Pst IV-Auditoria Informatica a la Caja de Ahorros del Personal Docente del IUT de los Llanos

8/17/2019 Pst IV-Auditoria Informatica a la Caja de Ahorros del Personal Docente del IUT de los Llanos

1/44

i

REPÚBLICA BOLIVARIANA DE VENEZUELAMINISTERIO DEL PODER POPULAR PARA LA EDUCACIÓN UNIVERSITARIA

INSTITUTO UNIVERSITARIO DE TECNOLOGÍA DE LOS LLANOSVALLE DE LA PASCUA ESTADO - GUÁRICO

AUDITORÍA INFORMÁTICA REALIZADA A LA CAJA DE AHORRO YPRÉSTAMO DEL PERSONAL DOCENTE DEL INSTITUTO UNIVERSITARIO DE

TECNOLOGÍA DE LOS LLANOS (CAPPDIUTLL)

PRESENTADO POR:ING. CARBALLO, JAIRO

Valle de la Pascua, Julio de 2009


2/44

ii

INDICE GENERAL

pp.

LISTA DE TABLAS ................................................................................................ III

LISTA DE CUADROS ............................................................................................ IV RESUMEN .............................................................................................................. V

INTRODUCCIÓN .................................................................................................... 6

SECCIÓN I .............................................................................................................. 8

MARCO LÓGICO .................................................................................................... 8

IDENTIFICACIÓN Y DESCRIPCIÓN DE LA COMUNIDAD .................................. 8 MATRIZ FODA / ROLA ....................................................................................... 12 DIAGRAMA DE VENN ....................................................................................... 13 CUADRO DE LOS INVOLUCRADOS ................................................................ 14

ÁRBOL DE PROBLEMAS .................................................................................. 16 ÁRBOL DE OBJETIVOS .................................................................................... 17 MATRIZ DE PRIORIZACIÓN DE PROBLEMAS ................................................ 18

ANÁLISIS DE FACTIBILIDAD ............................................................................ 18 ANÁLISIS DE CRITERIOS ................................................................................. 19 MATRIZ DEL MARCO LÓGICO ......................................................................... 21

SECCIÓN II ........................................................................................................... 24

AUDITORÍA INFORMÁTICA ................................................................................. 24

OBJETIVO GENERAL ....................................................................................... 24

OBJETIVOS ESPECÍFICOS .............................................................................. 24 METODOLOGÍA DE LA AUDITORÍA INFORMÁTICA ........................................ 25 INSTRUMENTOS PARA LA RECOLECCIÓN DE DATOS .................................. 26 RESULTADOS DE LA AUDITORÍA INFORMÁTICA ........................................... 27 EVALUACIÓN DEL RIESGO DE CONTINUIDAD DE PROCESOS Y EFICIENCIA DEL SERVICIO INFORMÁTICO ........................................................................ 27 RECOMENDACIONES ...................................................................................... 29EVALUACIÓN DEL RIESGO DE SEGURIDAD FÍSICA...................................... 30 RECOMENDACIONES ...................................................................................... 31EVALUACIÓN DEL RIESGO DE SEGURIDAD LÓGICA .................................... 32 RECOMENDACIONES ...................................................................................... 33

CONCLUSIONES ................................................................................................. 35 RECOMENDACIONES GENERALES .................................................................. 36

REFERENCIAS ..................................................................................................... 37

[ANEXOS] ............................................................................................................. 38


3/44

iii

LISTA DE TABLAS pp.

T ABLA 1. M ATRIZ FODA / ROLA .................................................................................. 12

T ABLA 2. CUADRO DE INVOLUCRADOS ....................................................................... 14T ABLA 3. M ATRIZ DE PRIORIZACIÓN DE PROBLEMAS ................................................... 18

T ABLA 4.ANÁLISIS DE F ACTIBILIDAD ......................................................................... 18

T ABLA 5. ANÁLISIS DEL OBJETIVO ESPECÍFICO1 ......................................................... 19

T ABLA 6. ANÁLISIS DEL OBJETIVO ESPECÍFICO 2 ........................................................ 19

T ABLA 7. ANÁLISIS DEL OBJETIVO ESPECÍFICO 3 ........................................................ 20

T ABLA 8. M ATRIZ DEL M ARCO LÓGICO .................................................................... 21

T ABLA

9. E

FICIENCIA DEL SERVICIO INFORMÁTICO Y CONTINUIDAD DE PROCESOS .......... 27

T ABLA 10. RIESGO DE SEGURIDAD FÍSICA .................................................................. 30

T ABLA 11. RIESGO DE SEGURIDAD LÓGICA ................................................................. 32


4/44

iv

LISTA DE CUADROS Y GRÁFICOS

pp.

GRÁFICO 1: DIAGRAMA DE VENN .............................................................................. 13

CUADRO 1. ÁRBOL DE PROBLEMAS .......................................................................... 16CUADRO 2. ÁRBOL DE OBJETIVOS ............................................................................ 17

GRÁFICO 2. EFICIENCIA DEL SERVICIO INFORMÁTICO Y CONTINUIDAD DE PROCESOS ..... 28

GRÁFICO 3. RIESGO DE SEGURIDAD FÍSICA ............................................................... 30

GRÁFICO 4. RIESGO DE SEGURIDAD LÓGICA ............................................................. 32


5/44

v

REPÚBLICA BOLIVARIANA DE VENEZUELAMINISTERIO DEL PODER POPULAR PARA LA EDUCACIÓN UNIVERSITARIA

INSTITUTO UNIVERSITARIO DE TECNOLOGÍA DE LOS LLANOSVALLE DE LA PASCUA ESTADO - GUÁRICO

AUDITORÍA INFORMÁTICA REALIZADA A LA CAJA DE AHORRO YPRÉSTAMO DEL PERSONAL DOCENTE DEL INSTITUTO UNIVERSITARIO DE

TECNOLOGÍA DE LOS LLANOS(CAPPDIUTLL)

Trabajo Presentado como Requisito para Optar a la Categoría AcadémicaDocente Asistente en el Instituto Universitario de Tecnología de los Llanos

PARTICIPANTES:CARBALLO, JAIROLORETO, TRINA

RESUMEN

El presente informe trata sobre la evaluación técnica de los recursos informáticos

utilizados en la Caja de Ahorro y Préstamo del Personal Docente del InstitutoUniversitario de Tecnología de los Llanos (CAPPDIUTLL). Dicho estudio fuerealizado siguiendo la metodología de Marco Lógico para el desarrollo deproyectos, arrojando una matriz resumen donde se recogen tanto los fines como elpropósito de dicho estudio, así como todas las actividades necesarias para el logrode los objetivos, sus correspondientes indicadores y medios de verificación. Enrelación a la auditoría informática realizada en esta dependencia, esta se enfocóen evaluar la forma como se administran y operan los recursos informáticosexistentes en la mencionada entidad, para conseguir el aprovechamiento máximoestos. De dicha evaluación se obtuvieron una serie de hallazgos o resultados quesirvieron como punto de partida para proponer una serie de recomendaciones que

conlleven al mejoramiento de las funciones operativas del departamento y laoptimización de los recursos informáticos, lo cual redundará en beneficio delfuncionamiento y de los servicios prestados a los asociados de la caja de ahorro.

Palabras Claves: Caja de ahorros, marco lógico, auditoría informática, recursosinformáticos, evaluación técnica.


6/44

6

INTRODUCCIÓN

Hoy día las posibilidades de realizar una excelente gestión administrativa, con

eficiencia y eficacia, se han visto favorecidas por el desarrollo de la informática y

más específicamente a los sistemas de información automatizados, que ha

posibilitado la optimización y la capacidad para generar, almacenar, procesar y

transportar información. Sin embargo la tecnología por sí sola no es suficiente,

puesto que, quienes integran las organizaciones, deben saber utilizarla y la

cultura empresarial debe estimular las innovaciones y los cambios armoniosos que

producen la integración de la tecnología en la organización.

En relación a lo antes expuesto, no hay que olvidar que la calidad de un trabajo

va a depender de las decisiones correctas que se tomen en el tiempo justo, por lo

cual se debe contar con la información oportuna que permita la concertación de

estrategias que coadyuven a comprender y conducir una acción eficaz, en

beneficio de la organización y de la comunidad a la que esta sirve.

En esta investigación se pretende realizar una evaluación técnica (auditoria

informática) de los recursos informáticos utilizados en la Caja de Ahorro y

Préstamo del Personal Docente del Instituto Universitario de Tecnología de los

Llanos (CAPPDIUTLL). Con dicha evaluación técnica en esta dependencia se

podrán determinar las debilidades, las fortalezas y procesos críticos existentes en

relación a la administración y operación de los equipos informáticos. Partiendo del

resultado de esta auditoría se podrán establecer una serie de recomendaciones

que permitan la definición de estrategias en función de mejorar la ejecución de susactividades y aprovechar al máximo los recursos tecnológicos existentes en esta

dependencia.

La metodología utilizada para la realización de esta investigación es la de


7/44

7

Marco Lógico, la cual permitió realizar el diagnóstico de la situación actual y así

determinar de una manera más clara y sencilla los objetivos, metas y riesgos del

proyecto. Por otro lado la metodología utilizada para realizar la auditoria

informática fue la de Evaluación de Riesgos (ROA Risk Oriented Approach) deISACA, la cual permitió recoger, agrupar y evaluar evidencias que determinen el

buen funcionamiento del sistema de información, así como también la utilización

eficiente de los recursos informáticos y el cumplimiento de las leyes y regulaciones

establecidas para su funcionamiento en concordancia con los fines de la

organización.

Esta investigación se estructura de la siguiente manera: Parte I, donde seaplica la metodología de marco lógico para identificar y describir a la comunidad,

elaboración de la matriz Foda – Rola, diagrama de Venn, cuadro de los

Involucrados, árbol de Problemas, árbol de Objetivos, matriz de Priorización de

Problemas, análisis de Factibilidad, análisis de Criterios y por último la matriz de

Marco Lógico.

Parte II, referente a la auditoría informática propiamente dicha, se definen los

objetivos de la auditoría, la metodología para la auditoría informática, instrumentos

de recolección de datos, evaluación de los resultados de la auditoría, así como las

recomendaciones sobre los resultados obtenidos, finalmente, se presentan las

conclusiones y recomendaciones generales de la investigación.


8/44

8

SECCIÓN I

MARCO LÓGICO

En esta sección se conceptualizan y se analizan aspectos que caracterizan el

proyecto y sus involucrados mediante la metodología de marco lógico, la misma

contempla una serie de estrategias que facilitan la comunicación entre los

diferentes actores del proyecto, la definición de los objetivos, metas y riesgos del

proyecto. En este sentido, para Ortegón E. y otros (2005), marco lógico:

“Es una herramienta para facilitar el proceso de conceptualización,diseño, ejecución y evaluación de proyectos. Su énfasis está centradoen la evaluación por objetivos, la orientación hacia los gruposbeneficiarios y el facilitar la participación y la comunicación entreinteresados”. (p.13)

De allí la importancia de esta metodología, la cual sirve a su vez como

instrumento para analizar y determinar, conjuntamente con el investigador y los

involucrados, cuáles son los problemas, sus causas y sus efectos, medios y

recursos, así como proponer posibles soluciones a los mismos.

IDENTIFICACIÓN Y DESCRIPCIÓN DE LA COMUNIDAD

La Caja de Ahorro y Préstamo del Personal Docente del Instituto

Universitario de Tecnología de los Llanos (C.A.P.P.D.I.U.T.LL.) es una Asociación

Civil sin fines de lucro, autónoma, con personalidad jurídica propia, que rige su

organización y funcionamiento por medio de sus Estatutos, por la Ley de Cajas de Ahorro, Fondos de Ahorro y Asociaciones de Ahorro Similares, por las decisiones

emanadas de la Asamblea y por otras Leyes y Reglamentos de la República

Bolivariana de Venezuela que le sean aplicables.


9/44

9

Historia de la Comunidad

La Caja de Ahorro y Préstamo del Personal Docente del IUT de los Llanos

(CAPPDIUTLL) fue creada el 31 de julio de 1992, en asamblea realizada en elmismo instituto ubicado en Valle de La Pascua, Estado Guárico, a efecto de

constituirla. En esta asamblea estuvieron presente los profesores: Sixto Ríos

Cabeza, Letterio Pantó, Oscar Rodríguez, Iris Marlen Acosta, José Antonio

Orellana, Carlos Almeida Ochoa, Álvaro Álvarez, Elisa Isvelia Amado Leal, Freddy

Arroyo, José Manuel Caicedo, Cecilio Cedeño, Beatriz Cubero de Arrocha, Diego

Cuesta, Armando Díaz, Antonio Durán, Carlos Farías, Kanor Fariña, Manuel

Fernández, Rooselvelt Franquiz, Carmen Gómez de Martínez, Carlos González,

Sol Caridad González de Fajardo, Mercedes Guacarán de Morales, entre otros.

Todos los presentes leyeron y discutieron los estatutos y estuvieron de

acuerdo por unanimidad en la constitución de la asociación, se procedió a nombrar

el Consejo de Administración, el cual quedó integrado por:

Sixto Ríos como Presidente, Letterio Pantó como Vice-PResidente, Oscar

Rodríguez Secretario, Iris Marlen Acosta Tesorera. Como suplentes: Ismael Valera,Walter Hernández, Antonio Durán y José Manuel Caicedo, respectivamente,

quienes durarían en sus funciones 3 años.

Así mismo se designaron los cargos de consejo de vigilancia a los socios:

Manuel Rincones como Presidente, Eleazar Ramos como Vice-Presidente y como

suplentes Carlos Almeida y María Pérez Respectivamente, quienes durarían en

sus cargos 1 año.

Objetivos de la CAPPDIUTLL

La caja de ahorros tiene por objeto:

1. Establecer y fomentar el ahorro sistemático y estimular la formación de


10/44

10

hábitos de economía y previsión social entre sus afiliados.

2. Promover y desarrollar programas que faciliten a sus miembros la

adquisición, mejoramiento o liberación hipotecaria de su vivienda.

3. Conceder préstamos a bajo interés en beneficio exclusivo de sus afiliados.4. Procurar para sus asociados toda clase de beneficios socioeconómicos que

contribuyan a mejorar su calidad de vida, tales como montepío, mutuo

auxilio, seguro colectivo de vida, de hospitalización, cirugía y maternidad,

gastos médicos, etc. De igual manera, la adquisición de vehículos, de

bienes muebles y de equipos electrodomésticos y electrónicos a través de

los préstamos que otorgue la asociación y conforme a los programas

específicos que de acuerdo a su capacidad se establezcan progresivamente.5. Promover actividades que contribuyan al mejoramiento de la economía

familiar de los asociados.

Ubicación

El domicilio de la caja de ahorros es la ciudad de Valle de la Pascua,

Municipio Autónomo Infante del Estado Guárico, su oficina administrativa se

encuentra ubicada en las instalaciones del IUT de los Llanos, pudiendo establecer

oficinas administrativas en otros lugares del país, de acuerdo a las necesidades de

prestar un mejor servicio a sus afiliados. (Ver Mapa).

Estructura Organizativa

Actualmente la caja de ahorro y préstamo del personal docente

(CAPPDIUTLL) está constituida de la siguiente manera:


11/44

11

Consejo de Administración electo en fecha 10-06-2010 para el período 2010-

2013

PRESIDENTE: PPAL. MARÍA A. PÉREZ JIMÉNEZ

SUPL. MARITZA ROJAS DE BUSTAMANTETESORERO: PPAL. BEATRIZ M. CUBEROS DE AROCHA

SUPL. ALEXIS MARTÍNEZ VALIENTE

SECRETARIO: PPAL. FRANCISCO VIVAS ZAMBRANO

SUPL. SOL CARIDAD GONZÁLEZ DE FAJARDO

Consejo de vigilancia electo en fecha 10-06-2010 para el período 2010-2013

PRESIDENTE: PPAL. MANUEL RINCONES GUERRERO

SUPL. LUIS CAMARIPANO MOTA

VICE-PRESIDENTE: PPAL. TITO MALUENGA SOTO

SUPL. IRINA M. CADENAS SALINAS

SECRETARIO: PPAL. AURA ZERPA DE SERRANO

SUPL. ARMANDO DÍAZ

Personal administrativo: Nancy Padrino Infante y Dannelly Pérez de Flores


12/44

12

MATRIZ FODA / ROLA

Tabla 1. Matriz foda / rolaCAPPIUTLL RECURSOS:

1. Personal Capacitado2. Estructura Organizativa(Consejo de Administración

y Consejo de Vigilancia).3.Capital4.Sistema automatizado5.Equipos de oficina6. Socios

LIMITACIONES:

1. Información inoportuna alos socios.2. Inversión nula en ramasproductivas.3. Pocas ofertas crediticias.4. Carencias de conveniocon casas comerciales.5. Escasas asambleas desocios.

OPORTUNIDADES:1. Diversidad de empresas en

la zona para establecerconvenio.2. Convenios con Veniran

Autos.3. Convenios con Venezolanade Industrias Tecnológicas(VIT).4. Consultas en línea desaldos y créditos asignados5. Solicitudes en línea decréditos6. El sistema automatizado

para generar estados decuentas actualizados de lossocios.

Establecer convenios conempresas de la zona R2/O1

Establecer convenios conVeniran Autos R2/O2

Establecer convenios conVIT R2/O3

A través de una página weblos socios pueden estar

informados O4/L1.

A través del sistemaautomatizado los sociospuedan obtener estados decuentas actualizadosO6/L1.

Realizar convenios conempresas O1O2O3/L2L3L4

AMENAZAS:1. Descapitalización de la cajaahorros.2. Inseguridad en la zona.3. Sólo los jubilados puedenpertenecer a la directiva,considerando que el 98% delpersonal activo es contratado.

Realizar otras inversionesaparte de las ya establecidasR3/A1

Contratar vigilancia privadaR2R3/A2

Establecer en asambleas laposibilidad de que los socioscontratados puedanpertenecer a la juntadirectiva R6/A3

Invertir en otras áreasproductivas, condominio,club social, entre otros.L2/A1

Realizar asambleas dondelos socios sean oídos parala toma de decisiones encuanto a ofertas crediticiasy planes de inversión.L2L3L5/A1A3

Fuente: Los Autores (2011)


13/44

13

DIAGRAMA DE VENN

Mediante el siguiente diagrama de Venn se identifican todos los actores

involucrados en el proyecto, así como el nivel de relación que existe con el actor

principal como lo es la CAPPDIUTLL, aquí podemos identificar a: los socios en

primer lugar, el Consejo de Vigilancia, el Consejo de Administración, personal que

labora en la CAPPDIUTLL, el patrono o el IUTLL, la Superintendencia de Cajos de

Ahorros y finalmente los bancos.

Gráfico 1: Diagrama de Venn



14/44

14

CUADRO DE LOS INVOLUCRADOS

Tabla 2. Cuadro de Involucrados

Grupos InteresesProblemasPercibidos

Aportes Exigencias Observaciones

Consejo deAdministración

Dirigir y administrarla Caja de Ahorro.

Poca frecuencia con laque realizanasambleas ordinarias

y extraordinarias

Necesidad delcumplimiento del plananual de lasactividades de caja deahorro.

Tardía entrega a lossocios del Informe yBalance Generalanual, quince (15) díasantes de la Asamblea.

Revisión y aprobaciónde solicitudes decrédito

Firmas de cheques

Dirigir las asambleasde socios

Depósitos oportunosde los aportescorrespondientes a

cada socio por partedel patrono

Los socios debencumplir con lasobligacionescontraídas.

Consejo devigilancia

Supervisar que lasactuaciones del

Consejo de Administración seadecúen a loestablecido en losreglamentos yleyes que rigen lacaja de ahorros.

En ocasiones no secumplen algunos

artículos establecidosen los estatutos decaja de ahorros.

Información legalactualizada para el

funcionamiento de lacaja de ahorro

El consejo deadministración debe

cumplir con establecidoen los reglamentos yleyes que rigen la cajade ahorros.


15/44

15

Tabla 2 (Continuación)

Socios

Percibir losbeneficios que lescorrespondan delas utilidadesobtenidas por lasoperacionespropias de la

Asociación.

Poca participación enlas asambleasordinarias yextraordinarias.

Desinformación sobresus estados decuentas, planes de

inversión entre otros.

Cumpliroportunamente todasobligacioneseconómicascontraídas con laCAPPDIUTLL.

Proponer en asamblea

de socios nuevasposibilidades decréditos.

Informaciónactualizada de losestados de cuenta.

Celebrar convenioscon comercios de lazona con la finalidadde obtener mejores

oportunidadescrediticias.

Personal decaja de ahorros

Atención a lossocios.

Llevar los archivos

Manejar el sistemade caja de ahorro

Retraso en la entregande los estado decuenta de los socios.

Suministrarinformación oportuna alos socios.

Sueldos acordes a lasfunciones realizadas.

Otros beneficioseconómicos yseguridad social.

Patrono(IUTLL)

Cumplir con elaporte patronalpara cada socio.

Retraso en el aportepatronalcorrespondiente acada socio.

Depositaroportunamente a cadasocio el aportepatronalcorrespondiente.

Participación de laCaja de Ahorros en losprogramas y ayudassociales del IUTLL decara a la comunidad.

Super-intendencia decaja de ahorros

Aprobar o reprobarel Proyectodel Presupuesto deIngresos y Gastos yel de Inversión dela Asociación cajade ahorros.

Retraso la aprobacióno reprobación delProyectodel Presupuesto deIngresos y Gastos y elde Inversión de la

Asociación caja deahorros.

AprobaroportunamenteProyectodel Presupuesto deIngresos y Gastos y elde Inversión de la


Hacer llegaroportunamente elPresupuesto deIngresos y Gastos y elde Inversión de la




16/44

16

ÁRBOL DE PROBLEMAS(Relación causa – efecto)

Cuadro 1. Árbol de Problemas



17/44

17

ÁRBOL DE OBJETIVOS

Cuadro 2. Árbol de Objetivos



18/44

18

MATRIZ DE PRIORIZACIÓN DE PROBLEMAS

Tabla 3. Matriz de Priorización de problemas

Problemas Prioridad

1(x5)

Prioridad

2(x3)

Prioridad

3(x1)

Total

Limitada información pertinente los socios | | | | | 18

Poca participación de los socios en lasasambleas

| | 8

Inadecuado uso de los recursos informáticosdisponibles

| 5


ANÁLISIS DE FACTIBILIDAD

Tabla 4.Análisis de FactibilidadOBJETIVO ESPExigencia deinformación por partede los socios

OBJETIVO ESPEntrega a tiempo delinforme y balancegeneral anual

OBJETIVO ESPEntrega cada tresmeses de los estadosde cuenta de cadasocio

TIEMPO1 Largo plazo2 Mediano plazo3 Corto plazo

3 3 2

BENEFICIARIOS1 Pocos2 Suficientes3 Muchos

3 3 3

COSTOS1 Altos2 Medios3 Bajos

1 1 1

IMPACTO1 Bajo2 Medio3 Alto

3 2 3

FACTIBILIDAD1 Poco Probable2 Medianamente Prob.3 Probable.

3 3 3

TOTAL 13 12 12



19/44

19

ANÁLISIS DE CRITERIOS

Objetivo Específico 1:

Exigencia de información por parte de los socios.

Tabla 5. Análisis del Objetivo Específico 1

Estrategia

Criterios

Financiero Sociales Ambientales Viab. Política

Realizar campañas deinformación para los

socios acerca de losbeneficios de caja deahorros.

500,00 Bs.

Estudiantes,

Socios,Directiva delIUTLLDirectiva de Cajade Ahorros.

Bajo impactoambiental.

Realizar actividadespara compartir y asímotivar a los sociospara que asistan a lasasambleas.

1.000,00 Bs.

Directiva de Cajade Ahorros.Directiva delIUTLL.




Entrega a tiempo del informe y balance general anual.


Estrategia

Criterios


Contratar a unContador para queelabore a tiempo elinforme y balancegeneral anual.

2.000,00Bs.F

Directiva de Cajade Ahorros.Socios.



20/44

20

Tabla 6 (Continuación)Comunicación porparte de los sociosdirigida al Consejo de

Administración para

que cumplan conentrega a tiempo delinforme y balancegeneral anual.

5,00Bs.F.

Directiva de Caja

de Ahorros.Socios.




Entrega cada tres meses de los estados de cuenta de cada socio.


Estrategia

Criterios


Crear un móduloque permita generarreportes trimestralesde los estados decuantas de cadasocio.

3.000,00Bs.F

Directiva deCaja de

Ahorros.Socios.

Bajo Impacto

Comunicación porparte de los sociosdirigida al Consejode Administraciónpara que cumplan loestablecido en losestatutos de caja deahorros del IUTLL.

5,00Bs.F.

Directiva deCaja de

Ahorros.Socios.




21/44

21

MATRIZ DEL MARCO LÓGICO

Tabla 8. Matriz del Marco Lógico

RESUMEN NARRATIVOINDICADORESVERIFICABLES

MEDIOS DEVERIFICACION

TIEMPO RESPONSABLESSUPUESTOS

PROPÓSITO:

Información pertinente paralos socios

100% de los sociospertenecientes a caja

de ahorros

Listado de asistenciade los socios a las

asambleas

Trimestral Consejo de Administración

Personal administrativo dela caja de ahorros

Asistencia de lossocios

FIN:

-Aprovechar la oportunidadde adquirir un crédito.

-Nuevos planes deinversión.

-Aumento del patrimonio dela caja de ahorros

01 Balance generalanual de la caja deahorros

Históricos delBalance generalanual

Anual

Consejo de Administración

Consejo de Vigilancia


Entrega puntualdel balancegeneral anual dela caja de ahorros

COMPONENTE 1:

Exigencia de informaciónpor parte de los socios

Al menos el 30% delos sociospertenecientes a cajade ahorros

Solicitudes deinformación porescrito

Trimestral





Actividad1:

Realizar campañas deinformación para los sociosacerca de los beneficios decaja de ahorros

Al menos el 30% delos sociospertenecientes a cajade ahorros

Lista de cotejo

Escala de estimación Trimestral




Interés de lossocios


22/44

22

Tabla 8 (Continuación) Actividad2:

Realizar actividades paracompartir y así motivar alos socios para que asistana las asambleas

100% de los sociospertenecientes a cajade ahorros

Listado de asistenciade los socios

SemestralConsejo de Administración



COMPONENTE 2:

Entrega a tiempo delinforme y balance generalanual

01 Balance general

anual de la caja deahorros

Observación

Anual



Entrega puntual

del balancegeneral anual dela caja de ahorros

Actividad1:

Contratar a un Contadorpara que elabore a tiempoel informe y balancegeneral anual

01 contrato para elContador

Observación

Anual




Aprobación de lossocios

Disponibilidadpresupuestaria

Actividad2:

Comunicación por parte delos socios dirigida alConsejo de Administración

para que cumplan conentrega a tiempo delinforme y balance generalanual

01 comunicación Observación

Anual




Solicitud por partede los socios

COMPONENTE 3:

Entrega cada tres mesesde los estados de cuentade cada socio

01 Estado de Cuentadel socio

Observación

Trimestral



Elaboración atiempo del estadode cuenta


23/44

23

Tabla 8 (Continuación) Actividad1:

Crear un módulo quepermita generar reportestrimestrales de los estadosde cuantas de cada socio

01 módulo en elsistemaautomatizado

Observación

Trimestral


Programadores

Aprobación de lossocios

Disponibilidadpresupuestaria

Actividad2:

Comunicación por parte delos socios dirigida alConsejo de Administraciónpara que cumplan loestablecido en los estatutosde caja de ahorros delIUTLL

01 comunicación Observación

Anual




Solicitud por parte

de los socios



24/44

24

SECCIÓN II

AUDITORÍA INFORMÁTICA

En esta sección se presenta los aspectos relacionados con la auditoría

informática o auditoría en informática, la cual también equivalente a decir,

dependiente del autor, auditoria de sistemas, al respecto de tal definición de

auditoría en informática, Echenique (1987):

“es la revisión y evaluación de los controles, sistemas,

procedimientos de la informática; de los equipos de cómputo, suutilización, eficiencia y seguridad, de la organización que participa en elprocesamiento de la información, a fin de que por el señalamiento decursos alternativos se logre una utilización más eficiente y segura de lainformación que servirá para una adecuada toma de decisiones”. (p.16)

Como podemos ver, es una definición bastante amplia, que abarca parte de

la auditoría interna y que se encarga de llevar a cabo la evaluación de normas,

controles, técnicas y procedimientos que se tienen establecidos en una empresa,

para lograr confiabilidad, oportunidad, seguridad y confidencialidad de lainformación que se procesa a través de computadoras; tal es el caso de la

evaluación informática realizada en la Caja de Ahorros y Préstamos del Personal

Docente del Instituto Universitario de Tecnología de los Llanos.

OBJETIVO GENERAL

Evaluar la operatividad del Sistema Automatizado de Caja de la Ahorros del

IUT de los Llanos.

OBJETIVOS ESPECÍFICOS

Diagnosticar la situación actual del sistema de caja de ahorros y préstamos del

IUT de los Llanos.

Estudiar el entorno donde funciona la caja de ahorros y préstamos del IUT de


25/44

25

los Llanos.

Verificar el cumplimiento de los controles ampliamente aceptados en el uso de

sistemas de información automatizados.

Revisar el uso eficaz en la gestión de los recursos informáticos. Analizar la eficiencia del sistema de caja de ahorros y préstamos del IUT de

los Llanos.

METODOLOGÍA DE LA AUDITORÍA INFORMÁTICA

Existen diversos organismos que presentan estándares y guías prácticas

de desarrollo de auditorías de sistemas de información, las cuales apuntan a

normalizar esta actividad, como por ejemplo las Guías Prácticas de la ISACA

(Information Systems Audit And Control Association), el Libro Naranja

(OrangeBook), las cuales están diseñadas para empresas con estructuras

organizacionales y técnicas muy desarrolladas. Sin embargo estas herramientas

se pueden adecuar y ajustar a las necesidades y fines de la auditoría a realizar.

Tal es el caso de los Checklist o Cuestionarios basados en la Evaluación de

Riesgos (ROA Risk Oriented Approach) de ISACA , “los cuales son utilizados para

determinar un factor de riesgo en las áreas de gestión de los sistemas deinformación”, Piattini, Mario y Del Peso, Emilio(2009).

Dentro de la metodología ROA se seleccionó sólo el estudio de aquellos

aspectos que a juicio de los auditores eran los más relevantes para los fines de la

auditoría a realizar, ellos fueron:

Evaluación de riesgo en la continuidad del procesoSon aquellos riesgos de situaciones que pudieran afectar a la realización

del trabajo informático o incluso que pudieran llegar a paralizarlo, y, por ende,

llegar a perjudicar gravemente a la empresa o incluso también a paralizarla.


26/44

26

Evaluación de riesgo en la eficiencia del servicio informático

Entenderemos como eficiencia del servicio la mejor forma de realizar los

procesos o trabajos, ya sea a nivel económico o técnico, pretendiendo con elanálisis de estos riesgos mejorar la calidad de servicio.

Evaluación de riesgos de la seguridad lógica

Todos aquellos que posibiliten accesos no autorizados a la información

mecanizada mediante técnicas informáticas o de otros tipos.

Evaluación de riesgos de la seguridad físicaComprenderán todos aquellos que actúen sobre el deterioro o aprobación

de elementos de información de una forma meramente física.

Valoración de resultados

La aplicación misma de los cuestionarios de control generan resultados que

deben ser interpretados por los auditores para elaborar posteriormente un informe

de auditoría con las recomendaciones y observaciones a que hubiere lugar.

INSTRUMENTOS PARA LA RECOLECCIÓN DE DATOS

Para la recolección de datos durante la auditoría informática realizada a la

Caja de Ahorros y Préstamos del Personal Docente del IUT de los Llanos, se

aplicaron, al personal que labora en la CAPPDIUTLL, cuestionarios o checklist

para evaluar el riesgo de continuidad de procesos, la eficiencia del servicio

informático (ver anexo #1), el riesgo de seguridad física (ver anexo #2) y el riesgode seguridad lógica (ver anexo #3).

La evaluación de estos aspectos, permitió tener un balance relacionado con

el uso de sistema de información y el entorno donde funciona, así como la


27/44

27

evaluación de los controles preventivos y correctivos, la eficiencia en los

procedimientos informáticos y el buen uso de los equipos de computación.

RESULTADOS DE LA AUDITORÍA INFORMÁTICA

Una vez aplicados los instrumentos para la recolección de datos en la Caja

de Ahorros y Préstamos del Personal Docente del IUT de los Llanos

(CADPIUTLL), en función de la evaluación del sistema de información y los

recursos informáticos, se obtuvo la información necesaria para evaluar los

aspectos referentes a riesgos en la continuidad de procesos, la eficiencia del

servicio informático, la seguridad física y la seguridad lógica, se analizaron los

mismos y el resultado fue el siguiente:

EVALUACIÓN DEL RIESGO DE CONTINUIDAD DE PROCESOS Y EFICIENCIADEL SERVICIO INFORMÁTICO

Para evaluar este aspecto se utilizó una lista de verificación o Checklist

compuesto por veinte (20) ítems, de respuesta cerrada para la evaluación del

riesgo de continuidad de procesos y eficiencia del servicio informático (ver anexo

#1), las respuestas afirmativas revelan que hay mayor posibilidad de riesgo y las

respuestas negativas menor posibilidad de riesgo.

Tabla 9. Eficiencia del servicio informático ycontinuidad de procesos

ALTERNATIVAS Frecuencia (fx) Porcentaje (%)

SI13 65.0

NO7 35.0

TOTAL 20 100.0

Fuente: El Autor (2011)


28/44


29/44

29

estado de cuentas de cada socio, que actualmente no es generado por el

sistema.

En cuanto al soporte técnico, se puede mencionar que el mismo no esoportuno, debido a que casi siempre se realiza a distancia vía telefónica o

mediante algún software de administración remota, lo que implica que para que se

produzca el soporte técnico la persona encargada de realizarlo debe estar

conectado frente al computador remoto y contar con conexión a Internet, lo cual no

siempre es posible.

Por otro lado, la CAPDIUTLL cuenta con una página web donde los sociospueden consultar sus deudas adquiridas, así como la disponibilidad de fondos,

pero la misma no se encuentra en línea por problemas de actualización. El otro

35% está representado por los aspectos que no presentan riesgos en la

continuidad del servicio.

RECOMENDACIONES

Adquisición de otro equipo de computación para poder cumplir con la

continuidad de procesos y no colapsar de trabajo a la única computadora

que existe en la CAPDIUTLL.

Desarrollar un módulo en el sistema que permita el cálculo de los estados

de cuentas por socios y así poder cumplir con lo establecido en el

reglamento de la caja de ahorros, en cuanto a la entrega trimestral de los

estados de cuentas. Contar con el soporte técnico en la localidad para facilitar la resolución de

los problemas que se puedan presentar en cuanto a las fallas que pueda

presentar el sistema.


30/44


31/44

31

A través de las respuestas se pudo verificar que el lugar donde funciona la

oficina de CAPPDIUTLL no corre riesgo de inundación ni de terremoto, siendo esta

una ventaja significativa para la seguridad del departamento; de igual manera, y un

aspecto que beneficia el funcionamiento de esta oficina es que el personal adscritono ha dado indicios de agresividad por alguna disconformidad en el servicio, lo

que garantiza el que no haya posibilidad de sabotaje alguno que vaya en

detrimento del departamento.

No obstante, hubo aspectos que ponen en riesgo la seguridad física, ya que

no se cuenta con la debida vigilancia que resguarde los activos debidamente, lo

cual pone al departamento en peligro de robo, lo que ocasionaría gravesproblemas por toda la información que allí se encuentra. Así mismo, la oficina se

encuentra en riesgo de incendio, al no tener establecidas las medidas mínimas

para evitarlo como presencia de extintores, y la debida precaución para que el

personal no sea expuesto en caso de suceder, puesto que no hay salidas de

emergencia para un eventual accidente que lo cause.

RECOMENDACIONES

Para contrarrestar los riesgos se hace necesario:

Establecer otro lugar para el resguardo de la información en caso de robo o

daños.

Construir salidas de emergencias para el personal que asegure su

integridad en caso de riesgo de peligros.

Establecer un sistema contra incendios, por lo cual se recomienda la

contratación con una empresa de al menos 1 extintor y su mantenimiento

respectivo, según lo indiquen las normas establecidas por la empresa.

Darle la preparación necesaria al personal para que se protejan en caso de

incendio.


32/44

32

De igual manera se hace necesario que se prohíba a través de carteles,

fumar cigarrillos, ingerir alimentos y bebidas en el área donde están

ubicadas las computadoras.

EVALUACIÓN DEL RIESGO DE SEGURIDAD LÓGICA

Para evaluar este aspecto se elaboró un instrumento compuesto por

catorce (14) ítems de respuesta cerrada (ver anexo #3), las preguntas se

redactaron intencionalmente de forma que, las respuestas negativas conducen a

mostrar un alto riesgo en la seguridad lógica y las respuestas afirmativas un bajo

riesgo en la seguridad lógica.

Tabla 11. Riesgo de seguridad lógica

ALTERNATIVAS Frecuencia (fx) Porcentaje (%)

SI5 23.8

NO9 42.9

TOTAL 14 66.7


Gráfico 4. Riesgo de seguridad lógica

Fuente: Tabla 11


33/44

33

El gráfico anterior muestra que existe un 64% de alto riesgo en la seguridad

lógica, pues existen aspectos tales como: que no se cuenta con procedimientos

de respaldo de datos, puesto que no se ha fijado un personal responsable directo

para realizar los respaldos, lo que impide que estos se realicen con la frecuencianecesaria, así como tampoco se realizan los respaldos de manera periódica sino

que los mismos se hacen ocasionalmente y en el mismo disco duro donde

funciona el sistema. Otro detalle muy importante para que la información esté

protegida es resguardar la información en otro lugar para evitar riesgos de

pérdidas de ésta, en caso de incendios, robo o fallas del sistema.

En cuanto al cambio de contraseñas, no existe un plan de cambio decontraseña de manera periódica, de hecho nunca se cambia la contraseña,

además el sistema no valida la longitud ni complejidad de las contraseñas usadas.

El 36% restante de la información obtenida mostró que sistema siempre es

protegido de los virus, ya que se le hacen las debidas actualizaciones al software

antivirus en el tiempo justo, lo que evita los daños que se puedan generar en caso

de la presencia de estos. De igual manera, el sistema operativo se mantiene

actualizado, lo que garantiza funcionamiento del sistema. También el sistema

cuenta con políticas de seguridad como la restricción con contraseñas acceso al

sistema de acuerdo al perfil del usuario y la restricción para el acceso a la base de

datos.

RECOMENDACIONES

En cuanto a la seguridad lógica, existen algunos fallos que se debenatender urgentemente para evitar pérdida de datos, tal es el caso de:

La aplicación de un plan de respaldo periódico de la data.

Además de usar el mismo disco duro donde funciona el sistema, se debe


34/44

34

respaldar la data en CD- ROM o en Pendrive destinado sólo para

respaldos.

El resguardo de la información en un lugar seguro, tanto dentro como fuera

de la institución.

Alojar los respaldos en servidores de respaldos en línea, para contar con

los datos en caso de problemas mayores.

Establecer un plan de cambios de contraseñas, para evitar plagios y por

consiguiente mal uso del sistema por personal no autorizado y validar la

longitud y complejidad de las mismas.


35/44

35

CONCLUSIONES

Una vez finalizada esta investigación se puedo determinar que la auditoriainformática sirve como herramienta para evaluar una serie de aspectos que tienen

que ver con el funcionamiento eficiente de los sistemas de información dentro de

las instituciones y la gestión de los recursos informáticos. En esta investigación se

utilizaron instrumentos para el levantamiento de información precisa sobre cada

una de las áreas a ser auditadas para este caso, listas de verificación o Checklist

para evaluar los riesgos en: la continuidad del servicio, la seguridad física y la

seguridad lógica del departamento de Caja de Ahorro y Préstamo del PersonalDocente del IUTLL.

Este diagnóstico que permitió conocer detalles de su funcionamiento,

algunas áreas críticas, debilidades, fortalezas en la realización de sus procesos,

para luego establecer una serie de recomendaciones encaminadas a mejorar la

calidad de los proceso, el servicio prestado a los asociados y el buen uso de los

equipos de computación existentes.

Además de esto, dicha auditoría o evaluación de riesgos se hizo para

verificar el cumplimiento de normas y procedimientos que permitan el

cumplimiento con calidad en la información y mejor atención al personal adscrito.

De allí que se analizaron los resultados de unos instrumentos aplicados para

recoger la información, permitiendo éstos confrontar la realidad con los objetivos

propuestos y poder hacer lagunas recomendaciones para minimizar la exposición

al riesgo y dar garantía, confiabilidad, y disponibilidad de la información.


36/44

36

RECOMENDACIONES GENERALES

Cuando se hace un estudio con miras a mejorar situaciones en unaorganización, se espera que los responsables acojan con beneplácito las reformas

que se sugieran lo cual garantiza que el funcionamiento sea el mejor. Por lo que,

en este caso se hizo un estudio profundo del departamento de caja de ahorro, el

cual arrojó aspectos que coadyuvarán en el mejoramiento del desenvolvimiento y

consiguientes resultados positivos en la atención a los docentes.

En primer lugar, el resumen narrativo expresado en el cuadro matriz marcológico muestra todos los puntos que fueron arrojados luego de un estudio

minucioso al departamento y allí están establecidas todas las actividades que

conllevarán al logro de los fines y propósito de la investigación. Por lo que se hace

necesario que se considere la puesta en práctica de lo indicado para un óptimo

funcionamiento.

De igual manera, es necesario que se tome en cuenta lo recomendado en

la auditoría realizada, una vez aplicados los instrumentos y analizados los

resultados obtenidos, ya que se puede observar que en cuanto a la funcionalidad

del sistema, aunque el mismo es bastante completo para llevar el control de

préstamos, existen algunos aspectos que no se cubren a cabalidad, por lo que se

recomienda mejorar dicho sistema de información agregándole la funcionalidad

necesaria para cubrir estas deficiencias, y otras, para las que también se hacen

las debidas recomendaciones.


37/44

37

REFERENCIAS

Echenique, José A. (1997). Auditoría en Informática. McGraw-Hill Inter-americanade México.

Ortegón, Edgar y Otros (2005). Metodología del marco lógico para la planificación,el seguimiento y la evaluación de proyectos y programasPublicaciones de la Unesco - CEPAL.

Piattini, Mario y Peso, Emilio (2009). Auditoría Informática (Un EnfoquePráctico). Editorial: RA-MA


38/44

38

[ANEXOS]


39/44

39

Anexo #1. Cuestionario para la evaluación del riesgo de continuidad de procesos yeficiencia del servicio informático.

AUDITORÍA INFORMÁTICA A LA CAJA DE AHORRO Y PRÉSTAMO DELPERSONAL DOCENTE DEL INSTITUTO UNIVERSITARIO DE TECNOLOGÍA

DE LOS LLANOS(CAPPDIUTLL)

CHECKLIST: EVALUACIÓN DEL RIESGO DE CONTINUIDAD DE PROCESOS YEFICIENCIA DEL SERVICIO INFORMÁTICO

FECHA:30/05/2011

AUDITOR:JAIRO CARBALLO

PREGUNTAS OPCIONES

1. ¿Los equipos de computación funcionan adecuadamente? Si [ x ] NO[ ]

2. ¿Existen algún computador que tenga conexión a Internet? Si [ x] NO[ ]

3. ¿Cuentan con el paquete de programas ofimáticos? Si [ x ] NO[ ]

4. ¿Cuentan con un sistema manejador de base de datos? Si [ x ] NO[ ]

5. ¿Cuentan con software antivirus actualizado? Si [ x ] NO[ ]

6. ¿Cuentan con un sistema de información automatizado? Si [ x ] NO[ ]

7. ¿Todos los procesos se realizan de forma automatizada? Si [ ] NO[ x ]

8. ¿El sistema de información es de fácil manejo? Si [ x ] NO[ ]

9. ¿El sistema tiene la capacidad de responder a todas lasnecesidades de información de los asociados? Si [ ] NO[ x ]

10. ¿El sistema ejecuta todos los procesos de manerasatisfactoria?

Si [ x ] NO[ ]


40/44

40

Anexo #1. (Continuación)11. ¿En el sistema de información ejecuta sus procesos sin

errores?Si [ x ] NO[ ]

12. ¿Los demás procesos pueden continuar aún en presenciade errores? Si [ x ] NO[ ]

13. ¿Los reportes que genera el sistema de información sonsuficientes para la toma de decisiones?

Si [ ] NO[ x ]

14. ¿El sistema de información genera todos los reportesnecesarios para la ejecución de procesos?

Si[ ] NO[ x ]

15. ¿Cuentan con soporte técnico oportuno? Si[ ] NO[ x ]

16. ¿Existe un usuario administrador del sistema? Si[ x ] NO[ ]

17. ¿Se le permite el uso del sistema a personal no

autorizado?

Si[ ] NO[ x ]

18. ¿Cuentan con un manual del sistema? Si [ x ] NO[ ]

19. ¿Cuentan con página web para consulta en línea? Si [ x ] NO[ ]

20. ¿La página web se mantiene actualizada constantemente? Si [ ] NO[ x ]

Fuente: El Autores (2011)


41/44

41

Anexo #2. Cuestionario para la evaluación del riesgo de seguridad informática.

AUDITORÍA INFORMÁTICA A LA CAJA DE AHORRO Y PRÉSTAMO DELPERSONAL DOCENTE DEL INSTITUTO UNIVERSITARIO DE TECNOLOGÍA DELOS LLANOS (CAPPDIUTLL)

CHECKLIST: EVALUACIÓN DEL RIESGO DE SEGURIDAD FÍSICA

FECHA:30/05/2011

AUDITOR:JAIRO CARBALLO

PREGUNTAS OPCIONES

1. ¿El edificio donde funciona la oficina de la caja de ahorros estálibre de inundación?

Si [ x ] NO[ ]

2. ¿El edificio donde funciona la oficina de la caja de ahorros está

libre de terremoto? Si [ x ] NO[ ]

3. ¿El edificio donde funciona la oficina de la caja de ahorros estálibre de terremoto?

Si [ ] NO[ x ]

4. ¿El edificio donde funciona la oficina de la caja de ahorros estálibre de sabotaje?

Si [ ] NO[ x ]

5. ¿En la oficina de caja de ahorros existe salida de emergencia? Si [ ] NO[ x ]

6. ¿Existen cámaras de seguridad? Si [ ] NO[ x ]

7. ¿Existe vigilancia privada en las oficinas de caja de ahorros? Si [ ] NO[ x ]

8. ¿Existen prohibiciones de no fumar en el área de trabajo? Si [ ] NO[ x ]

10. ¿Existen prohibiciones de no ingerir alimentos ni bebidas enel área de trabajo?

Si [ ] NO[ x ]

12. ¿Se ha tomado medidas para minimizar la posibilidad de unincendio?

Si [ ] NO[ x ]

13. ¿La oficina de caja de ahorros está libre de artículos u objetosinflamables?

Si [ ] NO[ x ]

14. ¿En la oficina de caja de ahorros existen alarmas paradetectar incendio? Si [ ] NO[ x ]

15. ¿Existen extintores de incendio? Si [ ] NO[ x ]

16. ¿Al personal se le capacita para el manejo de extintores deincendios? Si [ ] NO[ x ]


42/44

42

Anexo #2. (Continuación)

17. ¿Los interruptores de energía están debidamente protegidos,etiquetados y al alcance? Si [ x ] NO[ ]

18. ¿Los equipos de computación se les hace mantenimientopreventivo? Si [ x ] NO[ ]

19. ¿Se ha adiestrado a todo el personal en la forma en que sedeben desalojar las instalaciones en caso de emergencia? Si [ ] NO[ x ]

20. ¿Existen UPS o unidad de alimentación ininterrumpida, paraprevenir fallos eléctricos?

Si [ x ] NO[ ]



43/44


44/44

Tabla #3. Continuación

13. ¿Los respaldos se depositan fuera del recinto donde funciona lacaja de ahorro?

Si [ ] NO[ x ]

14. ¿Los respaldos se alojan en servidores de respaldos en línea? Si [ ] NO[ x ]


Pst IV-Auditoria Informatica a la Caja de Ahorros del Personal Docente del IUT de los Llanos

Documents

Transcript of Pst IV-Auditoria Informatica a la Caja de Ahorros del Personal Docente del IUT de los Llanos