
INFORMATICO
INFORMTICO
SIMILITUDES Personal interno
Conocimientos especializados en Tecnologa de la Informacin
Verificacin del cumplimiento de controles internos, normativa y
procedimientos establecidos por la Direccin de Informtica y
La Direccin General para los sistemas de informacin
DIFERENCIAS Anlisis de los controles en el Anlisis de un momento
informtico determinado
da a da
Informa a la Direccin del Informa a la Direccin General
Departamento de Informtica de la Organizacin
Personal interno y/o externo
Solo personal interno
El alcance de sus funciones es Tiene cobertura sobre todo los
nicamente
sobre
el componentes de los sistemas de
Departamento de Informtica informacin de la Organizacin
Fuente Auditora Informtica, Mario G. Piattini Emilio del Peso, 2006
13
14
6.3.
LA INFORMTICA COMO
AUDITOR FINANCIERO
HERRAMIENTA
DEL
una opinin
2) condicin:
Profesional
3) justificacin:
4) objeto:
5) finalidad:
En todo caso es una funcin que se acomete a posteriori, en relacin con actividades
ya realizadas, sobre las que hay que emitir una opinin.
6
7
15
Contenido
Objeto
Financiera
Opinin
Cuentas anuales
Sistemas de aplicacin,
recursos informticos,
planes de contingencia.
Informtica
Opinin
Gestin
Opinin
Direccin
Cumplimiento
Opinin
Normas Establecidas
Finalidad
Presentan realidad
Operatividad eficiente y
segn normas establecidas
Eficacia, eficiencia,
economicidad
Las operaciones se
adecuan a estas normas
6.3. 4. Procedimientos
La opinin profesional, elemento esencial de la auditora, se fundamenta y justifica
por medio de unos procedimientos especficos tendentes a proporcionar una
seguridad razonable de lo que se afirma.
Como es natural, cada una de las clases o tipos de auditora posee sus propios
procedimientos para alcanzar el fin previsto aun cuando puedan en muchos casos
coincidir. El alcance de la auditora, concepto de vital importancia, nos viene dado por los
procedimientos. La amplitud y profundidad de los procedimientos que se apliquen nos
definen su alcance.
En las auditoras altamente reglamentadas como la financiera es preceptivo "aplicar
las Normas Tcnicas y decidir los procedimientos de auditora. Cualquier limitacin...
que impida la aplicacin de lo dispuesto en las Normas Tcnicas debe ser considerado en
el Informe de auditora como una reserva al alcance.
Se pretende garantizar que se toman en consideracin todos los aspectos, reas,
elementos, operaciones, circunstancias, etc. que sean significativas.
Para ello se establecen unas normas y procedimientos que en cuanto a la ejecucin de
la auditora se resumen en que:
El trabajo se planificar apropiadamente y se supervisar adecuadamente.
Como corolario se establece que la evidencia obtenida deber recogerse en los papeles
de trabajo del auditor como justificacin y soporte del trabajo efectuado y la opinin
expresada.
8
Idem. Pg. 34
16
Estas tres normas se deducen claramente de la situacin real actual de los riesgos que ha
de afrontar el auditor9.
6.3.5. Ventajas de la Informtica como herramienta de la Auditora Financiera
6.3.5.1. Grado de informatizacin
En la doble vertiente relativa a la introduccin e influencia de la TI en el objeto por
una parte y en los procedimientos por otra de la auditora financiera hemos de
referirnos en primer lugar al grado o intensidad de su utilizacin.
En cuanto al objeto puede considerarse desde el uso de un simple PC con un par de
aplicaciones bsicas como pueden ser la contabilidad y un procesador de textos, a un
sistema complejo, distribuido, utilizando base de datos en cliente servidor, integrado
y comunicado con otros sistemas con los que interacta directamente como en el EDI
(Electronic Data Interchange). Parece evidente que las Normas para la ejecucin de la
auditora adquieren una complejidad y amplitud diferentes. Mientras ms
desarrollado es el sistema, ms problemtico resulta su enfoque por parte del auditor. Si
bien los riesgos de un pequeo PC pueden ser sustantivos, la complejidad de los
mismos en un gran sistema es decisiva.
6.3.5.2. Mejora de las tcnicas habituales
No resulta difcil justificar que las posibilidades del auditor utilizando medios
electrnicos se ampla enormemente con respecto a trabajos manuales sobre listados en
papel. El incremento en velocidad, eficiencia y seguridad es evidente.
Para todo ello el auditor puede valerse sustancialmente de las diversas
herramientas informticas que tiene a su disposicin y que podramos catalogar de la
siguiente forma:
Tipo
General
Planificacin de la
Auditora
Tratamiento de textos
Flowcharting Utilidades
Acceso directo
Ejecucin de la
Auditora
Tratamiento de
Hojas de clculo
textos
ACL
Especfico
Simulacin
paralela
Revisin analtica
Especializados
Integradores
De forma somera podramos resear los objetivos que se cubren con la utilizacin de
las diversas herramientas enumeradas:
9
10
17
11
http://es.wikipedia.org/wiki/Deontolog%C3%ADa
18
Introduccin
En el denominado "nuevo orden mundial", caracterizado por unas directrices
econmicas, en permanente cambio, estrechamente vinculadas a los continuos avances
tecnolgicos, tratar temas relacionados con la deontologa, la tica o la moral,
implica necesariamente hacer un alto en el camino, dejar al lado las mltiples y a
menudo absurdas motivaciones econmico-profesionales y, sin las premuras
derivadas del ritmo de vida que aparentemente esta sociedad impone.
La primera observacin debera inducir a reflexionar sobre los aspectos ms ntimos
ligados a la vida interior de cada cual (creencias, sentimientos, finalidad ideolgica,
proyecto de vida, etc.), que globalmente considerados han de poner de manifiesto la
propia e intrnseca realidad individualizada, es decir, la genuina identidad personal.
Esta identidad, inherente a toda persona, debera estar sustentada en los principios
morales socialmente acusados y preservados a lo largo de los tiempos, principios que,
provenientes del espritu y susceptibles, en virtud del libre albedro, de servir o no de
gua a la conducta exteriormente manifestada de los individuos, permiten diferenciar
a stos del resto de seres vivos, que carecen de esa libertad de conciencia.
Estas normas sociales, reflejo de la idiosincrasia de las diferentes comunidades ponen
de manifiesto los usos y costumbres que regulan mediticamente las relaciones entre las
personas y grupos que las conforman, considerndose, sin precisar su
normalizacin positiva, implcitamente aceptadas por todos, y representativas de los
principios sociales bsicos reguladores de dichas relaciones (buena fe, cortesa,
respeto, solidaridad, etc.).
La complejidad de las relaciones colectivas, la proteccin de los ms dbiles contra
los abusos de los ms fuertes y la necesidad de establecer unas normas de
comportamiento precisas que, conocidas por todos, sirvan de cauce idneo para la
solucin efectiva de los posibles conflictos personales que puedan generarse en el
seno de la comunidad, ha fundamentado el establecimiento y legitimidad de dichos
principios legales, si bien se exige de estos que estn imbuidos por los principios
morales, colectivamente asumidos, y que respeten los derechos humanos
internacionalmente reconocidos como conformadores del derecho mundial.
Ante esta dicotoma de normas morales y materiales, los cdigos deontolgicos
representan un cierto punto de acercamiento y encuentro entre ambas.
El hecho de que los cdigos deontolgicos deban ser elaborados por los propios
profesionales en el marco de los colegios, asociaciones o agrupaciones que los
representen, y asumidos en forma generalizada como forma de autorregulacin tica
de su actividad, permite que stos incidan en algunos aspectos -inaplicables al resto de
ciudadanos, ya que fuera de su especfico campo de aplicacin seran ineficaces e
inoperantes-, sobre los que, en beneficio de la propia comunidad, establecen unas
determinadas pautas de conducta, a fin de evitar conculcar, por simple
desconocimiento o apata tico-intelectual, derechos de terceras personas.
19
A este respecto los auditores han de ser conscientes, dada su alta especializacin en un
campo habitualmente desconocido por amplios sectores sociales, de la que
moralmente deben asumir respecto a advertir a la sociedad sobre los riesgos y
dependencias que la informtica puede provocar y sobre las medidas que deben
adoptarse para prevenirlos, debiendo servir los cdigos deontolgicos de ejemplo
y cauce idneo para transmitir, al resto de la sociedad, sus singulares y especficas
percepciones, inquietudes y autolimitaciones.
Debe tenerse muy presente que si bien los sistemas informticos, sometidos a
auditoras, son un mero instrumento al servicio de la poltica empresarial, el estudio
de su estructura, y an ms el acceso a la informacin almacenada en su seno, permite a
los auditores obtener una visin y conocimiento tanto de la situacin global como de
determinadas facetas de la empresa o sus empleados
Los cdigos deontolgicos toman asimismo, de las normas materiales, las facetas
reguladores de determinados comportamientos interpersonales como salvaguardia de
derechos individuales y colectivos susceptibles de proteccin institucional, sirviendo de
cauce para coartar, en los mbitos profesionales correspondientes, aquellas
conductas contrarias a lo regulado en sus preceptos mediante la imposicin de
sanciones, contempladas stas desde una perspectiva disciplinaria meramente
profesional.
Ciertamente existe un numeroso conjunto de preceptos incluidos en normas
materiales provenientes del Derecho Constitucional, Civil, Laboral, Mercantil, etc.,
que regulan una gran variedad de actos relacionados con la actividad profesional, pero
ms all de dichos preceptos, y como fundamento de los mismos, debe existir una
"moral profesional" que sirva de gua para determinar cundo un determinado
comportamiento profesional es bueno o malo (moralmente admisible y beneficioso
o moralmente inadmisible y perjudicial).
Con esta perspectiva se hace preciso, en el momento actual, ir planteando, de forma
crtica, la necesidad de sensibilizar a los auditores informticos, integrados en un
sector profesional dotado de una cierta autonoma y con unas caractersticas muy
particulares, de la conveniencia de reflexionar sobre la dualidad de facetas
integradoras de su comportamiento profesional (comportamiento tcnico cualificado
y comportamiento tico) a fin de eliminar el error de creer que su actividad debe
valorarse nicamente en funcin de unos mnimos estndares tcnicos de calidad y
Habilidad obviando los condicionantes ticos que, en caso de conflicto con
condicionantes tcnicos o de cualquier otra ndole (cientficos, econmicos,
promocionales, empresariales, etc.), deben ser considerados como prevalentes.
Principales deontologas aplicables a los auditores Informticos
Los principios deontolgicos aplicables a los auditores deben necesariamente estar en
consonancia con los del resto de profesionales y especialmente con los de aquellos
cuya actividad presente mayores concomitancias con la de la auditora, razn por la cual,
en equivalencia con los principios deontolgicos adoptados por diferentes colegios y
asociaciones profesionales de nuestro entorno socio-cultural, y sin nimo de
20
12
21
Una vez estudiado el sistema informtico a auditar, el auditor deber establecer los
requisitos mnimos, aconsejables y ptimos para su adecuacin a la finalidad para la
que ha sido diseado, determinando en cada caso su adaptabilidad, fiabilidad,
limitaciones, posibles mejoras y costes de las mismas, con objeto de presentar al
auditado una serie de opciones de actuacin en funcin de dichos parmetros a fin de
que ste pueda valorar las relaciones coste-eficacia-calidad-adaptabilidad de las
diferentes opciones, facilitndole un abanico de posibilidades de establecer una poltica
a corto, medio y largo plazo acorde con sus recursos y necesidades reales.
El auditor deber lgicamente abstenerse de recomendar actuaciones innecesariamente
onerosas, dainas o que generen riesgos injustificados para el auditado, e igualmente de
proponer modificaciones carentes de base cientfica contrastada, insuficientemente
probada, o de imprevisible futuro.
Una de las cuestiones ms controvertidas, respecto de la aplicacin de este principio, es
la referente a facilitar el derecho de las organizaciones auditadas a la libre eleccin del
auditor, lo que implica el deber moral de evitar generar dependencias de los primeros
respecto de los segundos, aunque dicho condicionante perjudique determinadas
expectativas econmicas de estos ltimos.
Igualmente, si el auditado decidiera encomendar posteriores auditoras a otros
profesionales, stos deberan poder tener acceso a los informes de los trabajos
anteriormente realizados sobre el sistema del auditado siempre y cuando con ello no se
vulnerasen derechos de terceros protegidos con el secreto profesional que el auditor
debe en todo momento guardar.
6.3.5.3.2. Principio de calidad
El auditor deber prestar sus servicios a tenor de las posibilidades de la ciencia y
medios a su alcance con absoluta libertad respecto a la utilizacin de dichos medios y
en unas condiciones tcnicas adecuadas para el idneo cumplimiento de su labor13
En los casos en que la precariedad de medios puestos a su disposicin impida o
dificulten seriamente la realizacin de la auditora, deber negarse a realizarla hasta
que se le garantice un mnimo de condiciones tcnicas que no comprometan la
calidad de sus servicios o dictmenes.
Cuando durante la ejecucin de la auditora, el auditor considerase conveniente
recabar el informe de otros tcnicos ms cualificados sobre algn aspecto o
incidencia que superase su capacitacin profesional para analizarlo en idneas
condiciones, deber remitir el mismo a un especialista en la materia o recabar su
dictamen para reforzar la calidad y fiabilidad global de la auditora.
6.3.5.3.3 Principio de capacidad
El auditor debe estar plenamente capacitado para la realizacin de la auditora
encomendada, mxime teniendo en cuenta que, en la mayora de los casos, dada su
13
22
23
15
16
24
Idem. Pg 262
Idem. Pg 264
25
conflictivos, todo ello con la garanta del secreto profesional que debe regir en su
relacin.
El auditor deber, en consonancia con esta forma de actuar, adecuar su lenguaje al
nivel de comprensin del auditado, descendiendo y detallando cuanto haga falta en
su explicacin debiendo solicitar, cuando lo considere necesario, la presencia de
alguno de los colaboradores de confianza de su cliente que pudiera apreciar
determinados aspectos tcnicos cuando precise informarle sobre cuestiones de una
especial complejidad cientfica.
6.3.5.3.8. Principio de criterio propio
El auditor durante la ejecucin de la auditora deber actuar con criterio propio y no
permitir que ste est subordinado al de otros profesionales, aun de reconocido
prestigio, que no coincidan con el mismo.
En los casos en que aprecie divergencias de criterio con dichos profesionales sobre
aspectos puntuales de su trabajo, deber reflejar dichas divergencias dejando
plenamente de manifiesto su propio criterio e indicando, cuando aqul est
sustentado en metodologas o experiencias que difieran de las comentes
profesionales mayoritariamente asumidas, dicha circunstancia.
La defensa a ultranza del propio criterio no es bice para respetar las crticas
adversas de terceros, aunque el auditor debe evitar que, si una vez analizadas
contina discrepando de las mismas, stas puedan seguir influyendo en su trabajo, ya
que la libertad de criterio impone al auditor la obligacin tica de actuar en todo
momento en la forma que l considere personalmente ms beneficiosa para el
auditado, aun cuando terceras personas le inciten a desarrollar lneas diferentes de
actuacin.
Este principio exige asimismo del auditor una actitud cuasibeligerante en los casos
en que llegue al convencimiento de que la actividad que se le solicita, presuntamente
para evaluar y mejorar un sistema informtico, tiene otra finalidad ajena a la
auditora, en cuyo caso deber negarse a prestar su asistencia poniendo de manifiesto
el porqu de dicha negativa.
De igual forma cuando el auditor observe que, de forma reiterada, el auditado se
niega, sin justificacin alguna, a adoptar sus propuestas, deber plantearse la
continuidad de sus servicios en funcin de las razones y causas que considere puedan
justificar dicho proceder.
6.3.5.3.9. Principio de discrecin
El auditor deber en todo momento mantener una cierta discrecin en la divulgacin
de datos, aparentemente inocuos, que se le hayan puesto de manifiesto durante la
ejecucin de la auditora19
19
26
20
21
27
22
28
29
30
31
32
33
33
34
En los casos en que el auditor acte por cuenta ajena en el marco contractual
establecido con la empresa por medio de la cual presta sus servicios al auditado, la
transmisin de la informacin recogida durante la auditora a su empresa deber
circunscribirse nicamente a los datos administrativos reguladores de su actividad
(precio de la auditora, gastos generados, tiempo empleado, medios de la empresa
utilizados, etc.), excluyendo de dicha informacin los datos tcnicos observados en el
sistema informtico o los relacionados con cualesquiera otros aspectos, a no ser que el
auditado consienta fehacientemente en que dichos datos sean entregados a los
responsables de la empresa que, en este caso, quedarn a su vez obligados a
mantener el secreto profesional sobre los mismos.
6.3.5.3.24. Principio de servicio pblico
La aplicacin de este principio debe incitar al auditor a hacer lo que est en su mano
y sin perjuicio de los intereses de su cliente, para evitar daos sociales como los que
pueden producirse en los casos en que, durante la ejecucin de la auditora, descubra
elementos de software dainos (virus informticos) que puedan propagarse a otros
sistemas informticos diferentes del auditado. En estos supuestos el auditor deber
advertir, necesariamente en forma genrica, sobre la existencia de dichos virus a fin
de que se adopten las medidas sociales informativas pertinentes para su prevencin,
pero deber asimismo cuidar escrupulosamente no dar indicios que permitan
descubrir la procedencia de su informacin34
El auditor deber asimismo tener presente la ponderacin entre sus criterios ticos
personales y los criterios ticos subyacentes en la sociedad en la que presta sus
servicios, debiendo poner de manifiesto sus opciones personales cuando entren en
contradiccin con la tica social que el auditado pueda presumir que est
implcitamente aceptada por el auditor.
Este principio de adaptabilidad u oposicin constructiva tanto a los principios ticos
sociales, asumidos como vlidos por la comunidad, como a las costumbres dimanantes
de los mismos, facilita la necesaria y permanente crtica social sobre dichos principios
y costumbres, permitiendo su adaptacin a las nuevas necesidades y perspectivas abiertas
con el progreso tecnolgico regional o mundial.
La consideracin del ejercicio profesional de los auditores como servicio pblico
globalmente considerado, exige igualmente una continua elevacin del arte de la
ciencia en el campo de la auditora informtica, lo que nicamente puede lograrse con la
participacin activa de los profesionales de dicho sector en la definicin de las
caractersticas y exigencias de su actividad profesional y, por ende, en la elaboracin
de los cdigos deontolgicos reguladores del ejercicio responsable de dicha actividad.
6.3.5.3.25. Principio de veracidad
El Auditor en sus comunicaciones con el auditado deber tener siempre presente la
obligacin de asegurar la veracidad de sus manifestaciones con los lmites
impuestos por los deberes de respeto, correccin y secreto profesional35
34
35
35
36
37
6.4.
LA AUDITORA FSICA
Introduccin
Lo fsico en Informtica, hasta ahora, ha tenido una importancia relativa; no en vano
se ha visto siempre como algo que soporta lo que, en realidad, es la Informtica, y
que ocupa un lugar en la mesa.
La UCP (enorme), la pantalla, el teclado, la impresora, cables... y, adems, el ratn
con su alfombrilla que impiden extender libros y papeles sobre un espacio que,
incomprensiblemente, por grande que sea, no existe.
Pero lo fsico en Informtica no se reduce nicamente a lo expuesto, esto es: dar un
soporte tangible, un continente o vehculo a lo etreo del software, verdadera esencia
informtica. Todo cuanto rodea o se incluye en el computador, tambin este mismo,
son lo fsico como tal, as como otros conceptos o virtualidades que, de una u otra
forma, influyen o toman su razn de ser en el Entorno Fsico del computador como
generalidad o en el del CPD como Unidad Fsica Informtica.
Si se ha dicho que lo fsico es algo tangible que proporciona un continente, medio o
vehculo y que, adems, acoge al CPD dentro de su entorno, una vez conseguido y
establecido debera dejar de preocupar. El paso siguiente es asegurarse de que va a
seguir dando servicio siempre que se le necesite y de una manera segura ya que, como en
toda actividad, se mezcla lo fsico con lo funcional y con lo humano.
La Auditora es el medio que va a proporcionar la evidencia o no de la Seguridad
Fsica en el mbito en el que se va a desarrollar la labor profesional. Es por tanto,
necesario asumir que la Auditora Fsica no se debe limitar a comprobar la existencia
de los medios fsicos, sino tambin su funcionalidad, racionalidad y seguridad, palabra
esta ltima que puede resumir o incluir a las anteriores y llevar a un subttulo de este
captulo que prolongue el ya establecido de Auditora Fsica con el de Auditora de la
Seguridad Fsica37.
6.4.1. La seguridad fsica
No estn muy claras las fronteras que delimitan, si es que lo hacen, los dominios y
responsabilidades de los tres tipos de seguridad que a los usuarios de la Informtica
deben interesar: seguridad lgica, seguridad fsica y seguridad de las Comunicaciones.
Quiz fuera ms prctico aunarlas y obtener una seguridad integral, aunque hay que
reconocer las diferencias que, evidentemente, existen entre soft, har, hard-soft, har
que soporta al soft y soft que mueve al har.
La seguridad fsica garantiza la integridad de los activos humanos, lgicos y materiales
de un CPD. Si se entiende la contingencia o proximidad de un dao como la definicin
de Riesgo de Fallo, local o general, tres seran las medidas a preparar para ser
utilizadas en relacin con la cronologa del fallo:
37
38
Antes
Obtener y mantener un Nivel adecuado de Seguridad Fsica sobre los activos.
El Nivel adecuado de Seguridad Fsica, o grado de seguridad, es un conjunto de
acciones utilizadas para evitar el Fallo o, en su caso, aminorar las consecuencias que de
l se puedan derivar.
Es un concepto general aplicable a cualquier actividad, no slo informtica, en la que las
personas hagan uso particular o profesional de entornos fsicos.
Duplicacin de medios.
Ejecutar un Plan de Contingencia adecuado.
En general, desastre es cualquier evento que, cuando ocurre, tiene la capacidad de
interrumpir el normal proceso de una empresa.
La probabilidad de que ocurra un desastre es muy baja, aunque, si se diera, el impacto
podra ser tan grande que resultara fatal para la organizacin. Como, por otra parte, no
es corriente que un negocio responda por s mismo ante un acontecimiento como el
que se comenta, se deduce la necesidad de contar con los medios necesarios para
afrontarlo. Estos medios quedan definidos en el Plan de Recuperacin de Desastres
que, junto con el Centro Alternativo de Proceso de Datos, constituye el Plan de
Contingencia que coordina las necesidades del negocio y las operaciones de
recuperacin del mismo.
El Plan de Contingencia inexcusablemente debe:
Despus
Los Contratos de Seguros vienen a compensar, en mayor o menor medida, las prdidas,
gastos o responsabilidades que se pueden derivar para el CPD una vez detectado y
corregido el Fallo.
De entre la gama de seguros existentes, se pueden sealar:
Edificio.
Instalaciones.
Equipamiento y telecomunicaciones.
Datos.
Personas39
38
44
6.4.7.2. Herramientas:
Cuaderno de campo / grabadora de audio
Mquina fotogrfica / cmara de vdeo
Su uso debe ser discreto y siempre con el consentimiento del personal si ste va a
quedar identificado en cualquiera de las mquinas.
6.4.8. Responsabilidades de los auditores
El Auditor Informtico, en especial el Interno, no debe desarrollar su actividad como
una mera funcin policial dando la impresin a los usuarios informticos y al resto
de empleados de que se encuentran permanentemente vigilados. Esto crea un
ambiente tenso y desagradable que en nada favorece ni a las relaciones personales ni al
buen desarrollo del trabajo.
El auditor debe esforzarse ms en dar una imagen de colaborador que intenta ayudar
que en la de fiscalizador o caza-infractores. Para ello es necesario que en las Normas y
Procedimientos emitidos por la Direccin figuren las funciones y responsabilidades de
los auditores y que ambas sean distribuidas y conocidas por toda la plantilla de la
empresa.
Dentro del campo de responsabilidades de los auditores, las referentes a
Seguridad Fsica, quedan establecidas las siguientes para cada tipo de auditor:
6.4.8.1. Auditor informtico interno
45
41
Htp//www.googleauditora+ finaciera&sq
46
7.
HIPTESIS:
8.
VARIABLES:
Independiente:
Control Interno
Dependiente:
Auditoria informtica
47
8.1
OPERACIONALIZACIN DE VARIABLES
VARIABLES
DEFINICIN
La organizacin Encuesta
y el auditor
Encuesta
Funciones del Control interno
control interno informtico
Auditora
Financiera
Sistema
control
informtico
Campos anlogos
Encuesta
Controles
de preventivos
Controles
detectivos
Controles
correctivos
Dependiente
Auditora
Es la actividad Clases
que consiste en
la emisin de
una
opinin
profesional
sobre si el
objeto
sometido a un
anlisis
Deontologa
presenta
adecuadamente
Financiera
Encuesta
Informtica
Gestin
Cumplimiento
Auditores
Informticos
48
Informtica
Principios
la realidad que
se
pretende
reflejar
Encuesta
Seguridad fsica
Auditora
Fsica
Duplicacin
medios
de
Fuentes de
auditora
la
Tcnicas
herramientas
Fases
auditora
Encuesta
de
49
9. ESTRATEGIA METODOLGICA
9.1
TIPO DE INVESTIGACIN.
MTODOS DE INVESTIGACIN.
Este proceso implica: partir de una sntesis para llegar al anlisis de los fenmenos
concretos particulares mediante la operacionalizacin de los conceptos o reduccin
de stos a hechos observables directa o indirectamente.
Inductivo.- Se refiere al movimiento del pensamiento que va de los hechos
particulares hacia afirmaciones de carcter general.
Esto implica pasar de los resultados obtenidos de observaciones o experimentos, al
planteamiento de hiptesis, leyes y teoras que abarcan no solamente los casos de los
que se parti, sino a otros de la misma clase; es decir, generaliza los resultados (no
generalizacin mecnica) y al hacer esto, hay una superacin, un salto en el
conocimiento al no quedarnos con los hechos particulares sino que buscamos su
comprensin ms profunda en sntesis racionales (hiptesis, leyes y teoras).
9.2.3. Mtodo cientfico.- Utilizaremos porque abarca un conjunto de
procedimientos lgicamente sistematizados que el investigador utilizar para
descubrir y enriquecer la ciencia.
No obstante, el mtodo no es una receta cientfica. Su aplicacin no puede ser
formal ni mecnica; sta debe estar sometida constantemente a prueba segn cada
problema de investigacin.
9.3.
UNIVERSO
Para la presente investigacin contaremos con 20 personas, las mismas que estn
distribuidas de la siguiente manera:
No.
1
2
Personal
Gerente y Presidente
Comisiones
Tcnicos y operativos
Total
Nmero
11
9
20
9.4.
51
9.5.
52
CAPITULO II
ANALISIS E INTERPRETACIN DE LOS RESULTADOS
ENCUESTA A DIRECTIVOS DE LA COOPERATIVA SAN PEDRO
LIMITADA
1.
Frecuencia
Si
No
0
11
11
Total
Porcentaje
0,00%
100,00%
100,00%
Grafico 1
120%
100%
80%
60%
40%
20%
0%
100.00%
0.00%
Si
No
Anlisis:
La respuesta es contundente, la totalidad de los encuestados dicen que no cuentan
con el Plan Operativo Anual (POA) en el departamento de Informtica, lo que nos
hace pensar que hay una planificacin anual, aunque el mismo no se pone en
funcionamiento por los directivos y los jefes departamentales para que funcione, lo
que se trabaja sin rumbo fijo.
53
2.
Frecuencia
0
3
8
11
Porcentaje
0.00%
27.27%
72.73%
100.00%
Grfico 2
80%
72.73%
70%
60%
50%
40%
27.27%
30%
20%
10%
0%
0.00%
Permanente
Casual
Nunca
Anlisis:
La mayora de los directivos coinciden que nunca se realizan anlisis para verificar la
coherencia de los avances tecnolgicos para los equipos informticos con los que
cuentan, as como tambin cuando se necesita realizar una nueva implementacin o
actualizacin de los mismos.
54
Frecuencia
4
7
11
Si
No
Total
Porcentaje
36.36%
63.64%
100.00%
Grfico 3
70%
58.33%
60%
50%
41.67%
40%
30%
20%
10%
0%
Si
No
Anlisis:
Un poco ms de la mayora de los directivos opina que despus de un perodo
contable no realiza el anlisis del cumplimiento de objetivos, lo que conlleva a no
definir nuevas metas ni tampoco a mejorar los procedimientos que faltan por
cumplir, ya que aqu es en donde podemos determinar nuestras falencias.
55
Frecuencia
5
4
2
11
Porcentaje
45.45%
36.36%
18.18%
100.00%
Grfico 4
50%
45.45%
45%
40%
36.36%
35%
30%
25%
18.18%
20%
15%
10%
5%
0%
No
Parcialmente
Totalmente
Anlisis:
Se puede apreciar que la mayora de los directivos considera que los equipos con los
que dispone la institucin no cumplen o cumplen parcialmente, por lo que es
necesario realizar un anlisis del hardware para aprovechar esa capacidad de los
empleados, mejorando el desempeo y por lo tanto la productividad.
56
Frecuencia
2
4
5
11
Porcentaje
18.18%
36.36%
45.45%
100.00%
Grafico 5
45.45%
50%
36.36%
40%
30%
20%
18.18%
10%
0%
Siempre
Casualmente
Nunca
Anlisis:
La mayora de los directivos manifiestan que casi nunca se han adquirido los equipos
con el aval del departamento informtico, quien es el encargado de medir y valorar
las necesidades tecnolgicas que la institucin necesita; el resto manifiesta que
casualmente o siempre se ha realizado un informe tcnico sobre necesidades tcnicas
informticas.
57
Frecuencia
0
11
11
Si
No
Total
Porcentaje
0.00%
100.00%
100.00%
Grfico 6
120%
100.00%
100%
80%
60%
40%
20%
0%
0.00%
Si
No
Anlisis:
Se puede comprobar que nunca se han desarrollado planes para cambiar o
transformar otros tipos de estructuras de redes o tipos de comunicaciones para la red
informtica, quedando fijos a incrementar nuevos mdulos, dependiendo
directamente solo del sistema actual.
58
Frecuencia
7
4
0
11
Porcentaje
63.64%
36.36%
0.00%
100.00%
Grfico 7
70%
63.64%
60%
50%
36.36%
40%
30%
20%
10%
0.00%
0%
Nunca
Parcial
Total
Anlisis:
En la actualidad la seguridad informtica cumple un papel determinante en el
desarrollo de las entidades financieras, pero podemos observar que los directivos en
su mayora dicen que nunca se ha implementado sistemas contra intrusos. Existiendo
este eminente peligro, ms an cuando la cooperativa tiene una sucursal en
Echeanda y los datos se transmiten a travs de Internet.
59
Frecuencia
0
11
11
Si
No
Total
Porcentaje
0.00%
100.00%
100.00%
Grfico 8
120%
100.00%
100%
80%
60%
40%
20%
0%
0.00%
Si
No
Anlisis:
El sistema informtico CONEXUS, no tiene un registro que identifique desde que
terminal se ha hecho una entrada al sistema, lo que le hace vulnerable a cualquier
tipo errores voluntarios o involuntarios por parte de las personas que estn
manejando directamente el sistema y lo que complica el mantenimiento del sistema.
60
Cuadro 9
Variable
Conoce
Desconoce
Total
Frecuencia
9
2
11
Porcentaje
81.82%
18.18%
100.00%
Grfico 9
90%
81.82%
80%
70%
60%
50%
40%
30%
18.18%
20%
10%
0%
Conoce
Desconoce
Anlisis:
En las auditoras financieras que se han realizado si se considera que se debe
implementar controles a los procesos financieros e informticos, pero como las
cooperativas de este tipo, es decir las que estn controladas por la Direccin
Nacional de Cooperativas del Ecuador no es obligatorio se lo ha pasado por alto.
61
Frecuencia
11
0
11
Si
No
Total
Porcentaje
100.00%
0.00%
100.00%
Grfico 10
120%
100%
100.00%
80%
60%
40%
20%
0.00%
0%
Si
No
Anlisis:
En su totalidad se indica que si se guardan los informes de auditoras pasadas en el
Departamento de Contabilidad y Gerencia, lo cual es muy importante para que en el
momento que sea necesario poder acceder a esta informacin.
62
Frecuencia
1
8
9
Si
No
Total
Porcentaje
11.11%
88.89%
100.00%
Grafico 1
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
88.89%
11.11%
Si
No
Anlisis:
Casi la totalidad de los empleados responden que no se ha realizado jams una
auditoria informtica y est muy clara la necesidad que realizar este tipo de actividad
dentro de la institucin a todo el sistema informtico, lo que implica a todos los
departamentos.
63
Variable
Frecuencia
5
4
9
Si
No
Total
Porcentaje
55.56%
44.44%
100.00%
Grafico 2
60%
55.56%
50%
44.44%
40%
30%
20%
10%
0%
Si
No
Anlisis:
Algo ms de la mitad responde que si conoce la importancia de la auditora
informtica como herramienta de la auditora financiera, pero tambin hay que
destacar que el resto desconoce, lo cual es un indicador que si hace falta la
informacin y la capacitacin del personal en estos temas de mucha importancia en
la actualidad y ms an que casi todos los empleados de la institucin realizan su
trabajo con un computador u otro equipo informtico.
64
Variable
Mucho
Poco
Nada
Total
Frecuencia
1
3
5
9
Porcentaje
11.11%
33.33%
55.56%
100.00%
Grafico 3
55.56%
60%
50%
40%
33.33%
30%
20%
11.11%
10%
0%
Mucho
Poco
Nada
Anlisis:
Si sumamos las respuestas poco y nada observamos que son la mayora de los
empleados que no conocen sobre los procedimientos de control interno ya que no se
realiza por la falta de un departamento de Auditora Interna.
65
Frecuencia
9
0
9
Porcentaje
100.00%
0.00%
100.00%
Grafico 4
120%
100%
100.00%
80%
60%
40%
20%
0.00%
0%
Necesario
Innecesario
Anlisis:
La respuesta que es necesario en su totalidad nos demuestra el grado de preocupacin
de los empleados por este tema de seguridad, ya que sobre ellos recae las
responsabilidad de las acciones que se realizan ya sea en el sistema informtico como
con el manejo de documentos.
66
Frecuencia
0
1
8
9
Porcentaje
0.00%
11.11%
88.89%
100.00%
Grafico 5
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
88.89%
11.11%
0.00%
Asesora
Mantenimiento
Control
Anlisis:
Segn la perspectiva de los empleados, el Departamento de Informtica es de
control, ya que el ms de la mitad opina de esta manera, entonces debemos definir
planes y polticas con respecto a las funciones que debe cumplir este departamento
con el fin de mejorar el desempeo que mucha falta hace a este tipo de instituciones.
67
Frecuencia
Si
No
7
2
9
Total
Porcentaje
77.78%
22.22%
100.00%
Grafico 6
90%
80%
70%
77.78%
60%
50%
40%
30%
22.22%
20%
10%
0%
Si
No
Anlisis:
Las tres cuartas parte de los empleados consideran la importancia que tiene la
formacin continua y permanente del auditor informtico, ya que como en todas las
ciencias y ms an la informtica que est evolucionado en el da a da, mientras que
si relacionamos con otras ciencias del conocimiento su proceso de renovacin es ms
lento.
68
Frecuencia
0
9
9
Si
No
Total
Porcentaje
0.00%
100.00%
100.00%
Grfico 7
120%
100.00%
100%
80%
60%
40%
20%
0%
0.00%
Si
No
Anlisis:
La totalidad de los encuestados indican que ninguno de los departamentos cuenta con
un plan de contingencias, situacin que es preocupante, ya que se debe saber cmo
actuar en un momento de siniestro o desgracia, para conservar documentos y datos
del sistema a buen recaudo.
69
Frecuencia
6
3
9
Si
No
Total
Porcentaje
66.67%
33.33%
100.00%
Grfico 8
90%
80%
70%
77.78%
60%
50%
40%
30%
22.22%
20%
10%
0%
Si
No
Anlisis:
La mayora de encuestados responden que si cuentan con un sistema de seguridad,
pero hay que indicar que el sistema de seguridad es tan solo un antivirus y no un
verdadero sistema de backup de los datos del sistema.
70
Frecuencia
5
4
9
Porcentaje
55.56 %
44.44 %
100.00 %
Grfico 9
60%
50%
50.00%
50.00%
40%
30%
20%
10%
0%
Conozco
Desconozco
Anlisis:
Ms de la mitad de los empleados dicen conocer que se realizan procedimientos de
control informtico, mientras que el resto dicen que no, con lo que podemos concluir
que si se sabe a ciencia cierta si se realiza algn tipo de control, o si de pronto se
hace a todo el sistema de informtica de la cooperativa, para lo cual es necesario
tener un plan bien planificado con lo cual se lograra los objetivos esperados.
71
Frecuencia
0
9
9
Si
No
Total
Porcentaje
0.00%
100.00%
100.00%
Grafico 10
120%
100.00%
100%
80%
60%
40%
20%
0%
0.00%
Si
No
Anlisis:
En su totalidad los empleados desconocen si existe un manual de procedimientos
para el departamento de informtica.
72
2.1 CONCLUSIONES
La Cooperativa no cuenta con el Plan Operativo Anual (POA) para el departamento
de Informtica, por lo cual nos hace pensar que se realizan funciones sin un
direccionamiento institucional, es decir que funciona sin rumbo fijo, no existen
polticas a largo plazo.
No se consideran los avances tecnolgicos para los equipos informticos con los que
cuentan ni cuando se necesita realizar una nueva implementacin o actualizacin de
los mismos, solo se cuenta con el criterio de la persona que est a cargo del
Departamento de Informtica.
No se realiza el anlisis del cumplimiento de objetivos, lo que conlleva a no definir
nuevas metas ni tampoco a mejorar los procedimientos que faltan por cumplir, ya
que aqu es en donde podemos determinar nuestras falencias.
No cumplen lo que nos indica que es necesario realizar un anlisis del hardware para
aprovechar esa capacidad de los empleados, mejorando el desempeo y por lo tanto
la productividad.
No se han realizado anlisis sobre las necesidades de hardware de los diferentes
departamentos en funcin de sus tareas especficas.
Se observa que no hay la previsin ante un eminente peligro, ms an cuando la
cooperativa tiene un sucursal en Echeanda y los datos se transmiten a travs de
Internet.
No tiene un registro que identifique desde que Terminal se ha hecho una entrada al
sistema, lo que le hace vulnerable a cualquier tipo errores voluntarios o involuntarios
por parte de las personas que estn manejando directamente el sistema y lo que
complica el mantenimiento del sistema.
No hay controles a los procesos financieros e informticos, como las cooperativas de
este tipo, es decir las que estn controladas por la Direccin Nacional de
Cooperativas del Ecuador no es obligatorio se lo ha pasado por alto.
No se ha realizado jams una auditoria informtica tanto interna como externa, por lo
que est claro en la necesidad que realizar este tipo de actividad dentro de la
institucin a todo el sistema informtico, lo que implica a todos los departamentos de
la institucin.
Ninguno de los departamentos de la cooperativa cuenta con un plan de contingencias,
para actuar en un momento de siniestro o desgracia, a fin de conservar documentos y
datos del sistema operativo a buen recaudo.
73
2.2 RECOMENDACIONES
Al contar con el Plan Operativo Anual (POA) en el departamento de Informtica,
como una herramienta de planificacin institucional de la cooperativa, es necesario
que se aplique a fin de fijar un rumbo institucional; pues en l se aplicarn las
polticas y el manual de funciones existentes.
Que los equipos tecnolgicos tengan un criterio de la persona encargada del
Departamento de Informtica y fin de dar mejor servicio y mayor duracin.
Realizar un anlisis del hardware para aprovechar esa capacidad de los empleados,
mejorando el desempeo y por lo tanto la productividad.
Contar con el aval del departamento informtico, que es el encargado de medir y
valorar las necesidades tecnolgicas que necesita la cooperativa, as como tambin el
requerido tcnico indispensable para el buen funcionamiento.
Contar con un registro que identifique desde que Terminal se ha hecho una entrada al
sistema, para evitar errores y que estn directamente el sistema.
Desarrollar controles a los procesos financieros e informticos, como las
cooperativas de este tipo, y que estn controladas por la Direccin Nacional de
Cooperativas del Ecuador.
Realizar la auditoria informtica dentro de la institucin a todo el sistema
informtico, lo que implica a todos los departamentos.
Dar a conocer sobre los procedimientos de control interno que se realizan desde el
Departamento de Auditora Interna.
Contar con plan de contingencias, para actuar en un momento de siniestro o
desgracia, para conservar documentos y datos del sistema a buen recaudo.
74
2.3.
COMPROBACIN DE LA HIPOTESIS:
Enunciado:
La hiptesis se plantea de la siguiente manera:
Un estricto Control Interno de la Cooperativa San Pedro Ltda. y otras cooperativas
sujetas al control de la Direccin Nacional de Cooperativas permitir tener
instructivos para Auditora Informtica periodo 2009- 2010.
Va de Verificacin:
Por la naturaleza de la investigacin la hiptesis ha sido comprobada por simple
deduccin lgica, en base del anlisis de las preguntas formuladas tanto en las
encuestas a los directivos y miembros de la diferentes comisiones, es as como en las
encuesta aplicada a tcnicos o personal operativo; preguntas como: no contar con la
capacidad de equipos para satisfacer la demanda de los talentos humanos
disponibles, no conocer las tcnicas ms adecuadas que utiliza el auditor informtico
la para auditora fsica y no saber las metodologas que existen para el control interno
informtico y la auditora informtica. Nos confirman la hiptesis planteada que hace
falta Un estricto Control Interno de la Cooperativa San Pedro Ltda. sujeta a la
Direccin Nacional de Cooperativas permitir tener instructivos para Auditora
Informtica periodo 2009- 2010.
75
CAPITULO III
3.1.
TTULO
3.2.
PRESENTACIN.
3.5. FUNDAMENTACIN.
Metodologas de control interno, seguridad y auditora informtica
3.5.1. Introduccin a las metodologas
Segn el Diccionario de la Lengua de la Real Academia Espaola: "MTODO es el
modo de decir o hacer con orden una cosa". As mismo define el diccionario la palabra
METODOLOGA como: "Conjunto de mtodos que se siguen en una investigacin
cientfica o en una exposicin doctrinal". Esto significa que cualquier proceso
cientfico debe estar sujeto a una disciplina de proceso definida con anterioridad que
llamaremos
Metodologa
La Informtica ha sido tradicionalmente una materia compleja en todos sus aspectos,
por lo que se hace necesaria la utilizacin de metodologas en cada doctrina que la
76
componen, desde su diseo de ingeniera hasta el desarrollo del software, y cmo no,
la auditora de los sistemas de informacin.
Las metodologas usadas por un profesional dicen mucho de su forma de entender su
trabajo, y estn directamente relacionadas con su experiencia profesional
acumulada como parte del comportamiento humano de acierto /error.
Asimismo una metodologa es necesaria para que un equipo de profesionales alcance
un resultado homogneo tal como si lo hiciera uno solo, por lo que resulta habitual el
uso de metodologas en las empresas auditoras/consultoras profesionales, desarrolladas
por los ms expertos, para conseguir resultados homogneos en equipos de trabajo
heterogneos42.
La proliferacin de metodologas en el mundo de la auditora y el control
informticos se pueden observar en los primeros aos de la dcada de los ochenta,
paralelamente al nacimiento y comercializacin de determinadas herramientas
metodolgicas (como el software de anlisis de riesgos). Pero el uso de mtodos de
auditora es casi paralelo al nacimiento de la informtica, en la que existen muchas
disciplinas cuyo uso de metodologas constituye una prctica habitual. Una de ellas
es la seguridad de los sistemas de informacin.
Aunque de forma simplista se trata de identificar la seguridad informtica a la
seguridad lgica de los sistemas, nada est ms lejos de la realidad hoy en da,
extendindose sus races a todos los aspectos que suponen riesgos para la
informtica.
ste y no otro, debe ser el campo de actuacin de un auditor informtica de
finales del siglo XX, en uno de los grandes smbolos del desarrollo tecnolgico de
la poca de la humanidad que nos ha tocado vivir.
Si definimos la seguridad de los sistemas de informacin como la doctrina que
trata de los riesgos informticos o creados por la informtica, entonces la auditora
es una de las figuras involucradas en este proceso de proteccin y preservacin de la
informacin y de sus medios de proceso.
Por tanto, el nivel de seguridad informtica en una entidad es un objetivo a
evaluar y est directamente relacionado con la calidad y eficacia de un conjunto de
acciones y medidas destinadas a proteger y preservar la informacin de la entidad y
sus medios de proceso.
Resumiendo, la informtica crea unos riesgos informticos de los que hay que
proteger y preservar a la entidad con un entramado de contramedidas, y la calidad y
la eficacia de las mismas es el objetivo a evaluar para poder identificar as sus
puntos dbiles y mejorarlos. sta es una de las funciones de los auditores
informticos. Por tanto, debemos profundizar ms en ese entramado de
contramedidas para ver qu papel tienen las metodologas y los auditores en el
42
http//auditora interna&aq.com
77
mismo. Para explicar este aspecto diremos que cualquier contramedida nace de la
composicin de varios factores expresados en el "grfico valor" de la figura 3.143.
Todos los factores de la pirmide intervienen en la composicin de una
contramedida.
43
Auditora Informtica un enfoque prctico, Piattini, Mario, Del Peso Emilio, Pg 232-233
78
44
79
Riesgo: La probabilidad de que una amenaza llegue a acaecer por una vulnerabilidad.
Ejemplo: los datos estadsticos de cada evento de una base de datos de incidentes.
Exposicin o impacto: La evaluacin del efecto del riesgo.
Ejemplo:
es frecuente evaluar el impacto en trminos econmicos, aunque no siempre lo
es, como vidas humanas, imagen de la empresa, honor, defensa nacional, etc.
Las amenazas reales se presentan de forma compleja y son difciles de predecir.
Ejemplo: por varias causas se rompen las dos entradas de agua, inundan las lneas
telefnicas (pues existe un poro en el cable), hay un cortocircuito y se quema el
transformador de la central local. En estos casos la probabilidad resultante es muy
difcil de calcular45.
Las metodologas de anlisis de riesgos se utilizan desde los aos setenta, en la industria
del seguro basndose en grandes volmenes de datos estadsticos agrupados en tablas
actuaras. Se emplearon en la informtica en los ochenta, y adolecen del problema de
que los registros estadsticos de incidentes son escasos y, por tanto, el rigor cientfico
de los clculos probabilsticos es pobre. Aunque existen bases de incidentes en varios
pases, estos datos no son muy fiables por varios motivos: la tendencia a la ocultacin
de los afectados, la localizacin geogrfica, las distintas mentalidades, la informtica
cambiante, el hecho de que los riesgos se presentan en un perodo de tiempo solamente
(ventana de criticidad), etc.
Todos los riesgos que se presentan podemos:
Evitarlos (por ejemplo: no
constante de inundaciones).
construir un
centro
donde
hay
peligro
45
81
83
Identificacin de amenazas.
84
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
85
Fase III: pruebas y mantenimiento. En esta fase se definen las pruebas, sus
caractersticas y sus ciclos, y se realiza la primera prueba como comprobacin de
todo el trabajo realizado, as como mentalizar al personal implicado.
Asimismo se define la estrategia de mantenimiento, la organizacin destinada a ello y la
normativa y procedimientos necesarios para llevarlo a cabo.
Herramientas. En este caso, como en todas las metodologas la herramienta es una
ancdota, y lo importante es tener y usar la metodologa apropiada para
desarrollar ms tarde la herramienta que se necesite. El esquema de una herramienta
debe tener al menos los siguientes puntos:
-
En el mercado productos que cubren estas metodologas, en menor cantidad que los
de anlisis de riesgos y enfocados sobre todo a anlisis de riesgos con datos de poca
significacin cientfica. Hoy en da la mayora de los equipos profesionales
desarrollan su software al comienzo de los trabajos tras definir la metodologa.
Es importante para terminar este punto decir que una prctica habitual es realizar la fase
I y contratar un servicio de back-up sin desarrollar las fases II y III. Esto no slo
constituye un error conceptual, sino que en realidad slo se tiene un estudio y un
contrato de servicios pero no un plan de contingencias.
Ciclo de auditoras
Nivel Exposicin
10-9
Evaluacin
Frecuencia Visitas
"B"
1 8 meses
"R"
9 meses
"M"
6 meses
8-7
"B"
1 8 meses
"R"
1 2 meses
"M"
9 meses
6-5
"B"
24 meses
"R"
18 meses
"M"
12 meses
4- 1
"B"
36 meses
"R"
24 meses
"M"
18 meses
Figura 3.11. Nivel de exposicin para definir la frecuencia de la auditora
Nivel de exposicin. Como ejemplo podemos ver la figura 3.11. El nivel de exposicin
es en este caso un nmero del uno al diez definido subjetivamente y que me permite en
base a la evaluacin final de la ltima auditora realizada sobre ese tema definir la fecha
de la repeticin de la misma auditora. Este nmero no conviene confundirlo con
ninguno de los parmetros utilizados en el anlisis de riesgos que est enfocado a
probabilidad de ocurrencia. En este caso el valor del nivel de exposicin significa la
suma de factores como impacto, peso del rea, situacin de control en el rea. O sea se
puede incluso rebajar el nivel de un rea auditada porque est muy bien y no merece la
pena revisarla tan a menudo.
3.8.1. Lista de distribucin de informes.
Seguimiento de las acciones correctoras.
Plan quinquenal. Todas las reas a auditar deben corresponderse con
cuestionarios metodolgicos y deben repartiese en cuatro o cinco aos de trabajo.
Esta planificacin, adems de las repeticiones y aadido de las auditoras no
programadas que se estimen oportunas, deber componer anualmente el plan de
trabajo anual.
Plan de trabajo anual. Deben estimarse tiempos de manera racional y componer
un calendario que una vez terminado nos d un resultado de horas de trabajo previstas
y, por tanto, de los recursos que se necesitarn.
Debemos hacer notar que es interesante tener una herramienta programada con
metodologa abierta que permita confeccionar los cuestionarios de las distintas
auditoras y cubrir fcilmente los hitos y fases de los programas de trabajo una vez
definida la metodologa completa. Esto se puede hacer sin dificultad con cualquier
herramienta potente de las que existen en la actualidad.
Las metodologas de auditora informtica son del tipo cualitativo/subjetivo. Podemos
decir que son las subjetivas por excelencia. Por tanto, estn basadas en profesionales
89
Por tanto, podramos decir que existen claras diferencias entre las funciones de control
informtico y las de auditora informtica.
3.8.3. La Auditora Informtica
Tiene la funcin de vigilancia y evaluacin mediante dictmenes, y todas sus
metodologas van encaminadas a esta funcin.
Tiene sus propios objetivos distintos a los auditores de cuentas, aunque necesarios para
que stos puedan utilizar la informacin de sus sistemas para sus evaluaciones
financieras y operativas. Evalan eficiencia, costo y seguridad en su ms amplia visin,
esto es todos los riesgos informativos, ya sean los clsicos (confidencialidad,
integridad y disponibilidad), o los costos y los jurdicos, dado que ya no hay una
clara separacin en la mayora de los casos.
Operan segn el plan auditor.
Utilizan metodologas de evaluacin del tipo cualitativo con la caracterstica de las
pruebas de auditora.
90
94
3.8.8. Metodologa
Fase I.
Definicin de Controles.
cifradores) y software. Las herramientas de control son elementos software que por sus
caractersticas funcionales permiten vertebrar un control de una manera ms actual y
ms automatizada. Pero no olvidemos que la herramienta en s misma no es nada. Ya
hemos visto en el punto anterior que el control se define en todo un proceso
metodolgico, y en un punto del mismo se analiza si existe una herramienta que
automatice o mejore el control para ms tarde definir todo el control con la
herramienta incluida, y al final documentar los procedimientos de las distintas reas
involucradas para que stas; los cumplan y sean auditados. O sea, comprar una
herramienta sin ms y ver qu podemos hacer con ella es, un error profesional grave, que
no conduce a nada, comparable a trabajar sin mtodo e improvisando en cualquier
disciplina informtica.
Las herramientas de control (software) ms comunes son:
-
administrador de la seguridad lgica (en control dual al ser de alto riesgo), auditora, y
tantos como se designen.
Integridad de los log e imposibilidad de desactivarlos por ningn perfil para poder
revisarlos. Fcilmente legibles e interpretables por control informtico.
Gestin centralizada de la seguridad o al menos nica (por control informtico).
Contrasea nica (a ser posible) para los distintos Sistemas de la red. Y la
autentificacin de entrada una sola vez. Y una vez dentro, controlar los derechos de
uso.
La contrasea y archivos con perfiles y derechos inaccesibles a todos, incluso a los
administradores de seguridad.
El sistema debe rechazar a los usuarios que no usan la clave o los derechos de uso
correctamente, inhabilitando y avisando a control, que tomara las medidas oportunas.
Separacin de entornos. Significa que los distintos usuarios pueden hacer solamente
lo qu y cmo se ha autorizado que hagan para su funcin. Habr tantos entornos
como se precisen y el control tendr que estar en situacin normal como en
emergencia y no entorpecer la operatoria.
El log, o los log's, de actividad no podrn desactivarse a voluntad, y si se duda
de su integridad o carencia, resolver con un terminal externo controlado.
El sistema debe obligar al usuario a cambiar la contrasea, de forma que slo
la conozca l, que es la nica garanta de autenticidad de sus actos.
Es frecuente encontrar mecanismos de auto-logout, que expulsan del sistema a la
terminal que permanece inactiva ms de un tiempo determinado, que son ayudas
adicionales a la seguridad.
Muchos de estos objetivos se pueden sacar de los propios estndares (ISO, Libro
Naranja, ITSEC, etc.).
Este ejemplo nos puede servir para introducir otra metodologa del compendio PRIMA,
utilizada para la implantacin del control sobre los "Entornos distribuidos", verdadero
reto de nuestros das.
Todo estaba controlado en los grandes sistemas en su nivel C2/E2 (no es mucho, pero
suficiente para el nivel comercial, segn los fabricantes). Y llega la proliferacin de los
entornos distribuidos... "el caos". Est controlada la seguridad lgica en la actualidad?
Cada responsable de seguridad debe planterselo! Se cumple el marco jurdico sin
seguridad lgica?.
Se podra implantar el control de acceso lgico, sistema a sistema con el propio software
de seguridad de cada uno de ellos, con un enorme esfuerzo de recursos humanos y
complicados operativo. Podemos resolver mejor el problema adquiriendo e instalando un
97
98
Hay que recapitular todos los objetivos de control que se estn demandando al conjunto
de entornos, en lo referente a la administracin de la seguridad, y saber con precisin
cul de las soluciones a analizar cumple mejor los requerimientos.
Es importante pensar en la conexin automtica con la informacin del estado de los
recursos humanos que componen el conjunto de usuarios para formatear
99
100
En cualquier caso todo registro debe tener garantizada su integridad incluso para los
administradores, no pudiendo desactivarse a voluntad, dado que quien quiera hacer algo
"no permitido", lo primero que har es asegurarse de que no quede constancia del hecho.
Seguridades. En este punto se trata de ver aspectos de seguridad clsicos del propio
producto, como que el administrador no vea las password de los usuarios, una longitud
de password mnima, que el producto requiera un ID y password de longitud
mnima para el acceso al propio producto, el administrador pueda paralizar a un usuario
determinado, dual control en las funciones de riesgo (esto es, con un user ID es
necesario una first password y una second password como acceso dual de dos
administradores fsicos), cifrado de password, privacidad en la propagacin de
password en todo momento, acceso a los auditores para poder ver la ID datbase, un
registro de rechazos e intentos infructuosos, la posibilidad de recovery y backup
(incremental) de todo el sistema de seguridad, la posibilidad del mirroring de la
datbase de seguridad para los planes de contingencias de. conmutacin en tiempo cero al
centro alternativo, etc.
Tambin facilidades especiales tales como que se pueda restringir el acceso a un recurso
local a un usuario.
Hemos de hacer notar que las limitaciones que vayamos encontrando para todos los
productos, tendremos que resolverlas con exclusiones o procedimientos que constarn
en el catlogo de R.P.I.'s, verdadero artfice de la metodologa que nos obligar a
resolver las acciones antes de implantar el producto, y que ser un control del proyecto
durante su desarrollo.
3.8.9. Adquisicin, instalacin e implantacin, formacin, manuales de
procedimientos de control. Tras los pasos anteriores, no queda ms que comprar el
producto e instalarlo, as como implantar el nuevo esquema de seguridad lgica. Y tras
esto, dar la formacin apropiada a los implicados y desarrollar los procedimientos de
control, que generarn procedimientos operativos para los usuarios de aplicaciones, los
usuarios informativos, y los administradores de seguridad lgica.
Todo este complejo proceso es vital hacerlo de modo ordenado y usando un mtodo
que permita en todo momento saber qu se quiere y qu se puede conseguir con los
productos existentes de control de entornos, tratando de suplir con procedimientos de
control los huecos que no podamos cubrir con tecnologa. Aun as, el reto que tenemos
por delante es importante, porque las soluciones que ofrecen los fabricantes van muy
detrs frente a la proliferacin de entornos y aplicaciones nuevos, y slo una actitud
responsable de estandarizacin en sus soluciones propietarias de seguridad, har que los
fabricantes de soluciones para entornos distribuidos tengan productos de seguridad
cada vez mejores, y que en vez de "adaptar el nivel de seguridad lgica a los
productos, sean los productos los que resuelvan las situaciones nuevas de seguridad
lgica.
101
103
3.9.4. La documentacin
En el argot de auditora se conoce como papeles de trabajo la totalidad de los
documentos preparados o recibidos por el auditor, de manera que, en conjunto,
constituyen un compendio de la informacin utilizada y de las pruebas efectuadas en la
ejecucin de su trabajo, junto con las decisiones que ha debido tomar para llegar a
formarse su opinin.
El Informe de Auditora, si se precisa que sea profesional, tiene que estar basado en la
documentacin o papeles de trabajo, como utilidad inmediata, previa supervisin.
La documentacin, adems de fuente de know how del Auditor Informtico para
trabajos posteriores as corno para poder realizar su gestin interna de calidad, es
fuente en algunos casos en los que la corporacin profesional puede realizar un control de
calidad, o hacerlo algn organismo oficial. Los papeles de trabajo pueden llegar a tener
valor en los Tribunales de justicia.
Por otra parte, no debemos omitir la caracterstica registral del Informe, tanto en su
parte cronolgica como en la organizativa, con procedimientos de archivo,
bsqueda, custodia y conservacin de su documentacin, cumpliendo toda la
normativa vigente, legal y profesional, como mnimo exigible.
Los trabajos utilizados, en el curso de una labor, de otros auditores externos y/o
expertos independientes, as como de los auditores internos, se reseen o no en el
Informe de Auditora Informtica, formarn parte de la documentacin.
Adems, se incluirn:
3.9.5. El informe
Se ha realizado una visin rpida de los aspectos previos para tenerlos muy presentes
al redactar el Informe de Auditora Informtica, esto es, la comunicacin del Auditor
Informtico al cliente, formal y, quiz, solemne, tanto del alcance de la auditora;
(objetivos, perodo de cobertura, naturaleza y extensin del trabajo realizado) como
de los resultados y conclusiones.
105
106
Alcance de la Auditora
Concretar la naturaleza y extensin del trabajo realizado: rea organizativa, perodo de
auditora, sistemas de informacin... sealando limitaciones al alcance y restricciones
del auditado.
El secreto de la empresa.
El secreto profesional.
Los aspectos relevantes de la auditora.
109
Ante esta situacin estamos expresando cul es nuestra visin sobre lo que es y debe ser
la funcin de auditora informtica.
3.10.3. Funcin de Auditora Informtica
Definicin
Est claro a estas alturas que la auditora, revisin, diagnstico y control de los
sistemas de informacin y de los sistemas informativos que soportan stos deben ser
realizados por personas con experiencia en ambas disciplinas, informtica y auditora (en
principio llamemos a nuestro amigo el Auditor Informtico General: AIG). A esto yo le
aado que adems nuestro amigo debe completar su formacin con conocimientos
de gestin del cambio y de gestin empresarial.
111
Cmo definimos entonces a nuestro amigo AIG? Para tratar de definir su perfil, la
definicin ms exacta es quiz que es un profesional dedicado al anlisis de
sistemas de informacin e informticos que est especializado en alguna de las
mltiples ramas de la auditora informtica, que tiene conocimientos generales de los
mbitos en los que, sta se mueve, que tiene conocimientos empresariales generales, y
que adems:
Posee las caractersticas necesarias para actuar como consultor con su auditado, dndole
ideas de cmo enfocar la construccin de los elementos de control y de gestin que le
sean propios.
Y que puede actuar como consejero con la organizacin en la que est
desarrollando su labor. Un entorno informtico bien controlado, puede ser un entorno
ineficiente si no es consistente con los objetivos de la organizacin.
El eterno problema que se ha suscitado durante mucho tiempo es si el auditor
informtico, al no existir tal formacin acadmica en nuestro pas, tena que ser un
auditor convertido en informtica, o por el contrario un informtico reciclado como
auditor informtico. En mi larga experiencia, he visto de todo, personal de desarrollo o
de explotacin convertidos en auditores informticos en menos de un mes, auditores
financieros reciclados, primero como extractores de informacin, mediante la
formacin en el adecuado software de interrogacin de archivos, y posteriormente
convertidos en auditores de la funcin informtica.
En ambos casos, los xitos y los fracasos se acumulaban por igual. Qu hacer en estos
casos? Cul debe ser el perfil correcto de un auditor informtico? sta es mi visin y
opinin del perfil del futuro auditor informtico y consecuentemente de las funciones
que la funcin de auditora informtica debe tener.
3.10.4. Perfiles profesionales de la funcin de Auditora Informtica
A tenor de lo que hemos dicho hasta ahora, se ve claramente que el auditor informtico
debe ser una persona con un alto grado de calificacin tcnica y al mismo tiempo estar
integrado en las corrientes organizativas empresariales que imperan hoy en da. De esta
forma, dentro de la funcin de auditora informtica, se deben contemplar las
siguientes caractersticas para mantener un perfil profesional adecuado y actualizado:
1. La persona o personas que integren esta funcin deben contemplar en su formacin
bsica una mezcla de conocimientos de auditora financiera y de informtica general.
Estos ltimos deben contemplar conocimientos bsicos en cuanto a:
113
Puede la funcin de Auditora Informtica aportar slo lo que le piden o debe formar
parte de un ente organizativo total, lo que le exige una actitud de contribucin total al
entorno empresarial en el que est realizando su trabajo? En definitiva, qu aspectos
debe revisar el auditor informtico? Debe revisar la seguridad, el control interno, la
efectividad, la gestin del cambio y la integridad de la informacin.
Si analizamos la realidad ms actual, diremos que la funcin Auditora Informtica
debe mantener en la medida de lo posible los objetivos de revisin que le demande la
organizacin, pero como esto es muy general, vamos a precisar algo ms lo que sera un
entorno ideal que tiene que ser auditado.
Supongamos una organizacin que produce componentes tecnolgicos de audio y vdeo
tanto en formato primario como en producto semiterminado y terminado. Esta
organizacin mantiene sus programas y resultados de investigacin bajo control
informtico. Adems tiene las caractersticas propias de cualquier empresa productora y
comercial en cuanto a sistemas de informacin. Mantiene en Internet un sistema de
informacin de sus productos con la posibilidad de que usuarios de la Red puedan
hacer consultas sobre diferentes caractersticas de los productos. Gasta anualmente un
uno por ciento de su facturacin en sus sistemas de informacin y un diez por ciento en
investigacin.
Cules seran los objetivos de revisin de la Auditora Informtica en este ejemplo?
Desde luego parece que la Auditora Informtica debera enfocarse hacia aspectos de
seguridad, de comercio electrnico y de control interno en general, aadiendo en
funcin de lo expuesto en cuanto al gasto anual que debera realizarse una revisin de
la efectividad del departamento.
Esto nos indica que solamente con un ejemplo simple vemos que la Auditora
Informtica abarca campos de revisin ms all de los que tradicionalmente se han
mantenido; esto es, la revisin del control interno informtico de los servicios
centrales y de las aplicaciones.
El mundo complejo de las empresas en el que nos movemos, con industrias emergentes
y con una tendencia globalizadora en los negocios, hace muy necesario que los
sistemas de control interno sean lo ms efectivos posibles, pero tambin conceptos
ms amplios, como el riesgo de la informacin, la continuidad de las operaciones, la
gestin del centro de informacin o la efectividad y actualizacin de las inversiones
realizadas son necesarias para poder mantener el nivel competitivo que el mundo
empresarial demanda a sus sistemas de informacin.
Es as que entonces la funcin de Auditora Informtica debe realizar un amplio
abanico de actividades objetivas, algunas de las cuales enumero a continuacin:
Seguridad
Control interno operativo
Eficiencia y eficacia
Tecnologa informtica
Continuidad de operaciones
Gestin de riesgos
115
Objetivo
Metodologa
Fecha
Responsables Beneficiarios
Edwin y
Directivos,
9 de
Informar a los Taller
Miembros de
agosto del Milton
directivos y
la
2010
personal de
Comisiones,
apoyo sobre el
Personal
beneficio de la
tcnico y
Auditora
operativo
Informtica
como
herramienta de
control interno
y externo de la
cooperativa
117
3.13. IMPACTO:
Una vez aplicado el plan operativo en los diferentes departamentos de la institucin,
as como al personal que trabaja en la Cooperativa San Pedro Limitada, se espera
contar al futuro con la auditora informtica para la ejecucin del control interno y
externo de la institucin financiera y crediticia
118
BIBLIOGRAFIA:
Auditoria de los sistemas de informacin Rafael Bernal y scar Coltell Univ.
Politcnica de Valencia
Auditora Informtica, un enfoque prctico, Piattini, Mario, Del Peso Emilio, Edicin
Alfaomega, Grupo editor, Colombia 2006.
AUDITORIA INFORMATICA. Un enfoque prctico Mario Piatini Emilio del
Peso Ed. Rama
Fundamentos Informticos, Universidad de Cdiz, Servicio de Publicaciones, 1996
Informtica y Empresa, Llacer Rubio, Enrique; Editado por la Caja Rural Provincial
de Sevilla, 1983
Informtica, Instituto Hidrogrfico de la Marina, Servicio de Publicaciones de la
Armada, 1990
Introduccin a la informtica, Santodomingo, Adolfo; Editorial Ariel S.A., 1997
La Auditora Informtica: mtodos, Thorin, Marc; reglas, normas Ed. Masson, S.A.,
1989
NETGRAFICA:
Audinet : http://www.audinet.org, Sans Institute : http://www.sans.org
htp://212.9.83.4/auditora.nif.
htp//auditora interna&aq
htp//www.googleauditora+financiera&sq
http://es.wikipedia.org/wiki/Deontolog%C3%ADa
119
ANEXOS
Anexo 1
UNIVERSIDAD ESTATAL DE BOLVAR
Facultad de Ciencias de la Administracin, Gestin Empresarial e Informtica
Encuesta a Directivos de la Cooperativa de Ahorro y Crdito San Pedro Ltda.
Objetivo: A travs de esta encuesta esperamos recoger informacin muy valiosa
sobre los procedimientos de control interno que se realizan su institucin, para
detectar posibles insuficiencias y proponer las soluciones adecuadas.
Indicaciones: Sr. Directivo haga el favor de responder a las preguntas planteadas en
esta encuesta, marcando su respuesta con una equis (X), informacin que ser de
mucha importancia para realizar nuestro trabajo de investigacin.
Si
No
Los Directivos realizan algn tipo de estudio para analizar la
coherencia de su departamento de informacin sobre los avances
tecnolgicos?.
Permanente
Casual
Nunca
Se han realizado procedimiento de control de cumplimiento de
objetivos?
Si
No
La capacidad de equipos disponibles para satisface la demanda de
los talentos humanos disponibles?
No
Parcialmente
Totalmente
Casualmente
Nunca
No
120
Parcialmente
Totalmente
Si
No
En las auditoras altamente reglamentadas como la financiera se
han hecho observaciones sobre el Control Interno?
Conoce
Desconoce
Departamento independiente o subordinado al de Auditora
Financiera, guarda las auditoras pasadas?
Si
No
121
Anexo 2
UNIVERSIDAD ESTATAL DE BOLVAR
Facultad de Ciencias de la Administracin, Gestin Empresarial e Informtica
Encuesta a Personal Tcnico y Operativos de la Cooperativa de Ahorro y
Crdito San Pedro Limitada
Objetivo: A travs de esta encuesta esperamos recoger informacin muy valiosa
sobre los procedimientos de control interno que se realizan su institucin, para
detectar posibles insuficiencias y proponer las soluciones adecuadas.
Indicaciones: Sr. funcionario, haga el favor de responder a las preguntas planteadas
en esta encuesta, marcando su respuesta con una equis (X), informacin que ser de
mucha importancia para realizar nuestro trabajo de investigacin.
Si
No
Conoce las ventajas de la informtica como herramienta de la
auditora financiera?
Si
No
Conoce las metodologas que existen para el control interno y la
auditora informtica?
Mucho
Poco
Innecesario
Nada
Mantenimiento
Control
No
122
Si
No
Se utiliza mecanismos de seguridad para aplicar en su computador
personal para el mantenimiento de la informacin?
Si
No
Conoce si se realizan procedimientos de control informtico?
Conozco
Desconozco
Cuenta la cooperativa con un manual de procedimientos para el
departamento de informtica?
Si
No
123
Anexo 3
124
Anexo 4
125
126
127