FACULTAD DE INGENIERÍA Y ARQUITECTURA ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS TESIS: “PROPUESTA DE UNA METODOLOGÍA DE AUDITORÍA INFORMÁTICA PARA LA OFICINA DE AUDITORÍA INTERNA DE LA UNIVERSIDAD ANDINA DEL CUSCO” Presentado por: Br. Daniela Alexandra Palomino Sysoeva Br. Carolina Almendra Villegas Rojas Para optar el título profesional de ingeniero de sistemas. Asesor: Ing. Iván Molero Delgado CUSCO - PERÚ 2022 Dedicatoria Esta tesis está dedicada a mi papá Emilio Palomino Olivera y a mi mamá Irina Sysoeva quienes con su cariño, paciencia y gran soporte me permitieron alcanzar este punto en el ámbito profesional, agradecerles por todo el esfuerzo que realizaron para darme la educación, inculcar en mí el ejemplo de esfuerzo y responsabilidad ante todas las adversidades, gracias por acompañarme en todo este proceso y ayudarme a seguir adelante. A mi compañero de vida Iordan quien con su amor y apoyo incondicional me animaba y me empujaba a seguir adelante y no rendirme, estando siempre a mi lado. A mis hermanas Gabriela y Aliona quienes a pesar de la distancia me daban sus palabras de aliento las cuales me permitían avanzar. Daniela Alexandra Palomino Sysoeva La siguiente tesis quiero dedicársela primero a Dios por dame el conocimiento y el impulso para seguir con este esperado y significativo instante en mi vida como futura ingeniera de sistemas. A la memoria de mi papi Abel Villegas Covarrubias por su esfuerzo y sacrificio en educarme hasta el último día de su existencia, aunque ya no este físicamente tengo en mi mente cada palabra y consejo suyo para poder afrontar la vida más adelante. A mi mami Elizabeth Rojas Concha, una mujer grandiosa y el pilar más significativo en mi vida, quien dio todo por mí y a la que le debo lo que soy hoy en día, le dedico esta tesis por cuidar siempre mi bienestar, formación y darme su amor incondicional. A mis hermanas Kiara, Itala y Tatiana, ya que su compañía y sus palabras han sido aliento importante para mí. A mi sobrino Mauricio que me da tantas energías y me llena de amor todos los días. Carolina Almendra Villegas Rojas ii Agradecimientos Queremos expresar nuestro profundo agradecimiento primeramente a nuestro asesor el Ingeniero Iván Molero Delgado, quien con su seguimiento y sus exigencias nos permitió alcanzar hasta punto en nuestra vida profesional y llegar a ser Ingenieras de Sistemas. Agradecer también al Magister CPC. Jorge Oscar Trigoso Delgado quien nos pudo brindar todas las facilidades y todo el tiempo que disponía para poder realizar esta tesis. Asimismo, agradecer a los ingenieros que fueron nuestros dictaminantes la Ingeniera Lida León Núñez y el Ingeniero Harry Gonzales Condori quienes con sus observaciones y exigencias nos ayudaron en la presentación de esta tesis, finalmente a nuestro replicantes la Ingeniera Mónica Marca Aima y el Ingeniero William Chávez Espinoza quienes al brindarnos sus observaciones nos permitieron mejorar nuestra tesis. Daniela Alexandra Palomino Sysoeva Carolina Almendra Villegas Rojas iii Presentación La presente tesis titulada “Propuesta de una metodología de auditoría informática para la Oficina de Auditoría Interna de la Universidad Andina del Cusco” consta de 4 capítulos: El capítulo 1 – Problema de Investigación, se establece la finalidad de la tesis, se describe el problema que motivo a realizar la investigación y se explican los objetivos de la investigación. El capítulo 2 – Marco Teórico, se presentan los planteamientos teóricos de la realidad archivística sobre la investigación. El capítulo 3 – Desarrollo, Implementación o Transferencia Tecnológica, se muestra el desarrollo de la propuesta metodológica dividida en 4 fases: Toma de contacto y aspectos generales, planificación de la operación de la auditoría informática, desarrollo y elaboración de la auditoría informática. El capítulo 4 – Resultados, se ve el resultado final de la propuesta que sería la aprobación por parte del jefe de la Oficina de Auditoría, se presenta el cumplimiento de los objetivos y las contribuciones de la investigación. iv Resumen La tesis, tiene por finalidad presentar una metodología del proceso de auditoría informática en las direcciones de TI de las entidades privadas de nuestra región, y se toma como referencia la Oficina de Auditoría de la Universidad Andina del Cusco, para que dicha oficina avale nuestra propuesta metodológica y la utilice en un futuro cercano. Los alcances, además del procedimiento, son propuestas de formatos para cada fase, las que se desarrollarán de manera intuitiva y lógica, adaptándose a los procedimientos que la oficina de auditoría de nuestra universidad tiene ya implantada, con esto, también dictamos un alcance explicativo que propone una forma de seguir con las actividades de cada fase ayudándose en los formatos adjuntos para la viabilidad del proceso de Auditoría informática a la Dirección de TI de nuestra Universidad. Para esta propuesta se contó con la colaboración del jefe de la oficina de auditoría, quien coadyuvó con información de vital importancia; y que ésta, permitió adaptar la propuesta a sus requerimientos. La propuesta metodológica consta de cuatro fases y son: Fase 1: TOMA DE CONTACTO Y ASPECTOS GENERALES Fase 2: PLANIFICACIÓN DE LA OPERACIÓN DE LA AUDITORÍA INFORMÁTICA. Fase 3: DESARROLLO Y EJECUCIÓN DE LA AUDITORÍA INFORMÁTICA Fase 4: ELABORACION DEL INFORME DE LA AUDITORÍA INFORMÁTICA En cada una de estas fases se proponen también subactividades, algunas con formatos que dictan evidencias desarrolladas y que permitirán formar opinión al auditor. Finalmente, de las coordinaciones con el jefe de auditoría de la Universidad Andina del Cusco, se obtiene el visto bueno, acompañado de una constancia que indica lo viable y aplicable de la propuesta metodológica para el proceso de auditoría a la Dirección de TI y así poder conducir y recomendar pautas y estándares para un manejo eficiente de las tecnologías y sistemas de la información en nuestra Universidad Andina del Cusco. v Abstract The purpose of this thesis is to present a methodology for the computer audit process in the IT departments of private entities in our region, and the Audit Office of the “Universidad Andina del Cusco” is taken as a reference, so that said office endorses our methodological proposal and use it in the near future. The scopes, in addition to the procedure, are proposed formats for each phase, which will be developed in an intuitive and logical way, adapting to the procedures that the audit office of our university has already implemented, with this, we also dictate an explanatory scope that proposes a way to continue with the activities of each phase using the attached formats for the viability of the IT Audit process to the IT Directorate of our University. This proposal included the participation of the head of the audit office, who contributed information of vital importance; and that this allowed the proposal to be adapted to their requirements. The methodological proposal consists of four phases and they are: Phase 1: MAKING OF CONTACT AND GENERAL ASPECTS Phase 2: PLANNING OF THE COMPUTER AUDIT OPERATION. Phase 3: DEVELOPMENT AND EXECUTION OF THE COMPUTER AUDIT Phase 4: PREPARATION OF THE COMPUTER AUDIT REPORT Sub-activities are also proposed in each of these phases, some with formats that dictate developed evidence and that will allow the auditor to form an opinion. Finally, from the coordination with the head of audit of the Universidad Andina Cusco, the approval is obtained, accompanied by a certificate that indicates the feasibility and applicability of the methodological proposal for the audit process to the IT Directorate and thus be able to conduct and recommend norms and standards for a well-organized use of information technologies and systems in our Universidad Andina del Cusco. vi Índice Dedicatoria ................................................................................................................................... ii Agradecimientos ......................................................................................................................... iii Presentación ................................................................................................................................ iv Resumen ....................................................................................................................................... v Abstract ....................................................................................................................................... vi Introducción ................................................................................................................................. 1 1. CAPÍTULO 1 – Problema de investigación....................................................................... 2 1.1. Ámbito de influencia ................................................................................................................................. 2 1.1.1. Ámbito de influencia teórica ..................................................................................................................... 2 1.1.2. Área de Dominio ....................................................................................................................................... 2 1.1.3. Línea de Investigación............................................................................................................................... 2 1.2. Planteamiento del problema ...................................................................................................................... 2 1.2.1. Descripción de la situación actual del lugar de intervención ..................................................................... 2 1.2.2. Descripción del problema .......................................................................................................................... 4 1.2.3. Formulación del problema ......................................................................................................................... 4 1.2.4. Objetivos ................................................................................................................................................... 4 1.2.5. Justificación ............................................................................................................................................... 5 1.2.6. Alcances y limitaciones ............................................................................................................................. 5 2. CAPÍTULO 2 – Marco Teórico .......................................................................................... 7 2.1. Antecedentes del desarrollo, implementación o transferencia tecnológica ............................................... 7 2.1.1. Antecedentes a Nivel Nacional ................................................................................................................. 7 2.1.2. Antecedentes a Nivel Internacional ........................................................................................................... 8 2.1.1. Auditoría ................................................................................................................................................... 9 2.1.2. Contraloría General de la República ......................................................................................................... 9 2.1.3. Auditorías internas y externas ................................................................................................................. 10 2.1.3.1. Auditorías Internas ..................................................................................................................... 10 2.1.3.2. Auditorías Externas .................................................................................................................... 11 2.1.4. Tipos de Auditorías ................................................................................................................................. 11 2.1.4.1. Auditoría gubernamental ............................................................................................................ 11 2.1.4.2. Auditoría Integral ....................................................................................................................... 12 2.1.4.3. Auditoría informática ................................................................................................................. 13 2.1.4.4. Auditoría de la información o auditoría computacional ............................................................. 15 2.1.4.5. Auditoría de Tecnologías de Información .................................................................................. 16 2.1.5. Instrumentos de recopilación de información para una auditoría ............................................................ 16 2.1.5.1. Entrevistas .................................................................................................................................. 16 2.1.5.2. Cuestionarios .............................................................................................................................. 17 2.1.5.3. Encuestas .................................................................................................................................... 17 2.1.5.4. Observación................................................................................................................................ 17 2.1.5.5. Hallazgos .................................................................................................................................... 18 2.1.5.6. Actas de verificación .................................................................................................................. 18 2.1.5.7. Informe de Auditoría .................................................................................................................. 19 vii 2.1.6. Técnicas y procedimientos para la gestión de riesgos ............................................................................. 19 2.1.7. Gestión de Tecnologías de Información .................................................................................................. 20 2.1.7.1. Cobit 5 ........................................................................................................................................ 20 2.1.7.2. Isaca/Isacf ................................................................................................................................... 21 2.1.7.3. Normativa aplicable a la dirección de TI .................................................................................... 22 3. CAPÍTULO 3 – Desarrollo, Implementación o Transferencia Tecnológica ............. 24 3.1. DESARROLLO DE LA AUDITORÍA INFORMÁTICA ...................................................................... 27 3.1.1. FASE 1.- TOMA DE CONTACTO Y ASPECTOS GENERALES. ....................................................... 27 3.1.2. FASE 2.- PLANIFICACIÓN DE LA OPERACIÓN DE LA AUDITORÍA INFORMÁTICA ................................................................................................................................................... 29 3.1.3. FASE 3.- DESARROLLO Y EJECUCIÓN DE LA AUDITORÍA INFORMÁTICA ............................ 30 3.1.4. FASE 4.- ELABORACIÓN DEL INFORME DE LA AUDITORÍA INFORMÁTICA ......................... 32 4. CAPITULO 4 – Resultados ........................................................................................... 34 4.1. Comprobación de la prospectiva .............................................................................................................. 34 4.2. Cumplimiento de objetivos...................................................................................................................... 34 4.3. Contribuciones (impacto) ........................................................................................................................ 35 Glosario ...................................................................................................................................... 36 Conclusiones .............................................................................................................................. 37 Recomendaciones ...................................................................................................................... 38 Referencias ................................................................................................................................. 39 Anexos ........................................................................................................................................ 41 Índice de figuras Figura 1. Organigrama de la Oficina de Auditoría Interna de la Universidad Andina del Cusco 3 Figura 2. Principios de COBIT 5................................................................................................. 21 Figura 3. Propuesta metodológica de la auditoria informática .................................................... 26 viii Introducción La auditoría ha ido evolucionando mucho desde ser usada en el ámbito netamente contable hasta su uso en otras áreas como la ingeniería, la medicina y los sistemas computacionales. Debido a esto también se fue registrando el progreso de diferentes técnicas, metodologías y herramientas específicamente para el área que se va a evaluar. Entonces podemos decir que la auditoría es la evaluación independiente de actividades, funciones o resultados de una forma funcionaria que será ejecutada por un profesional de la auditoría con el fin de revisar la correcta elaboración de ésta y posteriormente brindar una opinión autorizada de los resultados y del desempeño de sus operaciones. La auditoría informática es una actividad que conlleva al control y manejo adecuado de las Tecnologías de Información, amparado en normas de las tecnologías de la información, para que éstas se realicen de manera adecuada y eficientemente para lo cual se realizan revisiones técnicas, especializadas y exhaustivas a los sistemas computacionales, teniendo como principal propósito evaluar el uso adecuado de los sistemas. La auditoría informática, abarca no solo a la Dirección de Tecnologías de Información, sino también a todas las direcciones de una entidad, porque en ellas se desarrollan actividades con Sistemas y Tecnologías de la Información, es así que las revisiones que se realizan durante un proceso de auditoría, alcanzan también a estas direcciones, con el propósito de verificar el correcto desempeño y funcionamiento de sus tecnologías informáticas y hacer que se cumplan sus objetivos. Actualmente la Oficina de Auditoría Interna de la Universidad Andina del Cusco no tiene una secuencia de actividades formales para el proceso de una auditoria informática, por lo que es necesario la implementación de una propuesta metodológica de auditoria informática, que facilite procedimientos que permitan realizar de manera satisfactoria una auditoria a la Dirección de Tecnologías de Información. 1 1. CAPÍTULO 1 – Problema de investigación 1.1. Ámbito de influencia 1.1.1. Ámbito de influencia teórica La siguiente investigación se va a aplicar en el área de Auditoría de Sistemas de la Universidad Andina del Cusco, cuyo fin permitirá a los especialistas auditores gestionar la información verídica y confiable aprovechada durante la ejecución de la metodología de auditoría informática propuesta. 1.1.2. Área de Dominio Esta investigación está orientado al área de Organización Empresarial y Gestión de la Información, relacionado con las asignaturas de Auditoría de Sistemas, Ingeniería de Software y Calidad Aplicada a los Sistemas. 1.1.3. Línea de Investigación La siguiente investigación corresponde a la línea de Auditoría de Sistemas de Información, donde se propondrá la ejecución de una metodología de auditoría de sistemas para la Oficina de Auditoría Interna de la Universidad Andina del Cusco. 1.2. Planteamiento del problema 1.2.1. Descripción de la situación actual del lugar de intervención La Oficina de Auditoría, depende del Consejo Universitario, está delegada de ver que se cumpla de la mejor manera los cargos encargados a las diferentes áreas administrativas de la Universidad, conforme con el Reglamento del Sistema de Control Administrativo y Financiero, aceptado por el Consejo Universitario. (Universidad Andina del Cusco, 2015). La Oficina de Auditoría Interna de la Universidad Andina del Cusco, según los documentos de gestión de la universidad, está conformada por un jefe de la Oficina de Auditoría, cargo que ocupa el Mg. CPC Jorge Oscar Trigoso Delgado más dos especialistas en Auditoría Administrativa y Financiera. 2 Figura 1. Organigrama de la Oficina de Auditoría Interna de la Universidad Andina del Cusco Actualmente la Oficina de Auditoría Interna de la Universidad Andina del Cusco cuenta con metodologías de auditoría administrativa, financiera y contable, más no, de manera formal con una metodología de auditoría informática que esté alineada a los procedimientos y técnicas con él que viene desenvolviéndose en los procesos de auditoría, dicha oficina (Universidad Andina del Cusco, 2019). La Oficina de Auditoría busca desarrollar el control preventivo de gestiones administrativas de la Universidad con el fin de conseguir los objetivos con vigor y compromiso, asimismo evalúa el desempeño de las metas y cumplimientos de la Unidades Administrativas de la Universidad creando labores de control de Auditoría de Gestión. Sin embargo, si se desearía llevar a cabo labores de auditoría informática, actualmente no se cuenta con especialistas en la oficina ni con una metodología de auditoría informática, además, no se tiene información sobre las normas que coadyuven a la buena gestión de los sistemas de información y de tecnologías de información a cargo de la Dirección de Tecnologías de Información (DTI), así mismo, tampoco se tiene información sobre la implementación de procedimientos de Control. 3 1.2.2. Descripción del problema La Oficina de Auditoría de la Universidad Andina del Cusco solo trabaja con formatos para auditorías administrativas, contables y financieras, ya que el personal que trabaja en esta oficina son especialistas en auditorías administrativas y financieras mas no en informática, por ende, la Oficina de Auditoría de la Universidad Andina del Cusco hasta el momento en el que se habló con el jefe de la Oficina de Auditoría no ha realizado una auditoría informática a la Dirección de Tecnologías de Información ,ya que no cuenta con una metodología que permita llevar a cabo una acción de control adecuada dada la naturaleza altamente tecnificada en las funciones de la DTI. Es por eso que con la propuesta de la metodología se pretende establecer que el auditor informático y su equipo realicen el examen especial (auditoría) a la Dirección de Tecnologías de Información y se rija al plan de actividades con entregables alineados a las tareas cotidianas de auditoría que realiza la Oficina de Auditoría Interna de la UAC, para que, en un futuro, se pueda evitar todo tipo de irregularidades. 1.2.3. Formulación del problema ¿Cómo la Oficina de Auditoría Interna de la Universidad Andina del Cusco puede conducir una auditoría informática para la Dirección de Tecnologías de Información? 1.2.4. Objetivos Objetivo General ▪ Elaborar una propuesta metodológica de auditoría informática que permita a la Oficina de Auditoría Interna de la Universidad Andina del Cusco conducir una auditoría informática para la Dirección de Tecnologías de Información. Objetivos Específicos ▪ Establecer fases para la creación de la propuesta de metodología de auditoría informática para la Oficina de Auditoría Interna de la Universidad Andina del Cusco. ▪ Elaborar instrumentos para cada una de las fases de la propuesta de metodología de auditoría informática para la Oficina de Auditoría Interna de la Universidad Andina del Cusco ▪ Determinar si la propuesta de metodología de auditoría interna informática contribuye y facilita a los especialistas auditores de la Oficina de Auditoría 4 Interna de la Universidad Andina del Cusco para futuras auditorías o exámenes especiales. 1.2.5. Justificación El poseer una metodología de auditoría interna informática es actualmente una necesidad para los métodos de auditoría realizados en las instituciones públicas y privadas, ya que, de esta manera, los especialistas tendrán menos dificultades a la hora de realizar un examen especial o auditoría. El desarrollo de esta propuesta de metodología permitirá a la Oficina de Auditoría Interna tener un marco de referencia para realizar las auditorías de manera más organizada, obteniendo informes previos pertinentes y coherentes, conducentes a la elaboración del informe final de auditoría. Se pretende que la Oficina de Auditoría Interna de la Universidad Andina del Cusco, con la aplicación de la propuesta metodológica hará que la Dirección de Tecnologías de Información no incurra en irregularidades, desarrolle una buena gestión documentadas de los sistemas de información y de las tecnologías de información en toda la universidad, y con las recomendaciones la DTI llevará a cabo una excelente prestación de servicios de los sistemas y tecnologías de información. Se aguarda, además, que el resultado de esta investigación, sea utilizada por la Oficina de Auditoría Interna de la Universidad Andina del Cusco y, sobre todo, por los especialistas en auditorías informáticas, que haciendo uso de esta herramienta verán con claridad los procedimientos, técnicas y métricas de cada actividad, organizadas en una estructura de cuatro fases coherentes y que los conducirá a la elaboración satisfactoria del informe de auditoría. 1.2.6. Alcances y limitaciones 1.2.6.1. Alcance Se pretende alcanzar esta propuesta metodológica a la Oficina de Auditoría Interna de la Universidad Andina del Cusco, con el propósito de que dicha oficina pueda llevar una auditoría informática para la Dirección de Tecnologías de la Información y así se oriente a una buena gestión y excelente asistencia de servicios de los sistemas y tecnologías de la información para toda la Universidad. 5 1.2.6.2. Limitaciones ▪ Debido a la declaratoria de emergencia sanitaria no ha sido posible contar con los permisos y disponibilidad de tiempo completo para la ejecución de la propuesta. ▪ No se cuenta con el financiamiento para el desarrollo de la propuesta. 6 2. CAPÍTULO 2 – Marco Teórico 2.1. Antecedentes del desarrollo, implementación o transferencia tecnológica 2.1.1. Antecedentes a Nivel Nacional • La tesis intitulada “Auditoria informática basada en COBIT 5.0 para la sala laboral transitoria de la Corte Superior de Justicia de Piura.” De la Universidad Nacional de Piura, Piura – Perú. La tesis presenta una auditoria informática utilizando Cobit 5.0 a la Sala Laboral Transitoria de la Corte Superior de Justicia en Piura, la cual ya tenía unos problemas en su seguridad informativa. Entonces el principal objetivo de esta tesis era usar Cobit en el proceso de auditoria donde revisaron la información, para poder tener esta información importante crearon instrumentos de recolección de datos. Al final evaluaron los resultados y observaron las dificultados y los peligros que causaron las malas prácticas, finalmente todo este proceso de auditoría se resumió en un informe final donde brindaron las conclusiones y recomendaciones a los encargados de la entidad. Se puede concluir que Cobit 5.0 es una herramienta que permite auxiliar a las empresas a conseguir sus propósitos respecto a las tecnologías de información, lo cual permite conseguir beneficios y ayudara a mejorar los riesgos. (Adrianzén Fiestas et al., 2021) • La tesis intitulada: “Auditoría de seguridad informática aplicada a la Municipalidad Distrital de Santa María.” De la Universidad de San Pedro, Huacho – Perú. La tarea principal en esta tesis fue la de recolectar toda la información importante y necesaria sobre las políticas de seguridad existentes en la municipalidad, se investigó todo el hardware y software existente para hallar todas las debilidades de la institución. Se utilizó como herramienta para esta auditoría Cobit que ayudo a entender y administrar los peligros relacionados con les tecnologías de información y otras relacionadas a los sistemas de información. Aparte de Cobit también se usó la ISO/IEC 27001 para una orientación en asegurar los activos de la municipalidad y finalmente están las NAGU que 7 mostraría la evidencia apta, conveniente y notable en el informe final. (Díaz Barrenechea y Urbizagastegui Aguilar , 2017) 2.1.2. Antecedentes a Nivel Internacional • La tesis intitulada: “Auditoría informática mediante COBIT 5 para el área informática en la empresa ROSAS DEL CORAZÓN.” De la Universidad Técnica de Cotopaxi: Facultad de Ciencias de la Ingeniería y Aplicadas. Latacunga – Ecuador. En esta tesis se desarrolló una auditoría informática a la empresa Rosas del Corazón que es una empresa de fabricación y envío de flor de calidad, la cual usa elementos informáticos que le ayudan a cumplir sus objetivos sistematizando todo el proceso que le permitirá concluir exitosamente su trabajo. En esta tesis usaron Cobit 5.0 que es una metodología tolerante y recomienda el uso de otras normas o marcos internacionales. La elaboración de la auditoria está compuesta por la compilación de un gran conjunto de indagación de la empresa, como documentaciones y evidencias que ayuden al auditor a explicar con fundamentos sus comentarios. Finalmente se expone un informe con los resultados donde describen las conclusiones y recomendaciones brindadas por el auditor. Esta tesis fue de gran aporte para la empresa, ya que con el proceso de auditoria se pudo indicar cuales eran los problemas existentes y esto beneficiará de manera positiva a la empresa ya que así mejorará su seguridad en el área informática. (Quillupangui Toapanta, 2019) • La tesis intitulada “Auditoría informática mediante COBIT 5 a la Cooperativa de Transportes Patria, período 2020.” De la Universidad Nacional de Chimborazo. Riobamba – Ecuador. Esta tesis explica la realización de una auditoria informática a la Cooperativa de Transportes Patria, haciendo uso de la metodología Cobit 5 es un conjunto de mejores prácticas que ayuda a las administraciones en la gestión de las TI. Como metodología usaron un método deductivo, con una investigación de campo y documental, el enfoque mixto es decir cualitativo y cuantitativo a nivel de investigación descriptiva. 8 Se manejaron métodos de recopilación de información fundamental como las encuestas, conversaciones con los encargados y la observación que permitió determinar las faltas en el manejo de la seguridad de la información por lo que concluyeron que la auditoria informática permite certificar la integridad física de los equipos, la información y la infraestructura tecnológica que ayudará a optimizar la seguridad de la información de la cooperativa. (Barreto Merino, 2021) 2.2. Bases teórico – científicas. 2.1.1. Auditoría Auditoría, es el examen que se realiza a un proceso, sector o toda una institución, para ver el rendimiento y evaluar el manejo de la economía de dicha institución, así mismo, se analiza cada punto rendido por ésta, obteniéndose como resultado, todas las cosas que marchan mal y todo lo bueno que ésta pueda tener; una vez realizado el examen se plantea recomendaciones de mejoras, para cualquier área de la administración de la empresa. (Caurin, 2017) Auditoría, no solo es someter a la empresa a un examen, si no, también realizar la fiscalización de los controles implantados a cualquier sector o ámbito de la organización. Se realiza también un análisis de, si la empresa realiza bien su trabajo o si requiere mejorar en algo; la auditoría, luego de un análisis profundo, conoce la situación exacta y actual de la institución o empresa, encuentra fraudes que las empresas puedan cometer, detecta fallas técnicas realizadas y recauda toda la máxima documentación e investigación para la toma de disposiciones comprobando la legalidad de los actos y los productos. (Caurin, 2017) 2.1.2. Contraloría General de la República La Contraloría General de la República, es la encargada de supervisar, verificar y vigilar los Sistemas de Control Nacional, por ende, se denomina como la máxima autoridad, ésta tiene como fin hacer respetar todas las políticas públicas, los bienes del estado peruano y sus recursos, para así prevenir irregularidades, la inmoralidad y riesgos. La Contraloría General de la Republica rinde anualmente un informe para la Cuenta General de la República, controlando y supervisando gobiernos locales y regionales de forma descentralizada para que todos los fondos destinados a estos gobiernos sean 9 de forma legal de acuerdo al Presupuesto del Estado, teniendo acceso a registros, información y documentos de las diferentes instituciones en cualquier hora y fecha. Además, también supervisa los informes que emiten los órganos de sistemas para así comenzar con acciones legales sancionando infracciones a la administración funcional. Una de sus funciones más importantes es que recibe y atiende denuncias de los habitantes en concordancia con las funciones administrativas públicas, brindándoles el trámite y dirigiéndolas a la autoridad competente, reservando y protegiendo la entidad de los denunciantes. Recibe, registra, fiscaliza y examina las declaraciones juradas de bienes, de retribuciones e intereses que presentan los servidores y funcionarios públicos como lo ordena la ley, regulando los plazos, el procedimiento, excepciones y requisitos para el control gubernamental, asumiendo la defensa de la institución y del personal a cargo cuando este está incursando acciones legales y se encuentra cumpliendo seriamente con las funciones laborales aun cuando ya el personal haya dejado de laborar o trabajar. (La Contraloría General de la República del Perú, 2021) 2.1.3. Auditorías internas y externas 2.1.3.1. Auditorías Internas Las auditorías internas son las revisiones que ejecuta un experto de la auditoría de manera continua dentro de la entidad donde éste labora, desempeñando y cumpliendo todas las acciones que desenvuelve dentro de la organización, evaluando resultados financieros, áreas administrativas, etc. con el único fin de diagnosticar lo administrativo, funcional y operacional de todos los que laboran en las diferentes áreas de las empresas. Éstas son llevadas por un auditor que trabaja en la misma organización o institución a evaluar y éste está dentro de operación de las actividades dentro de la institución, la ventaja que tiene es que el auditor está dentro de la empresa y conoce todo su funcionamiento y los objetivos tanto operacionales como a las diferentes áreas que forman parte, detectando problemas y es así que el informe se convierte muy valioso y no sale información de éste, quiere decir que los resultados permanecen dentro de la institución, reduciendo gastos de personal externo, esta auditoria también trae desventajas porque la veracidad de evaluación puede ser limitada y generar 10 complicaciones dentro de la institución, y los resultados pueden estar a favor del auditor incumpliendo con los compromisos al realizar la evaluación. (Razo, 2002) 2.1.3.2. Auditorías Externas Las auditorías externas son realizadas por un profesional independiente que evalúa a una institución de manera libre y sin ningún predominio, con el fin de valorar el desarrollo de las diligencias, funciones y operaciones que se efectúan en la asociación que lo contrata, así como dar razón a los estados financieros, esto le permite al auditor emplear técnicas, métodos e instrumentos de auditoria las que le servirán para la valoración de las diligencias y procedimientos de la asociación que lo contrata como es ajeno a la empresa los resultados que emita son libres e independientes. Dichas evaluaciones o auditorias suelen llevarse por las más grandes empresas auditoras y siempre son populares ya que se ganan el prestigio dentro de su ambiente profesional. Tiene como ventaja trabajar independientemente y autónoma de injerencias por parte de las jurisdicciones de la asociación, ya que estos auditores expertos cuentan con las herramientas y técnicas de otras empresas que ya fueron probadas con características similares. También los resultados que éstas emitan tienen gran importancia para autenticar reconocimientos contables, subsidios y efectos económicos; los cuales sirven a las autoridades impositivas para poder rendir fines de manera legal de manera limpia ganándose el prestigio del público. Así como tiene grandes ventajas también trae consigo una desventaja y es que el experto en auditoria al no conocer la empresa más a fondo su resultado puede ser limitado y no lograr recopilar la información valiosa que él busque tener, también estas auditorías suelen ser imposiciones fiscales y legales, las cuales la mayoría de veces resultan ser demasiado costosas para la empresa, ya que se requiere de mayor tiempo, trabajo y recurso monetario. (Razo, 2002) 2.1.4. Tipos de Auditorías 2.1.4.1. Auditoría gubernamental La auditoría gubernamental es concreta, sistémica y exhaustiva, realizada a todas las actividades desarrolladas en una entidad gubernamental, observando y analizando sus operaciones y dependencias de la Administración Pública Federal, evaluando el 11 óptimo proceso de cargos de todas las áreas involucradas y de las actividades funcionarias de dicha empresa. Es llevada a cabo para la concentración y desempeño de los importes gubernamentales, esta se realiza a fin de evaluar los gobiernos estatales, municipales que reciben aportaciones de participantes y son también los delegados de manipular las salidas de los ingresos con el fin de garantizar el bien de dicha empresa. Todo este proceso le convierte en la auditoria más especializada, ya que hace cumplir todo de manera óptima. (Razo, 2002) 2.1.4.1.1. Normas de la Auditoria Gubernamental Las NAGU han sido admitidas por la CGR, R.C Número 162-95-CG, de año 1995, el día 22 de setiembre y modificadas por las R.C 141-99 CG, en los años 2000 y 2002 CG. Dichas normas determinan cuáles serán los requisitos del profesional tanto en orden personal como el de uniformar todos los trabajos de la auditoría gubernamental para la obtención de resultados que demuestren calidad pura ya que son de aplicación para el cumplimiento del personal que forma parte de los Órganos del Sistema Nacional de Control, además dicha norma también incluye a profesionales o especialistas que participan dentro del proceso de las auditorias gubernamentales. Las NAGU son todos los criterios que aprueban todo aquel requisito profesional y personal que el auditor informático posee, orientándolo a uniformar el trabajo para obtener el mayor éxito en los resultados de calidad, constituyendo un gran medio teórico para dar uniformidad y fortalecimiento al adiestramiento experto del auditor gubernativo permitiendo la obtención de mejores logros y el desarrollo del buen trabajo profesional, promoviendo así el desarrollo económico con eficacia y eficiencia en la institución auditada, estas son el cumplimiento estricto de los auditores responsables de los Órganos de Auditoría Interna y de las instituciones e identidades fijas al sistema de auditoría gubernamental del estado peruano. (Contraloria General, 1995) 2.1.4.2. Auditoría Integral La auditoría integral suele ser más exhaustiva, sistémica y global, con el fin de obtener resultados íntegros al adecuado proceso de las ocupaciones de las áreas 12 administrativas de la empresa, este resultado es llevado a cabo con políticas, normas y lineamientos sobre el uso de todos los recursos de la institución. Es tan especializada en el tema que todas sus funciones satisfacen la evaluación de las diferentes áreas de la empresa. (Razo, 2002) 2.1.4.3. Auditoría informática Entendemos desde el punto de vista informático que la auditoria informática es el estudio y la ejecución de la misma, abarcando su entorno del cual explicamos que es la auditoria en informática, esta se hace cargo de contrastar lo que se ejecuta con lo que se habría que realizar y lo que está con lo que tendría que estar y existir, siendo importante mencionar que a veces suele pasar desapercibido el uso de las tecnologías en general ya que estas siempre están satisfaciendo las necesidades de las entidades. (Ramos, 2014) La auditoría informática alcanza; la evaluación y revisión independiente siendo siempre objetiva para los miembros tanto independientes y convenientes; el medio informático de una empresa viendo todas las áreas sin pasar desapercibida alguna; equipos y sistemas operativos, las aplicaciones desarrolladas, su organización y las funciones de esta misma para llevar a cabo la buena gestión de todos los recursos y aplicaciones importantes; las políticas, los procedimientos y estándares para llegar a plasmar con vigor los propósitos de la entidad, tomando en cuenta que las políticas, los procedimientos y estándares tienes objetivos fijos, concretos y legales aplicados en las entidades públicas y privadas. (Ramos, 2014) La auditoría informática es la forma de auditar a profundidad todos los recursos informáticos y tecnológicos de una entidad o institución, con el objetivo principal de obtener una valorización de todos los sistemas informáticos de la organización en especial y como resultado exitoso se elabora un informe llamado informe de auditoría que muestra de manera eficiente la seguridad en la que se obtuvo la información para el cumplimiento de las exigencias de la empresa o institución, esto a que cada uno de los pasos y procesos de la auditoria están configurados y regulados de acuerdo al territorio sector. El auditor encargado debe comprobar que el software que está empleando la empresa este exitosamente actualizado y validado para cada una de las actividades económicas que la institución va a desarrollar ya que debe estar obligatoriamente adecuada a 13 estándares que le piden la eficiencia máxima, en términos más comunes podríamos decir que la institución debe asegurar que se empleen de forma correcta los recursos, metas y objetivos mencionados para favorecer la mayor rentabilidad posible. (Galan, 2020) 2.1.4.3.1. Riesgos de la auditoría informática • Riesgo de control: Prevalece y se ocasiona por descuido en el control de ciertas diligencias de la institución y que con el tiempo pueden llegar a generar insuficiencias en el sistema de control interno. • Riesgo de detección: Suele originarse por parte de los especialistas auditores ya que en su investigación podrían omitir o no detectar algunas insuficiencias en el control interno del sistema de control. • Riesgo inherente: Son los que se encuentran sujetos a las particularidades de los sistemas de control interno. (Gallardo Mancinas) 2.1.4.3.2. Áreas de la auditoría informática 2.1.4.3.2.1. Auditoría física En informática lo físico no se trata solamente de aquello que es tangible a lo sutil del software, sino también a todo lo referido a TICs, o sea, el hardware de los equipos o CPD (Centro de Procesamiento de Datos). La seguridad física nos podrá avalar la rectitud de los diligentes humanos, racionales y materiales de un CDP, lo cual permitirá conseguir y conservar un apropiado grado de seguridad física, entonces se dice que es el conjunto de acciones utilizadas para evitar errores o minimizarlos. (Jimenez Alzate, 2009) A causa de que una empresa no puede por sí misma atender un acontecimiento de vulneración del nivel de seguridad física, ésta debe tener los medios precisos para poder sobrellevarlos. Estos medios son conocidos como el método de salvación de catástrofes el cual en conjunto con el centro facultativo de proceso de fundamentos constituirá el plan de contingencias, que se encarga de ordenar las exigencias del oficio y las instrucciones de salvación si se da algún desastre o hay la presencia de una fatalidad natural o provocada. (Jimenez Alzate, 2009) 2.1.4.3.2.2. Auditoría ofimática Trata del grupo de instrumentos de tecnología de información y de sistemas de información que ayudar a crear, procesar, guardar, rescatar, informar y demostrar los datos relacionados con el funcionamiento de las oficinas. El proceso de 14 procedimientos ofimáticos ha conservado dos prototipos importantes: el escritorio virtual y el trabajo cooperativo (CSCW, Computed Supported Cooperative Work). (Jimenez Alzate, 2009) Según Kraemer, el CSCW se puede definir como múltiples actividades ordenadas, creadas por un grupo de partícipes y toleradas por un régimen informático. El ambiente ofimático debe permitir el trabajo personal de cada empleado, así como hacer un intercambio de información dentro y fuera de la organización. Unas características peculiares del ambiente ofimático son: ▪ La repartición de las diligencias por las distintas áreas de la formación en vez de ubicarse en un solo establecimiento concentrado ▪ El envío del compromiso de algunos exámenes de los sistemas de información a los beneficiarios concluyentes que no se dedican de manera profesional a la informática. (Jimenez Alzate, 2009) 2.1.4.4. Auditoría de la información o auditoría computacional Es todo el diagnóstico global de la forma en la que se emplea la información en una institución, permitiendo así determinar la información que se necesita para satisfacer los objetivos propuestos que permitirán la función correcta de los métodos y técnicas empleadas para controlar, descubrir, evaluar los recursos y salidas de la información dentro de la institución, tanto externo como interno con el fin de poder desarrollar la buena gestión de la información dentro de la institución, teniendo una naturaleza especializada en conocer las necesidades de los sistemas de información para el progreso y generalización de todas las reglas ordinarias de una auditoria de sistemas de información. Esta permite abarcar la investigación y apreciación de los sistemas automáticos del manejo y proceso de información, incluyendo así procedimientos no automatizados en relación a las interfaces de la auditoría de información, con el único fin de poder asegurar que la información que está dentro del sistema sea la más correcta para la institución para así pretender que dicha institución reciba información importante satisfaciendo sus intereses y los requerimientos teniendo información precisa que permitirá la función correcta del sistema de información. La auditoría informática es la que deberá identificar los expedientes informáticos, los requerimientos de la información, la identificación de los procesos y flujos, costos y 15 beneficios, obteniendo oportunidades del uso de los sistemas de información, integrando los requerimientos de investigación con los objetivos y fines de la institución para poder evaluar si la normativa existente es conforme con la información y su uso. (Ros, 2004) 2.1.4.5. Auditoría de Tecnologías de Información Es la actividad que se encarga del control y la apreciación de las Tecnologías de Información, así como velar su seguridad en la investigación en el interior de la institución apoyada siempre en las buenas prácticas y en correcto seguimiento de las medidas nacionales e institucionales que sirven para examinar y dar detalle del bosquejo, servicio y acatamiento de todas las revisiones que están dentro de la ejecución de las tecnologías de información, permitiendo contar con una rigurosidad en la apreciación neutral y autónoma de los conocimientos, aplicaciones, bienes, infraestructura a investigación nivelando los riesgos primordiales dentro de la institución o ejercicio que estén coherentes a las tecnologías de información enmarcando así ciertas debilidades dentro del control. Las auditorías de TI permiten verificar cuales son los servicios que se encuentran dentro de la institución para poder potenciar, habilitar de manera más efectiva sus funciones, determinando si el ambiente cumple con todas las regularizaciones y requerimientos que están normados en la actualidad para poder contar con ciertas recomendaciones que podrán mitigar todos los posibles riesgos que ponen en déficit a los activos de la institución y la continuidad de sus funciones y procesos en el negocio. (Morales Uribe, 2000) 2.1.5. Instrumentos de recopilación de información para una auditoría: 2.1.5.1. Entrevistas Lo más importante a realizar es la recopilación de información sin concernir el ejemplo de auditoria que se evalúe y las entrevistas permitirán llegar a las guías más valiosas e importantes para el desarrollo del trabajo, es más suelen dar consejos para evaluar y analizar más información. Las entrevistas se realizan de forma directa es ahí que el auditor tiene la facultad de interrogar, investigar, y confirmar de forma directa al entrevistado sobre todo lo que se está evaluando, para ello este utiliza la guía de entrevista que tiene una serie de preguntas que se van adecuando conforme a la situación. 16 Para llevar a cabo una entrevista es importante seguir y entender el procedimiento, esto servirá para llevar a cabo una buena evaluación e investigación ya que con la ayuda de las preguntas se podrá obtener la información más valiosa. Las entrevistas pueden ser independientes, encaminadas, de búsqueda, demostración, averiguación e inconsecuentes tanto abiertas, cerradas, de sondeo, preguntas de cierre, mixtas y se da con el inicio, apertura, cima y por ultimo cierre. (Razo, 2002) 2.1.5.2. Cuestionarios Los cuestionarios son aquellos que permiten la recolección de información muy útil para la evaluación de la auditoria, consiste en preguntas impresas ya sean directas, atrancadas, dicotómicas, tricotómicas, de opinión variada, de calidad o conjuntos, sucesión, de manifestante, principal; donde la persona encuestada contesta de acuerdo a su pensamiento o criterio, solo así el experto puede clasificar, corroborar y concretar la información otorgada para después poder dar una opinión sobre lo investigado, trayendo consigo información donde no se necesite explicaciones para poder tabularlas e interpretarlas con toda la credibilidad sin la necesidad de elaborar preguntas forzosas que llevan la mayor cantidad de tiempo haciendo que el cuestionado no lo tome de forma personal y solo así puede brindar información útil y confiable. (Razo, 2002) 2.1.5.3. Encuestas La encuesta es la recopilación de datos importantes sobre un tema específico a evaluar, se obtiene mediante entrevistas o cuestionarios; escritos, verbales, mixtos, precisos para obtener información importante, tanto como las opiniones de los encuestados el cual nos permite hacer una tabulación, interpretación de información, análisis y conocer el punto de vista del encuestado. Estas encuestas son muy útiles para saber las opiniones sobre el actuar del equipo tanto personal como usuarios, la utilidad, aspectos de la informática, todo con el fin de la obtención de resultados sobre su función informática. (Razo, 2002) 2.1.5.4. Observación La observación es la técnica de gran impacto, ya que permite inspeccionar y valorar los distintos atributos del funcionamiento de los sistemas o de las áreas encargadas de los sistemas con tan solo observarlas de manera directa, indirecta, oculta, participativa, no participativa; nos dan una recolección de información de 17 manera directa, así podemos ver las funciones de cada área, el comportamiento que tienen y las operaciones que realiza el equipo evaluado, ya que refleja su conducta al momento de realizar la actividad que se le fue asignada, solo con esta técnica el auditor podrá realizar una introspección o extrospección, porque lo realiza de forma controlada, natural e histórica. (Razo, 2002) 2.1.5.5. Hallazgos Los hallazgos son los resultados de las evaluaciones de evidencias objetivas que son recopiladas mediante una serie de procedimientos, conjunto de políticas o de alguna referencia encontrada en ciertas situaciones de suma importancia para la operación y actividad que son objeto de examen del auditor siendo así registrada en una lista a la cual se toma como respuesta a diferentes cuestionarios que fueron preparados para su verificación debidamente documentada y comprobada y para ello se deben evitar las palabras imprecisas, ya que al momento de auditar no solo debemos tener en cuenta como objetivo hallar los aspectos negativos, sino que debemos encontrar también las oportunidades de mejoras continuas para el fortalecimiento del proceso esto sin emitir juzgamientos, su pociones u opiniones personales a la hora de mencionar y colocar los hallazgos agrupándolos de acuerdo a un mismo incumplimiento. (Restrepo-Medina, 2018) 2.1.5.6. Actas de verificación Las actas de verificación son todas las visitas en los centros de trabajo programadas para llevar a cabo las observaciones de seguridad para así con ellas detectar causas de posible riesgo en el trabajo y llevar con esto una determinación de medidas necesarias que prevengan cualquier tipo de inseguridad o riesgo en la empresa. Estas con el único propósito de dar a conocer el contexto real de la empresa y la materia de seguridad que presenta. Existiendo dos tipos de verificación; las ordinarias son aquellas que se llevan cada trimestre y las extraordinarias son las que se llevan cuando amerite la circunstancia dependiendo de la demanda de una corrección inmediata, ambos tipos inspeccionan el orden, la distribución, el aseo, las instalaciones eléctricas, la ventilación de los equipos de trabajo, las herramientas, los equipos contra incendios, el equipo eléctrico y los instrumentos de trabajo, llevándose a cabo 18 según el orden lógico tomado en cuenta en todas las oficinas y espacios que constituyen parte del centro de trabajo, con el único fin de detectar y encontrar incidencias presentadas al momento de trabajar y laborar en la empresa o institución. Terminando todas las verificaciones del caso debemos compararlas con las normas oficiales de auditoria informática en cuanto a la seguridad con el fin de corregir los errores encontrados. Seguidamente se levantan las observaciones en un acta de verificación donde el auditor anota todas las incidencias detectadas, subsistentes y subsanadas presentado al jefe o gerente de la empresa el original de las actas de verificación, seguidamente al subgerente o secretario una copia para así dar a conocer las verificaciones observadas. (Razo, 2002) 2.1.5.7. Informe de Auditoría Es el documento final presentado y realizado por un auditor externo donde manifiesta todo su conocimiento, conclusión y opinión no involucrada sobre el estado de la empresa, el cual pasó por un proceso riguroso y sistemático para llegar a la observación de cálculos anuales de la compañía con el único propósito de dar a conocer que estos sean fieles a la misma. El auditor puede ser una persona física o una empresa reglamentaria que se dedica exclusivamente a auditorias, externo que trabaje fuera de la empresa o interno que labore dentro de la misma, es ahí donde el auditor puede elaborar un informe de la auditoría realizada y cuenta más informe del auditor externo ya que el otro solo lo realiza por mecanismo de control dentro de su lugar de trabajo en la empresa. Dicho informe expresa la opinión no vinculada entre el auditor y la empresa, muchas veces estos informes son más que una opinión porque presentan la percepción del auditor, plasmando ahí las cuentas anuales y estados financieros, son auditados los balances, las cuentas de consecuencias, el periodo de la propiedad neto y el estado de salida del dinero. (Donoso Sánchez, 2017) 2.1.6. Técnicas y procedimientos para la gestión de riesgos Los servicios de consultoría están obligados a incorporar conocimientos a los especialistas auditores en la gestión de riesgos para que así ellos se encuentren en la 19 capacidad de identificar, analizar y evaluar los posibles riesgos dentro de una auditoria informática en la institución. Estos se obtienen de las insuficiencias en ciertas diligencias que son habituales dentro de los sistemas de información automatizado, en el progreso y mantenimiento de los programas, en el soporte tecnológico que se brinda al software de los sistemas, en las operaciones, en la seguridad física y en el control sobre los accesos a los eventos. Para tener una buena comisión de peligros dentro de la auditoria informática en especialista auditor deberá actuar de acuerdo a los requerimientos de las instituciones donde aplicará la auditoría informática, generando confianza en lo que está auditando para así poder garantizar un trabajo bien realizado y elaborado generando la confidencialidad y la ética en todos sus procesos, también debe planificar y ejecutar bien la auditoria informática para lo cual habrá analizado todos los puntos críticos o recurrentes dentro de la institución verificando así la eficacia de sus planes de acción planteando soluciones a la institución que requiere de sus servicios, demostrando en todo momento imparcialidad en su actuar y dependencia de criterio en todo lo auditado y evaluado. Generando así un informe íntegro de auditoría informática con toda la información recopilada sin omitir ni un detalle para ser documentado y plasmando las evidencias sobre los hechos de la auditoria informática estando de forma tangible, objetiva y bien documentada, poniendo así el criterio del auditor experto para poder respetarse lo encontrado y tomar en cuenta sus posibles mejoras en los procesos, ya que dicho informa llevara la valorización que será entregada a la institución que requirió de sus servicios. (Viña Echevarria, 2014) 2.1.7. Gestión de Tecnologías de Información 2.1.7.1. Cobit 5 Es la aglomeración de diferentes instrumentos que se utilizan para desarrollar directorios de empresas y así poder disminuir los vacíos que existen en los avisos de inspección, los temas hábiles y los peligros del oficio; éste accede controlar las tecnologías de información de las diferentes entidades, y así incrementar su valor e importancia. COBIT 5 satisface las necesidades de las partes atraídas tomando medidas sobre los favores, la valoración de riesgos y recursos, optimizando el peligro y los beneficios de ambas partes para una buena toma de decisiones. 20 Estas necesidades se transforman en múltiples estrategias que traen consigo el significado de las obligaciones de ambas partes atraídas para definir las metas específicas en cada una de las áreas de la empresa, con este proceso se cumplen los objetivos generales y se plantean los requisitos de ambas partes para satisfacer necesidades, soluciones y bienes de las tecnologías de la información; se adecua con diversos estándares para formar una gestión integral de gobierno y hacer posible el enfoque holístico que estudia los comportamientos de la gestión de las empresas en el día a día, este proceso COBIT 5 suele separarse de la gestión porque engloba diferentes actividades de la gestión y del gobierno; gestiona el riesgo, gestiona la seguridad, gestiona la continuidad y gestiona los servicios de seguridad que permiten establecer los métodos de las metas de las tecnologías de información y el de la empresa, estableciendo un importante alcance con la prolongación de las rutinas y la defensa del negocio, trayendo consigo el resultado de la mejora de las prácticas para garantizar la protección de la información. (Hernández Hernández, 2018) Figura 2. Principios de COBIT 5 García, Joaquín. (2012). Principios de Cobit 5. Netmind. https://netmind.net/es/cobit- 5-el-nuevo-marco-para-la-gobernanza-de-las-tic/ 2.1.7.2. Isaca/Isacf ISACA, asociación independiente comprometida con el desarrollo, la adopción, el uso de conocimiento y prácticas líderes en la industria TI, ayuda a todos los 21 profesionales a tener una evolución en los estándares y desarrollo de proyectos innovadores, promoviendo la certificación y avance de conocimientos críticos para el negocio. Su principal objetivo es compartir los recursos de una red y ampliar los beneficios a nivel local, orientado al desarrollo de capacidades individuales y al mejoramiento de la auditoría, control y seguridad de los sistemas de información, promoviendo la educación, conocimiento y habilidades en las disciplinas de la auditoría, para así poder asegurar los sistemas de información. (KIMAT Empresa de grupo SCANDA, 2019) 2.1.7.3. Normativa aplicable a la dirección de TI. Se alcanza como sugerencia para la DTI, algunas normas adoptadas por el estado peruano a través de la Norma Técnica Peruana (NTP), para las direcciones de TI en las entidades gubernamentales, dentro de ellas, las universidades estatales, y se recomienda que dichas normativas se analicen para su aplicación por nuestra universidad, específicamente por la Dirección de TI, para que de esta forma este alineada gracias a estas ISOs con las direcciones de TI de las universidades estatales con las que tiene y tendrá a futuro más convenios. Las normas son: A).- Norma Técnica Peruana “NTP-ISO/IEC 12207:2016- Ingeniería de Software y Sistemas. Procesos del ciclo de vida del software. 3a Edición”. (Moore, 2010) Que de acuerdo con la ley N° 27658 – Ley de Modernización de la Gestión del Estado, se declara que en el NTP-ISO/IEC 12207:2016 el Estado Peruano está en un transcurso de innovación en sus diversas peticiones, organizaciones, dependencias, procedimientos y entidades, con el único fin de optimizar siempre la misión pública para así apoyar al fortalecimiento de un Estado más innovador con la mayor intervención del ciudadano siendo descentralizado por lo que se han visto en la obligación de optimizar la gestión pública con el uso de las recientes tecnologías que consentirán dar superiores bienes a los ciudadanos, teniendo con objetivo principal suscitar una dirección pública con eficacia encaminada exclusivamente a la localidad, teniendo como estrategia la exigencia de tener un plan de marco legal y normativo de las Tecnologías de 22 Información asegurándose de contar con una buena comisión del software que lleve a la invención y ejecución de una subestructura de Gobierno Electrónico para así poder ser competentes y lograr el objetivo. (Lombardi, 2021) B).- Aprueban Directiva “Normas Técnicas para el Almacenamiento y Respaldo de la Información procesada por las Entidades de la Administración Pública”. (INEI, 2009) Encargada de los sistemas Nacionales de informática y estadística que norman, planean, dirigen, coordinan y supervisan todas las actividades estadísticas y de informática oficiales del Perú, además también todas las instituciones del estado que estén dentro del Sistema Nacional de Estadística e informática administrarán los volúmenes más importantes de la información que con el tiempo será almacenada por diferentes procesos de acuerdo a la nueva tecnología y sus cambios. Por lo que será muy necesario actualizar los procedimientos y procesos técnicos permitiendo a las organizaciones e instituciones el uso adecuado del control y manejo de la información y su respaldo que garantiza la integridad de la garantía de la información. Esta norma posee como propósito normar los procesos y procedimientos que deben utilizarse en las entidades del sector público para el correcto registro y manejo del respaldo y la administración de la seguridad de la información, logrando que las instituciones del sector público tomen todas las mediciones vitales para respaldar y proteger la honradez de la indagación. La averiguación respaldada logra ser crítica, necesaria y corriente todo con la finalidad de guardar la información en un Directorio independiente en su almacenamiento que permitirá saber todo sobre las características de la autentificación y la identificación de la información que estará protegida, aun así, teniendo archivos de información importante con sus respectivos archivos. La información que ya fue procesada será protegida en determinados periodos con relación a la continuidad de la transformación de la información. (INEI, 2002) 23 3. CAPÍTULO 3 – Desarrollo, Implementación o Transferencia Tecnológica La propuesta metodológica de la auditoría interna informática, es completamente flexible por que se adapta a los requerimientos de la Oficina de Auditoría Interna de la Universidad Andina del Cusco y es escalable ya que permite agregar o quitar actividades y fases dentro de la pertinencia y conducentes a facilitar una auditoría interna informática a la oficina de auditoría de la Universidad Andina del Cusco. En esta propuesta se reflejan 4 fases: Fase 1: TOMA DE CONTACTO Y ASPECTOS GENERALES Fase 2: PLANIFICACIÓN DE LA OPERACIÓN DE LA AUDITORÍA INFORMÁTICA. Fase 3: DESARROLLO Y EJECUCIÓN DE LA AUDITORÍA INFORMÁTICA Fase 4: ELABORACION DEL INFORME DE LA AUDITORÍA INFORMÁTICA Como la propuesta es escalable se podría agregar una fase de seguimiento y control del cumplimiento de las recomendaciones en el proceso de auditoría, esto ya lo evaluará la comisión auditora, así como también si desearían quitar alguna de las fases propuestas o sus actividades, todo dependiendo del proceso de auditoría y del auditor encargado. Las fases que muestra la propuesta están basadas en la Resolución de Contraloría N° 162- 95-CG “Aprueban Normas de Auditoría Gubernamental” (Diario "El Peruano", 1995), utilizamos estas normas ya que la Universidad Andina del Cusco mantiene convenios con otras instituciones y muchas de ellas son estatales, por tal motivo se recomienda que la DTI adopte Normas Técnicas Peruanas para mantener referencias de cumplimiento de actividades respaldadas en dichas normas, es decir la UAC tendrá un referente de dichas normas siendo obligatorias para las organizaciones estatales y así poder intercambiar políticas y experiencias de gestión y uso adecuado de los sistemas y tecnologías de información. También la propuesta está basada en los 4 de los principios de COBIT 5 (Ramirez Diaz, 2012) los cuales son: Satisfacer las necesidades de los interesados, cubrir la empresa de extremo a extremo, aplicar un solo marco integrado y separar gobierno de administración. Finalmente, los estándares generales (serie 1000) de ISACA los cuales se emplean en las designaciones, aplicación de los aspectos deontológicos, autonomía, objetividad, diligencia, juicio propio, competencia y destrezas (Manaure, 2013). 24 En cada una de estas fases se desarrollan actividades, donde muchas de ellas consideran formatos, para que la comisión auditora siga sin problemas la secuencia de auditoría registrándose como evidencias de lo actuado. Así mismo, se plantean roles y funciones, que permitan determinar qué actividades corresponden a cada uno de los responsables de la comisión auditora. De manera resumida se describe en el siguiente diagrama las fases con sus actividades para dar a conocer la propuesta metodológica de la auditoría informática. 25 Figura 3. Propuesta metodológica de la auditoria informática 26 3.1. DESARROLLO DE LA AUDITORÍA INFORMÁTICA 3.1.1. FASE 1.- TOMA DE CONTACTO Y ASPECTOS GENERALES. Es cuando la Universidad Andina del Cusco contacta al auditor o equipo de auditores pertenecientes a la Oficina de Auditoría, el auditor debe tener cierto perfil, debe ser titulado, colegiado y habilitado y es recomendable que haya realizado cursos y capacitaciones de auditoria. La toma de contacto es tomar conocimiento de la organización y la Dirección de TI objeto de la auditoría. 3.1.1.1. Análisis inicial: 3.1.1.1.1. Sobre la Dirección de TI. - Esto es, obtener y analizar la información sobre los documentos de gestión (MOF, ROF, Manuales, Políticas, Normas, Procedimientos etc, aprobados por la dirección encargada), la información del recurso humano (legajos del personal), que tipo de información se gestiona al interior y exterior, documentos de las adquisiciones, uso, operatividad y sostenimiento de los sistemas y tecnologías de la información. Para todo esto, se elaboran los oficios correspondientes de solicitud de dichos documentos por parte de la dirección. 3.1.1.1.2. Sobre el centro de procesos de datos. - Es obtener información sobre la estructura organizacional de donde está ubicada la Dirección de TI, su estructura organizacional interna, cual es la calificación del recurso humano (perfil profesional, formación en materia informática, funciones de desempeño,). En esta fase se puede realizar encuestas o las visitas realizando actas de verificación con el objetivo de generar evidencias in situ. Es opcional pero recomendable por parte del Auditor, la elaboración de encuestas, con el propósito de recabar información más específica y aprobada; y así llevar a cabo el diagnóstico preliminar y dimensionamiento de la Auditoría Informática a la Dirección de TI. En esta fase se utiliza el Anexo N°1 “Encuesta”. 3.1.1.1.3. Dimensionamiento de la Auditoría Informática. - Lo que surge del análisis de la etapas anteriores, es la dificultad de poder establecer una fórmula que determine de forma precisa el tiempo, los recursos y número correcto de auditores que deben realizar la Auditoría Informática, sin embargo, la transferencia tecnológica del sistema ERP University de la ULADECH – Universidad Católica Los Ángeles de Chimbote a la Universidad Andina del Cusco, con 56 módulos que unifica procesos y funcionalidades en gestión: Académica, Administrativa, de servicios, producción 27 y calidad. Aspectos que, de llevarse a cabo una auditoría informática, corroboraría en el análisis, verificación y validación de los módulos, y con la participación de dos Auditores, se llevaría a cabo en la revisión de 2 módulos por día, lo que representaría aproximadamente 30 días calendario, y 15 días adicionales para la observación de las tecnologías de la información y documentos de gestión. 3.1.1.1.4. Comunicación al titular de la entidad de la realización de la Auditoria informática a la DTI.- Función que concierne al Jefe de la oficina de Auditoría, quien informa al Rector de la Universidad Andina del Cusco, sobre el proceso de la Auditoría informática a la Dirección de Tecnologías de la Información, con el propósito de que el Rectorado envíe un documento a todas la unidades tanto administrativas como académicas para brindar facilidades a los auditores en dicho proceso de Auditoría Informática. 3.1.1.1.5. Elaboración de encuestas. – Es potestativo, pero recomendable que el auditor elabore encuestas con carácter de declaración jurada para los encuestados; y en caso de que las respuestas sean afirmativas, que se adjunte a la encuesta respondida los documentos que avalen dicha afirmación. 3.1.1.1.6. Elaboración de actas de verificación. – Es un documento utilizado en auditorías que hace constar circunstancias observadas, las cuales pueden ser documentadas incluso con fotografías. Se registra en dichas actas todas las observaciones relacionadas a las malas prácticas en el uso y administración de las Tecnologías y sistemas de información, para ello, se hacen visitas inopinadas en presencia del Jefe de Auditoría, los auditores, el director de la DTI, responsables ingenieros de sistemas asignados a brindar mantenimientos o soporte y personal del área usuaria, quienes firman el acta de verificación en señal de conformidad. Las “actas de verificación” se aplican con el propósito de generar las evidencias para formar opinión o informes previos. En esta parte se ut i l iz ará el Anex o N° 2 “Actas de verificación”. 3.1.1.1.7. Recopilación de los documentos de gestión, operación y documentos de la información financiera y presupuestaria de la Dirección de tecnologías de la Información. – Se elaboran documentos dirigidos a las diferentes unidades, tanto administrativas como académicas, especialmente a la DTI, con el fin de solicitar para evaluar todos los documentos concernientes al periodo que se audita. Generándose para la Auditoría los “papeles de trabajo”. En esta fase se percibe el nivel de riesgo, el nivel de problema o una necesidad de auditoría más compleja, lo que conlleva a 28 la elaboración de la propuesta en concreto de intervención, que nos permita saber puntualmente si hay que acomodar un grupo, que grupo hace falta subcontratar, para con ello poder elaborar el presupuesto, medios y recurso humano especializado. 3.1.1.1.8. Elaboración y exposición del informe previo. – Es tarea del o de los Auditores elaborar y sustentar en esta fase un informe previo comunicando sobre todas las actividades realizadas y por realizar por parte de los auditores, considerando que el informe de Auditoría es el complemento de los informes previos. 3.1.2. FASE 2.- PLANIFICACIÓN DE LA OPERACIÓN DE LA AUDITORÍA INFORMÁTICA. En esta fase se da la aprobación de la propuesta por parte del Rector de la Universidad Andina del Cusco y se decide intervenir con la Auditoría Interna Informática realizada por la Oficina de Auditoría Interna. 3.1.2.1. Actividades para considerar. - En esta segunda fase de la planificación, de darse la aprobación del contrato para seguir con la Auditoría Interna informática, se determinan las sucesivas diligencias a desarrollar por parte de la Oficina de Auditoría Interna y el Auditor Informático: 3.1.2.1.1. Aplicación y análisis de las encuestas al Director de la DTI. - Se aplica la encuesta como una alternativa de recopilar documentos ante la afirmación de las preguntas y ante la negativa, se evalúa el posible hallazgo. 3.1.2.1.2. Aplicación y análisis de las actas de verificación al Director de DTI, Directores y personal de las diferentes áreas académicas y administrativas de la Universidad Andina del Cusco, involucradas en el uso y administración de sistemas y tecnologías de la información. - Este proceso conduce a obtener documentos de prueba que serán mencionados en la “Condición” del Hallazgo, conjuntamente otras normas y directivas que conducen a la trasgresión. 3.1.2.1.3. Análisis sobre los documentos de gestión y documentos de información financiera y presupuestaria de la DTI. – Trabajo que se realiza en conjunto con el Jefe de la Oficina de Auditoría, quien lleva a cabo la Auditoría contable ya que una Auditoria especializada se realiza en conjunto con la Auditoria contable que es la que fiscaliza la información financiera y los documentos de gestión (Archivo permanente), así como otros documentos de la Dirección de TI de los cuales se forma una opinión técnica pertinente y luego un informe previo por parte del Auditor informático. Del mismo modo se realiza el análisis sobre el cumplimiento de las actividades en la Dirección de TI, conforme a los lineamientos, procedimientos, las normas 29 institucionales, directorales y normas informáticas adoptadas por la Universidad y la Dirección de TI. Para la formación de informes previos y opinión del Auditor. 3.1.2.1.4. Elaboración del memorándum por parte del Jefe de la Oficina de Auditoría con el Auditor, donde se informa sobre el proceso de Auditoría a desarrollarse en la Dirección de TI de la Universidad Andina del Cusco, mencionando al Auditor Informático, Objetivos de la auditoría, misión y visión de la entidad y de la Dirección de TI, cronograma de actividades, recurso humano que participará en el proceso y las normativas, procedimientos y políticas aplicables a dicha Dirección. Solicitando además se brinde las facilidades para dicho proceso. P a r a e s t a p a r t e s e u t i l i z a e l A n ex o N° 3 “Memorándum”. 3.1.2.1.5. Aprobación del memorándum de planificación por el Jefe de la Oficina de Auditoría. – La aprobación confirma el hecho de realizarse la Auditoría Informática, precisando el periodo, objetivos, alcance y la metodología planteada. 3.1.2.1.6. Elaboración y aprobación del plan de actividades de la Auditoría informática y el presupuesto de tiempo para Auditar la DTI de la Universidad Andina del Cusco, en esta fase se señala el antecedente de la Auditoría, antecedentes de la DTI, misión, visión, objetivos de la DTI, objetivos de la Auditoría informática, Alcance de la auditoría, normativa aplicable, Recursos, presupuesto de tiempo, información administrativa y cronograma o plan. Se utiliza el Anexo N° 4 “Plan”. 3.1.2.1.7. Elaboración de los informes previos, presentación y sustentación por parte del Auditor informático al director de la oficina de Auditoría de la Universidad Andina del Cusco, informando sobre todo lo actuado y el estado del proceso de Auditoría Informática. 3.1.3. FASE 3.- DESARROLLO Y EJECUCIÓN DE LA AUDITORÍA INFORMÁTICA. Esta fase de la auditoría es la que tiene mayor duración y se recomienda, que se proporcione al Auditor o Auditores un espacio en la Oficina de Auditoria donde se pueda trabajar con todas las condiciones necesarias. El principal objetivo después de realizar todas las actividades de las fases anteriores, es buscar evidencias que puedan conducir a conclusiones certeras en el diagnóstico, se tiene que ver hasta el detalle más mínimo del estado actual de la DTI y oficinas de la Universidad Andina del Cusco en el uso y administración de los sistemas y tecnologías de la Información. Al obtener las principales evidencias, junto con la información obtenida, efecto de las aclaraciones, de las entrevistas, de los cuestionarios, etc., se pasa a desarrollar las siguientes actividades. 30 3.1.3.1. Actividades para considerar. - En esta tercera fase del desarrollo y ejecución de la auditoría informática se distribuyen las tareas entre el auditor o los auditores quienes desarrollaran los hallazgos relacionados a TICs y el Jefe de la Oficina de Auditoría los relacionados a la parte contable y presupuestos de la DTI y algunos hallazgos que se trabajaran en conjunto. 3.1.3.1.1. Distribución del trabajo entre los Auditores participantes de la presente Auditoría Informática. – Dada la demanda de papeles de trabajo y suficientes evidencias, se recomienda la distribución del trabajo con el propósito de organizar toda la documentación que facilite en la elaboración de los hallazgos, los cuales serán hallazgos en los procesos de gestión de la DTI, hallazgos en la adquisición, uso, administración y manutención de las tecnologías de la información y hallazgos en el adquisición, uso, gestión, manipulación y manutención de los sistemas de información. En esta parte se utiliza el Anexo N° 6 “Hallazgo”. 3.1.3.2. Elaboración de hallazgos. - Una vez ordenado los papeles de trabajo se procede a la elaboración de los diferentes hallazgos, manteniendo la propuesta de los formatos que incluyen sus partes: sumilla, condición, criterio, causa, efecto y recomendación; posteriormente se hace entrega al Jefe de la Oficina de Auditoría de la Universidad Andina del Cusco para su revisión. 3.1.3.3. Realización de la acción de control y Auditoría Informática. – Una vez revisados los hallazgos y aprobados por el Jefe de la Oficina de Auditoría se procede a la distribución con cartas elaboradas por la oficina de Auditoría a quienes corresponda para su eventual descargo o aclaraciones sobre los hechos consignados en el hallazgo y que se recibirá con carta de respuesta dentro de los plazos exigidos. 3.1.3.4. Evaluación de los descargos. - La revisión y evaluación de los descargos y/o aclaraciones por parte de los aludidos en el hallazgo, lo desarrollará de manera exclusiva el o los auditores informáticos, quienes realizarán esta labor haciendo uso de un formato donde se registra: El nombre del funcionario aludido en el hallazgo, la sumilla del hallazgo, el documento de envío del hallazgo, fecha de envío, Documento de respuesta, fecha de respuesta, extracto del descargo o aclaración y finalmente la opinión técnica del auditor informático. Se usa el Anexo N° 7. “Tabla de evaluación de las aclaraciones de los hallazgos comunicados y Opinión del auditor” 3.1.3.5. Elaboración de los informes previos, presentación y sustentación por parte del Auditor informático al director de la oficina de Auditoría de la Universidad Andina del 31 Cusco, informando sobre todo lo actuado y el avance del proceso de Auditoría Informática. 3.1.4. FASE 4.- ELABORACIÓN DEL INFORME DE LA AUDITORÍA INFORMÁTICA. Es el proceso final desarrollado por la delegación auditora, que muestra el resultado final de su trabajo por medio de reflexiones fundadas en certezas conseguidas durante la fase de ejecución, con el propósito de ofrecer información apta a la máxima autoridad de la Universidad, sobre las faltas más reveladoras, así mismo se incluyen las recomendaciones que promueven progresos en la administración de las acciones, tareas e instrucciones de la DTI, para ello se encarga a la Oficina de Auditoría de hacer el seguimiento de cumplimiento de las acciones plantadas en las recomendaciones. El modelo de informe que se adopta es un hibrido que resulta en su mayoría de la Auditoría gubernamental, basada en la normas NAGU que es una propuesta de la Contraloría General de la República, el de ISACA es el acrónimo de Information Systems Audit and Control Association, viene a ser la que proporciona metodologías para el desarrollo de actividades de auditoría y control de Sistemas y tecnologías de la información, así como gestionar su certificación, también esta ISACA Cobit, estos estándares son bastante aceptados en el mundo de la auditoría con algunas modificaciones que se adaptan a la metodología que viene desarrollando la Oficina de Auditoría de la Universidad Andina del Cusco. Así mismo esta propuesta de metodología e informe se elige también, porque nuestra universidad tiene convenios con muchas universidades estatales y que a exigencias de la nueva ley universitaria N° 30220, todas éstas deben tener una subgerencia de TI, que será fiscalizada o auditada a través de las normas NAGU y metodología MAGU. 3.1.4.1. Actividades para considerar. - En esta cuarta fase de la elaboración del informe de auditoría, la comisión auditora redacta el informe en el plazo establecido, y la redacción tiene que ser en forma narrativa, metódica, ordenada y lógica, de fácil comprensión sobre lo detectado. Se debe considerar, además, la pertinencia de incluir gráficos y fotos que ayuden a comprender mejor los hechos. 3.1.4.2. Elaboración del informe. – Como desenlace concluyente del trabajo del comité auditor se procede a la elaboración del informe de auditoría a la DTI de la Universidad Andina del Cusco, desarrollado según la metodología propuesta y que conduce a considerar las característica y estructura señaladas en la propuesta. 32 Cabe señalar que el informe de auditoría informática es el resultado final donde se fundamenta el juicio profesional y especializado de los auditores, avalados en evidencias obtenidas durante el desarrollo de la actividad, con el fin de manifestar información suficiente a los empleados de la DTI y de la Universidad, sobre las insuficiencias más reveladoras y se incluyen recomendaciones que coadyuvaran a suscitar avances en las diligencias y procedimientos de la dirección auditada. En concordancia con el objetivo de alcanzar una propuesta metodológica de la Auditoría Informática para la Oficina de auditoria, el contenido del Informe resultante de la Auditoría Informática, Tomándose como referencia las Normas de Auditoría Gubernamental (NAGU), Normas COBIT e ISACA; y será como muestra el Anexo N° 8 “Partes del Informe de auditoría informática” 3.1.4.3. Revisión del Informe por el Jefe de la Oficina de Auditoría de la Universidad Andina del Cusco. - Esta actividad recae en el jefe de la Oficina de Auditoría, con el fin de dar a conocer sobre las debilidades en la gestión y operaciones de las actividades que desarrollan en la DTI, así mismo, evaluará la pertinencia de las recomendaciones por parte del auditor informático haciéndole el seguimiento hasta su cumplimiento. 3.1.4.4. Remisión del Informe al Titular de la Entidad sobre la conclusión de la Auditoría informática a la DTI. – Es la parte concluyente en la que, el jefe de la Oficina de Auditoria informa sobre los hallazgos detectados, las conclusiones y recomendaciones al Señor Rector y Vicerrectores de nuestra Universidad Andina del Cusco. 33 4. CAPITULO 4 – Resultados 4.1. Comprobación de la prospectiva La propuesta metodológica ha sido elaborada junto con la dirección de la oficina de auditoría de la Universidad Andina del Cusco, se adaptó a los procedimientos de gestión y operación de las auditorías internas desarrolladas por dicha oficina y que esta dirección ha visto de esta propuesta, la pertinencia de su utilidad. Así mismo, la metodología propuesta es el producto del estudio y apreciación de metodologías como las NAGU – Normas de Auditoría Gubernamental, ISACA Perú y COBIT, generando una estructura que consta de cuatro fases bien definidas, con subactividades de fácil desarrollo, y que incluyen formatos intuitivos permitiendo a los auditores desarrollar y formar opinión del proceso de auditoría informática sin complicaciones y registrando evidencias de lo actuado. La propuesta metodológica tiene las siguientes fases: Fase 1: TOMA DE CONTACTO Y ASPECTOS GENERALES Fase 2: PLANIFICACIÓN DE LA OPERACIÓN DE LA AUDITORÍA INFORMÁTICA. Fase 3: DESARROLLO Y EJECUCIÓN DE LA AUDITORÍA INFORMÁTICA Fase 4: ELABORACION DEL INFORME DE LA AUDITORÍA INFORMÁTICA Finalmente, de las coordinaciones con el jefe de la oficina de auditoría de la Universidad Andina del Cusco, se obtiene el visto bueno y la aprobación, acompañado de una constancia (ver Anexo 9) que indica lo viable y aplicable de la propuesta metodológica para el proceso de auditoría a la Dirección de TI y así poder conducir y recomendar, además, normas y estándares para un uso eficiente de las tecnologías y sistemas de la información en nuestra Universidad Andina del Cusco. 4.2. Cumplimiento de objetivos ▪ Se desenvolvió la propuesta metodológica, adaptándose a los procedimientos de la Oficina de Auditoría; y consta de una estructura sólida de 4 fases coherentes. ▪ Dentro que cada fase se desarrollaron instrumentos llamados formatos que dejan como evidencia el cumplimiento de haber desarrollado dicha actividad, finalmente, toda la información del proceso de auditoría informática queda registrada en dichos formatos que conducirán a la elaboración del informe final. 34 ▪ El resultado final de la propuesta metodológica fue evaluada y aceptada por el Jefe de la Oficina de Auditoría de la Universidad Andina del Cusco, emitiéndose una constancia de aceptación de dicha metodología. 4.3. Contribuciones (impacto) La contribución del proyecto es proporcionar a la Oficina de Auditoría de la Universidad Andina del Cusco una propuesta metodológica para el desarrollo de una auditoría interna informática a la Dirección de Tecnologías de la Información, la que accederá a optimizar los métodos de gestión y operación de dicha dirección. La propuesta metodológica contiene un plan de trabajo compuesto por fases, que agrupan actividades conducentes a un proceso secuencial de auditoría informática, registrándose en cada actividad propuestas de formatos, que quedarán como evidencia de la actividad desarrollada y que servirá para formar opinión al auditor informático de la Oficina de Auditoría, encargado de este proceso. Las actividades, los procedimientos descritos y los formatos de la propuesta metodológica, no pretenden suplir las posibilidades de investigación de los auditores informáticos, ni pretenden ser limitantes a la formación de opinión y posterior redacción del informe, más bien, la propuesta puede ser considerada como una guía, que facilite en la labor de auditoría informática, al equipo de auditores de la Oficina de Auditoria de la Universidad Andina del Cusco. A diferencia de las investigaciones presentadas en los antecedentes, la propuesta metodológica presentada cuenta con procedimientos que son intuitivos y acompañan propuestas de formatos en las actividades a realizar, permite que la Oficina de Auditoría de la Universidad Andina del Cusco cuente con una metodología a medida y adaptada a sus requerimientos Esta propuesta metodológica de auditoría informática genera un aporte de vital importancia en las labores de control, de fiscalización y de auditoría para la Oficina de Auditoría de la Universidad Andina del Cusco, en relación al accionar de la Dirección de Tecnologías de Información. 35 Glosario COBIT. - Agrupación de toda la información para el control de las tecnologías de información, obteniendo siempre las buenas prácticas y el manejo de las mismas, que ayudan a encontrar riesgos al implementar una TI, mejorando sus controles de calidad para el aseguramiento del desempeño contando así con la planificación, el monitoreo, la organización, implementación, adquisición, soporte y prestación para satisfacer a una organización especifica. ISACA. - Organización internacional que nace con el único objetivo de dar apoyo y patrocinio a la creación y desarrollo de una metodología hasta su certificación, pudiendo con esta realizar auditorías y controles de la información estableciendo pautas para los profesionales, siendo así reconocidas mundialmente. MAGU. - Es el documento que norma todas las orientaciones y las políticas para así poder ejercer con la auditoría gubernamental en el país, estableciendo postulados, procesos y criterios dentro de las metodologías con el fin de emparejar el trabajo de todos los auditores involucrados en el estudio de las instituciones públicas o privadas, promoviendo con mayor impacto la validez, empuje y capital en el desarrollo de las auditorias gubernamentales determinando juicios esenciales que permitirán próximamente poder llevar el control de esta con todos sus recursos necesarios. NAGU. - Son las normas de Auditoria Gubernamental, que están encargadas de determinar cada uno de los requisitos tanto de orden profesional con en forma personal de los auditores, dirigidos a emparejar los resultados de la auditoria gubernamental para obtener siempre los resultados más profesionales y de calidad, constituyendo un medio técnico para dar fortaleza y uniformidad al desempeño profesional del auditor gubernamental permitiendo la eficacia para satisfacer el grado de economía dentro de la institución auditada. 36 Conclusiones ▪ Dado que, en el ámbito de la Oficina de Auditoría de la Universidad Andina del Cusco, son escasas las métricas, técnicas y herramientas metodológicas, que permitan a dicha oficina llevar a cabo el desarrollo de una Auditoría Informática, de forma ordenada, estructurada y sistemática; esta propuesta brinda a dicha oficina, una metodología para una adecuada ejecución de una auditoría informática coherente, viable, flexible y pragmática. ▪ Si bien la Dirección de Tecnologías de Información y la Oficina de Auditoría de la Universidad Andina del Cusco cuentan con procedimientos establecidos que guía su accionar, no se ha encontrado normativa relacionada a acciones de control interno que puedan ser interpretadas como una metodología de Auditoría Informática. ▪ La propuesta metodológica de auditoría informática presentada contempla una estructura de 4 fases, que contienen un conjunto de actividades flexibles y adaptables a los procedimientos de la Oficina de Auditoría de la Universidad Andina del Cusco, para los procesos futuros de auditoría a la DTI. ▪ La propuesta metodológica ha sido considerada como una herramienta que ayudará al proceso de Auditoria Informática, es un aporte importante en la formalización de metodologías y será considerada como mejora continua en los procesos de la Oficina de Auditoria, según consta en la constancia que se anexa a este proyecto (ver Anexo 1). 37 Recomendaciones ▪ Se recomienda al Director de la Oficina de Auditoría de la Universidad Andina del Cusco, utilizar esta propuesta metodológica como una guía y herramienta para los procesos de auditoría interna informática a la DTI. ▪ Se recomienda que la Dirección de Tecnologías de Información adopte normas relacionadas a las Normas Técnicas Peruanas orientadas a las direcciones de tecnologías de información y que coadyuven en el progreso de una buena gestión. ▪ Se recomienda que esta tesis genere líneas de investigación relacionadas a auditorias sobre el sistema de gestión de la seguridad de la información – SGSI, Auditorías sobre Redes y teleproceso, Auditorías en domótica, cloud computing y otras líneas de investigación que ayudarían a mejorar la propuesta sobre las nuevas tendencias. 38 Referencias Adrianzén Fiestas , R. G., Viera Nizama, T. K., & Yerren Tavaa, J. D. (2021). Auditoría informática basada en COBIT 5.0 para la sala laboral transitoria de la Corte Superior de Justicia de Piura. Piura, Perú. https://repositorio.unp.edu.pe/bitstream/handle/20.500.12676/2590/INFO-ADR-VIE-YER- 2021.pdf?sequence=1&isAllowed=y Barreto Merino, L. J. (2021). Auditoría informática mediante COBIT 5 a la Cooperativa de Transportes Patria, período 2020. Riobamba, Ecuador. http://dspace.unach.edu.ec/bitstream/51000/8820/1/Barreto%20Merino%2C%20L.%282022%29%20A uditor%C3%ADa%20inform%C3%A1tica%20mediante%20COBIT%20%205%20a%20la%20Cooper ativa%20de%20Transportes%20Patria%2C%20Per%C3%ADodo%202020.pdf Castro Núñez, D. M. (Noviembre de 2012). Auditoría informática para optimizar el manejo de la información y equipamiento informático en el MIES INFA TUNGURAHUA. Ecuador. https://repositorio.uta.edu.ec/bitstream/123456789/2901/1/Tesis_t765si.pdf Caurin, J. (15 de marzo de 2017). La auditoría en la empresa. https://www.emprendepyme.net/auditoria Contraloria General. (22 de Septiembre de 1995). Aprueban las normas de Auditoría Gubernamental. Lima, Perú: El Peruano. http://www.oas.org/juridico/PDFs/mesicic4_per_res162.pdf Diario "El Peruano". (26 de setiembre de 1995). Contraloria General: Aprueban las Normas de Auditoría Gubernamental. Lima, Perú. http://www.oas.org/es/sla/dlc/mesicic/docs/mesicic4_per_res162.pdf Díaz Barrenechea , G. A., & Urbizagastegui Aguilar , A. S. (28 de Febrero de 2017). Auditoría de seguridad informática aplicada a la unicipalidad Distrital de Santa María. Huacho, Perú. http://repositorio.usanpedro.edu.pe/handle/USANPEDRO/934?show=full Donoso Sánchez, A. (30 de junio de 2017). Informe de auditoría. https://economipedia.com/definiciones/informe-de-auditoria.html Galan, J. S. (2020). Auditoria Informatica. https://economipedia.com/definiciones/auditoria-informatica.html Gallardo Mancinas, J. I. (s.f.). Auditoría Informática. https://sites.google.com/site/auditoriagallardo/unidad-5/5-3 Gardey, J. P. (2018). DEFINICIÓN DE HALLAZGO. https://definicion.de/hallazgo/ GUZMÁN, L. A. (2012). PROCEDIMIENTO PARA REALIZAR LA VERIFICACIÓN. https://info.jalisco.gob.mx/sites/default/files/leyes/dom-p139- rs12_001_procedimiento_para_realizar_la_verificacion_sanitaria.pdf Hernández Hernández, J. (2018). COBIT, una metodología que genera valor en las empresas. Bogota, Colombia. http://repository.unipiloto.edu.co/bitstream/handle/20.500.12277/4677/00004999.pdf?sequence=1&isAl lowed=y INDECOPI. (1999). Resumen de Normas de Técnicas Peruanas del Sistema de conexión a tierra. Perú. https://docplayer.es/36579414-Resumen-de-normas-tecnicas-peruanas-del- sistema-de-conexion-a- tierra.html INEI. (2002). https://www.gob.pe/institucion/inei/normas-legales/293368-386-2002-inei. INEI. (31 de Diciembre de 2009). RESOLUCION JEFATURAL Nº 386-2002-INEI. Lima, Perú. https://cdn.www.gob.pe/uploads/document/file/358409/RJ_386-2002-INEI.pdf Jimenez Alzate, A. I. (2009). Una visión sistemática de la auditoría informática . Cali, Colombia. https://biblioteca.usat.edu.pe/cgi-bin/koha/opac- detail.pl?biblionumber=16893&query_desc=Provider%3AUniversidad%20Santiago%20de%20Cali%2 C KIMAT Empresa de grupo SCANDA. (2019). ¿Qué es ISACA y cuáles son sus objetivos? https://www.kimat.mx/que-es-isaca-y-cuales-son-sus-objetivos-kimat/ La Contraloría General de la República del Perú. (setiembre de 2021). Organización de La Contraloría General de la República. Perú. https://www.gob.pe/8432-la-contraloria-general-de-la-republica-organizacion- de-la-contraloria-general-de-la-republica Lombardi, F. Z. (2021). Aprueban uso obligatorio de la Norma Técnica Peruana “NTP-ISO/IEC 12207:2016- Ingeniería de Software y Sistemas. Procesos del ciclo de vida del software. 3a Edición”, en todas las entidades integrantes del Sistema Nacional de Informática. https://busquedas.elperuano.pe/normaslegales/aprueban- uso-obligatorio-de-la-norma-tecnica-peruana- ntp- is-resolucion-ministerial-n-041-2017-pcm-1491441-1/ Manaure, A. (23 de Julio de 2013). ISACA Actualiza los Estándares de Auditoria y Aseguramiento de SI. https://thestandardcio.com/2013/07/23/isaca-230713/ Merino, J. P. (2021). DEFINICIÓN DE. https://definicion.de/plan/ Moore, J. (Abril de 2010). ISO/IEC/IEEE 15288 and ISO/IEC/IEEE 12207: The Entry-Level Process Standards. https://es.pdfdrive.com/isoiecieee-15288-and-isoiecieee-12207-d10073463.html Morales Uribe, J. R. (Diciembre de 2000). Auditoría de Tecnologiías de Información. Ciudad de México, México. https://www.ipn.mx/assets/files/investigacion-administrativa/docs/revistas/87/ART9.pdf 39 Quillupangui Toapanta, D. A. (Febrero de 2019). Auditoría informática mediante COBIT 5 para el área informática en la empresa ROSAS DEL CORAZÓN. Latacunga, Ecuador. http://repositorio.utc.edu.ec/handle/27000/5703 Quintuña Rodríguez, V. K. (Abril de 2012). Auditoría Informática a la Superintendencia de Telecomunicaciones. Cuenca, Ecuador. https://dspace.ucuenca.edu.ec/bitstream/123456789/652/1/ts205.pdf Rafael Samillan, G. &. (2016). Auditoría informática usando las normas COBIT en el Centro de Sistemas de Información del Hospital Regional Docente las Mercedes de Chiclayo . Lambayeque, Perú. http://repositorio.unprg.edu.pe/bitstream/handle/UNPRG/1221/BC-TES- 5923.pdf?sequence=1&isAllowed=y Ramirez Diaz, R. J. (27 de setiembre de 2012). Cobit 5. https://www.magazcitum.com.mx/index.php/archivos/1893 Ramos Arca, C. C. (Junio de 2015). Propuesta de un pla de auditoria informatica para el "Sistema de Información en Salud" y el "Aplicaivo para el reistro de formato SIS". Piura, Perú. http://repositorio.unp.edu.pe/bitstream/handle/UNP/683/IND-RAM-ARC- Ramos, M. (2014). La auditoria Informatica. file:///C:/Users/User/Downloads/Dialnet-LaAuditoriaInformatica- 248905.pdf Razo, C. M. (2002). Auditoría en sistemas. México: Pearson Educación de México, S. A. de C. V. Restrepo-Medina, M. A. (01 de octubre de 2018). Calidad de los hallazgos de auditoría. . Análisis de caso de las contralorías territoriales. Colombia. Ros, M. (16 de junio de 2004). Elementos de una auditoría de información. https://www.documentalistaenredado.net/33/elementos-para-una-auditora-de-informacin/ Terreros, D. (2021). Qué es una encuesta, para qué sirve y qué tipos existen. https://blog.hubspot.es/service/que- es-una-encuesta Torres, D. (2021). Memorándum: qué es, cómo hacerlo y ejemplos. https://blog.hubspot.es/sales/como-hacer- memorandum Universidad Andina del Cusco. (30 de abril de 2015). Reglamento de Organizacion y Funciones. Cusco, Perú. https://www.uandina.edu.pe/descargas/transparencia/rof2-uac.pdf Universidad Andina del Cusco. (09 de octubre de 2019). Acta de sesión extraordinaria del Consejo Universitario del 09 de octubre de 2019. Cusco, Perú. https://www.uandina.edu.pe/descargas/transparencia/actas/acta-CUe-091019.pdf Universidad Andina del Cusco. (03 de mayo de 2019). Manual de Organización y Funciones. Cusco, Perú. https://www.uandina.edu.pe/descargas/transparencia/mof5-uac-2019.pdf Universidad Andina del Cusco. (05 de febrero de 2020). Acta de sesión ordinaria del Consejo Universitario del 05 de febrero de 2020. Cusco, Perú. https://www.uandina.edu.pe/descargas/transparencia/actas/acta- CUo-050220.pdf Viña Echevarria, R. E. (Marzo de 2014). La gestión de riesgos de auditoría: una fórmula de calidad y efectividad para los auditores del sistema cubano de auditoría. Cuba. https://www.eumed.net/rev/caribe/2014/03/gestion-riesgos-auditoria.pdf 40 Anexos Anexo N° 1 Encuesta ENCUESTA Institución Universidad Andina del Cusco Área Dirección de tecnologías de la información (DTI) Responsible Fecha Cusco, …… de ................. de 202…. Documentos de Gestión de la DTI SI NO P/P (Por precisar) ¿La Dirección de tecnologías de la información (DTI) cuenta con un plan operativo informático (POI), aprobado?, En caso de que la respuesta sea afirmativa (SI), adjuntar la resolución de aprobación emitida por el Rectorado o Vicerrectorado Administrativo, conjuntamente el POI aprobado para la DTI. En caso de no existir dicha resolución; pero, de 1 haber tomado acciones la DTI en tramitar inconclusamente la aprobación del POI (Explicar brevemente cual sea el caso en la columna P/P de la encuesta), adjuntar copia del documento de cargo, del trámite inconcluso de la aprobación del POI de la DTI, en las gestiones a su cargo, conjuntamente el proyecto POI para dicha dirección por aprobar. ¿La Dirección de tecnologías de la información (DTI) cuenta con un Manual de Organizaciones y Funciones (MOF) aprobado?, En caso de que la respuesta sea afirmativa (SI), adjuntar la resolución de aprobación emitida por el Rectorado o Vicerrectorado Administrativo, conjuntamente el proyecto aprobado del MOF para la DTI. En caso de 2 no existir dicha resolución; pero, de haber tomado acciones la DTI en tramitar inconclusamente un MOF (Explicar brevemente cual sea el caso en la columna P/P de la encuesta), adjuntar copia del documento de cargo, del trámite inconcluso del MOF para la DTI, en las gestiones a su cargo, conjuntamente el proyecto del Manual de Organizaciones y Funciones para dicha dirección por aprobar. 3 41 4 Anexo N° 2 Acta de verificación ACTA DE VERIFICACIÓN En la Dirección de ....................................................... de la Universidad Andina del Cusco, en presencia del Director de …………………………….., del Jefe de la Oficina de Auditoría de la Universidad Andina del Cusco ……………………………………………….., de los Auditores Informáticos Ing. ……………………………………………………………… y del Director de Tecnologías de la Información se verifica lo siguiente: Dirección Auditada Responsable del área Hora: Fecha: Se manifiesta lo siguiente: 1 Preguntada(o) diga: Desde que fecha asumió la dirección de control patrimonial y si ésta se evidencia con resolución de nombramiento. Dijo: 2 Preguntada(o) diga: Conoce, si el sistema de control patrimonial es un sistema con el que se cuenta el código fuente en la dirección de tecnologías de la información. Dijo: 3 Preguntada(o) diga: Dijo: 4 Preguntada(o) diga: Dijo: Elaborado y revisado por: Mg. CPC Jorge Oscar Trigoso Delgado Mg. 42 Jefe de la oficina de auditoría Director de ………… Ingeniero de sistemas Dr. Ing. …………………… ACTA DE VERIFICACIÓN En la Dirección de ......................................... de la Universidad Andina del Cusco, en presencia del Director de …………………………, del Jefe de la Oficina de Auditoria de la Universidad Andina del Cusco ……………………………….., de los Auditores Informáticos Ing. ……………………………………………………………… y del Director de Tecnologías de la Información se verifica lo siguiente: Dirección Auditada Responsable del área Hora: Fecha: Se manifiesta lo siguiente: 1 2 Elaborado y revisado por: Mg. CPC Jorge Oscar Trigoso Delgado Mg. Jefe de la oficina de auditoría Director de ………………. Ingeniero de sistemas Dr. Ing. ………………………… Auditor Informático Director de la DTI 43 Anexo N° 3 Memorándum MEMORÁNDUM DE PROGRAMACIÓN DE LA AUDITORIA INFORMÁTICA A LA OFICINA DE TECNOLOGIAS DE LA INFORMACION DE LA UNIVERSIDAD ANDINA DEL CUSCO PERIODO: dd1/mm1/aaaa1 al dd2/mm2/aaaa2 1. OBJETIVOS.- Objetivo General Objetivos específicos 1. 2. 2. ALCANCE. – El periodo a examinar corresponde al ejercicio fiscal comprendido entre el dd1/mm1/aaaa1 al dd2/mm2/aaaa2, y comprende….. 3. METODOLOGÍA A UTILIZAR. - Para el cumplimiento de los objetivos de la Auditoria Informática, se aplicará en la propuesta de la metodología presente con sus fases: Fase 1: TOMA DE CONTACTO Y ASPECTOS GENERALES Fase 2: PLANIFICACIÓN DE LA OPERACIÓN DE LA AUDITORÍA INFORMÁTICA. Fase 3: DESARROLLO Y EJECUCIÓN DE LA AUDITORÍA INFORMÁTICA Fase 4: ELABORACION DEL INFORME DE LA AUDITORÍA INFORMÁTICA Elaborado y revisado por: Mg. CPC Jorge Oscar Trigoso Delgado Mg. Jefe de la oficina de auditoría Director de ………………. Ingeniero de sistemas Dr. Ing. ………………………… Auditor Informático Director de la DTI 44 Anexo N° 4 Plan PLAN DE LA AUDITORÍA INFORMÁTICA A LA DIRECCIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN DE LA UNIVESIDAD ANDINA DEL CUSCO PERIODO: dd1/mm1/aaaa1 al dd2/mm2/aaaa2 A. Antecedentes del Examen Especial. La auditoría informática a la Dirección de tecnologías de la información de la Universidad Andina del Cusco - Periodo dd1/mm1/aaaa1 al dd2/mm2/aaaa2, se elabora en mérito a la Resolución Rectoral Nº -UAC-aaaa3 y la Directiva Nº - OI/UAC-aaaa3 de la Oficina de Auditoría de la Universidad Andina del Cusco. Con Oficio Nº - OI/UAC-aaaa3 de fecha1, el jefe de la Oficina de Auditoría de la Universidad Andina del Cusco, comunica el inicio de la Actividad de la Auditoría Informática a la Dirección de tecnologías de la información Periodo dd1/mm1/aaaa1 al dd2/mm2/aaaa2, al Rectorado de la Universidad Andina del Cusco, así mismo, da a conocer que en esta Acción de Control participarán como Auditores Informáticos: B. Antecedentes de la DTI. MISIÓN VISIÓN Objetivo General: C. Objetivos de la Auditoría Informática. Objetivo General Objetivos específicos 1. 2. D. Alcance del Examen Especial. El periodo a examinar corresponde al ejercicio fiscal comprendido en el periodo dd1/mm1/aaaa1 al dd2/mm2/aaaa2, y comprende el análisis de la información generada en la Dirección de tecnologías de la información. E. Normatividad Aplicable a la DTI. 45 Las siguientes normativas que se alcanzan, son sugerencias para la adopción por parte de la Dirección de TI de la Universidad Andina del Cusco. 1. MOF, ROF, POI, Políticas, normas y procedimientos aprobados, para la DTI. 2. ANSI/TIA/EIA TELECOMMUNICATIONS SYSTEMS BULLETIN Transmission Performance Specifications for Field Testing of Unshielded Twisted- Pair Cabling Systems. 3. NTP/ISO/IEC 27001:2014, TECNOLOGÍA DE LA IFORMACIÓN, Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información. Requisitos. 4. 5. F. Programa de Procedimientos a Ejecutar en el Examen Especial. Los ordenamientos de la Auditoría Informática tienen forma de indicativo, por lo cual es flexible y susceptible de cambiar a juicio del auditor responsable de la Auditoría Informática. G. Recursos de Personal y Especialistas Para la ejecución de la Auditoría informática periodo dd1/mm1/aaaa1 al dd2/mm2/aaaa2, se requiere la participación del siguiente personal: Cargo en la Horas Días DNI Apellidos y nombres comisión Asignadas útiles Mg. CPC. Jorge Oscar Trigoso Jefe de la oficina de Delgado auditoría Ing. Sistemas Daniela Alexandra Palomino Sysoeva e Ing. Auditoras Carolina Almendra Villegas Informáticas Rojas H. Presupuesto de Tiempo. El presupuesto de tiempo por actividades se expone en el Anexo N° 05. INFORMACIÓN ADMINISTRATIVA. a) INFORMES A EMITIR Y FECHA DE ENTREGA Como resultado de la Auditoría Informática, se emitirá el informe de naturaleza administrativa, de conformidad con la aprobación de la resolución rectoral gestionada por la Oficina de auditoría de la Universidad Andina del Cusco. b) FORMATO DEL INFORME En concordancia con el objetivo de alcanzar una propuesta metodológica de la Auditoría Informática para la Oficina de auditoria, el contenido del Informe resultante de la Auditoria Informática, Tomándose como referencia las Normas de Auditoría Gubernamental - NAGU, Normas COBIT e ISACA; y será como sigue: 46 I. INTRODUCCIÓN 1. Origen de la Auditoría. 2. Objetivos de la Auditoría. 3. Alcance de la Auditoría. 4. Antecedentes y Normativas de la DTI. 5. Comunicación de hallazgos. 6. Memorándum. 7. Otros aspectos de importancia. II. OBSERVACIONES III.CONCLUSIONES IV. RECOMENDACIONES Firma del auditor Elaborado y revisado por: Mg. CPC Jorge Oscar Trigoso Delgado Mg. Jefe de la oficina de auditoría Director de ………………. Ingeniero de sistemas Dr. Ing. ………………………… Auditor Informático Director de la DTI 47 Anexo N° 5 Presupuesto de tiempo PRESUPUESTO DE TIEMPO POR ACTIVIDADES ESTIMADAS PARA LA AUDITORÍA INTERNA INFORMATICA A LA DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACIÓN DE LA UNIVERSIDAD ANDINA DEL CUSCO Periodo dd1/mm1/aaaa1 al dd2/mm2/aaaa2. ACTIVIDAD MES 01 MES 02 MES 03 RESPONSABLE 1.Toma de contacto y aspectos generales 1.1 Análisis Inicial sobre la Dirección de tecnologías de Jefe de la OA y Auditores la información 1.2 Análisis sobre el centro de procesos de datos Jefe de la OA y Auditores 1.3 Dimensionamiento de la Auditoría informática Auditores 1.4 Comunicación al Titular de la Entidad de la realización de la Auditoría informática a la DTI, por Jefe de la OA parte del Jefe de la Oficina de Auditoría de la Universidad Andina del Cusco 1.5 Elaboración de las encuestas. Auditores 1.4 Elaboración de las actas de verificación. Auditores 1.5 Recopilación de los documentos de gestión y operación y documentos de la Información Financiera y Jefe de la OA y Auditores Presupuestaria de la Dirección de Tecnologías de la Información 1.6 Elaboración y sustentación del informe previo 2. Planificación de la operación de la Auditoría informática 2.1 Aplicación y análisis de las encuestas al Director de Auditores la DTI. 2.2 Aplicación y análisis de las actas de verificación al Director de DTI, Directores y personal de las diferentes Auditores unidades académicas y administrativas de la Universidad Andina del Cusco, involucradas en el uso y administración de sistemas y tecnologías de la información. 2.3 Análisis sobre los documentos de gestión y documentos de Información Financiera y Jefe de la OA y Auditores Presupuestaria de la Dirección de Tecnologías de la Información. 48 2.4 Elaboración del Memorándum de planificación Jefe de la OA y Auditores 2.5 Aprobación del Memorándum de Planificación por el Jefe de la OA Jefe de la oficina de Auditoría 2.6 Elaboración y aprobación del plan de actividades de la auditoria informática y el presupuesto de tiempo Jefe de la OA y Auditores para auditar la Dirección de tecnologías de la información de la Universidad Andina del Cusco. 2.6 Elaboración y sustentación del informe previo 3. Desarrollo y ejecución de la Auditoría informática 3.1Distribución del Trabajo entre los Auditores Jefe de la OA y Auditores Participantes en la Presente Auditoría Informática 3.2 Elaboración de hallazgos 3.3 Ejecución de la Acción de Control y Auditoría Auditores Informática 3.4 Evaluación de descargos Auditores 4. Elaboración del Informe 4.1 Elaboración de Informe. Auditores 4.2 Revisión del Informe por el Jefe de la Oficina de Jefe de la OA Auditoría de la Universidad Andina del Cusco. 4.3 Remisión del Informe al Titular de la Entidad sobre Jefe de la OA la conclusión de la Auditoría informática a la DTI Elaborado y revisado por: Mg. CPC Jorge Oscar Trigoso Delgado Mg. Jefe de la oficina de auditoría Director de ………………. Ingeniero de sistemas Dr. Ing. ………………………… Auditor Informático Director de la DTI 49 Anexo N° 6 Hallazgo HALLAZGOS EMERGENTES DE LA AUDITORÍA INFORMÁTICA A LA DIRECCIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN DE LA UNIVERSIDAD ANDINA DEL CUSCO PERIODO: dd1/mm1/aaaa1 al dd2/mm2/aaaa2 Sede : Sede central de Larapa Grande Cusco. Área : Responsable: Sumilla: EN EL MARCO DE LAS LABORES QUE REALIZA LA DIRECCION DE TECNOLOGIAS DE LA INFORMACIÓN SE INCUMPLE CON EL PROCESO DE MANTENIMIENTO DEL SISTEMA DE CONTROL PATRIMONIAL Condición: De la conversación realizada al Jefe de ………………………….., de la revisión del Acta de Verificación de .................................. , y de la revisión de la hoja de requerimientos de esta oficina, se establece que en el marco de las tareas que realiza la DTI - UAC se incumple con ………………………….. Criterio: Transgrediendo: La Directiva Nº 016-2002-INEI/DTNP “NORMAS TÉCNICAS PARA EL ALMACENAMIENTO Y RESPALDO DE LA INFORMACIÓN PROCESADA POR LAS ENTIDADES DE LA ADMINISTRACIÓN PÚBLICA”, aprobada mediante Resolución Jefatural Nº 386-2002-INEI del 31 de diciembre de 2002, que dice: …………………………….. Causa: La causa obedece: Efecto: Como consecuencia: Recomendación: La oficina de Informática y de Sistemas dentro del marco del personal con el que cuenta, del posible presupuesto que se le asigne y de su cronograma de trabajo, plantee una solución racional a este tema. La solución que propondrá la Oficina de Informática y de Sistemas deberá ser incluida dentro de un Plan Operativo Informático. 50 Elaborado y revisado por: Mg. CPC Jorge Oscar Trigoso Delgado Mg. Jefe de la oficina de auditoría Director de ………………. Ingeniero de sistemas Dr. Ing. ………………………… Auditor Informático Director de la DTI Anexo N° 7 Tabla de evaluación de las aclaraciones de los hallazgos comunicados y opinión del auditor Anexo N°1 Constancia de aprobación por parte de la Oficina de Auditoria de la Universidad Andina del Cusco 51 Anexo N° 8 Partes del Informe de auditoría informática Partes del Informe de auditoría informática I. INTRODUCCIÓN Comprende toda la información que concierne al proceso de auditoría a la Dirección de TI de la entidad a la cual pertenece; y se desarrollan los siguientes aspectos: 1. Origen de la Auditoría. El origen de la Auditoria describe los antecedentes y razones que motivaron a realizar el proceso de auditoría informática, pudiendo ser estas: incumplimiento del plan operativo informático, denuncias sobre irregularidades producidas por los sistemas de información voluntaria o involuntariamente, posibles adquisiciones sobrevaloradas, fraudes informáticos, entre otros. El origen de la auditoría describe también el proceso de incorporación de la Auditoría Informática en el plan anual de control del año en el que se pretende realizar dicho proceso por parte de la Oficina de Auditoría de la Universidad Andina del Cusco, con aprobación de una Resolución Rectoral. Así mismo, deben figurar la numeración y fecha de publicación de dichos documentos. 2. Objetivos de la Auditoría. En este rubro se señalarán los objetivos previstos que constituyen a la auditoría informática y son: análisis situacional de los sistemas de control interno informático implementados, el análisis situacional de la pertinencia y eficiencia de los sistemas y tecnologías de información, comprobación del cumplimiento normas en general por parte de la Dirección de TI, etc. incluyendo las precisiones que correspondan respecto del nivel de cumplimiento alcanzado en cada caso. 3. Alcance de la Auditoría. El alcance refleja la cobertura y profundidad del trabajo realizado para lograr los objetivos durante el proceso de auditoría, se debe precisar el periodo y 52 áreas de la entidad a examinar, el ámbito geográfico donde se realizará el proceso de auditoría y, sobre todo, dejar constancia que éste proceso se llevó a cabo de acuerdo a la normativa vigente y válida para la dirección de TI de la Universidad. De igual manera, en caso de ser pertinente, se revelarán en este párrafo las limitaciones u otras relativas al alcance del proceso de auditoria informática que se hubieran presentado y afectado en dicho proceso 4. Antecedentes y Normativas de la DTI. En este rubro se mencionará de manera breve y concisa, los aspectos que guarden relevancia y vinculación con el proceso de auditoría, tales como la misión y visión, naturaleza legal, objetivos de la Dirección de TI, normas legales aplicables a la entidad, normas legales aplicables a la Dirección de TI con el fin de situar el ámbito técnico y legal que es materia del proceso de auditoria informática. 5. Comunicación de hallazgos. En este rubro se indica haber dado el cumplimiento oportuno de la comunicación de los hallazgos al personal involucrado en las posibles irregularidades detectadas a fin de que realicen sus aclaraciones o descargos debidamente documentados, en los plazos establecidos; los mismos que serán evaluados y cuyos resultados formarán parte del presente informe. 6. Memorándum. En este rubro se indicará que, por medio una carta de la Oficina de Auditoría se informa al titular de la entidad (Rector) sobre las debilidades de los sistemas de control interno implementados en la Dirección de TI, así como el reporte de las acciones correctivas que en virtud del mismo se hayan adoptado e irán como anexo del informe. 7. Otros aspectos de importancia. En este rubro se describe toda la información que la comisión auditora, según su profesionalismo y experiencia, considere de vital importancia para la elaboración del informe de auditoría. Esta información refleja hechos y acciones relacionadas con la situación evidenciada en las funciones desarrolladas y/o también con los objetivos de control interno informático, podríamos afirmar también que dicha información, es evidencia revelada que coadyuva en el desarrollo de un trabajo de auditoría objetivo e imparcial. 53 Así mismo se describen las dificultades o limitaciones por las que atravesó el proceso de auditoría, y que estas dificultades fueron realizadas por los responsables de la dirección examinada. También en este rubro figuran los logros más significativos que se alcanzó durante el proceso de auditoría. Todos estos aspectos en conjunto dan lugar a la elaboración y formulación de las conclusiones y las recomendaciones del informe. II. OBSERVACIONES En este rubro del informe, se desarrollan las observaciones como resultado de la evaluación y contrastación de los hallazgos que se comunicaron a los involucrados de las posibles irregularidades, con sus propios descargos o aclaraciones que formularon, así como también con los documentos de evidencia registrados por la comisión auditora. Las observaciones deben referirse a hechos de vital importancia y de interés para la organización y su área examinada; y éstas deben presentarse en un leguaje fácil de entender, de forma ordenada, numerada correlativamente y de pertinencia irrefutable. III. CONCLUSIONES En este rubro se desarrollan las conclusiones del informe de auditoría informática, que expresa el juicio y opinión de carácter profesional de la comisión auditora en base a las observaciones que se establecieron como resultado del proceso de auditoría. Las conclusiones irán de forma ordenada y numerada correlativamente. IV. RECOMENDACIONES En este rubro se desarrollan las recomendaciones que constituyen medidas concretas y viables, que la comisión auditora sugerirá a la organización a fin de promover la superación de los causales y deficiencias evidenciadas durante el proceso de auditoría. Estas recomendaciones estarán dirigidas al titular de la organización a fin de disponer su aplicación y cumplimiento en caso amerite. Las recomendaciones estarán formuladas de manera constructiva y que propicie la mejora en la gestión de la entidad y el buen desempeño de los funcionarios. Las recomendaciones irán de forma ordenada y numerada correlativamente. Firma del auditor 54 El Informe previo a su aprobación, deberá ser firmado por el jefe de la comisión auditora. Si en caso amerita por la naturaleza y contenido del informe podrían también firmar los especialistas participantes en el proceso de la auditoria. Elaborado y revisado por: Mg. CPC Jorge Oscar Trigoso Delgado Mg. Jefe de la oficina de auditoría Director de ………………. Ingeniero de sistemas Dr. Ing. ………………………… Auditor Informático Director de la DTI 55