-2El trabajo propuesto estructurado de la siguiente manera: El captulo I da a est

---

INTRODUCCIN
de

conocer los conceptos Auditora, Informtica, Control Interno y A finales del siglo .., los /istemas Informticos se +an constituido en las Metodologa Cobit lo ue permite un conocimiento cientfico para fundamentar adecuadamente la propuesta de in!estigaci"n# +erramientas ms poderosas para materiali%ar uno de los conceptos ms !itales y necesarios para cual uier organi%aci"n tanto p0blica como pri!ada# Consecuentemente con lo mencionado el ejercicio de nuestra profesi"n, no puede ser una e$cepci"n en cuanto a utili%ar la Auditora Informtica para e!aluar y controlar la eficiencia y la eficacia de los sistemas computari%ados y el adecuado uso de los recursos informticos en una instituci"n# El captulo II e$pone el de campo reali%ado en &ni!ersidad '(cnica de Cotopa$i, contiene el le!antamiento de informaci"n ue permite tener un conocimiento del de estudio, en este captulo se presenta informaci"n

tener

trabajo la 1a Auditora Informtica !ela por la correcta utili%aci"n de los amplios recursos ue la organi%aci"n pone en juego para disponer de un eficiente y efica% /istema de Informaci"n# Claro est, ue para la reali%aci"n de una Auditora informtica efecti!a, se debe entender a la entidad en su ms amplio sentido, ya ue una &ni!ersidad, un Ministerio o un 2ospital son instituciones ue deben funcionar y prestar ser!icios como una /ociedad An"nima o empresa 30blica# 'odas estas la espacio

referente a: Entorno de utili%an la informtica para gestionar sus 4acti!idades4 de forma rpida y &ni!ersidad, Estructura )rgani%acional eficiente, con el fin de ue las instituciones puedan obtener beneficios econ"micos *eneral, y reducci"n de costes, de igual manera las entidades brindar un ser!icio ue Conocimiento de la )rgani%aci"n y realmente este acorde a las e$igencias y necesidades de los pueblos# aplicaci"n de los instrumentos dirigidas todos los in!olucrados El resultado del presente trabajo es la aplicaci"n de una metodologa para reali%ar presente in!estigaci"n, informaci"n permiti" la una auditora informtica en los departamentos ue cuentan con e uipos comprobaci"n y !erificaci"n de la +ip"tesis# informticos de la &ni!ersidad '(cnica de Cotopa$i Edificio Matri% y Ceypsa mediante la utili%aci"n de la Metodologa Cobit#

a de la cuya

En el captulo III se presenta el Informe de Auditora Informtica, el mismo ue contiene los resultados ue son entregados a la &ni!ersidad como un aporte del grupo in!estigador# En cambio en el Captulo I, se indica las conclusiones y

recomendaciones finales del presente trabajo in!estigati!o y finalmente se incluye algunos Ane$os ue contiene informaci"n referente a normas, reglamentos, modelos de encuestas, papeles de trabajo, detalle de los procesos de la Metodologa Cobit y otros ue +an permitido fundamentar y desarrollar de mejor manera el trabajo reali%ado#

-5Este trabajo de in!estigaci"n representa la conclusi"n de los estudios reali%ados en el campo de la Auditora Informtica la misma ue constituye una +erramienta ue permite detectar las falencias en la administraci"n de recursos informticos#

1a &ni!ersidad debe asumir este tipo de procesos en beneficio de todos los entes ue conforman esta instituci"n y as, apro!ec+ar los recursos y a!ances tecnol"gicos con los ue cuenta# 3or (sta y muc+as ra%ones nuestra preocupaci"n como estudiantes de la &ni!ersidad '(cnica Cotopa$i ponemos a consideraci"n este trabajo de in!estigaci"n para ue en un futuro no muy lejano se ponga en prctica y se apro!ec+e el presente documento#

-6-

CAPITULO I

FUNDAMENTACIN TERICA

1.1 GENERALIDADES

1.1.1 INTRODUCCIN A LA AUDITORA

1a informaci"n ocupa cada !e% ms un lugar preponderante en la escala de !alores institucionales# /obre todo, a medida ue crece la organi%aci"n y se di!iden y especiali%an sus funciones# Entendemos por informaci"n el conjunto de datos ue sir!en para tomar una decisi"n#

En consecuencia, su necesidad es e!idente tanto en la planificaci"n estrat(gica a largo pla%o como en la fijaci"n de estndares para la planificaci"n a corto pla%o# 1a informaci"n tambi(n es necesaria para el estudio de las des!iaciones y de los efectos de las acciones correctoras7 es un componente !ital para el Control#

8inalmente, la incorporaci"n de la informtica en la organi%aci"n, al igual ue en los dems aspectos de la sociedad, !a a introducir un enfo ue nue!o del tratamiento de los datos ue cambiar en alto grado las funciones ue actualmente e$isten en las organi%aciones# Cabe aclarar ue la Informtica no gestiona propiamente la organi%aci"n, ayuda a la toma de decisiones, pero no decide por s misma#

-93or ende, debido a su importancia en el funcionamiento de una organi%aci"n, e$iste la Auditora Informtica#

1.1.2 FUNCIN DE AUDITORA

-# Estudiar y actuali%ar permanentemente las reas susceptibles de re!isi"n# 2# Apegarse a las tareas ue desempe:en las normas, polticas, procedimientos y t(cnicas de auditora establecidas por los organismos generalmente aceptados a ni!el nacional e internacional# 5# E!aluaci"n y !erificaci"n de las reas re ueridas por la alta direcci"n o responsables directos de la &ni!ersidad# 6# Elaboraci"n del informe de auditora ;debilidades y recomendaciones<# 9# )tras recomendaciones para el desempe:o eficiente de la auditora#

1.1.3 AUDITORA INTERNA

En la pgina =eb: http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml nos dice ue: Constituye una funci"n de e!aluaci"n independiente# /in embargo, e$iste en el seno de una entidad y bajo la autori%aci"n de la direcci"n con el nimo de e$aminar y e!aluar las acti!idades de la entidad# 1a funci"n principal del auditor interno es ayudar a la direcci"n en la reali%aci"n de sus funciones, asegurando:

->4 1a sal!aguardia del inmo!ili%ado material e inmaterial de la entidad# 4 1a e$actitud y fiabilidad de los registros contables# 4 El fomento de la eficiencia operati!a# 4 1a ad+esi"n a las polticas de la entidad y el cumplimiento de sus obligaciones legales#

OBJETIVOS AUDITORA INTERNA

4 ?e!isi"n y e!aluaci"n de controles contables, financieros y operati!os# 4 @eterminaci"n de la utilidad de polticas, planes y procedimientos, as como su ni!el de cumplimiento# 4 Custodia y contabili%aci"n de acti!os# 4 E$amen de la fiabilidad de los datos# 4 @i!ulgaci"n de polticas y procedimientos establecidos# 4 Informaci"n e$acta a la gerencia#

1.1.4 AUDITORA EXTERNA

En la pgina =eb: http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml manifiesta ue: Constituye una funci"n de e!aluaci"n independiente y e$terna a la entidad ue se e$amina# En la mayora de las empresas, se contrata anualmente la reali%aci"n de una Auditora E$terna para in!estigar el costo de un sistema para lo cual se debe considerar con una e$actitud ra%onable, el costo de los programas, el uso de los

-Ae uipos ;compilaciones, programas, pruebas, paralelos<, tiempo, personal y operaci"n, cosa ue en la prctica son costos directos, indirectos y de operaci"n de los estados financieros por parte de un contador p0blico independiente, bien !oluntariamente o bien por obligaci"n legal#

OBJETIVOS AUDITORA EXTERNA

4 )btenci"n de elementos de juicio fundamentados en la naturale%a de los +ec+os e$aminados# 4 Medici"n de la magnitud de un error ya conocido, detecci"n de errores supuestos o confirmaci"n de la ausencia de errores# 4 3ropuesta de sugerencias, en tono constructi!o, para ayudar a la gerencia# 4 @etecci"n de los +ec+os importantes ocurridos tras el cierre del ejercicio# 4 Control de las acti!idades de in!estigaci"n y desarrollo#

1.1.5 NECESIDAD DE LA AUDITORA INFORMTICA

En la direcci"n electr"nica: http://www.rociolopez.8m.com/ nos dice ue: 1as organi%aciones acuden a las auditoras e$ternas cuando e$isten sntomas bien perceptibles de debilidad# Estos sntomas pueden agruparse en clases: /ntomas de descoordinaci"n y desorgani%aci"n:

4 Bo coinciden los objeti!os de la Informtica de la organi%aci"n y de la propia organi%aci"n#

-C4 1os estndares de producti!idad se des!an sensiblemente de los promedios conseguidos +abitualmente#

/ntomas de mala imagen e insatisfacci"n de los usuarios:

4 Bo se atienden las peticiones de cambios de los usuarios# Ejemplos: cambios de /oft=are en los terminales de usuario, !ariaci"n de los fic+eros ue deben ponerse diariamente a su disposici"n, etc# 4 Bo se reparan las a!eras de 2ard=are ni se resuel!en incidencias en pla%os ra%onables# El usuario percibe permanentemente# 4 Bo se cumplen en todos los casos los pla%os de entrega de resultados peri"dicos# 3e ue:as des!iaciones pueden causar importantes desajustes en la acti!idad del usuario, en especial en los resultados de aplicaciones crticas y sensibles# ue est abandonado y desatendido

/ntomas de debilidades econ"mico-financiero :

4 Incremento desmesurado de costes# 4 Becesidad de justificaci"n de In!ersiones Informticas ;la entidad no est absolutamente con!encida de tal necesidad y decide contrastar opiniones<# 4 @es!iaciones 3resupuestarias significati!as# 4 Costes y pla%os de nue!os proyectos ;deben auditarse simultneamente a @esarrollo de 3royectos y al "rgano ue reali%" la petici"n<#

-D: E!aluaci"n /ntomas de Inseguridadde ni!el de riesgos

4 /eguridad 1"gica 4 /eguridad 8sica 4 Confidencialidad 4 Continuidad del /er!icio# Es un concepto a0n ms importante ue la seguridad# Establece las estrategias de continuidad entre fallos mediante

3lanes de Contingencia : 'otales y 1ocales#

4 Centro de 3roceso de @atos fuera de control# /i tal situaci"n llegara a percibirse, sera prcticamente in0til la auditora# Esa es la ra%"n por la cual, en este caso, el sntoma debe ser sustituido por el mnimo indicio#

1.1.6 DEFINICIN DE AUDITORA INFORMTICA

En la direcci"n electr"nica https://siaa.ucbcba.edu.bo/siaa/reptesispublico.asp al respecto nos indica ue: Es el conjunto de t(cnicas, acti!idades y

procedimientos, destinados a anali%ar, e!aluar, !erificar y recomendar en asuntos relati!os a la planificaci"n, control eficacia, seguridad y adecuaci"n del ser!icio informtico en la empresa, por lo ue comprende un e$amen met"dico, puntual y discontinuo del ser!icio informtico, con !istas a mejorar en:

- -E 4 ?entabilidad 4 /eguridad 4 Eficacia

1a Auditora Informtica !erifica la utili%aci"n eficiente de los recursos informticos disponibles o por disponer, en funci"n de las estrategias de la organi%aci"n y de los objeti!os pre!istos#

1.1.

AUDITORA INFORMTICA INTERNA

1a Auditora Informtica Interna cuenta con algunas !entajas adicionales muy importantes, puede actuar peri"dicamente reali%ando re!isiones globales, como parte de su 3lan Anual y de su acti!idad normal# 1os auditados conocen estos planes y se +abit0an a las auditoras, especialmente cuando las consecuencias de las recomendaciones +abidas benefician su trabajo#

1.1.! OBJETIVOS DE LA AUDITORA INFORMTICA

/eg0n la direcci"n electr"nica: http://www.cstconsultores.com/Publicaciones/Auditorainf.htm )bjeti!o fundamental de la auditoria informtica" Operatividad 1a operati!idad de los /istemas +a de constituir entonces la principal preocupaci"n del auditor informtico# 3ara conseguirla +ay ue acudir a la

- -- reali%aci"n de Controles '(cnicos *enerales de )perati!idad y Controles '(cnicos Especficos de )perati!idad, pre!ios a cual uier acti!idad de a uel#

4 1os Controles '(cnicos *enerales son los ue se reali%an para !erificar la compatibilidad de funcionamiento simultneo del /istema )perati!o y el /oft=are de base con todos los subsistemas e$istentes, as como la compatibilidad del 2ard=are y del /oft=are instalados#

4 1os Controles '(cnicos Especficos, son igualmente necesarios para lograr la )perati!idad de los /istemas# &n ejemplo de lo ue se puede encontrar mal son parmetros de asignaci"n automtica de espacio en disco ue dificulten o impidan su utili%aci"n posterior por una secci"n distinta de la ue lo gener"#

1.2 CONTROL INTERNO # AUDITORA INFORMTICA

1.2.1 INTRODUCCIN AL CONTROL INTERNO INFORMTICO

Fsicamente todos los cambios ue se reali%an en una organi%aci"n someten a una gran tensi"n a los controles internos e$istentes# Cuando un auditor profesional se somete a auditar una organi%aci"n, lo primero ue se le !iene a la cabe%a es mejorar todos los procesos ue se lle!an en la misma para buscar la eficiencia total#

- -2 1.2.2 CONTROL INTERNO INFORMTICO

En la pgina =eb: http://aabbccddee.galeon.com/ etodo.htm manifiesta ue: Cumplen funciones de control dual en los diferentes departamentos, ue puede ser normati!a, marco jurdico#

1a funciones del control interno es la siguientes determinar los propietarios y los perfiles seg0n la clase de informaci"n, permitir a dos personas inter!enir como medida de control, reali%ar planes de contingencias, dictar normas de seguridad informtica, controla la calidad de soft=are, los costos, los responsables de cada departamento, control de licencias, manejo de cla!es de cifrado, !igilan el cumplimiento de normas y de controles, es clara ue esta medida permite la seguridad informtica#

1.2.3 DEFINICIN # TIPOS DE CONTROLES

@e acuerdo al sitio =eb: http://alarcos.inf!cr.uclm.es/doc/Auditoria/auditoria.htm define al control interno como: Cual uier acti!idad o acci"n reali%ada manual yGo automticamente para pre!enir, corregir errores o irregularidades ue puedan afectar al funcionamiento de un sistema para lograr o conseguir sus objeti!os# 1os controles internos se clasifican en los siguientes:

4 C$%&'$()* +'),)%&-,$*" 3ara tratar de e!itar el +ec+o, como un soft=are de seguridad ue impida los accesos no autori%ados al sistema#

- -5 4 C$%&'$()* .)&)/&-,$*" Cuando fallan los pre!enti!os para tratar de conocer cuanto antes el e!ento# 4 C$%&'$()* /$'')/&-,$*" 8acilitan la suelta a la normalidad cuando se +an producido incidencias#

1.2.4 FUNCIN DE CONTROL INTERNO # AUDITORA INFORMTICA

C$%&'$( -%&)'%$ -%0$'12&-/$3 Cumplen funciones de control dual en los diferentes departamentos, ue puede ser normati!a, marco jurdico# E% (4 45.-&$'64 I%0$'12&-/43 esta tiene funci"n de !igilancia y e!aluaci"n mediante dictmenes, los auditores tienen diferentes objeti!os, ue los de cuentas, ellos e!al0an eficiencia, costos y la seguridad con mayor !isi"n, y reali%an e!aluaciones de tipo cualitati!o#

1.2.5 FUNCIN DE CONTROL INTERNO INFORMTICO

/eg0n la direcci"n electr"nica: http://www.ucpr.edu.co/auditores/estandares"#$inde%.htm e$presa ue: 1a funci"n del control interno informtico es asegurarse de ue las medidas ue se obtienen de los mecanismos implantados por cada responsable sean correctas y !lidas#

Como principales objeti!os podemos indicar los siguientes:

- -6 4 Controlar ue todas las acti!idades se realicen cumpliendo los

procedimientos y normas fijados, e!aluar su bondad y asegurarse del cumplimiento de las normas legales# 4 Asesorar sobre el conocimiento de las normas# 4 Colaborar y apoyar el trabajo de auditora informtica, as como de las auditoras e$ternas al grupo# 4 @efinir, implantar y ejecutar mecanismos y controles para comprobar el logro del ser!icio informtico#

1.2.6 FUNCIN DE AUDITORA INFORMTICA

/eg0n: &'()*)+',- &ern.ndez 'nri/ue- 0122345 Auditora en 6nform.tica7%ico. Considera como:

F5%/-$%)* M6%-14*"

4 E!aluaci"n y !erificaci"n de los controles y procedimientos relacionados con la funci"n de informtica dentro de la Entidad# 4 1a !alidaci"n de los controles y procedimientos utili%ados para el aseguramiento permanente del uso eficiente de los sistemas de informaci"n computari%ados y de los recursos de informtica dentro de la Entidad# 4 E!aluaci"n, !erificaci"n e implantaci"n oportuna de los controles y procedimientos ue se re uieren para el aseguramiento del buen uso y apro!ec+amiento de la funci"n de informtica#

- -9 4 Aseguramiento permanente de la e$istencia y cumplimiento de los controles y procedimientos ue regulan las acti!idades y utili%aci"n de los recursos de informtica de acuerdo con las polticas de la entidad# 4 @esarrollar la auditora en informtica conforme normas y polticas estandari%adas a ni!el nacional e internacional# 4 E!aluar las reas de riesgo de la funci"n de informtica y justificar su e!aluaci"n con la alta direcci"n de la entidad# 4 Elaborar un plan de auditora en informtica en los pla%os determinados por el responsable de la funci"n# 4 )btener la aprobaci"n formal de los proyectos del plan y difundirlos entre los in!olucrados para su compromiso# 4 Administrar o ejecutar de manera eficiente los proyectos contemplados en el plan de la auditora en informtica# ;pg#5><

1.2.

CLASES DE AUDITORA INFORMTICA

1a Auditora puede clasificarse desde di!ersos puntos de !ista# 3asamos a desarrollar estos aspectos:

En la pgina =eb: http://www.auditoriadesistemas.com/modules/news/ se encuentra la siguiente clasificaci"n

4 Auditora de la direcci"n# 4 Auditora del desarrollo o aplicaciones#

- -> 4 Auditora de la e$plotaci"n# 4 Auditora informtica de sistemas# 4 Auditora de la seguridad informtica# 4 Auditora informtica de comunicaciones y redes#

1.2. .1 AUDITORA DE LA DIRECCIN

El control del funcionamiento del departamento de informtica con el e$terior, con el usuario se reali%a por medio de la direcci"n# /u figura es importante, en tanto en cuanto es capa% de interpretar las necesidades de la entidad#

&na informtica eficiente y efica% re uiere el apoyo continuado de su direcci"n frente al e$terior# ?e!isar estas interrelaciones constituye el objeto de la Auditora 6nform.tica de +irecci8n#

1.2. .2 AUDITORA DEL DESARROLLO O APLICACIONES

1a funci"n de @esarrollo es una e!oluci"n del llamado Anlisis y 3rogramaci"n de /istemas y Aplicaciones# A su !e%, engloba muc+as reas, tantas como sectores informati%ables tiene la organi%aci"n# Muy escuetamente, una aplicaci"n recorre las siguientes fases:

4 3rere uisitos del &suario ;0nico o plural< y del entorno#

- -A 4 Anlisis funcional# 4 @ise:o# 4 Anlisis orgnico ;3reprogramaci"n y 3rogramaci"n<# 4 3ruebas# 4 Entrega a E$plotaci"n y alta para el 3roceso#

Estas fases deben estar sometidas a un e$igente control interno, caso contrario, adems del disparo de los costes, podr producirse la insatisfacci"n del usuario#

1.2. .3 AUDITORA DE LA EXPLOTACIN

1a E$plotaci"n Informtica se ocupa de producir resultados informticos de todo tipo: listados impresos, fic+eros soportados magn(ticamente para otros informticos, ordenes automati%adas para lan%ar o modificar procesos industriales, etc# 1a e$plotaci"n informtica se puede considerar como una fabrica con ciertas peculiaridades ue la distinguen de las reales#

Auditar E$plotaci"n consiste en auditar las secciones ue la componen y sus interrelaciones# 1a E$plotaci"n Informtica se di!ide en tres grandes reas: 3lanificaci"n, 3roducci"n y /oporte '(cnico, en la ue cada cual tiene !arios grupos#

- -C 1.2. .4 AUDITORA INFORMTICA DE SISTEMAS

/eg0n el sitio =eb: http://www.eduardole9ton.com/Audcomp:(.html nos dice ue: /e ocupa de anali%ar la acti!idad ue se conoce como '(cnica de /istemas en todas sus facetas# 2oy, la importancia creciente de las telecomunicaciones +a propiciado ue las Comunicaciones, 1neas y ?edes de las instalaciones informticas, se auditen por separado, aun ue formen parte del entorno general de /istemas#

1.2. .5 AUDITORA DE LA SEGURIDAD INFORMTICA

@e acuerdo con la direcci"n electr"nica: http://www.monografas.com/trabajos/seguinfo/seguinfo/shtml

1a seguridad en la informtica abarca los conceptos de seguridad fsica y seguridad l"gica# 1a seguridad fsica se refiere a la protecci"n del 2ard=are y de los soportes de datos, as como a la de los edificios e instalaciones ue los albergan# Contempla las situaciones de incendios, sabotajes, robos, catstrofes naturales, etc#

1a seguridad l"gica se refiere a la seguridad de uso del soft=are, a la protecci"n de los datos, procesos y programas, as como el acceso de los usuarios a la informaci"n#

- -D 1.2. .6 AUDITORA INFORMTICA DE COMUNICACIONES # REDES

En el sitio =eb: +ttp:GG===#sedisi#esGE9HEstudiosGguiaE-#+tm considera ue: 3ara el informtico y para el auditor informtico, el entramado conceptual ue constituyen las ?edes Bodales, 1neas, Concentradores, Multiple$ores, ?edes 1ocales, etc# no son sino el soporte fsico-l"gico del 'iempo ?eal#

1.3 7ERRAMIENTAS # METODOLOGAS DE CONTROL # AUDITORA INFORMTICA

1.3.1 INTRODUCCIN A LAS METODOLOGAS EN CONTROL # AUDITORA

El nacimiento de metodologa en el mundo de la auditora y el control informtico se puede obser!ar en los primeros a:os de los oc+enta, naciendo a la par con la informtica, la cual utili%a la metodologa en disciplinas como la seguridad de los sistemas de informaci"n, la cual la definimos como la doctrina ue trata de los riesgos informticos, en donde la auditora se in!olucra en este proceso de protecci"n y preser!aci"n de la informaci"n y de sus medios de proceso#

1a informtica crea unos riesgos informticos los cuales pueden causar grandes problemas en entidades, por lo cual +ay ue proteger y preser!ar dic+as entidades con un entramado de contramedidas, y la calidad y la eficacia de la mismas es el

- 2E objeti!o a e!aluar para poder identificar as sus puntos d(biles y mejorarlos, siendo esta una funci"n de los auditores informticos#

1.3.2 7ERRAMIENTAS DE CONTROL # AUDITORA INFORMTICA

@e: &'()*)+',- &ern.ndez 'nri/ue- 0122345 Auditora en 6nform.tica7%ico. /e e$trae: 1as +erramientas de control, son de dos tipos fsicos y l"gicos# Como +erramientas de control fsico podemos citar a los cifradores y las del punto l"gico son programas ue brindan seguridad, las principales +erramientas son las siguientes7 seguridad l"gica del sistema, seguridad l"gica complementaria del sistema, seguridad l"gica en entornos distribuidos, control de acceso fsico, control de copias, gesti"n de soporte magn(ticos, gesti"n de control de impresi"n y en!o de listados por red, control de proyectos y !ersiones , gesti"n de independencia y control de cambios#

1.3.3 FUNCIONALIDAD DE LAS 7ERRAMIENTAS

1a informtica crea unos riesgos informticos los cuales pueden causar grandes problemas en entidades, por lo cual +ay ue proteger y preser!ar dic+as entidades con un entramado de contramedidas, la calidad y la eficacia de la mismas es el objeti!o a e!aluar para poder identificar as sus puntos d(biles y mejorarlos de a+ ue se puede utili%ar +erramientas para la obtenci"n de la informaci"n re uerida#

- 2- 1.3.3.1 ENTREVISTAS

En el sitio =eb: +ttp://www.cstconsultores.com/Publicaciones/Auditoriainf.htm define a: 1a entre!ista es una de las acti!idades personales ms importante del auditor7 en ellas, (ste recoge ms informaci"n, y mejor mati%ada, ue la proporcionada por medios propios puramente t(cnicos o por las respuestas escritas a cuestionarios#

1.3.3.2 C7EC8LISTS El auditor con!ersar y +ar preguntas normales, ue en realidad ser!irn para la complementaci"n sistemtica de sus Cuestionarios, de sus C+ecIlist# El auditor deber aplicar los C+ecIlist de modo ue el auditado responda clara y escuetamente# /e deber interrumpir lo menos posible a (ste, y solamente en los casos en ue las respuestas se aparten sustancialmente de la pregunta#

1.3.4 METODOLOGA DE AUDITORA INFORMTICA # CONTROL INFORMTICO

En la direcci"n electr"nica http://www.criptored.upm.es/guiateoria/gt:m1;<a.htm nos dice ue: 1a informtica crea unos riesgos informticos de los ue +ay ue proteger y preser!ar a la entidad con un entramado de contramedidas y la calidad y la eficacia de las mismas es el objeti!o a e!aluar para poder identificar as sus puntos d(biles y mejorarlos#

- 22 3or tanto, debemos profundi%ar ms en ese entramado de contramedidas para !er u( papel tienen las metodologas y los auditores en el mismo# 3ara e$plicar este aspecto diremos ue cual uier contramedida nace de la composici"n de !arios factores e$presados en la figura adjunta# 'odos los factores de la pirmide inter!ienen en la composici"n de una contramedida.

GRFICO 1.1 METODOLOGA DE CONTROL INTERNO Y AUDITORA INFORMTICA

FUENTE" P-4&&-%- , Mario *#7 @el 3eso, Emilio# 4Auditora Informtica: &n enfo ue prctico4# -DDC ELABORADO POR: arco =e8n 9 >ilvia anotoa

1.3.5 METODOLOGA DE TRABAJO DE AUDITORA INFORMTICA

3ara el desarrollo de la presente Auditora Informtica en la &ni!ersidad '(cnica de Cotopa$i se +a seguido la siguiente metodologa de trabajo, la misma ue comprende las siguientes fases:

- 25 FASE 1 CONOCIMIENTO PRELIMINAR

1. Alcance y )bjeti!os de la Auditora Informtica de la &ni!ersidad '(cnica de Cotopa$i# 2. Estudio inicial del entorno auditable: &ni!ersidad '(cnica de Cotopa$i# 3. @eterminaci"n de los recursos necesarios para reali%ar la Auditora en la &ni!ersidad '(cnica de Cotopa$i#

FASE 2

PLANIFICACIN

1. Elaboraci"n del 3rograma de 'rabajo# ;,er ane$o J 5<

FASE 3

EJECUCIN

1. Elaboraci"n de los 3apeles de 'rabajo# ;,er Ane$o J 6 < 2. Aplicaci"n de los 3apeles de 'rabajo# ;,er Ane$o J 9< 3. Aplicaci"n de las encuestas a los usuarios potenciales# ;,er Ane$o J >< 4. Anlisis de la informaci"n recopilada a tra!(s de las encuestas reali%adas# 5. Elaboraci"n del primer borrador de Auditora Informtica#

FASE 4

COMUNICACIN DE RESULTADOS

1. 1ectura del Informe# 2. )btenci"n de Criterios por parte de los encargados de los departamentos inmersos en la presente Auditora Informtica# 3. ?edacci"n del Informe 8inal#

- 26 4. Estructuraci"n y presentaci"n del Informe 8inal#

FLUJOGRAMA DE LA METODOLOGA DE TRABAJO DE AUDITORA INFORMTICA A APLICARSE EN LA UNIVERSIDAD T9CNICA DE COTOPAXI

Grfico 1.2: Metodo o!"# de Tr#$#%o

F5)%&)" Manuales de Auditora Informtica E(4:$'4.$ +$'" Marco 1e"n y /il!ia Manotoa

- 29 1.3.6 CLASIFICACIN DE INFORMACIN # PROCEDIMIENTOS DE CONTROL

Clasificaci"n de informaci"n: determinar ue la informaci"n es reser!ada o confidencial#

-# 1os datos confidenciales son datos de difusi"n no autori%ada# /u uso puede suponer un importante da:o a la organi%aci"n# 2# 1os datos restringidos son datos de difusi"n no autori%ada# /u utili%aci"n ira contra los intereses de la organi%aci"n yGo sus clientes# ;@atos de clientes, programas o utilidades, soft=are, datos de in!entarios, etc#<# 5# 1os datos de uso interno no necesitan ning0n grado de protecci"n para su difusi"n dentro de la organi%aci"n# ;)rganigramas, poltica y estndares, listn telef"nico interno, etc#<# 6# 1os datos no clasificados no necesitan ning0n grado de protecci"n para su difusi"n# ;Informes anuales p0blicos, etc#<#

1os 3rocedimientos de control de la informaci"n se pueden di!idir en los siguientes tipos:

4 8sica 4 1"gica 4 )rgani%ati!o Administrati!a 4 Kurdica

- 2> 1.3. PLAN DEL AUDITOR INFORMTICO

En el sitio =eb: http://gratistodo.8m.com/capiaudi3.htm nos dice ue: &n plan del auditor informtico deben contener al menos lo siguiente: &bicaci"n de la figura en el organigrama de la empresa# @eben -# ?unciones. describirse las funciones de forma precisa, y la organi%aci"n interna del departamento, con todos sus recursos#

2# Procedimientos para las distintas tareas de las auditoras # Entre ellos estn el procedimiento de apertura, el de entrega y discusi"n de debilidades, entrega de informe preliminar, cierre de auditora, redacci"n de informe final, etc#

5# @ipos de

auditora Metodologas s /ue realiza. y cuestionarios de las mismas#

E$isten tres tipos de auditora seg0n su alcance: la completa de una rea7 limitada a un aspecto y correcti!a ue es la comprobaci"n de acciones de auditoras anteriores#

6# >istema de evaluaci8n 9 los distintos aspectos /ue evalAa # Independientemente de ue e$ista un plan de acciones en el informe final, debe +acerse el esfuer%o de definir !arios aspectos a e!aluar como ni!el de gesti"n econ"mica, gesti"n de recursos +umanos, cumplimiento de normas#

- 2A 3ermite en base a la e!aluaci"n final de la 0ltima 9# )ivel de #e%posici8n auditora reali%ada sobre ese tema definir la fec+a de la repetici"n de la misma auditora#

1.3.! NORMAS APLICADAS EN LA AUDITORA INFORMTICA

A; MODELO POR DOMINIOS COBIT <OBJETIVOS DE CONTROL PARA TECNOLOGA DE INFORMACIN # TECNOLOGAS RELACIONADAS;.

C)FI' ;)bjeti!os de Control para 'ecnologa de Informaci"n y 'ecnologas ?elacionadas#< +a sido desarrollado como un estndar generalmente aplicable y aceptado para la prctica del control de 'ecnologa Informtica, est basado en los )bjeti!os de Control e$istentes de la Information /ystems Audit and Control 8oundation ;I/AC8< mejorados con los estndares internacionales e$istentes y emergentes t(cnicos, profesionales, regulatorios y especficos de la organi%aci"n#

M-*-=%

In!estigar, desarrollar, publicar y promo!er un conjunto internacional, autori%ado y actual de objeti!os de control en tecnologa de informaci"n generalmente aceptados para el uso cotidiano de gerentes de empresa y auditores#

Esta metodologa se di!ide en tres ni!eles:

- 2C D$1-%-$*" Agrupaci"n natural de procesos, normalmente corresponden a un dominio o una responsabilidad organi%acional# P'$/)*$*" Conjunto de acti!idades unidas con delimitaci"n o cortes de control# A/&-,-.4.)*: Acciones re ueridas para lograr un resultado medible# Estos procesos estn agrupados en cuatro grandes dominios ue se detallan a continuaci"n junto con sus procesos:

1. DOMINIO" <PO; PLANIFICACIN # ORGANI>ACIN A tra!(s de este dominio se comprende las decisiones estrat(gicas y tcticas ue definen la manera en ue la 'I ayuda de mejor forma al logro de los objeti!os de la instituci"n#

2. DOMINIO" <AI; AD?UISICIN E IMPLEMENTACIN Con este dominio se identifica soluciones de 'I, ad uirirlas o desarrollarlas, y por supuesto +acerlas operati!as integrndolas como procedimientos del da a da lo ue permite ser mejores y tener una continuidad operati!a#

3. DOMINIO" <DS; ENTREGA # SOPORTE Mediante este dominio se lleg" a comprender las acti!idades de /oporte a los sistemas en producci"n# En esta rea se incluye el procesamiento de los datos por sistemas de aplicaci"n#

- 2D 4. DOMINIO" <M; MONITOREO Mediante este dominio todos los procesos de 'I deben ser e!aluados regularmente, tanto en cuanto a su calidad, como al cumplimiento de los re uerimientos de control#

GRFICO 1.& METODOLOGA CO'IT

FUENTE: +ttp:GG===#unap#clGLsetc+e!eGpe#+tm ELABORADO POR" Marco 1e"n y /il!ia Manotoa

- 5E B; CONTRALORA GENERAL DEL ESTADO

Bormas de Control Interno para el /ector 30blico de la ?ep0blica del Ecuador emitido por la Contralora *eneral del Estado# Especficamente se !a a emplear la N$'14 4@@ ;,er Ane$o J A< la misma ue se refiere a: Bormas de control interno para el rea de sistemas de informaci"n computari%ados#

Con esta norma se busca promo!er la correcta utili%aci"n de los sistemas computari%ados ue procesan la informaci"n ue generan las entidades#

C; UNIVERSIDAD T9CNICA DE COTOPAXI

Estatuto )rgnico de la &ni!ersidad '(cnica de Cotopa$i, Art# 9, 8ines literal e ;,er Ane$o J C<#

Mediante este artculo se pretende !incular a la &ni!ersidad y buscar soluciones a los problemas de la sociedad#

1.3.A PAPELES DE TRABAJO

1os papeles de trabajo son todos a uellos apuntes, datos, e informaci"n recopilada con relaci"n a una auditora y ue conforman una documentaci"n y e!idencia del trabajo reali%ado por el auditor#

- 5- IMPORTANCIA

1os papeles de trabajo representan en la culminaci"n del trabajo de auditora, la e!idencia documental del trabajo efectuado, de t(cnicas y procedimientos de auditora aplicados y de las conclusiones generadas#

OBJETIVOS DE LOS PAPELES DE TRABAJO

4 3roporcionar e!idencia del trabajo reali%ado y de las conclusiones obtenidas#

4 Ayudar al e uipo de trabajo para ue adopte una estructura ordenada y

uniforme para la presentaci"n del trabajo#

4 8acilitar la super!isi"n y re!isi"n del trabajo reali%ado, as como dejar

e!idencia ue dic+a super!isi"n fue +ec+a# ser 0til en futuros trabajos o re!isiones de la auditora#
4 Mantener el registro de la informaci"n para sustentar las declaraciones y los

informes#
4 @ocumentar la informaci"n ue podr ser 0til en futuros trabajos o re!isiones

de la auditora#
4 Mantener el registro de la informaci"n para sustentar las declaraciones y los

informes#

CARACTERSTICAS GENERALES DE LOS PAPELES DE TRABAJO

a< 1a informaci"n ue se incluya en los papeles de trabajo debe ser clara,

completa y concisa#

- 52 b< @ebe dar un testimonio !erdico e ine u!oco del trabajo reali%ado#

c< @ebe contener las ra%ones

ue fundamenten decisiones en aspectos

contro!ertidos#
d< @eben cumplir con los ms altos parmetros de calidad y as mismo limitarse

en cantidad#
e< Bo deben elaborarse para transcribir o copiar informaci"n ni para ue los

auditados los diligencien#

CONTENIDO DE LOS PAPELES DE TRABAJO

4 @escripci"n de la tarea reali%ada#

4 1os datos y antecedentes obtenidos durante la auditora#

4 Informaci"n rele!ante sobre la acti!idad u operaci"n del rea auditada#

4 Antecedentes del ambiente de control y los /istemas de Informaci"n#

4 @ebilidades y fortale%as ;sin ue las debilidades afecten el alcance de la

auditora<#
4 Conclusiones sobre el e$amen o las re!isiones practicadas#

1.3.A.1 TIPOS DE PAPELES DE TRABAJO <VER ANEXO B 4;

4 GUA DE AUDITORA

Es una planilla en la ue se describen en detalle las acti!idades ue el auditor debe reali%ar para lograr el objeti!o propuesto7 se recomienda ue por cada

objeti!o especfico se elabore una *ua de Auditora en la ue se relacionen

- 55 acti!idades ue est(n estrec+amente relacionadas con el logro del mismo y sin desbordar los lmites del alcance propuesto#

4 LISTA DE VERIFICACIN O DE C7E?UEO

&na lista de !erificaci"n o de c+e ueo contiene una serie de acti!idades, en forma de pregunta cerrada, ue el auditor debe reali%ar, en su gran mayora corresponden a e!aluaciones, !erificaciones, anlisis, comprobaciones y re!isiones7 las respuestas a (stas preguntan son de tipo falso o !erdadero, s o no#

4 C9DULAS DE 7ALLA>GO O COMENTARIO

En la medida en ue se !an ejecutando los programas de trabajo se deben ir elaborando las c(dulas de +alla%gos y recomendaciones#

1.3.1@ ESTRUCTURACIN # PRESENTACIN DEL INFORME FINAL

1a funci"n de la auditora se materiali%a e$clusi!amente por escrito# 3or lo tanto la elaboraci"n final es el e$ponente de su calidad#

?esulta e!idente la necesidad de redactar borradores e informes parciales pre!ios al informe final, los ue son elementos de contraste entre opini"n entre auditor y auditado y ue pueden descubrir fallos de apreciaci"n en el auditor#

- 56 Es importante ue el informe, antes de su emisi"n definiti!a, sea

comentado y discutido con los responsables del rea auditada y en caso de discrepancia de opiniones con el rea auditada, estas debern ser incluidas en el te$to final del informe#

En la presentaci"n de resultados el e uipo de auditora, podr au$iliarse de medios de !isi"n electr"nicos, y tendr el siguiente contenido:

4 )bjeti!o y Alcance de la auditora

4 1imitaciones principales para el desarrollo de la auditora

4 ?esultados de auditora

4 Mrea Auditada ;nombre<

4 )bser!aciones

4 ?ecomendaciones

4 Conclusi"n *eneral

C4'&4 .) -%&'$.5//-=% $ +')*)%&4/-=% .)( -%0$'1) 0-%4(

1a carta de introducci"n tiene especial importancia por ue en ella +a de resumirse la auditora reali%ada# /e destina e$clusi!amente a los directi!os de la entidad auditada, en este caso, ?ector, @irector de /er!icios Informticos, Kefes de las reas auditadas, etc#

- 59 FINALIDAD 1os informes son un factor importante en el logro e$itoso de los objeti!os de la auditora#

El informe de auditora debe, por lo tanto, ser un documento profesional ue se !e y se lee como un producto de profesionales#

FORMATOS

Bo e$iste un formato de informe para todas las organi%aciones de auditora# El formato depende de:

4 1as necesidades de la direcci"n#

4 1a naturale%a de la entidad y su organi%aci"n

;centrali%ada o

descentrali%ada<#

CONFIDENCIALIDAD DE LOS INFORMES

El informe tendr el carcter de borrador, por lo ue su uso ser restringido, +asta la entrega del informe final a la entidad auditada por las instancias correspondientes#