UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS...

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES

“UNIANDES”

FACULTAD DE SISTEMAS MERCANTILES

CARRERA DE SISTEMAS

PROYECTO DE INVESTIGACIÓN PREVIO A LA OBTENCIÓN DEL TÍTULO

DE INGENIERA EN SISTEMAS E INFORMÁTICA

TEMA:

AUDITORIA DE LOS RECURSOS INFORMÁTICOS PARA MEJORAR LOS

MECANISMOS DE CONTROL DEL ÁREA DE SISTEMAS DE LA

COOPERATIVA “REY DAVID”

AUTORA: MONAR BALSECA MARÍA LUISA

TUTORA: ING. PICO PICO MARÍA ANGÉLICA MG.

AMBATO – ECUADOR

2019

APROBACIÓN DE LA TUTORA DEL TRABAJO DE TITULACIÓN

CERTIFICACIÓN:

Quién suscribe, legalmente CERTIFICA QUE: El presente Trabajo de Titulación

realizado por la señorita Monar Balseca María Luisa, Estudiante de la Carrera de

Sistemas, Facultad de Sistemas Mercantiles, con el tema “AUDITORIA DE LOS

RECURSOS INFORMÁTICOS PARA MEJORAR LOS MECANISMOS DE

CONTROL DEL ÁREA DE SISTEMAS DE LA COOPERATIVA “REY

DAVID”, ha sido prolijamente revisado, y cumple con todos los requisitos establecidos

en la normativa pertinente de la Universidad Regional Autónoma de los Andes

“UNIANDES”, por lo que apruebo su presentación.

Ambato, Julio del 2019

Ing. María Angélica Pico Pico Mg.

TUTORA

DECLARACIÓN DE AUTENTICIDAD

Yo, María Luisa Monar Balseca, estudiante de la Carrera de Sistemas, Facultad de

Sistemas Mercantiles, declaro que todos los resultados obtenidos en el presente trabajo

de investigación, previo a la obtención del título de INGENIERA EN SISTEMAS E

INFORMATICA, son absolutamente originales, auténticos y personales; a excepción

de las citas, por lo que son de mi exclusiva responsabilidad.


Monar Balseca María Luisa

C.I. 1804591103

AUTORA

DERECHOS DE AUTORA

Yo, María Luisa Monar Balseca, declaro que conozco y acepto la disposición

constante en el literal d) del Art. 85 del Estatuto de la Universidad Regional Autónoma

de Los Andes, que en su parte pertinente textualmente dice: El Patrimonio de la

UNIANDES, está constituido por: La propiedad intelectual sobre las Investigaciones,

trabajos científicos o técnicos, proyectos profesionales y consultaría que se realicen en

la Universidad o por cuenta de ella;


Monar Balseca María Luisa

C.I. 1804591103

AUTORA

DEDICATORIA

El presente trabajo investigativo lo dedico

principalmente a Dios, por ser el inspirador y

darme fuerza para continuar en este proceso de

obtener uno de los sueños más anhelados.

A mi Mamá Isabel por su amor, trabajo y sacrificio

en todos estos años, Mamá gracias por darme una

carrera para mi futuro, todo esto te lo debo a ti.

¡Te amo mamita!

A mis hijos Isabela y Liam, quienes son mi motor y

mi mayor inspiración.

A Vanessa quien siempre me motivó a seguir

adelante y a quien prometí que terminaría mis

estudios. ¡Promesa cumplida!

A mi Mami Carmen, mis tías, primas y demás

familiares, por quererme, apoyarme y siempre

creer en mí esto también se los debo a ustedes.

María Monar

AGRADECIMIENTO

A Dios por concederme la vida y guiarme y así

poder cumplir mi sueño.

A mi madre Isabel quien siempre me apoyo

incondicionalmente.

A mí querida Tutora Ingeniera María Pico, quien

me supo guiar desinteresadamente,

compartiéndome sus conocimientos, siendo más

que una docente una amiga que me brindo sabios

consejos.

A mis queridos Ingenieros de la Universidad

Regional Autónoma de los Andes, quienes día a día

me impartieron sus conocimientos a lo largo de la

carrera.

A todas las personas que me han apoyado y han

hecho que el trabajo se realice con éxito en

especial a aquellos que me abrieron las puertas y

me compartieron sus conocimientos.

María Monar

ÍNDICE GENERAL

APROBACIÓN DE LA TUTORA DEL TRABAJO DE TITULACIÓN

DECLARACION DE AUTENTICIDAD

DERECHOS DE AUTORA

DEDICATORIA

AGRADECIMIENTO

RESUMEN

ABSTRACT

INTRODUCCION ............................................................................................................ 1

Actualidad e Importancia .................................................................................................. 1

Problema de la Investigación ............................................................................................ 3

Situación Problémica ........................................................................................................ 3

Identificación de la línea de Investigación………………………………………………4

Formulación del problema ................................................................................................ 4

Objetivos de la Investigación ............................................................................................ 4

Objetivo General ............................................................................................................... 4

Objetivo Específicos ......................................................................................................... 4

Capítulo I. Fundamentación Teórica ................................................................................ 5

1.1. Antecedentes de la Investigación ........................................................................... 5

1.2. Actualidad del objetivo de estudio de la investigación .......................................... 6

1.2.1. Auditoria Informática ................................................................................. 6

1.2.1.1. Definición ................................................................................................ 6

1.2.1.2. Tipos ........................................................................................................ 7

1.2.1.3. Clasificación ............................................................................................ 7

1.2.1.3.1. Auditoría externa ................................................................................. 7

1.2.1.3.2. Auditoría interna .................................................................................. 8

1.2.1.4. Objetivos ................................................................................................. 8

1.2.1.5. Exploración ........................................................................................... 10

1.2.1.6. Planeamiento ......................................................................................... 10

1.2.1.7. Supervisión ............................................................................................ 11

1.2.1.8. Ejecución ............................................................................................... 11

1.2.1.9. Informe .................................................................................................. 11

1.2.2. Estándares ................................................................................................. 12

1.2.2.1. ISACA ................................................................................................... 12

1.2.2.2. ITIL ....................................................................................................... 13

1.2.2.3. ISO ........................................................................................................ 14

1.2.2.4. COBIT ................................................................................................... 14

1.2.2.4.1. Beneficios Cobit ................................................................................ 15

1.2.2.4.2. Características .................................................................................... 15

1.2.2.4.3. Principios ........................................................................................... 15

1.2.3. Áreas para auditar en informática ............................................................. 16

1.2.3.1. Tipos ...................................................................................................... 16

1.2.3.2. Herramientas ......................................................................................... 17

1.2.4. Síntomas de necesidad de una Auditoría Informática .............................. 18

1.2.4.1. Síntomas de descoordinación y desorganización .................................. 18

1.2.4.2. Síntomas de mala imagen e insatisfacción de los usuarios ................... 18

1.2.4.3. Síntomas de debilidades económico-financieras .................................. 18

1.2.4.4. Síntomas de Inseguridad ....................................................................... 19

1.2.5. Auditoria Informática de Sistemas ........................................................... 19

1.2.5.1. Sistema Operativo ................................................................................. 19

1.2.5.2. Software Básico .................................................................................... 20

1.2.6. Gestión ...................................................................................................... 20

1.2.6.2. Definición .............................................................................................. 20

1.2.6.3. Mecanismos de Control ......................................................................... 21

1.2.6.4. Revisión de Controles de la Gestión Informática ................................. 21

1.2.7. Cooperativas ............................................................................................. 22

1.2.7.1. Definición .............................................................................................. 22

1.2.7.2. Características ....................................................................................... 22

1.2.7.3. Tipos de Cooperativas ........................................................................... 23

1.2.8. Actualidad del sector donde desarrolla el proyecto .................................. 23

2.1. Paradigma y tipo de investigación ........................................................................... 24

2.1.1. Paradigma de investigación ............................................................................... 24

2.1.2. Tipos de investigación ....................................................................................... 24

2.2. Procedimiento para la búsqueda y procesamiento de los datos ............................... 25

2.2.1. Población y muestra .......................................................................................... 25

2.2.2. Plan de recolección de la información ............................................................. 26

2.2.2.1. Métodos de la investigación ...................................................................... 26

2.2.2.2. Técnicas e instrumentos de la investigación .............................................. 26

2.2.2.3. Plan de procesamiento y análisis de la información .................................. 27

2.3. Resultados de Diagnóstico de la situación Actual ................................................... 28

2.3.1. Análisis e interpretación de los resultados ........................................................ 28

2.3.2 Resumen de las principales insuficiencias detectadas ........................................... 37

3.1. Nombre de la propuesta ....................................................................................... 39

3.2. Objetivos .............................................................................................................. 39

3.2.1. Objetivo General .......................................................................................... 39

3.2.2. Objetivos Específicos ................................................................................... 39

3.3. Desarrollo de la Propuesta ................................................................................... 39

3.3.1. Descripción de la propuesta .......................................................................... 39

3.3.2. Alcance de la Auditoria ................................................................................ 41

3.3.3. Estudio inicial en el cual se realiza la auditoría ........................................... 42

3.3.3.1. Estructura organizacional ..................................................................... 42

3.3.3.2. Número de puestos de trabajo ............................................................... 43

3.3.3.3. Seguridad de los departamentos de la Cooperativa ............................... 43

3.3.4. Establecer los recursos necesarios para la auditoría ................................. 44

3.3.4.1. Resultados de la encuesta ...................................................................... 44

3.3.4.2. Resultados de la entrevista .................................................................... 52

3.3.4.3. Resultados de la Observación ............................................................... 53

3.4. Elaboración del plan de Auditoria ....................................................................... 59

3.4.1. Análisis de procesos realizados en la Cooperativa “Rey David” ................. 59

3.4.2. Diagramas de procesos de la Cooperativa “Rey David” ................................... 60

3.4.3. Elaboración del FODA y de la Cooperativa “Rey David” ............................... 64

3.4.4. Elaboración del plan de trabajo para la auditoría ......................................... 65

3.4.5. Selección de los procesos COBIT a auditar con relación a la Cooperativa

“Rey David” ................................................................................................................ 65

3.4.6. Formulario de Entidad .................................................................................. 66

3.4.7. Modelo de Madurez .............................................................................................. 68

3.4.8. Evaluación de riesgos de la tecnología de la información ................................ 69

3.4.8.1. Selección de los involucrados .................................................................... 69

3.4.8.2. Selección de los procesos COBIT prioritarios y de riesgo para la

Cooperativa Rey David ........................................................................................... 70

3.4.8.3. Resultados de encuestas de selección de procesos COBIT a auditar ........ 71

3.4.9. Resultado final del impacto sobre los criterios de la información COBIT ....... 84

3.4.10 Presentación grafica del impacto de los Criterios de Información .............. 86

3.4.11. Informe Técnico ......................................................................................... 88

Conclusiones

Recomendaciones

Bibliografía

Anexos

ÍNDICE DE TABLAS

Tabla 1 Tipos de Auditoria ............................................................................................... 7

Tabla 2 Población ........................................................................................................... 25

Tabla 3: Pregunta 1 ......................................................................................................... 29

Tabla 4: Pregunta 2 ......................................................................................................... 30

Tabla 5: Pregunta 3 ......................................................................................................... 31

Tabla 6: Pregunta 4 ......................................................................................................... 32

Tabla 7: Pregunta 5 ......................................................................................................... 33

Tabla 8: Pregunta 6 ......................................................................................................... 34

Tabla 9: Pregunta 7 ......................................................................................................... 35

Tabla 10: Análisis e interpretación de la Entrevista ....................................................... 36

Tabla 11: Puestos de Trabajo .......................................................................................... 43

Tabla 12: Pregunta 1 ....................................................................................................... 45

Tabla 13: Pregunta 2 ....................................................................................................... 46

Tabla 14: Pregunta 3 ....................................................................................................... 47

Tabla 15: Pregunta 4 ....................................................................................................... 48

Tabla 16: Pregunta 5 ....................................................................................................... 49

Tabla 17: Pregunta 6 ....................................................................................................... 50

Tabla 18: Pregunta 7 ....................................................................................................... 51

Tabla 19: Resultados de la Entrevista al Gerente de la Cooperativa “Rey David” ........ 52

Tabla 20: Resultados de la observación en la Cooperativa “Rey David” ....................... 53

Tabla 21: Posibilidad procesos ....................................................................................... 59

Tabla 22: Análisis de procesos ....................................................................................... 60

Tabla 23: Análisis interno ............................................................................................... 64

Tabla 24: Análisis externo .............................................................................................. 64

Tabla 25: Nivel de madurez ............................................................................................ 68

Tabla 26: Dominio: Evaluar, Dirigir y Monitorear ......................................................... 71

Tabla 27: Dominio: Alinear, Planear y Organizar .......................................................... 72

Tabla 28: Dominio: Monitorear, Evaluar y Valorar ....................................................... 73

Tabla 29: Dominio: Construir, Adquirir e Implementar ................................................. 73

Tabla 30: Dominio: Entregar, Servir y Dar Soporte ....................................................... 74

Tabla 31: Resumen de los procesos COBIT seleccionados a Auditar ............................ 75

Tabla 32: Porcentaje de los criterios ............................................................................... 78

Tabla 33: Porcentajes de los procesos de impacto .......................................................... 78

Tabla 34: Tabla de reporte nivel de madurez ................................................................. 83

Tabla 35: Resultado final del impacto sobre los criterios de la información COBIT .... 85

Tabla 36: Reporte de nivel de madurez .......................................................................... 89

ÍNDICE DE ILUSTRACIONES

Ilustración 1Plan de procesamiento y análisis de la información ................................... 28

Ilustración 2: Pregunta 1 ................................................................................................. 29







Ilustración 9: Estructura organizacional ......................................................................... 42

Ilustración 10: Pregunta 1 ............................................................................................... 45







Ilustración 17: Depósitos ................................................................................................ 61

Ilustración 18: Retiros ..................................................................................................... 61

Ilustración 19: Créditos ................................................................................................... 62

Ilustración 20: Pagos ....................................................................................................... 62

Ilustración 21: Registro de asistencia ............................................................................. 63

Ilustración 22: Ciclo contable ......................................................................................... 63

Ilustración 23: Formulario de entidad que se usa en la Cooperativa “Rey David" ........ 67

Ilustración 24: Presentación grafica del impacto de los Criterios de Información ......... 88

RESUMEN

El presente trabajo de investigación, aborda de forma directa los diferentes problemas

encontrados con relación al manejo de los recursos informáticos dentro de la

cooperativa de ahorro y crédito “Rey David”, debido a la poca frecuencia en la

realización de auditorías tanto internas como externas, que permitan un adecuado

control de los diferentes procesos donde está involucrada la tecnología en la

cooperativa. No se puede olvidar que uno de los factores de éxito de las empresas, es la

realización de un examen crítico de los recursos informáticos, pues los mismos generan

una gran cantidad de información la cual es considerada uno de los activos más

preciados de toda empresa. Es por ello que mediante la utilización de un enfoque de

investigación mixto, a través de la aplicación de encuestas y entrevistas a los empleados

y el gerente de la cooperativa, se obtienen datos importantes acerca del estado actual de

la problemática, para posterior a ello proponer una solución dirigida a disminuir la

misma, mediante la realización de una auditoria informática externa con la utilización

del estándar COBIT 5.0, mediante la misma se puedo valorar la eficiencia, efectividad,

integridad, cumplimento y confiabilidad de la información y los procesos informáticos,

logrando una mejora notable en el control de los recursos informáticos, para posterior a

ello generar una propuesta de mejora mediante el planteamiento de un plan de

contingencia, que permita minimizar los posibles riesgos relacionados con el manejo de

los recursos informáticos de la cooperativa de ahorro y crédito “Rey David”.

ABSTRACT

This investigative research project directly approaches the different issues found

relating to the management of IT (Information Technology) resources within “Rey

David” Association of savings and credits, due to the absence of internal and external

audits which would allow an adequate control of different processes pertaining to the

field of technology in the association. One cannot forget that one of the key success

factors in business is the development of a critical exam of the systems resources since

these generate a great quantity of information which is considered one the most valuable

assets in every company. Due to this, through a mixed focus investigation, through the

conduction of surveys and interviews to the employees and manager of the association,

important data is obtained about the actual state of the company and hence to propose a

solution to any issues found. By applying an external IT audit using the framework

COBIT 5 the efficiency, effectiveness, integrity, fulfillment, and trustworthiness of the

information and the systems processes can be observed so that afterwards an

improvement proposal can be generated as a contingency plan which will minimize the

risks involved in the management of IT resources.

1

INTRODUCCIÓN

Actualidad e Importancia

El presente proyecto de investigación responde a los objetivos 1, 2 y 5 del Plan Toda

una Vida 2017 – 2021, puesto que los mismos tienen directa relación con la educación

de calidad y la utilización de Tecnologías de la Información y Comunicación con la

finalidad de contribuir con el desarrollo del país. El objetivo 1 del PNBV 2017 – 2021

menciona en una de las partes de su fundamento que para que exista una calidad

educativa se debe “pensar en el aprendizaje en sentido amplio y crítico, no en la simple

transmisión de conocimientos, sino en el desarrollo de capacidades para preguntar y

generar conocimiento, en el impulso a destrezas y talentos, en la realización de las

personas y su felicidad.” ( Secretaría Nacional de Planificación y Desarrollo, 2017).

Así también en una parte del fundamento del objetivo 2 del PNBV 2017-2021

manifiesta “En una sociedad del conocimiento, el lenguaje tiene relación con las

nuevas tecnologías de la información y la comunicación (lenguajes audiovisuales,

informáticos, entre otros); es decir, el conocimiento articulado a la vida y el

multilingüismo como factor para el desarrollo de capacidades prácticas para actuar en el

mundo.”, y una de las metas del objetivo 5 del PNVB 2017 – 2021 es “Incrementar de

4,6 a 5,6 el Índice de Desarrollo de Tecnologías de la Información y Comunicación a

2021.” ( Secretaría Nacional de Planificación y Desarrollo, 2017).

Considerando todo lo antes mencionado, se puede decir que mediante la elaboración del

presente trabajo de investigación, se contribuye con el cumplimiento tanto de metas

como objetivos del PNBV 2017-2021, ya que aplicando lo aprendido durante el

transcurso de la vida universitaria haciendo uso de destrezas y habilidades

investigativas, no solo se incurre en el ámbito universitario, sino también es una ante

sala para relacionarse con el campo laboral y a la vez se automatiza procesos para un

adecuado manejo de la información.

Se puede mencionar también que el presente proyecto de investigación tiene directa

relación con el objetivo de la matriz productiva de impulsar la investigación científica y

tecnológica en los sectores productivos, en la Zona 3, Asimismo se relaciona con la

2

Agenda Local del Gobierno Provincial de la Prefectura de Tungurahua ya que en uno de

sus objetivos sectoriales manifiesta que hay que potenciar al Cantón Ambato como polo

de desarrollo industrial y agroindustrial, bajo los criterios de competitividad, desarrollo

de tecnología de punta, cultura societaria y bursátil, mano de obra tecnificada y

vinculación con los centros de investigación de las universidades del cantón y del país

De acuerdo con el plan Nacional del Buen vivir

Se espera un incremento importante de la oferta en educación superior y un

mayor acceso a la misma; la intención, es vincular de manera clara la oferta de

carreras de tercer y cuarto nivel con la demanda laboral, tanto aquella presente

como la que se proyecta a futuro. El sistema educativo será de calidad, algo que

se verá reflejado en los resultados de evaluaciones nacionales e internacionales

para estudiantes y maestros. ( Secretaría Nacional de Planificación y Desarrollo,

2017)

Siguiendo este lineamiento el presente proyecto busca mejorar el apartado tecnológico

del área administrativa de la carrera de Sistemas en la Universidad Regional Autónoma

de los Andes que se dedica a la educación de tercer y cuarto nivel en una de las etapas

más importantes de la formación de los estudiantes, las prácticas pre profesionales que

son la forma en la que los mismos tienen su primer contacto con el ambiente laboral.

Ecuador en los últimos años ha comenzado un cambio en su matriz productiva mediante

la incorporación de tecnología y conocimiento en los actuales procesos productivos,

administrativos y de servicios, de acuerdo con estos cambios este proyecto cumple con

todos los valores necesarios en este ámbito ya que no solo busca incorporar la

tecnología en la gestión de las practicas pre profesionales sino que a su vez hace uso del

conocimiento del estudiante para ayudar en un proceso del área administrativa.

Tungurahua en base al plan de desarrollo nacional ha dado prioridad a los objeticos de

productividad los cuales generaran plazas de trabajo, al generar esta demanda es

necesario que los estudiantes de la carrera de sistemas puedan realizar sus prácticas pre

profesionales de una manera eficiente y preparados para desenvolverse en diferentes

escenarios no solo desarrollo de software, redes o mantenimiento de equipos, sino que

se vean preparados para cualquiera de estos retos.

3

Problema de la Investigación

Situación Problémica

El Consejo Mundial de Cooperativas de Ahorro y Crédito (WOCCU) ha publicado su

Informe Estadístico más reciente, el que ofrece datos financieros y sobre la membresía

de las cooperativas de ahorro y crédito y las cooperativas financieras a escala mundial.

El informe de este año incluye información de 56,904 cooperativas de ahorro y crédito

que prestan servicios a casi 208 millones de asociados en 103 países.

El Consejo Mundial de Cooperativas de Ahorro y Crédito es la asociación gremial y

agencia de desarrollo para el sistema internacional de cooperativas de ahorro y crédito.

El Consejo Mundial promueve el crecimiento sustentable de las cooperativas de ahorro

y crédito y otras cooperativas financieras en todo el mundo a fin de facultar a las

personas para que mejoren su calidad de vida a través del acceso a servicios financieros

asequibles y de alta calidad. El Consejo Mundial realiza esfuerzos de defensa activa en

representación del sistema global de las cooperativas de ahorro y crédito ante

organizaciones internacionales y trabaja con gobiernos nacionales para mejorar la

legislación y la regulación. (WOCCU, 2014)

Entre los años 1999– 2000 un grupo de personas de la Parroquia Santa Rosa Comunidad

de Apatug Alto, por la exclusión social y económica que sufrían como emigrantes en la

ciudad de Ambato, proponen crear una Caja de Ahorro y Crédito denominado “Fondo

Rotativo”, con el afán de ayudarse mutuamente y trabajar en forma conjunta con el

objetivo de mejorar sus condiciones de vida. (CoacReyDavid, 2019)

Desde su constitución hasta el año 2003, la Cooperativa desarrolló actividades

encaminadas al desarrollo comunal de la Parroquia Santa Rosa; con esta intervención la

cooperativa pudo ejecutar varios proyectos de desarrollo social entre los principales:

Proyecto de Ganadería, Producción Textil, Producción de Especies Menores, Asesoría a

distintas Cajas Comunales de Ahorro y Crédito. Este esfuerzo tuvo resultados positivos

desde el punto de vista de desarrollo integral; sin embargo el no especializarse en una

sola área fue su debilidad. (CoacReyDavid, 2019)

4

A partir de este año y debido a la migración de casi un 80% de la población de Santa

Rosa hacia las principales ciudades del país, los directivos de esta cooperativa proponen

reformar su estatuto y razón social a Cooperativa de Ahorro y Crédito, mejorar su

estructura administrativa y operativa e inician su ampliación de cobertura proponiendo

instalar agencias y sucursales en principales ciudades de mayor concentración

migratoria de la población indígena del Ecuador. (CoacReyDavid, 2019)

Formulación del problema

¿Cómo mejorar los mecanismos de control del área de sistemas de la Cooperativa “Rey

David”?

Identificación de la línea de Investigación

La línea de investigación es Tecnologías de Información y Comunicaciones.

Objetivos de la Investigación

Objetivo General

Desarrollar una Auditoria de los Recursos Informáticos mediante la aplicación de

estándares para mejorar los mecanismos de control en el área de sistemas de la

Cooperativa “Rey David”

Objetivo Específicos

• Determinar los referentes teóricos sobre Auditoria Informática, recursos

informáticos, estándares y cooperativas.

• Establecer los nodos críticos existentes en el área de sistemas de la Cooperativa

“Rey David”

• Proponer un plan de contingencia según las normas y estándares establecidos

para la Cooperativa “Rey David”

5

Capítulo I. Fundamentación Teórica

1.1. Antecedentes de la Investigación

En la investigación realizada por ( Loor Párraga & Espinoza Castillo, 2014) se plantea

“Aplicar una auditoría de seguridad física y lógica a los recursos de tecnologías de

información en la Carrera Informática, de la Escuela Superior Politécnica Agropecuaria

de Manabí Manuel Félix López de la ciudad de Calceta, evaluando la integridad de los

mismos” se concluye que el estudio y diagnóstico de la situación actual, permitió

conocer las necesidades existentes para las distintas áreas de la carrera, en la que se

registra inexistencia de manuales, políticas y procesos a cumplir.

En la investigación realizada por (Yangua Jumbo , 2014) se plantea “Determinar de qué

manera la ineficiente Auditoría Informática influye en los riesgos para el manejo de la

información en la Cooperativa de Ahorro y Crédito Educadores de Tungurahua” se

concluye que en la mayoría de los Departamentos investigados de la empresa no existe

ningún tipo de Seguridad física para los visitantes a los Departamentos, causando una

desconfianza de que la información está bien protegida.

En la investigación realizada por (Ortiz Collaguazo, 2016) se plantea “Desarrollar una

auditoría informática, aplicando la metodología COBIT 4.1 en el departamento de

sistemas, para establecer políticas y estrategias eficientes para solucionar los

inconvenientes enfocados a la Tecnología de la información (TI)” se concluye que La

auditoría realizada presenta las debilidades en los aspectos definidos por la matriz de

análisis de acuerdo a los dominios de la Metodología COBIT 4.1 y por la aplicación

MSAT el cual se puede determinar que los procesos que cumple cada área del

Departamento IT son efectuados de acuerdo a los objetivos que se plantee pero no de

manera correcta, debido a que no existe evidencias de lo que se realiza, no existe una

correcta documentación de los procesos efectuados, es muy importante, porque con ello

se puede respaldar el proceso de la información de acuerdo a lo que determina la

metodología.

6

1.2. Actualidad del objetivo de estudio de la investigación

1.2.1. Auditoria Informática

1.2.1.1. Definición

Los campos de aplicación de la auditoría han evolucionado mucho, desde su uso en los

aspectos netamente contables, hasta su uso en áreas y disciplinas de carácter especial,

como la ingeniería, la medicina y los sistemas computacionales. Evidentemente, junto

con ese progreso, también se ha registrado el desarrollo de las técnicas, métodos,

procedimientos y herramientas de cada uno de estos tipos de auditorías, así como un

enfoque cada vez más característico y especializado hacia el uso de técnicas más

apegadas al área que se va a evaluar. Debido a esos constantes cambios, a continuación

citaremos el concepto más amplio de la auditoría, para de ahí analizarlo de acuerdo con

lo aportado por la Real Academia Española y después, con esa conceptualización,

trasladarlo a una propuesta de clasificación de los tipos de auditoría. (Muñoz Razo ,

2002)

La auditoría, se puede concebir como una parte del control interno, la cual la ejecutan

profesionales acreditados por el auditor interno en el sector público, a fin de emitir una

opinión y agregar valor a la consecución de los objetivos institucionales; ese

profesionalismo no se produce de la noche a la mañana, más bien se desarrolla a partir

de compromiso y dedicación, crecimiento y ética; el proceso se desarrolla de forma

sistemática, independiente, objetiva, evalúa una entidad que actúe como sujeto pasivo,

gestión, proyectos, entre otros. (Mora Quiró, 2017 )

La Auditoria Informática es el proceso de recoger, agrupar y evaluar evidencias para

determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad

de los dalos, lleva a cabo eficazmente los fines de la organización y utiliza

eficientemente los recursos. De este modo la auditoría informática sustenta y confirma

la consecución de los objetivos tradicionales de la auditoría:

• Objetivos de protección de activos e integridad de datos.

7

• Objetivos de gestión que abarcan, no solamente los de protección de activos,

sino también los de eficacia y eficiencia. (Piattini Velthuis , 2001)

1.2.1.2. Tipos

Los tipos de Auditoría se basan según: La clasificación que se propone está integrada

por: Auditoría por lugar, Área, Especialización, Ambiental, y Especializadas en

Sistemas Computacionales.

Tabla 1 Tipos de Auditoria

Clase Contenido Objeto Finalidad

Financiera Opinión Cuentas anuales Presentan realidad

Informática Opinión Sistemas de aplicación, recursos

informáticos, planes de

contingencia, etc.

Operatividad

eficiente y según

normas establecidas

Gestión Opinión Dirección Eficacia, eficiencia,

economicidad.

Cumplimiento Opinión Normas establecidas Las operaciones se

adecuan a estas

normas

Fuente (Piattini Velthuis , 2001)

Elaborado por: Monar Balseca María Luisa

1.2.1.3. Clasificación

1.2.1.3.1. Auditoría externa

La auditoría externa es aquella que se realiza con personal totalmente ajeno a la empresa

auditada, con libertad absoluta de actuación y libre de cualquier injerencia por parte de

la institución donde se practica. (Muñoz Razo , 2002)

Auditoría externa, los clientes que no conocen los límites. Habituales de la auditoría

sobreentienden que una vez finalizada ésta los auditores daremos una asistencia mis

8

propia de consultores, y que incluso llevaremos a cabo implantaciones, redactaremos

normas, o que al menos en los informes especificaremos las soluciones: nombre de la

herramienta que refuerza la seguridad en mi entorno, por ejemplo, cuando a menudo

esto requiere un estudio que se sale de los limites e incluso de la independencia propios

de la auditoría. Por ello, es importante que se delimiten las responsabilidades y los

productos a entregar que son objeto de una auditoria externa en el contrato o propuesta.

(Piattini Velthuis , 2001)

1.2.1.3.2. Auditoría interna

En la realización de estos tipos de evaluación, el auditor que lleva a cabo la auditoría

labora en la empresa donde se realiza la misma y, por lo tanto, de alguna manera está

involucrado en su operación normal; debido a esto, el auditor puede tener algún tipo de

dependencia con las autoridades de la institución, lo cual puede llegar a influir en el

juicio que emita sobre la evaluación de las áreas de la empresa. La definición que se

sugiere es: Es la revisión que realiza un profesional de la auditoría, cuya relación de

trabajo es directa y subordinada a la institución donde se aplicará la misma, con el

propósito de evaluar en forma interna el desempeño y cumplimiento de las actividades,

operaciones y funciones que se desarrollan en la empresa y sus áreas administrativas,

así como evaluar la razonabilidad en la emisión de sus resultados financieros. El

objetivo final es contar con un dictamen interno sobre las actividades de toda la

empresa, que permita diagnosticar la actuación administrativa, operacional y funcional

de empleados y funcionarios de las áreas que se auditan. (Muñoz Razo , 2002)

1.2.1.4. Objetivos

La definición de los objetivos de la auditoría informática es un tema difícil y complejo.

No existe un total acuerdo en la definición de tales objetivos y en consecuencia, en el

establecimiento de las funciones que debe desarrollar un auditor informático.

Para precisar esta situación sería necesario: (Huesca Aguilar, 2013)

• Definir el campo de actuación del auditor informático.

• Definir los objetivos de la auditoría informática.

9

Para el campo de actuación del auditor, sería preciso reflexionar sobre los siguientes

aspectos:

• Organización en la que se desenvolverá el auditor.

• Estructura.

• Tipo de actividad de la empresa.

• Departamento de informática objeto de la auditoría.

• Grado de sofisticación.

• Tamaño.

• Recursos del departamento

• Relaciones con la auditoría financiera.

• las propias limitaciones técnicas del auditor. (Huesca Aguilar, 2013)

De un modo general los objetivos de la auditoría informática podrían ser:

• Elaborar un informe sobre los aspectos que afecten al alcance de una

auditoría y señalar riesgos de errores o fraudes de un sistema informático.

• Evaluar la fiabilidad de los sistemas informáticos, en cuanto a la exactitud de

los datos a las informaciones tratadas.

• Verificar el cumplimiento de la normativa general de la empresa.

• Comprobar la eficacia de los sistemas implantados.

• Comprobar si se ha estudiado el coste / beneficio.

• Garantizar la seguridad física y lógica.

• Evaluar la dependencia de una organización respecto a sus sistemas

informáticos, revisando las medidas tomadas en el caso de que se produzca

un fallo y que permitan asegurar la continuidad de las actividades normales.

• Emisión de informes con la evaluación independiente de los sistemas

informáticos. Sintetizando riesgos, deficiencias, sugerencias y

recomendaciones.

• Análisis de la calidad y eficacia del servicio de atención a los usuarios.

Participación y seguimiento de proyectos de investigación. (Huesca Aguilar,

2013)

10

1.2.1.5. Exploración

La exploración es la etapa en la cual se realiza el estudio o examen previo al inicio de la

Auditoria con el propósito de conocer en detalle las características de la entidad a

auditar para tener los elementos necesarios que permitan un adecuado planeamiento del

trabajo a realizar y dirigirlo hacia las cuestiones que resulten de mayor interés de

acuerdo con los objetivos previstos. (Manso, 2008 ).

Los resultados de la exploración permiten, además, hacer la selección y las

adecuaciones a la metodología y programas a utilizar; así como determinar la

importancia de las materias que se habrán de examinar. (Manso, 2008 ).

También posibilita valorar el grado de fiabilidad del control interno (contable y

administrativo) así como que en la etapa de planeamiento se elabore un plan de trabajo

más eficiente y racional para cada auditor, lo que asegura que la Auditoría habrá de

realizarse con la debida calidad, economía, eficiencia y eficacia; propiciando, en buena

medida, el éxito de su ejecución. (Manso, 2008 )

1.2.1.6. Planeamiento

El trabajo fundamental en esta etapa es el definir la estrategia que se debe seguir en la

Auditoría a acometer. (Manso, 2008 )

Lo anterior conlleva planear los temas que se deben ejecutar, de manera que aseguren la

realización de una Auditoría de alta calidad y que se logre con la economía, eficiencia,

eficacia y prontitud debidas. (Manso, 2008 )

Partiendo de los objetivos y alcance previstos para la Auditoría y considerando toda la

información obtenida y conocimientos adquiridos sobre la entidad en la etapa de

exploración, el jefe de grupo procede a planear las tareas a desarrollar y

comprobaciones necesarias para alcanzar los objetivos de la Auditoría. (Manso, 2008 )

11

1.2.1.7. Supervisión

El propósito esencial de la supervisión es asegurar el cumplimiento de los objetivos de

la Auditoría y la calidad razonable del trabajo. Una supervisión y un control adecuados

de la Auditoría son necesarios en todos los casos y en todas las etapas del trabajo, desde

la exploración hasta la emisión del informe y su análisis con los factores de la entidad

auditada. (Manso, 2008 )

Asimismo, debe garantizar el cumplimiento de las Normas de Auditoría y que el

informe final refleje correctamente los resultados de las comprobaciones, verificaciones

e investigaciones realizadas. (Manso, 2008 )

1.2.1.8. Ejecución

El propósito fundamental de esta etapa es recopilar las pruebas que sustenten las

opiniones del auditor en cuanto al trabajo realizado, es la fase, por decir de alguna

manera, del trabajo de campo, esta depende grandemente del grado de profundidad con

que se hayan realizado las dos etapas anteriores, en esta se elaboran los Papeles de

Trabajo y las hojas de nota, instrumentos que respaldan excepcionalmente la opinión

del auditor actuante. (Manso, 2008 )

1.2.1.9. Informe

En esta etapa el Auditor se dedica a formalizar en un documento los resultados a los

cuales llegaron los auditores en la Auditoría ejecutada y demás verificaciones

vinculadas con el trabajo realizado. (Manso, 2008 )

Comunicar los resultados al máximo nivel de dirección de la entidad auditada y otras

instancias administrativas, así como a las autoridades que correspondan, cuando esto

proceda. (Manso, 2008 )

El informe parte de los resúmenes de los temas y de las Actas de Notificación de los

Resultados de Auditoría (parciales) que se vayan elaborando y analizando con los

auditados, respectivamente, en el transcurso de la Auditoría. (Manso, 2008 )

12

La elaboración del informe final de Auditoría es una de las fases más importante y

compleja de la Auditoría, por lo que requiere de extremo cuidado en su confección.

(Manso, 2008 )

El informe de Auditoría debe tener un formato uniforme y estar dividido por secciones

para facilitar al lector una rápida ubicación del contenido de cada una de ellas. (Manso,

2008 )

El informe de Auditoría debe cumplir con los principios siguientes:

• Que se emita por el jefe de grupo de los auditores actuantes.

• Por escrito.

• Oportuno.

• Que sea completo, exacto, objetivo y convincente, así como claro,

conciso y fácil de entender.

• Que todo lo que se consigna esté reflejado en los papeles de trabajo y que

responden a hallazgos relevantes con evidencias suficientes y

competentes.

• Que refleje una actitud independiente.

• Que muestre la calificación según la evaluación de los resultados de la

Auditoría.

• Distribución rápida y adecuada. (Manso, 2008 )

1.2.2. Estándares

1.2.2.1. ISACA

ISACA comenzó en 1967, cuando un pequeño grupo de personas con trabajos similares

auditar controles en los sistemas computacionales que se estaban haciendo cada vez más

críticos para las operaciones de sus respectivas organizaciones se sentaron a discutir la

necesidad de tener una fuente centralizada de información y guías en dicho campo. En

1969, el grupo se formalizó, incorporándose bajo el nombre de EDP Auditors

Association (Asociación de Auditores de Procesamiento Electrónico de Datos). En 1976

la asociación formó una fundación de educación para llevar a cabo proyectos de

13

investigación de gran escala para expandir los conocimientos y el valor en el campo de

gobierno y control de TI. Conocida previamente como la Information Systems Audit

and Control Association (Asociación de Auditoría y Control en Sistemas de

Información), ISACA ahora es solo un acrónimo, que refleja la amplia gama de

profesionales en gobierno de TI a los que sirve. (Porras Rodriguez, 2013)

1.2.2.2. ITIL

ITIL es un ITIL es un conjunto de prácticas y procesos, destinadas a facilitar la entrega

de servicios de tecnologías de la información. No es una metodología, sino un conjunto

de mejores prácticas. (Mazza, 2014)

El beneficio principal de ITIL es que permite lograr una correcta alineación de los

objetivos de TI con los objetivos estratégicos del negocio. Convirtiendo los objetivos

del negocio en parte del portafolio de servicios de IT. (Mazza, 2014)

La implementación de ITIL normalmente mejora la comunicación entre TI y las

organizaciones a través de un lenguaje común. (Mazza, 2014)

ITIL mejora la calidad de los servicios provistos, ofrece una visión clara y más

confianza de los servicios ofrecidos de TI, aumenta la flexibilidad para las

organizaciones a través de un entendimiento con las TI. (Mazza, 2014)

La implementación de ITIL puede ser un proceso complejo y engorroso, por lo cual

deben fijarse objetivos realistas y graduales. (Mazza, 2014)

La versión actual de ITIL cubre más de 25 procesos propios de la gestión del CIO, y

está organizada en 5 libros. Por ejemplo, en la parte estratégica de los servicios, se dice

cómo establecer un caso de negocio que sirva como disparador de aprobaciones

ejecutivas de un proyecto. (Mazza, 2014).

14

1.2.2.3. ISO

Las normas ISO son documentos que especifican requerimientos que pueden ser

empleados en organizaciones para garantizar que los productos y/o servicios ofrecidos

por dichas organizaciones cumplen con su objetivo. Hasta el momento ISO

(International Organization for Standardization), ha publicado alrededor de 19.500

normas internacionales que se pueden obtener desde la página oficial de ISO

1.2.2.4. COBIT

COBIT (Control Objectives for Information and related Technology, Objetivos de

control para la información y tecnologías relacionadas) es una metodología publicada en

1996 por el Instituto de Control de TI y la ISACA (Asociación de Auditoría y Control

de Sistemas de Información) que se usa para evaluar el departamento de informática de

una compañía. En Francia está representada por la AFAI (Asociación Francesa de

Auditoría y Consejo de TI). (Villagómez, 2017)

Este enfoque se basa en un índice de referencia de procesos, indicadores de objetivos

clave (KGl) e indicadores de rendimiento clave (KPI) que se usan para controlar los

procesos para recoger datos que la compañía puede usar para alcanzar sus objetivos. El

enfoque COBIT propone 34 procesos organizados en 4 áreas funcionales más grandes

que abarcan 318 objetivos: entrega y asistencia técnica; control; planeamiento y

organización; aprendizaje e implementación. (Villagómez, 2017)

CobiT (Control Objectives for Information and Related Technology) es un marco

conceptual para el buen gobierno de las tecnologías de la información, que fue

desarrollado originalmente en 1994 por ISACA. Desde un punto de vista práctico, tiene

que ser «adaptado» en función del tamaño y la misión de la organización. El Tribunal

de Cuentas Europeo ha desarrollado para aplicar esta metodología la herramienta

ECACOBIT, que se comentará más adelante. El marco de trabajo general CobiT se

muestra gráficamente en la figura siguiente, con el modelo de procesos de CobiT

compuesto de cuatro dominios que contienen 34 procesos genéricos, administrando los

https://www.isaca.org/pages/default.aspx

15

recursos de TI para proporcionar información al negocio de acuerdo con los

requerimientos del negocio y de gobierno. (Minguillón Roy, 2010)

1.2.2.4.1. Beneficios Cobit

• Mejor alineación basada en una focalización sobre el negocio.

• Visión comprensible de TI para su administración.

• Clara definición de propiedad y responsabilidades.

• Aceptabilidad general con terceros y entes reguladores.

• Entendimiento compartido entre todos los interesados basados en un lenguaje

común.

• Cumplimiento global de los requerimientos de TI planteados en el Marco de

Control Interno de Negocio COSO. (Baquero & Guamán, 2013)

1.2.2.4.2. Características

• Orientado al negocio.

• Alineado con estándares y regulaciones "de facto".

• Basado en una revisión crítica y analítica de las tareas y actividades en TI.

• Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA,

AICPA). (Baquero & Guamán, 2013)

1.2.2.4.3. Principios

• Satisfacer las necesidades de las Partes Interesadas.

• Cubrir la Compañía de Forma Integral.

• Aplicar un solo Marco Integrado.

• Habilitar un Enfoque Holístico.

• Separar el Gobierno de la Administración. (Peña Ibarra, 2012)

16

1.2.3. Áreas para auditar en informática

1.2.3.1. Tipos

Hardware

• Plataforma de hardware

• Tarjeta madre

• Procesadores

• Dispositivos periféricos

• Arquitectura del sistema Instalaciones eléctricas, de datos y de

telecomunicaciones Innovaciones tecnológicas de hardware y periféricos.

(Muñoz Razo , 2002)

Software

• Plataforma del software

• Sistema operativo

• Lenguajes y programas de desarrollo

• Programas, paqueterías de aplicación y bases de datos

• Utilerías, bibliotecas y aplicaciones

• Software de telecomunicación Juegos y otros tipos de software. (Muñoz

Razo , 2002)

Gestión informática

• Actividad administrativa del área de sistemas

• Operación del sistema de cómputo

• Planeación y control de actividades

• Presupuestos y gastos de los recursos informáticos

• Gestión de la actividad informática

• Capacitación y desarrollo del personal informático

• Administración de estándares de operación, programación y desarrollo.

(Muñoz Razo , 2002)

17

Redes de cómputo

• Plataformas y configuración de las redes

• Protocolos de comunicaciones

• Sistemas operativos y software

• Administración de las redes de cómputo

• Administración de la seguridad de las redes

• Administración de las bases de datos de las redes (Muñoz Razo , 2002)

1.2.3.2. Herramientas

Estas técnicas, métodos y procedimientos de auditoría se ubicaran en tres grandes

grupos, considerando a las herramientas tradicionales y otras herramientas específicas

aplicables a los sistemas computacionales en tres grupos: (Muñoz Razo , 2002)

Instrumentos de recopilación de datos aplicables en la auditoría de sistemas

• Entrevistas

• Cuestionario

• Encuestas

• Observación

• Inventarios

• Muestreo

• Experimentación (Muñoz Razo , 2002)

Técnicas de evaluación aplicables en la auditoría de sistemas

• Examen

• Inspección

• Confirmación

• Comparación

• Revisión documental (Muñoz Razo , 2002)

Técnicas especiales para la auditoría de sistemas computacionales

• Guías de evaluación

• Ponderación

• Simulación

18

• Evaluación

• Diagrama del círculo de sistemas

• Diagramas de sistemas

• Matriz de evaluación

• Programas de verificación

• Seguimiento de programación (Muñoz Razo , 2002)

1.2.4. Síntomas de necesidad de una Auditoría Informática

1.2.4.1. Síntomas de descoordinación y desorganización

No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.

Los estándares de productividad se desvían sensiblemente de los promedios

conseguidos habitualmente. (Huesca Aguilar, 2013)

1.2.4.2. Síntomas de mala imagen e insatisfacción de los usuarios

No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de

Software en los terminales de usuario, variación de los ficheros que deben ponerse

diariamente a su disposición. (Huesca Aguilar, 2013)

No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables.

El usuario percibe que está abandonado y desatendido permanentemente. (Huesca

Aguilar, 2013)

No se cumplen en todos los casos los plazos de entrega de resultados periódicos.

Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario,

en especial en los resultados de aplicaciones críticas y sensibles. (Huesca Aguilar, 2013)

1.2.4.3. Síntomas de debilidades económico-financieras

• Incremento desmesurado de costos.

• Necesidad de justificación de Inversiones Informáticas (la empresa no está

absolutamente convencida de tal necesidad y decide contrastar opiniones).

19

• Desviaciones Presupuestarias significativas.

• Costos y plazos de nuevos proyectos (deben auditarse simultáneamente a

Desarrollo de Proyectos y al órgano que realizó la petición). (Huesca Aguilar,

2013)

1.2.4.4. Síntomas de Inseguridad

• Seguridad lógica.

• Seguridad física.

• Confidencialidad. Los datos son propiedad de la organización que los genera.

Los datos personales son confidenciales

• Continuidad del servicio. Establecer mecanismos de contingencia para continuar

ofreciendo el servicio aun cuando ocurran fallas

• Centros de procesos de datos fuera de control, prevenir antes de que suceda,

después de que sucede determinada situación sería inútil la auditoria. (Nguyen,

2010)

1.2.5. Auditoria Informática de Sistemas

1.2.5.1. Sistema Operativo

Un sistema operativo (SO) es software que controla la ejecución de otros programas de

ordenador, programa tareas, distribuye el almacenamiento, gestiona las interfaces con

hardware periférico y muestra la interfaz por defecto con el usuario cuando no hay

funcionando ningún otro programa. Es muy importante realizar determinados

procedimientos de auditoría sobre los sistemas operativos y los controles existentes a

este nivel, ya que vulnerabilidades en los SO tienen un impacto potencial en todo el

sistema de información (aunque las aplicaciones y las bases de datos tengan buenos

controles, si un intruso pudiera penetrar sin restricciones en el sistema operativo y su

sistema de carpetas, podría provocar graves daños en los datos y sistemas de la entidad).

(Minguillón Roy, 2010)

20

1.2.5.2. Software Básico

El software libre es aquel que le permite al usuario el usar el programa, con cualquier

propósito; el estudiar el funcionamiento; el adaptarlo a sus necesidades; y el distribuir

copias. Libre no necesariamente significa gratuito. (Mazza, 2014)

Dado que el código fuente de software libre está disponible, uno de sus principales

beneficios es la no dependencia del proveedor, situación que para ciertos casos, un

organismo de defensa por ejemplo, puede ser crítica. (Mazza, 2014)

El software libre se puede desarrollar mediante el esfuerzo colectivo, aunque no

necesariamente coordinado, de programadores alrededor del globo, utilizando los

medios que Internet ofrece: sitios como sourceforge, listas de correos, Wikis, Correos,

Foros, etc.

El software libre estimula a la innovación, ya que ofrece un producto potencialmente

flexible, de menor costo, al menos en cuanto licenciamiento se refiere, e independiente

de lo que el proveedor decida hacer con el mismo. (Mazza, 2014)

Entre los efectos no deseados, asociados el software libre, se encuentra la posible falta

de un soporte estructurado, y/o la dependencia del personal particularmente si se han

realizado modificaciones al producto original. (Mazza, 2014)

Son ejemplos de Software libre, el sistema operativo LINUX; la plataforma de

eLearning Claroline; el navegador Firefox; el servidor web Apache; etc. (Mazza, 2014)

1.2.6. Gestión


La gestión de los Recursos Informáticos involucra un conjunto de actividades tales

como la gobernabilidad, articulación con la estrategia organizacional, el planeamiento,

la justificación estratégico-económica de proyectos, la gestión de proyectos, del

21

conocimiento y del cambio, la organización del área y la motivación del equipo de

trabajo, la decisión de hacer o comprar, la selección de proveedores y aplicaciones, etc.

(Mazza, 2014)

Marcos de referencia, estándares, y técnicas soportan las actividades descriptas: COBIT,

ITIL, TOGAF, etc. en un contexto donde la infraestructura propietaria se complementa

con distintas formas de Clould Computing o Computación en la Nube. (Mazza, 2014)

1.2.6.3. Mecanismos de Control

El Control Interno Informático puede definirse como el sistema integrado al proceso

administrativo, en la planeación, organización, dirección y control de las operaciones

con el objeto de asegurar la protección de todos los recursos informáticos y mejorar los

índices de economía, eficiencia y efectividad de los procesos operativos automatizados.

(Pinilla Forero, 1997)

El Control Interno como cualquier actividad o acción realizada manual y/o

automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al

funcionamiento de un sistema para conseguir sus objetivos. (Piattini Velthuis , 2001)

1.2.6.4. Revisión de Controles de la Gestión Informática

La gestión de Recursos Informáticos utiliza tanto técnicas comunes a la gestión de otros

recursos, como propias dada las características de estos. En el módulo "Gestión de los

Recursos Informáticos" se hace mención específica a conceptos e instrumentos para la

misma, mientras que en los módulos que lo preceden se describen sistemas,

arquitecturas e ideas necesarias para poder comprender los principales recursos

informáticos y su potencial. (Mazza, 2014)

Por último, el módulo de "Nuevas Tecnologías" ofrece un acercamiento a un conjunto

de tecnologías que, con un alto nivel de subjetividad, han sido calificadas como nuevas,

y que como tales, ofrecen aún interesantes oportunidades para desarrollar soluciones

innovadoras y obtener ventajas competitivas. (Mazza, 2014)

22

• Sistemas Transaccionales

• Sistemas Analíticos

• Arquitecturas de los Sistemas de Información

• Internet y Negocios Electrónicos

• Estrategia y Recursos Informáticos

• Gestión de los Recursos Informáticos

• Nuevas Tecnologías (Mazza, 2014)

1.2.7. Cooperativas


Una 'cooperativa' se puede definir como una asociación gestionada por los socios, con el

fin de generar productos y servicios, en la cual los socios participantes, agricultores

particulares u hogares, comparten los riesgos y las ganancias de una explotación

económica de fundación y en propiedad conjuntas. (Koopmans, 2006)

Normalmente, una cooperativa se establece por parte de agricultores en reacción a unas

condiciones de mercado desfavorables, las cuales forman un problema común. Podría

tratarse de un problema relacionado con la comercialización de los productos, dando

como resultado precios bajos a nivel de la explotación agrícola; el suministro de

insumos agrícolas de buena calidad y de precio razonable, tales como semillas y

fertilizantes; o la concesión de suficiente crédito económico. Fundando una empresa

cooperativa, los agricultores esperan remediar dicho problema, aumentar sus ingresos

generados por la explotación agrícola, y fortalecer la posición económica de la misma.

(Koopmans, 2006)

1.2.7.2. Características

• Satisfacción de necesidades de los socios.

• Número de socios ilimitado.

23

• Pueden ser socios todos los que se dediquen a la actividad específica de la

cooperativa y lo deseen.

• Objetivos dependientes de las necesidades de los socios.

• El elemento fundamental es la persona humana.

• Capital variable.

• La condición de socio es intransferible, aunque se transfieran las

participaciones. (Orozco Vílchez, 1986)

1.2.7.3. Tipos de Cooperativas

• Cooperativas especializadas

• Cooperativas integrales

• Cooperativas multiactivas

• Cooperativas de usuarios o de servicios a los asociados

• Cooperativas con actividad financiera

• Cooperativas sin actividad financiera (Cruz Martínez , 2011)

1.2.8. Actualidad del sector donde desarrolla el proyecto

Desde su constitución hasta el año 2003, la Cooperativa desarrolló actividades

encaminadas al desarrollo comunal de la Parroquia Santa Rosa; con esta intervención la

cooperativa pudo ejecutar varios proyectos de desarrollo social entre los principales:

Proyecto de Ganadería, Producción Textil, Producción de Especies Menores, Asesoría a

distintas Cajas Comunales de Ahorro y Crédito. Este esfuerzo tuvo resultados positivos

desde el punto de vista de desarrollo integral; sin embargo, el no especializarse en una

sola área fue su debilidad. (CoacReyDavid, 2019)






migratoria de la población indígena del Ecuador. (CoacReyDavid, 2019)

24

Capítulo II. Diseño Metodológico y diagnóstico

2.1. Paradigma y tipo de investigación

2.1.1. Paradigma de investigación

La investigación Cuantitativa requiere que entre los elementos del problema de

investigación exista una relación cuya naturaleza sea lineal. Es decir, que haya claridad

entre los elementos del problema de investigación que conforman el problema, que sea

posible definirlo, limitarlos y saber exactamente donde se inicia el problema, en cual

dirección va y qué tipo de incidencia existe entre sus elementos. Esta investigación

apoyo en la fase final del proyecto. En ese momento obtuve datos para analizar y los

resultados salieron exactos.

La investigación Cualitativa está relacionada con los métodos inductivos, evita la

cuantificación cualitativa que la cuantitativa está relacionada con los métodos

deductivos. La investigación cualitativa en general se basa en la observación de

ciertos individuos en su entorno natural, sin una intervención invasiva en términos

generales. Por otro lado se investiga así mismo el entorno invasivo para entender el

proceso. (Parra Ramiréz, 2006) . La investigación Cualitativa contribuyo en la

recolección de información basada en la observación de comportamientos naturales,

discursos, respuestas abiertas para la posterior interpretación de significados.

2.1.2. Tipos de investigación

Investigación de campo

Investigación de campo es la recopilación de datos nuevos de fuentes primarias para un

propósito específico. Es un método cualitativo de recolección de datos encaminado a

comprender, observar e interactuar con las personas en su entorno natural. La

investigación de campo contribuyo para la elaboración de la perspectiva teórica, misma

que es la base a la propuesta para la solución del problema.

25

Investigación bibliográfica

La investigación bibliográfica consiste en la revisión de material bibliográfico existente

con respecto al tema a estudiar. Se trata de uno de los principales pasos para cualquier

investigación e incluye la selección de fuentes de información, mediante esta

investigación se realizó el marco teórico conceptual. En tal virtud la investigación

bibliográfica ayudó con la parte teórica que requiero para la investigación y de esta

investigación obtuve los temas propuestos para la elaboración del proyecto de grado.

Investigación Aplicada

La investigación aplicada recibe el nombre de “investigación práctica o empírica”, que

se caracteriza porque busca la aplicación o utilización de los conocimientos adquiridos,

a la vez que se adquieren otros, después de implementar y sistematizar la práctica

basada en investigación. El uso del conocimiento y los resultados de investigación que

da como resultado una forma rigurosa, organizada y sistemática de conocer la realidad.

La razón por la cual utilice la investigación aplicada fue por la auditoria informática ya

que de este modo observe con exactitud cada parámetro necesario para la investigación

que realice en la “Cooperativa Rey David”.

2.2. Procedimiento para la búsqueda y procesamiento de los datos

2.2.1. Población y muestra

La población objeto de estudio se describe a continuación

Tabla 2 Población

DESCRIPCIÓN FRECUENCIA PORCENTAJE

Gerente 1 8%

Empleados 10 84%

TOTAL 11 100%


Fuente: Talento Humano Cooperativa Rey David

No es necesario calcular la muestra, ya que la población no excede las 100 personas.

26

2.2.2. Plan de recolección de la información

2.2.2.1. Métodos de la investigación

Método inductivo

El uso del método inductivo proyecto investigativo fue de gran importancia, ya que

consistió en la recolección los datos para su análisis. La observación fue unos de los

aspectos más significativos en el método inductivo y la cual se utilizó para la auditoria

informática.

Método deductivo

En este proceso el razonamiento fue una parte fundamental para así llegar a una

conclusión. La deducción enlaza los indicios con las conclusiones, si todos los indicios

son ciertos, los requisitos son claros y las normas de deducción son usadas.

Método analítico

El método analítico permitió analizar los requerimientos para realizar un examen

crítico, ya que nos permitió examinar, descomponer y estudiar cada requerimiento que

fue planificado para la auditoria informática.

Método sintético

Fue el método que ayudo al razonamiento para elaborar de una forma resumida y

reuniendo los elementos más notables, para así realizar la auditoria informática y tuvo

como resultado desarrollar el trabajo investigativo con resultados, claros y reales.

2.2.2.2. Técnicas e instrumentos de la investigación

La técnica de recolección de datos utilizada fue la encuesta misma que se realizó a los

empleados de la Cooperativa Rey David, con el objetivo de determinar la existencia de

27

mecanismos de control en el área de sistemas de la Cooperativa Ambato y la necesidad

de ejecutar una Auditoria Informática

El instrumento básico utilizado en para la aplicación de la encuesta fue el cuestionario,

que es un documento que recoge en forma organizada los indicadores de las variables

implicadas en el objetivo de la encuesta.

También se aplicó la técnica de la entrevista que se realizó al Gerente de la Cooperativa,

en su despacho con el objetivo de determinar la existencia de mecanismos de control en

el área de sistemas de la Cooperativa Ambato y la necesidad de ejecutar una Auditoria

Informática

El instrumento básico utilizado en para la aplicación de la entrevista fue una guía de

entrevista, que es un documento que recoge en forma organizada los indicadores de las

variables implicadas en el objetivo de la entrevista.

2.2.2.3. Plan de procesamiento y análisis de la información

Una vez aplicada la encuesta a los empleados de la misma, se procedió a la validación

de los datos, donde se analizó individualmente cada una de las encuestas. Validadas las

encuestas se efectuó la tabulación

Con los resultados de las encuetas tabuladas se realizó un análisis estadístico con la

ayuda de grafico los mismos que permitieron realizar una mejor interpretación y con el

apoyo del marco teórico se estableció las recomendaciones y conclusiones.

28

Ilustración 1Plan de procesamiento y análisis de la información



2.3. Resultados de Diagnóstico de la situación Actual

2.3.1. Análisis e interpretación de los resultados

29

Análisis e interpretación de la encuesta aplicada a los empleados de la cooperativa

de ahorro y crédito “Rey David”

1. ¿Conoce Ud. si la Cooperativa cuenta con un Departamento de TIC’s?

Tabla 3: Pregunta 1


SI 0 0%

NO 10 100%

TOTAL 10 100%



Ilustración 2: Pregunta 1



Análisis e interpretación

El 100% de los encuestados responden que no tienen conocimientos que la Cooperativa

cuenta con el Departamento de Tic’s.

De acuerdo con la pregunta 1, el total encuestados responden que no cuenta la

Cooperativa cuenta con el Departamento de Tic’s lo que respalda el presente proyecto.

0%

100%

SI

NO

30

2. ¿Conoce Ud. si la Cooperativa ha llevado a cabo en los 2 últimos años una

Auditoria informática?

Tabla 4: Pregunta 2


SI 0 0%

NO 10 100%

TOTAL 10 100%







El 100% de los encuestados responden que en la Cooperativa en los últimos 2 años no

se ha llevado a cabo una Auditoria Informática.

De acuerdo con la pregunta 2, el 100% de encuestados responden que no saben que la

Cooperativa Rey David ha realizado dicha Auditoria Informática lo que respalda el

presente proyecto.

0%

100%

SI

NO

31

3. ¿Ud. tiene un manual donde este establecido los procedimientos para el uso de los

equipos de cómputo?

Tabla 5: Pregunta 3


SI 2 20%

NO 8 80%

TOTAL 10 100%







El 80% de los encuestados responden que, si cuentan con un manual de procedimientos

de usos de los equipos de cómputo, mientras en 20% manifiestan que no se les ha

entregado dicho manual de uso de procedimientos para el uso adecuado de los equipos

de cómputo.

De acuerdo con la pregunta 3, el 80% de encuestados responden que si se les ha

entregado el manual de procedimientos de usos de los equipos de cómputo lo que

respalda el presente proyecto.

20%

80%

SI

NO

32

4. Considera que los Sistemas Informáticos implementados en su computador son:

Tabla 6: Pregunta 4


Muy Rápidos 1 10%

Rápidos 8 80%

Medianamente Rápidos 0 0%

Lentos 1 10%

Muy Lentos 0 0%

TOTAL 10 100%







El 80% de los encuestados responden que los Sistemas Informáticos implementados en

su computador son rápidos, mientras que el 10% manifiestan que son muy rápidos, el

10% dicen que son lentos.

De acuerdo con la pregunta 4, el 80% de encuestados responden los Sistemas

Informáticos implementados en su computador son rápidos que lo que respalda el

presente proyecto.

10%

80%

0%10%0%

Rápidos

MedianamenteRápidos

Lentos

Muy Lentos

33

5. ¿En alguna ocasión ha existido errores en la información que Ud. maneja?

Tabla 7: Pregunta 5


SI 3 30%

NO 7 70%

TOTAL 10 100%







El 70% de los encuestados responden que a veces si han existido han existido fallas en

los sistemas computacionales, mientras tanto el 30% manifiesta que siempre existen

fallas en los sistemas computacionales.

De acuerdo con la pregunta 6, el 70% de encuestados responden si han existido fallas en

los sistemas computacionales, lo que respalda el presente proyecto.

30%

70%

SI

NO

34

6. ¿Ha existido en alguna ocasión fallas en los sistemas computacionales?

Tabla 8: Pregunta 6


Siempre 0 0%

A veces 9 90%

Nunca 1 10%

TOTAL 10 100%







El 90% de los encuestados responden que a veces han existido errores en la información

la cual los empleados de la Cooperativa Rey David que manejan, mientras tanto el 10%

manifiesta que nunca han tenido errores en su información.

De acuerdo con la pregunta 6, el 90% de encuestados responden a veces si han existido

errores en la información la cual los empleados de la Cooperativa Rey David manejan,

lo que respalda el presente proyecto.

0%

90%

10%

Siempre

A veces

Nunca

35

7. ¿Considera Ud. que es necesario realizar un control de los recursos informáticos

existentes en la Cooperativa?

Tabla 9: Pregunta 7


SI 10 100%

NO 0 0%

TOTAL 10 100%







El 100% de los encuestados responden que si es necesario realizar un control de los

recursos informáticos existentes en la Cooperativa.

De acuerdo con la pregunta 7, el 100% de encuestados responden que si es necesario

realizar un control de los recursos informáticos existentes en la Cooperativa, lo que

respalda el presente proyecto.

100%

0%

SI

NO

36

Análisis e interpretación de la Entrevista al Tglo. Segundo Tisalema gerente de la

Cooperativa Rey David

Objetivo: Determinar la existencia de mecanismos de control en el área de sistemas de

la Cooperativa Rey David y la necesidad de ejecutar una Auditoria Informática

Fecha: 16/05/2019

Tabla 10: Análisis e interpretación de la Entrevista

INDICADORES EVALUADOS

Informante

Tglo. Segundo Tisalema

Gerente de la Cooperativa Rey David

Existencia de un Departamento de

TIC´s

Duda en su respuesta por falta de

conocimiento en cuanto a tecnología y

luego manifiesta que sí sin embargo se

verifica mediante la observación que no

existe dicho departamento

Existencia de un diagrama funcional Manifiesta que no cuenta con un

diagrama funcional ya que sólo hay un

encargado de tics lo que corrobora la

inexistencia del departamento

Existencia de procedimiento para el

uso de equipos de cómputo

No existe

Inventario actualizado de los recursos

informáticos

No existe

Revisiones periódicas de la capacidad y

desempeño de los recursos de

informáticos

En alguna ocasión sí se realizó

Conocimiento sobre riesgos en el

manejo de la información

Posee poco conocimiento

Conocimiento y existencia de

Procedimientos y medidas de

seguridad en caso de un ataque dos

No posee conocimiento y manifiesta que

en alguna ocasión se intentó incorporar

medidas de seguridad

37

software malicioso y virus informático

Realización de auditoría informática

auditoría informática

Como tal manifiesta que no

Necesidad de auditoría para el control

del centro de datos

Muy necesario

Existencia de un plan de contingencia No existe



2.3.2 Resumen de las principales insuficiencias detectadas

Una vez realizado el diagnóstico de la situación a través, de un estudio de campo

realizado en el lugar mismo de los hechos, mediante la aplicación de encuestas a los

empleados, y entrevista al Tecnólogo Segundo Tisalema Gerente de la Cooperativa de

Ahorro y Crédito Rey David de la ciudad de Ambato se concluyó que:

• Por medio de la versión del señor gerente de la Cooperativa y sus empleados, se

pudo determinar que, dentro de la Cooperativa, no existe el departamento de

Tecnologías de la Información y Comunicación (TIC’s) y por ende tampoco

cuenta con un diagrama funcional de los empleados de este departamento.

• Tanto el señor gerente, como los empleados de la Cooperativa de Ahorro y

crédito Rey David, consideran que es necesario tener un control de los recursos

informáticos, puesto que, según versión del señor gerente, la cooperativa no

cuenta con un inventario actualizado de disponibilidad de recursos informáticos,

lo que, sin lugar a dudas, desemboca en inconvenientes significativos

relacionados con el control de estos recursos.

• Un porcentaje significativo de empleados de la Cooperativa de Ahorro y crédito

Rey David, señalan que en varias ocasiones se han encontrado con fallas en los

sistemas computacionales, y esto se puede deber a la inexistencia de medidas de

prevención detección y corrección para proteger a los sistemas informáticos de

software malicioso y virus, así como también al desconocimiento de los

38

procedimientos de seguridad que deben seguir en caso de que exista una falla

informática en el computador que están usando.

• Es de vital importancia, la realización de una auditoria informática puesto que a

pesar de la Cooperativa tiene en el mercado alrededor de 20 años, la misma no

ha llevado a cabo una auditoria informática completa esto mencionado por el

mismo gerente de la entidad, pues la población de investigación considera que es

muy necesario una auditoria informática externa y un plan de contingencia para

emergencias y fallas computacionales.

39

Capítulo III. Propuesta de solución al problema

3.1. Nombre de la propuesta

Auditoria de los recursos informáticos para mejorar los mecanismos de control del área

de Sistemas de la Cooperativa “Rey David”

3.2. Objetivos

3.2.1. Objetivo General

Desarrollar una Auditoria de los Recursos Informáticos mediante la aplicación del

estándar COBIT 5.0 para mejorar los mecanismos de control en el área de sistemas de la

Cooperativa “Rey David”

3.2.2. Objetivos Específicos

• Comprobar si los mecanismos de control del área de sistemas de la cooperativa

“Rey David” son útiles.

• Elaborar recomendaciones y medidas para los diferentes trabajos y sus procesos

diarios.

• Desarrollar un plan de contingencia para evitar riesgos y tener control de la

Cooperativa.

3.3. Desarrollo de la Propuesta

3.3.1. Descripción de la propuesta

Análisis de la situación actual de la metodología en base del estudio de campo

La cooperativa Rey David del cantón Ambato se creó como una entidad financiera

privada, es una cooperativa que desarrollan actividades encaminadas al desarrollo

comunal de la Parroquia Santa Rosa; con esta intervención la cooperativa pudo ejecutar

40

varios proyectos de desarrollo social entre los principales: Proyecto de Ganadería,

Producción Textil, Producción de Especies Menores, Asesoría a distintas Cajas

Comunales de Ahorro y Crédito. Este esfuerzo tuvo resultados positivos desde el punto

de vista de desarrollo integral; sin embargo el no especializarse en una sola área fue su

debilidad. (CoacReyDavid, 2019)






migratoria de la población indígena del Ecuador quedan la matriz en el cantón Ambato

en las calles, tiene dos sucursales que están ubicadas en el cantón Cevallos y en la

provincia de Napo. (CoacReyDavid, 2019)

Misión

Es una institución financiera privada con inspiración cristiana y visión social, que apoya

el desarrollo local e integral de la población marginada de la provincia en las áreas

rurales y urbanas, a través de la prestación de los productos y servicios financieros de

calidad, y contribuyendo a reducir la pobreza, crear esperanza, justicia, paz y

condiciones de vida más humana. (CoacReyDavid, 2019)

Visión

Ser una institución financiera sólida, en permanente crecimiento e innovación, y

prestando productos y servicios de calidad, logrando la satisfacción e involucramiento

de nuestros socios, clientes, colaboradores y aliados estratégicos. (CoacReyDavid,

2019)

41

Valores institucionales

Los valores que rigen el diario vivir y el cumplimiento de deberes y obligaciones de

Representantes, Directivos, Gerente General y Trabajadores de la Cooperativa de

Ahorro y Crédito Rey David Ltda. (CoacReyDavid, 2019)

La cooperativa cuenta con sistemas y procesos informáticos que no satisfacen en su

totalidad las necesidades de la mismas, se pudo detectar mediante el estudio de campo

que uno de los principales problemas existentes es el que no cuenta con un

Departamento de TIC’s, así como también depende de empresas externas para realizar

cambios en los sistemas informáticos, a más de ellos se detectó la falta de conocimiento

tanto de empleados como directivos con relación a conocimientos básicos de tecnología

de la información y comunicación. (CoacReyDavid, 2019)

3.3.2. Alcance de la Auditoria

En la presente auditoria el alcance está determinado por el marco referencial de COBIT

5.0, se determinará la forma más eficiente de utilizar las TIC’s, mediante la realización

de una evaluación de las tecnologías de la información para verificar su calidad y

eficacia en los cinco dominós de COBIT 5.0 los cuales son:

• Evaluar, Dirigir y Monitorear

• Alinear, Planear y Organizar

• Monitorear, Evaluar y Valorar

• Construir, Adquirir e Implementar

• Entregar, Dar servicio y Soporte

Como primer punto a desarrollar en la auditoría es la recolección y evaluación de la

información la cual permite determinar si los procesos y sistemas de información de la

cooperativa, cumplen con la principal función de mantener la integridad de la

información que se maneja dentro de la cooperativa, y al ser utilizada la misma nos

permita obtener una información veraz se considerará los procesos a diagnosticar

mediante una determinación de acuerdo a su vulnerabilidad, según un formulario de

entidad en el cual se establecen procesos prioritarios. Identificar procesos críticos y

42

erróneos de acuerdo a los objetivos de control de la metodología COBIT 5.0, nos

permite generar recomendaciones mismas que serán planteadas en un dictamen final y

que a priori serán tomadas en cuenta en la aplicación de un plan de contingencia.

3.3.3. Estudio inicial en el cual se realiza la auditoría

3.3.3.1. Estructura organizacional



Ilustración 9: Estructura organizacional

43

3.3.3.2. Número de puestos de trabajo

Tabla 11: Puestos de Trabajo

Nivel Puestos de Trabajo

Nivel Legislativo -

Nivel Ejecutivo 6

Nivel de Asesor -

Nivel de Apoyo -

Nivel Operativo 5

Total, Puestos de Trabajo 11



3.3.3.3. Seguridad de los departamentos de la Cooperativa

Seguridad Física

La seguridad física en la Cooperativa “Rey David” es regular ya que al momento de

atender a los socios la atención es la inadecuada, además no cuentan con un guardia de

seguridad o un encargado de realizar el primer contacto con el socio para saber a qué

parte de la cooperativa se dirige ya que el ingreso a las misma es libre a todos los

departamentos.

En el caso de algún documento o información importante de la cooperativa la realizan

con el gerente.

Seguridad Lógica

En la Cooperativa “Rey David” la seguridad lógica como tal es inadecuada ya que, al no

existir un departamento de TIC’s y que los empleados de dicha cooperativa no están

capacitados totalmente en el uso y manejo adecuado y hacen que los datos de la misma

estén expuestos a daños y robos de la información pues que al momento de los

44

mantenimientos pertinentes o daño en algún equipo informático se requiere de técnico

externo el mismo que está ubicado en la ciudad de Cuenca, por lo cual están

vulnerables, y por esta misma razón al carecer de un departamento de TIC’s no cuentan

con copias de seguridad que respalden su información.

3.3.4. Establecer los recursos necesarios para la auditoría

Dentro de los recursos utilizados para realizar el proceso de auditoría se encuentran las

encuestas realizadas a todos los empleados de la Cooperativa “Rey David”, también la

entrevista realizada al Gerente.

Otro punto muy importante fue la observación, ya que permitió evidenciar la carencia

de los recursos informáticos en la Cooperativa “Rey David”, permitiéndonos observar la

falta de conocimientos de parte de los empleados sobre las tecnologías de la

información.

Al igual se implementaron algunos recursos materiales y humanos como son:

Recursos materiales

Los recursos materiales fueron brindados por la cooperativa, por tal manera se realizó

una solicitud pidiendo la autorización para poder utilizar los activos de la entidad

financiera, como son los equipos de cómputo y uso de discos duros e impresoras.

Recursos humanos

Los recursos humanos los empleados de la Cooperativa “Rey David”, a los cuales se les

realizó las encuestas propuestas para esta auditoría, al Gerente al mismo que se le

ejecuto la entrevista.

La auditora en este caso mi persona María Monar y la tutora del presente trabajo.

3.3.4.1. Resultados de la encuesta

45

Análisis e interpretación de la encuesta aplicada a los empleados de la cooperativa

de ahorro y crédito “Rey David”

1. El acceso a la información que Ud. maneja es restringido a personas ajenas a la

Cooperativa

Tabla 12: Pregunta 1


SI 10 100%

NO 0 0%

TOTAL 10 100%







El 100% de los encuestados responden que la información que manejan es restringida a

personas ajenas a la Cooperativa

De acuerdo con la pregunta 1, el 100% de encuestados responden que la información

que manejan es restringida a personas ajenas a la Cooperativa, lo que respalda el

presente proyecto.

100%

0%

SI

NO

46

2. Considera que la seguridad de la información que Ud. maneja en la cooperativa es la

adecuada



SI 4 40%

NO 6 60%

TOTAL 10 100%







El 40% de los encuestados responden que la seguridad de la información que manejan

en la cooperativa es la adecuada mientras tanto el 60% manifiestan que no es la

adecuada.

De acuerdo con la pregunta 2, el 60% de encuestados responden que la información que

manejan no es la adecuada, lo que respalda el presente proyecto.

40%

60%

SI

NO

47

3. A su criterio se debería mejorar el manejo de la información en la cooperativa



SI 10 100%

NO 0 0%

TOTAL 10 100%







El 100% de los encuestados responden que si se debiese mejorar el manejo de la

información en la cooperativa.

De acuerdo con la pregunta 3, el 100% de encuestados responden si se debería mejorar

el manejo de la información en la cooperativa, lo que respalda el presente proyecto.

100%

0%

SI

NO

48

4. A su criterio se debería mejorar los equipos informáticos en la cooperativa



SI 10 100%

NO 0 0%

TOTAL 10 100%







El 100% de los encuestados responden que si debiese mejorar los equipos informáticos

en la cooperativa.

De acuerdo con la pregunta 4, el 100% de encuestados responden si debería mejorar los

equipos informáticos en la cooperativa, lo que respalda el presente proyecto.

100%

0%

SI

NO

49

5. Se realizan copias de seguridad de la información en la Cooperativa



SI 3 30%

NO 7 70%

TOTAL 10 100%







El 70% de los encuestados responden que no se realizan copias de seguridad de la

información en la Cooperativa, mientras el 30% manifiestan que si realizan copias de

seguridad de la información.

De acuerdo con la pregunta 5, el 70% de encuestados responden que no realizan copias

de seguridad de la información en la Cooperativa, lo que respalda el presente proyecto.

30%

70%

SI

NO

50

6. Está establecido claves únicas para su computador



SI 2 20%

NO 8 80%

TOTAL 10 100%







El 20% de los encuestados responden que, si se han establecido claves únicas para su

computador, mientras el 80% manifiestan que no han establecido claves únicas para su

computador.

De acuerdo con la pregunta 6, 80% manifiestan que no han establecido claves únicas

para su computador, lo que respalda el presente proyecto.

20%

80%

SI

NO

51

7. Con que frecuencia cambia su clave de acceso:



Mensual 1 10%

Trimestral 8 80%

Semestral 1 10%

Anual 0 0%

TOTAL 10 100%







El 10% de los encuestados responden que cambia su clave de acceso mensualmente,

mientras el 10% manifiestan que cambia su clave de acceso semestralmente y el 80%

cambia su clave de acceso trimestralmente.

De acuerdo con la pregunta 7, 80% manifiestan que cambia su clave de acceso

trimestralmente, lo que respalda el presente proyecto.

10%

80%

10%0%

Mensual

Trimestral

Semestral

Anual

52

3.3.4.2. Resultados de la entrevista

Análisis de la Entrevista al Tglo. Segundo Tisalema gerente de la Cooperativa

“Rey David”



Fecha: 16/05/2019

Tabla 19: Resultados de la Entrevista al Gerente de la Cooperativa “Rey David”

INDICADORES EVALUADOS

Informante

Tglo. Segundo Tisalema

Gerente de la Cooperativa Rey David

Existencia de un Departamento de TIC´s Duda en su respuesta por falta de

conocimiento en cuanto a tecnología y luego

manifiesta que sí sin embargo se verifica

mediante la observación que no existe dicho

departamento

Existencia de un diagrama funcional Manifiesta que no cuenta con un diagrama

funcional ya que sólo hay un encargado de

tics lo que corrobora la inexistencia del

departamento

Existencia de procedimiento para el uso

de equipos de cómputo

No existe

Inventario actualizado de los recursos

informáticos

No existe

Revisiones periódicas de la capacidad y

desempeño de los recursos de

informáticos

En alguna ocasión sí se realizó

Conocimiento sobre riesgos en el manejo

de la información

Posee poco conocimiento

Conocimiento y existencia de

Procedimientos y medidas de seguridad

No posee conocimiento y manifiesta que en

alguna ocasión se intentó incorporar medidas

53

en caso de un ataque dos software

malicioso y virus informático

de seguridad

Realización de auditoría informática

auditoría informática

Como tal manifiesta que no

Necesidad de auditoría para el control del

centro de datos

Muy necesario

Existencia de un plan de contingencia No existe



3.3.4.3. Resultados de la Observación

Tabla 20: Resultados de la observación en la Cooperativa “Rey David”

Indicadores para la observación Informe

Principales procesos que lleva a cabo la

cooperativa

Caja – Crédito – Contabilidad - Gerencia

Atención al cliente – Negocios

Valoración de la agilidad de cada proceso: • Caja:

• Depósitos: El tiempo para realizar

los depósitos es lento

• Retiros: El tiempo para realizar los

retiros son lentos

• Pagos: El tiempo para realizar los

pagos depende de la operadora que

parcialmente son medianamente

rápidos

• Recargas: Igualmente el tiempo

para realizar los pagos depende de

la operadora que parcialmente son

medianamente rápidos

• Crédito: Los créditos que se realizan en

la cooperativa son lentos según el

monto y el acuerdo con el deudor.

• Contabilidad: Son lentos ya que el

sistema que ocupan se cuelga

• Gerencia: La atención del gerente para

los socios es rápida

• Atención al cliente: La atención lenta

ya que el sistema que ocupan se cuelga

54

• Negocios: La atención es

medianamente rápida

Caja1:

• El sistema operativo es Microsoft

Windows XP Professional 32-Bit

• Nombre de dominio REYDAVID

• ROLES: Estación de trabajo,

servidor, navegador de potencial,

navegador de copia de seguridad

• Procesador Pentium(R) Dual-Core

CPU E5800 @ 3.20GHz

• BIOS Versión Intel - 12 BIOS

• Memoria total 2016MB

• Memoria libre 1077MB

Caja2:


Windows XP Professional 32-Bit


• ROLES: Estación de trabajo,

servidor, navegador de potencial,

navegador de copia de seguridad

• Procesador Pentium(R) Dual-Core

CPU E5800 @ 3.20GHz

• BIOS Versión Intel - 12 BIOS


• Disco Duro Total 932GB

CONTABILIDAD-PC


• Roles Estación de trabajo, servidor,

navegador potencial


Windows 6.2 Professional 32-Bit

• Procesador CPU Intel (R) Core

(TM) i3-3240 a 3,40 GHz |



• BIOS Versión INTEL - 9

SECRETARIA-PC



navegador potencial

55

• Sistema operativo |Microsoft

Windows 7 Professional de 32 bits

• Descripción del procesador

Pentium (R) CPU de doble núcleo

E5500 @ 2.80GHz



• Versión BIOS _ASUS_ - 12 BIOS

FINANCIERO-PC



navegador potencial

• Sistema operativo Microsoft

Windows 6.2 Professional de 32

bits

• Descripción del procesador CPU

Intel (R) Core (TM) i3-3240 a 3,40

GHz



• Versión BIOS INTEL – 9

ASESOR-PC



navegador de potencial, navegador

de copia de seguridad


Windows 7 Home Premium de 32

bits

• Descripción del procesador Intel

(R) Pentium (R) 4 CPU 2.80GHz


• Disco Duro Total 74.6GB

• Versión BIOS ACRSYS -

42302e31 Phoenix

REYPC02


• Estación de trabajo, servidor,

navegador potencial, navegador

maestro


Windows XP Professional de 32

56

bits



E5500 @ 2.80GHz



• Versión BIOS | HPQOEM –

20100303

GERENTEPC


• Estación de trabajo, servidor,

navegador potencial, navegador

maestro

• Sistema operativo |Microsoft

Windows 7 Professional de 32 bits



E5500 @ 2.80GHz



• BIOS Versión INTEL – 9

NEGOCIOS-PC



navegador potencial

• Sistema operativo | Microsoft

Windows 6.2 Professional de 32

bits

• Descripción del procesador CPU

Intel (R) Core (TM) i3-3240 a 3,40

GHz



• Versión BIOS | INTEL - 9

Existencia del departamento de TIC’s No existe un departamento e TIC’s

Existencia de organigrama estructural y

funcional

Observe que no existe dicho organigrama

estructural y tampoco un funcional.

Existencia de inventarios de recursos

informáticos

Si tienen, pero no actualizado, la fecha del

inventario es el 12/04/2016

Existencia de licenciamiento de software La Base de Datos que utilizan es

POSTGRESQL

57

Cliente- Servidor (Dos capas)

Con licencia de Uso

Versión 1.30

Lenguaje de programación POWER

BUILDER

Microsoft Office Versión 2.0

Valoración del servicio de internet No se puede visualizar el contrato del

internet del Proveedor de CNT

Comunicación interna: La comunicación interna es regular, falta

de comunicación acertada, mal

interpretación de mensajes internos,

ausencia del Departamento de TIC’s, falta

de capacitaciones y conocimientos en el

tema de tecnología.

Riesgos en la información Los riesgos para la información si existen

ya que se puede observar que como no

cuentan con un Ingeniero en sistemas, al

momento de reparar los equipos de

cómputo llaman a un técnico externo.

• Cambio de claves

• Errores de mantenimiento /

actualización de programas

• Contaminación por Virus a la

Información

• Difusión de software dañino

• Caída del sistema por agotamiento

de recursos

• Vulnerabilidades de los programas

• Errores del administrador

• Errores de configuración.

Inversión en tecnología La inversión tecnología es de $29.600

Equipos de cómputo $15,000

Impresoras $1,000

Redes $2,000

Infraestructura $,500

Proveedores $9,000

Equipamiento de oficina $500

Satisfacción del cliente Los clientes se pudieron observar que se

encuentran a gusto con la atención bridada

Existencia de software de aplicación Si existe

La Base de Datos que utilizan es

POSTGRESQL

58

Cliente- Servidor (Dos capas)

Con licencia de Uso

Versión 1.30

Lenguaje de programación POWER

BUILDER

Capacitación a los empleados No se da una capitación adecuada a los

empleados, ya que por lo que pude

observar carecen de conocimientos básicos



Análisis de las encuestas, entrevistas y observación

Una vez realizado el diagnóstico de la situación a través, de un estudio de campo

realizado en el lugar mismo de los hechos, mediante la aplicación de encuestas a los

empleados, entrevista y mediante la observación en la Cooperativa de Ahorro y Crédito

Rey David de la ciudad de Ambato se concluyó que:

• La Cooperativa Rey David carece de un departamento de TIC’s lo que hace que

la información sea vulnerable ya que al momento de mantenimientos o daños en

los equipos de cómputo llamen a un técnico externo.

• Los empleados de la cooperativa desconocen de temas de seguridad de la

información.

• Las claves personales en cada equipo de cómputo no son cambiadas

frecuentemente y esto hace que sea vulnerable para que personas ajenas a la

entidad financiera tengan acceso a la información.

• La cooperativa no cuenta con un plan de contingencia para garantizar el

funcionamiento de los equipos de cómputo, en caso de daños o alguna

emergencia.

• Los empleados carecen de conocimientos básicos de los equipos de cómputo y

esto hace que no sean utilizados de una correcta manera.

59

3.4. Elaboración del plan de Auditoria

3.4.1. Análisis de procesos realizados en la Cooperativa “Rey David”

En el plan de auditoria se van a detallar los procesos elaborados en la Cooperativa “Rey

David”, para esto se ejecuta una elección de los procesos que fueron seleccionados

mediante la encuesta, entrevista y la observación, ya que esto nos ayuda para tener en

cuenta que procesos se realizan con mayor repetición en la entidad financiera.

La encuesta está establecida en una matriz de posibilidad de ocurrencia de los procesos,

comenzando de este punto se elaboran los diagramas de los procesos elegidos para una

mejor valoración y observación.

En la Cooperativa “Rey David”, se llevan a realizan seis procesos los cuales son:

• Depósitos

• Retiros

• Créditos

• Pagos

• Registro de asistencia

• Ciclo contable

En esta matriz se muestra la posibilidad de ocurrencia que puede tener cada proceso,

dando una apreciación de uno a cuatro siendo uno la evaluación más baja y cuatro la

más alta, mostrando la posibilidad de que un proceso ocurra.

Tabla 21: Posibilidad procesos

PROBABILIDAD ESCALA DESCRIPCIÓN

Poco probable 1 El proceso ocurre anualmente

Posible 2 El proceso ocurre mensualmente

Probable 3 El proceso ocurre semanalmente

Muy Probable 4 El proceso ocurre a diario



En la encuesta realizada sobre la ocurrencia de procesos a los empleados de la

Cooperativa “Rey David”, en dichas encuestas se ha tomado los procesos con escala

60

tres y cuatro siendo como tal los procesos con mayor riesgo de fallas, pues son los

procesos de ocurrencia diaria o por lo menos semanalmente.

La matriz indica que de los seis procesos que se realizan en la Cooperativa “Rey

David”, tres de estos son de ocurrencia usual por lo mismo son los más expuestos a

fallas.

Tabla 22: Análisis de procesos

N° PROCESO

ANALIZADO

ESCALA

ALCANZADA

SE AUDITA

1 2 3 4 SI NO

1 Depósitos X X

2 Retiros X X

3 Créditos X X

4 Pagos X X

5 Registro de asistencia X X

6 Ciclo contable X

X



3.4.2. Diagramas de procesos de la Cooperativa “Rey David”

Aquí se puntualizan los seis procesos previamente elegidos, analizados en diagramas de

procesos permitiéndonos considerar la interacción de los objetos en el sistema, de una

manera más clara y breve.

Primer proceso (P01): Depósitos

Objetivo del proceso: Es mantener el dinero a salvo y aumentar al máximo sus intereses

Diagrama: Diagrama del primer proceso

61

Ilustración 17: Depósitos



Segundo proceso (P02): Retiros

Objetivo del proceso: Es la transacción por medio de la cual el cliente retira y recibe

determinada cantidad de dinero existente en su cuenta bancaria en la oficina de su

institución financiera.

Diagrama: Diagrama del segundo proceso

Ilustración 18: Retiros



62

Tercer proceso (P03): Créditos

Objetivo del proceso: Préstamo de dinero a una persona o entidad, que se compromete a

devolverlo en un solo pago o en forma gradual

Diagrama: Diagrama del tercer proceso

Ilustración 19: Créditos



Cuarto proceso (P04): Pagos

Objetivo del proceso: Administrar los diferentes tipos de pagos de los clientes de

manera eficiente.

Diagrama: Diagrama del cuarto proceso

Ilustración 20: Pagos



63

Cuarto proceso (P05): Registro de asistencia

Objetivo del proceso: Administrar los diferentes tipos de pagos de los clientes de

manera eficiente.

Diagrama: Diagrama del quinto proceso

Ilustración 21: Registro de asistencia



Cuarto proceso (P06): Ciclo contable

Objetivo del proceso: Realizar el proceso de registros que va desde el registro inicial de

las transacciones hasta los estados financieros finales

Diagrama: Diagrama del sexto proceso

Ilustración 22: Ciclo contable



64

3.4.3. Elaboración del FODA y de la Cooperativa “Rey David”

Posteriormente de a ver realizado un análisis detallado de la entidad financiera mediante

la observación, indagación, entrevistas y encuestas se ha determino algunas fortalezas y

debilidades existentes que son:

Tabla 23: Análisis interno

Análisis Interno

Factores

Fortalezas

Debilidades

Atención inmediata a los socios. Falta de conocimientos en el

área de informática.

Convenios con principales

instituciones del sector público.

Falta de capacitación a los

empleados de la cooperativa.

Cumple con las principales

obligaciones establecidas por la

ley.

Falta de seguridad física en la

entidad financiera.

La Cooperativa está ubicada en

un lugar estratégico de la ciudad.

Falta de organización.

Capacidad de respuesta oportuna

a los socios.

Reducido acceso a la tecnología.

Confianza y credibilidad a los

socios de la entidad financiera.

Falta de procedimientos y

políticas en el área de sistemas

para los mecanismos de control.



Tabla 24: Análisis externo

Análisis Externo

Oportunidades Amenazas

65

Factores

Mejorar la imagen

institucional.

Mercado competitivo alto.

Mejorar la calidad de

tecnología de información y

comunicación.

Conocimientos básicos e inadecuados

de las tecnologías de la información.

Nuevas tecnologías en

software y hardware.

No existen manuales de procesos y

procedimientos del uso adecuado de los

equipos de cómputo.

Campañas de capacitación

para empleados.

Existencia de empresas intermediarias

en los mecanismos de control de la

cooperativa.



3.4.4. Elaboración del plan de trabajo para la auditoría

Posteriormente realizado el estudio inicial y el análisis al entorno a auditar, se tiene una

perspectiva completa y ordenada de la Cooperativa “Rey David”, permitiendo llevar a

cabo la fase uno de la metodología determinada para la auditoría.

3.4.5. Selección de los procesos COBIT a auditar con relación a la Cooperativa

“Rey David”

La Cooperativa “Rey David”, para lograr sus objetivos corporativos necesita disponer

los recursos de Tecnologías de la Información por un grupo de procesos, agrupados de

forma que faciliten la información necesaria para conseguir lo establecido por la

institución financiera. Para lo cual se consideran los procesos COBIT para satisfacer

diferentes criterios de la información, cuyos procesos serán elegidos mediante un

formulario de entidad propuesto por ISACA en su libro “Cobit Implementation tool

set”, admitiendo ejecutar una adecuada clasificación de los procesos a auditar por medio

de un análisis de prioridades.

66

3.4.6. Formulario de Entidad

Mediante este formulario se determinó la importancia, el riesgo y los controles que se

realizan a los procesos, para la selección de esta información se realizaron las siguientes

preguntas:

Importancia: Aquí la persona encuestada según sus roles desempeñados en la

Cooperativa de ahorro y crédito “Rey David”, establece el nivel de importancia que crea

preciso, las opciones de respuesta serán presentadas de mayor a menor de la siguiente

manera:

• Muy importante

• Algo importante

• No importante

Riesgo: Aquí se busca que el encuestado indique el nivel de riesgo que se puede generar

en las tareas realizadas, para lo cual se presenta las siguientes alternativas:

• Alto

• Medio

• Bajo

Control Interno: Aquí se hace énfasis en la documentación aprobada y publicada en la

cooperativa, esta documentación hace referencia a las tareas realizadas. Las alternativas

a elegir por el encuestado son:

• Documentado

• No Documentado

• No está seguro

67


Fuente: (ISACA, 2019)

EDM01 Asegurar que se fija el Marco de Gobierno y su Mantenimiento

EDM02 Asegurar la Entrega de Valor

EDM03 Asegurar la Optimización de los Riesgos

EDM04 Asegurar la Optimización de los Recursos

EDM05 Asegurar la Transparencia a las partes interesadas

APO01 Administrar el Marco de la Administración de TI

APO02 Administrar la Estrategia

APO03 Administrar la Arquitectura Corporativa

APO04 Administrar la Innovación

APO05 Administrar el Portafolio

APO06 Administrar el Presupuesto y los Costos

APO07 Administrar el Recurso Humano

APO08 Administrar las Relaciones

APO09 Administrar los Contratos de Servicios

APO10 Administrar los Proveedores

APO11 Administrar la CalidadAPO12 Administrar los Riesgos

APO12 Administrar la Seguridad

MEA01 Monitorear, Evaluar y Valorar el Desempeño y Cumplimiento

MEA02Monitorear, Evaluar y Valorar el Sistema de Control Interno

MEA03Monitorear, Evaluar y Valorar el Cumplimiento con Requisitos Externos

BAI01 Administrar Programas y Proyectos

BAI02 Administrar la Definición de Requerimientos

BAI03 Administrar la Identificación y Construcción de Soluciones

BAI04 Administrar la Disponibilidad y Capacidad

BAI05 Administrar la Habilitación del Cambio

BAI06 Administrar Cambios

BAI07 Administrar la Aceptación de Cambios y Transiciones

BAI08 Administrar el Conocimiento

BAI09 Administrar los Activos

BAI10 Administrar la Configuración

DSS01 Administrar las Operaciones

DSS02 Administrar las Solicitudes de Servicios y los Incidentes

DSS03 Administrar Problemas

DSS04 Administrar la Continuidad

DSS05 Administrar los Servicios de Seguridad

DSS06 Administrar los Controles en los Procesos de Negocio

Monitorear, Evaluar y Valorar

Construir, Adquirir e Implementar

Entregar, Servir y Dar Soporte

Evaluar, Dirigir y Monitorear

Departamento

Cargo

Procesos COBIT

Alinear, Planear y Organizar

Alt

o

Med

io

Bajo

Do

cu

men

tad

o

No

Do

cu

men

tad

o

No

est

a s

eg

uro

Importancia

FORMULARIO DE ENTIDAD

Riesgo Control InternoM

uy

Imp

orta

nte

A

lgo

Imp

orta

nte

No

Im

po

rta

nte

Ilustración 23: Formulario de entidad que se usa en la Cooperativa “Rey David"

68

3.4.7. Modelo de Madurez

El modelo de madurez para la administración y el control de los procesos de

Tecnologías de Información se basa en un método de evaluación de la organización, de

tal forma que se pueda evaluar a si misma desde un nivel de no-existente (0) hasta un

nivel de optimizado (5). Este enfoque se deriva del modelo de madurez que el Software

Engineering Institute

Se define un estado de madurez para los procesos que son seleccionados el punto

anterior mediante el formulario de entidad, la escala incluye 0 a 5 porque es bastante

probable que no exista ningún proceso en absoluto. La escala 0-5 se basa en una escala

simple de madurez que muestra cómo evoluciona un proceso desde inexistente hasta

optimizado.

Se considera que una de las principales ventajas para utilizar el modelo de madurez

antes mencionado es la facilidad de auto evaluación ya que permite ubicarse a sí mismo

en un nivel y valorar los requerimientos para aplicar una mejora si así se requiere, los

principales objetivos del modelo de madurez están determinados de la siguiente manera:

• Donde se encuentra la cooperativa en la actualidad.

• La comparación.

• Donde se desea estar que la cooperativa se encuentre en un futuro.

Tabla 25: Nivel de madurez

NIVELES DE MADUREZ

0

NO EXISTENTE

Carencia completa de cualquier proceso reconocible. La

empresa no ha reconocido siquiera que existe un problema a

resolver

1

INICIAL

Existe evidencia que la empresa ha reconocido que los

problemas existen y requieren ser resueltos. Sin

embargo; no existen procesos estándar en su lugar existen

enfoquesad hoc que tienden a ser aplicados de forma

individual o caso por caso. El enfoque general hacia la

administración es desorganizado.

69

2

REPETIBLE

Se han desarrollado los procesos hasta el punto en que se

siguen procedimientos similares en diferentes áreas que

realizan la misma tarea. No hay entrenamiento o

comunicación formal de los procedimientos estándar, y se deja

la responsabilidad al individuo. Existe un alto grado de

confianza en el conocimiento de los individuos y, por lo tanto,

los errores son muy probables.

3

DEFINIDO

Los procedimientos se han estandarizado y documentado, y se

han difundido a través de entrenamiento. Sin embargo, se

deja que el individuo decida utilizar estos procesos, y

es poco probable que se detecten desviaciones. Los

procedimientos en sí no son sofisticados, pero formalizan las

prácticas existentes.

4

ADMINISTRADO

Es posible monitorear y medir el cumplimiento de

los procedimientos y tomar medidas cuando los procesos no

estén trabajando de forma efectiva. Los procesos están bajo

constante mejora y proporcionan buenas prácticas. Se usa la

automatización y herramientas de una manera limitada

o fragmentada.

5

OPTIMIZADO

Los procesos se han refinado hasta un nivel de mejor práctica,

se basan en los resultados de mejoras continuas y en un

modelo de madurez con otras empresas. TI se usa de forma

integrada para automatizar el flujo de trabajo, brindando

herramientas para mejorar la calidad y la efectividad, haciendo

que la empresa se adapte de manera rápida.


Fuente: (Ulloa Barrera, 2017)

3.4.8. Evaluación de riesgos de la tecnología de la información

3.4.8.1. Selección de los involucrados

70

Como muestra se consideró a todas las personas que laboran en la cooperativa Rey

David, puesto que esta población son 11 individuos aquí se tiene como fin determinar la

información más adecuada para realizar, un examen minucioso a lo misma.

Cabe mencionar que las personas fueron clasificadas mediante grupos de acuerdo con

las experiencias en sus respectivos puestos de trabajo, áreas y departamentos que tiene

la cooperativa

Parte Gerencial: Este nos dará a conocer cuáles son los temas de mayor interés a su

criterio, para posterior a ellos considerarlo en la auditoria.

Departamentos de la Cooperativa: La opinión de los jefes departamentales es

importante razón por la cual se considera que tienen que ser evaluados

Empleados: Proporcionan la información más puntual acerca del funcionamiento de la

cooperativa

3.4.8.2. Selección de los procesos COBIT prioritarios y de riesgo para la Cooperativa

Rey David

Aquí se consideró los procesos importantes para las personas encuestadas mediante el

Formulario de Entidad.

Antes de la aplicación de la encuesta, se capacitado a los empleados, jefes y directivos

de la cooperativa con relación a la aplicación de la metodología COBIT en su

cooperativa, los beneficios que esta nos ofrece y resultados que se aspira obtener.

Se dio una explicación detallada a los involucrados en la auditoria acerca de conceptos

básicos y principios de COBIT, identificando los cinco dominios que maneja la

metodología aplicada y sus 37 procesos relacionados con los diferentes dominios.

71

3.4.8.3. Resultados de encuestas de selección de procesos COBIT a auditar

Aquí se muestra los resultados obtenidos de las encuestas aplicadas a directivos, jefes y

empleados de la cooperativa para posterior a ello seleccionar los procesos de más

transcendencia acorde con la metodología COBIT.

Dominio: Evaluar, Dirigir y Monitorear

Matriz de encuesta: Formulario de Entidad diagnóstico de Prioridad y Riesgo.

Parámetro de Medición: Importancia y Riesgo

Tabla 26: Dominio: Evaluar, Dirigir y Monitorear

RESULTADOS DE INVOLUCRADOS

Ger

ente

Jef

e d

e

Dep

art

am

ento

Em

ple

ad

os

Pro

med

io

Imp

ort

an

cia

Evaluar, Dirigir y Monitorear Resultados

EDM01

Asegurar que se fija el Marco de Gobierno y su

Mantenimiento 6 5 5 5

EDM02 Asegurar la Entrega de Valor 5 5 4 5

EDM03 Asegurar la Optimización de los Riesgos 5 5 4 5

EDM04 Asegurar la Optimización de los Recursos 5 5 5 5

EDM05 Asegurar la Transparencia a las partes interesadas 5 4 4 4



Procesos COBIT que Destacan:



EDM03 Asegurar la Optimización de los Riesgos


Dominio: Alinear, Planear y Organizar



72

Tabla 27: Dominio: Alinear, Planear y Organizar


Ger

ente

Jef

e d

e

Dep

art

am

ento

Em

ple

ad

os

Pro

med

io

Imp

ort

an

cia

Alinear, Planear y Organizar Resultados

APO01

Administrar el Marco de la Administración de

TI 5 5 4 5

APO02 Administrar la Estrategia 5 6 5 5

APO03 Administrar la Arquitectura Corporativa 5 4 4 4

APO04 Administrar la Innovación 4 4 4 4

APO05 Administrar el Portafolio 5 4 5 5

APO06 Administrar el Presupuesto y los Costos 5 4 5 5

APO07 Administrar el Recurso Humano 4 3 5 4

APO08 Administrar las Relaciones 6 5 4 5

APO09 Administrar los Contratos de Servicios 4 5 4 4

APO10 Administrar los Proveedores 4 5 5 5

APO11 Administrar la Calidad 4 5 4 4

APO12 Administrar la Seguridad 5 4 5 5











Dominio: Monitorear, Evaluar y Valorar


73


Tabla 28: Dominio: Monitorear, Evaluar y Valorar


Ger

ente

Jef

e d

e

Dep

art

am

ento

Em

ple

ad

os

Pro

med

io

Imp

ort

an

cia

Monitorear, Evaluar y Valorar Resultados

MEA01

Monitorear, Evaluar y Valorar el Desempeño y

Cumplimiento 5 5 4 5

MEA02

Monitorear, Evaluar y Valorar el Sistema de Control

Interno 4 4 3 4

MEA03

Monitorear, Evaluar y Valorar el Cumplimiento con

Requisitos Externos 5 4 5 5





MEA03 Monitorear, Evaluar y Valorar el Cumplimiento con Requisitos Externos

Dominio: Construir, Adquirir e Implementar



Tabla 29: Dominio: Construir, Adquirir e Implementar


Ger

ente

Jef

e d

e

Dep

art

am

ento

Em

ple

ad

os

Pro

med

io

Imp

ort

an

cia

Construir, Adquirir e Implementar Resultados

BAI01 Administrar Programas y Proyectos 4 4 3 4

BAI02 Administrar la Definición de Requerimientos 5 5 5 5

BAI03 Administrar la Identificación y Construcción de 5 4 5 5

74

Soluciones

BAI04 Administrar la Disponibilidad y Capacidad 4 4 3 4

BAI05 Administrar la Habilitación del Cambio 5 4 5 5

BAI06 Administrar Cambios 3 3 4 3

BAI07

Administrar la Aceptación de Cambios y

Transiciones 5 4 5 5

BAI08 Administrar el Conocimiento 5 5 4 5

BAI09 Administrar los Activos 5 5 4 5

BAI10 Administrar la Configuración 5 6 6 6




BAI02 Administrar la Definición de Requerimientos

BAI03 Administrar la Identificación y Construcción de Soluciones

BAI05 Administrar la Habilitación del Cambio

BAI07 Administrar la Aceptación de Cambios y Transiciones

BAI08 Administrar el Conocimiento

BAI09 Administrar los Activos

BAI10 Administrar la Configuración

Dominio: Entregar, Servir y Dar Soporte



Tabla 30: Dominio: Entregar, Servir y Dar Soporte


Ger

ente

Jef

e d

e

Dep

art

am

ento

Em

ple

ad

os

Pro

med

io

Imp

ort

an

cia

Entregar, Servir y Dar Soporte Resultados

DSS01 Administrar las Operaciones 5 5 5 5

DSS02 Administrar las Solicitudes de Servicios y los 4 4 3 4

75

Incidentes

DSS03 Administrar Problemas 5 5 6 5

DSS04 Administrar la Continuidad 5 4 3 4

DSS05 Administrar los Servicios de Seguridad 6 6 6 6

DSS06

Administrar los Controles en los Procesos de

Negocio 5 4 4 4




DSS01 Administrar las Operaciones

DSS03 Administrar Problemas

DSS05 Administrar los Servicios de Seguridad

Resumen de los procesos COBIT seleccionados a Auditar

En la tabla de representación se muestra el impacto de los procesos escogidos

inicialmente sobre los criterios de control de COBIT y los recursos de TI COBIT.

Tabla 31: Resumen de los procesos COBIT seleccionados a Auditar

Recursos del

TI COBIT

Criterios de Información

COBIT

Procesos COBIT Escogidos

Ap

lica

ción

Info

rmaci

ón

Infr

aes

tru

ctu

ra

Per

son

as

Efe

ctiv

idad

Efi

cien

cia

Inte

gri

dad

Dis

pon

ibil

idad

Cu

mp

lim

ien

to

Con

fiab

ilid

ad


EDM01

Asegurar que se fija el

Marco de Gobierno y su

Mantenimiento

X X X X P S P P

EDM02

Asegurar la Entrega de

Valor X X X P P P

EDM03 Asegurar la Optimización X X S P P S P P

76

de los Riesgos

EDM04

Asegurar la Optimización

de los Recursos

X X X P P S P P


APO01

Administrar el Marco de

la Administración de TI X X X P P S P P

APO02 Administrar la Estrategia X X X P S P P

APO05 Administrar el Portafolio X X X P S P

APO06

Administrar el

Presupuesto y los Costos X X P S P P

APO08

Administrar las

Relaciones X X X P S P

APO10

Administrar los

Proveedores X X X P S S P

APO12 Administrar la Seguridad X X X X P P P S P


MEA01

Monitorear, Evaluar y

Valorar el Desempeño y

Cumplimiento

X X S P P

MEA03

Monitorear, Evaluar y

Valorar el Cumplimiento

con Requisitos Externos

X X X P S P P

Construir, Adquirir e

Implementar

BAI02

Administrar la Definición

de Requerimientos X X P S P

BAI03

Administrar la

Identificación y

Construcción de

Soluciones

X X P S P

BAI05

Administrar la

Habilitación del Cambio X X X X P P S P P P

77

BAI07

Administrar la Aceptación

de Cambios y

Transiciones

X X X X P S P P

BAI08

Administrar el

Conocimiento X X P P P P P P

BAI09 Administrar los Activos X X X P S P P P P

BAI10

Administrar la

Configuración X X P P P


DSS01

Administrar las

Operaciones X X X X P S P

DSS03 Administrar Problemas X X X X P P P P P P

DSS05

Administrar los Servicios

de Seguridad X X P P P P P P



La nomenclatura utilizada en la anterior tabla es la siguiente:

(P) Cuando el proceso tenga un impacto directo sobre el requerimiento de los criterios

de COBIT.

(S) Cuando el proceso tenga un impacto indirecto o secundario sobre los requerimientos

de los criterios de COBIT.

(Vacío) Cuando el proceso no tiene ningún impacto sobre los requerimientos de los

criterios de COBIT.

Aquí los recursos de COBIT tendrán una nomenclatura diferente que será simbolizada

de la siguiente manera:

(X) Cuando el proceso seleccionado tenga impacto sobre los recursos de del TI.

78

(Vacío) Cuando el proceso seleccionado no tiene ningún impacto sobre los recursos del

TI.

Mediante los porcentajes propuestos en la metodología para el manejo de riesgos por

COSO, se asignara un valor promedio para los procesos de impacto primario y

al igual para los de impacto secundario. (Ulloa Barrera, 2017)

Esto nos permitirá obtener un porcentaje de los criterios de la información manejados en

la tabla anterior, los impactos a manejar serán clasificados de la siguiente manera:

(Ulloa Barrera, 2017)

Tabla 32: Porcentaje de los criterios

PORCENTAJE IMPACTO PROMEDIO

15% 50% BAJO 16%

51% 75% MEDIO (S) 52%

76% 95% ALTO (P) 92%


Fuente: (Ulloa Barrera, 2017)

Aquí vamos determinar los porcentajes conseguidos, acorde al impacto de los procesos

COBIT sobre los criterios de la información elegidos anteriormente, por medio de lo

planteado por COSO se determinará un valor de 92% a los de impacto primario y un

52% cuando el impacto sea secundario y espacio en blanco (vacío) cuando el impacto

sea nulo, asignándolo de la siguiente manera:

Tabla 33: Porcentajes de los procesos de impacto

Criterios de Información

COBIT

Procesos COBIT Escogidos

Efe

ctiv

idad

Efi

cien

cia

Inte

gri

dad

Dis

pon

ibil

idad

Cu

mp

lim

ien

to

Con

fiab

ilid

ad


79

EDM01

Asegurar que se fija el Marco de

Gobierno y su Mantenimiento 0,92 0,52 0,92 0,92

EDM02 Asegurar la Entrega de Valor 0,92 0,92 0,92

EDM03 Asegurar la Optimización de los Riesgos 0,52 0,92 0,92 0,52 0,92 0,92

EDM04

Asegurar la Optimización de los

Recursos 0,92 0,92 0,52 0,92 0,92


APO01

Administrar el Marco de la

Administración de TI 0,92 0,92 0,52 0,92 0,92

APO02 Administrar la Estrategia 0,92 0,52 0,92 0,92

APO05 Administrar el Portafolio 0,92 0,52 0,92

APO06 Administrar el Presupuesto y los Costos 0,92 0,52 0,92 0,92

APO08 Administrar las Relaciones 0,92 0,52 0,92

APO10 Administrar los Proveedores 0,92 0,52 0,52 0,92

APO12 Administrar la Seguridad 0,92 0,92 0,92 0,52 0,92


MEA01

Monitorear, Evaluar y Valorar el

Desempeño y Cumplimiento 0,52 0,92 0,92

MEA03


Cumplimiento con Requisitos Externos 0,92 0,52 0,92 0,92


BAI02

Administrar la Definición de

Requerimientos 0,92 0,52 0,92

BAI03

Administrar la Identificación y

Construcción de Soluciones 0,92 0,52 0,92

BAI05 Administrar la Habilitación del Cambio 0,92 0,92 0,52 0,92 0,92 0,92

BAI07


Transiciones 0,92 0,52 0,92 0,92

BAI08 Administrar el Conocimiento 0,92 0,92 0,92 0,92 0,92 0,92

BAI09 Administrar los Activos 0,92 0,52 0,92 0,92 0,92 0,92

BAI10 Administrar la Configuración 0,92 0,92 0,92

80


DSS01 Administrar las Operaciones 0,92 0,52 0,92

DSS03 Administrar Problemas 0,92 0,92 0,92 0,92 0,92 0,92

DSS05 Administrar los Servicios de Seguridad 0,92 0,92 0,92 0,92 0,92 0,92



Evaluación del nivel de madurez actual de los procesos críticos seleccionados.

Aquí se procesarán las tablas de madurez de los procesos elegidos preliminarmente,

teniendo en cuenta el entorno actual en el que se encuentra la Cooperativa “Rey David”,

mediante los criterios de información de la tabla anterior.

Para lo cual se obtendrá de los procesos COBIT que fueron elegidos anteriormente, por

medio del formulario de entidad elaborado a los empleados de la Cooperativa “Rey

David”.

Análisis del estado de madurez del dominio: Evaluar, Dirigir y Monitorear


Facilitar orientación para la eficacia del gobierno y mantenimiento de la Cooperativa

“Rey David”. Para responder las disposiciones referentes a TI y de conozcan las

estrategias y objetivos de la cooperativa, y así garantizar el control de los conocimientos

de carácter elegible y transparente, para el desempeño de las exigencias que se han

alcanzado las obligaciones para la gerencia de la entidad financiera.


Certificar una cuantía recomendable de las decisiones de las TI, valores y activos

utilizables, para la eficientemente entrega de valores y recursos para una posición

confidencial de los costes y de la ayuda para cubrir las necesidades de la Cooperativa

“Rey David”, para que haya la positiva y eficiente entrega de valores.

81

EDM03Asegurar la Optimización de los Riesgos

Para la optimización de riesgos se plantea realizar una estrategia, ya que los procesos

evaluados en toda la Cooperativa “Rey David”, y con la observación y contestación a

los riesgos que pueden ser vulnerables la cooperativa se dio a conocer las capacidades y

conocimientos de los empleados de dicha entidad financiera.

De esta manera se da a conocer por medio de la información proporcionada se mejorar

el conocimiento ante los riesgos en su puesto de trabajo, y así logren fundar y dirigir la

Cooperativa “Rey David” mediante la estrategia de a optimización de riesgos.


Para la optimización se implantará trabajos de perfeccionamiento en las tareas que

entran en la obtención los servicios que ofrecemos desde la Cooperativa “Rey David”,

este proyecto es de mucha importancia ya que, los trabajos mejoran constantemente ya

que están orientadas para el servicio que se ofrece a los socios y de esta manera ayudar

con las necesidades de la optimización de los recursos.

Análisis del estado de madurez del dominio: Alinear, Planear y Organizar


La Cooperativa “Rey David” no cuenta con un departamento de TIC’s por lo cual no se

ha determinado ninguna administración del marco de la administración de TI, ignorando

por completo los beneficios que le podría ofrecer la administración del marco de la

administración de TI a la Cooperativa “Rey David” al momento de alcanzar sus metas y

objetivos de la entidad financiera.

Aquí se recomienda la creación de un Departamento de TIC’s para realizar una correcta

administración del marco de la administración de TI de forma rápida, que permitirá un

82

superior manejo de los recursos del TI de la Cooperativa “Rey David”, reconociendo un

óptimo servicio a los socios y a los empleados de la cooperativa.


La Cooperativa “Rey David” no cuenta un plan de estrategia ordenado con el plan

estratégico institucional, y un plan activo que constituya las acciones a elaborar a corto

plazo, de modo que se certifique la meta de los objetivos colectivos planteados.

Se recomida establecer un plan de estrategia tecnológica, acorde a las operaciones de la

cooperativa proyectada, según las necesidades para así lograr el crecimiento de la

institución financiera.


La Cooperativa “Rey David”, no tiene una administración adecuada de portafolio.

Por lo cual se recomienda en disponer adecuadamente un portafolio de inversión de las

tecnologías de la información, y de esta manera poder conseguir los objetivos

transcendentales de la entidad financiera.


La Cooperativa “Rey David”, no posee una administración adecuada para la

administración para el presupuesto y los costos.

Por lo cual se recomienda un balance del presupuesto y el costo real con los calculados

para obviar desvíos y tomar correctivos adecuados y así controlar la cooperación de las

futuras inversiones en consecuencias recomendables para el desempeño y así lograr las

metas y objetivos de la entidad financiera.

83


La Cooperativa “Rey David”, no administra de una forma adecuada las relaciones y

carecen de conocimiento de TI.

Tratar la administración de la cooperativa y TI para así poder orientar el objetivo usual

para lograr efectos corporativos buenos con los objetivos importantes y entre las

limitaciones y los riesgos.


La administración de proveedores adecuada, para que permita distinguir entre diferentes

opciones, y así escoger a la tenga mejores opciones que se puntualicen para asi llega a

las metas propuestas por la cooperativa.


Facilitar información apropiada sobre el estado actual de muestras y procedimientos

adecuados con la relación con TI de una manera pertinente a todos los departamentos

necesarios de la cooperativa, y así lograr una contestación oportuna que informen los

riesgos existentes en las entidades financieras, y así ayudar eficientemente para la

administración de la seguridad de manera positiva.

Tabla 34: Tabla de reporte nivel de madurez

PROCESOS EVALUADOS

GR

AD

O

DE

MA

DU

REZ


EDM01 Asegurar que se fija el Marco de Gobierno y su Mantenimiento 1

EDM02 Asegurar la Entrega de Valor 2

EDM03 Asegurar la Optimización de los Riesgos 2

EDM04 Asegurar la Optimización de los Recursos 1


84

APO01 Administrar el Marco de la Administración de TI 1

APO02 Administrar la Estrategia 1

APO05 Administrar el Portafolio 2

APO06 Administrar el Presupuesto y los Costos 2

APO08 Administrar las Relaciones 1

APO10 Administrar los Proveedores 1

APO12 Administrar la Seguridad 0


MEA01 Monitorear, Evaluar y Valorar el Desempeño y Cumplimiento 1

MEA03 Monitorear, Evaluar y Valorar el Cumplimiento con Requisitos

Externos

1


BAI02 Administrar la Definición de Requerimientos 1

BAI03 Administrar la Identificación y Construcción de Soluciones 0

BAI05 Administrar la Habilitación del Cambio 2

BAI07 Administrar la Aceptación de Cambios y Transiciones 2

BAI08 Administrar el Conocimiento 1

BAI09 Administrar los Activos 1

BAI10 Administrar la Configuración 0


DSS01 Administrar las Operaciones 1

DSS03 Administrar Problemas 0

DSS05 Administrar los Servicios de Seguridad 0



3.4.9. Resultado final del impacto sobre los criterios de la información COBIT

Aquí se muestra la tabla que tiene los resultados del impacto que se obtuvo de los

criterios de información de COBIT, los valores fueron obtenidos mediante una

multiplicación de los valores determinados para los impactos de los criterios de

información los cuales fueron primarios y secundarios, y por los estados de madurez

alcanzados por cada proceso los cuales fueron obtenidos de la siguiente manera:

85

Total real, fue obtenido de la suma de cada una de las columnas de los criterios.

Total ideal, fue obtenido de la suma de las columnas de los criterios multiplicada por el

grado de madurez más alto.

Porcentaje final, alcanzado de cada uno de los criterios de información, realizando una

división del valor real para el valor ideal y multiplicándolo por 100.

Tabla 35: Resultado final del impacto sobre los criterios de la información COBIT

Criterios de Información COBIT

PROCESOS COBIT SELECIONADOS

Efic

ien

cia

Efec

tivi

dad

Inte

grid

ad

Dis

po

nib

ilid

ad

Cu

mp

limie

nto

Co

nfi

abili

dad


EDM0

1

Asegurar que se fija el Marco de

Gobierno y su Mantenimiento 0.92 0.52 0.92 0.92

EDM0

2 Asegurar la Entrega de Valor 0.92 0.92 0.92

EDM0

3 Asegurar la Optimización de los Riesgos 0.52 0.92 0.52 0.92 0.92 0.92

EDM0

4

Asegurar la Optimización de los

Recursos 0.00 0.00 0.00 0.00 0.00


APO01

Administrar el Marco de la

Administración de TI 0.00 0.00 0.00 0.00 0.00

APO02 Administrar la Estrategia 0.92 0.52 0.92 0.92

APO05 Administrar el Portafolio 0.00 0.00 0.00

APO06 Administrar el Presupuesto y los Costos 0.92 0.52 0.92 0.92

APO08 Administrar las Relaciones 0.92 0.92 0.52

APO10 Administrar los Proveedores 0.92 0.52 0.92 0.52

APO12 Administrar la Seguridad 0.00 0.00 0,00 0,00 0,00


86

MEA0

1


Desempeño y Cumplimiento 0.52 0.92 0.92

MEA0

3


Cumplimiento con Requisitos Externos 0.92 0.52 0,92 0.92


BAI02

Administrar la Definición de

Requerimientos 0.92 0.92 0.52

BAI03

Administrar la Identificación y

Construcción de Soluciones 0.92 0.52 0.92

BAI05 Administrar la Habilitación del Cambio 0.92 0.92 0.92 0.92 0.92 0.52

BAI07


Transiciones 0.92 0.52 0.92 0.92

BAI08 Administrar el Conocimiento 0.92 0.92 0.92 0.92 0.92 0.92

BAI09 Administrar los Activos 0.92 0.52 0.92 0.92 0.92 0.92

BAI10 Administrar la Configuración 0.00 0.00 0.00


DSS01 Administrar las Operaciones 0.92 0.52 0.92

DSS03 Administrar Problemas 0.00 0.00 0.00 0.00 0.00 0.00

DSS05 Administrar los Servicios de Seguridad 0.00 0.00 0.00 0.00 0.00 0.00

TOTAL REAL 13.9 7.7 6.7 14.7 4.6 5.8

TOTAL IDEAL 69.6 61.8 33.4 88.3 32.2 28.8

PROMEDIO 20.0 12.5 20.0 16.7 14.3 20.0



3.4.10 Presentación grafica del impacto de los Criterios de Información

Aquí se realizará la interpretación grafica del impacto de cada criterio de información,

establecida en los porcentajes derivados en la tabla anterior.

Efectividad: Se alcanzó un porcentaje del 20% con relación al 100%, significando que

la información significativa manipulada regularmente en los procesos en la Cooperativa

87

“Rey David”, es facilitada de manera adecuada, veras y permanente en un 20%,

habiendo un 80% de inefectividad en el proceso.

Eficiencia: Se logró un porcentaje 12,5% con relación al 100%, cabe señalar que la

información obtenida por la Cooperativa “Rey David”, por lo cual sus recursos poseen

una eficiencia del 12,5%, dejando una ineficiencia del 87,5%.

Integridad: Se obtuvo un porcentaje 20% con relación al 100%, significando que la

repartición cotidiana de la información en la Cooperativa “Rey David”, tiene una

precisión y eficacia para efectuar las perspectivas de la cooperativa en un 20%, teniendo

un 80% de ineficiencia.

Disponibilidad: Se alcanzó un porcentaje 16,7% con relación al 100%, mediante el

porcentaje obtenido sabemos decir que la información en la Cooperativa “Rey David”,

al momento de ser solicitada por los procesos de la cooperativa y contenidos

incorporados a disponibilidad de información desempeña con un 16,7%, desistiendo un

repertorio de ineficiencia del 83,3%.

Cumplimiento: Se logró un porcentaje 14,3% con respecto al 100%, mediante el

cumplimiento de la Cooperativa “Rey David”, con relación a leyes ordenanza para el

procedimiento de la información es de un 14,3% la ineficiencia es de un 85,7%.

Confiabilidad: Se consiguió un porcentaje 20% con respecto al 100%, cabe señalar que

la Cooperativa “Rey David”, tiene la información inadecuada para la gerencia de toma

de decisiones para desempeñar con los compromisos de la cooperativa en un 20,0%,

siendo la inconfiabilidad es de un 80%

En la siguiente grafica se muestra el análisis previamente realizado más detallada

mente.

88

Ilustración 24: Presentación grafica del impacto de los Criterios de Información



3.4.11. Informe Técnico

Alcance: Por medio de esta auditoria se aspira valorar la etapa real de la Cooperativa

“Rey David”, apreciando los procesos elegidos de los cinco dominios desplegados por

COBIT y de esta manera poder ofrecer las concernientes conclusiones y

recomendaciones a la Cooperativa “Rey David”.

Objetivo: El presente trabajo asumió tal objetivo ejecutar una auditoría informática

empleando la metodología COBIT 5 en la Cooperativa “Rey David”.

Metodología: La auditoría estuvo ejecutada por medio del marco de trabajo COBIT

5.0, puesto que su objetivo principal es optimizar los conocimientos de la cooperativa

en la cual se está administrando, por medio de cinco dominios los cuales quedan

combinados por 37 procesos mostrando las acciones de una forma manejable y

analizando el control previamente para la realización.

0 5 10 15 20

Eficiencia

Efectividad

Integridad

Disponibilidad

Cumplimiento

Confiabilidad

20

12,5

20

16,7

14,3

20

89

Desarrollo: Aquí, se muestra los procesos elegidos de los cinco dominios de COBIT

con la ayuda del referente nivel de madurez, una conclusión del proceso y las

recomendaciones emitidas por COBIT.

Tabla 36: Reporte de nivel de madurez

PROCESOS EVALUADOS

GR

AD

O

DE

MA

DU

REZ


EDM01 Asegurar que se fija el Marco de Gobierno y su Mantenimiento 1

EDM02 Asegurar la Entrega de Valor 2

EDM03 Asegurar la Optimización de los Riesgos 2

EDM04 Asegurar la Optimización de los Recursos 1


APO01 Administrar el Marco de la Administración de TI 1

APO02 Administrar la Estrategia 1

APO05 Administrar el Portafolio 2

APO06 Administrar el Presupuesto y los Costos 2

APO08 Administrar las Relaciones 1

APO10 Administrar los Proveedores 1

APO12 Administrar la Seguridad 0


MEA01 Monitorear, Evaluar y Valorar el Desempeño y Cumplimiento 1

MEA03 Monitorear, Evaluar y Valorar el Cumplimiento con Requisitos

Externos 1


BAI02 Administrar la Definición de Requerimientos 1

BAI03 Administrar la Identificación y Construcción de Soluciones 0

BAI05 Administrar la Habilitación del Cambio 2

BAI07 Administrar la Aceptación de Cambios y Transiciones 2

90



Por medio de los estados de madurez de los procesos elegidos, se ejecutó un análisis

individual de cada uno de los procesos para dar a saber una conclusión de fase del

proceso en la cooperativa y las concernientes recomendaciones planteadas por COBIT,

para así poder lograr un nivel mejor de madurez

DOMINIO: EVALUAR, DIRIGIR Y MONITOREAR.

EDM01 Asegurar que se fija el Marco de Gobierno y su Mantenimiento (nivel de

madurez 1)

Recomendaciones COBIT

• Cuidar el apropiado cumplimiento y aplicación de las destrezas que procedan de

para mejorar el Marco de Referencia de Gobierno.

• Describir un modelo estratégico de toma de decisiones para que sean efectivas y

estén alineadas con el ambiente externo e interno de la cooperativa y los

requerimientos.

• Certificar que el Marco de Referencia de Gobierno que sea funcional y este

asociado a la distribución de la cooperativa.

EDM02 Asegurar la Entrega de Valor (nivel de madurez 2)


BAI08 Administrar el Conocimiento 1

BAI09 Administrar los Activos 1

BAI10 Administrar la Configuración 0


DSS01 Administrar las Operaciones 1

DSS03 Administrar Problemas 0

DSS05 Administrar los Servicios de Seguridad 0

91

• Satisfacción del desempeño del servicio de Tecnologías de la Información en la

Cooperativa “Rey David”.

• Concienciación para realizar de innovación de Tecnologías de la Información en

la Cooperativa “Rey David”.

• Mejorar la gestión ejecutiva para la entrega de valor y los costes de Tecnologías

de la Información adecuados.

EDM03 Asegurar la Optimización de los Riesgos (nivel de madurez 2)


• Inspeccionar y eliminar los riesgos de la Cooperativa “Rey David”.

• Impartir conocimientos para los riesgos existentes en la cooperativa.

• Eficacia para la mejoría de los riesgos de la cooperativa.

EDM04 Asegurar la Optimización de los Recursos (nivel de madurez 1)


• Observar los procesos para la adecuada optimización de los recursos de la


• Implantar KPIs y así obtener mayor eficiencia de los procesos, certificando un

enfoque imparcial en los procesos de optimización de los recursos de la


• Examinar los fundamentos para la toma de decisiones pertinentes y de los

resultados logrados.

DOMINIO: ALINEAR, PLANEAR Y ORGANIZAR



• Planear y monitorear las acciones ordenadas con la orientación determinada para

así lograr los objetivos de la Cooperativa “Rey David”.

92

• Conseguir disposición y eficacia en las operaciones de Tecnologías de la

Información.

• Responsabilidades a los empleados dentro de una organización determinada

dentro de la cooperativa que permita resolver el adecuado comportamiento de

las Tecnologías de la Información.



• Establecer un plan estratégico de Tecnologías de la Información, y así aprobar,

formar las tecnologías de la información con el plan estratégico para la


• Realizar evaluaciones internas para así observar las debilidades y fortalezas de la

Cooperativa “Rey David”, y de esta manera realizar un plan estratégico

adecuado.

• Para el plan de estrategia crear labores demandadas para su desempeño, se

reunirán los recursos precisos y la responsabilidad de su adecuado

cumplimiento.



• Establecer un plan estratégico de Tecnologías de la Información, y así aprobar,

formar las tecnologías de la información con el plan estratégico para la


• Realizar evaluaciones internas para así observar las debilidades y fortalezas de la

Cooperativa “Rey David”, y de esta manera realizar un plan estratégico

adecuado.

• Para el plan de estrategia crear labores demandadas para su desempeño, se

reunirán los recursos precisos y la responsabilidad de su adecuado

cumplimiento.

93



• Garantizar la sostenibilidad financiera para la Cooperativa “Rey David”.

• Elaborar estrategias para una adecuada toma de decisiones para el mejoramiento

de la Cooperativa “Rey David”.

• Encomendar y realizar medidas de acciones correctivas cuando sean requeridas

para la cooperativa.



• Cumplir con las expectativas del negocio y así mejorar la actual administración

de la Cooperativa “Rey David”.

• Mejorar oportunidades, reconocer riesgos y limitaciones de Tecnologías de las

Información para así mejorar la cooperativa.

• Suministrar información para la mejora continua de los servicios en la

cooperativa.



• Contratos con proveedores apropiadamente y en un tiempo prudente en la


• Proveedores que certifiquen la elección del mejor para que se aplique a los

requisitos requeridos.

• Conservar un inventario de los riesgos conteniendo reiteración de impacto

potencial y respuestas.



94

• Garantizar que la tecnología importante relacionada con la seguridad no sea

susceptible de sabotaje y que la documentación de seguridad de la Cooperativa

“Rey David” no sea divulgada.

• Desarrollar medidas de prevención, detección y corrección.

• Encomendar que los servicios de datos sensibles sean intercambiadas de una

manera adecuada y así asegurar la información.

Análisis del estado de madurez del dominio: Monitorear, Evaluar y Valorar



• Realizar aportes significativos para las Tecnologías de la Información para

mejorar los riesgos diagnosticados en la Cooperativa “Rey David”.

• Desarrollo de actualizaciones del perfil de riesgo.

• Concientizar en la entrega de bienes para las Tecnologías de la Información.

95

Conclusiones

• No existe un Departamento de TIC’s en la Cooperativa de ahorro y crédito

“Rey David”.

• Los empleados de la Cooperativa tienen los conocimientos básicos sobre

seguridad informática y esto hace que esté en riesgo la información que

manejan diariamente.

• En la Cooperativa de ahorro y crédito “Rey David”, no se ha realizan

auditorias informáticas internas anualmente, lo que dificulta una apropiada

continuidad en el área de sistemas para la entidad financiera.

• La cooperativa carece de una correcta administración de riesgos en TI.

• La Infraestructura tecnológica no es la correcta, a pesar de que este recurso

es de mayor importancia para la Cooperativa

• El mantenimiento de los equipos de cómputo, se realizan externamente y

esto hace que la información de la cooperativa sea vulnerable.

• La Cooperativa no cuenta con planes estratégicos.

• No se pudo observar una correcta gestión de los recursos informáticos

conforme a las necesidades funcionales de la Cooperativa de ahorro y crédito

“Rey David”

96

Recomendaciones

• Establecer inmediatamente un esquema de clasificación de información que

implique a toda la cooperativa (en casos de confidencial) ya que, al carecer

de un correcto esquema de clasificación de información, es imposible aplicar

un método de seguridad eficaz y eficiente para la Cooperativa de ahorro y

crédito “Rey David”.

• Se recomienda que el encargo del área de sistemas implemente el plan de

contingencia elaborado para la cooperativa.

• Mediante lo observado y mediante esto liberado conclusiones, en el presente

proyecto investigativo es responsabilidad de la cooperativa tomar en cuentas

las recomendaciones expuestas de la Auditoría Informática.

Bibliografía

Loor Párraga, A. C., & Espinoza Castillo, V. A. (2014). AUDITORÍA DE

SEGURIDAD FÍSICA Y LÓGICA A LOS RECURSOS DE TECNOLOGÍA

DE INFORMACIÓN EN LA CARRERA INFORMÁTICA DE LA ESPAM

MFL. CALCETA.

Secretaría Nacional de Planificación y Desarrollo. (2017). Plan Nacional de Desarrollo

2017-2021. Quito: Autoedición.

Acosta Jordán, M. G. (2016). AUDITORÍA INFORMÁTICA PARA LA

OPTIMIZACIÓN DEL FUNCIONAMIENTO DE LOS SISTEMAS Y

EQUIPOS INFORMÁTICOS DE LA FACULTAD DE INGENIERÍA EN

SISTEMAS, ELECTRÓNICA E INDUSTRIAL. Ambato.

Baquero, K., & Guamán, K. (2013). COBIT (Objetivos de Control para la Información

y Tecnologías Relacionadas). Milaro: UNEMI.

CoacReyDavid. (2019). Rey David ltda. Obtenido de Rey David ltda:

http://www.coacreydavid.com/index.php/nosotros/resena-historica.html

Cruz Martínez , A. (2011). Intervención del estado colombiano en el sector solidario.

Colombia: Universidad del Rosario.

Delgado Rojas, X. (1998). Auditoría informatica. EUNED.

Diaz Pomasqui, K. (2017). Aplacacion web para la gestion . Ambato: UNIANDES.

Echenique García, J. (2007). Auditoría en Informática. España: Imagen.

Espinoza , A. (2007). Auditoria Informática para los Departamentos Financiero,

Tesorería, Proveeduría, Agencia Norte y Agencia Sur de la Empresa Municipal

de Agua Potable y Alcantarillado de Ambato. Ambato.

Hernández Hernández, E. (2000). Auditotía en informática. Mexico: Cultural.

Huesca Aguilar, G. (2013). Introducción a la auditoría informática. California:

Microsoft® Word .

ISACA. (s/n de s/n de 2019). Introducing COBIT 2019. Obtenido de Introducing

COBIT2019:

https://www.isaca.org/cobit/pages/default.aspx?cid=SEM_1234573&appeal=se

m&gclid=EAIaIQobChMIkZKsisH74gIVlAOGCh3CnwMMEAAYASAAEgK

0-_D_BwE&gclsrc=aw.ds

Jiménez, Y. (2009). Auditoría. El Cid.

Koopmans, R. (2006). AD38S Iniciar una cooperativa. Paises bajos: Agromisa

Foundation.

Manso, G. (27 de 03 de 2008 ). GERONET. Obtenido de GERONET:

http://www.geronet.com.ar/?p=48

Mazza, N. (2014). Gestión Estratégica de Recursos Informáticos. Sustentum.

Minguillón Roy, A. (2010). La auditoría de sistemas de información integrada en la

auditoría financiera. La perspectiva del sector público. Comunitat Valenciana:

Generalitat.

Mora Quiró, E. (2017 ). Auditoría Informática. San José: IAICR .

Muñoz Razo , C. (2002). Auditoría en sistemas computacionales. Mexico : Pearson.

Nguyen, T. (2 de febrero de 2010). wordpress.com. Obtenido de wordpress.com:

https://oala2010.wordpress.com/tag/sintomas-para-auditoria/

Orozco Vílchez, J. (1986). Doctrina cooperativa: antología. Costa Rica: EUNED.

Ortiz Collaguazo, H. D. (2016). Auditoría informática aplicando la metodología cobit

4.1 en el departamento de sistemas perteneciente al GRUPO KFC.

LATACUNGA : UTC LATACUNGA .

Pardo Martínez , C. (2008). Los sistemas y las auditorías . Bogóta : Imagen.

Parra Ramiréz, R. (2006). Metodo y Conocimiento. Colombia: EAFIT.

Peña Ibarra, J. (3 de Mayo de 2012). ISACA. Obtenido de ISACA:

https://www.isaca.org/chapters7/Monterrey/Events/Documents/20120305%20C

obiT%205.pdf

Piattini Velthuis , M. G. (2001). Auditoria Informatica Un enfoque practico. Bogota:

ALFAOMEGA.

Pinilla Forero, J. D. (1997). Auditoria informatica: Aplicaciones en produccion. s/c:

Ecoe.

Porras Rodriguez, D. (2013). ISACA. Obtenido de https://www.isaca.org/About-

ISACA/History/Espanol/Pages/default.aspx

Puerto Manchón, R. (2017). Sistemas Informáticos en Tiempo Real. Mexico: bv.

Rivas, G. A. (1989). Auditoría informática. Ediciones Díaz de Santos.

Sevilla Tendero, J. (2012). Auditoría de los sistemas de getión . Madrid: Graficas

Marcar.

Solis, A. (2007). Auditoría Informática para los Departamentos Técnico, Administrativo

Gerencia, Asesoría Jurídica, Archivos y la Agencia Centro de la Empresa.

Ambato.

Ttributos. (27 de 05 de 2018). Tributus.net. Obtenido de

https://www.tributos.net/definicion-de-cooperativa-785/

Ulloa Barrera, J. G. (2017). Auditoría informática aplicandola metodologíaCOBIT enel

Gobierno Autónomo Descentralizado Municipal de San Cristóbal de Patate.

Ambato.

Villagómez, C. (20 de 11 de 2017). CCM. Obtenido de https://es.ccm.net/contents/596-

cobit

WOCCU. (30 de Julio de 2014). aciamericas.coop. Obtenido de

https://www.aciamericas.coop/Nuevo-informe-estadistico-mundial

Yangua Jumbo , B. E. (2014). AUDITORÍA INFORMÁTICA Y SU INCIDENCIA EN

LOS RIESGOS PARA EL MANEJO DE LA INFORMACIÓN EN LA

COOPERATIVA DE AHORRO Y CRÉDITO. AMBATO.

Anexos

Anexo 1 Cuestionario para la encuesta

Anexo 2 Guía de la entrevista

Anexo 3 Guía de observación

Anexo 4 Cuestionario para la encuesta 2

Anexo 5 APO01 Administrar el Marco de la Administración de TI

Anexo 6 APO02 Administrar la Estrategia

Anexo 7 APO05 Administrar el Portafolio

Anexo 8 APO06 Administrar el Presupuesto y los Costos

Anexo 9 APO08 Administrar las Relaciones

Anexo 10 APO10 Administrar los Proveedores

Anexo 11 APO12 Administrar la Seguridad

Anexo 12 MEA01 Monitorear, Evaluar y Valorar el Desempeño y Cumplimiento

Anexo 13 MEA03 Monitorear, Evaluar y Valorar el Cumplimiento con Requisitos

Externos

Anexo 14 BAI02 Administrar la Definición de Requerimientos

Anexo 15 BAI03 Administrar la Identificación y Construcción de Soluciones

Anexo 16 BAI05 Administrar la Habilitación del Cambio

Anexo 17 BAI07 Administrar la Aceptación de Cambios y Transiciones

Anexo 18 BAI08 Administrar el Conocimiento

Anexo 19 BAI10 Administrar la Configuración

Anexo 20 DSS01 Administrar las Operaciones

Anexo 21 DSS03 Administrar Problemas

Anexo 22 DSS05 Administrar los Servicios de Seguridad

Anexo 1


“UNIANDES”

ENCUESTA DIRIGIDA A LOS EMPLEADOS DE LA




Instrucciones:

• Lea cuidadosamente el instrumento

• Responda con objetividad y veracidad toda la encuesta.

• Gracias por su cordial ayuda.

1. ¿Conoce Ud. si la Cooperativa cuentas con un Departamento de TIC’s?

SI ( )

NO ( )

2. ¿Conoce Ud. si la Cooperativa ha llevado a cabo en los 2 últimos años una

Auditoria informática?

SI ( )

NO ( )

3. ¿Ud. tiene un manual donde este establecido los procedimientos para el uso de

los equipos de cómputo?

SI ( )

NO ( )

4. Considera que los Sistemas Informáticos implementados en su computador son:

Rápidos ( )

Muy rápidos ( )

Medianamente rápidos ( )

Lentos ( )

Muy lentos ( )

5. ¿En alguna ocasión ha existido errores en la información que Ud. maneja?

SI ( )

NO ( )

6. ¿Ha existido en alguna ocasión fallas en los sistemas computacionales?

Siempre ( )

A veces ( )

Nunca ( )

7. ¿Considera Ud. que es necesario realizar un control de los recursos informáticos

existentes en la Cooperativa?

SI ( ) NO ( )

Anexo 2


“UNIANDES”

ENTREVISTA DIRIGIDA AL GERENTE DE LA




1. La Cooperativa cuenta con un Departamento de TIC’s

2. La Cooperativa cuenta con un diagrama funcional de los empleados del

Departamento de TIC’s

3. La cooperativa tiene establecido procedimientos para el uso adecuado de equipos de

cómputo

4. ¿La cooperativa cuenta con un inventario actualizado de disponibilidad de recursos

informáticos?

5. ¿Se realiza revisiones periódicas para determinar si la capacidad y desempeño del

recurso informático son suficientes?

6. ¿Conoce usted sobre los riesgos que existe en el manejo de la información?

7. ¿Conoce usted cuáles son los procedimientos de seguridad que debe seguir en caso

de que exista un ataque o falla informática en su computador?

8. ¿Se encuentran establecidas medidas de prevención, detección y corrección para

proteger a los sistemas informáticos de software malicioso y virus informáticos?

9. Se ha realizado en alguna ocasión una auditoria informática en la cooperativa

a. Qué tipo de Auditoria

b. Cuáles fueron los motivos que impulsaron a realizar esa auditoria

10. ¿Cree que hacer auditorias constantemente sea beneficioso para un mejor control del

centro de datos?

11. ¿Cuenta la entidad con un plan de contingencia en caso de una emergencia o falla

computacional?

12. ¿Considera que una Auditoria Informática externa es necesaria actualmente dentro

de la Cooperativa?

Anexo 3


“UNIANDES”

Anexo 4


“UNIANDES”

ENCUESTA DIRIGIDA A LOS EMPLEADOS DE LA

“COOPERATIVA REY DAVID”



Instrucciones:

• Lea cuidadosamente el instrumento

• Responda con objetividad y veracidad toda la encuesta.

• Gracias por su cordial ayuda.

1. El acceso a la información que Ud. maneja es restringido a personas ajenas a la

cooperativa

a. SI ( ) NO ( )

2. Considera que la seguridad de la información que Ud. maneja en la cooperativa

es la adecuada

a. SI ( ) NO ( )

3. A su criterio se debería mejorar el manejo de la información en la cooperativa

a. SI ( ) NO ( )

4. A su criterio se debería mejorar los equipos informáticos en la cooperativa

a. SI ( ) NO ( )

5. Se realizan copias de seguridad de la información en la Cooperativa

a. SI ( ) NO ( )

6. Está establecido claves únicas para su computador

a. SI ( ) NO ( )

7. Con que frecuencia cambia su clave de acceso:

Mensual ( )

Trimestral ( )

Semestral ( )

Anual ( )

Nunca ( )

Anexo 5

MODELO MADUREZ DOMINIO:

APO01: Administrar el Marco de la Administración de TI

NIVELES DEL MODELO DE MADUREZ

CU

MP

LE

NO

CU

MP

LE

OB

SE

RV

AC

IÓN

0

No existe conciencia de la importancia de la elección y presupuesto de

las inversiones en TI. No existe seguimiento o monitoreo de las

inversiones y gastos de TI

X

1

La organización reconoce la necesidad de administrar la inversión en

TI, aunque esta necesidad se comunica de manera inconsistente. La

asignación de responsabilidades de selección de inversiones en TI y de

desarrollo de presupuestos se hace de una forma ad hoc. Existen

implantaciones aisladas de selección y presupuesto de inversiones en

TI, con documentación informal. Las inversiones en TI se justifican de

una forma ad hoc. Se toman decisiones presupuestales enfocadas de

modo reactivo y operativo.

X

2

Existe un entendimiento implícito de la necesidad de seleccionar y

presupuestar las inversiones en TI. La necesidad de un proceso de

selección y presupuesto se comunica. El cumplimiento depende de la

iniciativa de individuos dentro de la organización. Surgen técnicas

comunes para desarrollar componentes del presupuesto de TI. Se toman

decisiones presupuestales reactivas y tácticas.

X

3

Las políticas y los procesos para inversiones y presupuestos están

definidas, documentadas y comunicadas y cubren temas clave de

negocio y de tecnología. El presupuesto de TI está alineado con los

planes estratégicos de TI y con los planes del negocio. Los procesos de

selección de inversiones en TI y de presupuestos están formalizados,

documentados y comunicados. Surge el entrenamiento formal, aunque

todavía se basa de modo principal en iniciativas individuales. Ocurre la

aprobación formal de la selección de inversiones en TI y presupuestos.

El personal de TI cuenta con la experiencia y habilidades necesarias

para desarrollar el presupuesto de TI y recomendar inversiones

apropiadas en TI.

X

4

La responsabilidad y la rendición de cuentas por la selección y

presupuestos de inversiones se asignan a un individuo específico. Las

diferencias en el presupuesto se identifican y se resuelven. Se realizan

análisis formales de costos que cubren los costos directos e indirectos

de las operaciones existentes, así como propuestas de inversiones,

considerando todos los costos a lo largo del ciclo completo de vida. Se

usa un proceso de presupuestos pro-activo y estándar. El impacto en los

costos operativos y de desarrollo debidos a cambios en hardware y

software.

X

5

Se utilizan las mejores prácticas de la industria para evaluar los costos

por comparación e identificar la efectividad de las inversiones. Se

utiliza el análisis de los avances tecnológicos en el proceso de selección

y presupuesto de inversiones. El proceso de administración de

inversiones se mejora de forma continua con base en las lecciones

aprendidas provenientes del análisis del desempeño real de las

inversiones. Las decisiones de inversiones incluyen las tendencias de

mejora de precio/desempeño. Se investigan y evalúan formalmente las

alternativas de financiamiento dentro del contexto de la estructura de

capital existente en la organización, mediante el uso de métodos

formales de evaluación.

X

Anexo 6


APO02: Administrar la Estrategia


CU

MP

LE

NO

CU

MP

LE

OB

SE

RV

AC

I

ÓN

0

No se lleva a cabo la administración estratégica de TI. No existe

conciencia por parte de la gerencia de que la planeación estratégica de TI

es requerida para dar soporte a las metas del negocio.

X

1

La gerencia de TI conoce la necesidad de una administración estratégica

de TI. La planeación de TI se realiza según se necesite como respuesta a

un requisito de negocio específico. La administración estratégica de TI se

discute de forma ocasional en las reuniones de la gerencia de TI. La

alineación de los requerimientos de las aplicaciones y tecnología del

negocio se lleva a cabo de modo reactivo en lugar de hacerlo por medio de

una estrategia organizacional. La posición de riesgo estratégico se

identifica de manera informal proyecto por proyecto.

X

2

La administración estratégica de TI se comparte con la gerencia del

negocio según se necesite. La actualización de los planes de TI ocurre

como respuesta a las solicitudes de la dirección. Las decisiones

estratégicas se toman proyecto por proyecto, sin ser consistentes con una

estrategia global de la organización. Los riesgos y beneficios al usuario,

resultado de decisiones estratégicas importantes se reconocen de forma

intuitiva.

X

3

Una política define cómo y cuándo realizar la administración estratégica

de TI. La administración estratégica de TI sigue un enfoque estructurado,

el cual se documenta y se da a conocer a todo el equipo. El proceso de

planeación de TI es razonablemente sólido y garantiza que es factible

realizar una administración adecuada. Sin embargo, se otorga

discrecionalidad a gerentes individuales específicos con respecto a la

implantación del proceso, y no existen procedimientos para analizar el

proceso.

X

4

La administración estratégica de TI es una práctica estándar y las

excepciones son advertidas por la dirección. La administración estratégica

de TI es una función administrativa definida con responsabilidades de alto

nivel. La dirección puede monitorear el proceso estratégico de TI, tomar

decisiones informadas con base en el plan y medir su efectividad. La

planeación de TI de corto y largo plazo sucede y se distribuye en forma de

cascada hacia la organización, y las actualizaciones se realizan según son

necesarias. La estrategia de TI y la estrategia organizacional se vuelven

cada vez más coordinadas al abordar procesos de negocio y capacidades

de valor agregado y al aprovechar el uso de aplicaciones y tecnologías por

medio de la re-ingeniería de procesos de negocio. Existen procesos bien

definidos para determinar el uso de recursos internos y externos requeridos

en el desarrollo y las operaciones de los sistemas.

X

5

La administración estratégica de TI es un proceso documentado y vivo,

que cada vez más se toma en cuenta en el establecimiento de las metas del

negocio y da como resultado un valor observable de negocios por medio

de las inversiones en TI. Las consideraciones de riesgo y de valor

agregado se actualizan de modo constante en el proceso de planeación

estratégica de TI. Se desarrollan planes realistas a largo plazo de TI y se

actualizan de manera constante para reflejar los cambiantes avances

tecnológicos y el progreso relacionado al negocio.

X

Anexo 7


APO05: Administrar el Portafolio


CU

MP

LE

NO

CU

MP

LE

OB

SE

RV

AC

IÓN

0 No hay conciencia de la importancia de la selección y presupuesto de la

inversión de TI. No hay seguimiento X

1

La organización reconoce la necesidad de administrar la inversión de TI,

pero esta necesidad es comunicada de manera inconsistente. No hay una

asignación formal de responsabilidad para la selección de la inversión y

el desarrollo del presupuesto de TI. Los gastos significativos percibidos

requieren justificaciones que los respalden. Las implementaciones

aisladas de la selección y el presupuesto de inversión de TI ocurren, con

documentación informal.

X

2

Hay un entendimiento implícito de la necesidad de seleccionar y

presupuestar la inversión de TI. La necesidad de un proceso de selección

y del establecimiento de un presupuesto es comunicada. El cumplimiento

depende de la iniciativa de personas de la organización. Hay un

surgimiento de técnicas comunes para desarrollar componentes del

presupuesto de TI. Ocurren decisiones reactivas y tácticas de

presupuesto. Las expectativas basadas en tendencias de la tecnología

están comenzando a ser manifestadas y su impacto sobre la

productividad.

X

3

Los procesos de selección y presupuestario de la inversión de TI son

razonablemente correctos y abarcan aspectos claves del negocio y de la

tecnología. La selección y política de la inversión es definida,

documentada y comunicada. El presupuesto de TI está alineado con los

planes estratégicos de TI y los planes del negocio. Los procesos de

presupuestario y de selección de la inversión de TI están formalizados,

documentados y son comunicados.

X

4

La responsabilidad y la obligación de reportar la selección y

presupuestario de inversiones es asignada a una persona específica. Las

variaciones del presupuesto son identificadas y resueltas. El personal de

TI tiene la experiencia y las habilidades necesarias para desarrollar el

presupuesto de TI y recomienda inversiones apropiadas de TI. Se realizan

análisis formales de costos que abarcan los costos directos e indirectos de

las operaciones existentes.

X

5

Las ganancias y el rendimiento son calculados tanto en términos

financieros como no financieros. Se usan las mejores prácticas de la

industria para marcar como referencia los costos y para identificar los

métodos para aumentar la efectividad de las inversiones. Se usa el

análisis de los desarrollos tecnológicos en el proceso de selección y

presupuestario de la inversión. Está establecido un proceso de

mejoramiento continuo. Las decisiones de inversión incorporan

tendencias de mejoramiento de precio /desempeño, soportadas por nuevas

tecnologías y productos. Las alternativas de financiamiento son

investigadas y evaluadas formalmente dentro del contexto de la estructura

de capital existente de la organización, usando métodos formales de

evaluación.

X

Anexo 8


APO06: Administrar el Presupuesto y los Costos


CU

MP

LE

NO

CU

MP

LE

OB

SE

RV

AC

IÓN

0

La gerencia de TI no ha establecido un entorno positivo de control de la

información. No hay reconocimiento de la necesidad de establecer un

conjunto de políticas, procedimientos, estándares, y procesos de

cumplimiento

X

1

La gerencia es reactiva al resolver los requerimientos del ambiente de control

de información. Las políticas, procedimientos estándares se elaboran y

comunican de forma ad hoc de acuerdo a los temas. Los procesos de

elaboración, comunicación y cumplimiento son informales e inconsistentes..

X

2

La gerencia tiene un entendimiento implícito de las necesidades y de los

requerimientos de un ambiente de control de información efectivo, aunque las

prácticas son en su mayoría informales. La gerencia ha comunicado la

necesidad de políticas, procedimientos y estándares de control, pero la

elaboración se delega a la discreción de gerentes y áreas de negocio

individuales. La calidad se reconoce como una filosofía deseable a seguir,

pero las prácticas se dejan a discreción de gerentes individuales. El

entrenamiento se realiza de forma individual, según se requiera.

X

3

El proceso de elaboración de políticas es estructurado, mantenido y conocido

por el personal, y las políticas, procedimientos y estándares existentes son

razonablemente sólidos y cubren temas clave. La gerencia ha reconocido la

importancia de la conciencia de la seguridad de TI y ha iniciado programas

de concientización. El entrenamiento formal está disponible para apoyar al

ambiente de control de información, aunque no se aplica de forma rigurosa.

Aunque existe un marco general de desarrollo para las políticas y estándares

de control, el monitoreo del cumplimiento de estas políticas y estándares es

inconsistente.

X

4

La gerencia asume la responsabilidad de comunicar las políticas de control

interno y delega la responsabilidad y asigna suficientes recursos para

mantener el ambiente en línea con los cambios significativos. Se ha

establecido un ambiente de control de información positivo y proactivo. Se

ha establecido un juego completo de políticas, procedimientos y estándares,

los cuales se mantienen y comunican, y forman un componente de buenas

prácticas internas.

X

5

El ambiente de control de la información está alineado con el marco

administrativo estratégico y con la visión, y con frecuencia se revisa,

actualiza y mejora. Se asignan expertos internos y externos para garantizar

que se adoptan las mejores prácticas de la industria, con respecto a las guías

de control y a las técnicas de comunicación. El monitoreo, la auto-evaluación

y las verificaciones de cumplimiento están extendidas en la organización. La

tecnología se usa para mantener bases de conocimiento de políticas y de

concientización y para optimizar la comunicación, usando herramientas de

automatización de oficina y de entrenamiento basado en computadora.

X

Anexo 9


APO08: Administrar las Relaciones


CU

MP

LE

NO

CU

MP

LE

OB

SE

RV

AC

IÓN

0

Hay poca conciencia de los requerimientos externos que afectan a TI, y no

hay ningún proceso respecto al cumplimiento de requisitos regulatorios,

legales y contractuales.

X

1

Hay conciencia del cumplimiento de las reglamentaciones, contratos y leyes

que impactan a la organización. Se siguen procesos informales para mantener

el cumplimiento, pero sólo a medida que surge la necesidad en los proyectos

nuevos o en respuesta a auditorías o revisiones.

X

2

Hay un entendimiento de la necesidad de cumplir los requerimientos externos

y la necesidad es comunicada. Donde el cumplimento se ha convertido en un

requerimiento recurrente, como en las reglamentaciones financieras o en la

legislación privada, se han desarrollado procedimientos individuales de

cumplimiento y éstos se siguen anualmente. Sin embargo, no está establecido

un esquema general que asegure que se satisfacen todos los requerimientos de

cumplimiento. Es probable, por lo tanto, que ocurran excepciones y que

nuevas necesidades de cumplimiento sólo sean resueltas de manera reactiva.

X

3

Se han desarrollado, documentado y comunicado políticas, procedimientos y

procesos para asegura el cumplimiento de las reglamentaciones y de las

obligaciones contractuales y legales. Estas no siempre son seguidas y algunas

pueden ser obsoletas o ser imprácticas para implementar. Se realiza poco

monitoreo y hay requisitos de cumplimiento que no hay sido satisfechos. Se

provee entrenamiento en requisitos legales y regulatorios externos que

afectan a la organización y los procesos definidos de cumplimiento. Existen

contratos pro forma y procesos legales estándar para minimizar los riesgos

asociados con la responsabilidad contractual.

X

4

Hay total entendimiento de los problemas y riesgos provenientes de

requisitos externos y de la necesidad de asegurar el cumplimiento a todos los

niveles. Hay un esquema de entrenamiento formal que asegura que todo el

personal esté consiente del cumplimiento de sus obligaciones. Las

responsabilidades están claras y la propiedad del proceso es comprendida. El

proceso incluye una revisión del entorno para identificar los requisitos

externos y los cambios en curso. Está establecido un mecanismo para

monitorear el no cumplimiento de los requisitos externos, reforzar las

prácticas externas e implementar acciones correctivas.

X

5

Hay un proceso bien organizado, eficiente y en vigor para cumplir con los

requisitos externos, basado en una sola función central que provee

orientación y coordinación con toda la organización. Hay amplio

conocimiento de los requisitos externos aplicables, incluyendo sus tendencias

futuras y cambios anticipados, y la necesidad de nuevas soluciones. La

organización participa en discusiones externas con grupos regulatorios y de la

industria para entender e influir en los requisitos externos que los afectan. Se

han desarrollado las mejores prácticas que aseguran el cumplimiento eficiente

de los requisitos externos, que resultan en muy pocos casos de excepciones

de cumplimiento.

X

Anexo 10


APO12: Administrar la Seguridad


CU

MP

LE

NO

CU

MP

LE

OB

SE

RV

AC

IÓN

0

La organización carece de un proceso de planeación de aseguramiento de

seguridad y de una metodología de ciclo de vida de desarrollo de sistemas. La

gerencia general y el personal de TI no reconocen que es necesario un

programa de seguridad. Los proyectos y operaciones no se revisan nunca por

seguridad.

X

1

Hay una conciencia de la administración de la necesidad de aseguramiento de

seguridad. La experiencia individual impulsa el aseguramiento de seguridad,

cuando ésta ocurre. Las actividades de aseguramiento de seguridad cuando

ocurren están enfocadas al proyecto de TI y a las iniciativas orientadas al

proceso, no a procesos a nivel de toda la organización. Los proyectos y

operaciones de TI no son medidos generalmente por seguridad, sino que la

administración da opiniones informales sobre la seguridad.

X

2

Se ha definido la métrica básica de calidad y podría repetirse de un proyecto

a otro dentro de la organización de TI. Se está estableciendo un programa

para administrar actividades de aseguramiento de seguridad dentro de TI.

Están establecidas prácticas de planeación y monitoreo de administración de

TI sobre las actividades de aseguramiento de seguridad, pero no se ejecutan

ampliamente.

X

3

La administración de TI está construyendo una base de conocimientos para

medición de la seguridad. Hay un proceso definido de aseguramiento de

calidad que ha sido comunicado por la administración y que involucra tanto a

TI como a la administración de usuarios finales. Se ha instituido un programa

de educación y entrenamiento para enseñar seguridad a todos los niveles de la

organización. La conciencia de la calidad es alta en toda la organización. Se

están estandarizando herramientas y prácticas y ocasionalmente se aplica un

análisis de las causas de fondo.

X

4

La organización mide de manera constante y consistente la seguridad de los

procesos, servicios, productos y proyectos. El aseguramiento de calidad es

atendido en todos los procesos, incluyendo los procesos con confianza

depositada en terceros. Se está estableciendo una base estandarizada de

conocimientos para la medición de la seguridad. Las encuestas sobre la

satisfacción de seguridad es un proceso constante y conduce al análisis de las

causas de fondo. Se usan los métodos de costo-beneficio para justificar las

iniciativas de aseguramiento de seguridad.

X

5

La conciencia de la seguridad es muy elevada dentro de toda la organización.

El aseguramiento de calidad está integrado y se ejecuta en todas las

actividades de TI. Los procesos de aseguramiento de calidad son flexibles y

adaptables a los cambios en el entorno de TI. Todos los problemas de

seguridad son analizados en busca de las causas que los originaron. Las

encuestas de satisfacción de calidad son una parte esencial de un proceso

constante de mejoramiento. La base de conocimientos es complementada con

las mejores prácticas externas. Se realiza se manera rutinaria Benchmarking

contra los estándares externos. El aseguramiento de seguridad de los procesos

de TI está totalmente integrados con la aseguramiento sobre los procesos del

negocio para asegurar que los productos y servicios de toda la organización

tengan una ventaja competitiva.

X

Anexo 11


MEA01: Monitorear, Evaluar y Valorar el Desempeño y Cumplimiento


CU

MP

LE

NO

CU

MP

LE

OB

SE

RV

AC

IÓN

0

La organización no cuenta con un proceso implantado de monitoreo. TI no

lleva a cabo monitoreo de proyectos o procesos de forma independiente. No

se cuenta con reportes útiles, oportunos y precisos. La necesidad de entender

de forma clara los objetivos de los procesos no se reconoce.

X

1

La gerencia reconoce una necesidad de recolectar y evaluar información

sobre los procesos de monitoreo. No se han identificado procesos estándar de

recolección y evaluación. El monitoreo se implanta y las métricas se

seleccionan de acuerdo a cada caso, de acuerdo a las necesidades de

proyectos y procesos de TI específicos. El monitoreo por lo general se

implanta de forma reactiva a algún incidente que ha ocasionado alguna

perdida o vergüenza a la organización.

X

2

Se han identificado algunas mediciones básicas a ser monitoreadas. Los

métodos y las técnicas de recolección y evaluación existen, pero los procesos

no se han adoptado en toda la organización. La interpretación de los

resultados del monitoreo se basa en la experiencia de individuos clave.

Herramientas limitadas son seleccionadas y se implantan para recolectar

información.

X

3

La gerencia ha comunicado e institucionalizado un proceso estándar de

monitoreo. Se han implantado programas educacionales y de entrenamiento

para el monitoreo. Se ha desarrollado una base de conocimiento formalizada

del desempeño histórico. Las evaluaciones todavía se realizan al nivel de

procesos y proyectos individuales de TI y no están integradas a través de

todos los procesos. Se han definido herramientas para monitorear los

procesos y los niveles de servicio de TI.

X

4

La gerencia ha definido las tolerancias bajo las cuales los procesos deben

operar. Los reportes de los resultados del monitoreo están en proceso de

estandarizarse y normalizarse. Hay una integración de métricas a lo largo de

todos los proyectos y procesos de TI. Los sistemas de reporte de la

administración de TI están formalizados. Las herramientas automatizadas

están integradas y se aprovechan en toda la organización para recolectar y

monitorear la información operativa de las aplicaciones, sistemas y procesos.

X

5

Un proceso de mejora continua de la calidad se ha desarrollado para

actualizar los estándares y las políticas de monitoreo a nivel organizacional

incorporando mejores prácticas de la industria. Todos los procesos de

monitoreo están optimizados y dan soporte a los objetivos de toda la

organización. Las métricas impulsadas por el negocio se usan de forma

rutinaria para medir el desempeño, y están integradas en los marcos de

trabajo estratégicos, tales como el Balanced Scorecard. El monitoreo de los

procesos y el rediseño continuo son consistentes con los planes de mejora de

los procesos de negocio en toda la organización. Benchmarks contra la

industria y los competidores clave se han formalizado, con criterios de

comparación bien entendidos.

X

Anexo 12


MEA03: Monitorear, Evaluar y Valorar el Cumplimiento con Requisitos Externos


CU

MP

LE

NO

CU

MP

LE

OB

SE

RV

AC

IÓN

0

Existe poca conciencia respecto a los requerimientos externos que afectan a

TI, sin procesos referentes al cumplimiento de requisitos regulatorios, legales

y contractuales.

X

1

La gerencia ha implantado un programa de mejora continua en toda la

organización que toma en cuenta las lecciones aprendidas y las mejores

prácticas de la industria para monitorear el control interno. La organización

utiliza herramientas integradas y actualizadas, donde es apropiado, que

permiten una evaluación efectiva de los controles críticos de TI y una

detección rápida de incidentes de control de TI. La compartición del

conocimiento, específico de la función de servicios de información, se

encuentra implantada de manera formal. El benchmarking con los estándares

de la industria y las mejores prácticas está formalizado.

X

2

Existe el entendimiento de la necesidad de cumplir con los requerimientos

externos y la necesidad se comunica. En los casos en que el cumplimiento se

ha convertido en un requerimiento recurrente., como en los reglamentos

regulatorios o en la legislación de privacidad, se han desarrollado

procedimientos individuales de cumplimiento y se siguen año con año. No

existe, sin embargo, un enfoque estándar. Hay mucha confianza en el

conocimiento y responsabilidad de los individuos, y los errores son posibles.

Se brinda entrenamiento informal respecto a los requerimientos externos y a

los temas de cumplimiento.

X

3

Hay procesos documentados de adquisición e implementación. Se hace un

intento de aplicar consistentemente procesos documentados en todas las

diferentes aplicaciones y proyectos, pero no siempre se les encuentra

prácticos de implementar o que reflejen las soluciones tecnológicas actuales.

Son generalmente inflexibles y difíciles de aplicar en todos los casos, de

modo que las medidas son frecuentemente desviadas. En consecuencia, las

aplicaciones se adquieren a menudo en forma fragmentada. El mantenimiento

sigue un método definido, pero frecuentemente absorbe demasiado tiempo y

es ineficiente.

X

4

Se han desarrollado, documentado y comunicado políticas, procedimientos y

procesos, para garantizar el cumplimiento de los reglamentos y de las

obligaciones contractuales y legales, pero algunas quizá no se sigan y algunas

quizá estén desactualizadas o sean pocas prácticas de implantar. Se realiza

poco monitoreo y existen requisitos de cumplimiento que no han sido

resueltos. Se brinda entrenamiento sobre requisitos legales y regulatorios

externos que afectan a la organización y se instruye respecto a los procesos

de cumplimiento definidos.

X

5

Existe un proceso bien organizado, eficiente e implantado para cumplir con

los requerimientos externos, basado en una sola función central que brinda

orientación y coordinación a toda la organización. Hay un amplio

conocimiento de los requerimientos externos aplicables, incluyendo sus

tendencias futuras y cambios anticipados, así como la necesidad de nuevas

soluciones. La organización participa en discusiones externas con grupos

regulatorios y de la industria para entender e influenciar los requerimientos

externos que la puedan afectar. Se han desarrollado mejores prácticas que

aseguran el cumplimiento de los requisitos externos, y esto ocasiona que haya

muy pocos casos de excepciones de cumplimiento.

X

Anexo 13


BAI02: Administrar la Definición de Requerimientos


CU

MP

LE

NO

CU

MP

LE

OB

SE

RV

AC

IÓN

0

No hay un proceso para diseñar y especificar aplicaciones. Típicamente, las

aplicaciones se obtienen sobre la base de ofertas impulsadas por vendedores,

reconocimiento de marcas o familiaridad del personal de TI con productos

específicos, con poca o ninguna consideración de los requerimientos reales.

X

1

Hay una conciencia de que se requiere un proceso para adquirir y mantener

aplicaciones Los métodos, sin embargo, varían de un proyecto a otro sin

consistencia alguna y típicamente en aislamiento de los demás proyectos. Es

probable que la organización haya adquirido una variedad de soluciones

individuales y que ahora esté padeciendo de problemas e ineficiencias de

productos de software existente en la organización, incluyendo el

mantenimiento y el soporte. Los usuarios del negocio no pueden sacar mucho

provecho de las inversiones de TI.

X

2

Hay procesos similares para adquirir y mantener aplicaciones, pero éstos

están basados en la experiencia dentro de la función de TI, no en un proceso

documentado. La tasa de éxito con las aplicaciones depende en gran medida

de las habilidades internas y de los niveles de experiencia dentro de TI. El

mantenimiento es usualmente problemático y sufre cuando se han perdido

conocimientos internos de la organización.

X

3

Hay procesos documentados de adquisición e implementación. Se hace un

intento de aplicar consistentemente procesos documentados en todas las

diferentes aplicaciones y proyectos, pero no siempre se les encuentra

prácticos de implementar o que reflejen las soluciones tecnológicas actuales.

Son generalmente inflexibles y difíciles de aplicar en todos los casos, de

modo que las medidas son frecuentemente desviadas. En consecuencia, las

aplicaciones se adquieren a menudo en forma fragmentada. El mantenimiento

sigue un método definido, pero frecuentemente absorbe demasiado tiempo y

es ineficiente.

X

4

Hay una metodología formal, clara y bien entendida de adquisición e

implementación de sistemas y la política que incluye un diseño formal y un

proceso de especificación, criterios para la adquisición de software de

aplicación, un proceso para probar y requerimientos para la documentación,

asegurando que todas las aplicaciones se adquieran y se mantengan en forma

consistente. Existen mecanismos formales de aprobación para asegurar que se

sigan todos los pasos y que se autoricen las excepciones.

X

5

Las prácticas de adquisición y mantenimiento de software de aplicación están

acordes con los procesos acordados. El método está basado en componentes,

con aplicaciones predefinidas, estandarizadas adaptadas a las necesidades del

negocio. Es usual que se tomen métodos a nivel de toda la organización. El

proceso de adquisición y mantenimiento es bien avanzado, posibilita un

despliegue rápido y permite una alta capacidad de respuesta, así como

también flexibilidad, para responder a los requerimientos cambiantes del

negocio. El proceso de adquisición e implementación de software de

aplicación ha estado sujeto a constante mejoramiento y es respaldado por

bases de datos de conocimientos internos y externos que contienen materiales

de referencia y las mejores prácticas.

X

Anexo 14


BAI03: Administrar la Identificación y Construcción de Soluciones


CU

MP

LE

NO

CU

MP

LE

OB

SE

RV

AC

IÓN

0 La arquitectura de la tecnología no es reconocida como un tópico

suficientemente importante que debe ser tratado. X

1

Se hacen cambios a la infraestructura para cada nueva aplicación sin un plan

general. A pesar de que hay conciencia de que la infraestructura de TI es

importante, no hay un método general consistente.

X

2

Hay consistencia entre los métodos tácticos, cuando se adquiere y se

mantiene la infraestructura de TI; sin embargo, no se basa en una estrategia

definida y no considera las necesidades de las aplicaciones del negocio que

debe ser soportado.

X

3

Surge un proceso claro, definido y generalmente entendido para administrar

la infraestructura de TI. Soporta las necesidades de aplicación críticas del

negocio y está alineado con la estrategia de TI y del negocio. Sin embargo,

no es posible determinar si el proceso se aplica de manera consistente y por

lo tanto es improbable que la infraestructura soporte plenamente las

necesidades de las aplicaciones del negocio. El outsourcing de la totalidad o

de parte de la infraestructura de TI ocurre generalmente como reacción a

problemas o a oportunidades específicas.

X

4

El proceso de adquisición y mantenimiento para la infraestructura de la

tecnología se ha desarrollado hasta el punto que funciona bien para la

mayoría de las situaciones, es seguido de manera consistente dentro de TI y

se basa en componentes y se concentra en la reutilización. Los intentos de

hacer cambios a la infraestructura sin seguir los procesos definidos acordados

serían detectados e impedidos. Es probable que la infraestructura de TI

soporte de manera adecuada las aplicaciones del negocio. El proceso está

bien organizado, pero es a menudo reactivo en vez de ser proactivo. El costo

y el tiempo para alcanzar el nivel esperado de escalabilidad flexibilidad e

integración no están optimizado. Efectuar un outsourcing de la totalidad o de

una parte de la infraestructura de TI es parte del plan táctico.

X

5

El proceso de adquisición y mantenimiento para la infraestructura de la

tecnología es proactivo y está estrechamente alineado con las aplicaciones

críticas del negocio y con la arquitectura de la tecnología. Se siguen las

mejores prácticas respecto a soluciones de tecnología y la organización está

al tanto de los últimos desarrollos de plataforma y herramientas de

administración, incluyendo métodos en toda la organización y de la necesidad

de aumentar los niveles de fiabilidad, disponibilidad y seguridad de la red.

Los costos son reducidos racionalizando y estandarizando los componentes

de la infraestructura y usando la automatización. La organización mantiene

un alto nivel de conocimientos técnicos y puede identificar las mejores

formas de mejorar proactivamente el desempeño, incluyendo la consideración

de opciones de outsourcing. Puede monitorear y medir el desempeño de su

infraestructura existente para la detección oportuna de los problemas. La

infraestructura de TI es vista como el posibilitador clave para respaldar el uso

de TI. Los riesgos de proveedor de una sola fuente son administrados

activamente.

X

Anexo 15


BAI05: Administrar la Habilitación del Cambio


CU

MP

LE

NO

CU

MP

LE

OB

SE

RV

AC

IÓN

0

No existe un proceso definido de administración de cambio y los cambios se

pueden realizar virtualmente sin control. No hay conciencia de que el cambio

puede causar una interrupción para TI y las operaciones del negocio y no hay

conciencia de los beneficios de la buena administración de cambio.

X

1

Se reconoce que los cambios deben ser administrados y controlados, pero no

hay un proceso consistente para seguimiento. Las prácticas varían y es

probable que ocurran cambios no autorizados. Hay documentación

insuficiente o inexistente de cambios, y la documentación de configuración

está incompleta y no es confiable. Es probable que ocurran errores junto con

interrupciones en el entorno de producción, causados por una administración

deficiente del cambio.

X

2

Hay un proceso informal de administración de cambios y la mayoría de los

cambios siguen este método; sin embargo, el mismo no está estructurado, es

rudimentario y está propenso a error. La precisión de la documentación de

configuración es inconsistente y sólo tiene lugar una planeación y un estudio

de impacto limitados antes de un cambio. Hay considerable ineficiencia y

repetición de trabajo.

X

3

Existe un proceso formal definido para la administración del cambio, que

incluye la categorización, asignación de prioridades, procedimientos de

emergencia, autorización del cambio y administración de liberación, y va

surgiendo el cumplimiento. Se dan soluciones temporales a los problemas y

los procesos a menudo se omiten o se hacen a un lado. Aún pueden ocurrir

errores y los cambios no autorizados ocurren ocasionalmente. El análisis de

impacto de los cambios de TI en operaciones de negocio se está volviendo

formal, para apoyar la implantación planeada de nuevas aplicaciones y

tecnologías.

X

4

El proceso de administración de cambio se desarrolla bien y es consistente

para todos los cambios, y la gerencia confía que hay excepciones mínimas. El

proceso es eficiente y efectivo, pero se basa en manuales de procedimientos y

controles considerables para garantizar el logro de la calidad. Todos los

cambios están sujetos a una planeación minuciosa y a la evaluación del

impacto para minimizar la probabilidad de tener problemas de post-

producción. Se da un proceso de aprobación para cambios. La documentación

de administración de cambios es vigente y correcta, con seguimiento formal a

los cambios. La documentación de configuración es generalmente exacta. La

planeación e implantación de la administración de cambios en TI se van

integrando con los cambios en los procesos de negocio, para asegurar que se

resuelven los asuntos referentes al entrenamiento, cambio organizacional y

continuidad del negocio.

X

5

El proceso de administración de cambios se revisa con regularidad y se

actualiza para permanecer en línea con las buenas prácticas. El proceso de

revisión refleja los resultados del monitoreo. La información de la

configuración es computarizada y proporciona un control de versión. El

rastreo del cambio es sofisticado e incluye herramientas para detectar

software no autorizado y sin licencia. La administración de cambio de TI se

integra con la administración de cambio del negocio para garantizar que TI

sea un factor que hace posible el incremento de productividad y la creación

de nuevas oportunidades de negocio para la empresa.

X

Anexo 16


BAI08: Administrar el Conocimiento


CU

MP

LE

NO

CU

MP

LE

OB

SE

RV

AC

IÓN

0

Hay una total falta de programas de entrenamiento y educación. La

organización no reconoce que hay un problema a ser atendido respecto al

entrenamiento y no hay comunicación sobre el problema.

X

1

Hay evidencia de que la organización ha reconocido la necesidad de contar

con un programa de entrenamiento y educación, pero no hay procedimientos

estandarizados. A falta de un proceso organizado, los empleados han buscado

y asistido a cursos de entrenamiento por su cuenta. Algunos de estos cursos

de entrenamiento abordan los temas de conducta ética, conciencia sobre la

seguridad en los sistemas y prácticas de seguridad.

X

2

Hay conciencia sobre la necesidad de un programa de entrenamiento y

educación, y sobre los procesos asociados a lo largo de toda la organización.

El entrenamiento está comenzando a identificarse en los planes de

desempeño individuales de los empleados. Los procesos se han desarrollado

hasta la fase en la cual se imparte entrenamiento informal por parte de

diferentes instructores, cubriendo los mismos temas de materias con

diferentes puntos de vista.

X

3

Hay conciencia sobre la necesidad de un programa de entrenamiento y

educación, y sobre los procesos asociados a lo largo de toda la organización.

El entrenamiento está comenzando a identificarse en los planes de

desempeño individuales de los empleados. Los procesos se han desarrollado

hasta la fase en la cual se imparte entrenamiento informal por parte de

diferentes instructores, cubriendo los mismos temas de materias con

diferentes puntos de vista.

X

4

Hay un programa completo de entrenamiento y educación que produce

resultados medibles. Las responsabilidades son claras y se establece la

propiedad sobre los procesos. El entrenamiento y la educación son

componentes de los planes de carrera de los empleados. La gerencia apoya y

asiste a sesiones de entrenamiento y de educación. Todos los empleados

reciben entrenamiento sobre conducta ética y sobre conciencia y prácticas de

seguridad en los sistemas. Todos los empleados reciben el nivel apropiado de

entrenamiento sobre prácticas de seguridad en los sistemas para proteger

contra daños originados por fallas que afecten la disponibilidad, la

confidencialidad y la integridad.

X

5

Hay un programa completo de entrenamiento y educación que produce

resultados medibles. Las responsabilidades son claras y se establece la

propiedad sobre los procesos. El entrenamiento y la educación son

componentes de los planes de carrera de los empleados. La gerencia apoya y

asiste a sesiones de entrenamiento y de educación. Todos los empleados

reciben entrenamiento sobre conducta ética y sobre conciencia y prácticas de

seguridad en los sistemas. Todos los empleados reciben el nivel apropiado de

entrenamiento sobre prácticas de seguridad en los sistemas para proteger

contra daños originados por fallas que afecten la disponibilidad, la

confidencialidad y la integridad.

X

Anexo 17


BAI10: Administrar la Configuración


CU

MP

LE

NO

CU

MP

LE

OB

SE

RV

AC

IÓN

0

La gerencia no valora los beneficios de tener un proceso implementado que

sea capaz de reportar y administrar las configuraciones de la infraestructura

de TI, tanto para configuraciones de hardware como de software.

X

1

Se reconoce la necesidad de contar con una administración de configuración.

Se llevan a cabo tareas básicas de administración de configuraciones, tales

como mantener inventarios de hardware y software pero de manera

individual. No están definidas prácticas estandarizadas.

X

2

Hay conciencia organizacional de la necesidad de una función de mesa de

servicio y de un proceso de administración de incidentes. Existe ayuda

disponible de manera informal a través de una red de individuos expertos.

Estos individuos tienen a su disposición algunas herramientas comunes para

ayudar en la resolución de incidentes. No hay entrenamiento formal y la

comunicación obre procedimientos estándar y la responsabilidad es delegada

al individuo.

X

3

Hay conciencia organizacional de la necesidad de una función de mesa de

servicio y de un proceso de administración de incidentes. Existe ayuda

disponible de manera informal a través de una red de individuos expertos.

Estos individuos tienen a su disposición algunas herramientas comunes para

ayudar en la resolución de incidentes. No hay entrenamiento formal y la

comunicación obre procedimientos estándar y la responsabilidad es delegada

al individuo.

X

4

En todos los niveles de la organización hay un total entendimiento de los

beneficios de un proceso de administración de incidentes y la función de

mesa de servicio se ha establecido en las unidades organizacionales

apropiadas. Las herramientas y técnicas están automatizadas con una base de

conocimientos centralizada. El personal de la mesa de servicio interactúa

muy de cerca con el personal de administración de problemas. Las

responsabilidades son claras y se monitorea su efectividad. Los

procedimientos para comunicar, escalar y resolver incidentes han sido

establecidos y comunicados. El personal de la mesa de servicio está

capacitado y los procesos se mejoran a través del uso de software para tareas

específicas. La gerencia ha desarrollado los KPIs y KGIs para el desempeño

de la mesa de servicio.

X

5

El proceso de administración de incidentes y la función de mesa de servicio

están bien organizados y establecidos y se llevan a cabo con un enfoque de

servicio al cliente ya que son expertos, enfocados al cliente y útiles. Los KPIs

y KGIs son medidos y reportados sistemáticamente. Una amplia y extensa

cantidad de preguntas frecuentes son parte integral de la base de

conocimientos. Existen a disposición del usuario, herramientas para llevar a

cabo autodiagnósticos y para resolver incidentes. La asesoría es consistente y

los incidentes se resuelven de forma rápida dentro de un proceso estructurado

de escalamiento.

X

Anexo 18


DSS01: Administrar las Operaciones


CU

MP

LE

NO

CU

MP

LE

OB

SE

RV

AC

IÓN

0

La gerencia no reconoce la necesidad de un proceso para definir los niveles

de servicio. La responsabilidad y la rendición de cuentas sobre el monitoreo

no está asignada.

X

1

Hay conciencia de la necesidad de administrar los niveles de servicio, pero el

proceso es informal y reactivo. La responsabilidad y la rendición de cuentas

sobre para la definición y la administración de servicios no está definida. Si

existen las medidas para medir el desempeño son solamente cualitativas con

metas definidas de forma imprecisa. La notificación es informal, infrecuente

e inconsistente.

X

2

Los niveles de servicio están acordados, pero son informales y no están

revisados. Los reportes de los niveles de servicio están incompletos y pueden

ser irrelevantes o engañosos para los clientes. Los reportes de los niveles de

servicio dependen, en forma individual, de las habilidades y la iniciativa de

los administradores. Está designado un coordinador de niveles de servicio

con responsabilidades definidas, pero con autoridad limitada. Si existe un

proceso para el cumplimiento de los acuerdos de niveles de servicio es

voluntario y no está implementado.

X

3

Las responsabilidades están bien definidas, pero con autoridad discrecional.

El proceso de desarrollo del acuerdo de niveles de servicio está en orden y

cuenta con puntos de control para revalorar los niveles de servicio y la

satisfacción de cliente. Los servicios y los niveles de servicio están definidos,

documentados y se ha acordado utilizar un proceso estándar. Las deficiencias

en los niveles de servicio están identificadas pero los procedimientos para

resolver las deficiencias son informales. Hay un claro vínculo entre el

cumplimiento del nivel de servicio esperado y el presupuesto contemplado.

Los niveles de servicio están acordados pero pueden no responder a las

necesidades del negocio.

X

4

Aumenta la definición de los niveles de servicio en la fase de definición de

requerimientos del sistema y se incorporan en el diseño de la aplicación y de

los ambientes de operación. La satisfacción del cliente es medida y valorada

de forma rutinaria. Las medidas de desempeño reflejan las necesidades del

cliente, en lugar de las metas de TI. Las medidas para la valoración de los

niveles de servicio se vuelven estandarizadas y reflejan los estándares de la

industria. Los criterios para la definición de los niveles de servicio están

basados en la criticidad del negocio e incluyen consideraciones de

disponibilidad, confiabilidad, desempeño, capacidad de crecimiento, soporte

al usuario, planeación de continuidad y seguridad.

X

5

Cuando no se cumplen los niveles de servicio, se llevan a cabos análisis

causa-raíz de manera rutinaria. El proceso de reporte para monitorear los

niveles de servicio se vuelve cada vez más automatizado. Los riesgos

operacionales y financieros asociados con la falta de cumplimiento de los

niveles de servicio, están definidos y se entienden claramente. Se implementa

y mantiene un sistema formal de medición de los KPIs y los KGIs.

X

Anexo 19


DSS03: Administrar Problemas


CU

MP

LE

NO

CU

MP

LE

OB

SE

RV

AC

IÓN

0

La gerencia no reconoce que los procesos clave del negocio pueden requerir

altos niveles de desempeño de TI o que el total de los requerimientos de

servicios de TI del negocio pueden exceder la capacidad. No se lleva cabo un

proceso de planeación de la capacidad.

X

1

Los usuarios, con frecuencia, tienen que llevar acabo soluciones alternas para

resolver las limitaciones de desempeño y capacidad. Los responsables de los

procesos del negocio valoran poco la necesidad de llevar a cabo una

planeación de la capacidad y del desempeño. Las acciones para administrar el

desempeño y la capacidad son típicamente reactivas. El proceso de

planeación de la capacidad y el desempeño es informal. El entendimiento

sobre la capacidad y el desempeño de TI, actual y futuro, es limitado.

X

2

Los responsables del negocio y la gerencia de TI están conscientes del

impacto de no administrar el desempeño y la capacidad. Las necesidades de

desempeño se logran por lo general con base en evaluaciones de sistemas

individuales y el conocimiento y soporte de equipos de proyecto. Algunas

herramientas individuales pueden utilizarse para diagnosticar problemas de

desempeño y de capacidad, pero la consistencia de los resultados depende de

la experiencia de individuos clave.

X

3

Los requerimientos de desempeño y capacidad están definidos a lo largo del

ciclo de vida del sistema. Hay métricas y requerimientos de niveles de

servicio bien definidos, que pueden utilizarse para medir el desempeño

operacional. Los pronósticos de la capacidad y el desempeño se modelan por

medio de un proceso definido. Los reportes se generan con estadísticas de

desempeño. Los problemas relacionados al desempeño y a la capacidad

siguen siendo susceptibles a ocurrir y su resolución sigue consumiendo

tiempo.

X

4

Hay procesos y herramientas disponibles para medir el uso del sistema, el

desempeño y la capacidad, y los resultados se comparan con metas definidas.

Hay información actualizada disponible, brindando estadísticas de

desempeño estandarizadas y alertando sobre incidentes causados por falta de

desempeño o de capacidad. Los problemas de falta de desempeño y de

capacidad se enfrentan de acuerdo con procedimientos definidos y

estandarizados. Se utilizan herramientas automatizadas para monitorear

recursos específicos tales como espacios en disco, redes, servidores y

compuertas de red.

X

5

Los planes de desempeño y capacidad están completamente sincronizados

con las proyecciones de demanda del negocio. La infraestructura de TI y la

demanda del negocio están sujetas a revisiones regulares para asegurar que se

logre una capacidad óptima con el menor costo posible. Las herramientas

para monitorear recursos críticos de TI han sido estandarizadas y usadas a

través de diferentes plataformas y vinculadas a un sistema de administración

de incidentes a lo largo de toda la organización. Las herramientas de

monitoreo detectan y pueden corregir automáticamente problemas

relacionados con la capacidad y el desempeño. Se llevan a cabo análisis de

tendencias, los cuales muestran problemas de desempeño inminentes

causados por incrementos en los volúmenes de negocio, lo que permite

planear y evitar problemas inesperados.

X

Anexo 20

0MODELO MADUREZ DOMINIO:

DSS05: Administrar los Servicios de Seguridad


CU

MP

LE

NO

CU

MP

LE

OB

SE

RV

AC

IÓN

0

La organización no reconoce la necesidad de la seguridad para TI. Las

responsabilidades y la rendición de cuentas no están asignadas para

garantizar la seguridad. Las medidas para soportar la administrar la seguridad

de TI no están implementadas. No hay reportes de seguridad de TI ni un

proceso de respuesta para resolver brechas de seguridad de TI. Hay una total

falta de procesos reconocibles de administración de seguridad de sistemas.

X

1

La organización reconoce la necesidad de seguridad para TI. La conciencia

de la necesidad de seguridad depende principalmente del individuo. La

seguridad de TI se lleva a cabo de forma reactiva. No se mide la seguridad de

TI. Las brechas de seguridad de TI ocasionan respuestas con acusaciones

personales, debido a que las responsabilidades no son claras. Las respuestas a

las brechas de seguridad de TI son impredecibles.

X

2

La organización reconoce la necesidad de seguridad para TI. La conciencia

de la necesidad de seguridad depende principalmente del individuo. La

seguridad de TI se lleva a cabo de forma reactiva. No se mide la seguridad de

TI. Las brechas de seguridad de TI ocasionan respuestas con acusaciones

personales, debido a que las responsabilidades no son claras.

X

3

Existe conciencia sobre la seguridad y ésta es promovida por la gerencia. Los

procedimientos de seguridad de TI están definidos y alineados con la política

de seguridad de TI. Las responsabilidades de la seguridad de TI están

asignadas y entendidas, pero no continuamente implementadas. Existe un

plan de seguridad de TI y existen soluciones de seguridad motivadas por un

análisis de riesgo.

X

4

Las responsabilidades sobre la seguridad de TI son asignadas, administradas

e implementadas de forma clara. Regularmente se lleva a cabo un análisis de

impacto y de riesgos de seguridad. Las políticas y prácticas de seguridad se

complementan con referencias de seguridad específicas. El contacto con

métodos para promover la conciencia de la seguridad es obligatorio. La

identificación, autenticación y autorización de los usuarios está

estandarizada. La certificación en seguridad es buscada por parte del personal

que es responsable de la auditoría y la administración de la seguridad. Las

pruebas de seguridad se hacen utilizando procesos estándares y formales que

llevan a mejorar los niveles de seguridad. Los procesos de seguridad de TI

están coordinados con la función de seguridad de toda la organización. Los

reportes de seguridad están ligados con los objetivos del negocio. La

capacitación sobre seguridad se imparte tanto para TI como para el negocio.

X

5

Las responsabilidades sobre la seguridad de TI son asignadas, administradas

e implementadas de forma clara. Regularmente se lleva a cabo un análisis de

impacto y de riesgos de seguridad. Las políticas y prácticas de seguridad se

complementan con referencias de seguridad específicas. El contacto con

métodos para promover la conciencia de la seguridad es obligatorio. La

identificación, autenticación y autorización de los usuarios está

estandarizada. La certificación en seguridad es buscada por parte del personal

que es responsable de la auditoría y la administración de la seguridad. Las

pruebas de seguridad se hacen utilizando procesos estándares y formales que

llevan a mejorar los niveles de seguridad. Los procesos de seguridad de TI

están coordinados con la función de seguridad de toda la organización. Los

reportes de seguridad están ligados con los objetivos del negocio. La

capacitación sobre seguridad se imparte tanto para TI como para el negocio.

X

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS...

Documents

Transcript of UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS...