Transcription
UNIVERSIDAD DE EL SALVADORFACULTAD MULTIDISCIPLINARIA PARACENTRALDEPARTAMENTO DE CIENCIAS ECONÓMICASLICENCIATURA EN CONTADURÍA PÚBLICATRABAJO DE GRADUACIÓN“PROPUESTA DE LINEAMIENTOS PARA EJECUTAR UNA AUDITORÍA DESISTEMAS CON IMPLEMENTACIÓN COBIT 5, PARA LAS COOPERATIVASDE AHORRO Y CRÉDITO DEL DEPARTAMENTO DE SAN VICENTE.”TRABAJO DE GRADUACIÓN PRESENTADO POR:BR. JASMIN VANESSA AVELAR GALDÁMEZBR. KAREN DANIELA ROSA PALACIOSBR. KENNY MARICELA MINERO CUCHILLAREQUISITO PARA OPTAR AL TÍTULO DE:LICENCIADA EN CONTADURÍA PÚBLICASAN VICENTE, JUNIO 2019
AUTORIDADES DE LA UNIVERSIDAD DE EL SALVADORRector: Maestro Roger Armando Arias AlvaradoVicerrector Académico: Dr. Manuel de Jesús Joya ÁbregoVicerrector Académico: Ing. Nelson Bernabé GranadosSecretario General: Lic. Cristóbal Hernán Ríos BenítezAUTORIDADES DE LA FACULTAD MULTIDISCIPLINARIA PARACENTRALDecana: Licda. Msc. Yolanda Cleotilde Jovel PonceVicedecano: Lic. Luis Alberto Mejía OrellanaSecretaria: Licda. Msc. Elida Consuelo Figueroa de FigueroaJEFE DEL DEPARTAMENTO DE CIENCIAS ECONÓMICASLic. Msc. Nelson Wilfredo Escoto CarrilloASESORES DEL PROCESO DE GRADUACIÓNCoordinador del proceso: Lic. Msc. José Oscar Ayala EstradaAsesora Metodológica: Inga. Msc. Maira Carolina Molina de LópezAsesor Especialista: Ing. Msc. Jhony Francy Cruz VenturaAsesor Especialista: Lic. Raúl Antonio Paredes SoteloTRIBUNAL EVALUADORIng. Msc. Jhony Francy Cruz VenturaLic. Raúl Antonio Paredes SoteloIng. Msc. Benigna Lorena Martínez de GuzmánJUNIO, 2019SAN VICENTE, EL SALVADOR, CENTROAMÉRICAi
AgradecimientosAgradezco primeramente a Dios por permitirme alcanzar ésta meta, por lo fiel ybueno que ha sido conmigo y con mi familia. Agradezco a mis padres por haberme apoyadosiempre, por el esfuerzo de mi papá Esaú Avelar, por ver a su hija pequeña convertirse enuna profesional. A mi mamá Blanca Galdámez, por el apoyo emocional y por sus oracionesque nunca faltaron.Agradezco a mis hermanas Yessica Avelar y Erika Avelar, familiares, amigos y enespecial a Kevin Hernández, que siempre me apoyaron, deseándome siempre lo mejor yanimándome en éste proceso.Gracias a mis compañeras de tesis, especialmente a Daniela Rosa, por todo el esmero,dedicación y paciencia para lograr el presente.Finalmente y no menos importante, a todos los docentes que compartieron de susconocimientos a lo largo de nuestra carrera y especialmente a Ing. Jhony Ventura y Lic. MairaMolina, que fueron nuestros asesores de tesis por su dedicación y apoyo.Br. Jasmin Vanessa Avelar Galdámezii
A DIOS Y LA VIRGEN MARIA: por darme inteligencia, sabiduría y salud paracumplir con esta meta, a pesar de cualquier dificultad siempre confiando en su amor ymisericordia.A MI PAPÁ: Cristo Rosa por siempre tener en mente lo mejor para mí, por animarmea ser mejor persona, por el amor, esfuerzo y sacrificio de todos los días, con el único anhelode dar lo mejor para sus hijos a pesar de la distancia.A MI MAMÁ: Nuria Palacios por enseñarme que no hay barreras cuando se quierelograr una meta, por su ejemplo de perseverancia y valentía ante los obstáculos.MIS HERMANOS: Cristopher Rosa y Amy Rosa por su amor incondicional y apoyoen todo este proceso.MI ABUELITA: Julita Rosa (QDDG) quien empezó conmigo este camino y aunqueya no está, me enseño que en todo momento debo agradecer y encomendar todos mis planesa Dios y a la Virgen María.JASMIN AVELAR Y FAMILIA AVELAR GALDÁMEZ: gracias por recibirme,apoyarme y hacerme parte de su familia.DOCENTES: por el apoyo a través de sus conocimientos en todo el desarrollo de micarrera profesional, en especial al Ing. Jhony Ventura y Lic. Maira Carolina Molina de Lópezpor guiarme en el desarrollo de este trabajo de graduación.Br. Karen Daniela Rosa Palaciosiii
Índice de ContenidoÍndice de Contenido . ivIntroducción . 10Capítulo 1. Planteamiento del Problema . 121.1. Determinación . 121.2. Delimitación . 151.3. Alcance . 181.4 Justificación . 191.5Objetivos . 22Capítulo 2. Marco Teórico. 232.1 Antecedentes. 232.2 Consideraciones Legales . 252.2.1. Aspectos generales de las asociaciones cooperativas . 252.2.2 Principios Cooperativos. 272.2.3 Tipos de Cooperativas en El Salvador. 282.2.4 Normas internacionales de auditoria relativas a la auditoria de sistemas. 312.2.5 Normas generales para los sistemas de auditoría de la información . 342.2.6 Leyes relacionadas al ejercicio de la Contaduría pública . 372.3 Aspectos Teóricos de la Auditoria y los Sistemas Informáticos . 382.3.1 Definición de Auditoria y sus Componentes . 382.3.2 Relación de la auditoria con los sistemas informáticos . 402.3.3 Tipos de Auditoría Informática . 412.3.4 Auditoría de Seguridad Informática . 432.4. Marco Técnico . 432.4.1 Relación de Modelos de Gestión COSO Y COBIT . 432.4.2 Estándares Específicos . 46ISO 27001 . 46ISO 15504 . 47ISO 12207 . 47ISO/IEC . 473. Diseño Metodológico . 49iv
3.1. Tipo de Estudio. 503.2. Área de Estudio . 503.3. Población y Muestra . 513.3.1 Población . 513.3.2 Tipo de Muestreo . 513.4. Preguntas de investigación . 523.6. Método, Técnicas e Instrumentos de Recolección de Datos . 533.6.1. Método . 533.6.2 Técnicas e Instrumentos . 543.6.3. Plan de Tratamiento, Análisis y Presentación de la Información . 563.7. Resultados Esperados . 563.8. Supuestos y Riesgos . 563.9. Consideraciones Éticas . 57Capítulo 4. Análisis de los resultados de la investigación . 584.1. Análisis general de las cooperativas de ahorro y crédito del departamento de SanVicente. . 584.2. Análisis y situación actual del modelo de control interno implementado en lascooperativas de ahorro y crédito del departamento de San Vicente. . 594.3. Aspectos relacionados a la auditoría de sistemas . 634.4. Incidencia del recurso humano en la auditoría de sistemas . 664.5 Análisis de aspectos relacionados con el área tecnológica. . 684.5.1 Seguridad Física . 684.5.2 Seguridad Lógica . 694.5.3 Recurso Humano . 704.5.4 Procesos Realizados . 724.6. Análisis de los resultados utilizando el método de causa y efecto también conocidocomo Ishikawa. . 734.6.1 Análisis de la Cooperativa A . 734.6.2 Análisis de la Cooperativa B . 754.6.3 Análisis de la Cooperativa C . 764.7 Análisis general de las cooperativas A, B y C método ISHIKAWA . 774.8 Conclusiones. 784.9 Recomendaciones . 79v
4.10 Plan de intervención . 80Capítulo V: Propuesta de Lineamientos para Ejecutar una Auditoría de Sistemas conImplementación COBIT 5, para las Cooperativas de Ahorro y Crédito del Departamento deSan Vicente, año 2018. . ¡Error! Marcador no definido.Introducción a la propuesta. 83Estructura de COBIT 5 . 85Principios de COBIT 5 . 85Principio 1 Satisfacer las necesidades de las partes interesadas . 86Principio 2 Cubrir la empresa de extremo a extremo . 90Principio 3 aplicaciones de marcos de referencia . 90Principio 4 hace posible un enfoque holístico . 90Principio 5 Separa el gobierno de la gestión . 94ASEGURAMIENTO . 95Perspectivas de Aseguramiento . 95Modelo Genérico de Catalizadores. 95Gestión del Rendimiento de los Catalizadores . 98Perspectiva de la función de aseguramiento . 99DESARROLLO DE PROPUESTA PARA LA ASOCIACION COOPERATIVA DEAHORRO Y CREDITO . 100Catalizador 1: Principios, Políticas y Marcos . 101Perspectiva de la Función de Aseguramiento: Principios, Políticas y Marcos deReferencia relacionadas con el Aseguramiento. . 103Lineamientos para la creación de una política para aseguramiento . 103Evaluación de Política para Aseguramiento . 107Catalizador 2: Procesos . 110Perspectiva de la Función de Aseguramiento: Procesos de apoyo a la función deaseguramiento. . 112Lineamientos para evaluar un proceso con base al Modelo de Capacidad de losProcesos de COBIT 5 . 115Evaluación de un Proceso con base al Modelo de Capacidad de los Procesos deCOBIT 5 . 119Catalizador 3: Estructuras Organizativas . 124Perspectiva de la Función de Aseguramiento: Estructuras Organizativas Relacionadascon Aseguramiento . 125Lineamientos para la elaboración de la matriz RACI de la Asociación Cooperativa 127vi
Evaluación de las Estructuras Organizativas . 135Catalizador 4: Cultura, Ética y Comportamiento. . 137Perspectiva de la función de Aseguramiento: Cultura, Ética y Comportamientorelacionados con Aseguramiento . 139Lineamientos para influir en la ética, cultura y comportamiento . 140Evaluación de Cultura, Ética y Comportamiento . 142Catalizador 5: Información . 144Perspectiva de la función de Aseguramiento: Servicios, Infraestructura y Aplicaciones. 147Lineamientos para el aseguramiento de la información . 147Evaluación de la información . 150Catalizador 6: Servicios, Infraestructuras y Aplicaciones. . 153Perspectiva de la función de Aseguramiento: Servicios, Infraestructura y Aplicaciones. 155Lineamientos para nuevas aplicaciones y servicios de aseguramiento . 156Evaluación de los servicios prestados por el área tecnológica usando el modelo deCOBIT PAM . 158Catalizador 7: Personas, Habilidades y Competencias . 167Perspectiva de la función de Aseguramiento: Personas, Habilidades y Competencias. 168Lineamientos para el desarrollo de habilidades y competencias . 170Evaluación de Personas, Habilidades y Competencias . 172Referencias . 174Anexos . 178Anexo 1: ChecklistsAnexo 2: EntrevistasAnexo 3: Cuestionariosvii
Índice de figurasFigura 1. Dominios de Cobit 5 . 17Figura 2: Evolución histórica de la contabilidad y la auditoria . 25Figura 3. Evolución de COBIT. 49Figura 4: Situación actual del Control Interno en la cooperativa A . 74Figura 5: Situación actual del Control Interno en la cooperativa B . 75Figura 6: Situación actual del Control Interno en la cooperativa C . 76Figura 7: Estructura de COBIT 5 . 84Figura 8: Creación de Valor. . 87Figura 9: Modelo de referencia de procesos de COBIT 5 . 93Figura 10: Estructura de partes interesadas . 96Figura 11: Modelo Genérico de Catalizadores. . 99Figura 12: Relación de las Metas según COBIT 5 . 111Figura 13: Modelo de capacidad de procesos . 115Figura 14: Ciclo de vida genérico de la información . 145Figura 15: Capas de la información . 146Figura 16: Pasos para evaluar con el modelo de COBIT PAM . 158Índice de tablasTabla 1. Principios de las Asociaciones Cooperativas . 27Tabla 2. Leyes relacionadas al ejercicio de la Contaduría Pública . 37Tabla 3. Tipos de Auditoría Informática . 41Tabla 4: Definición del área de estudio . 51Tabla 5. Supuestos y Riesgos . 57Tabla 6: Plan de Intervención . 81Tabla 7: Metas Corporativas de COBIT 5 . 88Tabla 8: Metas de Información y tecnología relacionada. 89Tabla 9: Desarrollo de la Propuesta . 100Tabla 10: Procesos para la Función de Aseguramiento . 112Tabla 11: Descripción de los niveles de capacidad de los procesos . 116Tabla 12: Descripción de escalas y ratios de capacidad . 118Tabla 13: Estructura organizativa para brindar aseguramiento . 126Tabla 14: Definición de las siglas RACI) . 128Tabla 15: Matriz RACI adaptada a la Asociación Cooperativa ABC . 129Tabla 16: Descripción detallada de la estructura organizativa: Consejo deAdministración/Comisión de Auditoría . 130Tabla 17: Descripción detallada de la estructura organizativa: Departamento de Auditoría. 131Tabla 18: Descripción detallada de la estructura organizativa: Departamento deCumplimiento . 133viii
Tabla 19: Prácticas que influyen en la cultura, ética y comportamiento de aseguramiento. 140Tabla 20: Universo de Aseguramiento . 148Tabla 21: Servicios y aplicaciones de soporte . 156Tabla 22: Procesos de COBIT 5 relacionados a los servicios de TI en la AsociaciónCooperativa ABC . 160Tabla 23: Evaluación del nivel de capacidad 1 del proceso APO13. Gestionar la Seguridad. 161Tabla 24: Evaluación del nivel de capacidad 1 del proceso BAI09. Gestionar los activos 162Tabla 25: Evaluación del nivel de capacidad 2 del proceso BAI09. Gestionar los activos. 163Tabla 26: Evaluación detallada del proceso APO 13. Gestionar la Seguridad . 165Tabla 27: Evaluación detallada del proceso BAI09. Gestionar los activos . 165Tabla 28: Habilidades y Competencias para el profesional de aseguramiento . 170Índice de GráficasGráfica 1: Características del control interno de las asociaciones cooperativas . 62Gráfica 2: Situación actual de la auditoría de sistemas dentro de las asociacionescooperativas . 64Gráfica 3: Conocimiento sobre la auditoría de sistemas por parte del recurso humano en lasasociaciones cooperativas . 67ix
IntroducciónEl propósito de este trabajo, es presentar lineamientos para apoyar la ejecución de unaauditoria de sistemas a desarrollar en las Cooperativas de Ahorro y Crédito del departamentode San Vicente. Al igual que la auditoría financiera, la auditoría de sistemas busca protegerlos activos de las empresas pero con énfasis en las Tecnologías de Información (TI).Para el desarrollo de este trabajo, se utilizará el modelo de gestión COBIT 5,enfocándose más en evaluar el nivel de eficacia con el que son utilizados los sistemas y elrecurso humano, para conocer si estos le agregan valor a las actividades desarrolladashaciendo uso de nuevas tecnologías que aporten a la razón de ser de la organización.El documento está dividido en cinco capítulos con la siguiente estructura:En el capítulo I, se presenta el planteamiento del problema enfocado en ladeterminación, delimitación, alcance y justificación. Además, el objetivo general de lainvestigación y los objetivos específicos.En el capítulo II, se muestra el marco teórico iniciando con una reseña sobre laevolución histórica de la contaduría pública, la auditoria de sistemas y aspectos generales delcooperativismo tales como principios cooperativos y división de estas según el tipo deoperaciones. Se presenta también el marco técnico y legal referido a las asociacionescooperativas de ahorro y crédito y relacionadas con la auditoria de sistemas y marcos degestión.El capítulo III, describe la metodología aplicada a la investigación, definiendo el tipode estudio, área de estudio, población y muestra, preguntas de investigación y10
operacionalización de los objetivos; continuando con el análisis y procesamiento de lainformación.El capítulo IV, presenta el análisis de los resultados de la investigación realizada enel capítulo anterior. Se analiza la situación actual de las cooperativas de forma conjunta frenteal tema de investigación, considerando a los elementos sobresalientes dentro de una auditoríade sistemas. También, se presenta el análisis separado de cada cooperativa utilizando elmétodo de Ishikawa. Al finalizar el capítulo se presentan las conclusiones, recomendacionesy el desarrollo del plan de intervención por parte del equipo de trabajo para iniciar con elúltimo capítulo: la propuesta.El capítulo V: Está dividido en dos partes, en la primera parte se presenta la teoríanecesaria para comprender los procedimientos de COBIT 5 para brindar aseguramiento(auditoría). En la segunda parte, se presentan los siete catalizadores. Cada uno presenta ladescripción de la función de aseguramiento, los lineamientos para iniciar a brindaraseguramiento y finalizando con una evaluación del catalizador, desarrolladas con base aconsideraciones teóricas y prácticas de COBIT 5 para Aseguramiento.11
Capítulo 1. Planteamiento del Problema1.1. DeterminaciónEn la actualidad, los avances tecnológicos son importantes para cualquier empresa,institución o negocio por muy pequeño que parezca, por ejemplo: la mayor parte de lasempresas poseen al menos un equipo informático, esto demuestra que la tecnología estápresente en cualquier institución, con ello surgen las tecnologías de la información las cualesfacilitan el acceso a la información a través del internet desde cualquier parte del mundo, estoes uno de los avances más importantes en los últimos años ya que con el transcurso del tiempola información se ha vuelto valiosa.Las empresas utilizan al máximo las tecnologías con el fin de alcanzar sus metas ydesarrollar sus actividades eficazmente. Con los avances tecnológicos, buscan facilitar elprocesamiento de información. Sin embargo, la información valiosa de una empresa al seradministrada en un equipo informático, debe ser protegida.La información financiera, los controles de inventario, listados de proveedores y declientes; la información sobre el recurso humano como las planillas de pago, las transaccionesmonetarias entre otros, forman parte de los archivos o procesos realizados a través de equiposinformáticos en cualquier empresa; proteger esa información es un reto constante pues conesto han surgido los riesgos, tales como: equipo defectuoso o daños por el uso inadecuado,pérdida parcial o total de la información, extracción o manipulación no autorizada de losdatos, cortes de energía eléctrica, entre otros.El riesgo puede provenir de diversas áreas, pueden ser externas (que provenga fuerade la empresa) o internas (de los trabajadores de la empresa), el daño puede ser físico12
(hardware, medio ambiente de trabajo, accidentes, entre otros) o lógico (software como:antivirus, firewalls (cortafuegos), seguridad wireless (inalámbrico), procesos internos, entreotros), y pueden ser casos fortuitos como desastres naturales. También existe el riesgo a lapérdida de privacidad, la amenaza constante de hurto y pérdida de la información valiosa,incluso el fraude electrónico como resultado de ataques cibernéticos. Esto representa lavulnerabilidad a la que se enfrentan las empresas frente a sucesos que pueden ocurrir encualquier momento.La vulnerabilidad ante estos riesgos es latente para cualquier institución que haga usode las tecnologías en el desarrollo de sus actividades. Hasta la fecha, se han presentadodiversos casos de violación a los sistemas informáticos en los cuales se ha hurtado, cambiadoo incluso borrado la información por personas malintencionadas, sin embargo, el objetivoprincipal de los hackers (Piratas informáticos (R.A.E.)) es el dinero. Algunos casos se citana continuación:En países más desarrollados como Estados Unidos, crearon una unidad especialllamada IC3 del inglés Internet Crime Complaint Center (Centro de Quejas contra Delitos enInternet), que forma parte del FBI del inglés Federal Bureau of Investigation (Oficina Federalde Investigaciones), según el último reporte emitido sobre el crimen informático a nivelmundial durante el período del año 2012 al 2016, IC3 recibió un total de 1,408,849 quejas, yuna pérdida total reportada de 4.63 billones alrededor del globo. (FBI, 2016, pág. 2).Las grandes empresas han tomado medidas de seguridad
sistemas con implementaciÓn cobit 5, para las cooperativas de ahorro y crÉdito del departamento de san vicente." trabajo de graduaciÓn presentado por: br. jasmin vanessa avelar galdÁmez br. karen daniela rosa palacios br. kenny maricela minero cuchilla requisito para optar al tÍtulo de: licenciada en contadurÍa pÚblica san vicente .
