Proyecto Final de Auditoria
Transcript of Proyecto Final de Auditoria
REPÚBLICA BOLIVARIANA DE VENEZUELAINSTITUTO UNIVERSITARIO POLITÉCNICO
“SANTIAGO MARIÑO”EXTENSIÓN PORLAMAR
Auditoria
Autor(a):Br. Hussien Castillo, Mardam
C.I. 18.550.928
Porlamar, Julio del 2013
1.1CARACTERIZACIÓN DE LA EMPRESA
1.1.1 NATURALEZA DE LA EMPRESA
RattanHypermarket C. A., inicia en el año 1978, con la apertura de una
tiendadedicada a la venta de Blue Jeans importados por sus dueños, con el
nombre deJean’s ShopC. A. Actualmente, RattanHypermarket C.A., realiza
sus operacionesenmarcadas en la actividad netamente económica que
ofrece el Puerto Libre de laIsla de Margarita y la Zona Libre de Paraguaná,
ofreciendo la más completavariedad en la venta de artículos para el hogar,
supermercado, ferretería, jardinería, bodegón, juguetería, lencería,
cristalería, electrodomésticos, entreotros, tanto nacionales como
importados.RattanHypermarket C. A. es una empresa dedicada a la
comercialización deproductos nacionales e importados, prestadora de
servicios, de acuerdo a lasdisposiciones legales del país y en especial la
regulada por el Puerto Libre de laIsla de Margarita.
1.1.2 UBICACIÓN GEOGRÁFICA
La empresa de RattanHypermarket C. A., se encuentra ubicada en la
Av. 4 de Mayo, entre la Calle Fermín y Santiago Mariño; Sector Genovés.
Centro Comercial Rattan, Porlamar – Isla de Margarita, Edo. Nueva Esparta
– Venezuela.
1.1.3 VISIÓN
Ser la tienda líder, por departamento garantizando el mejor servicio a
sus clientes, así como la mayor variedad y calidad en sus productos
nacionales e importados.
1.1.4 MISIÓN
Ser líderes en cadenas de tiendas por departamento diferenciados por
la innovación, la calidad de servicio, la variedad y calidad de los productos
ofrecidos con el fin de satisfacer en forma óptima las necesidades de
nuestros clientes y obtener una rentabilidad adecuada, contando para ello
con un personal altamente comprometido con la organización.
1.1.5 OBJETIVOS ESTRATEGICOS
1.1.5.1 ANÁLISIS FODA
FORTALEZAS DEBILIDADES
Excelente calidad de los servicios.
Variedad de productos.
Precios accesibles.
Buenas relaciones humanas con los clientes y consumidores.
Innovadores.
Apoyo a la comercialización de productos nacionales.
Presupuesto publicitario limitado.
Deficiencia en la publicidad de exteriores y material POP.
Poca publicidad en medios de comunicación masiva (televisión, radio).
OPORTUNIDADES AMENAZAS
Ampliación del mercado.
Apertura de nuevas sucursales a nivel regional.
Captar nuevos segmentos de mercado.
Rápido crecimiento.
Conseguir mejor posicionamiento en el mercado.
Creación de nuevos mercados.
Crecimiento de los competidores.
Aumento de los precios en la canasta familiar.
La crisis económica actual.
Incremento en número de competidores.
La inflación.
1.1.5.2 METAS ORGANIZACIONALES
a.- Corto Plazo: Mantenerse abastecido para satisfacer las
necesidades del cliente.
b.- Mediano Plazo: Realizar constante innovaciones en el ámbito
tecnológico y proveer óptimos adiestramientos al personal d la empresa.
c.- Largo Plazo: Alcanzar la máxima expansión demográfica a nivel
nacional.
1.1.6 ORGANIGRAMA DE LA EMPRESA
1.1.6.1 DESCRIPCIÓN DE LOS PROCESOS Y FUNCIONES
a.- Gerencia General: Es la persona encargada de llevar las riendas
de la empresa y tomar las decisiones importantes que define el destino de la
misma.
Funciones:
Planeación general.
Contratación con terceros.
Relaciones con instituciones gubernamentales y organizaciones
privadas.
Cumplimiento del objeto social.
b.- Departamento de Planeación y Comercial: Este departamento es
el encargado del control de productos además de brindar apoyo en el ámbito
de mercadeo y ventas apoyándose en estudios de mercado.
Funciones:
Plantear estrategias de compra y venta.
Mantener control de almacenamiento.
Buscar nuevas formas de marketing.
c.- Departamento de Administración: Comprende todas las
operaciones donde se maneje dinero además de brindar asesorías sobre las
tomas de decisiones en el ámbito de inversión.
Funciones:
Informes financieros a Gerencia General.
Teneduría sistematizada de libros.
Control de inventarios.
Elaboración de nómina.
Gestión de Cobros y pagos en mora.
Estudios de costos.
d.- Departamento de Informática:Abarca todas las funciones
sistemáticas y tecnológicas que permiten el funcionamiento óptimo de la
empresa.
Funciones:
Prevenir y solucionar fallas en equipos utilizados para
almacenamiento de datos y comunicación.
Mantener actualizada la página web para brindar información reciente
a los clientes.
1.2METODOLOGÍA COBIT
1.2.1 MODELO DE MADUREZ
Permite que una organización pueda escoger el nivel o grado de
madurez al que desea llegar, es decir, después de realizada la evaluación a
cada proceso de tecnología de la empresa, este puede ser ubicado en un
determinado nivel de madurez. Para la gestión de la seguridad de la
información se orienta a medir la madurez sin depender de procesos de
análisis de riesgo sino enfocados en los requisitos del negocio (solo
tecnología y controles basados en ISO/IEC 13335). Esto indica que cada
área de proceso puede estar valorada con una madurez diferente, y no
determina un nivel de madurez de la seguridad de la información de forma
global para toda la organización. A continuación se muestra los niveles de
madurez:
1.2.2 AUDITORIA DE TICS APLICANDO COBIT
1.2.2.1. Área a auditar
La auditoría será realizada en el Departamento de Informática de
RattanHypermarket C.A.,debido a que maneja gran parte de la información
que compete a la empresa en todas sus áreas.
1.2.2.2. Procesos de recolección de información
La información se obtuvo mediante la observación directa a los
procesos que se realizan dentro de la empresa, así como una entrevista no
estructurada a uno de los empleados del Departamento de Informática todo
esto con el fin de poder dar una apreciación especifica de los problemas.
1.2.2.3. Documentos de gestión en el área de informática
Cabe destacar que el departamento de informática
deRattanHypermarket C.A., no cuenta con los documentos necesarios que
sirvan de soporte a los procesos que allí se realizan, los cuales serían:
Manual de servicio técnico.
Manual de los equipos.
Manual de manejo de datos.
1.2.2.4. Plan de la auditoria en el área de informática
Para la auditoría en el área de informática se pretende realizar los
siguientes procesos:
1.- Observación directa de los procesos que se realizan.
2.- Entrevista no estructuradas a uno de los empleados del departamento.
3.- Analizar cada uno de los recursos con que se cuenta.
4.- Analizar los niveles de seguridad.
5.- Analizar la confiabilidad de los datos respaldados.
1.2.2.5. Herramientas y técnicas
Para realizar la recolección de datos se utilizó una libreta de apuntes,
además de lapiceros en el proceso de observación directa; así como una
guía de entrevista no estructurada.
1.2.2.6.Motivo o necesidad de la auditoría
Inseguridad de la información respaldada.
Muestra de descoordinación y desorganización.
1.2.2.7. Modelo de madurez a nivel cualitativo (coso)
OBJETIVOS DECONTROL DE COBIT
CRITERIOS DE INFORMACIÓN DE
COBIT
RECURSOS DE TI DE COBIT
Efe
ctiv
idad
Efic
ienc
ia
Co
nfia
bilid
ad
Cu
mpl
imie
nto
Co
nfid
enci
alid
a
Inte
grid
ad
Dis
poni
bili
dad
Da
tos
Apl
ica
cion
es
Tec
nol
ogí
a
Inst
alac
ione
s
Per
sona
l
PLANEAR Y ORGANIZAR
PO1Definir el Pan Estratégico TI
P S X X X X X
PO2Definir la arquitectura de la información
S P S P X X
PO3Determinar la dirección tecnológica
P P X X
PO4Definir procesos, organización y relaciones de TI
P P X
PO5Administrar la inversión en TI
P P S X X X
PO6
Comunicar las aspiraciones y la dirección de la gerencia
P S X X
PO7Administrar recursos humanos de TI
P P X
PO8 Administrar calidad P P S S X X X X X
PO9Evaluar y administrar riesgo de TI
S S P S S P P X X X X X
PO10 Administrar proyectos P P X X X
PO11Administración de calidad
P P S P S P S X X X X X
Adquirir e implementar
AI1Identificar soluciones automatizadas
P S X X X
AI2Adquirir y mantener el software aplicativo
P P S S X X
AI3Adquirir y mantener la infraestructura tecnológica
S P S S X
AI4Facilitar la operación y el uso
P P S S S S X X X
AI5 Adquirir recursos de TI S P S X X X X XAI6 Administrar cambios P P P P X X X X X
Monitorear y evaluar
ME1Monitorear y evaluar el desempeño de TI
P P S S S S S X X X X X
ME2Monitorear y evaluar el control interno
P P S S S S S X X X X X
ME3Garantizar el cumplimiento regulatorio
S P X X X X X
ME4Proporcionar gobierno de TI
`P
`p
S S S S S X X X X X
Prestación y soporte
DS1Definir y administrar niveles de servicio
P P S S S S S X X X X X
DS2Administrar servicios de terceros
P P S S S S S X X X X X
DS3Administrar desempeño y capacidad
P P S X X
DS4Garantizar la continuidad del servicio
P S P X X X X X
DS5Garantizar la seguridad de los sistemas
S S P P S X X X X X
DS6Identificar y asignar costos
P P X X X X X
DS7Educar y entrenar a los usuarios
P S X
DS8 Administrar la mesa de P P X X
servicio y los incidentes
DS9Administrar la configuración
P S S S X X X X
DS10Administrar los problemas
P P S X X X X X
DS11 Administrar los datos P P X
DS12Administrar el ambiente físico
P P X
DS13Administrar las operaciones
P P S S S S S X X X X X
Las variables definidas dentro del control para los objetivos de control
COBIT son: dentro de los criterios de información de cobit, (p) cuando el
objetivo tiene impacto directo al requerimiento; (s), cuando el objetivo de
control tiene impacto indirecto es decir no completo sobre el requerimiento, y
finalmente ( ) vacío, cuando el objetivo de control no ejerce ningún impacto
sobre el requerimiento, en cambio cuando se encuentra con (x) significa que
los objetivos de control tienen impacto en los recursos, y cuando se
encuentra en blanco ( ), es que los objetivos de control no tienen ningún
impacto con los recursos.
CAPÍTULO II: EJECUCIÓN DE LA AUDITORÍA
2.1. SITUACIÓN ACTUAL DEL ÁREA DE SISTEMAS
2.1.1. Objetivos del departamento.
Adquisición e instalación de hardware y software para el
funcionamiento de los equipos de la empresa.
Mantener la seguridad en los datos almacenados realizando
respaldos periódicos.
Diseño y mantenimiento la página web de la empresa para
proporcionar y un medio de difusión masivo.
Proveer herramientas que brinden seguridad ante distintas amenazas
informáticas
Mantener el funcionamiento óptimo de las redes internas y sus
componentes.
2.1.2. Organigrama del departamento.
2.1.3. Seguridad del departamento.
a.- Seguridad Física:
Agentes capacitados para la seguridad las veinticuatro (24) horas del
día.
Dispositivos capases de prevenir y responder ante incidentes
(Extintores, detectores de humo, entre otros).
Cumple con las normativas propuestas para la seguridad.
b.- Seguridad de la información:
Restringir el acceso de usuarios a la información almacenada.
Realizar copias de seguridad periódicas para prevenir perdidas de
datos importantes para la empresa.
Mantener activado y actualizados los componentes que tienen como fin
repeler amenazas informáticas (antivirus, firewall).
c.- Seguridad del personal:
Equipamientos de protección para cada una de las personas que
laboran en el departamento.
Señalizaciones que permitan la protección de las personas.
2.1.4. Características de la plataforma tecnológica.
El departamento de informática del RattanHypermarket C. A en el
ámbito tecnológico cuenta en su inventario con 5 computadoras las cuales se
encuentran en funcionamiento y cuya descripción es la siguiente:
Hardware:
Cantidad Utilidad Características
3Sistemas de Información
CPU Inter Celeron 2.5 GHz
Memoria RAM 2 Gb
Disco Duro S-ATA 7200 1 Tb
Monitor ADC 17``
Tarjeta de red PCI-IEEE 802.11b/g
1 Soporte Técnico
CPU Inter Celeron 2.5 GHz
Memoria RAM 2 Gb
Disco Duro S-ATA 7200 1 Tb
Monitor ADC 17``
Tarjeta de red PCI-IEEE 802.11b/g
1 Servidor Proxy
CPU Inter Celeron 2.5 GHz
Memoria RAM 4 Gb
Disco Duro S-ATA 7200 1 Tb
Software:
Cantidad Sistema Operativo
5 Microsoft Windows 7 Ultimate, service pack 2
2.1.5 Determinación de los problemas y planteamiento de hipótesis
2.1.5.1. Posibles problemas.
Falta de manuales que sirvan de soporte en diversos ámbitos como
seguridad y mantenimiento de información.
Inexistencia de guía o manual de usuario que facilite el uso del sistema
de información a los usuarios.
Poca organización a la hora de definir tareas dentro del departamento.
2.1.5.2 Formulación de hipótesis
La falta de manuales de seguridad pueden acarrear diversos problemas
ante posibles incidentes por no tener conocimiento concreto de cómo
reaccionar ocasionando pérdidas tangibles e intangibles, aunado a esto la
inexistencia de guías de soporte técnico pueden causar malas instalaciones
o mantenimiento erróneos de dispositivos destinados a comunicaciones y
almacenamiento de datos los cuales causarían retrasos a las operaciones de
la empresa.
2.2 APLICACIÓN DE LA AUDITORIA.
2.2.1. Modelo de madurez de los procesos.
A continuación se realizara la relación entre los objetivos y el modelo de
madurez para determinar el nivel de la empresa con relación a los distintos
aspectos de la metodología COBIT 4.1.
Dominio: Planificar y OrganizarPO1: Definir el Plan Estratégico de Tecnología de la Información
Nivel de Madurez
Cu
mpl
e
No
cum
ple
Observaciones
Nivel
1
La planeación estrategia de TI se discute en forma ocasional en las reuniones de la gerencia
VGRADO DE MADUREZ:
El proceso de definir el plan estratégico de la tecnología de información está en el nivel de madurez 2.
OBJETIVOS NO CUMPLIDOS:
La planeación estratégica no sigue un enfoque estructurado.
No se realizan planes a largo plazo.
Nivel
2
Las decisiones estratégicas se toman proyecto por proyecto, sin ser consistente con una estrategia global de la organización.
V
Nivel
3
La planeación estratégica de TI sigue un enfoque estructurado el cual se documenta y se da a conocer a todo el equipo. Las estrategias de recursos humanos, técnicos y financieros de TI influencia cada vez más la adquisición de nuevos productos y tecnología.
V
Nivel
4
Existen procesos bien definidos para determinar el uso de recursos internos y externos requeridos en el desarrollo de las operaciones de los sistemas.
V
Nivel
5
Se desarrolla planes realistas a largo plazo de TI, y se actualizan de manera constante para reflejar los cambiantes avances tecnológicos y el progreso relacionado al negocio.
V
RECOMENDACIONES:
Plantear planes a largo plazo. Plantear ideas que ayuden directamente a la toma de decisiones de la empresa.
Dominio: Planificar y OrganizarPO2: Definir la Arquitectura de la Información.
Nivel de Madurez
Cu
mpl
e
No
cum
ple
Observaciones
Nivel
1
La gerencia reconoce la necesidad de una arquitectura de información. El desarrollo de algunos componentes de una arquitectura de información que ocurre de manera ad hoc.
V
GRADO DE MADUREZ:
El proceso de definir la arquitectura de la información está en el nivel de madurez 2.
OBJETIVOS NO CUMPLIDOS:
Poca experiencia del personal en el uso de las herramientas de la arquitectura de la información.
No se realizan propuestas para resolver necesidades futuras.
Nivel
2
Las personas obtienen sus habilidades al construir la arquitectura de información por medio de experiencia práctica y la aplicación repetida de técnicas.
V
Nivel
3
Existe una función de administración de datos definida formalmente, que establece estándares para toda la organización, y empieza a reportar sobre la aplicación y uso de la arquitectura de la información.
V
Nivel
4
El proceso de definición de la arquitectura de información es proactivo y se enfoca en resolver necesidades futuras del negocio.
V
Nivel 5
El personal de TI cuenta con la experiencia y las habilidades necesarias para desarrollar y dar mantenimiento a una arquitectura de información robusta y sensible que refleje todos los requerimientos del negocio.
V
RECOMENDACIONES:
Desarrollar una sólida arquitectura de la información. Brindar experiencia sobre el manejo de una estructura de datos.
Dominio: Planificar y OrganizarPO3: Determinar la Dirección Tecnología
Nivel de Madurez
Cu
mpl
e
No
cum
ple
Observaciones
Nivel
1
La gerencia reconoce la necesidad de planear la infraestructura tecnológica. El desarrollo de componentes tecnológicos y la implantación de tecnologías emergentes son ad hoc y aisladas.
V
GRADO DE MADUREZ:
El proceso de Determinar la Dirección Tecnología está en el nivel de madurez 2.
OBJETIVOS NO CUMPLIDOS:
No se establece un rumbo tecnológico el cual pueda ser más eficiente la labor.
No se cuenta con la experiencia para crear planes que ayuden a los adelantos tecnológicos.
Nivel
2
La evolución de los cambios tecnológicos se delega a individuos que siguen procesos intuitivos, aunque similares.
V
Nivel
3
Existe un plan de infraestructura tecnológica definido, documentado y bien difundido, aunque se aplica de forma inconsistente.
V
Nivel
4
El área de informática cuenta con la experiencia y las habilidades necesarias para desarrollar un plan de infraestructura tecnológica.
V
Nivel
5
La dirección del plan de infraestructura tecnológica está impulsada por los estándares y avances industriales e internacionales, en lugar de estar orientada por los proveedores de tecnología.
V
RECOMENDACIONES:
Analizar las tecnologías actuales en el mercado además de las emergentes para crear estrategias.
Crear planes estratégicos completos.
Dominio: Planificar y OrganizarPO4: Definir los Procesos, la Organización y las Relaciones de TI.
Nivel de Madurez
Cu
mpl
e
No
cum
ple
Observaciones
Nivel
1
La función de TI se considera como una función de soporte, sin una perspectiva organizacional general.
VGRADO DE MADUREZ:
El proceso de definir los Procesos, la Organización y las Relaciones de TI está en el nivel de madurez 1.
OBJETIVOS NO CUMPLIDOS:
Contar con una estructura organizada donde TI incluye todos los roles.
Se cumple parcialmente con sus objetivos.
Nivel
2
La necesidad de contar con una organización estructurada, pero las decisiones todavía depende del conocimiento y habilidades de individuos clave.
V
Nivel
3
Se formulan las relaciones con terceros, incluyendo los comités de dirección, auditoría interna y administración de proveedores.
V
Nivel
4
La organización de TI responde de forma proactiva al cambio e incluye todos los roles necesarios para satisfacer los requerimientos del negocio.
V
Nivel
5
La estructura organizacional de TI es flexible y adaptable.
V
RECOMENDACIONES:
Que el departamento se adapte a la estructura organizacional de TI. Permitir la integración de todos los roles con el fin de crear una organización más
sólida.
Dominio: Planificar y OrganizarPO5: Administrar la Inversión de TI.
Nivel de Madurez
Cu
mpl
e
No
cum
ple
Observaciones
Nivel
1
La organización reconoce la necesidad de administrar la inversión de TI, aunque esta necesidad se comunica de manera inconsistente.
V
GRADO DE MADUREZ:
El proceso de Administrar la Inversión de TI está en el nivel de madurez 2.
OBJETIVOS NO CUMPLIDOS:
No sé presupuesta la inversión para manejar márgenes.
Falta de análisis de costos para conocer la inversión posible.
Nivel
2
Existe un entendimiento implícito de la necesidad de seleccionar y presupuestar las inversiones de TI.
V
Nivel
3
El presupuesto de TI está alineado con los planes estratégicos de TI y con los planes de negocio. Los procesos de selección de inversiones en TI y de presupuestos están formalizados, documentados y comunicados.
V
Nivel
4
La responsabilidad y la rendición de cuentas por la selección y presupuestos de inversiones se asignan a un individuo específico. Las diferencias en el presupuesto se identifican y se resuelven.
V
Nivel
5
Se utilizan las mejores prácticas de la industria para evaluar los costos por comparación e identificar la efectividad de las inversiones. Se utiliza el análisis de los avances tecnológicos en el proceso de selección y presupuesto de inversiones.
V
RECOMENDACIONES:
Realizar estudios que permitan conocer las diferencias de costos a la hora de invertir podría estimarse presupuesto para tal fin.
Dominio: Adquirir e ImplementarAI1: Identificar Soluciones Automatizadas
Nivel de Madurez
Cu
mpl
e
No
cum
ple
Observaciones
Nivel
1
Existe una investigación o análisis estructurado mínimo de la tecnología disponible.
VGRADO DE MADUREZ:
El proceso de Identificar Soluciones Automatizadas está en el nivel de madurez 3.
OBJETIVOS NO CUMPLIDOS:
Fallas en la documentación de los proyectos.
Inexistencia de referencias solidas que respalden la toma de decisiones.
Nivel
2
El éxito de cada proyecto depende de la experiencia de unos cuantos individuos clave. La calidad de la documentación y de la toma de decisiones varía de forma considerable.
V
Nivel
3
El proceso para determinar las soluciones de TI se aplica para algunos proyectos con base en factores tales como las decisiones tomadas por el personal involucrado, la cantidad de tiempo administrativo dedicado, y el tamaño y prioridad del requerimiento de negocio original.
V
Nivel
4
La documentación de los proyectos es de buena calidad y cada etapa se aprueba adecuadamente.
V
Nivel
5
La metodología está soportada en bases de datos de conocimiento internas y externas que contienen material de referencia sobre soluciones tecnológicas.
V
RECOMENDACIONES:
Realizar análisis y estudios y sumarlas a la experiencia en el ámbito para facilitar el proceso de toma de decisiones.
Dominio: Adquirir e ImplementarAI2: Adquirir y Mantener Software Aplicativo
Nivel de Madurez
Cu
mpl
e
No
cum
ple
Observaciones
Nivel
1
Es probable que se hayan adquirido en forma independiente una variedad de soluciones individuales para requerimientos particulares del negocio, teniendo como resultado ineficiencias en el mantenimiento y soporte.
V
GRADO DE MADUREZ:
El proceso de Adquirir y Mantener Software Aplicativo está en el nivel de madurez 2.
OBJETIVOS NO CUMPLIDOS:
No se cumplen un proceso de estudio previo a la adquisición de software.
El software no son flexibles ni adaptables a cambios.
Nivel
2
Existen procesos de adquisición y mantenimiento de aplicaciones, con diferencias pero similares, en base a la experiencia dentro de la operación de TI.
V
Nivel
3
Existe un proceso claro, definido y de comprensión general para la adquisición y mantenimiento de software aplicativo. Este proceso va de acuerdo con la estrategia de TI y del negocio.
V
Nivel
4
Existe una metodología formal y bien comprendida que incluye un proceso de diseño y especificación, un criterio de adquisición, un proceso de prueba y requerimientos para la documentación.
V
Nivel
5
El enfoque se extiende para toda la empresa. La metodología de adquisición y mantenimiento presenta un buen avance y permite un posicionamiento estratégico y rápido, que permite un alto grado de reacción y flexibilidad para responder a los requerimientos cambiantes del negocio.
V
RECOMENDACIONES: Platean estudios más profundos a la hora de la adquisición de software. Garantizar la integridad accesibilidad y respaldo de la información.
Dominio: Adquirir e ImplementarAI3: Adquirir y Mantener Infraestructura Tecnológica
Nivel de Madurez
Cu
mpl
e
No
cum
ple
Observaciones
Nivel
1
Se realizan cambios a la infraestructura para cada nueva aplicación, sin ningún plan en conjunto. La actividad de mantenimiento reacciona a necesidades de corto plazo.
V
GRADO DE MADUREZ:
El proceso de Adquirir y Mantener Infraestructura Tecnológica está en el nivel de madurez 4.
OBJETIVOS NO CUMPLIDOS:
Definir una estrategia de adquisición y mantenimiento de la infraestructura..
Nivel
2
La adquisición y mantenimiento de la infraestructura de TI no se basa en una estrategia definida y no considera las necesidades de las aplicaciones del negocio que se deben respaldar.
V
Nivel
3
El proceso respalda las necesidades de las aplicaciones críticas del negocio y concuerda con la estrategia de negocio de TI, pero no se aplica en forma consistente.
V
Nivel
4
La infraestructura de TI soporta adecuadamente las aplicaciones del negocio. El proceso está bien organizado y es preventivo.
V
Nivel
5
El proceso de adquisición y mantenimiento de la infraestructura de tecnología es preventivo y está estrechamente en línea con las aplicaciones críticas del negocio y con la arquitectura de la tecnología.
V
RECOMENDACIONES:
Garantizar la disponibilidad de la infraestructura y mantener planes alternativos.
Dominio: Adquirir e ImplementarAI4: Facilitar la Operación y el Uso
Nivel de Madurez
Cu
mpl
e
No
cum
ple
Observaciones
Nivel
1
Mucha de la documentación y muchos de los procedimientos ya caducaron. Los materiales de entrenamiento tienden a ser esquemas únicos con calidad variable.
V
GRADO DE MADUREZ:
El proceso de Facilitar la Operación y el Uso está en el nivel de madurez 1.
OBJETIVOS NO CUMPLIDOS:
Los materiales de apoyo no brindan son anticuados y en muchos casos inexistentes.
No existe un estándar de cómo realizar los procesos.
Nivel
2
Individuos o equipos de proyecto generan los materiales de entrenamiento, y la calidad depende de los individuales que se involucran.
V
Nivel
3
Se guardan y se mantienen los procedimientos en una biblioteca formal y cualquiera que necesite saber tiene acceso a ella.
V
Nivel
4
Existen controles para garantizar que se adhieren los estándares y que se desarrollan y mantienen procedimientos para todos los procesos.
V
Nivel
5
Los materiales de procedimientos y de entrenamiento se tratan como una base de conocimiento en evolución constante que se mantiene en forma electrónica, como el uso de administración de conocimientos actualizada, workflow y tecnologías de distribución, que los hacen accesibles y fáciles de mantener.
V
RECOMENDACIONES: Creación de instructivos que permitan la transferencia de conocimiento. Documentar los aspectos técnicos y los niveles de servicios requeridos.
Dominio: Adquirir e ImplementarAI5: Adquirir Recursos de TI
Nivel de Madurez
Cu
mpl
e
No
cum
ple
Observaciones
Nivel
1
Los contratos para la adquisición de recursos de TI son elaborados y administrados por gerentes de proyectos y otras personas que ejercen un juicio profesional más que seguir resultados de procedimientos y políticas formales.
V
GRADO DE MADUREZ:
El proceso de Adquirir Recursos de TI está en el nivel de madurez 2.
OBJETIVOS NO CUMPLIDOS:
No existen estándares para la adquisición de recursos.
Falta de relaciones estratégicas con posibles proveedores.
Nivel
2
Se determinan responsabilidades y rendición de cuentas para la administración de adquisición y contrato de TI según la experiencia particular del gerente de contrato.
V
Nivel
3
La adquisición de TI se integra en gran parte con los sistemas generales de adquisición del negocio.
V
Nivel
4
La adquisición de TIse integra en gran parte con los sistemas generales de adquisición del negocio. Existen estándares de Ti para la adquisición de recursos de TI.
V
Nivel
5
Se establecen buenas relaciones con el tiempo con la mayoría de los proveedores y socios, y se mide y vigila la calidad de estas relaciones. Se manejan las relaciones en forma estratégicas.
V
RECOMENDACIONES:
Implementar estrategias que permitan conocer los recursos más necesarios para estandarizar la obtención de recursos.
Dominio: Entregar y Dar SoporteDS1: Definir y Administrar los Niveles de Servicio
Nivel de Madurez
Cu
mpl
e
No
cum
ple
Observaciones
Nivel 1
La responsabilidad y la rendición de cuentas sobre para la definición y la administración de servicios no está definida.
V
GRADO DE MADUREZ:
El proceso de definir y Administrar los Niveles de Servicio está en el nivel de madurez 1.
OBJETIVOS NO CUMPLIDOS:
El proceso de desarrollo de los niveles de servicios no están definidos.
No se realizan planes a largo plazo.
Nivel 2
Los reportes de os niveles de servicio están incompletos y pueden ser irrelevantes o engañosos para los clientes. Los reportes de los niveles de servicio dependen, en forma individual, de las habilidades y la iniciativa de los administradores.
V
Nivel 3
El proceso de desarrollo del acuerdo de los niveles de servicio está en orden y cuenta con puntos de control para revalorar los niveles de servicio y la satisfacción del cliente.
V
Nivel 4
La satisfacción del cliente es medida y valorada de formas rutinaria. Las medidas de desempeño reflejan las necesidades del cliente, en lugar de las metas de TI.
V
Nivel 5
Todos los procesos de administración de niveles de servicio están sujetos a mejora continua. Los niveles de satisfacción del cliente son administrados y monitoreados de manera continua.
V
RECOMENDACIONES:
Definir claramente los niveles de servicios y repartir las labores según el nivel de conocimiento de quienes los desarrollan.
Dominio: Entregar y Dar SoporteDS3: Administrar el Desempeño y la Capacidad
Nivel de Madurez
Cu
mpl
e
No
cum
ple
Observaciones
Nivel
1
Los responsables de los procesos del negocio valoran poco la necesidades llevar a cabo una planeación de la capacidad y del desempeño. Las acciones para administrar el desempeño la capacidad son típicamente reactivas.
v
GRADO DE MADUREZ:El proceso de Administrar el Desempeño y la Capacidad está en el nivel de madurez 1.
OBJETIVOS NO CUMPLIDOS: Establecer métodos de
desempeño y evaluación.
La infraestructura TI no está sujeta a regulaciones que permitan un desempeño óptimo.
Nivel
2
Las necesidades de desempeño se logran por lo general con base en evaluaciones de sistemas individuales y el conocimiento y soporte de equipos de proyectos.
v
Nivel
3
Los pronósticos de la capacidad y desempeño se modelan por medio de un proceso definido. Los reportes se generan con estadísticas de desempeño.
v
Nivel
4
Hay información actualizada disponible. Brindando estadísticas de desempeño estandarizadas y alertando sobre incidentes causados por falta de desempeño o de capacidad.
v
Nivel
5
La infraestructura de Ti y la demanda del negocio están sujetas a revisiones regulares para asegurar que se logre una capacidad óptima con el menor costo posible.
v
RECOMENDACIONES: Evaluar y monitorear la capacidad y el desempeño de quienes laboran.
Dominio: Entregar y Dar SoporteDS4: Garantizar la Continuidad del Servicio
Nivel de Madurez
Cu
mpl
e
No
cum
ple
Observaciones
Nivel
1
Las responsabilidades sobre la continuidad de los servicios son informales y la autoridad para ejecutar responsabilidades es limitada.
V
GRADO DE MADUREZ:
El proceso de Garantizar la Continuidad del Servicio está en el nivel de madurez 2.
OBJETIVOS NO CUMPLIDOS:
Mantener planes de servicios continuos.
Nivel
2
Los reportes sobre la disponibilidad son esporádicos, pueden estar incompletos y no toman en cuenta el impacto en el negocio.
V
Nivel
3
Las responsabilidades de la planeación y de las pruebas de la continuidad de servicios están claramente asignadas y definidas.
V
Nivel
4
Se asigna la responsabilidad de mantener un plan de continuidad de servicios.
V
Nivel
5
Los procesos integrados de servicio continuo toman en cuenta referencias de la industria y las mejores prácticas externas.
V
RECOMENDACIONES:
Desarrollar planes de continuidad para así prever posibles fallas repetidas.
Dominio: Entregar y Dar SoporteDS5: Garantizar la Seguridad de los Sistemas
Nivel de Madurez
Cu
mpl
e
No
cum
ple
Observaciones
Nivel
1
La seguridad deTI se lleva a cabo de forma reactiva. No se mide la seguridad de Ti. Las brechas de seguridad de TI ocasionan respuestas con acusaciones personales, debido a que las responsabilidades no son claras. Las respuestas a la brechas de seguridad TI son impredecibles.
V
GRADO DE MADUREZ:
El proceso de Garantizar la Seguridad de los Sistemas está en el nivel de madurez 3.
OBJETIVOS NO CUMPLIDOS:
Elaborar planes de seguridad. Ofrecer
instrucciones a los usuarios sobre el uso correcto de los sistemas.
Nivel
2
La conciencia sobre la necesidad de la seguridad fraccionada y limitada. Aunque los sistemas producen información relevante respecto a la seguridad, esto no se analiza.
V
Nivel
3
Las responsabilidades de la seguridad TI están asignadas y entendidas, pero no continuamente implementadas. Existe un plan de seguridad de TI y existen soluciones de seguridad motivadas por un análisis de riesgo.
V
Nivel
4
El contacto con métodos para promover la conciencia de la seguridad es obligatorio. La identificación, la autenticación y la autorización de los usuarios están estandarizadas.
V
Nivel
5
Los usuarios y los clientes se responsabilizan cada vez más de definir requerimientos de seguridad, y las funciones de seguridad están integradas con las aplicaciones en la fase de diseño.
V
RECOMENDACIONES:
Realizar y mantener planes de seguridad. Revisar periódicamente los sistemas de seguridad físicos y lógicos.
Dominio: Monitorear y EvaluarME1: Monitorear y Evaluar el Desempeño TI
Nivel de Madurez
Cu
mpl
e
No
cum
ple
Observaciones
Nivel
1
Nos e han identificado procesos estándar de recolección y evaluación. El monitoreo se implanta y las métricas se seleccionan de acuerdo a cada caso, de acuerdo a las necesidades de proyectos y procesos de TI específicos.
V
GRADO DE MADUREZ:
El proceso de Monitorear y Evaluar el Desempeño TI está en el nivel de madurez 1.
OBJETIVOS NO CUMPLIDOS:
Identificar los estándares de evaluación.
Nivel
2
La interpretación de los resultados del monitoreo se basa en la experiencia de individuos clave.
V
Nivel
3
Las mediciones de la contribución de la función de servicios de información al desempeño de la organización se han definido, usando criterios financieros y operativos tradicionales.
V
Nivel
4
No hay integración de métricas a lo largo de todos los proyectos y procesos de TI. Los sistemas de reporte de la administración de TI están formalizados.
V
Nivel
5
Las métricas impulsadas por el negocio se usan de forma rutinaria para medir el desempeño, y están integradas en los marcos de trabajo estratégicos, tales como el BalancedScorecard.
V
RECOMENDACIONES:
Definir los estándares de evaluación y una vez echo eso evaluar el desempeño del mismo periódicamente
Dominio: Monitorear y EvaluarME2: Monitorear y Evaluar el Control Interno
Nivel de Madurez
Cu
mpl
e
No
Observaciones
Nivel
1
La gerencia de TI no ha asignado de manera formal las responsabilidades para monitorear la efectividad de los controles internos.
VGRADO DE MADUREZ:
El proceso de Monitorear y Evaluar el Control Interno está en el nivel de madurez 2.
OBJETIVOS NO CUMPLIDOS:
Establecer monitoreo periódicos.
Realizar programas de entrenamiento para el monitoreo del control interno.
Utilizar las herramientas necesarias para el control interno
Nivel
2
La gerencia de servicios de información realiza monitoreo periódicos sobre la efectividad de lo que considera controles internos críticos. Se están empezando a usar metodologías y herramientas para monitorear los controles internos.
V
Nivel
3
Se ha definido un programa de educación y entrenamiento para el monitoreo de control interno. Se ha definido también un proceso para auto evaluaciones y revisiones de seguro del control interno, con los roles definidos para los responsables de la administración del negocio y de TI.
V
Nivel
4
Se han implantado herramientas para estandarizar evaluaciones y para detectar de forma automática las excepciones de control. Se ha establecido una función formal para el control interno de TI, con profesionales especializados y certificados que utilizan un marco de trabajo de control formal avalado por la alta dirección.
V
Nivel
5
La organización utiliza herramientas integradas y actualizadas, que permiten una evaluación efectiva de los controles críticos de TI y una detección rápida de incidentes de control de TI.
V
RECOMENDACIONES:
Brindar ayuda acerca del control interno además de proporcionar herramientas que
hagan más fácil el mismo
Dominio: Monitorear y EvaluarME3: Garantizar el Cumplimiento Regulatorio
Nivel de Madurez
Cu
mpl
e
No
Observaciones
Nivel
1
Se siguen procesos informales para mantener el cumplimiento, pero solo si la necesidad surge en nuevos proyectos o como respuesta auditorías y revisiones.
V
GRADO DE MADUREZ:
El proceso de Garantizar el Cumplimiento Regulatorio está en el nivel de madurez 1.
OBJETIVOS NO CUMPLIDOS:
Capacitar al personal sobre las regulaciones.
Solucionar las necesidades aplicando las regulaciones.
Nivel
2
No existe, sin embargo, un enfoque estándar. Hay mucha confianza en el conocimiento y responsabilidad de los individuos, y los errores son posibles.
V
Nivel
3
Se brinda entrenamiento sobre requisitos legales y regulatorios externos que afectan a la organización y se instruye respecto a los procesos de cumplimiento definidos.
V
Nivel
4
Las responsabilidades son claras y el empoderamiento de los procesos es entendido. El proceso incluye una revisión del entorno para identificar requerimientos externos y cambios recurrentes.
V
Nivel
5
Hay un amplio conocimiento de los requerimientos externos aplicables, incluyendo sus tendencias futuras y cambios anticipados así como la necesidad de nuevas soluciones.
V
RECOMENDACIONES:
Proporcionar la información acerca de los requerimientos y regulaciones pertinente para brindar parámetros al desarrollo laboral
Do
min
io
Proceso
Niv
el d
e
Mad
ure
z
Pla
nif
icar
y
Org
an
izar
PO1 Definir el plan estratégico de tecnología de información. 2
PO2 Definir la arquitectura de la información. 2
PO3 Determinar la dirección tecnológica. 2
PO4 Definir los procesos, la organización y las relaciones de TI. 1
PO5 Administrar la inversión de TI. 2
Ad
qu
irir
e
Imp
lem
enta
r
AI1 Identificar las soluciones automatizadas. 3
AI2 Adquirir y mantener software aplicativo. 2
AI3 Adquirir y mantener infraestructura tecnológica. 4
AI4 Facilitar la operación y el uso. 1
AI5 Adquirir recursos de TI. 2
En
treg
ar y
Dar
S
op
ort
e
DS1 Definir y administrar los niveles de servicios. 1
DS3 Administrar el desempeño y la capacidad. 1
DS4 Garantizar la continuidad del servicio. 2
DS5 Garantizar la seguridad de los sistemas. 3
Mo
nit
ore
ar
y
Eva
luar
ME1 Monitorear y evaluar el desempeño de TI. 1
ME2 Monitorear y evaluar el control interno. 2
ME3 Garantizar el cumplimiento regulatorio. 1
Resumen de Análisis por Dominios:
Planificar y Organizar: Esta en un nivel intermedio sin alcanzar una
estabilidad que lo ayude a alcanzar el máximo potencial todo esto
sumado la deficiencia de algunas herramientas necesarias para
realizar ciertas tareas y desconocimiento de la importancia de
mantener una buena organización.
Adquirir e Implementar: Se observa un nivel muy bajo de madures a la
hora de adquirir cierto tipo de recursos que son necesarios
implementar para el desarrollo total de la empresa.
Entregar y Dar Soporte: los niveles de madurez son no son los
esperados, aunque parcialmente se observa cierto seguimiento a las
problemáticas así como un nivel intermedio el cuanto a la seguridad
de los sistemas
Monitorear y Evaluar: Este dominio muestra niveles extremadamente
bajos en el desarrollo y evaluación del control interno.
2.2.3 RESUMEN DE PROCESOS Y CRITERIOS DE INFORMACIÓN POR IMPACTO
DO
MIN
IO
PROCESOS
CRITERIOS DE INFORMACIÓN RECURSOS TI
NIV
EL
DE
MA
DU
RE
Z
EF
EC
TIV
IDA
D
EF
ICIE
NC
IA
CO
NF
IDE
NC
IAL
IDA
D
INT
EG
RID
AD
DIS
PO
NIB
ILID
AD
CU
MP
LIM
IEN
TO
CO
NF
IAB
ILIO
DA
D
PE
RS
ON
A
AP
LIC
AC
IÓN
TE
CN
OL
OG
ÍA
INS
TA
LA
CIO
NE
S
DA
TO
S
PL
AN
IFIC
AR
Y O
RG
AN
IZA
R
PO1Definir el plan estratégico de tecnología de información.
0.83 0.5 x x x x x
Total real (Impacto * Nivel real) 2.49 1.5 2Total Ideal (Impacto * Nivel ideal) 5 3 5
PO2 Definir la arquitectura de la información. 0.5 0.83 0.83 0.5 x x 2
Total real (Impacto * Nivel real) 1.5 2.49 2.49 1.5Total Ideal (Impacto * Nivel ideal) 3 5 5 3
PO3 Determinar la dirección tecnológica. 0.83 0.83 x x
Total real (Impacto * Nivel real) 2.49 2.49 2Total Ideal (Impacto * Nivel ideal) 5 5 5
PO4Definir los procesos, la organización y las relaciones de TI.
0.83 0.83 x
Total real (Impacto * Nivel real) 2.49 2.49 1Total Ideal (Impacto * Nivel ideal) 5 5 5
PO5 Administrar la inversión de TI. 0.83 0.83 0.5 x x x
Total real (Impacto * Nivel real) 2.49 2.49 1 2Total Ideal (Impacto * Nivel ideal) 5 5 3 5
AD
QU
IRIR
E IM
PL
EM
EN
TA
R
AI1 Identificar las soluciones automatizadas. 0.83 0.5 x x x
Total real (Impacto * Nivel real) 3.32 2 3Total Ideal (Impacto * Nivel ideal) 5 3 5
AI2 Adquirir y mantener software aplicativo. 0.83 0.83 0.5 x x
Total real (Impacto * Nivel real) 2.49 2.49 1.5 2Total Ideal (Impacto * Nivel ideal) 5 5 3 5
AI3Adquirir y mantener infraestructura tecnológica.
0.5 0.83 0.5 0.5 x
Total real (Impacto * Nivel real) 2.5 4.15 2.5 2.5 4Total Ideal (Impacto * Nivel ideal) 3 5 3 3 5
AI4 Facilitar la operación y el uso. 0.83 0.83 0.5 0.5 0.5 0.5 x x x
Total real (Impacto * Nivel real) 1.66 1.66 1 1 1 1 1Total Ideal (Impacto * Nivel ideal) 5 5 3 3 3 3 5
AI5 Adquirir recursos de TI. 0.5 0.83 0.5 x x x x x
Total real (Impacto * Nivel real) 1.5 2.49 1.5 2Total Ideal (Impacto * Nivel ideal) 3 5 3 5
EN
TR
EG
AR
Y DS1
Definir y administrar los niveles de servicios.
0.83 0.83 0.5 0.5 0.5 0.5 0.5 x x x x x
Total real (Impacto * Nivel real) 1.66 1.66 1 1 1 1 1 1Total Ideal (Impacto * Nivel ideal) 5 5 3 3 3 3 3 5
DS3 Administrar el desempeño y la capacidad. 0.83 0.83 0.5 x x
Total real (Impacto * Nivel real) 1.66 1.66 1 1Total Ideal (Impacto * Nivel ideal) 5 5 3 5
DAR SO
DS4 Garantizar la continuidad del servicio. 0.83 0.5 0.83 x x x x x
Total real (Impacto * Nivel real) 2.49 1.5 2.49 2Total Ideal (Impacto * Nivel ideal) 5 3 5 5
DS5 Garantizar la seguridad de los sistemas. 0.83 0.83 0.5 0.5 0.5 x x x x x
Total real (Impacto * Nivel real) 3.32 3.32 2 2 2 3
Total Ideal (Impacto * Nivel ideal) 5 5 3 3 3 5
MO
NIT
OR
EA
R Y
EV
AL
UA
R
ME1 Monitorear y evaluar el desempeño de TI. 0.83 0.83 0.5 0.5 0.5 0.5 0.5 x x x x x
Total real (Impacto * Nivel real) 1.66 1.66 1 1 1 1 1 1Total Ideal (Impacto * Nivel ideal) 5 5 3 3 3 3 3 5
ME2 Monitorear y evaluar el control interno. 0.83 0.83 0.5 0.5 0.5 0.5 0.5 x x x x x
Total real (Impacto * Nivel real) 2.49 2.49 1.5 1.5 1.5 1.5 1.5 2Total Ideal (Impacto * Nivel ideal) 5 5 3 3 3 3 3 5
ME3 Garantizar el cumplimiento regulatorio. 0.83 0.5 x x x x x
Total real (Impacto * Nivel real) 1.66 1 1Total Ideal (Impacto * Nivel ideal) 5 3 5
2.2.4 RESULTADOS FINALES DEL IMPACTO SOBRE LOS CRITERIOS DE INFORMACIÓN
Total real (Impacto * Nivel real) 32.89 33.22 8.48 11.32 13.49 10.49 9.5Total Ideal (Impacto * Nivel ideal) 69 69 19 23 29 23 21Porcentaje Alcanzado 47.66 48.14 44.63 49.21 46.51 45.60 45.23
Efectividad: Para este criterio de información se obtuvo un porcentaje
47.66% sobre 100%, es decir, que la información que es de
importancia para Rattan Hypermarket, C.A; que tiene incidencia en los
procesos del negocio y debe ser entregada de forma oportuna,
consistente, y veraz tiene un porcentaje del 47.66%.
Eficiencia: Para este criterio de información se obtuvo un porcentaje del
48.14% sobre el 100%, es decir que la información que debe generar
el uso del óptimo de los recursos de Rattan Hypermarket, C.A, tiene
un porcentaje del 48.14%.
Confidencialidad: Para este criterio de información se obtuvo un
porcentaje del 44.63% sobre el 100%, es decir, que la protección de
Rattan Hypermarket, C.A, para que esta no sea divulgada a personas
o sectores extraños a este tiene un porcentaje del 44.63%.
Integridad: Para este criterio de información se obtuvo un porcentaje del
49.21% sobre el 100%, es decir, la distribución de la información
exacta y correcta, así con su validez con las expectativas de la
empresa tiene un porcentaje del 49.21%.
Disponibilidad: Para este criterio de la información obtuvo un porcentaje
del 46.51% sobre el 100%, es decir, la accesibilidad de la información
cuando esta sea requerida por los procesos de negocio y a la
salvaguarda de los recursos y capacidades asociadas a la misma en
Rattan Hypermarket, C.A, tiene un porcentaje del 46.51%.
Cumplimiento: Para este criterio de la información se obtuvo un
porcentaje del 45.60% sobre 100%, es decir que el cumplimiento de
las leyes, regulaciones, y compromisos contractuales con los cuales
está comprometidos Rattan Hypermarket, C.A, tiene un porcentaje del
45.60%.
Confiabilidad: Para este criterio de la información se obtuvo un
porcentaje del 45.23% sobre el 100%, es decir, proveer la información
apropiada para que la administración tome decisiones adecuadas para
manejar Rattan Hypermarket, C.A, y cumplir con sus
responsabilidades, tiene un porcentaje del 45.23%.
2.2.5 GRÁFICA REPRESENTATIVA DEL IMPACTO DE LOS CRITERIOS
DE INFORMACIÓN
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
424344454647484950
IMPACTO SOBRE LOS CRITERIOS DE LA INFORMACIÓN
3.2 INFORME EJECUTIVO
COBIT recomienda 34 procesos para ser evaluados en las
auditorías, pero en este informe ejecutivo se detallaran los resultados
17 procesos más importantes seleccionadas para abarcar ámbitos
específicos. Los criterios de información se encuentran en el siguiente
porcentaje todo sobre el 100%.
Criterio de la Información: Efectividad
EfectividadDefícit
52,34% 47,66%
La efectividad consiste en que la información relevante sea
entregada de forma oportuna, correcta, consistente y utilizable, este
criterio tiene un promedio del 47,66%.
Criterio de Información: Eficiencia
EficienciaDefícit
48,14%51.86%
La eficiencia consiste en que la información debe ser generada
optimizando los recursos, este criterio tiene un promedio del 48,14%.
Criterio de Información: Integridad
ConfidencialidadDefícit
55,37% 44,63%
La confidencialidad consiste en que la información vital sea
protegida contra la revelación no autorizada, este criterio tiene un
promedio del 44,63%.
Criterio de Información: Integridad
IntegridadDefícit
50,79%
La integridad consiste en que la información debe ser precisa,
completa y valida, este criterio tiene un promedio del 49,21%.
Criterio de Información: Disponibilidad
DisponibilidadDefícit
53,49% 46,51%
La disponibilidad consiste en que la información esté disponible
cundo esta sea requerida por parte de las áreas del negocio en
cualquier momento, este criterio tiene un promedio del 32,96%.
49,21%
Criterio de Información: Cumplimiento
CumplimientoDefícit
54,4% 45,6%
El cumplimiento consiste en que se debe respetar las leyes,
reglamentos y acuerdos contractuales a los que está sujeta el proceso
del negocio, como políticas internas, ese criterio un promedio del
45,6%.
Criterio de Información: Confiabilidad
Confiabilidad
Defícit
54,77% 45,23%
La confiabilidad consiste en que debe respetar, proporcionar la
información apropiada, con el fin de que la gerencia general
administre la entidad, este criterio tiene un promedio del 45,23%.