REPÚBLICA BOLIVARIANA DE VENEZUELAINSTITUTO UNIVERSITARIO POLITÉCNICO

“SANTIAGO MARIÑO”EXTENSIÓN PORLAMAR

Auditoria

Autor(a):Br. Hussien Castillo, Mardam

C.I. 18.550.928

Porlamar, Julio del 2013

1.1CARACTERIZACIÓN DE LA EMPRESA

1.1.1 NATURALEZA DE LA EMPRESA

RattanHypermarket C. A., inicia en el año 1978, con la apertura de una

tiendadedicada a la venta de Blue Jeans importados por sus dueños, con el

nombre deJean’s ShopC. A. Actualmente, RattanHypermarket C.A., realiza

sus operacionesenmarcadas en la actividad netamente económica que

ofrece el Puerto Libre de laIsla de Margarita y la Zona Libre de Paraguaná,

ofreciendo la más completavariedad en la venta de artículos para el hogar,

supermercado, ferretería, jardinería, bodegón, juguetería, lencería,

cristalería, electrodomésticos, entreotros, tanto nacionales como

importados.RattanHypermarket C. A. es una empresa dedicada a la

comercialización deproductos nacionales e importados, prestadora de

servicios, de acuerdo a lasdisposiciones legales del país y en especial la

regulada por el Puerto Libre de laIsla de Margarita.

1.1.2 UBICACIÓN GEOGRÁFICA

La empresa de RattanHypermarket C. A., se encuentra ubicada en la

Av. 4 de Mayo, entre la Calle Fermín y Santiago Mariño; Sector Genovés.

Centro Comercial Rattan, Porlamar – Isla de Margarita, Edo. Nueva Esparta

– Venezuela.

1.1.3 VISIÓN

Ser la tienda líder, por departamento garantizando el mejor servicio a

sus clientes, así como la mayor variedad y calidad en sus productos

nacionales e importados.

1.1.4 MISIÓN

Ser líderes en cadenas de tiendas por departamento diferenciados por

la innovación, la calidad de servicio, la variedad y calidad de los productos

ofrecidos con el fin de satisfacer en forma óptima las necesidades de

nuestros clientes y obtener una rentabilidad adecuada, contando para ello

con un personal altamente comprometido con la organización.

1.1.5 OBJETIVOS ESTRATEGICOS

1.1.5.1 ANÁLISIS FODA

FORTALEZAS DEBILIDADES

Excelente calidad de los servicios.

Variedad de productos.

Precios accesibles.

Buenas relaciones humanas con los clientes y consumidores.

Innovadores.

Apoyo a la comercialización de productos nacionales.

Presupuesto publicitario limitado.

Deficiencia en la publicidad de exteriores y material POP.

Poca publicidad en medios de comunicación masiva (televisión, radio).

OPORTUNIDADES AMENAZAS

Ampliación del mercado.

Apertura de nuevas sucursales a nivel regional.

Captar nuevos segmentos de mercado.

Rápido crecimiento.

Conseguir mejor posicionamiento en el mercado.

Creación de nuevos mercados.

Crecimiento de los competidores.

Aumento de los precios en la canasta familiar.

La crisis económica actual.

Incremento en número de competidores.

La inflación.

1.1.5.2 METAS ORGANIZACIONALES

a.- Corto Plazo: Mantenerse abastecido para satisfacer las

necesidades del cliente.

b.- Mediano Plazo: Realizar constante innovaciones en el ámbito

tecnológico y proveer óptimos adiestramientos al personal d la empresa.

c.- Largo Plazo: Alcanzar la máxima expansión demográfica a nivel

nacional.

1.1.6 ORGANIGRAMA DE LA EMPRESA

1.1.6.1 DESCRIPCIÓN DE LOS PROCESOS Y FUNCIONES

a.- Gerencia General: Es la persona encargada de llevar las riendas

de la empresa y tomar las decisiones importantes que define el destino de la

misma.

Funciones:

Planeación general.

Contratación con terceros.

Relaciones con instituciones gubernamentales y organizaciones

privadas.

Cumplimiento del objeto social.

b.- Departamento de Planeación y Comercial: Este departamento es

el encargado del control de productos además de brindar apoyo en el ámbito

de mercadeo y ventas apoyándose en estudios de mercado.

Funciones:

Plantear estrategias de compra y venta.

Mantener control de almacenamiento.

Buscar nuevas formas de marketing.

c.- Departamento de Administración: Comprende todas las

operaciones donde se maneje dinero además de brindar asesorías sobre las

tomas de decisiones en el ámbito de inversión.

Funciones:

Informes financieros a Gerencia General.

Teneduría sistematizada de libros.

Control de inventarios.

Elaboración de nómina.

Gestión de Cobros y pagos en mora.

Estudios de costos.

d.- Departamento de Informática:Abarca todas las funciones

sistemáticas y tecnológicas que permiten el funcionamiento óptimo de la

empresa.

Funciones:

Prevenir y solucionar fallas en equipos utilizados para

almacenamiento de datos y comunicación.

Mantener actualizada la página web para brindar información reciente

a los clientes.

1.2METODOLOGÍA COBIT

1.2.1 MODELO DE MADUREZ

Permite que una organización pueda escoger el nivel o grado de

madurez al que desea llegar, es decir, después de realizada la evaluación a

cada proceso de tecnología de la empresa, este puede ser ubicado en un

determinado nivel de madurez. Para la gestión de la seguridad de la

información se orienta a medir la madurez sin depender de procesos de

análisis de riesgo sino enfocados en los requisitos del negocio (solo

tecnología y controles basados en ISO/IEC 13335). Esto indica que cada

área de proceso puede estar valorada con una madurez diferente, y no

determina un nivel de madurez de la seguridad de la información de forma

global para toda la organización. A continuación se muestra los niveles de

madurez:

1.2.2 AUDITORIA DE TICS APLICANDO COBIT

1.2.2.1. Área a auditar

La auditoría será realizada en el Departamento de Informática de

RattanHypermarket C.A.,debido a que maneja gran parte de la información

que compete a la empresa en todas sus áreas.

1.2.2.2. Procesos de recolección de información

La información se obtuvo mediante la observación directa a los

procesos que se realizan dentro de la empresa, así como una entrevista no

estructurada a uno de los empleados del Departamento de Informática todo

esto con el fin de poder dar una apreciación especifica de los problemas.

1.2.2.3. Documentos de gestión en el área de informática

Cabe destacar que el departamento de informática

deRattanHypermarket C.A., no cuenta con los documentos necesarios que

sirvan de soporte a los procesos que allí se realizan, los cuales serían:

Manual de servicio técnico.

Manual de los equipos.

Manual de manejo de datos.

1.2.2.4. Plan de la auditoria en el área de informática

Para la auditoría en el área de informática se pretende realizar los

siguientes procesos:

1.- Observación directa de los procesos que se realizan.

2.- Entrevista no estructuradas a uno de los empleados del departamento.

3.- Analizar cada uno de los recursos con que se cuenta.

4.- Analizar los niveles de seguridad.

5.- Analizar la confiabilidad de los datos respaldados.

1.2.2.5. Herramientas y técnicas

Para realizar la recolección de datos se utilizó una libreta de apuntes,

además de lapiceros en el proceso de observación directa; así como una

guía de entrevista no estructurada.

1.2.2.6.Motivo o necesidad de la auditoría

Inseguridad de la información respaldada.

Muestra de descoordinación y desorganización.

1.2.2.7. Modelo de madurez a nivel cualitativo (coso)

OBJETIVOS DECONTROL DE COBIT

CRITERIOS DE INFORMACIÓN DE

COBIT

RECURSOS DE TI DE COBIT

Efe

ctiv

idad

Efic

ienc

ia

Co

nfia

bilid

ad

Cu

mpl

imie

nto

Co

nfid

enci

alid

a

Inte

grid

ad

Dis

poni

bili

dad

Da

tos

Apl

ica

cion

es

Tec

nol

ogí

a

Inst

alac

ione

s

Per

sona

l

PLANEAR Y ORGANIZAR

PO1Definir el Pan Estratégico TI

P S X X X X X

PO2Definir la arquitectura de la información

S P S P X X

PO3Determinar la dirección tecnológica

P P X X

PO4Definir procesos, organización y relaciones de TI

P P X

PO5Administrar la inversión en TI

P P S X X X

PO6

Comunicar las aspiraciones y la dirección de la gerencia

P S X X

PO7Administrar recursos humanos de TI

P P X

PO8 Administrar calidad P P S S X X X X X

PO9Evaluar y administrar riesgo de TI

S S P S S P P X X X X X

PO10 Administrar proyectos P P X X X

PO11Administración de calidad

P P S P S P S X X X X X

Adquirir e implementar

AI1Identificar soluciones automatizadas

P S X X X

AI2Adquirir y mantener el software aplicativo

P P S S X X

AI3Adquirir y mantener la infraestructura tecnológica

S P S S X

AI4Facilitar la operación y el uso

P P S S S S X X X

AI5 Adquirir recursos de TI S P S X X X X XAI6 Administrar cambios P P P P X X X X X

Monitorear y evaluar

ME1Monitorear y evaluar el desempeño de TI

P P S S S S S X X X X X

ME2Monitorear y evaluar el control interno

P P S S S S S X X X X X

ME3Garantizar el cumplimiento regulatorio

S P X X X X X

ME4Proporcionar gobierno de TI

`P

`p

S S S S S X X X X X

Prestación y soporte

DS1Definir y administrar niveles de servicio

P P S S S S S X X X X X

DS2Administrar servicios de terceros

P P S S S S S X X X X X

DS3Administrar desempeño y capacidad

P P S X X

DS4Garantizar la continuidad del servicio

P S P X X X X X

DS5Garantizar la seguridad de los sistemas

S S P P S X X X X X

DS6Identificar y asignar costos

P P X X X X X

DS7Educar y entrenar a los usuarios

P S X

DS8 Administrar la mesa de P P X X

servicio y los incidentes

DS9Administrar la configuración

P S S S X X X X

DS10Administrar los problemas

P P S X X X X X

DS11 Administrar los datos P P X

DS12Administrar el ambiente físico

P P X

DS13Administrar las operaciones

P P S S S S S X X X X X

Las variables definidas dentro del control para los objetivos de control

COBIT son: dentro de los criterios de información de cobit, (p) cuando el

objetivo tiene impacto directo al requerimiento; (s), cuando el objetivo de

control tiene impacto indirecto es decir no completo sobre el requerimiento, y

finalmente ( ) vacío, cuando el objetivo de control no ejerce ningún impacto

sobre el requerimiento, en cambio cuando se encuentra con (x) significa que

los objetivos de control tienen impacto en los recursos, y cuando se

encuentra en blanco ( ), es que los objetivos de control no tienen ningún

impacto con los recursos.

CAPÍTULO II: EJECUCIÓN DE LA AUDITORÍA

2.1. SITUACIÓN ACTUAL DEL ÁREA DE SISTEMAS

2.1.1. Objetivos del departamento.

Adquisición e instalación de hardware y software para el

funcionamiento de los equipos de la empresa.

Mantener la seguridad en los datos almacenados realizando

respaldos periódicos.

Diseño y mantenimiento la página web de la empresa para

proporcionar y un medio de difusión masivo.

Proveer herramientas que brinden seguridad ante distintas amenazas

informáticas

Mantener el funcionamiento óptimo de las redes internas y sus

componentes.

2.1.2. Organigrama del departamento.

2.1.3. Seguridad del departamento.

a.- Seguridad Física:

Agentes capacitados para la seguridad las veinticuatro (24) horas del

día.

Dispositivos capases de prevenir y responder ante incidentes

(Extintores, detectores de humo, entre otros).

Cumple con las normativas propuestas para la seguridad.

b.- Seguridad de la información:

Restringir el acceso de usuarios a la información almacenada.

Realizar copias de seguridad periódicas para prevenir perdidas de

datos importantes para la empresa.

Mantener activado y actualizados los componentes que tienen como fin

repeler amenazas informáticas (antivirus, firewall).

c.- Seguridad del personal:

Equipamientos de protección para cada una de las personas que

laboran en el departamento.

Señalizaciones que permitan la protección de las personas.

2.1.4. Características de la plataforma tecnológica.

El departamento de informática del RattanHypermarket C. A en el

ámbito tecnológico cuenta en su inventario con 5 computadoras las cuales se

encuentran en funcionamiento y cuya descripción es la siguiente:

Hardware:

Cantidad Utilidad Características

3Sistemas de Información

CPU Inter Celeron 2.5 GHz

Memoria RAM 2 Gb

Disco Duro S-ATA 7200 1 Tb

Monitor ADC 17``

Tarjeta de red PCI-IEEE 802.11b/g

1 Soporte Técnico

CPU Inter Celeron 2.5 GHz

Memoria RAM 2 Gb

Disco Duro S-ATA 7200 1 Tb

Monitor ADC 17``

Tarjeta de red PCI-IEEE 802.11b/g

1 Servidor Proxy

CPU Inter Celeron 2.5 GHz

Memoria RAM 4 Gb

Disco Duro S-ATA 7200 1 Tb

Software:

Cantidad Sistema Operativo

5 Microsoft Windows 7 Ultimate, service pack 2

2.1.5 Determinación de los problemas y planteamiento de hipótesis

2.1.5.1. Posibles problemas.

Falta de manuales que sirvan de soporte en diversos ámbitos como

seguridad y mantenimiento de información.

Inexistencia de guía o manual de usuario que facilite el uso del sistema

de información a los usuarios.

Poca organización a la hora de definir tareas dentro del departamento.

2.1.5.2 Formulación de hipótesis

La falta de manuales de seguridad pueden acarrear diversos problemas

ante posibles incidentes por no tener conocimiento concreto de cómo

reaccionar ocasionando pérdidas tangibles e intangibles, aunado a esto la

inexistencia de guías de soporte técnico pueden causar malas instalaciones

o mantenimiento erróneos de dispositivos destinados a comunicaciones y

almacenamiento de datos los cuales causarían retrasos a las operaciones de

la empresa.

2.2 APLICACIÓN DE LA AUDITORIA.

2.2.1. Modelo de madurez de los procesos.

A continuación se realizara la relación entre los objetivos y el modelo de

madurez para determinar el nivel de la empresa con relación a los distintos

aspectos de la metodología COBIT 4.1.

Dominio: Planificar y OrganizarPO1: Definir el Plan Estratégico de Tecnología de la Información

Nivel de Madurez

Cu

mpl

e

No

cum

ple

Observaciones

Nivel

1

La planeación estrategia de TI se discute en forma ocasional en las reuniones de la gerencia

VGRADO DE MADUREZ:

El proceso de definir el plan estratégico de la tecnología de información está en el nivel de madurez 2.

OBJETIVOS NO CUMPLIDOS:

La planeación estratégica no sigue un enfoque estructurado.

No se realizan planes a largo plazo.

Nivel

2

Las decisiones estratégicas se toman proyecto por proyecto, sin ser consistente con una estrategia global de la organización.

V

Nivel

3

La planeación estratégica de TI sigue un enfoque estructurado el cual se documenta y se da a conocer a todo el equipo. Las estrategias de recursos humanos, técnicos y financieros de TI influencia cada vez más la adquisición de nuevos productos y tecnología.

V

Nivel

4

Existen procesos bien definidos para determinar el uso de recursos internos y externos requeridos en el desarrollo de las operaciones de los sistemas.

V

Nivel

5

Se desarrolla planes realistas a largo plazo de TI, y se actualizan de manera constante para reflejar los cambiantes avances tecnológicos y el progreso relacionado al negocio.

V

RECOMENDACIONES:

Plantear planes a largo plazo. Plantear ideas que ayuden directamente a la toma de decisiones de la empresa.

Dominio: Planificar y OrganizarPO2: Definir la Arquitectura de la Información.

Nivel de Madurez

Cu

mpl

e

No

cum

ple

Observaciones

Nivel

1

La gerencia reconoce la necesidad de una arquitectura de información. El desarrollo de algunos componentes de una arquitectura de información que ocurre de manera ad hoc.

V

GRADO DE MADUREZ:

El proceso de definir la arquitectura de la información está en el nivel de madurez 2.

OBJETIVOS NO CUMPLIDOS:

Poca experiencia del personal en el uso de las herramientas de la arquitectura de la información.

No se realizan propuestas para resolver necesidades futuras.

Nivel

2

Las personas obtienen sus habilidades al construir la arquitectura de información por medio de experiencia práctica y la aplicación repetida de técnicas.

V

Nivel

3

Existe una función de administración de datos definida formalmente, que establece estándares para toda la organización, y empieza a reportar sobre la aplicación y uso de la arquitectura de la información.

V

Nivel

4

El proceso de definición de la arquitectura de información es proactivo y se enfoca en resolver necesidades futuras del negocio.

V

Nivel 5

El personal de TI cuenta con la experiencia y las habilidades necesarias para desarrollar y dar mantenimiento a una arquitectura de información robusta y sensible que refleje todos los requerimientos del negocio.

V

RECOMENDACIONES:

Desarrollar una sólida arquitectura de la información. Brindar experiencia sobre el manejo de una estructura de datos.

Dominio: Planificar y OrganizarPO3: Determinar la Dirección Tecnología

Nivel de Madurez

Cu

mpl

e

No

cum

ple

Observaciones

Nivel

1

La gerencia reconoce la necesidad de planear la infraestructura tecnológica. El desarrollo de componentes tecnológicos y la implantación de tecnologías emergentes son ad hoc y aisladas.

V

GRADO DE MADUREZ:

El proceso de Determinar la Dirección Tecnología está en el nivel de madurez 2.

OBJETIVOS NO CUMPLIDOS:

No se establece un rumbo tecnológico el cual pueda ser más eficiente la labor.

No se cuenta con la experiencia para crear planes que ayuden a los adelantos tecnológicos.

Nivel

2

La evolución de los cambios tecnológicos se delega a individuos que siguen procesos intuitivos, aunque similares.

V

Nivel

3

Existe un plan de infraestructura tecnológica definido, documentado y bien difundido, aunque se aplica de forma inconsistente.

V

Nivel

4

El área de informática cuenta con la experiencia y las habilidades necesarias para desarrollar un plan de infraestructura tecnológica.

V

Nivel

5

La dirección del plan de infraestructura tecnológica está impulsada por los estándares y avances industriales e internacionales, en lugar de estar orientada por los proveedores de tecnología.

V

RECOMENDACIONES:

Analizar las tecnologías actuales en el mercado además de las emergentes para crear estrategias.

Crear planes estratégicos completos.

Dominio: Planificar y OrganizarPO4: Definir los Procesos, la Organización y las Relaciones de TI.

Nivel de Madurez

Cu

mpl

e

No

cum

ple

Observaciones

Nivel

1

La función de TI se considera como una función de soporte, sin una perspectiva organizacional general.

VGRADO DE MADUREZ:

El proceso de definir los Procesos, la Organización y las Relaciones de TI está en el nivel de madurez 1.

OBJETIVOS NO CUMPLIDOS:

Contar con una estructura organizada donde TI incluye todos los roles.

Se cumple parcialmente con sus objetivos.

Nivel

2

La necesidad de contar con una organización estructurada, pero las decisiones todavía depende del conocimiento y habilidades de individuos clave.

V

Nivel

3

Se formulan las relaciones con terceros, incluyendo los comités de dirección, auditoría interna y administración de proveedores.

V

Nivel

4

La organización de TI responde de forma proactiva al cambio e incluye todos los roles necesarios para satisfacer los requerimientos del negocio.

V

Nivel

5

La estructura organizacional de TI es flexible y adaptable.

V

RECOMENDACIONES:

Que el departamento se adapte a la estructura organizacional de TI. Permitir la integración de todos los roles con el fin de crear una organización más

sólida.

Dominio: Planificar y OrganizarPO5: Administrar la Inversión de TI.

Nivel de Madurez

Cu

mpl

e

No

cum

ple

Observaciones

Nivel

1

La organización reconoce la necesidad de administrar la inversión de TI, aunque esta necesidad se comunica de manera inconsistente.

V

GRADO DE MADUREZ:

El proceso de Administrar la Inversión de TI está en el nivel de madurez 2.

OBJETIVOS NO CUMPLIDOS:

No sé presupuesta la inversión para manejar márgenes.

Falta de análisis de costos para conocer la inversión posible.

Nivel

2

Existe un entendimiento implícito de la necesidad de seleccionar y presupuestar las inversiones de TI.

V

Nivel

3

El presupuesto de TI está alineado con los planes estratégicos de TI y con los planes de negocio. Los procesos de selección de inversiones en TI y de presupuestos están formalizados, documentados y comunicados.

V

Nivel

4

La responsabilidad y la rendición de cuentas por la selección y presupuestos de inversiones se asignan a un individuo específico. Las diferencias en el presupuesto se identifican y se resuelven.

V

Nivel

5

Se utilizan las mejores prácticas de la industria para evaluar los costos por comparación e identificar la efectividad de las inversiones. Se utiliza el análisis de los avances tecnológicos en el proceso de selección y presupuesto de inversiones.

V

RECOMENDACIONES:

Realizar estudios que permitan conocer las diferencias de costos a la hora de invertir podría estimarse presupuesto para tal fin.

Dominio: Adquirir e ImplementarAI1: Identificar Soluciones Automatizadas

Nivel de Madurez

Cu

mpl

e

No

cum

ple

Observaciones

Nivel

1

Existe una investigación o análisis estructurado mínimo de la tecnología disponible.

VGRADO DE MADUREZ:

El proceso de Identificar Soluciones Automatizadas está en el nivel de madurez 3.

OBJETIVOS NO CUMPLIDOS:

Fallas en la documentación de los proyectos.

Inexistencia de referencias solidas que respalden la toma de decisiones.

Nivel

2

El éxito de cada proyecto depende de la experiencia de unos cuantos individuos clave. La calidad de la documentación y de la toma de decisiones varía de forma considerable.

V

Nivel

3

El proceso para determinar las soluciones de TI se aplica para algunos proyectos con base en factores tales como las decisiones tomadas por el personal involucrado, la cantidad de tiempo administrativo dedicado, y el tamaño y prioridad del requerimiento de negocio original.

V

Nivel

4

La documentación de los proyectos es de buena calidad y cada etapa se aprueba adecuadamente.

V

Nivel

5

La metodología está soportada en bases de datos de conocimiento internas y externas que contienen material de referencia sobre soluciones tecnológicas.

V

RECOMENDACIONES:

Realizar análisis y estudios y sumarlas a la experiencia en el ámbito para facilitar el proceso de toma de decisiones.

Dominio: Adquirir e ImplementarAI2: Adquirir y Mantener Software Aplicativo

Nivel de Madurez

Cu

mpl

e

No

cum

ple

Observaciones

Nivel

1

Es probable que se hayan adquirido en forma independiente una variedad de soluciones individuales para requerimientos particulares del negocio, teniendo como resultado ineficiencias en el mantenimiento y soporte.

V

GRADO DE MADUREZ:

El proceso de Adquirir y Mantener Software Aplicativo está en el nivel de madurez 2.

OBJETIVOS NO CUMPLIDOS:

No se cumplen un proceso de estudio previo a la adquisición de software.

El software no son flexibles ni adaptables a cambios.

Nivel

2

Existen procesos de adquisición y mantenimiento de aplicaciones, con diferencias pero similares, en base a la experiencia dentro de la operación de TI.

V

Nivel

3

Existe un proceso claro, definido y de comprensión general para la adquisición y mantenimiento de software aplicativo. Este proceso va de acuerdo con la estrategia de TI y del negocio.

V

Nivel

4

Existe una metodología formal y bien comprendida que incluye un proceso de diseño y especificación, un criterio de adquisición, un proceso de prueba y requerimientos para la documentación.

V

Nivel

5

El enfoque se extiende para toda la empresa. La metodología de adquisición y mantenimiento presenta un buen avance y permite un posicionamiento estratégico y rápido, que permite un alto grado de reacción y flexibilidad para responder a los requerimientos cambiantes del negocio.

V

RECOMENDACIONES: Platean estudios más profundos a la hora de la adquisición de software. Garantizar la integridad accesibilidad y respaldo de la información.

Dominio: Adquirir e ImplementarAI3: Adquirir y Mantener Infraestructura Tecnológica

Nivel de Madurez

Cu

mpl

e

No

cum

ple

Observaciones

Nivel

1

Se realizan cambios a la infraestructura para cada nueva aplicación, sin ningún plan en conjunto. La actividad de mantenimiento reacciona a necesidades de corto plazo.

V

GRADO DE MADUREZ:

El proceso de Adquirir y Mantener Infraestructura Tecnológica está en el nivel de madurez 4.

OBJETIVOS NO CUMPLIDOS:

Definir una estrategia de adquisición y mantenimiento de la infraestructura..

Nivel

2

La adquisición y mantenimiento de la infraestructura de TI no se basa en una estrategia definida y no considera las necesidades de las aplicaciones del negocio que se deben respaldar.

V

Nivel

3

El proceso respalda las necesidades de las aplicaciones críticas del negocio y concuerda con la estrategia de negocio de TI, pero no se aplica en forma consistente.

V

Nivel

4

La infraestructura de TI soporta adecuadamente las aplicaciones del negocio. El proceso está bien organizado y es preventivo.

V

Nivel

5

El proceso de adquisición y mantenimiento de la infraestructura de tecnología es preventivo y está estrechamente en línea con las aplicaciones críticas del negocio y con la arquitectura de la tecnología.

V

RECOMENDACIONES:

Garantizar la disponibilidad de la infraestructura y mantener planes alternativos.

Dominio: Adquirir e ImplementarAI4: Facilitar la Operación y el Uso

Nivel de Madurez

Cu

mpl

e

No

cum

ple

Observaciones

Nivel

1

Mucha de la documentación y muchos de los procedimientos ya caducaron. Los materiales de entrenamiento tienden a ser esquemas únicos con calidad variable.

V

GRADO DE MADUREZ:

El proceso de Facilitar la Operación y el Uso está en el nivel de madurez 1.

OBJETIVOS NO CUMPLIDOS:

Los materiales de apoyo no brindan son anticuados y en muchos casos inexistentes.

No existe un estándar de cómo realizar los procesos.

Nivel

2

Individuos o equipos de proyecto generan los materiales de entrenamiento, y la calidad depende de los individuales que se involucran.

V

Nivel

3

Se guardan y se mantienen los procedimientos en una biblioteca formal y cualquiera que necesite saber tiene acceso a ella.

V

Nivel

4

Existen controles para garantizar que se adhieren los estándares y que se desarrollan y mantienen procedimientos para todos los procesos.

V

Nivel

5

Los materiales de procedimientos y de entrenamiento se tratan como una base de conocimiento en evolución constante que se mantiene en forma electrónica, como el uso de administración de conocimientos actualizada, workflow y tecnologías de distribución, que los hacen accesibles y fáciles de mantener.

V

RECOMENDACIONES: Creación de instructivos que permitan la transferencia de conocimiento. Documentar los aspectos técnicos y los niveles de servicios requeridos.

Dominio: Adquirir e ImplementarAI5: Adquirir Recursos de TI

Nivel de Madurez

Cu

mpl

e

No

cum

ple

Observaciones

Nivel

1

Los contratos para la adquisición de recursos de TI son elaborados y administrados por gerentes de proyectos y otras personas que ejercen un juicio profesional más que seguir resultados de procedimientos y políticas formales.

V

GRADO DE MADUREZ:

El proceso de Adquirir Recursos de TI está en el nivel de madurez 2.

OBJETIVOS NO CUMPLIDOS:

No existen estándares para la adquisición de recursos.

Falta de relaciones estratégicas con posibles proveedores.

Nivel

2

Se determinan responsabilidades y rendición de cuentas para la administración de adquisición y contrato de TI según la experiencia particular del gerente de contrato.

V

Nivel

3

La adquisición de TI se integra en gran parte con los sistemas generales de adquisición del negocio.

V

Nivel

4

La adquisición de TIse integra en gran parte con los sistemas generales de adquisición del negocio. Existen estándares de Ti para la adquisición de recursos de TI.

V

Nivel

5

Se establecen buenas relaciones con el tiempo con la mayoría de los proveedores y socios, y se mide y vigila la calidad de estas relaciones. Se manejan las relaciones en forma estratégicas.

V

RECOMENDACIONES:

Implementar estrategias que permitan conocer los recursos más necesarios para estandarizar la obtención de recursos.

Dominio: Entregar y Dar SoporteDS1: Definir y Administrar los Niveles de Servicio

Nivel de Madurez

Cu

mpl

e

No

cum

ple

Observaciones

Nivel 1

La responsabilidad y la rendición de cuentas sobre para la definición y la administración de servicios no está definida.

V

GRADO DE MADUREZ:

El proceso de definir y Administrar los Niveles de Servicio está en el nivel de madurez 1.

OBJETIVOS NO CUMPLIDOS:

El proceso de desarrollo de los niveles de servicios no están definidos.

No se realizan planes a largo plazo.

Nivel 2

Los reportes de os niveles de servicio están incompletos y pueden ser irrelevantes o engañosos para los clientes. Los reportes de los niveles de servicio dependen, en forma individual, de las habilidades y la iniciativa de los administradores.

V

Nivel 3

El proceso de desarrollo del acuerdo de los niveles de servicio está en orden y cuenta con puntos de control para revalorar los niveles de servicio y la satisfacción del cliente.

V

Nivel 4

La satisfacción del cliente es medida y valorada de formas rutinaria. Las medidas de desempeño reflejan las necesidades del cliente, en lugar de las metas de TI.

V

Nivel 5

Todos los procesos de administración de niveles de servicio están sujetos a mejora continua. Los niveles de satisfacción del cliente son administrados y monitoreados de manera continua.

V

RECOMENDACIONES:

Definir claramente los niveles de servicios y repartir las labores según el nivel de conocimiento de quienes los desarrollan.

Dominio: Entregar y Dar SoporteDS3: Administrar el Desempeño y la Capacidad

Nivel de Madurez

Cu

mpl

e

No

cum

ple

Observaciones

Nivel

1

Los responsables de los procesos del negocio valoran poco la necesidades llevar a cabo una planeación de la capacidad y del desempeño. Las acciones para administrar el desempeño la capacidad son típicamente reactivas.

v

GRADO DE MADUREZ:El proceso de Administrar el Desempeño y la Capacidad está en el nivel de madurez 1.

OBJETIVOS NO CUMPLIDOS: Establecer métodos de

desempeño y evaluación.

La infraestructura TI no está sujeta a regulaciones que permitan un desempeño óptimo.

Nivel

2

Las necesidades de desempeño se logran por lo general con base en evaluaciones de sistemas individuales y el conocimiento y soporte de equipos de proyectos.

v

Nivel

3

Los pronósticos de la capacidad y desempeño se modelan por medio de un proceso definido. Los reportes se generan con estadísticas de desempeño.

v

Nivel

4

Hay información actualizada disponible. Brindando estadísticas de desempeño estandarizadas y alertando sobre incidentes causados por falta de desempeño o de capacidad.

v

Nivel

5

La infraestructura de Ti y la demanda del negocio están sujetas a revisiones regulares para asegurar que se logre una capacidad óptima con el menor costo posible.

v

RECOMENDACIONES: Evaluar y monitorear la capacidad y el desempeño de quienes laboran.

Dominio: Entregar y Dar SoporteDS4: Garantizar la Continuidad del Servicio

Nivel de Madurez

Cu

mpl

e

No

cum

ple

Observaciones

Nivel

1

Las responsabilidades sobre la continuidad de los servicios son informales y la autoridad para ejecutar responsabilidades es limitada.

V

GRADO DE MADUREZ:

El proceso de Garantizar la Continuidad del Servicio está en el nivel de madurez 2.

OBJETIVOS NO CUMPLIDOS:

Mantener planes de servicios continuos.

Nivel

2

Los reportes sobre la disponibilidad son esporádicos, pueden estar incompletos y no toman en cuenta el impacto en el negocio.

V

Nivel

3

Las responsabilidades de la planeación y de las pruebas de la continuidad de servicios están claramente asignadas y definidas.

V

Nivel

4

Se asigna la responsabilidad de mantener un plan de continuidad de servicios.

V

Nivel

5

Los procesos integrados de servicio continuo toman en cuenta referencias de la industria y las mejores prácticas externas.

V

RECOMENDACIONES:

Desarrollar planes de continuidad para así prever posibles fallas repetidas.

Dominio: Entregar y Dar SoporteDS5: Garantizar la Seguridad de los Sistemas

Nivel de Madurez

Cu

mpl

e

No

cum

ple

Observaciones

Nivel

1

La seguridad deTI se lleva a cabo de forma reactiva. No se mide la seguridad de Ti. Las brechas de seguridad de TI ocasionan respuestas con acusaciones personales, debido a que las responsabilidades no son claras. Las respuestas a la brechas de seguridad TI son impredecibles.

V

GRADO DE MADUREZ:

El proceso de Garantizar la Seguridad de los Sistemas está en el nivel de madurez 3.

OBJETIVOS NO CUMPLIDOS:

Elaborar planes de seguridad. Ofrecer

instrucciones a los usuarios sobre el uso correcto de los sistemas.

Nivel

2

La conciencia sobre la necesidad de la seguridad fraccionada y limitada. Aunque los sistemas producen información relevante respecto a la seguridad, esto no se analiza.

V

Nivel

3

Las responsabilidades de la seguridad TI están asignadas y entendidas, pero no continuamente implementadas. Existe un plan de seguridad de TI y existen soluciones de seguridad motivadas por un análisis de riesgo.

V

Nivel

4

El contacto con métodos para promover la conciencia de la seguridad es obligatorio. La identificación, la autenticación y la autorización de los usuarios están estandarizadas.

V

Nivel

5

Los usuarios y los clientes se responsabilizan cada vez más de definir requerimientos de seguridad, y las funciones de seguridad están integradas con las aplicaciones en la fase de diseño.

V

RECOMENDACIONES:

Realizar y mantener planes de seguridad. Revisar periódicamente los sistemas de seguridad físicos y lógicos.

Dominio: Monitorear y EvaluarME1: Monitorear y Evaluar el Desempeño TI

Nivel de Madurez

Cu

mpl

e

No

cum

ple

Observaciones

Nivel

1

Nos e han identificado procesos estándar de recolección y evaluación. El monitoreo se implanta y las métricas se seleccionan de acuerdo a cada caso, de acuerdo a las necesidades de proyectos y procesos de TI específicos.

V

GRADO DE MADUREZ:

El proceso de Monitorear y Evaluar el Desempeño TI está en el nivel de madurez 1.

OBJETIVOS NO CUMPLIDOS:

Identificar los estándares de evaluación.

Nivel

2

La interpretación de los resultados del monitoreo se basa en la experiencia de individuos clave.

V

Nivel

3

Las mediciones de la contribución de la función de servicios de información al desempeño de la organización se han definido, usando criterios financieros y operativos tradicionales.

V

Nivel

4

No hay integración de métricas a lo largo de todos los proyectos y procesos de TI. Los sistemas de reporte de la administración de TI están formalizados.

V

Nivel

5

Las métricas impulsadas por el negocio se usan de forma rutinaria para medir el desempeño, y están integradas en los marcos de trabajo estratégicos, tales como el BalancedScorecard.

V

RECOMENDACIONES:

Definir los estándares de evaluación y una vez echo eso evaluar el desempeño del mismo periódicamente

Dominio: Monitorear y EvaluarME2: Monitorear y Evaluar el Control Interno

Nivel de Madurez

Cu

mpl

e

No

Observaciones

Nivel

1

La gerencia de TI no ha asignado de manera formal las responsabilidades para monitorear la efectividad de los controles internos.

VGRADO DE MADUREZ:

El proceso de Monitorear y Evaluar el Control Interno está en el nivel de madurez 2.

OBJETIVOS NO CUMPLIDOS:

Establecer monitoreo periódicos.

Realizar programas de entrenamiento para el monitoreo del control interno.

Utilizar las herramientas necesarias para el control interno

Nivel

2

La gerencia de servicios de información realiza monitoreo periódicos sobre la efectividad de lo que considera controles internos críticos. Se están empezando a usar metodologías y herramientas para monitorear los controles internos.

V

Nivel

3

Se ha definido un programa de educación y entrenamiento para el monitoreo de control interno. Se ha definido también un proceso para auto evaluaciones y revisiones de seguro del control interno, con los roles definidos para los responsables de la administración del negocio y de TI.

V

Nivel

4

Se han implantado herramientas para estandarizar evaluaciones y para detectar de forma automática las excepciones de control. Se ha establecido una función formal para el control interno de TI, con profesionales especializados y certificados que utilizan un marco de trabajo de control formal avalado por la alta dirección.

V

Nivel

5

La organización utiliza herramientas integradas y actualizadas, que permiten una evaluación efectiva de los controles críticos de TI y una detección rápida de incidentes de control de TI.

V

RECOMENDACIONES:

Brindar ayuda acerca del control interno además de proporcionar herramientas que

hagan más fácil el mismo

Dominio: Monitorear y EvaluarME3: Garantizar el Cumplimiento Regulatorio

Nivel de Madurez

Cu

mpl

e

No

Observaciones

Nivel

1

Se siguen procesos informales para mantener el cumplimiento, pero solo si la necesidad surge en nuevos proyectos o como respuesta auditorías y revisiones.

V

GRADO DE MADUREZ:

El proceso de Garantizar el Cumplimiento Regulatorio está en el nivel de madurez 1.

OBJETIVOS NO CUMPLIDOS:

Capacitar al personal sobre las regulaciones.

Solucionar las necesidades aplicando las regulaciones.

Nivel

2

No existe, sin embargo, un enfoque estándar. Hay mucha confianza en el conocimiento y responsabilidad de los individuos, y los errores son posibles.

V

Nivel

3

Se brinda entrenamiento sobre requisitos legales y regulatorios externos que afectan a la organización y se instruye respecto a los procesos de cumplimiento definidos.

V

Nivel

4

Las responsabilidades son claras y el empoderamiento de los procesos es entendido. El proceso incluye una revisión del entorno para identificar requerimientos externos y cambios recurrentes.

V

Nivel

5

Hay un amplio conocimiento de los requerimientos externos aplicables, incluyendo sus tendencias futuras y cambios anticipados así como la necesidad de nuevas soluciones.

V

RECOMENDACIONES:

Proporcionar la información acerca de los requerimientos y regulaciones pertinente para brindar parámetros al desarrollo laboral

Do

min

io

Proceso

Niv

el d

e

Mad

ure

z

Pla

nif

icar

y

Org

an

izar

PO1 Definir el plan estratégico de tecnología de información. 2

PO2 Definir la arquitectura de la información. 2

PO3 Determinar la dirección tecnológica. 2

PO4 Definir los procesos, la organización y las relaciones de TI. 1

PO5 Administrar la inversión de TI. 2

Ad

qu

irir

e

Imp

lem

enta

r

AI1 Identificar las soluciones automatizadas. 3

AI2 Adquirir y mantener software aplicativo. 2

AI3 Adquirir y mantener infraestructura tecnológica. 4

AI4 Facilitar la operación y el uso. 1

AI5 Adquirir recursos de TI. 2

En

treg

ar y

Dar

S

op

ort

e

DS1 Definir y administrar los niveles de servicios. 1

DS3 Administrar el desempeño y la capacidad. 1

DS4 Garantizar la continuidad del servicio. 2

DS5 Garantizar la seguridad de los sistemas. 3

Mo

nit

ore

ar

y

Eva

luar

ME1 Monitorear y evaluar el desempeño de TI. 1

ME2 Monitorear y evaluar el control interno. 2

ME3 Garantizar el cumplimiento regulatorio. 1

Resumen de Análisis por Dominios:

Planificar y Organizar: Esta en un nivel intermedio sin alcanzar una

estabilidad que lo ayude a alcanzar el máximo potencial todo esto

sumado la deficiencia de algunas herramientas necesarias para

realizar ciertas tareas y desconocimiento de la importancia de

mantener una buena organización.

Adquirir e Implementar: Se observa un nivel muy bajo de madures a la

hora de adquirir cierto tipo de recursos que son necesarios

implementar para el desarrollo total de la empresa.

Entregar y Dar Soporte: los niveles de madurez son no son los

esperados, aunque parcialmente se observa cierto seguimiento a las

problemáticas así como un nivel intermedio el cuanto a la seguridad

de los sistemas

Monitorear y Evaluar: Este dominio muestra niveles extremadamente

bajos en el desarrollo y evaluación del control interno.

2.2.3 RESUMEN DE PROCESOS Y CRITERIOS DE INFORMACIÓN POR IMPACTO

DO

MIN

IO

PROCESOS

CRITERIOS DE INFORMACIÓN RECURSOS TI

NIV

EL

DE

MA

DU

RE

Z

EF

EC

TIV

IDA

D

EF

ICIE

NC

IA

CO

NF

IDE

NC

IAL

IDA

D

INT

EG

RID

AD

DIS

PO

NIB

ILID

AD

CU

MP

LIM

IEN

TO

CO

NF

IAB

ILIO

DA

D

PE

RS

ON

A

AP

LIC

AC

IÓN

TE

CN

OL

OG

ÍA

INS

TA

LA

CIO

NE

S

DA

TO

S

PL

AN

IFIC

AR

Y O

RG

AN

IZA

R

PO1Definir el plan estratégico de tecnología de información.

0.83 0.5 x x x x x

Total real (Impacto * Nivel real) 2.49 1.5 2Total Ideal (Impacto * Nivel ideal) 5 3 5

PO2 Definir la arquitectura de la información. 0.5 0.83 0.83 0.5 x x 2

Total real (Impacto * Nivel real) 1.5 2.49 2.49 1.5Total Ideal (Impacto * Nivel ideal) 3 5 5 3

PO3 Determinar la dirección tecnológica. 0.83 0.83 x x

Total real (Impacto * Nivel real) 2.49 2.49 2Total Ideal (Impacto * Nivel ideal) 5 5 5

PO4Definir los procesos, la organización y las relaciones de TI.

0.83 0.83 x

Total real (Impacto * Nivel real) 2.49 2.49 1Total Ideal (Impacto * Nivel ideal) 5 5 5

PO5 Administrar la inversión de TI. 0.83 0.83 0.5 x x x

Total real (Impacto * Nivel real) 2.49 2.49 1 2Total Ideal (Impacto * Nivel ideal) 5 5 3 5

AD

QU

IRIR

E IM

PL

EM

EN

TA

R

AI1 Identificar las soluciones automatizadas. 0.83 0.5 x x x

Total real (Impacto * Nivel real) 3.32 2 3Total Ideal (Impacto * Nivel ideal) 5 3 5

AI2 Adquirir y mantener software aplicativo. 0.83 0.83 0.5 x x

Total real (Impacto * Nivel real) 2.49 2.49 1.5 2Total Ideal (Impacto * Nivel ideal) 5 5 3 5

AI3Adquirir y mantener infraestructura tecnológica.

0.5 0.83 0.5 0.5 x

Total real (Impacto * Nivel real) 2.5 4.15 2.5 2.5 4Total Ideal (Impacto * Nivel ideal) 3 5 3 3 5

AI4 Facilitar la operación y el uso. 0.83 0.83 0.5 0.5 0.5 0.5 x x x

Total real (Impacto * Nivel real) 1.66 1.66 1 1 1 1 1Total Ideal (Impacto * Nivel ideal) 5 5 3 3 3 3 5

AI5 Adquirir recursos de TI. 0.5 0.83 0.5 x x x x x

Total real (Impacto * Nivel real) 1.5 2.49 1.5 2Total Ideal (Impacto * Nivel ideal) 3 5 3 5

EN

TR

EG

AR

Y DS1

Definir y administrar los niveles de servicios.

0.83 0.83 0.5 0.5 0.5 0.5 0.5 x x x x x

Total real (Impacto * Nivel real) 1.66 1.66 1 1 1 1 1 1Total Ideal (Impacto * Nivel ideal) 5 5 3 3 3 3 3 5

DS3 Administrar el desempeño y la capacidad. 0.83 0.83 0.5 x x

Total real (Impacto * Nivel real) 1.66 1.66 1 1Total Ideal (Impacto * Nivel ideal) 5 5 3 5

DAR SO

DS4 Garantizar la continuidad del servicio. 0.83 0.5 0.83 x x x x x

Total real (Impacto * Nivel real) 2.49 1.5 2.49 2Total Ideal (Impacto * Nivel ideal) 5 3 5 5

DS5 Garantizar la seguridad de los sistemas. 0.83 0.83 0.5 0.5 0.5 x x x x x

Total real (Impacto * Nivel real) 3.32 3.32 2 2 2 3

Total Ideal (Impacto * Nivel ideal) 5 5 3 3 3 5

MO

NIT

OR

EA

R Y

EV

AL

UA

R

ME1 Monitorear y evaluar el desempeño de TI. 0.83 0.83 0.5 0.5 0.5 0.5 0.5 x x x x x

Total real (Impacto * Nivel real) 1.66 1.66 1 1 1 1 1 1Total Ideal (Impacto * Nivel ideal) 5 5 3 3 3 3 3 5

ME2 Monitorear y evaluar el control interno. 0.83 0.83 0.5 0.5 0.5 0.5 0.5 x x x x x

Total real (Impacto * Nivel real) 2.49 2.49 1.5 1.5 1.5 1.5 1.5 2Total Ideal (Impacto * Nivel ideal) 5 5 3 3 3 3 3 5

ME3 Garantizar el cumplimiento regulatorio. 0.83 0.5 x x x x x

Total real (Impacto * Nivel real) 1.66 1 1Total Ideal (Impacto * Nivel ideal) 5 3 5

2.2.4 RESULTADOS FINALES DEL IMPACTO SOBRE LOS CRITERIOS DE INFORMACIÓN

Total real (Impacto * Nivel real) 32.89 33.22 8.48 11.32 13.49 10.49 9.5Total Ideal (Impacto * Nivel ideal) 69 69 19 23 29 23 21Porcentaje Alcanzado 47.66 48.14 44.63 49.21 46.51 45.60 45.23

Efectividad: Para este criterio de información se obtuvo un porcentaje

47.66% sobre 100%, es decir, que la información que es de

importancia para Rattan Hypermarket, C.A; que tiene incidencia en los

procesos del negocio y debe ser entregada de forma oportuna,

consistente, y veraz tiene un porcentaje del 47.66%.

Eficiencia: Para este criterio de información se obtuvo un porcentaje del

48.14% sobre el 100%, es decir que la información que debe generar

el uso del óptimo de los recursos de Rattan Hypermarket, C.A, tiene

un porcentaje del 48.14%.

Confidencialidad: Para este criterio de información se obtuvo un

porcentaje del 44.63% sobre el 100%, es decir, que la protección de

Rattan Hypermarket, C.A, para que esta no sea divulgada a personas

o sectores extraños a este tiene un porcentaje del 44.63%.

Integridad: Para este criterio de información se obtuvo un porcentaje del

49.21% sobre el 100%, es decir, la distribución de la información

exacta y correcta, así con su validez con las expectativas de la

empresa tiene un porcentaje del 49.21%.

Disponibilidad: Para este criterio de la información obtuvo un porcentaje

del 46.51% sobre el 100%, es decir, la accesibilidad de la información

cuando esta sea requerida por los procesos de negocio y a la

salvaguarda de los recursos y capacidades asociadas a la misma en

Rattan Hypermarket, C.A, tiene un porcentaje del 46.51%.

Cumplimiento: Para este criterio de la información se obtuvo un

porcentaje del 45.60% sobre 100%, es decir que el cumplimiento de

las leyes, regulaciones, y compromisos contractuales con los cuales

está comprometidos Rattan Hypermarket, C.A, tiene un porcentaje del

45.60%.

Confiabilidad: Para este criterio de la información se obtuvo un

porcentaje del 45.23% sobre el 100%, es decir, proveer la información

apropiada para que la administración tome decisiones adecuadas para

manejar Rattan Hypermarket, C.A, y cumplir con sus

responsabilidades, tiene un porcentaje del 45.23%.

2.2.5 GRÁFICA REPRESENTATIVA DEL IMPACTO DE LOS CRITERIOS

DE INFORMACIÓN

Efectividad

Eficiencia

Confidencialidad

Integridad

Disponibilidad

Cumplimiento

Confiabilidad

424344454647484950

IMPACTO SOBRE LOS CRITERIOS DE LA INFORMACIÓN

3.2 INFORME EJECUTIVO

COBIT recomienda 34 procesos para ser evaluados en las

auditorías, pero en este informe ejecutivo se detallaran los resultados

17 procesos más importantes seleccionadas para abarcar ámbitos

específicos. Los criterios de información se encuentran en el siguiente

porcentaje todo sobre el 100%.

Criterio de la Información: Efectividad

EfectividadDefícit

52,34% 47,66%

La efectividad consiste en que la información relevante sea

entregada de forma oportuna, correcta, consistente y utilizable, este

criterio tiene un promedio del 47,66%.

Criterio de Información: Eficiencia

EficienciaDefícit

48,14%51.86%

La eficiencia consiste en que la información debe ser generada

optimizando los recursos, este criterio tiene un promedio del 48,14%.

Criterio de Información: Integridad

ConfidencialidadDefícit

55,37% 44,63%

La confidencialidad consiste en que la información vital sea

protegida contra la revelación no autorizada, este criterio tiene un

promedio del 44,63%.

Criterio de Información: Integridad

IntegridadDefícit

50,79%

La integridad consiste en que la información debe ser precisa,

completa y valida, este criterio tiene un promedio del 49,21%.

Criterio de Información: Disponibilidad

DisponibilidadDefícit

53,49% 46,51%

La disponibilidad consiste en que la información esté disponible

cundo esta sea requerida por parte de las áreas del negocio en

cualquier momento, este criterio tiene un promedio del 32,96%.

49,21%

Criterio de Información: Cumplimiento

CumplimientoDefícit

54,4% 45,6%

El cumplimiento consiste en que se debe respetar las leyes,

reglamentos y acuerdos contractuales a los que está sujeta el proceso

del negocio, como políticas internas, ese criterio un promedio del

45,6%.

Criterio de Información: Confiabilidad

Confiabilidad

Defícit

54,77% 45,23%

La confiabilidad consiste en que debe respetar, proporcionar la

información apropiada, con el fin de que la gerencia general

administre la entidad, este criterio tiene un promedio del 45,23%.