Proyecto Final 14-11-15

7/24/2019 Proyecto Final 14-11-15

1/106

7/24/2019 Proyecto Final 14-11-15

2/106

Universidad Mariano Glvez de GuatemalaIng. Crecencio Chang

Auditoria de SistemasIngeniera en Sistemas de informacinSeccin A

Proyecto de Auditoria de sistemas

Alumno No. De Carn Email TelfonoAllan Federico Gonzlez Barrueto 0900-10-1 [email protected] 55719640Mario Roberto Hernndez Monterroso 0900-08-3602 [email protected] 54891387Juan Carlos Monterroso Hernndez 0900-10-11326 [email protected] 59180559Erick Gonzlez 0900-10-105 [email protected] 55178828Francklin Funez 0900-09-560 [email protected] 40062743Joshua Figueroa 0900-11-1483 [email protected] 55231380

AUDITORIA
mailto:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]

7/24/2019 Proyecto Final 14-11-15

3/106

ndice

Introduccin ............................................................................................................... 1

Justificacin ............................................................................................................... 2

Planteamiento del problema ..................................................................................... 3

Definicin del problema ............................................................................................ 3

El Control Interno: .................................................................................................... 3

Efectividad y Eficiencia de las Operaciones: ......................................................... 3

Suficiencia y Confiabilidad de la Informacin financiera: ...................................... 3

Cumplimiento de la Regulacin: ........................................................................... 3

Riesgo: ..................................................................................................................... 4

Gobierno de Tecnologa de la informacin: .............................................................. 4

Objetivos de Control para Informacin y Tecnologa Relacionada (COBIT) ............ 4

Objetivos de la investigacin: .................................................................................. 6

Generales ................................................................................................................. 6

Mtodos y tcnicas a utilizar: ................................................................................... 6

Mtodos ................................................................................................................... 6

Marco de Trabajo ....................................................................................................... 6

Razones para utilizarlo ............................................................................................. 7

Beneficios a Usuarios ............................................................................................... 7

Orientado a Procesos ............................................................................................... 8

Procesos del dominio Construir, Adquirir e Implementar: ........................................ 8

Modelo de capacidad de los procesos ..................................................................... 8

0Proceso incompleto: ........................................................................................ 9

1Proceso ejecutado: ......................................................................................... 9

2Proceso gestionado: ....................................................................................... 9

3Proceso establecido: ....................................................................................... 9

4Proceso predecible: ........................................................................................ 9

7/24/2019 Proyecto Final 14-11-15

4/106

5Proceso optimizado: ........................................................................................ 9

Mtodo de determinacin del nivel de capacidad..................................................... 9

Caso practico ........................................................................................................... 11

EVALUACIN DE CONTROLES PARA LA ADQUISICIN Y MANTENIMIENTO DE

APLICACIONES INFORMTICAS DE UNA EMPRESA ASEGURADORA, SEGNMODELO DE OBJETIVOS DE CONTROL PARA TECNOLOGA DE INFORMACINY TECNOLOGAS RELACIONADAS (COBIT) ...................................................... 11

Antecedentes del caso prctico .......................................................................... 11

Desarrollo del Caso Prctico ............................................................................... 12

Contenido del Caso Prctico .................................................................................. 13

Papeles de trabajo del caso prctico ...................................................................... 14

CARTA DE NOTIFICACIN DE LA REALIZACIN DE LA EVALUACIN DEL

CONTROL INTERNO INFORMTICO EN LA ADQUISICIN EIMPLEMENTACIN DE SOLUCIONES INFORMTICAS EN ELDEPARTAMENTO DE INFORMTICA ............................................................... 14

NOMBRAMIENTO PARA REALIZAR LA EVALUACIN DEL CONTROL INTERNOEN LOS PROCESOS DE ADQUIRIR E IMPLEMENTAR SOLUCIONESINFORMTICAS EN EL DEPARTAMENTO DE INFORMTICA........................... 15

PROGRAMA DE AUDITORA INTERNA PARA LA EVALUACIN DEL CONTROLINTERNO INFORMTICO DE LOS PROCESOS DE ADQUISICIN EIMPLEMENTACIN DE SOLUCIONES INFORMTICAS SEGN EL MODELO

COBIT DE CONTROL INTERNO. .......................................................................... 17

INTRODUCCIN ................................................................................................ 17

OBJETIVO .......................................................................................................... 17

ALCANCE ........................................................................................................... 17

PROCEDIMIENTO .............................................................................................. 18

EVALUACION DEL CONTROL INTERNO INFORMTICO ............................... 18

INFORME ............................................................................................................... 22

Elaboracin del informe. ..................................................................................... 22

Normativa. ........................................................................................................... 22

Cronograma. ....................................................................................................... 22

Presentacin del informe: ................................................................................... 22

Distribucin del informe: ...................................................................................... 23

Evaluacin del proceso de Gestionar los Programas y Proyectos (BAI01) ............ 24

7/24/2019 Proyecto Final 14-11-15

5/106

CONCLUSIN: ................................................................................................... 26

Evaluacin del proceso de Gestionar la Definicin de Requisitos (BAI02) ............. 38

CONCLUSIN: ................................................................................................... 40

Evaluacin del proceso de Adquirir e Implementar Infraestructura Tecnolgica

(BAI03). .................................................................................................................. 50

CONCLUSIN: ................................................................................................... 52

Evaluacin del proceso Facilitar la ejecucin y el uso (BAI04). ............................. 59

CONCLUSIN: ................................................................................................... 60

Evaluacin del proceso Gestionar la Introduccin de Cambios Organizativos (BAI05)............................................................................................................................... 66

CONCLUSIN: ................................................................................................... 68

Evaluacin del proceso de Administracin de Cambios (BAI06). ........................... 77

CONCLUSIN: ................................................................................................... 80

Evaluacin del proceso de Gestionar la Aceptacin del Cambio y de la Transicin(BAI07) ................................................................................................................... 93

CONCLUSIN: ................................................................................................... 94

Informe de la evaluacin de los controles ............................................................ 98

Objetivo: ................................................................................................................. 98

Alcance: ................................................................................................................. 98

Resultados por Proceso: ........................................................................................ 99

Conclusiones Generales:...................................................................................... 101

7/24/2019 Proyecto Final 14-11-15

6/106

Definicin de Proyecto

1

IntroduccinLa auditora se tiene como una forma de hacer una corroboracin sobre distintos

procesos, presupuestos, costos, entre otros, al nivel que se estar refiriendo es a nivel

de auditoria de sistemas, en los diferentes procesos, tambin se tiene como una forma

de aclarar una sospecha sobre un posible ilcito que pueda estar sucediendo dentro

de una organizacin, para poder aclarar alguna situacin que pueda estar dando una

inquietud, en el mbito de auditoria en sistemas, se puede desarrollar sobre los

diferentes procesos que se estn realizando dentro de un sistema en una organizacin.

Otra utilidad para lo que se utiliza una auditoria en sistemas es para hacer una

verificacin sobre los distintos procesos y mejoras que se puedan realizar a una

sistema en especfico, verificando cuales son los puntos dbiles del mismo, apoyado

en la documentacin respectiva para tener una mejora continua, se tiene que tomar en

cuenta que una auditoria de este tipo no se puede estar realizando con mucha

periodicidad, y se tiene que realizar de una forma correcta, eficaz y eficiente, con datos

reales para que pueda tenerlos beneficios a largo plazo de esta actividad.

7/24/2019 Proyecto Final 14-11-15

7/106


2

JustificacinLa evaluacin de los controles en una empresa aseguradora en sus distintos procesos

donde se involucra la tecnologa de informacin, son puntos importantes para su buen

funcionamiento, el estar un una situacin de cambio constante para la mejora es una

buena prctica volviendo a la empresa con procesos dinmicos anuentes a estar

madurando constantemente, de esta forma ir amalgamando los distintos modelos para

llegar a estndares de calidad deseados.Uno de los modelos que se puede tomar en cuenta es el de COBIT, ya que es uno de

los ms utilizados en el medio para poder auditar la gestin y control de los sistemas

de informacin IT, orientados bastante a todos los sectores de una organizacin,

administradores, usuarios y los mismos auditores.

Teniendo como objetivo principal la implementacin mediante un modelo COBIT en la

organizacin, dando una herramienta automatizada para la evolucin del cumplimiento

de los distintos procesos y recursos de informacin y tecnologa.

7/24/2019 Proyecto Final 14-11-15

8/106


3

Planteamiento del problemaDefinicin del problema

Al no implementarse una metodologa adecuada surge el involucramiento de algunas

variables considerables: La incorrecta evaluacin de controles para la adquisicin y mantenimiento de

aplicaciones informticas

Cules son las consecuencias de la incorrecta evaluacin de los controles para la

adquisicin y mantenimiento de aplicaciones informticas?

El Control Interno:El sistema de control interno es un proceso realizado por el consejo de administracin

(junta directiva o junta de directores), los administradores y dems personal de unaentidad, diseado para proporcionar seguridad razonable en la bsqueda del

cumplimiento de los siguientes objetivos:

Efectividad y Eficiencia de las Operaciones:Es decir, en cuanto al cumplimiento de los objetivos estratgicos de la organizacin y

la salvaguarda o proteccin de sus recursos y los bienes de terceros que se encuentran

en su poder de la entidad.

Suficiencia y Confiabilidad de la Informacin financiera:Y la que se produce para uso interno, as como de la preparacin de los estados

financieros con destino a terceros.

Cumplimiento de la Regulacin:En general las disposiciones que afectan el desarrollo institucional, tales como las

leyes, normas del gobierno, los estatutos, los reglamentos, las circulares o

instrucciones internas.

7/24/2019 Proyecto Final 14-11-15

9/106


4

Riesgo:Es la incertidumbre de que ocurra un acontecimiento que pudiera pueda afectar el

logro de los objetivos. Tambin se define como la posibilidad de que suceda algo que

tendr impacto en los objetivos. Se mide en trminos de consecuencia y posibilidad de

ocurrencia.

Gobierno de Tecnologa de la informacin:Es una estructura de relaciones y procesos para dirigir y controlar con el objeto de

alcanzar los objetivos de la empresa y aadir valor mientras se equilibran los riesgos

y el retorno sobre Tecnologa de la informacin y sus procesos.

El ncleo de Tecnologa de la informacin consta de dos responsabilidadesprincipales, la entrega de valor al negocio y mitigar los riesgos relacionados con TI.

Objetivos de Control para Informacin y Tecnologa Relacionada (COBIT)Las organizaciones deben cumplir con requerimientos de calidad, fiduciarios y de

seguridad, tanto para su informacin, como para sus activos. La gerencia deber

adems optimizar el empleo de sus recursos disponibles, los cuales incluyen: personal,

instalaciones, tecnologa, sistemas de aplicacin y datos. Para cumplir con esta

responsabilidad, as como para alcanzar sus objetivos, la gerencia debe entender el

estado de sus propios sistemas de Tecnologa de la informacin y decidir el nivel de

seguridad y control que deben proveer estos sistemas.

Provee buenas prcticas y presenta actividades en una estructura manejable y lgica.

Las Buenas prcticas de COBIT rene el consenso de expertos quienes ayudarn a

optimizar la inversin de la informacin y proporcionarn un mecanismo de medicin

que permitir juzgar cuando las actividades van por el camino equivocado. La gerenciadebe asegurar que los sistemas de control interno o el marco referencial estn

funcionando y soportan los procesos del negocio, y debe de ser consciente de cmo

7/24/2019 Proyecto Final 14-11-15

10/106


5

cada actividad individual de control satisface los requerimientos de informacin e

impacta los recursos de TI.

La gerencia, mediante este gobierno corporativo, debe asegurar que todos los

individuos involucrados en la administracin, uso, diseo, desarrollo, mantenimiento uoperacin de sistemas de informacin acten con la debida diligencia. Est diseado

no slo para ser utilizado por usuarios y auditores, sino que, lo ms importante, est

diseado para ser utilizado por los propietarios de los procesos de negocio como una

gua clara y entendible.

7/24/2019 Proyecto Final 14-11-15

11/106


6

Objetivos de la investigacin:Generales

Determinar la importancia de aplicar en el pas una metodologa adecuada para

la evaluacin de adquisiciones informticas. Determinar el impacto sobre una empresa debido al adecuado manejo de los

recursos informticos.

Mtodos y tcnicas a utilizar:Mtodos

Mtodo cientfico:

o En sus fases:

Indagatoria: al momento de efectuar la investigacin documental

y de campo.

Demostrativa: cuando se demuestre que los datos recopilados

sean vlidos.

Expositiva: se efectuar cuando la investigacin quede plasmada

en l informe final.

Mtodo deductivo:

o Parte de lo general a lo particular.

Marco de TrabajoEl marco de trabajo relaciona los requerimientos de informacin y de gobierno TI a losobjetivos de la funcin de servicios de TI. El modelo de procesos de COBIT permiteque las actividades de TI y los recursos que los soportan sean administrados y

controlados basados en los objetivos de control de COBIT, y alineados y monitoreadosusando las metas y mtricas establecidas por la metodologa.

7/24/2019 Proyecto Final 14-11-15

12/106


7

Razones para utilizarlo

El marco de referencia COBIT otorga especial importancia a los requerimientos de

negocios en cuanto a efectividad, eficiencia, confidencialidad, integridad,disponibilidad, cumplimiento y confiabilidad que deben ser satisfechos. El desarrollode este marco de referencia ha sido limitado a objetivos de control de alto nivel enforma de necesidades de negocio dentro de un proceso de tecnologa informticaparticular, cuyo logro es posible a travs del establecimiento de controles, para el cualdeben considerarse controles aplicables potenciales.

La misin de COBIT es Investigar, desarrollar, hacer pblico y promover un marco decontrol de gobierno de TI autorizado, actualizado, aceptado internacionalmente parala adopcin por parte de las empresas y el uso diario por parte de gerentes de negocio,

profesionales de TI y profesionales de aseguramiento (COBIR 4.1 2007, p.9).

Un Objetivo de Control, es una definicin del resultado o propsito que se deseaalcanzar implementando procedimientos de control especficos dentro de una actividadde tecnologa informtica. COBIT identifica un conjunto de 34 Objetivos de alto nivel,uno para cada uno de los procesos de tecnologa informtica, agrupados en cuatrodominios:

Planeacin y organizacin

Adquisicin e implementacin Entrega de servicio

Monitoreo

Beneficios a UsuariosCOBIT proporciona ventajas a gerentes, usuarios, e interventores. Los gerentes sebenefician de COBIT por que les provee un fundamento sobre el cual basar lasdecisiones de una forma eficaz, ayuda a la definicin de un plan de TI estratgico, ladefinicin de la arquitectura de la informacin, la adquisicin del hardware necesario yel software para ejecutar una estrategia, la aseguracin del servicio continuo, la

supervisin del funcionamiento del sistema TI. Los usuarios por otro lado se beneficiandebido al aseguramiento proporcionado a ellos en el tratamiento de la informacin.Finalmente los auditores o interventores se ven beneficiados ya que permite identificar

7/24/2019 Proyecto Final 14-11-15

13/106


8

cuestiones de control de TI dentro de la infraestructura de una institucin y a corroborarsus conclusiones de auditoria.

Orientado a Procesos

Incluye un modelo de referencia de procesos que define y describe en detalle variosprocesos de gobierno y de gestin. Dicho modelo representa todos los procesos quenormalmente se encuentran en una empresa, relacionados con las actividades de TI

Los dominios principales son: Gobierno

o Contiene 5 procesos de gobierno, dentro de cada proceso se definenprcticas de evaluacin, orientacin y supervisin.

Gestino Contiene 4 dominios de acuerdo a las reas de responsabilidad de

planificar, construir, ejecutar y supervisar.

Alinear, Planificar y Organizar Construir, Adquirir e Implementar Entregar, dar Servicio y Soporte Supervisar, Evaluar y Valorar

Procesos del dominio Construir, Adquirir e Implementar: BAI01 Gestionar los Programas y Proyectos, BAI02 Gestionar la Definicin de Requisitos,

BAI03 Gestionar la Identificacin y la Construccin de Soluciones, BAI04 Gestionar la Disponibilidad y la Capacidad, BAI05 Gestionar la Introduccin de Cambios Organizativos, BAI06 Gestionar los Cambios, BAI07 Gestionar la Aceptacin del Cambio y de la Transaccin, BAI08 Gestionar el Conocimiento, BAI09 Gestionar los Activos, BAI10 Gestionar la Configuracin.

Modelo de capacidad de los procesos

Este modelo se utiliza para medir la madurez actual o el estado en que se encuentranlos procesos relacionados con las TI de la empresa, determinar la brecha entre ellos yla forma de mejorarlos.

Existen seis niveles de capacidad que se pueden alcanzar por un proceso.

7/24/2019 Proyecto Final 14-11-15

14/106


9

0 Proceso incompleto:El proceso no est implementado o no alcanza su propsito. A este nivel, hay muypoca o ninguna evidencia de ningn logro sistemtico del propsito del proceso.

1 Proceso ejecutado:El proceso implementado alcanza su propsito.

2 Proceso gestionado:El proceso ejecutado descrito anteriormente esta ya implementado de formagestionada (planificado, supervisado y ajustado) y los resultados de su ejecucin estnestablecidos, controlados y mantenidos apropiadamente.

3 Proceso establecido:El proceso gestionado descrito anteriormente esta ahora implementado usando unproceso definido que es capaz de alcanzar sus resultados de proceso.

4 Proceso predecible:El proceso establecido descrito anteriormente ahora se ejecuta dentro de lmitesdefinidos para alcanzar sus resultados de proceso.

5 Proceso optimizado:El proceso predecible descrito anteriormente es mejorado de forma continua paracumplir con las metas empresariales presentes y futuras.

Mtodo de determinacin del nivel de capacidad

El mtodo de determinacin de la capacidad por proceso en la que se encuentra laempresa es asignando un valor nominal, iniciando en no alcanzado (0) hastacompletamente alcanzado (5).

Los resultados del modelo de capacidad son obtenidos en base a COBIT 5. El auditadodeber analizar y manifestar el nivel de alcance con cada declaracin dentro de cuatroposibles respuestas que a su vez representan valores:

No alcanzado = 0 Parcialmente Alcanzado = 0.33

Ampliamente Alcanzado = 0.66 Completamente Alcanzado = 1.00

Para obtener valores sobre cada una de las respuestas a las declaraciones de COBIT,se necesita multiplicar Peso y Respuesta, a travs de la siguiente formula:

7/24/2019 Proyecto Final 14-11-15

15/106


10

V = P * R

Donde V es el valor de puntuacin de la declaracin de capacidad, P es el peso decada declaracin de capacidad, el cual se obtiene al sumar los valores de cada nivel yluego dividirlos dentro del peso total para cada nivel.

C = V / P

Donde C es cumplimiento, V es el valor de las respuestas para cada declaracin decapacidad, y P es el peso de cada declaracin.

El paso siguiente es la Normalizacin, la cual se puede obtener mediante dividir elvalor de cumplimiento de cada nivel dentro del valor de cumplimiento de todos losniveles de cada proceso de TI

N = C / C

Donde N es el valor normalizado y C el valor de cumplimiento de cada nivel.

La contribucin se determina con la multiplicacin del Nivel (0 5) por el valornormalizado de cada nivel. Con la contribucin total para todos los niveles de unproceso de tecnologa informtica, el auditor obtendr la puntuacin del nivel demadurez de la empresa.

Co = Nv x N

Donde Co es la contribucin, Nv es el nivel de madurez y N es el valor normalizado delas respuestas a las declaraciones.

El nivel de capacidad se obtiene sumando los valores de contribucin del proceso detecnologa informtica evaluado.

NM = Co

Donde NM es el nivel de capacidad y Co es la contribucin para cada declaracin delnivel de capacidad.

7/24/2019 Proyecto Final 14-11-15

16/106


11

Caso practicoEVALUACIN DE CONTROLES PARA LA ADQUISICIN Y MANTENIMIENTODE APLICACIONES INFORMTICAS DE UNA EMPRESA ASEGURADORA,SEGN MODELO DE OBJETIVOS DE CONTROL PARA TECNOLOGA DE

INFORMACIN Y TECNOLOGAS RELACIONADAS (COBIT)

Los sistemas de informacin cada da tomas ms relevancia en la toma de decisionesde la empresa, por lo que los controles de estos, deben ser especializados y deacuerdo a los niveles de capacidad que proponen los objetivos de control parainformacin y tecnologa relacionada (COBIT, por sus siglas en ingles), se presentanlos aspectos que debe considerar el auditor de sistemas:

Antecedentes del caso prctico

La evaluacin se realiz a la empresa El Mejor Seguro S.A. que inici sus operaciones

en el ao de 1960, ubicada en la zona 4 de la ciudad capital de Guatemala, siendo laempresa aseguradora ms grande de Centroamrica segn la AsociacinGuatemalteca de Industria del Seguro (AGIS), cuenta con ms de 350 mil clientes, unacertificacin en calidad ISO 9001 y una amplia gama de servicios electrnicos parasus intermediarios y clientes finales.

La empresa en su ms alto nivel est organizada de la siguiente manera: Consejo de Administracin

o Gerencia General Gerencia de Alineamiento Estratgico Gerencia de Lneas Personales Gerencia Corporativa Gerencia de Operaciones Gerencia de Riesgos (Auditoria Interna)

El departamento de informtica se conforma de la siguiente manera: Gerencia de Operaciones

o Direccin de Tecnologa Jefatura de Plataforma Tecnolgica

Administradores de Proyectoso Programadores Senioro Programadores Junior

Jefatura de Servicios Tecnolgicos Administradores de Proyectos

o Programadores Senioro Programadores Junior

Coordinacin de Inteligencia de Negocios

7/24/2019 Proyecto Final 14-11-15

17/106


12

o Programadores Senior Jefatura de Infraestructura

Administradores de Sistemas Escritorio de Ayuda

o

Tcnicos Senioro Tcnicos Junior

Desarrollo del Caso PrcticoLa empresa El Mejor Seguro ha incrementado sus transacciones mediante lautilizacin de sistemas de informacin, tales como cotizadores en lnea, emisores deplizas en lnea, pagos con tarjeta de crdito en lnea, entre otros, por lo que laadministracin de la empresa demuestra su preocupacin por la adecuada evaluacinde los sistemas de informacin, y ha solicitado a la Gerencia de Riesgos (Auditoria

Interna), que evalu los procesos de adquisicin, implementacin y mantenimiento detecnologa informtica, con el objetivo de conocer de forma oportuna la forma en quelas inversiones en tecnologa estn siendo gestionadas por el departamento deInformtica.

Para dar soporte a la opinin de los auditores internos sobre los controles informticos,el trabajo de auditora deber basarse en los Objetivos de Control para Informacin yTecnologa Relacionada (COBIT) por ser considerados como las mejores prcticas decontrol y gobierno de tecnologa de informacin a nivel mundial. Los Objetivos deControl para Informacin y Tecnologa Relacionada, de aqu adelante COBIT, permitenevaluar los controles desde tres perspectivas diferentes como lo son los recursos detecnologa informtica, los criterios de informacin y los procesos de tecnologainformtica.

Por lo expuesto anteriormente la Gerencia de Riesgos ha decidido realizar laevaluacin desde el punto de vista de los procesos de tecnologa informtica, tomandocomo base los criterios establecidos en uno de los cuatro dominios que conforman lametodologa COBIT, denominado Adquisicin e Implementacin de SolucionesInformticas (AI).

7/24/2019 Proyecto Final 14-11-15

18/106


13

Contenido del Caso Prctico

Descripcin PT No.

Fase de Planeacin

Carta de notificacin para la iniciacin de la Auditora MM01Nombramiento del auditor que realizar la auditora MM02

Programa de Auditora para realizar la evaluacin de controles de acuerdo al modelo decapacidad de COBIT

MM03

Fase de Ejecucin

Evaluacin del proceso de Gestionar los Programas y Proyectos (BAI01) MM04

Cuestionarios a Funcin: Direccin del Departamento MM04-01

Cuestionarios a Funcin: Jefatura de Servicios Tecnolgicos MM04-02

Cuestionarios a Funcin: Jefatura de Plataforma Tecnolgica MM04-03

Evaluacin del proceso de Gestionar la Definicin de Requisitos (BAI02) MM05


Cuestionarios a Funcin: Jefatura de Servicios Tecnolgicos MM05-02Cuestionarios a Funcin: Jefatura de Plataforma Tecnolgica MM05-03

Evaluacin del proceso de Adquirir e implementar Infraestructura tecnolgica (BAI03) MM06


Cuestionarios a Funcin: Jefatura de Infraestructura MM06-02

Evaluacin del proceso de Gestionar la Disponibilidad y la Capacidad (BAI04) MM07


Evaluacin del proceso de Gestionar la Introduccin de Cambios Organizativos (BAI05) MM08



Evaluacin del proceso de Gestionar los Cambios (BAI06) MM09Cuestionarios a Funcin: Direccin del Departamento MM09-01

Cuestionarios a Funcin: Jefatura de Plataforma Tecnolgica MM09-02

Cuestionarios a Funcin: Jefatura de Servicios Tecnolgicos MM09-03


Evaluacin del proceso de Gestionar la Aceptacin del Cambio y de la Transicin (BAI07) MM10


Resumen de niveles de capacidad MM11

Fase de Informe

Informe de Auditora

7/24/2019 Proyecto Final 14-11-15

19/106


14

Papeles de trabajo del caso prctico

SEGURITAS S.A.Gerencia de Riesgos

CARTA DE NOTIFICACIN DE LA REALIZACIN DE LA EVALUACIN DEL CONTROLINTERNO INFORMTICO EN LA ADQUISICIN E IMPLEMENTACIN DE SOLUCIONESINFORMTICAS EN EL DEPARTAMENTO DE INFORMTICA

Ing. Encargado ITDirector del Departamento de InformticaPresente

Respetable Ingeniero

Por este medio se le comunica que conforme a nuestro plan de trabajo, se iniciar larevisin del control interno sobre los procesos de adquisicin e implementacin desoluciones informticas que se realiz en la direccin a su cargo durante el segundosemestre del ao. La actividad ha sido asignada al Sr. Prez, asistente de auditoriainterna y supervisada por su servidor.

Al final de la evaluacin se determinar el de nivel capacidad con que cuentan loscontroles actuales aplicando la metodologa segn COBIT, y se le estarn enviandolos resultados detallando los hallazgos y recomendaciones.

Atentamente,

Lic. DonaldoGerente de Riesgos

Papel de Trabajo MM01

HECHO POR: TEAM_AD

REVISADO POR: LIDER T.

FECHA DE INCIO:

FECHA FIN:

7/24/2019 Proyecto Final 14-11-15

20/106


15


NOMBRAMIENTO PARA REALIZAR LA EVALUACIN DEL CONTROLINTERNO EN LOS PROCESOS DE ADQUIRIR E IMPLEMENTAR SOLUCIONESINFORMTICAS EN EL DEPARTAMENTO DE INFORMTICA.

Sr. PrezAsistente de Auditoria

Gerencia de RiesgosPresente

Estimado Sr. Prez

Se le comunica que ha sido nombrado para realizar la revisin del control internoinformtico en los procesos de adquisicin e implementacin de solucionesinformticas en el departamento de informtica de la empresa. Para llevar a cabo estaevaluacin deber basarse en el correspondiente dominio contenido en el modelo delos Objetivos de Control para Informacin y Tecnologas Relacionada (COBIT).

Los procesos a evaluar de acuerdo a la metodologa se describen a continuacin:

BAI01Gestionar los Programas y Proyectos BAI02Gestionar la Definicin de Requisitos BAI03Adquirir e Implementar Infraestructura Tecnolgica BAI04Facilitar la ejecucin y el uso

Papel de Trabajo MM02 1/2

HECHO POR: TEAM_ADREVISADO POR: LIDER T.

FECHA DE INCIO:

FECHA FIN:

7/24/2019 Proyecto Final 14-11-15

21/106


16


BAI05Gestionar la Introduccin de Cambios Organizativos BAI06Administracin de Cambios BAI07Gestionar la Aceptacin del Cambio y de la Transicin

El tiempo asignado para esta actividad es de 15 das.

Atentamente,

Lic. Donaldo

Gerente de Riesgos


HECHO POR: TEAM_AD


FECHA DE INCIO:

FECHA FIN:

7/24/2019 Proyecto Final 14-11-15

22/106


17


PROGRAMA DE AUDITORA INTERNA PARA LA EVALUACIN DEL CONTROLINTERNO INFORMTICO DE LOS PROCESOS DE ADQUISICIN EIMPLEMENTACIN DE SOLUCIONES INFORMTICAS SEGN EL MODELOCOBIT DE CONTROL INTERNO.

INTRODUCCIN

Para poder lograr que los objetivos de la Direccin de Tecnologa estn alineados conlos de la empresa, es necesario que las soluciones informticas, desarrolladas oadquiridas, y en ambos casos implementadas e integradas al proceso de negocio,puedan ser controladas adecuadamente garantizando as la satisfaccin del negocio.

OBJETIVO

Evaluar el nivel de capacidad de los controles informticos en la administracin de losprocesos de adquisicin e implementacin de soluciones informticas establecida porla direccin de informtica de la empresa El Mejor Seguro S.A.

ALCANCE

La auditora deber dar una opinin soportada en el nivel de capacidad de laadministracin de controles informticos para los procesos incluidos en el dominioCOBIT de Adquisicin e Implementacin (AI), mediante las siguientes tcnicas deevaluacin:


HECHO POR: TEAM_AD


FECHA DE INCIO:

FECHA FIN:

7/24/2019 Proyecto Final 14-11-15

23/106


18


Cuestionarios elaborados en base a las declaraciones de los niveles decapacidad para cada proceso de COBIT.

Verificacin fsica de documentacin requerida por el modelo. Informe de resultados. Resumen de resultados.

PROCEDIMIENTO

Para la evaluacin del control interno en los procesos de adquisicin e implementacin

de soluciones informticas en base al modelo COBIT, se aplicara lo siguiente:

EVALUACION DEL CONTROL INTERNO INFORMTICO

Se aplicaran cuestionarios elaborados en base a las declaraciones de los niveles decapacidad de COBIT, as como tambin se revisara la documentacin necesaria paradeterminar el nivel capacidad de cada proceso.

Los procesos y actividades a evaluar son los siguientes:


HECHO POR: TEAM_AD


FECHA DE INCIO:

FECHA FIN:

7/24/2019 Proyecto Final 14-11-15

24/106


19


Proceso Actividades

(BAI01) Gestionar los Programasy Proyectos

Definicin y mantenimiento de losrequerimientos tcnicos y funcionales delnegocio.Reporte de anlisis de riesgos.Estudio de factibilidad y formulacin decursos alternativos de accin.Requerimientos, decisin de factibilidad yaprobacin.

(BAI02) Gestionar la Definicin

de Requisitos Diseo de alto nivel.Diseo detallado.Control y auditabilidad de aplicaciones.Seguridad y disponibilidad deaplicaciones.Configuracin e implantacin de softwareaplicativo adquirido.

Actualizaciones importantes en sistemasexistentes.Desarrollo de software aplicativo.

Administracin de los requerimientos de

aplicaciones.Mantenimiento de software aplicativo.

(BAI03)

Gestionar laIdentificacin y laConstruccin deSoluciones

Plan de adquisicin de infraestructuratecnolgica.Proteccin y disponibilidad del recurso deinfraestructura.Mantenimiento de infraestructura.

Ambiente de prueba de factibilidad.

(BAI04) Gestionar laDisponibilidad y laCapacidad Plan para soluciones de operacin.

Transferencia de conocimiento a lagerencia del negocio.


HECHO POR: TEAM_AD


FECHA DE INCIO:

FECHA FIN:

7/24/2019 Proyecto Final 14-11-15

25/106


20

Transferencia de conocimiento a losusuarios finales.Transferencia de conocimiento alpersonal de operaciones y soporte.

7/24/2019 Proyecto Final 14-11-15

26/106


21


Proceso Actividades

(BAI05)Gestionar la Introduccinde CambiosOrganizativos Control de adquisicin.

Administracin de contratos conproveedores.Seleccin de proveedores.

Adquisicin de software.

Adquisicin de recursos de desarrolloAdquisicin de infraestructura,instalaciones y servicios relacionados.

(BAI06)Gestionar los Cambios

Estndares y procedimientos paracambios.Evaluacin de impacto, priorizacin yautorizacin.Cambios de emergencia.Seguimiento y reporte del estatus decambio.Cierre y documentacin del cambio.

(BAI07)Gestionar la Aceptacindel Cambio y de laTransicin Entrenamiento.

Plan de prueba.Plan de implantacin.

Ambiente de prueba.Conversin de sistema y datos.Prueba de cambios.Prueba final y aceptacin.Transferencia a produccin.

Liberacin de software.Distribucin del sistema.Registro y rastreo de cambios.Revisin posterior a la implantacin


HECHO POR: TEAM_AD


FECHA DE INCIO:FECHA FIN:

7/24/2019 Proyecto Final 14-11-15

27/106


22


INFORME

Elaboracin del informe.

Se elaborara un informe describiendo los procesos incluidos en el dominio de COBITque fueron objeto de evaluacin, indicando los resultados y comparando contra el nivelde control deseado por la administracin.

Normativa.

Objetivos de control para informacin y tecnologa relacionada versin 5.0 (COBIT 5.0,por sus siglas en ingls).

Cronograma.

Para realizar esta revisin se planifican 15 das para la recoleccin de informacin,cuestionarios y presentacin del informe.

Presentacin del informe:

Los resultados del trabajo realizado debern presentarse por medio de un informegerencial sobre la capacidad de los procesos incluidos en el dominio de COBIT que seevala. El informe en borrador deber presentarse previamente al gerente deldepartamento de informtica conteniendo los aspectos considerados como relevantespara el


HECHO POR: TEAM_ADREVISADO POR: LIDER T.

FECHA DE INCIO:

FECHA FIN:

7/24/2019 Proyecto Final 14-11-15

28/106


23


Mejoramiento y fortalecimiento del entorno de control de esa unidad administrativa,mediante lo cual se deber obtener el compromiso para la implementacin de lasrecomendaciones.

Distribucin del informe:

Despus de la entrega definitiva de los resultados se deber enviar una copia delinforme al director del departamento de informtica. Se deber tambin distribuir una

copia a la Gerencia General.


HECHO POR: TEAM_AD


FECHA DE INCIO:

FECHA FIN:

7/24/2019 Proyecto Final 14-11-15

29/106


24


Evaluacin del proceso de Gestionar los Programas y Proyectos (BAI01)

Cuadro para tabulacin de resultados de los cuestionarios aplicado s a lasfunciones indicadas, agrupadas segn el nivel de capacidad y el peso de larespuesta obtenida sobre cada declaracin. Las columnas (D), (E) Y (F) se calculansegn formula indicada. (F) = Nivel de Madurez del Proceso.

PROCESO: BAI01 Gestionar los Programas y Proyectos

COMPUTO DE LOS VALORES DE CUMPLIMIENTO DEL NIVEL DE CAPACIDAD

FUINCION: Direccin de Tecnologa(A) (B) ( C) (D) (E ) (F)NIVEL DECAPACIDAD

SUMA DEVALORES DECUMPLIMIENTO

NUMERO DEDECLARACIONES

VALOR DECUMPLIMIENTO(B/C)

NORMALIZACIONDEL VECTOR DECUMPLIMIENTO(D/ D)

NIVEL DECAPACIDAD(A * E)

0 0.00 2 0.000 0.000 0.000

1 1.66 3 0.553 0.191 0.191

2 0.33 4 0.083 0.028 0.057

3 4.00 4 1.000 0.345 1.034

4 3.96 6 0.660 0.227 0.9105 3.64 6 0.607 0.209 1.045

TOTAL 13.59 25.00 2.90 1.000 3.236

PRUEBA 64.71%

NIVEL ACTUAL

FUNCION: Jefatura de Servicios Tecnolgicos

0 0.00 2 0.000 0.000 0.000

1 1.33 3 0.443 0.162 0.162

2 0.33 4 0.083 0.030 0.060

3 4.00 4 1.000 0.365 1.095

4 4.30 6 0.717 0.262 1.047

5 2.98 6 0.497 0.181 0.907

TOTAL 12.94 25.00 2.74 1.000 3.270

PRUEBA 65.41%


HECHO POR: TEAM_AD


FECHA DE INCIO:

FECHA FIN:

7/24/2019 Proyecto Final 14-11-15

30/106


25

NIVEL ACTUAL

FUNCION: Jefatura de Plataforma Tecnolgica

0 0.00 2 0.000 0.000 0.000

1 1.00 3 0.333 0.128 0.128

2 0.00 4 0.000 0.000 0.000

7/24/2019 Proyecto Final 14-11-15

31/106


26


PROCESO: BAI01 Gestionar los Programas y Proyectos


FUINCION: Direccin de Tecnologa

(A) (B) ( C) (D) (E ) (F)NIVEL DECAPACIDAD




NORMALIZACIONDEL VECTOR DE

CUMPLIMIENTO(D/ D)


3 4.00 4 1.000 0.384 1.152

4 4.64 6 0.773 0.297 1.188

5 2.98 6 0.497 0.191 0.954

TOTAL 12.62 25.00 2.60 1.000 3.423

PRUEBA 12.62 25.00 68.45%

NIVEL ACTUAL

FUNCION: Consolidacin de resultados

0 0.00 2 0.000 0.000 0.000

1 3.99 3 1.330 0.161 0.161

2 0.66 4 0.165 0.020 0.040

3 12.00 4 3.000 0.364 1.092

4 12.90 6 2.150 0.261 1.043

5 9.60 6 1.600 0.194 0.970

TOTAL 39.15 25.00 8.25 1.000 3.306

PRUEBA 39.15 25.00 66.12%

NIVEL ACTUAL

CONCLUSIN:Se determin que en la direccin de informtica se administran los controlessobre el proceso evaluado de forma Definida, mostrando un nivel 3.306 decapacidad y un 66.12% de confiabilidad en los objetivos de control informtico.


HECHO POR: TEAM_AD



7/24/2019 Proyecto Final 14-11-15

32/106


27


PROCESO: BAI01 l Gestionar los Programas y ProyectosQu tanto se haalcanzado?

Funcin: Direccin del Departamento Fecha:

NV No. DECLARACION Noalcanzado

Parcialmente

Ampliamente

Completamente

Valor de

cumplimiento

0 1

La organizacin no requiere la identificacin de requerimientosfuncionales y operativos para el desarrollo, implementacin omodificacin de soluciones, como por ejemplo soluciones desistema, de servicio, de infraestructura, de software y de datos. X 0.00

0 2

La organizacin no mantiene una conciencia sobre lassoluciones tecnolgicas disponibles que son potencialmenterelevantes para su negocio. X 0.00

1 3Hay conciencia de la necesidad de definir requerimientos y deidentificar soluciones tecnolgicas. X 1.00

1 4

Los grupos individuales tienden a reunirse para discutir

necesidades de manera informal y los requerimientos por logeneral no estn documentados. X 0.33

1 5

Las soluciones son identificadas por persona basadas en unaconciencia limitada del mercado, o en respuesta a ofertas deproveedores. Hay poco o ningn anlisis estructurado oinvestigacin acerca de la tecnologa disponible. X 0.33

2 6Hay algunos enfoques intuitivos para identificar las solucionesde TI y los mismos varan en todo el negocio. X 0.33

2 7

Las soluciones son identificadas de manera informal sobre labase de la experiencia interna y de los conocimientos de lafuncin de TI. El xito de cada proyecto depende de laexperiencia de unas pocas personas claves de TI. X 0.00

2 8

La calidad de la documentacin y de la toma de decisiones

vara considerablemente. X 0.00

2 9Se emplean enfoques sin estructura para definir losrequerimientos e identificar las soluciones de tecnologa. X 0.00

3 10Se usan mtodos claros y estructurados para determinar lassoluciones de TI. X 1.00

Papel de Trabajo MM04-01 1/2

HECHO POR: TEAM_AD


FECHA DE INCIO:

FECHA FIN:

7/24/2019 Proyecto Final 14-11-15

33/106


28

3 11

El mtodo para la determinacin de soluciones de TI requierela consideracin de alternativas evaluadas contra losrequerimientos del usuario o del negocio, las oportunidadestecnolgicas, la factibilidad econmica, los anlisis de riesgosy otros factores. X 1.00

7/24/2019 Proyecto Final 14-11-15

34/106


29



Parcialmente

Ampliamente

Completamente

Valor decumplimiento

3 12

El proceso para la determinacin de soluciones de TI seaplica a algunos proyectos basndose en factores comolas decisiones hechas por el personal involucrado, lacantidad de tiempo de administracin dedicado y el

tamao y la prioridad del requerimiento original delnegocio. X 1.00

3 13Se emplea mtodos estructurados para definir losrequerimientos e identificar las soluciones de TI. X 1.00

4 14

Existe una metodologa establecida para la identificacin yevaluacin de soluciones de TI y la misma se emplea parala mayora de proyectos. X 0.66

4 15La documentacin de proyectos es de buena calidad ycada etapa es debidamente aprobada. X 0.66

4 16Los requerimientos son bien articulados y estn enconformidad con estructuras predefinidas. X 0.66

4 17Se consideran soluciones alternativas, incluyendo unanlisis de costos y ganancias. X 0.66

4 18La metodologa es clara, definida, generalmentecomprendida y medible. X 0.66

4 19

Hay una interfaz claramente definida entre la gerencia deTI y de negocios respecto a la identificacin y evaluacinde soluciones de TI. X 0.66

5 20La metodologa para la identificacin y evaluacin desoluciones de Ti se mejora continuamente. X 0.66

5 21

La metodologa de adquisicin e implementacin es losuficientemente flexible para acomodar proyectos depequea y gran escala. X 0.66

5 22

La metodologa es apoyada por bases de datos deconocimientos internas y externas que contienenmateriales de referencia sobre soluciones tecnolgicas. X 0.33

5 23La metodologa misma produce documentacin con unaestructura predefinida que hace muy eficientes laproduccin y el mantenimiento. X 0.33


HECHO POR: TEAM_AD



7/24/2019 Proyecto Final 14-11-15

35/106


30

5 24

La organizacin puede a menudo identificar nuevasoportunidades para utilizar la tecnologa para ganarventaja competitiva, influir en el proceso de reingenieradel negocio y mejorar la eficiencia general. X 1.00

5 25

La gerencia detecta y acta en consecuencia si lassoluciones de TI son aprobadas sin considerar tecnologas

alternativas o requerimientos funcionales de negocio. X 0.66

TOTAL DEL NIVEL 13.59

7/24/2019 Proyecto Final 14-11-15

36/106


31


PROCESO: BAI01 Gestionar los Programas y ProyectosQu tanto se haalcanzado?

Funcin: Jefatura de Servicios Tecnolgicos Fecha:


Parcialmente

Ampl

iamente

Comp

letamente


0 1


0 2



1 4

Los grupos individuales tienden a reunirse para discutir

necesidades de manera informal y los requerimientos por logeneral no estn documentados. X 0.00

1 5



2 7


2 8La calidad de la documentacin y de la toma de decisionesvara considerablemente. X 0.00

2 9 Se emplean enfoques sin estructura para definir losrequerimientos e identificar las soluciones de tecnologa. X 0.00



HECHO POR: TEAM_AD


FECHA DE INCIO:

FECHA FIN:

7/24/2019 Proyecto Final 14-11-15

37/106


32

3 11


7/24/2019 Proyecto Final 14-11-15

38/106


33



NV No. DECLARACIN Noalcanzado

Parcialmente

Ampliamente

Completamente


3 12

El proceso para la determinacin de soluciones de TI seaplica a algunos proyectos basndose en factores como lasdecisiones hechas por el personal involucrado, la cantidadde tiempo de administracin dedicado y el tamao y laprioridad del requerimiento original del negocio. X 1.00


4 14

Existe una metodologa establecida para la identificacin yevaluacin de soluciones de TI y la misma se emplea parala mayora de proyectos. X 0.66

4 15La documentacin de proyectos es de buena calidad y cadaetapa es debidamente aprobada. X 0.66


4 17Se consideran soluciones alternativas, incluyendo unanlisis de costos y ganancias. X 0.66


4 19

Hay una interfaz claramente definida entre la gerencia de TIy de negocios respecto a la identificacin y evaluacin desoluciones de TI. X 0.66


5 21


5 22

La metodologa es apoyada por bases de datos deconocimientos internas y externas que contienen materialesde referencia sobre soluciones tecnolgicas. X 0.00

5 23

La metodologa misma produce documentacin con unaestructura predefinida que hace muy eficientes laproduccin y el mantenimiento. X 0.33

5 24

La organizacin puede a menudo identificar nuevasoportunidades para utilizar la tecnologa para ganar ventajacompetitiva, influir en el proceso de reingeniera del negocioy mejorar la eficiencia general. X 1.00

5 25

La gerencia detecta y acta en consecuencia si lassoluciones de TI son aprobadas sin considerar tecnologasalternativas o requerimientos funcionales de negocio. X 0.33


HECHO POR: TEAM_AD


FECHA DE INCIO:

FECHA FIN:

7/24/2019 Proyecto Final 14-11-15

39/106


34


7/24/2019 Proyecto Final 14-11-15

40/106


35


PROCESO: BAI01 Gestionar los Programas y ProyectosQu tanto se haalcanzado?

Funcin: Jefatura de Plataforma Tecnolgica Fecha:

NV No. DECLARACION Noalcan

zado

Parcialm

ente

Ampliam

ente

Completamente


0 1


0 2



1 4

Los grupos individuales tienden a reunirse para discutirnecesidades de manera informal y los requerimientos por logeneral no estn documentados. X 0.00

1 5



2 7


2 8

La calidad de la documentacin y de la toma de decisiones

vara considerablemente. X 0.00

2 9Se emplean enfoques sin estructura para definir losrequerimientos e identificar las soluciones de tecnologa. X 0.00



HECHO POR: TEAM_AD



7/24/2019 Proyecto Final 14-11-15

41/106


36

3 11


7/24/2019 Proyecto Final 14-11-15

42/106


37



Parcialmente

Ampliamente

Completamente


3 12

El proceso para la determinacin de soluciones de TI seaplica a algunos proyectos basndose en factores como lasdecisiones hechas por el personal involucrado, la cantidad detiempo de administracin dedicado y el tamao y la prioridaddel requerimiento original del negocio. X 1.00


4 14

Existe una metodologa establecida para la identificacin yevaluacin de soluciones de TI y la misma se emplea para lamayora de proyectos. X 1.00

4 15La documentacin de proyectos es de buena calidad y cadaetapa es debidamente aprobada. X 0.66


4 17Se consideran soluciones alternativas, incluyendo un anlisisde costos y ganancias. X 0.66


4 19

Hay una interfaz claramente definida entre la gerencia de TIy de negocios respecto a la identificacin y evaluacin de

soluciones de TI. X 0.66


5 21


5 22

La metodologa es apoyada por bases de datos deconocimientos internas y externas que contienen materialesde referencia sobre soluciones tecnolgicas. X 0.00

5 23

La metodologa misma produce documentacin con unaestructura predefinida que hace muy eficientes la producciny el mantenimiento. X 0.33

5 24

La organizacin puede a menudo identificar nuevasoportunidades para utilizar la tecnologa para ganar ventajacompetitiva, influir en el proceso de reingeniera del negocioy mejorar la eficiencia general. X 1.00

5 25

La gerencia detecta y acta en consecuencia si lassoluciones de TI son aprobadas sin considerar tecnologasalternativas o requerimientos funcionales de negocio. X 0.33

TOTAL DELNIVEL 12.62


HECHO POR: TEAM_AD


FECHA DE INCIO:

FECHA FIN:

7/24/2019 Proyecto Final 14-11-15

43/106


38


Evaluacin del proceso de Gestionar la Definicin de Requisitos (BAI02)


PROCESO: BAI02 Gestionar la Definicin de Requisitos







NORMALIZACION DELVECTOR DECUMPLIMIENTO(D/ D)


0 0.00 2 0.000 0.000 0.000

1 1.66 4 0.415 0.117 0.117

2 1.33 4 0.333 0.094 0.187

3 4.00 5 0.800 0.226 0.677

4 3.00 3 1.000 0.282 1.128

5 5.00 5 1.000 0.282 1.409

TOTAL 14.99 23.00 3.55 1.000 3.518

PRUEBA 70.36%

NIVEL ACTUAL

FUNCION: Jefatura de Servicios Tecnolgicos

0 0.00 2 0.000 0.000 0.000

1 0.99 4 0.248 0.075 0.075

2 1.00 4 0.250 0.076 0.152

3 4.00 5 0.800 0.243 0.728


HECHO POR: TEAM_AD


FECHA DE INCIO:

FECHA FIN:

7/24/2019 Proyecto Final 14-11-15

44/106


39

4 3.00 3 1.000 0.303 1.213

5 5.00 5 1.000 0.303 1.516

TOTAL 13.99 23.00 3.30 1.000 3.684

PRUEBA 73.68%

7/24/2019 Proyecto Final 14-11-15

45/106


40


NIVEL ACTUAL

FUNCION: Jefatura de Plataforma Tecnolgica

0 0.00 2 0.000 0.000 0.000

1 0.99 4 0.248 0.079 0.079

2 1.00 4 0.250 0.080 0.160

3 4.00 5 0.800 0.257 0.770

4 2.66 3 0.887 0.285 1.138

5 4.66 5 0.932 0.299 1.495

TOTAL 13.31 23.00 3.12 1.000 3.644

PRUEBA 13.31 23.00 72.87%

NIVEL ACTUAL


0 0.00 2 0.000 0.000 0.000

1 3.64 4 0.910 0.091 0.091

2 3.33 4 0.833 0.084 0.167

3 12.00 5 2.400 0.241 0.723

4 8.66 3 2.887 0.290 1.159

5 14.66 5 2.932 0.294 1.472

TOTAL 42.29 23.00 9.96 1.000 3.612

PRUEBA 42.29 23.00 72.24%

NIVEL ACTUAL

CONCLUSIN:

Se determin que en la direccin de informtica se administran los controles

sobre este proceso de forma Definida, mostrando un nivel 3.612 de capacidad yun 72.24% de confiabilidad en los objetivos de control informtico.


HECHO POR: TEAM_AD



7/24/2019 Proyecto Final 14-11-15

46/106


41


PROCESO: BAI02 Gestionar la Definicin de RequisitosQu tanto se haalcanzado?

Funcin: Gerencia del Departamento Fecha:


Parcialmente

Ampliamente

Completamente


0 1 No existe un diseo y especificacin de aplicaciones. X 0.00

0 2

Generalmente las aplicaciones se obtienen con base enofertas de proveedores, en el reconocimiento de la marca o enla familiaridad del personal de TI con productos especficos,considerando poco o nada los requerimientos actuales X 0.00

1 3Existe conciencia de la necesidad de contar con un procesode adquisicin y mantenimiento de aplicaciones. X 1.00

1 4Los enfoques para adquisicin y mantenimiento de softwareaplicativo varan de un proyecto a otro. X 0.66

1 5

Es probable que se hayan adquirido en forma independienteuna variedad de soluciones individuales para requerimientosparticulares del negocio, teniendo como resultado ineficienciasen el mantenimiento y soporte. X 0.00

1 6

Se tiene poca consideracin hacia la seguridad ydisponibilidad de la aplicacin en el diseo y adquisicin desoftware aplicativo. X 0.00

2 7

Hay procesos diferentes pero similares para adquirir ymantener aplicaciones basados en la experiencia dentro de lafuncin y soporte TI. X 0.00

2 8

La tasa de xito de las aplicaciones depende en gran medidade las habilidades internas y de los niveles de experiencia dela TI. X 1.00

2 9El mantenimiento es usualmente problemtico y sufre cuandose perdieron conocimientos internos de la organizacin. X 0.33

2 10

Al disear o adquirir el software de aplicacin se presta pocao ninguna consideracin a la seguridad y disponibilidad de laaplicacin. X 0.00

3 11

Hay un proceso claro, definido y generalmente comprendidopara la adquisicin e implementacin de software deaplicacin. X 1.00

3 12Este proceso est en concordancia con la estrategia de TI y ladel negocio. X 1.00

3 13

Se intentan aplicar coherentemente los procesosdocumentados en todos los proyectos y aplicacionesdiferentes. X 1.00


HECHO POR: TEAM_AD


FECHA DE INCIO:

FECHA FIN:

7/24/2019 Proyecto Final 14-11-15

47/106


42

3 14

Las metodologas son generalmente inflexibles y difciles deaplicar a todos los casos, de modo que los pasos sonfrecuentemente omitidos. X 0.00

3 15Las actividades de mantenimiento son planificadas,programadas y coordinadas. X 1.00

7/24/2019 Proyecto Final 14-11-15

48/106


43



Parcialmente

Ampliamente

Completamente


4 16

Hay una metodologa formal, clara y bien atendida queincluye un proceso de diseo y especificacin, criterios parala adquisicin de software de aplicacin, un proceso para

realizar pruebas y requerimientos para la documentacin. X 1.00

4 17

Existen mecanismos de aprobacin documentados yacordados para asegurar que se sigan todos los pasos y quese autoricen las excepciones. X 1.00

4 18

Las prcticas y procedimientos evolucionaron y se adecuana la organizacin, son usados por todo el personal, y seaplican a la mayora de los requerimientos de aplicacin. X 1.00

5 19Las prcticas de adquisicin y mantenimiento de software deaplicacin estn alineadas con los procesos definidos. X 1.00

5 20

El mtodo est basado en componentes, con aplicacionespredefinidas y estandarizadas adaptadas a las necesidadesdel negocio. Este mtodo se aplica a nivel de toda laorganizacin. X 1.00

5 21

La metodologa de adquisicin y mantenimiento esavanzada, posibilita una rpida implementacin y permiteuna alta capacidad de respuesta y flexibilidad. X 1.00

5 22

La metodologa de adquisicin e implementacin de softwarede aplicacin est sujeta a una mejora continua y esrespaldada por bases de datos de conocimientos internas yexternas que contienen materiales de referencia y buenasprcticas. X 1.00

5 23

La metodologa genera documentacin con una estructurapredefinida que hace muy eficientes la produccin y elmantenimiento. X 1.00



HECHO POR: TEAM_AD


FECHA DE INCIO:

FECHA FIN:

7/24/2019 Proyecto Final 14-11-15

49/106


44




NV No. DECLARACION No

alcanzado

Pa

rcialmente

Am

pliamente

Co

mpletamente

Valor de

cumplimiento0 1 No existe un diseo y especificacin de aplicaciones. X 0.00

0 2




1 5

Es probable que se hayan adquirido en forma independiente

una variedad de soluciones individuales para requerimientosparticulares del negocio, teniendo como resultado ineficienciasen el mantenimiento y soporte. X 0.00

1 6


2 7


2 8



2 10


3 11



HECHO POR: TEAM_AD


FECHA DE INCIO:

FECHA FIN:

7/24/2019 Proyecto Final 14-11-15

50/106


45


3 13

Se intentan aplicar coherentemente los procesosdocumentados en todos los proyectos y aplicacionesdiferentes. X 1.00

7/24/2019 Proyecto Final 14-11-15

51/106


46



Parcialmente

Ampliamente

Completamente


3 14

Las metodologas son generalmente inflexibles y difciles deaplicar a todos los casos, de modo que los pasos son

frecuentemente omitidos. X 0.003 15

Las actividades de mantenimiento son planificadas,programadas y coordinadas. X 1.00

4 16

Hay una metodologa formal, clara y bien atendida queincluye un proceso de diseo y especificacin, criterios parala adquisicin de software de aplicacin, un proceso pararealizar pruebas y requerimientos para la documentacin. X 1.00

4 17

Existen mecanismos de aprobacin documentados yacordados para asegurar que se sigan todos los pasos y quese autoricen las excepciones. X 1.00

4 18

Las prcticas y procedimientos evolucionaron y se adecuana la organizacin, son usados por todo el personal, y seaplican a la mayora de los requerimientos de aplicacin. X 1.00

5 19Las prcticas de adquisicin y mantenimiento de software deaplicacin estn alineadas con los procesos definidos. X 1.00

5 20

El mtodo est basado en componentes, con aplicacionespredefinidas y estandarizadas adaptadas a las necesidadesdel negocio. Este mtodo se aplica a nivel de toda laorganizacin. X 1.00

5 21


5 22

La metodologa de adquisicin e implementacin de softwarede aplicacin est sujeta a una mejora continua y esrespaldada por bases de datos de conocimientos internas yexternas que contienen materiales de referencia y buenasprcticas. X 1.00

5 23

La metodologa genera documentacin con una estructurapredefinida que hace muy eficientes la produccin y elmantenimiento. X 1.00



HECHO POR: TEAM_AD



7/24/2019 Proyecto Final 14-11-15

52/106


47



Funcin: Jefatura de Plataforma Tecnolgica Fecha:

NV No. DECLARACION Noalcanz

ado

Parcialme

nte

Ampliame

nte

Completamente


0 1 No existe un diseo y especificacin de aplicaciones. X 0.00

0 2




1 5

Es probable que se hayan adquirido en forma independienteuna variedad de soluciones individuales para requerimientosparticulares del negocio, teniendo como resultado ineficienciasen el mantenimiento y soporte. X 0.00

1 6


2 7


2 8



2 10



HECHO POR: TEAM_AD

REVISADO POR: LIDER T.FECHA DE INCIO:

FECHA FIN:

7/24/2019 Proyecto Final 14-11-15

53/106


48

3 11



3 13

Se intentan aplicar coherentemente los procesos

documentados en todos los proyectos y aplicacionesdiferentes. X 1.00

7/24/2019 Proyecto Final 14-11-15

54/106


49



Parcialmente

Ampliamente

Completamente


3 14

Las metodologas son generalmente inflexibles y difcilesde aplicar a todos los casos, de modo que los pasos sonfrecuentemente omitidos. X 0.00


4 16

Hay una metodologa formal, clara y bien atendida queincluye un proceso de diseo y especificacin, criteriospara la adquisicin de software de aplicacin, un procesopara realizar pruebas y requerimientos para ladocumentacin. X 0.66

4 17

Existen mecanismos de aprobacin documentados yacordados para asegurar que se sigan todos los pasos yque se autoricen las excepciones. X 1.00

4 18

Las prcticas y procedimientos evolucionaron y seadecuan a la organizacin, son usados por todo elpersonal, y se aplican a la mayora de los requerimientosde aplicacin. X 1.00

5 19

Las prcticas de adquisicin y mantenimiento de software

de aplicacin estn alineadas con los procesos definidos. X 1.00

5 20

El mtodo est basado en componentes, con aplicacionespredefinidas y estandarizadas adaptadas a lasnecesidades del negocio. Este mtodo se aplica a nivel detoda la organizacin. X 0.66

5 21


5 22

La metodologa de adquisicin e implementacin desoftware de aplicacin est sujeta a una mejora continuay es respaldada por bases de datos de conocimientosinternas y externas que contienen materiales dereferencia y buenas prcticas. X 1.00

5 23

La metodologa genera documentacin con una estructura

predefinida que hace muy eficientes la produccin y elmantenimiento. X 1.00



HECHO POR: TEAM_AD



7/24/2019 Proyecto Final 14-11-15

55/106


50


Evaluacin del proceso de Adquirir e Implementar Infraestructura Tecnolgica (BAI03).


PROCESO: BAI03 Adquirir e Implementar Infraestructura Tecnolgica









0 0.00 1 0.000 0.000 0.000

1 0.33 3 0.110 0.032 0.032

2 1.99 5 0.398 0.116 0.231

3 4.00 4 1.000 0.291 0.872

4 4.00 4 1.000 0.291 1.163

5 4.66 5 0.932 0.271 1.355

TOTAL 14.98 22.00 3.44 1.000 3.653

PRUEBA 73.06%

NIVEL ACTUAL

FUNCION: Jefatura de Infraestructura0 0.00 1 0.000 0.000 0.000

1 0.33 3 0.110 0.031 0.031

2 2.33 5 0.466 0.130 0.261


HECHO POR: TEAM_AD


FECHA DE INCIO:

FECHA FIN:

7/24/2019 Proyecto Final 14-11-15

56/106


51

3 4.00 4 1.000 0.280 0.839

4 4.00 4 1.000 0.280 1.119

5 5.00 5 1.000 0.280 1.398

TOTAL 15.66 22.00 3.58 1.000 3.647

PRUEBA 72.94%

NIVEL ACTUAL

7/24/2019 Proyecto Final 14-11-15

57/106


52



0 0.00 1 0.000 0.000 0.000

1 0.66 3 0.220 0.031 0.031

2 4.32 5 0.864 0.123 0.246

3 8.00 4 2.000 0.285 0.855

4 8.00 4 2.000 0.285 1.140

5 9.66 5 1.932 0.275 1.377

TOTAL 30.64 22.00 7.02 1.000 3.650

PRUEBA 30.64 22.00 73.00%

NIVEL ACTUAL

CONCLUSIN:

Se determin que en la direccin de informtica se administran los controlessobre este proceso de forma Definida, mostrando un nivel 3.65 de capacidady un 73% de confiabilidad en los objetivos de control informtico.


HECHO POR: TEAM_AD


FECHA DE INCIO:

FECHA FIN:

7/24/2019 Proyecto Final 14-11-15

58/106


53


PROCESO:BAI03 Adquirir e implementar infraestructuratecnolgica

Qu tanto se haalcanzado?

Funcin: Direccin de Tecnologia Fecha:


P

arcialmente

A

mpliamente

C

ompletamente

Valor de

cumplimiento

0 1La arquitectura de la tecnologa no es considerada un temalo suficientemente importante como para ser tratado. X 0.00

1 2Se hacen cambios a la infraestructura para cada nuevaaplicacin sin un plan general. X 0.00

1 3A pesar de que hay conciencia de que la infraestructura deTI es importante, no hay un mtodo general coherente. X 0.00

1 4

Las actividades de mantenimiento reaccionan a lasnecesidades a corto plazo. El entorno de produccin es elentorno de pruebas. X 0.33

2 5

Hay coherencia entre los mtodos tcticos, cuando se

adquiere y se mantiene la infraestructura de TI. X 0.66

2 6

La adquisicin y el mantenimiento de la infraestructura de TIno se basa en una estrategia definida y no considera lasnecesidades de las aplicaciones del negocio que deben serapoyadas. X 0.00

2 7

Hay una comprensin de que la infraestructura de TI esimportante, y dicha comprensin es apoyada por algunasprcticas formales. X 1.00

2 8Se programa algn mantenimiento, pero el mismo no esprogramado y coordinado completamente. X 0.00

2 9Para algunos entornos existe un entorno de pruebasseparado. X 0.33

3 10

Existe un proceso claro, definido y generalmente entendido

para adquirir y mantener la infraestructura de TI. X 1.00

3 11

El proceso apoya las necesidades de las aplicaciones crticasdel negocio y est alineado con la estrategia de TI y delnegocio aunque no se aplique de forma coherente. X 1.00


HECHO POR: TEAM_AD


FECHA DE INCIO:

FECHA FIN:

7/24/2019 Proyecto Final 14-11-15

59/106


54


3 13 Existen entornos separados para pruebas y produccin. X 1.00

7/24/2019 Proyecto Final 14-11-15

60/106


55



Parcialmente

Ampliamente

Completamente


4 14

El proceso de adquisicin y mantenimiento para lainfraestructura tecnolgica se ha desarrollado hasta elpunto que funciona bien para la mayora de las situaciones,es seguido coherentemente y se concentra en lareutilizacin. X 1.00

4 15 La infraestructura de TI soporta de manera adecuada lasaplicaciones de negocio. X 1.00

4 16

El proceso de adquisicin y mantenimiento para lainfraestructura tecnologa est bien organizado y esproactivo. X 1.00

4 17

El costo y el tiempo para alcanzar el nivel esperado deescalabilidad, flexibilidad e integracin estn parcialmenteoptimizado. X 1.00

5 18

El proceso de adquisicin y mantenimiento para lainfraestructura tecnolgica es proactivo y estestrechamente alineado con aplicaciones crticas delnegocio y con la arquitectura de la tecnologa. X 1.00

5 19

Se siguen las mejores prcticas respecto a soluciones detecnologa y la organizacin est al tanto de los ltimos

desarrollos en plataformas y herramientas deadministracin. X 1.00

5 20

Los costos son reducidos racionalizando y estandarizandolos componentes de la infraestructura y usando laautomatizacin. X 1.00

5 21

El alto nivel de conocimientos tcnicos puede identificar lasmejores formas de mejorar proactivamente el desempeo,incluyendo la consideracin de opciones de tercerizacin. X 1.00

5 22La infraestructura de TI es vista como el posibilitador clavepara aprovechar el uso de la TI. X 0.66



HECHO POR: TEAM_AD


FECHA DE INCIO:

FECHA FIN:

7/24/2019 Proyecto Final 14-11-15

61/106


56


PROCESO: BAI03 Adquirir e implementar infraestructuratecnolgica

Qu tanto se haalcanzado?

Funcin: Jefatura de Infraestructura Fecha:


Parcialmente

Amplia

mente

Completamente


0 1La arquitectura de la tecnologa no es considerada un temalo suficientemente importante como para ser tratado. X 0.00

1 2Se hacen cambios a la infraestructura para cada nuevaaplicacin sin un plan general. X 0.00

1 3A pesar de que hay conciencia de que la infraestructura deTI es importante, no hay un mtodo general coherente. X 0.00

1 4

Las actividades de mantenimiento reaccionan a lasnecesidades a corto plazo. El entorno de produccin es elentorno de pruebas. X 0.33

2 5Hay coherencia entre los mtodos tcticos, cuando seadquiere y se mantiene la infraestructura de TI. X 1.00

2 6

La adquisicin y el mantenimiento de la infraestructura de TIno se basan en una estrategia definida y no considera lasnecesidades de las aplicaciones del negocio que deben serapoyadas. X 0.00

2 7

Hay una comprensin de que la infraestructura de TI esimportante, y dicha comprensin es apoyada por algunasprcticas formales. X 1.00

2 8Se programa algn mantenimiento, pero el mismo no esprogramado y coordinado completamente. X 0.00

2 9Para algunos entornos existe un entorno de pruebasseparado. X 0.33

3 10Existe un proceso claro, definido y generalmente entendidopara adquirir y mantener la infraestructura de TI. X 1.00


HECHO POR: TEAM_AD



7/24/2019 Proyecto Final 14-11-15

62/106


57

3 11

El proceso apoya las necesidades de las aplicaciones crticasdel negocio y est alineado con la estrategia de TI y delnegocio aunque no se aplique de forma coherente. X 1.00


3 13 Existen entornos separados para pruebas y produccin. X 1.00

7/24/2019 Proyecto Final 14-11-15

63/106


58



Parcialmente

Ampliamente

Completamente


4 14

El proceso de adquisicin y mantenimiento para lainfraestructura tecnolgica se ha desarrollado hasta elpunto que funciona bien para la mayora de las situaciones,es seguido coherentemente y se concentra en lareutilizacin. X 1.00

4 15La infraestructura de TI soporta de manera adecuada lasaplicaciones de negocio. X 1.00

4 16

El proceso de adquisicin y mantenimiento para lainfraestructura tecnologa est bien organizado y esproactivo. X 1.00

4 17

El costo y el tiempo para alcanzar el nivel esperado deescalabilidad, flexibilidad e integracin estn parcialmenteoptimizado. X 1.00

5 18

El proceso de adquisicin y mantenimiento para lainfraestructura tecnolgica es proactivo y estestrechamente alineado con aplicaciones crticas delnegocio y con la arquitectura de la tecnologa. X 1.00

5 19

Se siguen las mejores prcticas respecto a soluciones detecnologa y la organizacin est al tanto de los ltimosdesarrollos en plataformas y herramientas deadministracin. X 1.00

5 20

Los costos son reducidos racionalizando y estandarizandolos componentes de la infraestructura y usando laautomatizacin. X 1.00

5 21

El alto nivel de conocimientos tcnicos puede identificar lasmejores formas de mejorar proactivamente el desempeo,incluyendo la consideracin de opciones de tercerizacin. X 1.00

5 22La infraestructura de TI es vista como el posibilitador clavepara aprovechar el uso de la TI. X 1.00



HECHO POR: TEAM_AD


FECHA DE INCIO:

FECHA FIN:

7/24/2019 Proyecto Final 14-11-15

64/106


59


Evaluacin del proceso Facilitar la ejecucin y el uso (BAI04).


PROCESO: BAI04 Facilitar la ejecucin y el uso









0 0.99 2 0.495 0.178 0.000

1 1.65 6 0.275 0.099 0.099

2 1.33 5 0.266 0.096 0.192

3 6.28 9 0.698 0.252 0.755

4 6.28 10 0.628 0.226 0.905

5 1.65 4 0.413 0.149 0.743

TOTAL 18.18 36.00 2.77 1.000 2.694

PRUEBA 53.89%

NIVEL ACTUAL


0 0.99 2 0.495 0.178 0.000

1 1.65 6 0.275 0.099 0.099

2 1.33 5 0.266 0.096 0.1923 6.28 9 0.698 0.252 0.755

4 6.28 10 0.628 0.226 0.905

5 1.65 4 0.413 0.149 0.743


HECHO POR: TEAM_AD


FECHA DE INCIO:

FECHA FIN:

7/24/2019 Proyecto Final 14-11-15

65/106


60

TOTAL 18.18 36.00 2.77 1.000 2.694

PRUEBA 18.18 36.00 53.89%

NIVEL ACTUAL


CONCLUSIN:

Se determin que en la direccin de informtica se administran los controlessobre este proceso de forma Repetible pero Intuitivo, mostrando un nivel 2.694 decapacidad y un 53.89% de confiabilidad en los objetivos de control informtico.


HECHO POR: TEAM_AD

R

Proyecto Final 14-11-15

Documents

Transcript of Proyecto Final 14-11-15