UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES
UNIANDES
FACULTAD DE SISTEMAS MERCANTILES
PROGRAMA DE MAESTRÍA EN INFORMÁTICA EMPRESARIAL
PROYECTO DE INVESTIGACION PREVIO A LA OBTENCIÓN DEL GRADO
ACADÉMICO DE MAGISTER EN INFORMÁTICA EMPRESARIAL
TEMA:
”AUDITORÍA DE GESTIÓN INFORMÁTICA EN EL ÁREA DE LAS
TECNOLOGÍAS DE LA INFORMACIÓN PARA EL GOBIERNO AUTÓNOMO
DESCENTRALIZADO (GAD) MUNICIPAL DEL CANTÓN LA CONCORDIA”
AUTORA: ING. MEJÍA GUAQUEZ ANDREA GUADALUPE
ASESOR: DR. CAÑIZARES GALARZA FREDY PABLO, MGS.
SANTO DOMINGO-ECUADOR
2017
APROBACION DEL ASESOR DEL TRABAJO DE TITULACION
CERTIFICACIÓN:
Quien suscribe, legalmente CERTIFICA QUE: EL presente Trabajo de Titulación
realizado por la Ing. Andrea Guadalupe Mejía Guaquéz, estudiante del
Programa de Maestría en Informática Empresarial, Facultad de Sistemas
Mercantiles con el tema “AUDITORÍA DE GESTIÓN INFORMÁTICA EN EL
ÁREA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN PARA EL GOBIERNO
AUTÓNOMO DESCENTRALIZADO (GAD) MUNICIPAL DEL CANTÓN LA
CONCORDIA”, ha sido prolijamente revisado, y cumple con todos los requisitos
establecidos en la normativa pertinente de la Universidad Regional Autónoma de
los Andes –UNIANDES-, por lo que apruebo su presentación.
Santo Domingo, julio de 2017
DECLARACION DE AUTENTICIDAD
Yo, Andrea Guadalupe Mejía Guaquéz, estudiante del Programa de Maestría
en Informática Empresarial, Facultad de Sistemas Mercantiles, declaro que todos
los resultados obtenidos en el presente trabajo de investigación, previo a la
obtención del título de MAGISTER EN INFORMATICA EMPRESARIAL, son
absolutamente originales, auténticos y personales; a excepción de las citas por
lo que son de mi exclusiva responsabilidad.
Santo Domingo, julio de 2017
DERECHOS DE AUTOR
Yo, Andrea Guadalupe Mejía Guaquéz, declaro que conozco y acepto la
disposición constante en el literal d) del Art. 85 del estatuto de la Universidad
Regional Autónoma de los Andes, que en su parte pertinente textualmente dice:
El Patrimonio de la UNIANDES, está constituido por: La propiedad intelectual
sobre las Investigaciones, trabajos científicos o técnicos, proyectos profesionales
y consultoría que se realicen en la Universidad o por cuenta de ella;
Santo Domingo, julio de 2017
CERTIFICACION DEL LECTOR DEL TRABAJO DE TITULACIÓN
Yo, Robert Vinicio Lalama Flores, en calidad de Lector del Proyecto de Titulación.
CERTIFICO:
Que el presente trabajo de titulación realizado por el estudiante Andrea
Guadalupe Mejía Guaquéz sobre el tema: “AUDITORÍA DE GESTIÓN
INFORMÁTICA EN EL ÁREA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN
PARA EL GOBIERNO AUTÓNOMO DESCENTRALIZADO (GAD) MUNICIPAL
DEL CANTÓN LA CONCORDIA”, ha sido cuidadosamente revisado por el
suscrito, por lo que he podido constatar que cumple con todos los requisitos de
fondo y forma establecidos por la Universidad Regional Autónoma de Los Andes,
para esta clase de trabajos, por lo que autorizo su presentación.
Santo Domingo, octubre de 2017
DEDICATORIA
Este trabajo investigativo va dedicado:
A mi hijo Ander Ortega, quien es la razón que me levanta cada día para
esforzarme, mi principal motivación
A mi esposo Ismael Ortega, por su gran paciencia y confianza durante mi vida
estudiantil
A mis padres Rosa y José, porque siempre estuvieron a mi lado en los momentos
más difíciles, brindándome su apoyo
A toda mi familia, quienes han estado pendientes de mis logros y a la vez
fomentando deseos de superación.
Y no podía finalizar sin dedicarles a mis amigos Freddy y Verónica por su gran
amistad y apoyo incondicional.
Andrea Mejía
AGRADECIMIENTO
A Jehová Dios por bendecirme grandemente en cada paso que doy
A la Universidad Regional Autónoma de los Andes UNIANDES por la oportunidad
de superación
A la Ing. Piedad Alarcón por su apoyo incondicional y sabios consejos, que me
ayudaron a iniciar con otra etapa profesional
Me gustaría agradecer sinceramente a mi asesor del proyecto de investigación,
Dr. Fredy Cañizares por compartir sus conocimientos y saberme orientar con
paciencia durante todo el proceso de formación académica.
También a Gardenia, amiga y compañera de trabajo que ha sabido motivarme
en todo momento, más aun para culminar con éxito el presente proyecto.
Andrea Mejía
RESUMEN
Este trabajo investigativo desarrolla una auditoría de gestión informática para
identificar riesgos de la entidad y establecer controles necesarios que
garanticen la protección integral de los activos fijos en este caso, la
información de la entidad gubernamental, como también facilitar la
administración de los mismos del GAD
Para el desarrollo de la presente investigación, se utilizó el método analítico
sintético, principalmente se manifiesta aspectos valiosos de fuentes
bibliográficas que permitieron la construcción de un modelo teórico, útil
para la elaboración de la propuesta.
A través de la auditoria de gestión informática se pudo verificar el
cumplimiento de las funciones y actividades asignadas a los funcionarios,
empleados y usuarios del Área de las Tecnologías de la Información,
también permitió determinar los correctivos necesarios a situaciones, que
afectaron o pudieron traducirse en riesgos para el procedimiento adecuado
de la información; como las medidas de prevención a los problemas
relacionados en la administración de los recursos tecnológicos y de esa
manera promover a la calidad de gestión de los mismos
ABSTRACT
This research paper develops an information management audit to identify risks
of the entity and establish necessary controls that guarantee the integral
protection of fixed assets in this case, the governmental entity information, and
also to facilitate the administration of the GAD
For the development of the present research, we used the synthetic analytical
method, mainly manifested valuable aspects of bibliographic sources that
allowed the construction of a theoretical model, useful for the elaboration of the
proposal.
Through the computer management audit, it was possible to verify the fulfillment
of the functions and activities assigned to the employees, employees and users
of the Information Technology Area, also allowed to determine the necessary
correctives to situations, that affected or could be translated into risks to the
proper information procedure; as the prevention measures to the problems
related in the administration of the technological resources and of that way to
promote to the quality of management of the same ones
INDICE GENERAL
PORTADA
APROBACION DEL ASESOR DEL TRABAJO DE TITULACION
DECLARACION DE AUTENTICIDAD
DERECHOS DE AUTOR
CERTIFICACION DEL LECTOR DEL TRABAJO DE TITULACIÓN
DEDICATORIA
AGRADECIMIENTO
RESUMEN
ABSTRACT
INDICE GENERAL
INTRODUCCIÓN .......................................................................................................................1
Planteamiento del Problema .........................................................................................................2
Formulación del problema............................................................................................................3
Delimitación del problema ...........................................................................................................4
OBJETO DE INVESTIGACIÓN Y CAMPO DE ACCIÓN ........................................................4
IDENTIFICACIÓN DE LA LÍNEA DE INVESTIGACIÓN .......................................................4
OBJETIVOS ................................................................................................................................4
Objetivo General ..........................................................................................................................4
Objetivos Específicos ...................................................................................................................4
IDEA A DEFENDER ..................................................................................................................5
VARIABLES DE LA INVESTIGACIÓN ...................................................................................5
Variable Independiente: Auditoría de Gestión Informática ..........................................................5
Variable Dependiente: Control Operacional de las Tecnologías de la Información .....................5
JUSTIFICACIÓN DEL TEMA ....................................................................................................5
BREVE EXPLICACIÓN DE LA METODOLOGÍA A EMPLEAR ............................................6
RESUMEN DE LA ESTRUCTURA DEL PROYECTO DE INVESTIGACION .......................7
APORTE TEÓRICO, SIGNIFICACION PRÁCTICA Y NOVEDAD CIENTÍFICA .................8
CAPITULO I ...............................................................................................................................9
MARCO TEÓRICO .....................................................................................................................9
AUDITORIA INFORMÁTICA ...................................................................................................9
AUDITORIA ISO-9000 A LOS SISTEMAS COMPUTACIONALES .......................................9
SINTOMAS DE NECESIDAD DE UNA AUDITORIA INFORMÁTICA ............................... 10
ASPECTOS A CONSIDERAR EN AUDITORÍA INFORMÁTICA ........................................ 14
CONTROL INTERNO INFORMÁTICO .................................................................................. 16
AUDITORIA DE GESTIÓN TECNOLÓGICA ........................................................................ 20
CARACTERÍSTICAS DE LA AUDITORÍA TECNOLÓGICA ............................................... 21
NORMAS TÉCNICAS SOBRE EJECUCIÓN DEL TRABAJO ............................................... 22
PLANIFICACIÓN ..................................................................................................................... 22
ESTUDIO Y EVALUACIÓN DEL SISTEMA DE CONTROL INTERNO ............................. 23
CONTROLES ............................................................................................................................ 23
METODOLOGÍA DE TRABAJO DE LA AUDITORÍA INFORMÁTICA .............................. 26
EJECUCIÓN DE LA AUDITORÍA INFORMÁTICA .............................................................. 27
CICLO DE VIDA DE LA AUDITORÍA INFORMÁTICA ....................................................... 28
INICIO ....................................................................................................................................... 28
FASE DE PLANIFICACIÓN .................................................................................................... 29
FASE DE EJECUCIÓN ............................................................................................................. 30
FASE DE REVISIÓN ................................................................................................................ 30
FIN ............................................................................................................................................. 30
COBIT ....................................................................................................................................... 31
HISTORIA Y EVOLUCIÓN DEL COBIT ................................................................................ 31
EVOLUCIÓN DEL PRODUCTO COBIT ................................................................................. 31
FUNCIÓN BÁSICA Y ORIENTACIÓN DEL COBIT. ........................................................... 32
CONTEXTO DEL DESARROLLO TECNOLÓGICO.............................................................. 35
TECNOLOGÍA .......................................................................................................................... 36
GESTIÓN TECNOLÓGICA ..................................................................................................... 37
TIPOS DE TECNOLOGÍA ........................................................................................................ 38
GESTIÓN TECNOLÓGICA: CONSULTORÍA Y AUDITORÍA INFORMÁTICA. ................ 39
RELACIÓN DE LA GESTIÓN Y LA TECNOLOGÍA ............................................................. 40
ESPECIFICACIÓN Y DISEÑO DE LA ESTRATEGIA TECNOLÓGICA .............................. 42
OBJETIVO DE LA GESTIÓN TECNOLÓGICA ..................................................................... 43
CONCLUSIONES PARCIALES DEL CAPITULO .................................................................. 43
CAPITULO II ............................................................................................................................ 45
MARCO METODOLÓGICO Y PLANTEAMIENTO DE LA PROPUESTA .......................... 45
DISEÑO METODOLÓGICO. ................................................................................................... 46
POBLACIÓN Y MUESTRA ..................................................................................................... 46
TABULACIÓN DE RESULTADOS ......................................................................................... 49
CAPITULO III ........................................................................................................................... 63
DESARROLLO DE LA PROPUESTA ..................................................................................... 63
Tema .......................................................................................................................................... 63
INTRODUCCIÓN ..................................................................................................................... 63
OBJETIVOS .............................................................................................................................. 63
General ....................................................................................................................................... 63
Específicos ................................................................................................................................. 64
DESCRIPCIÓN GENERAL DE LA PROPUESTA .................................................................. 65
DESARROLLO DE LA PROPUESTA ..................................................................................... 65
DIAGNÓSTICO PREVIO ......................................................................................................... 66
PLANIFICACIÓN ..................................................................................................................... 69
ÁREA A AUDITAR .................................................................................................................. 70
RECOLECCIÓN DE LA INFORMACIÓN............................................................................... 70
DOCUMENTOS DE GESTIÓN DEL ÁREA DE INFORMÁTICA ......................................... 70
PLAN DE LA AUDITORIA ...................................................................................................... 70
CRONOGRAMA DE ACTIVIDADES ..................................................................................... 70
MODELOS DE MADUREZ A NIVEL CUALITATIVO (COSO) ........................................... 72
RESULTADOS .......................................................................................................................... 74
MODELOS DE MADUREZ DE LOS PROCESOS .................................................................. 74
RESUMEN DEL GRADO DE MADUREZ ............................................................................ 105
RESUMEN DE PROCESOS Y CRITERIO POR IMPACTO ................................................. 107
EL INFORME DE AUDITORÍA ............................................................................................. 111
PRESUPUESTO DE LA AUDITORÍA ................................................................................... 121
CONCLUSIONES PARCIALES DEL CAPITULO ................................................................ 123
CONCLUSIONES Y RECOMENDACIONES ....................................................................... 124
CONCLUSIONES ................................................................................................................... 124
RECOMENDACIONES .......................................................................................................... 126
BIBLIOGRAFIA
ANEXOS
Índice de Ilustraciones
Ilustración 1 Visión sistemática de la Auditoria Informática .................................................... 13
Ilustración 2 Funcionamiento del control Interno Informático .................................................. 17
Ilustración 3: Ciclo de vida de una auditoría ............................................................................. 29
Ilustración 4: El Cubo de COBIT ............................................................................................. 34
Ilustración 5 Actividades relacionadas con la producción de tecnologías ................................. 42
Ilustración 6 Edificio del Municipio de la Concordia ............................................................... 45
Ilustración 7 Pregunta #1 Encuesta realizada a empleados Municipales ................................... 49
Ilustración 8 Pregunta #2 Encuesta realizada a empleados Municipales ................................... 50
Ilustración 9 Pregunta #3 Encuesta realizada a empleados Municipales ................................... 51
Ilustración 10 Pregunta #4 Encuesta realizada a empleados Municipales ................................. 52
Ilustración 11 Pregunta #5 Encuesta realizada a empleados Municipales ................................. 53
Ilustración 12 Pregunta #6 Encuesta realizada a empleados Municipales ................................. 54
Ilustración 13 Pregunta #1 Encuesta realizada a usuarios Municipales ..................................... 55
Ilustración 14 Pregunta #2 Encuesta realizada a usuarios Municipales ..................................... 56
Ilustración 15 Pregunta #3 Encuesta realizada a usuarios Municipales ..................................... 57
Ilustración 16 Pregunta #4 Encuesta realizada a usuarios Municipales ..................................... 58
Ilustración 17 Pregunta #5 Encuesta realizada a usuarios Municipales ..................................... 59
Ilustración 18 Pregunta #6 Encuesta realizada a usuarios Municipales ..................................... 60
Ilustración 19 Propuesta a la solución Problemática ................................................................. 61
Ilustración 21 Estructura de la Propuesta .................................................................................. 65
Ilustración 22 Cronograma de Actividades ............................................................................... 71
Ilustración 23 Impacto sobre criterios de la información ....................................................... 111
Ilustración 24: Criterio efectividad ......................................................................................... 118
Ilustración 25 Criterio eficiencia ............................................................................................ 118
Ilustración 26 Criterio confidencialidad.................................................................................. 119
Ilustración 27 Criterio integridad ............................................................................................ 119
Ilustración 28 Criterio disponibilidad ..................................................................................... 120
Ilustración 29: Criterio cumplimiento ..................................................................................... 120
Ilustración 30 Criterio Confiabilidad ...................................................................................... 121
Índice de Tablas
Tabla 1 Diferencias y similitudes del Control Interno y la Auditoría Informática ..................... 18
Tabla 2 Tipos de Tecnología ..................................................................................................... 38
Tabla 3 Población involucrada en el problema .......................................................................... 47
Tabla 4 Muestra......................................................................................................................... 48
Tabla 5 Pregunta #1 Encuesta realizada a empleados Municipales ........................................... 49
Tabla 6 Pregunta #2 Encuesta realizada a empleados Municipales ........................................... 50
Tabla 7 Pregunta #3 Encuesta realizada a empleados Municipales ........................................... 51
Tabla 8 Pregunta # 4 Encuesta realizada a empleados Municipales ........................................ 52
Tabla 9 Pregunta # 5 Encuesta realizada a empleados Municipales .......................................... 53
Tabla 10 Pregunta # 6 Encuesta realizada a empleados municipales ......................................... 54
Tabla 11 Pregunta # 1 Encuesta realizada a empleados municipales ......................................... 55
Tabla 12 Pregunta # 2 Encuesta realizada a empleados municipales ......................................... 56
Tabla 13 Pregunta # 3 Encuesta realizada a usuarios Municipales ............................................ 57
Tabla 14 Pregunta # 4 Encuesta realizada a usuarios Municipales ............................................ 58
Tabla 15 Pregunta # 5 Encuesta realizada a usuarios Municipales ............................................ 59
Tabla 16 Pregunta # 6 Encuesta realizada a usuarios Municipales ............................................ 60
Tabla 17 Cuadro de Herramientas ............................................................................................. 72
Tabla 18 Cuadro de Herramientas nivel cualitativo COSO ....................................................... 73
Tabla 19 Cuadro de herramientas Metodología para el manejo de riesgos COSO.................... 74
Tabla 20 Plan Estratégico ......................................................................................................... 75
Tabla 21 Definición de Arquitectura de la Información ........................................................... 76
Tabla 22 Dirección Tecnológica ............................................................................................... 78
Tabla 23 Definición de Procesos ............................................................................................... 80
Tabla 24 Administración de la Inversión .................................................................................. 81
Tabla 25 Identificación de Soluciones Automatizadas ............................................................. 83
Tabla 26 Adquirir y mantener el Software aplicativo ............................................................... 84
Tabla 27 Mantener la Infraestructura ........................................................................................ 86
Tabla 28 Facilitar operación y uso............................................................................................ 88
Tabla 29 Adquirir Recursos de TI ............................................................................................. 90
Tabla 30 Administrar niveles de servicios ................................................................................ 91
Tabla 31 Administrar los servicios de Terceros ......................................................................... 93
Tabla 32 Desempeño y Calidad ................................................................................................ 94
Tabla 33 Continuidad de servicios ............................................................................................ 96
Tabla 34 Garantizar la Seguridad de los Sistemas .................................................................... 97
Tabla 35 Monitorear y Evaluar el Desempeño de TI ................................................................ 99
Tabla 36 Monitorear y Evaluar el Control Interno.................................................................. 100
Tabla 37 Cumplimiento regulatorio........................................................................................ 102
Tabla 38 Proporcionar Gobierno de TI ................................................................................... 103
Tabla 39 Grado de Madurez..…………………................................……………………...…105
Tabla 40 Grado de Madurez, Resumen de procesos y criterios de impacto…………………..107
Tabla 41 Informe de Auditoria………………………………………………………………..112
Tabla 42 Presupuesto de la Auditoria…………………………………………..…………….121
1
INTRODUCCIÓN
Antecedentes de la Investigación
Se ha realizado una investigación preliminar en la Biblioteca de la Universidad
Regional Autónoma de los Andes UNIANDES, para analizar las tesis que pueden
servir como antecedente investigativo a la presente, luego de un estudio y análisis
de las mismas, se han considerado importantes las siguientes investigaciones:
La tesis desarrollada por el Ing. Ramón Tóala previa a la obtención del título de
Magister en Informática empresarial y que fue presentada en el año 2013 con el
tema denominado “AUDITORIA INFORMÁTICA PARA EL CONTROL DE LA
GESTIÓN TECNOLÓGICA DE LA UNIVERSIDAD TÉCNICA DE MANABÍ”, de su
análisis se puede concluir que los procesos de auditoria permiten definir el estado
real de la infraestructura tecnológica que maneja la Institución educativa, también
se puede deducir que mediante la utilización de la metodología Cobit se llega a
obtener resultados evacuatorios de los procesos y de los equipos informáticos.
Toda auditoría informática requiere de una planificación previa y de la definición de
los instrumentos evacuatorios para hardware, para software y lógicamente para
procesos.
A nivel nacional y específicamente en la Escuela Superior Politécnica del Ejército,
se encontró la tesis de los ingenieros Sandra Patricia Balseca Alcocer y Miguel
Eduardo Cachimuel Querembás, con su tema “EVALUACIÓN Y AUDITORÍA
INFORMÁTICA DEL SISTEMA DE INFORMACIÓN DE LA E.S.P.E”, del análisis
realizado se puede concluir de que:
Es necesaria la realización periódica de un ejercicio práctico y formal de la auditoría
en informática que permita asegurar que los recursos informáticos se están
utilizando de manera adecuada para lograr los objetivos de la institución auditada.
Y como todo proceso de auditoría, la auditoría informática es similar al de auditoría
de estados financieros, en la cual los objetivos principales son, salvaguardar los
2
activos, asegurar la integridad de los datos, la consecución de los objetivos
gerenciales, y la utilización de los recursos con eficiencia y eficacia, para lo que se
realiza la recolección y evaluación de evidencias. De manera semejante como
sucede con la auditoría financiera en la auditoría informática se recogen evidencias,
las cuales se analizan para identificar, la manera en la cual son salvaguardados los
activos computarizados.
Planteamiento del Problema
A nivel mundial, se considera a la información como un activo tan o más
importante que cualquier otro en la organización y su notable crecimiento ha dado
lugar a grandes cambios en la manera de cómo se establecen los procesos de la
información almacenada a través de las TI, es por esta razón que se debe seguir
normas y estándares para el éxito de una empresa.
En el Ecuador, la tecnología es bastante escasa, la cual nos ha traído graves
consecuencias con respecto al desarrollo, ya que la falta de la misma nos ha impedido
avanzar de una manera óptima en el mercado competitivo a nivel mundial. Sin
embargo en este campo tecnológico no solo el Gobierno participa sino también la
sociedad entera como las empresas privadas y universidades con sus importantes
aportes que son tomados en cuenta al momento de hacer una evaluación.
El Gobierno Autónomo Descentralizado Municipal del Cantón la Concordia, es una
institución que conforma la organización territorial del Estado Ecuatoriano,
organizada y regulada por el artículo 238 de la Constitución de la República del
Ecuador, establece que constituyen Gobiernos Autónomos Descentralizados
(GAD).
El Gobierno Autónomo Descentralizado Municipal del Cantón la Concordia fue
aprobada en 5 de febrero de 2012 en el mismo año que se proclamó a La Concordia
como cantón de la provincia de Santo Domingo de los Tsáchilas. El Gobierno
Autónomo Descentralizado Municipal del Cantón la Concordia, se encuentra
ubicado en la Calle Eugenio Espejo y Carchi, con sus diferentes departamentos
3
como; la Dirección de Planificación, Equidad y Género, departamentos como:
Dirección Financiera, Administrativa, Comunicación Social entre otras, que brinda
servicios a la sociedad.
En varias visitas realizadas en el G.A.D. Municipal, se ha podido observar varias
falencias en el control operacional del aspecto tecnológico, como también en el
manejo y tratamiento de la información, entre ellas tenemos:
No existe un inventario completo y acertado de equipos informáticos por lo que
genera desorganización y desconocimiento del stock real de equipos
El desconocimiento del estado actual de los equipos informáticos ha con llevado
a innumerables errores de funcionamiento, reclamos por los usuarios y pérdida
de tiempo en atención al público. También no se ha podido hacer una
actualización tecnológica y tampoco se tiene información clara de quienes son
los adjudicatarios de los equipos de la Institución
El procedimiento para realizar un requerimiento de material es mediante el
P.O.A. anual, lo que no se satisface la necesidad actual en el departamento
No se han realizado auditorias informáticas de los recursos existentes para
evaluar su funcionalidad y utilización
La falta de un manual de organización y funciones ha ocasionado que los
encargados del departamento informático manejen y manipulen tanto la
tecnología como la compatibilidad y configuración de los equipos informáticos
de manera empírica.
Formulación del problema
¿Cómo mejorar el control operacional de las tecnologías de la información en el
G.A.D Municipal del cantón La Concordia?
4
Delimitación del problema
El presente trabajo de investigación se ha desarrollado en el GAD Municipal del
Cantón de La Concordia, ubicado en la Calle Eugenio Espejo y Carchi.
El presente trabajo de investigación está delimitado en el departamento de las
Tecnologías de la Información, ya que es el encargado de establecer los procesos
y manejo de información almacenada.
OBJETO DE INVESTIGACIÓN Y CAMPO DE ACCIÓN
Objeto de Estudio: Procesos informáticos
Campo de acción: Auditoría Informática
IDENTIFICACIÓN DE LA LÍNEA DE INVESTIGACIÓN
La línea de investigación en el presente trabajo investigativo es: Las Tecnologías
de la Información y Comunicación
OBJETIVOS
Objetivo General
Planificar la ejecución de una Auditoría Informática, para que en base a ella se logre
el mejoramiento del control operacional de las Tecnologías de la Información en el
Gobierno Autónomo Descentralizado (GAD) Municipal del Cantón La Concordia
Objetivos Específicos
Fundamentar científicamente los conceptos relacionados con Auditoría
Informática, metodología COBIT y el control operacional de las tecnologías de
información
5
Realizar una investigación de campo sobre cómo se está llevando a cabo
actualmente el control operacional de las Tecnologías de la Información en el
GAD Municipal del Cantón La Concordia.
Planificar una Auditoría Informática basada en los conceptos y en la
metodología COBIT para el G.A.D. Municipal del Cantón La Concordia.
Validar la propuesta por expertos
IDEA A DEFENDER
Con la realización de una auditoría informática planificada en este trabajo
investigativo, se mejorará el proceso de control operacional de las Tecnologías de
Información en el Gobierno Autónomo Descentralizado (GAD) Municipal del Cantón
La Concordia
VARIABLES DE LA INVESTIGACIÓN
Variable Independiente: Auditoría de Gestión Informática
Variable Dependiente: Control Operacional de las Tecnologías de la Información
JUSTIFICACIÓN DEL TEMA
Del planteamiento del problema se puede deducir que este existe y que es de tipo
multifactorial, primeramente se debe resaltar que realmente no existe una
información concreta de todo el aparato tecnológico que tiene la Institución
Municipal, de cuál es su funcionamiento, de su ubicación y a cargo de quien está,
en definitiva no se tiene un control de toda la parte tecnológica y es por ello que
tampoco se pueden tomar decisiones para mejorar la infraestructura técnica.
Lógicamente se deduce que lo primero que hay que hacer es una auditoría
informática de toda la infraestructura tecnológica, luego de que esta se realice se
tendrán los siguientes beneficios:
6
Se dispondrá de información clara y precisa del estado de la tecnología que
utiliza la entidad Municipal como apoyo a su proceso operativo.
También se sabrá con plenitud la ubicación de equipos y obviamente los
responsables de los mismos.
En base a esta información se podrá planificar la adquisición de nuevas
tecnologías, así como el recambio de todo el parque informático.
En base a la mejora tecnológica, se podrá mejorar el servicio al usuario,
agilitando los procesos y pudiendo establecer interconexiones con entidades
gubernamentales.
Luego de la auditoria informática se tendrá un mejor control operacional de toda
la infraestructura tecnología que apoya el funcionamiento de la Institución
municipal.
En base a todas estas mejoras, se justifica plenamente la realización del presente
trabajo investigativo.
BREVE EXPLICACIÓN DE LA METODOLOGÍA A EMPLEAR
La metodología investigativa que se empleó en el desarrollo del presente trabajo
de titulación tiene algunos aspectos a destacar así:
En lo que se refiere a la modalidad de la investigación concretamente se utilizó el
paradigma denominado cuali-cuantitativo, en este paradigma la modalidad
cualitativa permite averiguar las cualidades o características generales del
problema, esta averiguación normalmente se la hace en base a observación y a
visitas en la Institución. Las características cualitativas de la problemática
posteriormente son ratificadas mediante la cuantificación de la investigación de
campo llevada a cabo en base a encuestas.
7
Entre los tipos de investigación que se utilizaron se tiene: la bibliográfica, de campo
y aplicada. Mientras tanto los métodos a emplear en el desarrollo del presente
trabajo investigativo tenemos el Analítico sintético, Inductivo deductivo
Las técnicas que se aplicaron en el proceso investigativo son: la encuesta que se
llevará a cabo a los clientes internos y externos de la Municipalidad, también se
realizó una entrevista al Director de Sistemas para recabar sus criterios
relacionados a la problemática y a la solución de la misma.
Por ultimo empleamos los instrumentos investigativos como: los cuestionarios que
se utilizarán para las encuestas orientadas a los usuarios y a los empleados y la
guía de entrevistas para el Director Departamental
RESUMEN DE LA ESTRUCTURA DEL PROYECTO DE INVESTIGACION
El presente trabajo investigativo tiene las siguientes secciones:
La introducción contiene aspectos fundamentales como el planteamiento del
problema relacionado con una falta de control operacional de las tecnologías que
se usan en el Municipio, también se definen los objetivos que tienen que ver con la
planificación de una auditoría informática y obviamente con su fundamento teórico,
además se expresa los motivos que justifican esta investigación y las
características de novedad que tiene.
El marco teórico permite el fundamento científico de la propuesta, este aspecto
teórico tiene que ver con los conceptos fundamentales de la Auditoría informática,
también se fundamenta la metodología COBIT y el control operacional.
El marco metodológico se lo elabora en base a encuestas realizadas a empleados
y usuarios del municipio, en él, se ratifican los síntomas del problema y se orienta
a la solución.
8
Finalmente se tiene la propuesta en la cual se planifica la auditoría informática, se
preparan los instrumentos respectivos y se dan orientaciones relacionadas con el
informe final de la auditoria.
APORTE TEÓRICO, SIGNIFICACION PRÁCTICA Y NOVEDAD CIENTÍFICA
El aporte teórico que ofrece el presente trabajo investigativo, es el de aportar y
fortalecer las bases teóricas correspondientes a la Auditoria Informática ya que
servirá como fuente de consulta y a la vez extender su conocimientos a estudiantes,
que estén interesados en el tema.
La significación práctica, recae notablemente, en la implementación de una
Auditoría de Gestión Informática, orientada directamente a identificar riesgos de
la entidad y establecer controles necesarios que garanticen la protección
integral de los activos fijos en este caso, la información de la entidad
gubernamental, como también facilitar la administración de los mismos.
La novedad científica de la presente investigación es el alcance que tiene la
Auditoría de Gestión Informática en nuestro medio ya que radica en el hecho de
aplicar normas y técnicas dedicadas al aseguramiento y disponibilidad de la
información.
9
CAPITULO I
MARCO TEÓRICO
Este trabajo investigativo se fundamenta en los siguientes aspectos:
AUDITORIA INFORMÁTICA
“La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias
para determinar si un sistema informatizado salvaguarda los activos, mantiene la
integridad de los datos, lleva eficazmente los fines de la organización y utiliza
eficazmente los recursos.” (PIATTINI, 2008)
Dentro de la auditoría informática se tiene muy en claro cuatro puntos: "examen",
"metódico", "puntual" y" objetivo": (HORACIO, 2008)
La auditoría informática es un examen, pues se verifica o comprueba el sistema
informático actualmente en uso.
Este examen es metódico, ya que sigue un plan de trabajo, perfectamente
diseñado, que permite llegar a conclusiones suficientemente fundamentadas.
Este examen es puntual, ya que se realiza en un momento determinado y bajo
petición de la dirección.
Este examen es objetivo, ya que se realiza por un equipo externo al servicio de
informática para buscar la objetividad requerida.
AUDITORIA ISO-9000 A LOS SISTEMAS COMPUTACIONALES
Es la revisión exhaustiva, sistemática y especializada que realizan únicamente los
auditores especializados y certificados en las normas y procedimientos ISO-9000,
aplicando exclusivamente los lineamientos, procedimientos e instrumentos
establecidos por esta asociación. El propósito fundamental de esta revisión es
10
evaluar, dictaminar y certificar que la calidad de los sistemas computacionales de
una empresa se apegue a los requerimientos delISO-9000. (Universidad de
Alicante, 2010)
SINTOMAS DE NECESIDAD DE UNA AUDITORIA INFORMÁTICA
Las empresas acuden a las auditorías externas cuando existen síntomas bien
perceptibles de debilidad. Estos síntomas pueden agruparse en clases.
Síntomas de descoordinación y desorganización:
No coinciden los objetivos de la informática de la empresa y de la propia
compañía
Síntomas de mala imagen e insatisfacción de los usuarios
1. No se atienden las peticiones de cambios de los usuarios. Ejemplo: cambio
de Software en los computadores
2. No se reparan las averías de Hardware ni se resuelven incidencias en
plazos razonables. El usuario percibe que está abandonado y desatendido
permanentemente.
3. No se cumplen en todos los casos los plazos de entrega de resultados
periódicos.
Síntomas de debilidades económico-financiero:
1. Incremento desmesurado de costos
2. Necesidad de justificación de inversiones informáticas (la empresa no está
absolutamente convencida de tal necesidad y decide contrastar opiniones)
11
3. Costos y plazos de nuevos proyectos (deben auditarse simultáneamente a
desarrollo de proyectos y al órgano que realizó el pedido).
Síntomas de inseguridad: Evaluación de nivel de riesgos.
1. Seguridad lógica
2. Seguridad física
3. Confidencialidad
Se pueden establecer tres grupos de funciones a realizar por un auditor informático:
Participar en las revisiones durante y después del diseño, realización,
implantación y explotación de aplicaciones informativas, así como en las fases
análogas de realización de cambios importantes.
Revisar y juzgar los controles implantados en los sistemas informativos para
verificar su adecuación a las órdenes e instrucciones de la dirección requisitos
legales, protección de confidencialidad y cobertura ante errores y fraudes.
(RAMIREZ & ALVAREZ, 2010)
Según HERNÁNDEZ (2009), “Conceptualmente la auditoría toda y cualquiera
auditoría, es la actividad consistente en la emisión de una opinión profesional sobre
si el objeto sometido a análisis presenta adecuadamente la realidad que pretende
reflejar y/o cumple las condiciones que le han sido prescritas”.
De aquí se deduce la importancia de establecer una opinión objetiva fundada en
las evidencias encontradas, sobre las diferencias existentes entre el planteamiento
del funcionamiento de cualquier área a auditar y su ejecución real en la
organización, y comunicarlas a las personas correspondientes.
12
Se plantea que una de las formas de Auditoría Informática aplicado a Entidades
Públicas es el proceso orientado a la identificación de riesgos y controles en la
gestión de las tecnologías de información, para su efectivo apoyo al logro de los
objetivos de la institución, para el cumplimiento de sus metas estratégicas, asociado
a la nueva economía digital en la que se desenvuelve.
Por un lado la identificación de riesgos nos sirve para determinar el nivel de
exposición de la institución al inadecuado uso de los servicios que brinda la
tecnología de la información, pero además permite gestionar los riesgos,
implementando controles que están orientados a evitarlos, transferirlos, reducirlos
o asumirlos gerencialmente. Por tanto, es necesario definir ambos conceptos:
riesgos y controles:
a. Riesgos: Un riesgo impide que la entidad logre alcanzar los objetivos
establecidos como negocio y que en el tiempo dicha situación genere
debilidades en el control interno
b. Control: Un control establece las medidas implementadas en las entidades con
la finalidad de reducir los riesgos existentes y proteger los activos más
importantes.
En la siguiente figura se visualiza la estrategia utilizada para la implantación de las
mejores prácticas de control. Es un proceso de “benchmarking” que toma en cuenta
las mejores recomendaciones internacionales, como las contenidas en el COBIT,
las utilizadas por empresas de prestigio internacional, las normas internacionales
de auditoría, entre otros; los que permiten obtener altos niveles de seguridad,
fiabilidad y conformidad en la gestión de la tecnología de la información.
Los riesgos de tecnologías de información que afectan a las entidades Públicas
están relacionados con 3 aspectos básicamente:
13
a. Dependencia en el uso de tecnología de información: Relacionada con
el uso que efectúa la Entidad y la importancia que representa para el
desarrollo de sus operaciones.
b. Confiabilidad en el uso de tecnología de información: Relacionada con
resultados del procesamiento de datos y que no requieren trabajo manual
por los usuarios para complementar la información.
c. Cambios en la tecnología de información: Relacionado con la
automatización de los procesos principales de la Entidad y la adecuación de
esos procesos automatizados a nuevas necesidades de la Entidad
motivados por regulación o por modernización para mantenerse
competitivos o lograr su acreditación. (GÓMEZ, 2013)
Un proceso de Auditoría Informática tiene como objetivos la implantación de nuevos
y mejores controles, que permitan entregar servicios tecnológicos con calidad y
eficiencia, que a su vez permitirá que el GAD municipal de La Concordia alcance
un mejor posicionamiento y acreditación dentro de las instituciones de este ramo
tanto dentro como fuera del país, apoyando de esta manera a los distintos procesos
que está emprendiendo para alcanzar la visión que se ha planteado.
Ilustración 1 Visión sistemática de la Auditoria Informática Fuente: http://sisbib.unmsm.edu.pe/bibvirtualdata/publicaciones/indata/Vol6_n1/pdf/auditoria.pdf
Elaborado por: Ing. Andrea Mejía
14
Las etapas para establecer un sistema de control son las siguientes:
1. Establecimiento de estándares: Es la acción de determinar el/los parámetros
sobre los cuales se ejercerá el control y posteriormente, el estado o valor de
esos parámetros considerado deseable. Este es el primer elemento a
establecer para instrumentar un sistema de control. En esta especificación se
deberán incluir, entre otros, la precisión con que se medirá el parámetro a
verificar, el método de medición y el instrumento sensible que se aplicará, la
periodicidad en la aplicación y hasta los responsables de esta tarea.
2. Comparación o diagnóstico: implica el cotejo entre los resultados reales con los
deseables. En esta etapa se investiga (más o menos extensamente) acerca de
las causas de las desviaciones que acompañarán un informe con las
discrepancias detectadas, para ser fuente de información de la siguiente fase.
(CASTELLO, 2006)
3. La determinación de acciones correctivas es la tercera etapa. Lleva implícita
una decisión: corregir o dejar como está. Obviamente será más certera y
económica la solución de la discrepancia mientras más correcto sea el
diagnóstico hecho en la etapa anterior.
4. La ejecución de las acciones correctivas es el último paso. Sin éste, el control
será estéril, inútil e incompleto. Más aún, infinitamente caro como respuesta al
problema que intentó solucionar. Por ello, se considera que sin esta etapa
simplemente no ha existido una acción de control.
ASPECTOS A CONSIDERAR EN AUDITORÍA INFORMÁTICA
Uno de los aspectos más significativos de la Auditoría Informática se refiere a los
datos relativos a la Rentabilidad del Sistema. La rentabilidad del sistema debe ser
medida mediante el análisis de tres valores fundamentales: la evaluación de los
costes actuales, la comparación de esos costes actuales con magnitudes
15
representativas de la organización, y la comparación de los costes del sistema de
información de la empresa con los de empresas similares, preferentemente del
mismo sector de actividad. (Universidad Autónoma del Estado de Hidalgo, (2011)
Como evaluar de forma concreta estos tres aspectos fundamentales, que
conforman la rentabilidad del sistema de información, es lo que se analiza
seguidamente.
Evaluación de los costos actuales. Conocer, en términos económicos, los costos
que para una empresa supone su sistema de información, constituye uno de los
aspectos básicos de la auditoría informática. Se trata de cuantificar los costos de
los distintos elementos que configuran el sistema de información y que en términos
generales son los siguientes:
Hardware. Se trata de analizar la evolución histórica del hardware en la
empresa, justificando dicha evolución. Es importante conocer el costo del
material (unidad central, periféricos, soporte) durante los últimos cinco años.
También será necesario analizar la utilización de cada elemento hardware
de la configuración, cifrándola en hora/mes, asegurando que la configuración
utilizada se corresponde con el menor valor utilización/costo, y examinar la
coherencia del mismo (MERINO, 2014)
Software. Análisis de los costos relativos al sistema lógico, tanto en sus
aspectos relativos a la explotación (adecuación del sistema operativo,
versión del software utilizado) como en los aspectos relativos a la
programación de las distintas aplicaciones (prioridades de ejecución,
lenguaje utilizado).( Melo Cazar & Mónica Elizabeth, 2005)
Capturas de datos. Análisis de los costos relativos a la captura de datos,
de las fuentes de información, tanto internas como externas de la empresa.
Grabación de datos. Es necesario conocer también los costos relativos a la
transcripción de datos en los soportes adecuados (costos de personal,
equipos y máquinas auxiliares).
16
Explotación. Análisis de los costos imputados a los factores relativos a la
explotación en sentido amplio (tratamiento manual, tiempos de realización
de aplicaciones, tiempo de respuesta, control errores, etc.)
Aplicaciones. Se trata de evaluar los costos del análisis funcional, el análisis
orgánico, la programación, las pruebas de programas, preparación de datos
y costos de desarrollo de cada aplicación medido en horas.
Personal. Teniendo en cuenta el nivel cualitativo y cuantitativo (las distintas
categorías, equilibrio entre esas categorías, remuneraciones salariales,
horas extraordinarias), se trata de analizar los costos de personal
directamente relacionado con el sistema de información. En este apartado
deberán tenerse en cuenta también los costes relativos a la formación del
personal.
Documentación. Es necesario no sólo verificar que la documentación
relativa al sistema de información sea clara, precisa, actualizada y completa,
sino también los costos relativos a su elaboración y actualización.
Difusión de la información. Se trata de evaluar los costos de difundir la
información, es decir, hacer llegar a los usuarios del sistema la información
demandada o aquella considerada necesaria en los distintos niveles de la
organización.
CONTROL INTERNO INFORMÁTICO
Para la aplicación y correcto funcionamiento en los procesos que plantea la
auditoría se tiene que llevar un control interno informático que es el que controla
diariamente que todas las actividades de sistemas sean realizadas cumpliendo los
procedimientos, estándares y normas fijados por la Dirección de la Organización
y/o la Dirección de Informática, así como los requerimientos legales. (PIATTINI,
2008)
17
La misión del Control Interno Informático es asegurarse de que las medidas que se
obtienen de los mecanismos implantados por cada responsable sean correctas y
válidas.
Como principales objetivos serían:
Controlar que todas las actividades se realizan cumpliendo los
procedimientos y normas fijados, evaluar su bondad y asegurarse del
cumplimiento de las normas legales.
Asesorar sobre el conocimiento de las normas
Colaborar y apoyar el trabajo del Auditor Informático, así como el de las
auditorías externas al grupo.
Definir, implantar y ejecutar mecanismos y controles para comprobar el logro
de los grados adecuados del servicio informático.
Ilustración 2 Funcionamiento del control Interno Informático Fuente: http://alarcos.esi.uclm.es/per/fruiz/cur/mso/comple/Cobit.pdf
DIRECCIÓN
Exigencias
internas y
externas
POLÍTICAS Y
DIRECTRICES
ESTÁNDARES,
PROCEDIMIENTOS,
NORMAS Y
METODOLOGÍAS
IMPLANTAR
PROCEDIMIETNOS
DE CONTROL
POLÍTICA
CULTURA COMPROBACIÓN Y
SEGUIMIENTO DE
CONTROLES
18
“La Auditoría Informática y el Control Interno Informático son campos análogos. De
hecho, muchos de los actuales responsables de control interno informático
recibieron formación en seguridad informática tras su paso por la formación en
auditoría. Numerosos auditores se pasan al campo de control interno debido a la
similitud de los objetivos profesionales de control y auditoría. Pese a que ambas
figuras tienen objetivos comunes, existen diferencias que conviene matizar. En la
siguiente tabla se muestra las similitudes y diferencias entre ambas disciplinas:”
(Sobrinos Sánchez, 2000)
Tabla 1
Diferencias y similitudes del Control Interno y la Auditoría Informática
CONTROL INTERNO INFORMÁTICO
AUDITOR INFORMÁTICO
SIMILITUDES
Personal Interno
Conocimientos especializados den Tecnologías de la Información
Verificación del cumplimiento de controles internos, normativas y procedimientos establecidos por la Dirección de Informática y la Dirección General para los sistemas de información
DIFERENCIAS
Análisis de los controles en el día a día
Informa a la Dirección del Departamento de Informática
Solo personal interno
El alcance de sus funciones es únicamente sobre el Departamento de Informática
Análisis de un momento informático determinado
Informa a la Dirección General de la Organización.
Personal Interno y externo
Tiene cobertura sobre todos los componentes de los sistemas de información de la Organización
Fuente: http://alarcos.esi.uclm.es/per/fruiz/cur/mso/comple/Cobit.pdf
“El auditor debe ser una persona independiente de la institución que se vaya a
auditar, él es responsable de aplicar el método que considere más adecuado, lo
que supone diseñar, desarrollar e implantar los controles; con total independencia
del equipo de desarrollo, el auditor deberá decidir los procedimientos que vaya
aplicar al auditar. El auditor puede hacer recomendaciones para mejorar el sistema,
cuidando siempre no perder la independencia”. (Guevara Plaza, 2010)
19
Todo auditor de sistemas informáticos debe estar técnicamente preparado y
poseer, los suficientes conocimientos y experiencia que le permitan realizar dicho
trabajo, de lo contrario deberá acudir a un experto en el área donde se tienen dudas,
es por eso que todo auditor debe tener una formación continua debido a la
revolución tecnológica.
Uno de los bienes más importante no solo de las empresas sino de las instituciones
es la información es por esto que existe conocimientos, normas, técnicas y buenas
practicas dedicadas a la evaluación y aseguramiento de la calidad, seguridad,
razonabilidad, y disponibilidad de la información tratada y almacenada a través del
computador y equipos afines, así como de la eficiencia, eficacia y economía con
que la administración de un ente están manejando dicha información y todos los
recursos físicos y humanos asociados para su adquisición, captura, procesamiento,
transmisión, distribución, uso y almacenamiento. Todo lo anterior con el objetivo de
emitir una opinión o juicio, para lo cual se aplican técnicas de auditoria de general
aceptación y conocimiento técnico específico. (SEVILLA, 2012)
También es una realidad que las facilidades que brindan los sistemas informáticos
pueden tener como inconveniente hacer más vulnerable la información importante
de las organizaciones, por lo que se deben implantar controles para mantener
segura la información y por ende se requiere de auditores especializados en
sistemas informáticos que prueben que estos controles son efectivos y permiten
que la información se procese de manera correcta. En consecuencia de esta
situación se crea la necesidad de realizar periódicamente evaluaciones a los
sistemas, o también llamadas, auditorías informáticas, con las cuales se pretende
identificar y evaluar los controles implantados en los sistemas y minimizar los
riesgos a los cuales las organizaciones que dependen de los sistemas informáticos
se encuentran expuestas.
La auditoría informática dentro de sus funciones se encuentra:
Controlar y verificar todos los estándares informáticos que aplica la
organización.
20
Analizar la eficiencia y eficacia de los Sistemas de Información
organizacionales
Examinar el uso adecuado de los recursos informáticos de la organización.”
(GRANADOS, 2006 )
AUDITORIA DE GESTIÓN TECNOLÓGICA
Una auditoría de sistemas es un proceso de revisión de la manera en la que se
están administrando actualmente la gestión tecnológica y los controles implantados
en los mismos, basado en un criterio o modelo de control y gobierno de TI
establecido (p. ej. COBIT, ITIL, ISO), recolección de evidencias significativas y la
emisión de una opinión independiente acerca de los controles evaluados.
(SEVILLA, 2012)
Esta opinión debe ser revisada por la gerencia de la entidad auditada, quien debe
definir si está de acuerdo con la misma, puesto que en caso de estar en desacuerdo
el auditor debe realizar una evaluación más exhaustiva a los puntos en desacuerdo,
siendo este un escenario poco probable y deseado ya que los resultados emitidos
por el auditor deben ser verificables por medio de las evidencias recolectadas que
deben estar de acuerdo con las observaciones emitidas.
“Cuando en una instalación se encuentren operando sistemas avanzados de
computación, como procesamiento en línea, bases de datos y procesamiento
distribuido, se podía evaluar el sistema empleando técnicas avanzadas de
auditoría.” (ECHENIQUE, 2006)
Estos métodos requieren un experto y, por lo tanto, pueden no ser apropiados si el
departamento de auditoría no cuenta con el entrenamiento adecuado (la institución
no cuenta con departamento de auditoría).
La tecnología está afectando la forma en que las organizaciones están
estructuradas, administradas y operadas. En algunos casos, los cambios son
21
dramáticos. Cuando existe la necesidad de un nuevo diseño de sistemas
administrativos para lograr una efectiva administración y control financiero.
Las técnicas deben usarse apropiadamente, dentro de estas podemos mencionar:
las pruebas integrales consisten en el procesamiento de datos de un
departamento ficticio, comparando estos resultados con resultados
predeterminados, es decir las transacciones iniciadas por el auditor son
independientes de la aplicación normal, pero son procesadas al mismo tiempo.
(MERINO, 2014)
La simulación nos ayuda a desarrollar programas de aplicación para determinada
prueba y comparar los resultados de la simulación con la aplicación real. El
proceso manual generalmente los documentos de las transacciones contienen
espacio de trabajo para ejecutar el proceso necesario, en las aplicaciones
computarizadas, el proceso se efectúa electrónicamente dentro de la memoria del
computador mediante procedimientos programados y siguiendo reglas
predeterminadas.
CARACTERÍSTICAS DE LA AUDITORÍA TECNOLÓGICA
Según (GÓMEZ, 2013), la información de la empresa y para la empresa, se ha
convertido en un activo real de la misma, por ende, han de realizarse inversiones
informáticas, materia de la que se ocupa la Auditoría de Inversión Informática.
De la misma manera, los Sistemas informáticos o tecnológicos han de protegerse
de modo global y particular, a ello se debe la existencia de la Auditoría de Seguridad
Informática en general, cuando se producen cambios estructurales en la
Informática, se reorganiza de alguna forma su función; se está en el campo de la
Auditoría de Organización Informática o Tecnológica. Estos tres tipos de auditoría
engloban a las actividades auditoras que realizan en una auditoria parcial.
22
NORMAS TÉCNICAS SOBRE EJECUCIÓN DEL TRABAJO
PLANIFICACIÓN
Toda auditoría antes de comenzar siempre se debe planificar y alguien que no haya
participado en la planificación debe supervisar el plan. La planificación de la
auditoría supone desarrollar una estrategia global basada en el objetivo y en el
alcance del trabajo que se haya encargado al auditor. Las fases para elaborar el
plan serían:
1. Análisis General de riesgo: En este análisis el auditor debe tener conocimiento
general del sector en el que se desenvuelve la empresa, del tipo de actividad y
de la empresa en sí; de esta manera podrá determinar en primera instancia las
áreas donde el riesgo es mayor. El auditor debe utilizar técnicas de evaluación
tanto a la hora de desarrollar el plan global de la auditoría como a la hora de
planificar una auditoría concreta. (VALLABHANENI, 2007)
2. Desarrollo de un Plan Global relativo al ámbito y a la realización de la auditoría:
Una vez evaluado el riesgo de la entidad que se va a auditar, se elabora el plan
global, en este se reflejan las decisiones iniciales del auditor con respecto a los
principios, normas técnicas y demás legislación que se va a tener en cuenta en
el trabajo de auditoría. (INSTITUTO MEXICANO DE CONTADORES
PÚBLICOS, 2013)
3. Preparación del programa de auditoría: El auditor deberá preparar un programa
escrito en el que establezcan, bien detallados, los objetivos y los
procedimientos que se precisen para llevar a cabo el plan global de auditoría.
A medida que vaya progresando la auditoría, el auditor deberá ir revisando
tanto el plan global como los programas parte del plan de auditoría. (PELAZAS,
2015)
En la fase de planificación deben quedar claras las siguientes interrogantes:
23
¿Dónde se va a realizar el trabajo?
¿En cuánto tiempo se va a realizar?
¿En qué fecha es necesario que esté terminado el trabajo?
¿Quién compone el equipo de auditoría?
¿Qué áreas se van a auditar?
Es decir, el auditor deberá planificar el trabajo de forma adecuada a fin de identificar
los objetivos de cada área de la auditoría y determinar los métodos para alcanzar
esos objetivos de manera eficaz y eficiente.
ESTUDIO Y EVALUACIÓN DEL SISTEMA DE CONTROL INTERNO
Se deberá estudiar y evaluar adecuadamente el control interno. En el campo de la
auditoría tanto interna como externa de sistemas informáticos se suelen dividir los
controles en: controles generales y controles de aplicaciones. Los controles son
fundamentales para conseguir la seguridad informática.
CONTROLES
“Es el conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y
actitudes de las empresas y para ello permite verificar si todo se realiza conforme
a los programas adoptados, órdenes impartidas y principios admitidos” (NARANJO,
2006)
1. Controles generales.
Los controles generales de los sistemas informáticos, a su vez, se pueden
dividir en cinco categorías:
24
a. Controles de la Organización
La entidad deberá segmentar las distintas funciones y tareas entre el
personal del Centro de Proceso de Datos (C.P.D) y los usuarios, evitando
que funciones o tareas incompatibles las realice una misma persona. Por
ejemplo se debe prohibir al personal de C.P.D. que realice cualquier tipo
de transacción.
b. Controles sobre el desarrollo de los sistemas y su documentación.
Estos controles suponen que los nuevos sistemas y las modificaciones
de los existentes se deben revisar sometiéndolos a un lote de pruebas,
aceptándolos, en el caso de que hayan superado las pruebas. Los
manuales deberán ser actualizados, revisados y aprobados antes de
ponerlos en circulación. La persona o personas que realicen la función
de desarrollo o actualización deben ser distintas a las que revisen y
aprueben los sistemas y los manuales.
c. Controles sobre el software del sistema y sobre el hardware
Se deberán implantar funciones que detecten errores automáticamente,
tanto en el software como en el hardware. Se harán revisiones periódicas
con el objetivo de prevenir estos errores. Es conveniente elaborar
procedimientos escritos de como a de actuar el personal en el caso de
que ocurra cualquier tipo de fallo.
d. Controles de acceso.
Estos se implantan con el objetivo de prevenir o detectar errores
deliberados o accidentales, que sean consecuencia del uso o de la
manipulación inadecuada de los ficheros de datos, del uso incorrecto o
no autorizado de los programas informáticos o por la utilización
inadecuada de los recursos informáticos. (CASTELO, 2006)
25
2. Controles sobre las aplicaciones
Una primera aproximación de los controles los que hay que someter a las
aplicaciones podría ser la que los clasifica en tres categorías: entrada, salida
y proceso. (PELAZAS, 2015)
a. Controles de las entradas.
Estos controles se deben diseñar e implantar para que actúen sobre las
transacciones de altas, sobre el mantenimiento de archivos, sobre la
consulta de datos y en las funciones de corrección de errores.
b. Controles del proceso
Normalmente se incluyen en los programas de las aplicaciones. Se
diseñan para prevenir o detectar fallas al procesar las entradas de
transacciones. También estos controles deberían detectar la posibilidad
de que se puedan actualizar archivos que no se correspondan con la
aplicación o con el programa en cuestión.
c. Controles de salida
Estos controles se implantan para asegurar que el resultado del proceso
es el adecuado y además, que esos resultados sólo llegan a personas
que estén autorizados a tal efecto.
IMPLANTACIÓN DE UN SISTEMA DE CONTROLES INTERNOS
INFORMÁTICOS
Los controles pueden implantarse a varios niveles diferentes. Para llegar a conocer
la configuración del sistema es necesario documentar los detalles de la red, así
como los distintos niveles de control y elementos relacionados:
26
Entorno de red: esquema de la red, descripción de la configuración hardware
de comunicaciones, descripción del software que se utiliza como acceso a las
telecomunicaciones, control de red, situación general de los computadores de
entornos de base que soportan aplicaciones críticas y consideraciones relativas
a la seguridad de la red
Configuración del computador base: configuración del soporte físico, entorno
del sistema operativo, software con particiones, bibliotecas de programas y
conjunto de datos
Entorno de aplicaciones: procesos de transacciones, sistemas de gestión de
bases de datos y entornos de procesos distribuidos
Productos y herramientas: software para desarrollo de programas, software de
gestión de bibliotecas y para operaciones automáticas.
Seguridad del computador: identificar y verificar usuarios, control de acceso,
registro e información, integridad del sistema, controles de supervisión, etc.
(PIATTINI y otros, 2008)
METODOLOGÍA DE TRABAJO DE LA AUDITORÍA INFORMÁTICA
En resumen podemos indicar lo siguiente:
“El método de trabajo del auditor pasa por las siguientes etapas:
Alcance y Objetivos de la Auditoría Informática
Estudio inicial del entorno auditable
Determinación de los recursos necesarios para realizar la auditoría
Elaboración del plan y de los Programas de Trabajo
27
Actividades propiamente dichas de la auditoría
Confección y redacción del Informe Final
Redacción de la carta de introducción” (MUÑOZ, 2002)
EJECUCIÓN DE LA AUDITORÍA INFORMÁTICA
Según (PARDO, 2008) La ejecución de la auditoría Informática consiste
principalmente en la recolección de información y evidencias suficientes, para
fundamentar los comentarios, conclusiones y recomendaciones con respecto a la
Gestión tecnológica, lo cual se realiza utilizando diversas técnicas como las
siguientes:
Entrevistas
Simulación
Cuestionarios
Análisis de la información documental entregada por el auditado
Revisión y Análisis de Estándares
Revisión y Análisis de la información de auditorías anteriores
El análisis de esta información deberá ser realizado utilizando el criterio profesional
adquirido por la experiencia del equipo encargado del Proyecto de Auditoría,
identificando cuando las evidencias obtenidas son suficientes para evidenciar el
adecuado conocimiento de la entidad. (ARGUELLES, 2011)
28
La información recabada debe ser completa y detallada para que pueda ser
comprendida por el equipo de auditoría y permita la obtención de comentarios,
conclusiones y recomendaciones, mediante su revisión.
CICLO DE VIDA DE LA AUDITORÍA INFORMÁTICA
El proceso de la auditoría implica diversas etapas en las que el auditor ha de seguir
cumpliendo las normas de auditoría para que éste pueda emitir una opinión
profesional sobre lo que está auditando. (PIATTINI, 2008)
El modelo del proceso para realizar las auditorías sigue un ciclo continuo de
actividades: planificar, ejecutar, revisar y corregir.
INICIO
Este acto se concreta en la primera entrevista con los responsables de la
Institución. Se debe solicitar un inventario de los recursos que se va a auditar para
hacerse una idea de la extensión y así poder presupuestar el trabajo de auditoría.
29
Ilustración 3: Ciclo de vida de una auditoría Elaborado por: Andrea Mejía
FASE DE PLANIFICACIÓN
En esta etapa se define las actividades necesarias para la ejecución, es decir se
identifica las razones por las que se va a realizar la auditoria y determinación del
objeto de la misma, así como el diseño de métodos, técnicas y procedimientos que
se llevan a cabo para la elaboración documental de planes, programas y
presupuestos para dicha auditoria (MUÑOZ, 2002)
Se utiliza para asegurarse que el alcance y el contexto de la auditoría se han
establecido correctamente, que todos los riesgos se han identificado y se han
cuantificado, que se asignan los recursos necesarios para que se pueda realizar la
auditoría.
Inicio
Planificar
Corregir
Revisar
Ejecutar
Fin
Entrevista Inicial Inventario de Recursos
Contrato o carta de encargo
Planificación Estratégica Planificación administrativa
Planificación técnica técnicaUUVVVVVV
Realizar pruebas de cumplimiento
Realizar pruebas sustantivas
Elaborar informes
Distribuir Informes
Revisar los papeles de
trabajo
Reorganizar y archivar
papeles de trabajo
30
FASE DE EJECUCIÓN
La fase de ejecución está determinada por las características concretas, los puntos
y requerimientos, que se estimaron en la etapa de planeación. En este inciso solo
se indican los puntos más importantes (SEVILLA, 2012)
Aquí se lleva acabo las decisiones adoptadas, se ejecutan los procedimientos
diseñados en la fase de planificación. No es necesario que esta fase esté terminada
para que se active la fase de revisión.
FASE DE REVISIÓN
El equipo auditor debe comprobar que existe correspondencia entre los riesgos
documentales y el plan de acción propuesto. Esta verificación se puede realizar
utilizando técnicas de muestreo, si bien es cierto que no es objetivo de esta fase
analizar los registros, si se debe comprobar que al menos estos existan. (MERINO,
2014)
El trabajo de auditoría se debe revisar, hay que asegurarse de las debilidades que
se hayan detectado, se debe informar al auditorio de las debilidades y de las
mejoras necesarias para prevenir o eliminar esas debilidades.
FIN
En esta fase la auditora debe integrar perfectamente los papeles de trabajo, ya que
servirán en caso de aclaraciones posteriores y para dar seguimiento a las
soluciones de las desviaciones encontradas. (MERINO, 2014)
En un momento determinado se concluye el trabajo y el ciclo se interrumpe. Es el
momento de organizar y archivar los papeles de trabajo de tal forma que se puedan
reutilizar y localizar en el futuro, si fuera necesario.
31
COBIT HISTORIA Y EVOLUCIÓN DEL COBIT
El proyecto COBIT se emprendió por primera vez en el año 1995, con el fin de crear
un mayor producto global que pudiese tener un impacto duradero sobre el campo
de visión de los negocios, así como sobre los controles de los sistemas de
información implantados. La primera edición del COBIT, fue publicada en 1996 y
fue vendida en 98 países de todo el mundo. La segunda edición (tema de estudio
en este informe) publicada en Abril de 1998, desarrolla y mejora lo que poseía la
anterior mediante la incorporación de un mayor número de documentos de
referencia fundamentales, nuevos y revisados (de forma detallada) objetivos de
control de alto nivel, intensificando las líneas maestras de auditoría, introduciendo
un conjunto de herramientas de implementación, así como un CD-ROM
completamente organizado el cual contiene la totalidad de los contenidos de esta
segunda edición.(CHICAIZA, 2011)
EVOLUCIÓN DEL PRODUCTO COBIT
El COBIT evolucionará a través de los años y será el fundamento de
investigaciones futuras, por lo que se generará una familia de productos COBIT. Al
ocurrir esto, las tareas y actividades que sirven como la estructura para organizar
los Objetivos de Control de TI, serán refinadas posteriormente, siendo también
revisado el balance entre los dominios y los procesos a la luz de los cambios en la
industria. (PARDO, 2008)
Una temprana adición significativa visualizada para la familia de productos COBIT,
es el desarrollo de las Guías de Gerencia que incluyen Factores Críticos de éxito,
Indicadores Clave de Desempeño y Medidas Comparativas. Los Factores Críticos
de Éxito, identificarán los aspectos o acciones más importantes para la
administración y poder tomar, así, dichas acciones o considerar los aspectos para
lograr control sobre sus procesos de TI. Los Indicadores Clave de Desempeño
proporcionarán medidas de éxito que permitirán a la gerencia conocer si un proceso
de TI está alcanzando los requerimientos de negocio. La Medidas Comparativas
32
definirán niveles de madurez que pueden ser utilizadas por la gerencia para:
determinar el nivel actual de madurez de la empresa; determinar el nivel de
madurez que se desea lograr, como una función de sus riesgos y objetivos; y
proporcionar una base de comparación de sus prácticas de control de TI contra
empresas similares o normas de la industria. Esta adición proporcionará
herramientas a la gerencia para evaluar el ambiente de TI de su organización con
respecto a los 34 Objetivos de Control de alto nivel de COBIT. (PELAZAS, 2015)
En definitiva, la organización ISACF (Information Systems Audit and Control
Foundation) espera que el COBIT sea adoptado por las comunidades de auditoría
y negocio como un estándar generalmente aceptado para el control de las
Tecnologías de la Información
FUNCIÓN BÁSICA Y ORIENTACIÓN DEL COBIT.
Según (NARVAEZ, 2012) El COBIT, es una herramienta de gobierno de las
Tecnologías de la Información que ha cambiado de igual forma que lo ha hecho el
trabajo de los profesionales de TI. La ISACF, organización creadora de esta norma
COBIT (Information Systems Audit and Control Fundation), así como sus
patrocinadores, han diseñado este producto principalmente como una fuente de
instrucción para los profesionales dedicados a las actividades de control. La
definición que nos ofrece el sumario ejecutivo del COBIT (Control Objetives for
Information and related Tecnology: Gobierno, Control y Revisión de la Información
y Tecnologías Relacionadas) es la siguiente:
La misión del COBIT: buscar, desarrollar, publicar y promover un autoritario y
actualizado conjunto internacional de objetivos de control de tecnologías de la
información, generalmente aceptadas, para el uso diario por parte de gestores de
negocio y auditores.
Dicho de una forma menos formal, señalaremos que el COBIT ayuda a salvar las
fisuras existentes entre los riesgos de negocio, necesidades de control y aspectos
técnicos. Además, proporciona "prácticas sanas" a través de un Marco Referencial
33
(Framework) de dominios y procesos, y presenta actividades en una estructura
manejable y lógica. Las “prácticas sanas” del COBIT representan el consenso de
los expertos (ayudarán a los profesionales a optimizar la inversión en información,
pero aún más importante, representan aquello sobre lo que serán juzgados si las
cosas salen mal). (CASTELLO, 2006)
El tema principal que trata el COBIT es la orientación a negocios. Éste, está
diseñado no solo para ser utilizado por usuarios y auditores, sino que en forma más
importante, está diseñado para ser utilizado como una lista de verificación detallada
para los propietarios de los procesos de negocio. De forma creciente, las prácticas
de negocio comprenden la completa autorización de los procesos propios de
negocio, con lo que poseen una total responsabilidad para todos los aspectos de
dichos procesos.
La norma COBIT, proporciona una herramienta para los procesos propios de
negocio que facilitan la descarga de esta responsabilidad. La norma parte con una
simple y pragmática premisa: En orden de proporcionar la información que la
organización necesita para llevar a cabo sus objetivos, los requisitos de las
tecnologías de la información necesitan ser gestionados por un conjunto de
procesos agrupados de forma natural. La norma continúa con un conjunto de 34
objetivos de control de alto nivel para cada uno de los procesos de las tecnologías
de la información, agrupados en cuatro dominios: planificación y organización,
adquisición e implementación, soporte de entrega y monitorización. Esta estructura,
abarca todos los aspectos de la información y de la tecnología que la mantiene.
(CHICAIZA, 2011)
Mediante la dirección de estos 34 objetivos de control de alto nivel, los procesos
propios de negocio pueden garantizar la existencia de un sistema de control
adecuado para los entornos de las tecnologías de la información. En suma, cada
uno de los 34 objetivos de control de alto nivel correspondiente, es una directiva de
revisión o seguridad para permitir la inspección de los procesos de las tecnologías
de la información en contraste con los 302 objetivos de control detallados en el
COBIT para el suministro de una gestión de seguridad, así como de un aviso para
34
la mejora. La norma COBIT contiene un conjunto de herramientas de
implementación el cual aporta una serie de lecciones de aprendizaje, con las que
las organizaciones podrán aplicar de forma rápida y satisfactoria esta norma a sus
entornos de trabajo. (SOBRINOS, 2010)
Ilustración 4: El Cubo de COBIT
Fuente: It Governance Institute, Cobit 4.1. (2007), www.itgi.org, http://www.isaca.org/Knowledge‐Center/cobit/Documents/cobiT4.1spanish.pdf
Para gobernar efectivamente TI, es importante determinar las actividades y los
riesgos que requieren ser administrados. Normalmente se ordenan dentro de
dominios de responsabilidad de plan, construir, ejecutar y Monitorear. COBIT define
las actividades de TI en un modelo de 34 procesos genéricos agrupados en 4
dominios:
Planear y Organizar (PO): Estrategias y tácticas. Identificar la manera en que
TI pueda contribuir de la mejor manera al logro de los objetivos del negocio.
Proporciona dirección para la entrega de soluciones (AI) y la entrega de
servicio (DS).
Adquirir e Implementar (AI): Identificación de soluciones, desarrollo o
adquisición, cambios y/o mantenimiento de sistemas existentes. Proporciona
las soluciones y las pasa para convertirlas en servicios.
35
Entregar y Dar Soporte (DS): Cubre la entrega de los servicios requeridos.
Incluye la prestación del servicio, la administración de la seguridad y de la
continuidad, el soporte del servicio a los usuarios, la administración de los
datos y de las instalaciones operacionales. Recibe las soluciones y las hace
utilizables por los usuarios finales.
Monitorear y Evaluar (ME): Todos los procesos de TI deben evaluarse de
forma regular en el tiempo en cuanto a su calidad y cumplimiento de los
requerimientos de control. Este dominio abarca la administración del
desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la
aplicación del gobierno. Monitorear todos los procesos para asegurar que se
sigue la dirección provista. (NARVAEZ, 2012)
CONTEXTO DEL DESARROLLO TECNOLÓGICO
El tema de la gestión tecnológica ha tomado gran relieve en América Latina,
introduciendo nuevas preocupaciones e ideas en torno al desarrollo científico y
tecnológico de los países de la región (Ávalos, 1990). En particular, ha llamado la
atención el papel que juega la investigación científica en este proceso, haciendo
evidente la necesidad de que el Gobierno, las empresas públicas y privadas, las
universidades y otras instituciones de investigación, se convenzan de su
importancia para alcanzar un desarrollo autónomo y sostenible. Además, se han
identificado ciertos fenómenos que se presentan en la región y que caracterizan la
investigación científica y tecnológica. (CAMPO, 2012)
En primer lugar, aunque en muchas universidades se realiza investigación, apenas
en los últimos años se ha dado alguna relación directa entre la academia y las
necesidades reales de producción. En segundo lugar, solo a partir de 1980, los
Gobiernos de los países de la región plantearon de manera expresa políticas de
ciencia y tecnología como componente del plan de desarrollo general. En tercer
lugar, usualmente la industria de la región ha brindado poca atención a las tareas
de investigación (JARAMILLO, 2010).
36
TECNOLOGÍA
La tecnología es el conjunto de conocimientos científicos y empíricos, habilidades,
experiencias y organización requeridos para producir, distribuir, comercializar y
utilizar bienes y servicios. Incluye tanto conocimientos teóricos como prácticos,
medios físicos, know-how, métodos y procedimientos productivos, gerenciales y
organizativos, entre otros, así como la identificación y asimilación de éxitos y
fracasos anteriores, la capacidad y destrezas de los recursos humanos, etc.
Desde otro punto de vista, la tecnología, además, puede entenderse como la
actividad de búsqueda de aplicaciones a conocimientos existentes. Los
conocimientos científicos y tecnológicos presentan características diferentes. Los
primeros son más complejos, surgen de la observación y el análisis y tratan de
suministrar conjuntos de conceptos cada vez más abarcadores y, a su vez, en la
medida de lo posible más sencillos con respecto a los fenómenos, sus vínculos y
sus variaciones, así como sus causas y consecuencias. Los conocimientos
tecnológicos consisten en nuevos procedimientos por medio de los cuales se
alcanzan fines prácticos; pueden considerarse como el conocimiento de los
procedimientos probados por los cuales se alcanzan objetivos predeterminados.
Los avances científicos consisten en explicaciones teóricas nuevas o mejoradas
sobre determinados fenómenos.
Los conocimientos tecnológicos se incorporan en diversos objetos:
• En objetos (hardware): materiales, maquinarias, equipos.
• En registros (software): procedimientos, manuales, bancos de datos.
• En el hombre (humanware): conocimientos, habilidades.
• En instituciones (orgware): estructuras y formas organizativas,
interacciones, experiencia empresarial.
37
GESTIÓN TECNOLÓGICA
La Gestión Tecnológica (GT), se concibe como el proceso de administrar el
desarrollo de la tecnología, su implementación y difusión en los sectores industrial,
público y privado y en la sociedad en general. Además, implica el manejo del
proceso de innovación a través de la Investigación y Desarrollo (I+D), lo cual incluye
la introducción y uso de tecnología en productos, en procesos industriales, y en
otras áreas estructurales y funcionales de la empresa, así como también la
utilización de este conocimiento en la solución de los diferentes problemas de la
sociedad, del ser humano y del medio ambiente. Es una poderosa herramienta que
se debe enmarcar dentro de los procesos generales de innovación desarrollados
en las organizaciones. (NARVAEZ, 2012)
El control del recurso tecnológico proporciona una ventaja competitiva a las
organizaciones, sobre todo en aquellas en las que se integra en la estrategia
general de la propia empresa. Y esto es mucho más importante para el caso de
organizaciones dedicadas a la generación de productos o servicios en sectores de
alta tecnología en las que el periodo de validez de una tecnología concreta (en
términos de adecuación y rendimiento comparativo con otras competidoras) es
cada vez más reducido (ciclos de producto más cortos). (CHICAIZA, 2011)
La gestión tecnológica es conocimiento y es una práctica. Es un sistema de
conocimientos y prácticas relacionados con los procesos de creación, desarrollo,
transferencia y uso de la tecnología.
Según la fundación COTEC, “la Gestión de la tecnología incluye todas aquellas
actividades que capacitan a una organización para hacer el mejor uso posible de
la ciencia y la tecnología generada tanto de forma externa como interna. Este
conocimiento conduce hacia una mejora de sus capacidades de innovación, de
forma que ayuda a promocionar la eficacia y eficiencia de la organización para
obtener ventajas competitivas”.
38
TIPOS DE TECNOLOGÍA
Podemos encontrar dos tipos de clasificación, desde el punto de vista estratégico
a y desde el punto de vista de su utilización en un determinado proyecto de la
organización.
Tabla 2 Tipos de Tecnología
Desde el punto de vista estratégico
Tecnologías clave Son aquellas que la empresa domina completamente y que hacen que mantenga una posición de dominación relativa frente a sus competidores en un cierto mercado (sector) y tiempo
Tecnologías básicas
Son aquellas tecnologías consolidadas que se requieren para el desarrollo de los productos de la organización pero que no supone ninguna ventaja competitiva porque también son perfectamente conocidas por los competidores
Tecnologías emergentes
Son aquellas tecnologías inmaduras (posiblemente en las primeras fases de su desarrollo) en las que la empresa que consideramos está apostando como base para constituirse en tecnologías clave si sus desarrollos satisfacen las expectativas puestas en ellas. Se asume con ellas un riesgo elevado.
Desde el punto de vista de un proyecto
Imprescindibles
Cuando sin ellas no se puede realizar. Si estas tecnologías no se conocen (o no suficientemente) en la organización deberán adoptarse las medidas adecuadas para incorporarlas a la organización.
Convenientes Cuando el proyecto se realizaría mejor en el caso de disponer de ellas
Auxiliares Cuando tienen un papel secundario y se puede realizar el proyecto sin ellas. Estas pueden ahorrar tiempo y coste pero afectan poco a las prestaciones del sistema
Elaborado por: Andrea Mejía
La capacidad competitiva de la empresa queda determinada por dos factores:
Los externos que dicen la relación con el sector de la actividad a la que
pertenece la empresa, contexto y a las característica de la política
39
económica que le afecta son el mercado de trabajo, la política industrial y el
sistema fiscal.
Los internos que se vinculan a la actuación de la propia empresa y dependen
de su capacidad de dirección para consolidar la gestión e innovación
tecnológica y las capacidades existentes en su interior para generar
competencias.
La Gestión Tecnológica es un factor importante de competitividad por todo lo que
ella representa para la organización a nivel de la empresa en particular no basta
para alcanzar la competitividad plena, pues esta última es sistémica.
GESTIÓN TECNOLÓGICA: CONSULTORÍA Y AUDITORÍA INFORMÁTICA.
Por otra parte la gestión tecnológica se divide en dos partes que resultan
fundamentales para el correcto funcionamiento y empleo de las nuevas tecnologías
que, supuestamente, han llegado para facilitar el trabajo. Por un lado se
encuentra la consultoría informática, que se encarga de la planificación de los
programas. La misma debe estar pendiente de todas las posibles aplicaciones que
posee cada programa elegido por la administración de las empresas, para así poder
determinar cuál será el más indicado para aplicar según sus funciones. (PIATTINI,
2008)
La otra parte de la gestión tecnológica se trata de la auditoría informática, la cual
se encarga de llevar a cabo la ejecución de los programas tecnológicos y el control
de los mismos. Además, la persona que oficia de auditor informático (los auditores
informáticos siempre serán internos ya que una empresa no se puede arriesgar a
que una persona del ambiente externo manipule los sistemas de información) debe
estar capacitada para la resolución de todos los problemas que puedan
presentarse, no solo en los sistemas de información, sino que también, en el resto
de los recursos tecnológicos con los que cuenta una empresa.
40
Como bien dijimos al principio del artículo, la tecnología es una de las razones
principales por la cual, el desempeño y desarrollo de las empresas, va avanzando
a pasos agigantados, especialmente cuando se trata de las pequeñas y medianas
empresas, y es por ello, que aunque no se cuenten con los recursos económicos
necesarios como para poder llevar a cabo la gestión tecnológica correspondiente,
de alguna u otra manera la misma debe hacerse presente en toda empresa que
posea recursos tecnológicos. (PIATTINI, 2008)
Además es fundamental poder disminuir al mismo nivel, los riesgos de fallas y
errores que puedan cometer estos sistemas tecnológicos, y preferentemente la
gestión tecnológica debe intentar eliminar dicho riesgo, una pequeña falla, puede
traer como consecuencia la pérdida de toda la información correspondiente a una
empresa, y este es un factor que puede arruinar por completo a la entidad si no se
aplica un método de gestión tecnológica que resulte eficiente, por eso es preciso
que antes de implementar cualquier novedad a su empresa, consulte primero
acerca de todas las ventajas y desventajas que posee.
RELACIÓN DE LA GESTIÓN Y LA TECNOLOGÍA
El management contemporáneo relaciona el factor tecnológico con el sistema
administrativo y la estructura de la organización. En la estructura interna de los
sistemas productivos aparece ahora una nueva unidad organizacional
especializada en la administración de este factor; por tal razón, para analizar la
relación entre gestión y tecnología se hace pertinente determinar el rol que esta
última desempeña. Es posible, de tal modo, diferenciar cuatro tipos de
organizaciones de acuerdo a la forma como la tecnología se involucra dentro de su
estructura: (SEVILLANO, 2009)
Empresas cuyo objetivo principal no es la producción de tecnología como
una mercancía separada, sino que asimila esta como un insumo para ser
empleado en la producción y comercialización de bienes y servicios. En este
caso la generación de tecnología es una actividad desarrollada
41
preferentemente de manera exógena por un laboratorio de investigación o
por un departamento de diseño y desarrollo.
Empresas que basan sus actividades en la tecnología como producto a
comercializar; su producto final es precisamente la tecnología, lo cual implica
procesar conocimientos para producir paquetes tecnológicos y venderlos en
el mercado. Ese conocimiento puede ser científico o empírico, pertenecer a
la empresa o a otros, o incluso ser un bien libre; puede ser original o copiado,
ser una innovación, una adaptación o una mezcla.
Junto con la creatividad, la fuerza de trabajo en las empresas de tecnología requiere
de talentos adicionales a los netamente científicos técnicos. Este tipo de
competencias se reconocen en la Ilustración 4 en la cual se señala el conjunto de
actividades necesario para producir tecnología, permitiendo observar que las tareas
a cargo de los integrantes de la fuerza de trabajo en una empresa que maneja
tecnología son muy variadas.
42
Ilustración 5 Actividades relacionadas con la producción de tecnologías Elaborado por: Andrea Mejía
ESPECIFICACIÓN Y DISEÑO DE LA ESTRATEGIA TECNOLÓGICA
La estrategia tecnológica debe hacer explícitas las opciones tecnológicas de la
empresa y su éxito o fracaso estará basado en la identificación de oportunidades y
en la concentración de recursos en aquellas áreas tecnológicas en las que posea
mejores capacidades internas y que les permitan alcanzar con rapidez la fase de
comercialización.
Se debe tener en cuenta:
El grado de riesgo implícito, que varía desde la aplicación o mejora de
tecnologías existentes hasta el desarrollo de otras completamente nuevas.
ACTIVIDADES
CIENTÍFICO-TÉCNICAS
ACTIVIDADES
ECONÓMICO-
COMERCIALES
ACTIVIDADES DE
PLANIFICACIÓN
Idea / invento
Investigación científica
y técnica
Búsqueda
Dimensionamiento
Diseño
Ingeniería
Planta Piloto
Interacción con
producción
Reconocimiento de
posibilidades
comerciales
Investigación
económico – comercial
Dimensionamiento
Especificaciones
Primera etapa de la
comercialización
Desarrollo del mercado
Desarrollo del producto
Patentes / Licencias
Previsión de negocios posibles
Definición de objetivos
Formulación de presupuestos
Decisiones organizativas
Estrategias para distintos plazos
Estrategia de reclutamiento de personal a largo
plazo
43
La intensidad en el esfuerzo tecnológico, que puede variar desde una
investigación exploratoria hasta la completa aplicación industrial.
La distribución del presupuesto destinado a la tecnología entre las diversas
opciones tecnológicas elegidas.
La elección de la posición competitiva para cada tecnología (líder, seguidor,
búsqueda de nichos de mercado, etcétera).
OBJETIVO DE LA GESTIÓN TECNOLÓGICA
La gestión tecnológica tiene como objetivo mejorar la variable tecnológica en la
estrategia global de la empresa y comprende actividades de identificación y
obtención de tecnología, investigación y desarrollo (I+D), adaptación de nuevas
tecnologías, explotación de las tecnologías para la producción de bienes y servicio.
(PIATTINI, 2008)
Se ocupa también de la funciones de vigilancia tecnológica para detectar las
tecnologías de interés para el futuro, del referencia miento (benchmarking), de la
reingeniería y de la tercerización (outsorsing), del análisis de los productos de los
competidores (rereverse engineering), de los derechos de propiedad y
licenciamiento, de las normas y estándares, y de la alianzas estratégicas
CONCLUSIONES PARCIALES DEL CAPITULO
Una vez realizado el marco teórico, y analizado cada uno de sus puntos se ha
llegado a las siguientes conclusiones:
En la actualidad y desde hace mucho tiempo la auditoría de sistemas ha
tomado una importancia relevante en la vida empresarial, ya que no hay
empresa o institución que en estos momento prácticamente dependa de este
mundo de la informática, es por eso que dichas empresas y/o instituciones,
44
tienen que cuidar e invertir muy bien en tecnología, y es la auditoría que les dirá
porque camino ir
En toda institución debe realizarse por lo menos anualmente una auditoría
informática y no esperar a que suceda o fallen los controles para en ese
momento aplicarla, esto evitaría gastos.
La gestión tecnológica de toda institución es la parte medular, una mala
administración o fallas en ellas significan gastos y en muchos casos perdidas
irrecuperables.
Las instituciones deben tener en cuenta que no es la mejor la que más invierte
en tecnología sino la que mejor invierte, y es el departamento de informática
que debe estar asesorando a los gerentes en las adquisiciones,
modernizaciones de tecnologías, para ello es importante el pleno conocimiento
de la tecnología actual.
45
CAPITULO II
MARCO METODOLÓGICO Y PLANTEAMIENTO DE LA PROPUESTA
El Municipio
El Gobierno Autónomo Descentralizado Municipal del Cantón la Concordia, es una
institución que conforma la organización territorial del Estado Ecuatoriano,
organizada y regulada por el artículo 238 de la Constitución de la República del
Ecuador, establece que constituyen Gobiernos Autónomos Descentralizados
(GAD). El Gobierno Autónomo Descentralizado Municipal del Cantón la Concordia
fue aprobado el 5 de febrero de 2012 en el mismo año que se proclamó a La
Concordia como cantón de la provincia de Santo Domingo de los Tsáchilas. El
Gobierno Autónomo Descentralizado Municipal del Cantón la Concordia, se
encuentra ubicado en la Calle Eugenio Espejo y Carchi, cuenta con sus diferentes
departamentos como; la Dirección de Planificación, Equidad y Género,
departamentos como: Dirección Financiera, Administrativa, Comunicación Social
entre otras, que brinda servicios a la sociedad.
Ilustración 6 Edificio del Municipio de la Concordia Fuente: Tomado de http://www.lahora.com.ec/index.php/noticias/show
46
DISEÑO METODOLÓGICO.
La modalidad investigativa que se ha utilizado en el presente proyecto de
investigación es la denominada cuali-cuantitativa. La investigación cualitativa es el
procedimiento metodológico que se caracteriza por entender el conjunto de
cualidades interrelacionadas que caracterizan a un determinado fenómeno, se la
aplico para determinar las características del problema como la imposibilidad tomar
decisiones para compra o actualización de equipos debido a la falta de información
sobre el estado del parque tecnológico y su nivel de apoyo en la entidad municipal
La investigación cuantitativa se caracteriza por recoger, procesar y analizar datos
cuantitativos o numéricos sobre variables previamente determinadas. Dicha
metodología se la aplico para determinar estadísticamente los síntomas de la
problemática.
Los tipos de investigación aplicados son:
Bibliográfica: Este tipo de investigación se la desarrolla en base a la
recopilación de la información de fuentes primarias, se la utilizó para desarrollar
el marco teórico orientado esencialmente a los conceptos básicos de la auditoría
informática, de la metodología Cobit y el control operacional
De Campo: se la lleva a cabo en base a encuestas y entrevistas, se la aplico
para desarrollar el marco metodológico. Se entrevistó al Director del
departamento de Sistemas y se encuesto tanto a los usuarios como a los
empleados
POBLACIÓN Y MUESTRA
La población involucrada en la problemática descrita en el inicio de este trabajo
investigativo está estructurada de la siguiente forma:
47
Tabla 3 Población involucrada en el problema
FUNCIÓN NUMERO
Director del Departamento de
Sistemas
1
Empleados Municipales 39
Usuarios del municipio 10000
TOTAL 10040
Elaborado por: Andrea Mejía
Se define como la muestra, a un porcentaje de la población y esta se calcula en
base a la siguiente formula
Población Muestra = ------------------------------------------- Se asume un error del 5% (Población – 1) * Error² + 1 Reemplazando valores se tiene 10040 Muestra = ------------------------------------------- (10040 – 1) * 0,05² + 1 10040 Muestra = ------------------------------------------- (10039) * 0,0025² + 1 10040 Muestra = ------------------------------------------- 26,098 Muestra = 385 La muestra se ha estratificado de la siguiente forma:
48
Tabla 4 Muestra
FUNCIÓN NUMERO
Director del Departamento de
Sistemas
1
Empleados Municipales 34
Usuarios del municipio 350
TOTAL 385
Elaborado por: Andrea Mejía
Métodos investigativos
Analítico- Sintético: Método investigativo aplicado para analizar y sintetizar
información para el marco teórico. Se recopilo la información teórica y mediante el
método se logró llegar a la construcción del fundamento teórico
Inductivo-Deductivo. Se indujo una respuesta particular a la problemática para
deducir una solución general a la problemática Municipal del país
Las técnicas de investigación aplicadas fueron:
Entrevista al Director del Departamento de Sistemas y encuestas tanto a
empleados como a usuarios municipales
Los instrumentos utilizados fueron:
Cuestionarios específicos para usuarios y empleados
Guía de entrevista para el Director del Departamento de Sistemas.
49
TABULACIÓN DE RESULTADOS
Luego de realizada la investigación de campo se procedió a tabular los resultados
de las encuestas, los cuales se detallan a continuación.
Encuesta realizada a los empleados Municipales:
Pregunta No 1. ¿Se conoce perfectamente el estado, la ubicación y el responsable
de cada equipo informático de la Municipalidad?
Si…… NO…… Parcialmente……
Tabla 5 Pregunta #1 Encuesta realizada a empleados Municipales
Respuestas Frecuencia Porcentaje
Si 7 21%
No 19 56%
Parcialmente 8 23%
Total 34 100%
Elaborado por: Andrea Mejía
Ilustración 7 Pregunta #1 Encuesta realizada a empleados Municipales Elaborado por: Andrea Mejía
Análisis e interpretación: La gran mayoría de los investigados afirma que no se
conoce exactamente la ubicación y los custodios asignados a los diferentes equipos
informáticos con los que trabaja el Municipio
Si21%
No56%
Parcialmente23%
50
Pregunta No 2. ¿Cada que tiempo se realiza una auditoría relacionada con el
hardware y su funcionamiento?
Semestralmente… Anualmente…… Rara vez…… Nunca…
Tabla 6 Pregunta #2 Encuesta realizada a empleados Municipales
Respuestas Frecuencia Porcentaje
Semestralmente 2 6%
Anualmente 5 15%
Rara vez 11 32%
Nunca 16 47%
Total 34 100%
Elaborado por: Andrea Mejía
Ilustración 8 Pregunta #2 Encuesta realizada a empleados Municipales
Elaborado por: Andrea Mejía
Análisis e interpretación: De acuerdo a la encuesta, la mayoría afirman que nunca
se ha realizado una auditoria de hardware y su funcionamiento, un porcentaje
intermedio aseguran que rara vez se lo ha realizado, otra parte afirma que
anualmente se ha realizado mientras que un bajo porcentaje señalan que se lo has
realizado semestralmente.
Semestralmente
6%
Anualmente
15%
Rara vez32%
Nunca47%
51
Pregunta No 3. ¿Cada que tiempo se realiza una auditoría relacionada con el
software y su funcionamiento?
Semestralmente… Anualmente…… Rara vez…… Nunca……
Tabla 7 Pregunta #3 Encuesta realizada a empleados Municipales
Respuestas Frecuencia Porcentaje
Semestralmente 1 3%
Anualmente 3 9%
Rara vez 9 26%
Nunca 21 62%
Total 34 100%
Elaborado por: Andrea Mejía
Ilustración 9 Pregunta # 3 Encuesta realizada a empleados Municipales
Elaborado por: Ing. Andrea Mejía
Análisis e interpretación: Según los resultados obtenidos de la encuesta, un
elevado porcentaje afirma que nunca se ha realizado una auditoria relacionada con
software y su funcionamiento, mientras otros manifiestan que rara vez y en su
minoría anualmente y semestralmente.
Semestralmente
3%
Anualmente
9%
Rara vez26%
Nunca62%
52
Pregunta No 4. ¿Cree usted que se hace un adecuado control del funcionamiento
de las tecnologías de información que apoyan el proceso operativo de la
Institución?
No se hace……. Si se hace……. Se hace parcialmente………….
Tabla 8 Pregunta # 4 Encuesta realizada a empleados Municipales
Elaborado por: Andrea Mejía
Ilustración 10 Pregunta # 4 Encuesta realizada a empleados Municipales
Elaborado por: Andrea Mejía
Análisis e interpretación: Según los resultados obtenidos de la encuesta, un alto
porcentaje de encuestados admiten que, no se hace un adecuado control del
funcionamiento de las tecnologías de información, un porcentaje medio manifiestan
que se hace parcialmente un adecuado control mientras tanto una minoría afirman,
que si se hace un adecuado control de las tecnologías de información.
No se hace65%
Si se hace9%
Se hace parcialmen
te26%
Respuestas Frecuencia Porcentaje
No se hace 22 65%
Si se hace 3 9%
Se hace parcialmente 9 26%
Total 34 100%
53
Pregunta No 5. ¿Considera importante la realización de auditorías informáticas
para mejorar el control del funcionamiento de las tecnologías de información que
apoyan el proceso operativo de la Institución?
Muy importante…. Poco importante……. Nada importante……..
Tabla 9 Pregunta # 5 Encuesta realizada a empleados Municipales
Elaborado por: Andrea Mejía
Ilustración 11 Pregunta # 5 Encuesta realizada a empleados Municipales
Elaborado por: Andrea Mejía
Análisis e interpretación: Según los resultados de la encuesta se puede
manifestar que gran parte de los encuestados consideran muy importante la
realización de una auditoria informática, por otra parte existe un bajo porcentaje
que consideran poco importante la realización de una auditoría informática mientras
tanto una poca minoría declaran nada importante la realización de una auditoría
informática.
Muy importante
85%
Poco importante
12%
Nada importante
3%
Respuestas Frecuencia Porcentaje
Muy importante 29 85%
Poco importante 4 12%
Nada importante 1 3%
Total 34 100%
54
Pregunta No 6. ¿Está usted dispuesto a colaborar y a proveer información durante
la realización de estas auditorías?
Si…… No……. Parcialmente……..
Tabla 10 Pregunta # 6 Encuesta realizada a empleados municipales
Elaborado por: Andrea Mejía
Ilustración 12 Pregunta # 6 Encuesta realizada a empleados Municipales
Elaborado por: Andrea Mejía
Análisis e interpretación: La mayoría de encuestados indican que estarían
dispuestos a proveer información para la ejecución de la auditoria mientras que una
pequeña parte expresaron que lo realizaran parcialmente y por ultimo una mínima
parte de los encuestados dijeron que no
Si91%
No3%
Parcialmente6%
Respuestas Frecuencia Porcentaje
Si 31 91%
No 1 3%
Parcialmente 2 6%
Total 34 100%
55
Encuesta realizada a los usuarios Municipales:
Pregunta No 1. ¿Considera usted que el Municipio está fuertemente apoyado por
las tecnologías en su atención al usuario?
Si…. No…… Parcialmente……..
Tabla 11
Pregunta # 1 Encuesta realizada a usuarios Municipales
Respuestas Frecuencia Porcentaje
Si 29 9%
No 198 59%
Parcialmente 108 32%
Total 335 100%
Elaborado por: Andrea Mejía
Ilustración 13 Pregunta # 1 Encuesta realizada a usuarios Municipales
Elaborado por: Ing. Andrea Mejía
Análisis e interpretación:
Según los resultados de la encuesta se puede manifestar que gran parte de los
encuestados consideran que no está apoyado por las tecnologías en su atención al
usuario, por otra parte existe un mediano porcentaje que consideran que lo está
parcialmente, mientras tanto una minoría manifiestan positivamente
Si9%
No59%
Parcialmente32%
56
Pregunta No 2. ¿Durante sus visitas al Municipio, ha sufrido demoras en su
atención debido a daños en los equipos informáticos?
Nunca…. Rara vez…. A veces…. Frecuentemente…….
Tabla 12 Pregunta # 2 Encuesta realizada a usuarios Municipales
Respuestas Frecuencia Porcentaje
Nunca 67 20%
Rara vez 131 39%
A veces 105 31%
Frecuentemente 32 10%
Total 335 100%
Elaborado por: Andrea Mejía
Ilustración 14 Pregunta # 2 Encuesta realizada a usuarios Municipales
Elaborado por: Andrea Mejía
Análisis e interpretación: Según los resultados obtenidos de la encuesta, un
grupo de encuestados afirman que rara vez han sufrido demoras en atención por
daños en equipos, mientras otros manifiestan que ha ocurrido a veces y en su
minoría nunca y frecuentemente han tenido inconvenientes .
Nunca 20%
Rara vez39%
A veces31%
Frecuentemente10%
57
Pregunta No 3. ¿Cree usted que deben mejorase los equipos informáticos?
Si… No…… Parcialmente…….
Tabla 13 Pregunta # 3 Encuesta realizada a usuarios Municipales
Respuestas Frecuencia Porcentaje
Si 103 31%
No 99 29%
Parcialmente 133 40%
Total 335 100%
Elaborado por: Ing. Andrea Mejía
Ilustración 15 Pregunta # 3 Encuesta realizada a usuarios Municipales Elaborado por: Ing. Andrea Mejía
Análisis e interpretación: Revisando los resultados de las encuestas podemos
observar que en su mayoría concuerdan con el mejoramiento de los equipos
informáticos, muestras el grupo restante están entre que sí y no.
Si31%
No29%
Parcialmente
40%
58
Pregunta No 4. ¿Se han incorporado nuevos servicios apoyados por la tecnología?
Algunos……. Muy pocos…….. Ninguno……..
Tabla 14
Pregunta #4 Encuesta realizada a usuarios Municipales
Respuestas Frecuencia Porcentaje
Algunos 59 18%
Muy pocos 187 56%
Ninguno 89 26%
Total 335 100%
Elaborado por: Andrea Mejía
Ilustración 16 Pregunta # 4 Encuesta realizada a usuarios Municipales
Elaborado por: Andrea Mejía
Análisis e interpretación: En el resultado de la presente encuesta podemos notar
que en su mayoría revelan que se han incorporado nuevos servicios apoyados por
la tecnología mientras que un pequeño grupo mencionan que ninguno ha sido
incorporado y por ultimo tenemos a una minoría que declaran haber incorporado
algunos servicios nuevos apoyados a la tecnología
Algunos18%
Muy pocos56%
Ninguno26%
59
Pregunta No 5. ¿Cree usted que el personal está plenamente capacitado para el
manejo de los equipos informáticos?
Si… No…… Parcialmente…….
Tabla 15
Pregunta #5 Encuesta realizada a usuarios Municipales
Respuestas Frecuencia Porcentaje
Si 159 48%
No 35 10%
Parcialmente 141 42%
Total 335 100%
Elaborado por: Andrea Mejía
Ilustración 17 Pregunta # 5 Encuesta realizada a usuarios Municipales
Elaborado por: Andrea Mejía
Análisis e interpretación: Se puede reiterar que el resultado de esta encuesta se
manifiesta que hay un equilibrio entre estar capacitado plenamente en el manejo
de equipos informáticos y las otras dos opciones de estarlo parcialmente y no
estarlo.
Si48%
No10%
Parcialmente
42%
60
Pregunta No 6. ¿Cree usted que se debe mejorar toda la plataforma tecnológica
que dispone el Municipio para la atención a los usuarios?
Si… No…… Parcialmente…….
Tabla 16
Pregunta #6 Encuesta realizada a usuarios Municipales
Respuestas Frecuencia Porcentaje
Si 179 53%
No 17 5%
Parcialmente 139 41%
Total 335 100%
Elaborado por: Andrea Mejía
Ilustración 18 Pregunta # 6 Encuesta realizada a usuarios Municipales
Elaborado por: Andrea Mejía
Análisis e interpretación: Podemos concluir que en su mayoría opinan que debe
mejorar la plataforma tecnológica para atención a usuarios, seguidamente existe
un grupo inferior que lo consideran parcialmente y por ultimo una gran minoría no
lo consideran.
Si53%
No5%
Parcialmente42%
61
Entrevista al Director de Sistemas del Municipio
Pregunta ¿Se han realizado auditorias informáticas en la Institución?
Lamentablemente debo decir que formalmente no se han realizado auditorias
informáticas en la Institución, el hardware se lo arregla o revisa cuando hay una
petición, además el software también se lo revisa cuando deja de funcionar el
equipo o lo hace muy lento.
Pregunta ¿Cree importante la realización de una auditoría informática al
interior del Municipio?
Si, considero que ayudaría mucho al diagnóstico de cómo está funcionando toda la
plataforma tecnológica del Municipio, además ayudaría al control y a la evaluación
de los niveles de manejo informático por parte del personal. También ayudaría en
cuanto al control del nivel de funcionamiento del aparato tecnológico en la calidad
del servicio que presta el Municipio al usuario.
PLANTEAMIENTO DE LA PROPUESTA.
La propuesta de solución a la problemática planteada al inicio de este trabajo
investigativo se esquematiza de la siguiente forma:
Ilustración 19 Propuesta a la solución Problemática
Elaborado por: Andrea Mejía
Planificación
Planificación de una auditoría informática relacionada con hardware y software
Ejecución
Desarrollo de la Auditoría informática
Resultados y recomendaciones
Exposición de resultados de la Auditoría y recomedanciones a los mismos
62
CONCLUSIONES PARCIALES DEL CAPITULO
Entre las conclusiones del capítulo tenemos:
No se tiene información clara y concreta relacionada con la ubicación de los
equipos y sus custodios.
Nunca se han elaborado auditorias de hardware y software que evalúe el estado
y el funcionamiento de los equipos como de los sistemas.
El Municipio está dando una imagen negativa al utilizar equipos no actualizados,
los cuales fallan en determinados momentos causando molestias a los usuarios.
Se considera que el municipio y su plataforma tecnológica debe modernizarse
ya que no ha incorporado nuevos servicios apoyados por la tecnología.
El personal ve con buenos ojos la realización de una auditoria informática y está
presto a colaborar con la misma
63
CAPITULO III
DESARROLLO DE LA PROPUESTA
Tema
AUDITORÍA DE GESTIÓN INFORMÁTICA EN EL ÁREA DE LAS TECNOLOGÍAS
DE LA INFORMACIÓN PARA EL GOBIERNO AUTÓNOMO DESCENTRALIZADO
(GAD) MUNICIPAL DEL CANTÓN LA CONCORDIA
INTRODUCCIÓN
El GAD Municipal del Cantón La Concordia ha venido sufriendo cambios
estructurales para brindar un mejor servicio a la comunidad. La mayoría de los
recursos utilizados en la informática son críticos y por ende muy necesario, es por
eso que, hay que organizarlos, generando políticas que permitan aprovecharlos y
utilizarlos de la mejor manera, la velocidad con qué, los medios de comunicación
progresa.
La Unidad de computo, ha venido realizando varios proyectos relacionados con el
área informática con el fin de apoyar a las distintas actividades que se desarrollan
dentro de ella, por lo que se vuelve indispensable controlar que se entreguen los
servicios requeridos, que exista una correcta capacitación para su uso y un
adecuado soporte que permita la continuidad de las operaciones en caso de
suscitarse algún tipo de problema o incidente. La auditoría informática se la realiza
con el fin de enmendar fallas en el momento oportuno, que ocasionarían la entrega
de resultados que no sean satisfactorios para el usuario final o fallas en las
operaciones, que podrían provocar la pérdida total de la información.
OBJETIVOS
General
Desarrollar una auditoria informática enfocada esencialmente a la gestión
tecnológica del GAD Municipal del Cantón La Concordia.
64
Específicos
Diagnosticar la situación actual de todo el ámbito tecnológico de la institución
Elaborar la planificación de la auditoria informática a realizar
Ejecutar la auditoría informática
Emitir el informe final de la auditoría
Organigrama Estructural del GAD municipal del Cantón La Concordia
Ilustración 20: Organigrama funcional del GAD Municipal del Cantón La Concordia
LINEA DE AUTORIDAD
LINEA DE ASESORIA
LINEA DE CORDINACION
CONCEJO MUNICIPAL
COORDINACION
DIRECCION
JEFATURA
COMISIONES CONCEJO ALCALDÍA CONSEJO DE LA
NIÑEZ Y LA ADOLESCENCIA
CONSEJO DE PLANIFICACION
SISTEMA DE
PARTICIPACION
CIUDADANA
CONSEJO DE SALUD
SECRETARIA GENERAL
UNIDAD DE AUDITORIA INTERNA
ASESOR COORDINACION GENERAL
PROCURADURIA UNICA
COMUNICACIÓN SOCIAL
DIRECCION DE PLANIFICACION
DIRECCION DE OBRAS PÚBLICAS
DIRECCION DE GESTION
AMBIENTAL
DIRECCION DE EQUIDAD Y
GÉNERO
DIRECCION DE PARTICIPACIÓN
AVALÚOS Y CATASTROS
DESARROLLO DE INFRAESTRUCTURA
PRESUPUESTOS
UNIDAD DE DESECHOS SOLIDOS
Y CALIDAD AMBIENTAL
EQUIDAD Y GÉNERO
GESTIÓN TERRITORIAL
TECNOLOGIAS DE LA INFORMACION
FISCALIZACION
JUNTA DE PROTECCION
MANEJO AMBIENTAL
DIRECCION ADMINISTRATIVA
DIRECCION FINANCIERA
DIRECCION DE TALENTO HUMANO
SERVICIOS GENERALES
CONTABILIDAD
COMISARÍA MUNICIPAL
TESORERÍA
SEGURIDAD CIUDADANA
PRESUPUESTO
SIMBOLOGÍA
65
DESCRIPCIÓN GENERAL DE LA PROPUESTA
Como se mencionó anteriormente la propuesta de solución al problema planteado
consiste en la elaboración de una Auditoria Informática para el Control de la Gestión
Tecnológica del GAD Municipal del Cantón La Concordia el mismo que ha sido
desarrollado en las siguientes etapas:
Ilustración 21 Estructura de la Propuesta Elaborado por Andrea Mejía
DESARROLLO DE LA PROPUESTA
Como se mencionó anteriormente la propuesta de solución consiste en llevar a
cabo la auditoria informática desde Agosto 2016 a Marzo del 2017, en base al
esquema anterior esta ha sido realizada en las siguientes etapas:
PLANIFICACION
• Visita preliminar
Determinación de objetivos
Diseñar plan de auditoria
Elaboración de instrumentos
EJECUCION
• Ejecución de actividades planificadas.
Aplicación de instrumentos
Integración de papeles de trabajo
Elaboración de informe preliminar
DICTAMEN
• Análisis de los resultados encontrados
Informe de problemas encontrados
Elaboración del informe final
Presentación del infome
66
DIAGNÓSTICO PREVIO
El GAD Municipal de la Concordia no cuenta con el departamento de cómputo
creado con normas y reglamentos propios, esta es solo una unidad asignada a la
Municipalidad, la cual cuenta con 40 empleados incluido el jefe de la unidad,
aunque ya se cuenta con el proyecto para formarlo y ya se encuentra en el pleno
del Honorable Consejo Universitario, y se espera que para el primer semestre del
año 2017 ya este creado el Departamento de Informática. Es por las razones
previamente mencionada es que se encontraron los síntomas que a continuación
se describe así como los procesos y controles que deben tener en cuenta para
solucionarlos:
Carencia de planes de contingencia para la seguridad de los equipos.
Realizada el diagnóstico inicial en lo relacionado a la seguridad de los equipos se
pudo concluir que no se tiene previsto un plan general de contingencias orientado
a preservar la seguridad de información en cada equipo. Esto significa que no se
han generado políticas relacionas con el cuidado que debe tener cada usuario en
cuanto al manejo de su computador. No se ha socializado algunas sugerencias
realizadas por parte de los miembros del centro de cómputo hacia cada uno de los
usuarios de la institución. Esto implica que algunos usuarios toman la iniciativa
relaciona con la seguridad pero de manera empírica mientras que la gran mayoría
no toma en cuenta ningún proceso de seguridad.
No se dispone de un plan de mantenimiento de los equipos informáticos
Uno de los factores que han traído serios inconvenientes con la vida útil de los
equipos informáticos han sido el mantenimiento que se les realice, la unidad de
computo dice llevar un control de esta situación pero en las encuestas realizadas
se encontró con otra realidad es decir la unidad de cómputo 100% vigila sus
67
equipos, los departamentos sufren cuando sus equipos se dañan, en muchos casos
ellos mismos (los custodios) son las que tienen que arreglárselas contratando a
terceros para que le solucionen los problemas, lo cual ha implicado en la pérdida
del equipo o en otros casos darle de baja a los mismos.
Existe software la cual no posee licencia.
Otro de los problemas detectados en el diagnóstico previo, ha sido el que los
computadores de la institución (salvando la unidad de cómputo), no poseen
licencias de los software instalados en ellos, es más siguen instalando cualquier
software que ellos necesiten sin ninguna restricción, la unidad de cómputo no tiene
ningún plan u ordenanzas que evite tal situación.
No existe software libre utilizado en la institución.
En los centro de cómputo, en los departamentos de la Institución no existe software
libre, ellos solo poseen software propietarios para cumplir con sus funciones diarias,
solo la unidad de cómputo trabaja con este tipo de software ya sea en sus
servidores y para el desarrollo de software.
No hay control de Garantías
Las garantías han sido otro problema, ya que en muchos casos dentro del plazo de
las mismas no han cumplido con ellas, prueba de eso es que existen algunos
equipos dañados y prácticamente abandonados, trayendo consigo muchos
problemas, en algunos casos se ha optado por perder la garantía reparándolas el
mismo personal que las utiliza o con ayuda de terceros.
68
No se capacita al personal
El personal que labora dentro de la institución en muchos casos son ellos mismos
que se auto-educan en temas de informática, ya que no existe un plan en el cual
se tome en cuenta esta preparación, solo existe un plan de este tipo para el
personal técnico de la unidad informática.
No se tiene inventario del Hardware (ubicación, características técnicas,
custodio y estado)
En cuanto a esta situación, el departamento que tiene este control es el de
inventario, pero en cuanto al parque tecnológico la unidad de cómputo debería
contar con esta información, la cual no la posee.
Muchos equipos, redes y sistemas tienen deficiencia en cuanto a claves de
seguridad o de acceso, ya que son colocados sin criterio técnico, no son
renovadas y no hay quien las controle.
Desde hace mucho tiempo uno de los bienes que más se cuida es la información y
uno de los pasos para lograrlo es la buena administración de claves de acceso, y
es aquí donde tampoco se tienen políticas definidas para este caso, son los mismos
usuarios que proceden al cambio de claves cuando ellos crean conveniente (puede
pasar años con la misma clave), la unidad de computo solo toma cartas en el asunto
en los sistemas que ellos desarrollen, después cada usuario es libre(sin control) de
colocarle o cambiar las claves de acceso.
69
No está definido el Plan Estratégico de Tecnologías de la Información
Al estar la unidad de cómputo adscrita al GAD Municipal, no cuenta con su propio
plan estratégico de tecnología, lo cual no permite aplicar sus propias estrategias,
ya que solo es prácticamente una oficina, sin sus propios planes.
No existen políticas definidas para la adquisición de nuevas tecnologías.
En cuanto a la adquisición de equipos informáticos, en la actualidad aunque se
manejan con el portal de compras públicas, en muchos casos solo han comprado
equipos sin ver la real necesidad de los departamentos (características de los
equipos), es decir compran los equipos y los usuarios finales solo aceptan lo que le
dan, recordando que no todos tienen las mismas necesidades.
Seguridades físicas deficientes en el Centros de Cómputo y oficinas.
Las seguridades físicas de los departamentos de la Institución así como del centro
de cómputo es totalmente deficiente, no cuenta con puertas de emergencias,
detectores de incendio, extintores o peor aún planes de emergencia, haciéndolos
sumamente peligrosos en un determinado momento que algún siniestro suceda.
PLANIFICACIÓN
En esta etapa se diseñan los instrumentos de evaluación y sus periodos de
ejecución, se planificará la ejecución de la auditoría utilizando la metodología
COBIT
70
ÁREA A AUDITAR
La auditoría planificada está en la Municipalidad del Cantón La Concordia
RECOLECCIÓN DE LA INFORMACIÓN
Por medio de la observación realizada se procedió a la realización de las encuestas
al personal administrativo, autoridades y la entrevista al Jefe de la Unidad de
Cómputo; y así poder determinar con más precisión cuales son los problemas
presentados y poder dar un dictamen más específico.
DOCUMENTOS DE GESTIÓN DEL ÁREA DE INFORMÁTICA
Actualmente la unidad no cuenta con el manual de procedimientos administrativos
informáticos, ni tampoco cuenta con la documentación requerida las cuales son:
Mantenimiento de Equipos de Cómputo.
Un Plan de Contingencias.
Seguridad de datos y equipos de Cómputo.
Inventario del Hardware
PLAN DE LA AUDITORIA
CRONOGRAMA DE ACTIVIDADES
Para el Plan de desarrollo de la Auditoria, se cuenta con el apoyo de las autoridades
de la Municipalidad, solicitando la participación de los principales empleados,
directores y autoridades de la institución para lo cual se ha realizado el siguiente
cronograma de actividades:
71
Ilustración 22 Cronograma de Actividades Elaborado por Andrea Mejía
DESCRIPCIÓN AÑO 2016 2017
AGOSTO SEPTIEMBRE OCTUBRE NOVIEMBRE ENERO FEBRERO MARZO
FASE 1: PLANEACIÓN
Visita Preliminar
Definición de Objetivos
Definición de puntos a evaluar y otros
Elaboración instrumentos de evaluación
FASE 2: EJECUCIÓN
Evaluación de los Procesos
Encuestas al Personal Administrativo
Encuestas al Personal Directivo
Encuestas a las autoridades
Entrevista al Jefe de Informática
Evaluación del equipo Tecnológico
FASE 3: EJECUCIÓN
Análisis de información y discusión de hallazgos
Informe de problemas detectados
Elaboración del Informe Final
Presentación del informe de auditoría
72
HERRAMIENTAS Y TÉCNICAS
Tabla 17
Cuadro de Herramientas
HERRAMIENTAS TÉCNICAS
Cuaderno de apuntes, grabadora,
camara, papel, lapiceros, laptop
Observación, entrevistas y encuestas
Elaborado por: Andrea Mejía
MODELOS DE MADUREZ A NIVEL CUALITATIVO (COSO1)
En la siguiente tabla se presenta el impacto de los objetivos de control de COBIT
sobre los criterios y recursos de TI.
La nomenclatura utilizada en los criterios de información para la siguiente tabla es
la siguiente: (P), cuando el objetivo de control tiene un impacto directo al
requerimiento, (S), cuando el objetivo de control tiene un impacto indirecto es decir
no completo sobre el requerimiento, y finalmente ( ) vacío, cuando el objetivo de
control no ejerce ningún impacto sobre el requerimiento, en cambio cuando se
encuentra con (X) significa que los objetivos de control tienen un impacto en los
recursos
1 COSO (Committee of Sponsoring Organizations), modelo de control de negocios, que proporciona un
estándar a partir del cual las grandes empresas evalúan sus procesos, y determinan como mejorar el
desempeño.
73
Tabla 18 Cuadro de Herramientas nivel cualitativo COSO
OBJETIVOS DE CONTROL DE COBIT
CRITERIOS DE INFORMACIÓN DE COBIT RECURSOS DE TI DE
COBIT
EFEC
TIV
IDA
D
EFIC
IEN
CIA
CO
NFI
DEN
CIA
LID
AD
INTE
GR
IDA
D
DIS
PO
NIB
ILID
AD
CU
MP
LIM
IEN
TO
CO
NFI
AB
ILID
AD
PER
SON
AS
INFO
RM
AC
IÓN
AP
LIC
AC
IÓN
INFR
AES
TRU
CTU
RA
PLANEAR Y ORGANIZAR
P01 Definir un plan estratégico de TI
P S X X X X
PO2 Definir la arquitectura de la información S P S X X
PO3 Definir la dirección tecnológica P P X X
PO4 Definir los procesos, organización y
relaciones de TI. P P X
PO5 Administrar la inversión en TI. P P S X X X
PO6 Comunicar las metas y la dirección de la
gerencia P S X X
PO7 Administrar los recursos humanos de TI P P X
PO8 Administrar la calidad P P S S X X X X
PO9 Evaluar y Administrar los riesgos de TI P P P P S S X X X X
PO10 Administrar los proyectos P P S X X X
ADQUIRIR E IMPLEMENTAR
AI1 Identificar las soluciones automatizadas
P S S X X
AI2 Adquirir y mantener software aplicativo P P S S X
AI3 Adquirir y mantener la infraestructura
tecnológica S P S S X
AI4 Facilitar la operación y el uso P P S S S X X
AI5 Procurar recursos de TI S P S X X X
AI6 Administrar los cambios P P P P S X X X X
AI7 Instalar y acreditar solucione y cambios P S S S X X X
ENTREGAR Y DAR SOPORTE
DS1 Definir y administrar los niveles de servicio
P P S S S S X X X
DS2 Administrar los servicios de terceros P P S S S S S X X X X
DS3 Administrar el desempeño y capacidad P P S X X
DS4 Asegurar el servicio continuo P S P X X X X
DS5 Garantizar la seguridad de los sistemas P P S S S X X X X
DS6 Identificar y asignar costos P P X X X
DS7 Educar y entrenar a los usuarios P S X
DS8 Administrar la mesa de servicio y los
incidentes P P X X
74
DS9 Administrar la configuración P S S S X X X
DS10 Administrar los problemas
P P X
DS11 Administrar los datos P P X
DS12 Administrar el ambiente físico S S X X X X
DS13 Administrar las operaciones P P S S X X X X
MONITOREAR Y EVALUAR
ME1 Monitorear y evaluar el desempeño de TI.
P P S S S X X X X
ME2 Monitorear y evaluar el control interno P P S S P S P X X X X
ME3 Garantizar el cumplimiento regulatorio P S X X X X
ME4 Proporcionar gobierno de TI P S P P S S S X X X X
Elaborado por: Andrea Mejía
Para tener un porcentaje de los criterios de la información, se asigna un valor para
el impacto primario, de igual forma tendremos un valor para el impacto secundario.
Este porcentaje se establece en base a la propuesta metodológica para el manejo
de riesgos COSO.
Tabla 19 Cuadro de herramientas Metodología para el manejo de riesgos COSO
CALIFICACIÓN IMPACTO PROMEDIO
15% 50% BAJO 32%
51% 75% MEDIO 63%
76% 95% ALTO 86%
Elaborado por: Andrea Mejía
RESULTADOS
MODELOS DE MADUREZ DE LOS PROCESOS
A continuación se muestra una ficha por cada uno de los objetivos haciendo un
análisis de los modelos de madurez de COBIT, para determinar el nivel mínimo que
no cumple la Institución que a su vez califica el nivel en dicho objetivo.
75
Tabla 20 Plan Estratégico
DOMINIO: PLANIFICAR Y ORGANIZAR
PO1: Definir el Plan Estratégico de Tecnología de la Información
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0
No existe conocimiento por parte de los
funcionarios de que al existir la planeación
estratégica de TI esta es requerida para dar
soporte a las metas de la institución.
GRADO DE MADUREZ
El proceso de definir el plan estratégico de TI está en
el nivel de madurez 1
OBJETIVOS NO CUMPLIDOS
No existe un plan estratégico de TI y estrategias de
recursos de la Institución.
No se elaboran planes a largo plazo de TI, haciendo
solo actualizaciones, debido a los avances
tecnológicos.
1
La planeación estratégica es discutida en
las reuniones con las autoridades
Elaborado por: Andrea Mejía
NO CUMPLE:
2. Las decisiones estratégicas se toman los proyectos en forma individual, sin
estar de acuerdo con una estrategia global de la institución
3. La planeación estratégica de TI sigue un enfoque estructurado, el cual se
documenta y se da a conocer a todo el equipo. Las estrategias de talento
humano, técnicos y financieros de TI influyen cada vez más la adquisición de
nuevos productos y tecnologías
4. Existen procesos bien definidos para determinar el uso de recursos internos y
externos requeridos en el desarrollo y las operaciones de los sistemas
5. Se desarrollan planes realistas a largo plazo de TI y se actualizan de manera
constante para reflejar los cambios en los avances tecnológicos.
RECOMENDACIONES
Para el proceso PO1 de COBIT se establece los siguientes objetivos de control:
76
Elaborar Planes a largo plazo de TI
Tomar decisiones estratégicas
Definir los recursos internos y externos necesarios
Para pasara al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo
Valorar el desempeño actual, es decir realizar una evaluación de los planes
existentes, así como de los de los sistemas de información y su impacto de
los objetivos de la Unidad de Informática.
En el largo Plazo:
Crear planes tácticos de TI, que resulten del plan estratégico de TI, estos
planes deben ser bien detallados para poder realizar la definición de planes
proyectados.
Tabla 21 Definición de Arquitectura de la Información
DOMINIO: PLANIFICAR Y ORGANIZAR
PO2: Definir la Arquitectura de la Información
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0
Conocen la experiencia y las
responsabilidades necesarias para
desarrollar esta arquitectura no existen en
la organización
GRADO DE MADUREZ
El proceso de definir la arquitectura de la Información
está en el nivel de madurez 1
OBJETIVOS NO CUMPLIDOS
No se resolvieron las necesidades futuras
realizando el proceso de arquitectura de
información
Aprovechar las habilidades personales para la
construcción de la arquitectura de la información.
1
Las Autoridades están conscientes de la
necesidad de una arquitectura de
información. El desarrollo de algunos
componentes de una arquitectura de
información ocurre de manera ad hoc.
Elaborado por: Andrea Mejía
77
NO CUMPLE
2. Las personas obtienen sus habilidades al construir la arquitectura de
información por medio de experiencia práctica y la aplicación repetida de
técnicas
3. Existe una función de administración de datos definida formalmente, que
establece estándares para toda la organización, y empieza a reportar sobre la
aplicación y uso de la arquitectura de la información.
4. El proceso de definición de la arquitectura de la información es proactivo y se
enfoca resolver necesidades futuras de la institución.
5. El personal de TI cuenta con la experiencia y las habilidades necesarias para
desarrollar y dar mantenimiento a una arquitectura de información robusta y
sensible que refleje todos los requerimientos de la institución
RECOMENDACIONES
Para el proceso PO2 de COBIT se establece los siguientes objetivos de control:
Desarrollar y mantener la arquitectura de la información
Tener en claro la definición del proceso de la arquitectura de la información
Ser partícipe de la construcción de la arquitectura de la información para
incrementar sus habilidades
Para pasara al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo
Establecer y mantener un modelo de arquitectura de la información para
facilitar el desarrollo de aplicaciones y actividades de soporte a la toma de
78
decisiones, este modelo será útil para la creación, uso y compartición
óptimas de la información vital.
En el largo Plazo:
Definir e implementar procedimientos para brindar integridad y consistencia
de todos los datos que se encuentran almacenado en formato electrónico,
como base de datos, almacenamiento de datos y archivos.
Tabla 22 Dirección Tecnológica
DOMINIO: PLANIFICAR Y ORGANIZAR
PO3: Determinar la Dirección Tecnológica
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0
Hay desconocimiento sobre la importancia
de la planeación de la infraestructura
tecnológica para la entidad.
GRADO DE MADUREZ
El proceso de determinar la dirección tecnológica está
en el nivel de madurez 1
OBJETIVOS NO CUMPLIDOS
Desarrollar las habilidades para la elaboración del
plan de la infraestructura tecnológica.
Realizar un plan de infraestructura tecnológica.
1
La autoridad reconoce la necesidad de
planear la infraestructura tecnológica. El
desarrollo de componentes tecnológicos y
la implantación de tecnologías
emergentes son ad hoc y aisladas.
Elaborado por: Andrea Mejía
NO CUMPLE
2. La evaluación de los cambios tecnológicos se delega a personas que siguen
procesos intuitivos, aunque similares.
3. Existe un plan de infraestructura tecnológica definido, documentado y bien
difundido, aunque se aplica de forma inconsistente
4. El área de informática cuenta con la experiencia y las habilidades necesarias
para desarrollar un plan de infraestructura tecnológica
79
5. La dirección del plan de infraestructura tecnológica está impulsada por los
estándares y avances internacionales, en lugar de estar orientada por los
proveedores de tecnología
RECOMENDACIONES
Para el proceso PO3 de COBIT se establece los siguientes objetivos de control:
Elaborar un plan de infraestructura tecnológica.
Impulsar la orientación de la infraestructura tecnológica hacia los
proveedores
No delegar los cambios tecnológicos a personas que no tienen la debida
experiencia
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo
Planear la dirección tecnológica, es decir analizar las tecnologías existentes
y emergentes, para tomar en cuenta cual dirección tecnológica es apropiada
para lograr cumplir las estrategias de TI.
En el largo Plazo:
Realizar un proceso de monitoreo de tecnologías, si es posible establecer
un foro tecnológico, para de esta forma brindar directrices tecnológicas.
80
Tabla 23
Definición de Procesos
DOMINIO: PLANIFICAR Y ORGANIZAR
PO4: Definir los Procesos, la Organización y las Relaciones de TI
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0
La organización de TI no está establecida
de forma efectiva para enfocarse en el
logro de los objetivos de la institución
GRADO DE MADUREZ
El proceso de definir los procesos, la Organización y las
Relaciones de TI, está en el nivel de madurez 2.
OBJETIVOS NO CUMPLIDOS
Formular las relaciones con terceros para la TI.
No satisfacer los requerimientos del negocio.
1
La función de TI se considera como una
función de soporte, sin una perspectiva
organizacional general
2
Existe la necesidad de contar con una
institución organizada, pero las decisiones
todavía dependen del conocimiento y
habilidades de individuos clave.
Elaborado por: Andrea Mejía
NO CUMPLE
3. Se formulan las relaciones con terceros, incluyendo los comités de dirección,
auditoría interna y administración de proveedores
4. La organización de TI responde de forma pro activa al cambio e incluye todos
los roles necesarios para satisfacer los requerimientos de la institución.
5. La estructura institucional de TI es flexible y adaptable
RECOMENDACIONES
Para el proceso PO4 de COBIT se establece los siguientes objetivos de control:
Ser flexible y adaptable a la estructura organizacional de TI
Responder de forma pro activa a los requerimientos de la institución
81
Formular relaciones con terceros como auditoria interna
Para pasara al nivel de madurez 3 se debe adoptar las siguiente estrategias:
En el Corto Plazo
Realizar una evaluación permanente de personal, para así asegurar que el
personal involucrado en las TI sea el pertinente para la función asignada.
En el largo Plazo:
Implantar métodos de supervisión dentro de las funciones de TI para
asegurar que los roles y responsabilidades se ejerzan correctamente
Tabla 24 Administración de la Inversión
DOMINIO: PLANIFICAR Y ORGANIZAR PO5: Administrar la inversión de TI
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0
No existe conciencia de la importancia de
la selección y presupuesto de las
inversiones en TI. No existe seguimiento o
monitoreo de las inversiones y gastos de
TI.
GRADO DE MADUREZ
El proceso de administrar la Inversión de TI, está en
el nivel de madurez 4.
OBJETIVOS NO CUMPLIDOS
• Formular las relaciones con terceros para la TI.
1
La institución reconoce la necesidad de
administrar la inversión en TI, aunque esta
necesidad se comunica de manera
inconsistente
2
Existe un entendimiento implícito de la
necesidad de seleccionar y presupuestar
las inversiones en TI.
3
El presupuesto de TI está alineado con los
planes estratégicos de TI. Los procesos de
selección de inversiones en TI y de
presupuestos están formalizados
documentados y comunicados.
4 La responsabilidad y la rendición de
cuentas por la selección y presupuestos de
82
inversiones se asignan a un individuo
específico. Las diferencias en el
presupuesto se identifican y se resuelven.
Elaborado por: Andrea Mejía
NO CUMPLE
5. Se utilizan las mejores prácticas de la industria para evaluar los costos por
comparación e identificar la efectividad de las inversiones. Se utiliza el análisis
de los avances tecnológicos en el proceso de selección y presupuesto de
inversiones.
RECOMENDACIONES
Para el proceso PO5 de COBIT se establece los siguientes objetivos de control:
Reconocer la necesidad de administrar la inversión en TI.
Utilizar las mejores prácticas para la evaluación de costos de inversión
Documentar y formalizar el presupuesto en TI.
Para pasara al nivel de madurez 5 se debe adoptar las siguientes estrategias:
En el Corto Plazo
Incluir un análisis de costos y beneficios a largo plazo del ciclo total de vida
en la toma de decisiones de inversiones.
En el largo Plazo:
Mejorar de forma continua la administración de inversiones en base a las
lecciones aprendidas del análisis del desempeño real de las inversiones.
83
Tabla 25 Identificación de Soluciones Automatizadas
DOMINIO: ADQUIRIR E IMPLEMENTAR AI1: Identificar Soluciones Automatizadas
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0
La organización no requiere de la
identificación de los requerimientos
funcionales y operativos para el desarrollo,
implantación o modificación de
soluciones, tales como sistemas, servicios,
infraestructura y datos
GRADO DE MADUREZ
El proceso de identificar Soluciones Automatizadas
está en el nivel de madurez 1.
OBJETIVOS NO CUMPLIDOS
Determinar el proceso para la solución de TI,
según el requerimiento de la organización
Documentación de los proyectos realizados
1
Existe una investigación o análisis
estructurado mínimo de la tecnología
disponible
Elaborado por: Andrea Mejía
NO CUMPLE
2. El éxito de cada proyecto depende de la experiencia de unas cuantas personas
clave. La calidad de la documentación y de la toma de decisiones varía de
forma considerable
3. El proceso para determinar las soluciones de TI se aplica para algunos
proyectos con base en factores tales como las decisiones tomadas por el
personal involucrado, la cantidad de tiempo administrativo dedicado, y el
tamaño y prioridad del requerimiento de negocio original.
4. La documentación de los proyectos es de buena calidad y cada etapa se
aprueba adecuadamente.
5. La metodología está soportada en bases de datos de conocimiento internas y
externas que contienen material de referencia sobre soluciones tecnológicas.
84
RECOMENDACIONES
Para el proceso AI1 de COBIT estable los siguientes objetivos de control:
Soportar la metodología de TI en base de datos.
Determinar los procesos para las soluciones de TI.
Explotar la experiencia de los trabajadores para la buena toma de
decisiones.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Resaltar, priorizar, especificar los requerimientos funcionales y técnicos,
priorizando el desempeño, el costo, la confiabilidad, la compatibilidad, la
auditoría, la seguridad, la disponibilidad, y continuidad, la ergonomía,
funcionalidad y la legislación.
En el Largo Plazo:
Que exista el alineamiento con las estrategias de la Organización y de TI.
Tabla 26 Adquirir y mantener el Software aplicativo
DOMINIO: ADQUIRIR E IMPLEMENTAR AI2: Adquirir y mantener el Software Aplicativo
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0
Normalmente, las aplicaciones se obtienen
con base en ofertas de proveedores, en el
reconocimiento de la marca o en la
familiaridad del personal de TI con
productos específicos, considerando poco
o nada los requerimientos actuales.
GRADO DE MADUREZ
El proceso de Adquirir y Mantener Software Aplicativo
está en el nivel de madurez 2.
OBJETIVOS NO CUMPLIDOS
85
1
Es probable que se hayan adquirido en
forma independiente una variedad de
soluciones individuales para
requerimientos particulares del negocio,
teniendo como resultado ineficiencias en
el mantenimiento y soporte
Dar a conocer el proceso de adquisición y
mantenimiento del Sistema de Información
(software) y aplicaciones.
Determinar la metodología formal para la
documentación del software en uso.
2
Existen procesos de adquisición y
mantenimiento de aplicaciones, con
diferencias pero similares, en base a la
experiencia dentro de la operación de TI.
Elaborado por: Andrea Mejía
NO CUMPLE
3. Existe un proceso claro, definido y de comprensión general para la adquisición
y mantenimiento de software aplicativo. Este proceso va de acuerdo con la
estrategia de TI y de la institución.
4. Existe una metodología formal y bien comprendida que incluye un proceso de
diseño y especificación, un criterio de adquisición, un proceso de prueba y
requerimientos para la documentación.
5. El enfoque se extiende para toda la empresa. La metodología de adquisición y
mantenimiento presenta un buen avance y permite un posicionamiento
estratégico rápido, que permite un alto grado de reacción y flexibilidad para
responder a requerimientos cambiantes de la institución
RECOMENDACIONES
Para el proceso AI2 de COBIT estable los siguientes objetivos de control:
Asegurar que el software diseñado sea de calidad.
86
Realizar un diseño detallado, y los requerimientos técnicos del software.
Identificar los requerimientos del negocio para el desarrollo del software.
Para pasar al nivel de madurez 3 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Desarrollar estrategia y planes de mantenimiento del software aplicativo.
En el Largo Plazo:
Garantizar integridad de la información, control de acceso, respaldo y pistas
de auditoría.
Tabla 27 Mantener la Infraestructura
DOMINIO: ADQUIRIR E IMPLEMENTAR AI3: Adquirir y mantener la Infraestructura Tecnológica
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0
No se reconoce la administración de la
infraestructura de tecnología como un
asunto importante al cual deba ser
resuelto.
GRADO DE MADUREZ
El proceso de Adquirir y Mantener Infraestructura
Tecnológica está en el nivel de madurez 1.
OBJETIVOS NO CUMPLIDOS
Definir una estrategia para la adquisición y
mantenimiento de la infraestructura.
Organizar y prevenir el proceso de adquisición y
mantenimiento de la infraestructura.
1
Se realizan cambios a la infraestructura
para cada nueva aplicación, sin ningún plan
en conjunto. La actividad de
mantenimiento reacciona a necesidades
de corto plazo.
Elaborado por: Andrea Mejía
87
NO CUMPLE
2. La adquisición y mantenimiento de la infraestructura de TI no se basa en una
estrategia definida y no considera las necesidades de las aplicaciones de la
institución que se deben respaldar.
3. El proceso respalda las necesidades de las aplicaciones críticas de la
institución y concuerda con la estrategia de negocio de TI, pero no se aplica en
forma consistente.
4. La infraestructura de TI soporta adecuadamente las aplicaciones del negocio.
El proceso está bien organizado y es preventivo.
5. El proceso de adquisición y mantenimiento de la infraestructura de tecnología
es preventivo y está estrechamente en línea con las aplicaciones críticas de la
institución y con la arquitectura de la tecnología.
RECOMENDACIONES
Para el proceso AI3 de COBIT estable los siguientes objetivos de control:
Crear un plan de adquisición de infraestructura tecnológica.
Garantizar la disponibilidad de la infraestructura tecnológica.
Identificar que necesidades se tiene para adquisición de infraestructura
tecnológica.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
88
En el Corto Plazo:
Crear un plan de adquisición de infraestructura tecnológica.
En el Largo Plazo:
Proteger la infraestructura tecnológica mediante medidas de control interno,
seguridad y auditabilidad durante la configuración, integración y
mantenimiento de hardware y software de la infraestructura tecnológica.
Tabla 28 Facilitar operación y uso
DOMINIO: ADQUIRIR E IMPLEMENTAR AI4: Facilitar la Operación y el uso
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0
No existe el proceso con respecto a la
elaboración de documentación de usuario,
manuales de operación y material de
entrenamiento.
GRADO DE MADUREZ
El proceso de Facilitar la Operación y el Uso está en el
nivel de madurez 1.
OBJETIVOS NO CUMPLIDOS
Falta generar los materiales de entretenimiento
buscando su calidad.
Garantizar la compañía de estándares para el
desarrollo del proceso.
1
Mucha de la documentación y muchos de
los procedimientos ya caducaron. Los
materiales de entrenamiento tienden a ser
esquemas únicos con calidad variable.
Elaborado por: Andrea Mejía
NO CUMPLE
2. Personas o equipos de proyecto generan los materiales de entrenamiento, y la
calidad depende de los individuos que se involucran
3. Se guardan y se mantienen los procedimientos en una biblioteca formal y
cualquiera que necesite saber tiene acceso a ella.
4. Existen controles para garantizar que se adhieren los estándares y que se
desarrollan y mantienen procedimientos para todos los procesos.
89
5. Los materiales de procedimiento y de entrenamiento se tratan como una base
de conocimiento en evolución constante que se mantiene en forma electrónica,
con el uso de administración de conocimiento actualizada, workflow y
tecnologías de distribución, que los hacen accesibles y fáciles de mantener.
RECOMENDACIONES
Para el proceso AI4 de COBIT estable los siguientes objetivos de control:
Control para garantizar adherir los estándares para el mantenimiento de los
procesos.
Desarrollar un plan para realizar soluciones de operación el cual sirva para
identificar y documentar todos los aspectos técnicos, la capacidad de
operación y los niveles de servicio requeridos.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Realizar una transferencia de conocimiento a la parte gerencial lo cual
permitirá que estos tomen posesión del sistema y los datos.
En el Largo Plazo:
Mediante la transferencia de conocimientos a los usuarios finales se lograra
que estos usen los sistemas con efectividad y eficiencia para el apoyo a los
procesos de la Organización.
90
Tabla 29 Adquirir Recursos de TI
DOMINIO: ADQUIRIR E IMPLEMENTAR AI5: Adquirir Recursos de TI
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0 No existe un proceso definido de
adquisición de recursos de TI.
GRADO DE MADUREZ El proceso de Adquirir Recursos de TI está en el nivel de madurez 4. OBJETIVOS NO CUMPLIDOS
Falta de buenas relaciones con algunos proveedores de forma estratégica.
1
Los contratos para la adquisición de
recursos de TI son elaborados y
administrados por personas que ejercen
su juicio profesional más que seguir
resultados de procedimientos y políticas
formales
2 Se determinan responsabilidades y
rendición de cuentas para la
3
La adquisición de TI se integra en gran
parte con los sistemas generales de
adquisición de la institución.
4
La adquisición de TI se integra en gran
parte con los sistemas generales de
adquisición del negocio. Existen
estándares de TI para la adquisición de
recursos de TI.
Elaborado por: Andrea Mejía
NO CUMPLE
5. Se establecen buenas relaciones con el tiempo con la mayoría de los
proveedores, y se mide y vigila la calidad de estas relaciones. Se manejan las
relaciones en forma estratégica.
RECOMENDACIONES
Para el proceso AI5 de COBIT estable los siguientes objetivos de control:
Tomar medidas en la administración de contratos y adquisiciones.
91
Establecer buenas relaciones con la mayoría de proveedores.
Para pasar al nivel de madurez 5 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Manejar estratégicamente los estándares, políticas y procedimientos de TI
para adquirir los recursos de TI.
En el Largo Plazo:
Cumplir y hacer cumplir los derechos y obligaciones de ambas partes en los
términos contractuales.
Tabla 30 Administrar niveles de servicios
DOMINIO: ENTREGAR Y DAR SOPORTE
DS1: Definir y Administrar los Niveles de Servicio
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0 Las autoridades no reconocen la necesidad de un proceso para definir los niveles de
servicio.
GRADO DE MADUREZ El proceso de Definir y Administrar los Niveles de Servicio está en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS
No ordenar los procesos de desarrollo por niveles de servicio.
Realizar reportes de servicio de forma completa y relevante
1
La responsabilidad y la rendición de cuentas sobre para la definición y la
administración de servicios no está
definida.
Elaborado por: Andrea Mejía
NO CUMPLE
2. Los reportes de los niveles de servicio están incompletos y pueden ser
irrelevantes o engañosos para los clientes. Los reportes de los niveles de
servicio dependen, en forma individual, de las habilidades y la iniciativa de los
administradores.
92
3. El proceso de desarrollo del acuerdo de niveles de servicio está en orden y
cuenta con puntos de control para revalorar los niveles de servicio y la
satisfacción de cliente.
4. La satisfacción del cliente es medida y valorada de forma rutinaria. Las medidas
de desempeño reflejan las necesidades del cliente, en lugar de las metas de
TI.
5. Todos los procesos de administración de niveles de servicio están sujetos a
mejora continua. Los niveles de satisfacción del cliente son administrados y
monitoreados de manera continua.
RECOMENDACIONES
Para el proceso DS1 de COBIT estable los siguientes objetivos de control:
Realizar un portafolio de servicios.
Realizar acuerdos de niveles de servicio.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Realizar a menudo una revisión con los proveedores internos y externos los
acuerdos de niveles de servicio.
En el Largo Plazo:
Realizar un monitoreo y reporte del cumplimiento de los niveles de servicio,
estos reporte deben mantener un formato entendible por parte de los
interesados
93
Tabla 31
Administrar los servicios de Terceros
DOMINIO: ENTREGAR Y DAR SOPORTE
DS2: Administrar los Servicios de Terceros
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0
Los servicios de terceros no son ni aprobados ni revisados por las autoridades. No hay actividades de medición y los terceros no reportan.
GRADO DE MADUREZ El proceso de Administrar los Servicios de Terceros está en el nivel de madurez 3. OBJETIVOS NO CUMPLIDOS
Verificar de forma continua las capacidades del proveedor.
Monitorear e implementar acciones correctivas.
1 No hay condiciones estandarizadas para los convenios con los prestadores de servicios.
2
Se utiliza un contrato pro forma con términos y condiciones estándares del proveedor (por ejemplo, la descripción de servicios que se prestarán).
3
Cuando se hace un acuerdo de prestación de servicios, la relación con el tercero es meramente contractual. La naturaleza de los servicios a prestar se detalla en el contrato e incluye requerimientos legales, operacionales y de control.
Elaborado por: Andrea Mejía
NO CUMPLE
4. Las aptitudes, capacidades y riesgos del proveedor son verificadas de forma
continua
5. Se monitorea el cumplimiento de las condiciones operacionales, legales y de
control y se implantan acciones correctivas.
RECOMENDACIONES
Para el proceso DS2 de COBIT estable los siguientes objetivos de control:
Monitorear e implementar acciones correctivas.
Verificar de forma continua las capacidades del proveedor.
94
Para pasar al nivel de madurez 4 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Establecer criterios formales y estandarizados para realizar la definición de
los términos del acuerdo.
En el Largo Plazo:
Mantener acuerdos de confidencialidad con los proveedores
Tabla 32 Desempeño y Calidad
DOMINIO: ENTREGAR Y DAR SOPORTE
DS3: Administrar el Desempeño y la Capacidad
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0
La autoridad no reconoce que los procesos clave de la institución pueden requerir altos niveles de desempeño de TI o que el total de los requerimientos de servicios de TI de la institución pueden exceder la capacidad.
GRADO DE MADUREZ El proceso de Administrar el Desempeño y la Capacidad está en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS
Realizar evaluaciones de la infraestructura de TI logrando una capacidad óptima.
Establecer métodos de desempeño y evaluación.
1
Los responsables de los procesos de la organización valoran poco la necesidad de llevar a cabo una planeación de la capacidad y del desempeño. Las acciones para administrar el desempeño y la capacidad son típicamente reactivas.
Elaborado por: Andrea Mejía
NO CUMPLE
2. Las necesidades de desempeño se logran por lo general con base en
evaluaciones de sistemas individuales y el conocimiento y soporte de equipos
de proyecto.
3. Los pronósticos de la capacidad y el desempeño se modelan por medio de un
proceso definido. Los reportes se generan con estadísticas de desempeño.
95
4. Hay información actualizada disponible, brindando estadísticas de desempeño
estandarizadas y alertando sobre incidentes causados por falta de desempeño
o de capacidad.
5. La infraestructura de TI y la demanda del negocio están sujetas a revisiones
regulares para asegurar que se logre una capacidad óptima con el menor costo
posible.
RECOMENDACIONES
Para el proceso DS3 de COBIT estable los siguientes objetivos de control:
Establecer métricas de desempeño y evaluación de la capacidad
Realizar revisiones de forma periódica.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Realizar pronósticos de la capacidad y el desempeño futuros de los recursos
de TI en intervalos regulares.
En el Largo Plazo:
Realizar un monitoreo continuo del desempeño y la capacidad de los
recursos de TI.
96
Tabla 33 Continuidad de servicios
DOMINIO: ENTREGAR Y DAR SOPORTE
DS4: Garantizar la continuidad del servicio
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0 No hay comprensión de los riesgos, vulnerabilidades y amenazas a las operaciones de TI.
GRADO DE MADUREZ El proceso de Garantizar la Continuidad del Servicio está en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS
Mantener un plan de servicios.
Integrar los procesos de servicios para mejores prácticas externas
1
Las responsabilidades sobre la continuidad de los servicios son informales y la autoridad para ejecutar responsabilidades es limitada.
Elaborado por: Andrea Mejía
NO CUMPLE
2. Los reportes sobre la disponibilidad son esporádicos, pueden estar incompletos
y no toman en cuenta el impacto en el negocio.
3. Las responsabilidades de la planeación y de las pruebas de la continuidad de
los servicios están claramente asignadas y definidas
4. Se asigna la responsabilidad de mantener un plan de continuidad de servicios.
5. Los procesos integrados de servicio continuo toman en cuenta referencias de
la industria y las mejores prácticas externas.
RECOMENDACIONES
Para el proceso DS4 de COBIT estable los siguientes objetivos de control:
Desarrollar y tomar muy en cuenta planes de continuidad.
Realizar un marco de trabajo de continuidad.
97
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Realizar pruebas regulares del plan de continuidad, de esta forma se
asegura que los sistemas de TI sean recuperados de forma efectiva
Tabla 34 Garantizar la Seguridad de los Sistemas
DOMINIO: ENTREGAR Y DAR SOPORTE
DS5: Garantizar la Seguridad de los Sistemas
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0
Las medidas adoptadas para la
administración de la seguridad de TI no están implementadas. No hay reportes de
seguridad de TI ni un proceso de respuesta
para resolver brechas de seguridad de TI.
GRADO DE MADUREZ El proceso de Garantizar la Seguridad de los Sistemas está en el nivel de madurez 1.
OBJETIVOS NO CUMPLIDOS
Concientizar el valor de la seguridad de la
información.
Elaborar un plan de seguridad de TI.
1
La seguridad de TI se lleva a cabo de forma
reactiva. No se mide la seguridad de TI. Las
brechas de seguridad de TI ocasionan respuestas con acusaciones personales,
debido a que las responsabilidades no son
claras. Las respuestas a las brechas de
seguridad de TI son impredecibles.
Elaborado por: Andrea Mejía
NO CUMPLE
2. La conciencia sobre la necesidad de la seguridad esta fraccionada y limitada.
Aunque los sistemas producen información relevante respecto a la seguridad,
ésta no se analiza.
3. Las responsabilidades de la seguridad de TI están asignadas y entendidas,
pero no continuamente implementadas. Existe un plan de seguridad de TI y
existen soluciones de seguridad motivadas por un análisis de riesgo.
98
4. El contacto con métodos para promover la conciencia de la seguridad es
obligatorio. La identificación, autenticación y autorización de los usuarios está
estandarizada.
5. Los usuarios y los clientes se responsabilizan cada vez más de
6. definir requerimientos de seguridad, y las funciones de seguridad están
integradas con las aplicaciones en la fase de diseño.
RECOMENDACIONES
Para el proceso DS5 de COBIT estable los siguientes objetivos de control:
Se debe administrar la seguridad TI.
Realizar un plan de seguridad de TI.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Implementar seguridad en la red como por ejemplo firewalls, dispositivos de
seguridad, detección de intrusos, etc.)
En el Largo Plazo:
Realizar pruebas a la implementación de la seguridad, de igual forma
monitorear esta.
99
Tabla 35 Monitorear y Evaluar el Desempeño de TI
DOMINIO: ENTREGAR Y DAR SOPORTE
ME1: Monitorear y Evaluar el Desempeño de TI
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0
La TI no lleva a cabo monitoreo de proyectos o procesos de forma independiente. No se cuenta con reportes útiles, oportunos y precisos. La necesidad de entender de forma clara los objetivos de los procesos no se reconoce.
GRADO DE MADUREZ El proceso de Monitorear y Evaluar el Desempeño de TI está en el nivel de madurez 0. OBJETIVOS NO CUMPLIDOS
Poder identificar los procesos estándares de evaluación.
Integrar todos los procesos y proyectos de TI.
Elaborado por: Andrea Mejía
NO CUMPLE
1. La interpretación de los resultados del monitoreo se basa en la experiencia de
individuos clave
2. Las mediciones de la contribución de la función de servicios de información al
desempeño de la organización se han definido, usando criterios financieros y
operativos tradicionales.
3. Hay una integración de métricas a lo largo de todos los proyectos y procesos
de TI. Los sistemas de reporte de la administración de TI están formalizados.
4. Las métricas impulsadas por el negocio se usan de forma rutinaria para medir
el desempeño, y están integradas en los marcos de trabajo estratégicos, tales
como el Balanced Scorecard.
RECOMENDACIONES
Para el proceso ME1 de COBIT estable los siguientes objetivos de control:
100
Definir un método de monitoreo como Balance Scorecard.
Evaluar el desempeño comparándolo periódicamente con las metas.
Para pasar al nivel de madurez 1 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Realizar una marco de trabajo de monitoreo general garantizado por la
gerencia.
En el Largo Plazo:
Identificar e iniciar medidas correctivas sobre el desempeño de TI.
Tabla 36 Monitorear y Evaluar el Control Interno
DOMINIO: ENTREGAR Y DAR SOPORTE
ME2: Monitorear y Evaluar el Control Interno
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0
Los métodos de reporte de control interno no existen. Existe una falta generalizada de conciencia sobre la seguridad operativa y el aseguramiento del control interno de TI.
GRADO DE MADUREZ El proceso de Monitorear y Evaluar el Control Interno está en el nivel de madurez 0. OBJETIVOS NO CUMPLIDOS
Establecer los procesos para la evaluación y aseguramiento del control interno.
Utilizar herramientas integradas para la detección del control interno de TI.
Elaborado por: Andrea Mejía
NO CUMPLE
1. La gerencia de TI no ha asignado de manera formal las responsabilidades para
monitorear la efectividad de los controles internos.
101
2. La oficina de servicios de información realiza monitoreo periódico sobre la
efectividad de lo que considera controles internos críticos. Se están empezando
a usar metodologías y herramientas para monitorear los controles internos,
aunque no se basan en un plan.
3. Se ha definido un programa de educación y entrenamiento para el monitoreo
del control interno. Se ha definido también un proceso para auto evaluaciones
y revisiones de aseguramiento del control interno, con roles definidos para los
responsables de la administración y de TI
4. Se han implantado herramientas para estandarizar evaluaciones y para
detectar de forma automática las excepciones de control. Se ha establecido una
función formal para el control interno de TI, con profesionales especializados y
certificados que utilizan un marco de trabajo de control formal avalado por la
alta dirección.
5. La organización utiliza herramientas integradas y actualizadas, donde es
apropiado, que permiten una evaluación efectiva de los controles críticos de TI
y una detección rápida de incidentes de control de TI.
RECOMENDACIONES
Para el proceso ME2 de COBIT estable los siguientes objetivos de control:
Monitorear el marco de trabajo de control interno de forma continua.
Mediante las revisiones de auditoría reportar la efectividad de los controles
internos sobre las TI.
Para pasar al nivel de madurez 1 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Realizar una auto-evaluación del control interno de la administración de
procesos, políticas y contratos de TI.
102
En el Largo Plazo:
Identificar e iniciar medidas correctivas sobre el desempeño de TI.
Tabla 37 Cumplimiento regulatorio
DOMINIO: ENTREGAR Y DAR SOPORTE
ME3: Garantizar el Cumplimiento Regulatorio
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0
Existe poca conciencia respecto a los requerimientos externos que afectan a TI, sin procesos referentes al cumplimiento de requisitos regulatorios, legales y contractuales.
GRADO DE MADUREZ El proceso de Garantizar el Cumplimiento Regulatorio está en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS
Brindar capacitación sobre requisitos legales y regulatorios externos.
Conocer los requerimientos aplicables, como la solución de nuevas necesidades.
1
Se siguen procesos informales para mantener el cumplimiento, pero solo si la necesidad surge en nuevos proyectos o como respuesta a auditorías o revisiones
Elaborado por: Andrea Mejía
NO CUMPLE
2. No existe, sin embargo, un enfoque estándar. Hay mucha confianza en el
conocimiento y responsabilidad de los individuos, y los errores son posibles.
3. Se brinda entrenamiento sobre requisitos legales y regulatorios externos que
afectan a la institución y se instruye respecto a los procesos de cumplimiento
definidos.
4. Las responsabilidades son claras y el empoderamiento de los procesos es
entendido. El proceso incluye una revisión del entorno para identificar
requerimientos externos y cambios recurrentes.
5. Hay un amplio conocimiento de los requerimientos externos aplicables,
incluyendo sus tendencias futuras y cambios anticipados, así como la
necesidad de nuevas soluciones.
103
RECOMENDACIONES
Para el proceso ME3 de COBIT estable los siguientes objetivos de control:
Integrar los reporte de TI sobre el cumplimiento regulatorio.
Garantizar la identificación de requerimientos locales e internacionales
legales, contractuales de políticas, y regulatorios.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Tener muy en cuenta las leyes y reglamentos de privacidad, flujo de datos,
reporte financieros, propiedad intelectual, etc.
En el Largo Plazo:
Evaluar el cumplimiento de las políticas, estándares y procedimientos de TI.
Tabla 38 Proporcionar Gobierno de TI
DOMINIO: ENTREGAR Y DAR SOPORTE
ME4: Proporcionar Gobierno de TI
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0
Existe una carencia completa de cualquier proceso reconocible de gobierno de TI. La organización ni siquiera ha reconocido que existe un problema a resolver; por lo tanto, no existe comunicación respecto al tema.
GRADO DE MADUREZ El proceso de Proporcionar Gobierno de TI está en el nivel de madurez 0. OBJETIVOS NO CUMPLIDOS
Comunicar por parte de la Gerencia los procedimientos estandarizados.
Elaborado por: Andrea Mejía
104
NO CUMPLE
1. El enfoque de la gerencia es reactivo y solamente existe una comunicación
esporádica e inconsistente sobre los temas y los enfoques para resolverlos.
2. La gerencia ha identificado mediciones básicas para el gobierno de TI, así como
métodos de evaluación y técnicas; sin embargo, el proceso no ha sido adoptado
a lo largo de la institución.
3. Las autoridades ha comunicado los procedimientos estandarizados y el
entrenamiento está establecido. Se han identificado herramientas para apoyar
a la supervisión del gobierno de TI.
4. Los procesos de TI y el gobierno de TI están alineados e integrados con la
estrategia corporativa de TI. La mejora de los procesos de TI se basa
principalmente en un entendimiento cuantitativo y es posible monitorear y medir
el cumplimiento con procedimientos y métricas de procesos.
5. La implantación de las políticas de TI ha resultado en una organización,
personas y procesos que se adaptan rápidamente, y que dan soporte completo
a los requisitos de gobierno de TI. Todos los problemas y desviaciones se
analizan por medio de la técnica de causa raíz y se identifican e implementan
medidas eficientes de forma rápida.
RECOMENDACIONES
Para el proceso ME4 de COBIT estable los siguientes objetivos de control:
Administrar los riesgos de forma eficiente.
Garantizar la optimización de la inversión, uso y asignación de los activos de
TI mediante evaluaciones periódicas.
105
Para pasar al nivel de madurez 1 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Establecer un marco de trabajo de gobierno de TI, incluyendo liderazgo,
procesos, roles y responsabilidades.
En el Largo Plazo:
Conformar un comité de auditoría para asegurar el cumplimiento de TI.
RESUMEN DEL GRADO DE MADUREZ
Tabla 39 Grado de madurez
DOMINIO PROCESO
NIV
EL D
E
MA
DU
RE
Z
PLANIFICAR Y
ORGANIZAR
PO1
PO2
PO3
PO4
PO5
Definir el Plan Estratégico de la Información
Definir la Arquitectura de la Información
Determinar la Dirección Tecnológica
Definir los Procesos, la Organización y las Relaciones de TI
Administrar la inversión de TI.
1
1
1
2
4
ADQUIRIR E
IMPLEMENTAR
AI1
AI2
AI3
AI4
AI5
Identificar Soluciones Automatizadas
Adquirir y Mantener Software Aplicativo
Adquirir y Mantener Infraestructura Tecnológica
Facilitar la Operación y el uso
Adquirir Recursos de TI
1
2
1
1
4
ENTREGAR Y DAR
SOPORTE
DS1
DS2
DS3
DS4
DS5
Definir y Administrar los Niveles de Servicio
Administrar los Servicios de Tercero
Administrar el Desempeño y la Capacidad
Garantizar la Continuidad del Servicio
Garantizar la Seguridad de los Sistemas
1
3
1
1
1
MONITOREAR Y
EVALUAR
ME1
ME2
ME3
ME4
Monitorear y Evaluar el Desempeño y la Capacidad
Monitorear y Evaluar el Control Interno
Garantizar el Cumplimiento Regulatorio
Proporcionar Gobierno de TI
0
0
1
0
Elaborado por: Andrea Mejía
106
El análisis de cada uno de los dominios es el siguiente:
DOMINIO: PLANEAR Y ORGANIZAR (PO)
Las estrategias de TI no se encuentran a la par con las de la Institución, esto
significa que la Municipalidad de la Concordia no ha alcanzado el uso óptimo de los
recursos ya no han sido aprovechados al máximo o a lo mejor no se cuenta con los
recursos necesarios para la realización de ciertas tareas, no todo el personal
entiende los objetivos de TI, son pocos los usuarios que comprenden la importancia
de estos, para el cumplimiento de la institución.
DOMINIO: ADQUIRIR E IMPLEMENTAR (AI)
Para que se cumplan la estrategia de TI, se debe identificar, desarrollar o adquirir
las soluciones de TI, así como la implementación e integración en los procesos de
la Institución.
DOMINIO: ENTREGA Y DAR SOPORTE (DS)
Los servicios de TI son medianamente entregados de acuerdo a las prioridades de
la institución, Los costos de TI no se encuentran totalmente optimizados, puesto
que no existe un plan de continuidad no es implementada la disponibilidad de forma
completa de los sistemas de TI, de igual forma la integridad y la confidencialidad no
se encuentran implementadas de forma óptima.
DOMINIO: MONITOREAR Y EVALUAR (ME)
Las autoridades no monitorea ni evalúa el control interno en la Municipalidad de la
Concordia, existe una poca vinculación en el desempeño de TI con las metas de la
Institución, no existe una medición óptima de riesgos y el reporte de estos, así como
el cumplimiento, desempeño y control.
107
RESUMEN DE PROCESOS Y CRITERIO POR IMPACTO
Tabla 40 Grado de Madurez, Resumen de procesos y criterio de Impacto
PROCESOS
CRITERIOS DE INFORMACIÓN
RECURSOS TI
Niv
el d
e M
adu
rez
Efe
ctiv
idad
Efic
ien
cia
Co
nfi
de
nci
alid
ad
Inte
grid
ad
Dis
po
nib
ilid
ad
Cu
mp
limie
nto
Co
nfi
abil
idad
Re
curs
os
Hu
man
os
Sist
emas
de
Ap
lica
ció
n
Tecn
olo
gía
Inst
alac
ion
es
Dat
os
PLA
NIF
ICA
R Y
OR
GA
NIZ
AR
PO1 Definir el Plan Estratégico de Tecnologías de la Información 0,86 0,63
x x x
Total real (impacto*Nivel real) 0,86 0,63 0,00 0,00 0,00 0,00 0,00 1
Total ideal (impacto*Nivel ideal) 4,30 3,15 0,00 0,00 0,00 0,00 0,00 5
PO2 Definir la arquitectura de la Información 0,63 0,86 0,63 x x x
Total real (impacto*Nivel real) 0,63 0,86 0,63 0,00 0,00 0,00 0,00 1
Total ideal (impacto*Nivel ideal) 3,15 4,30 3,15 0,00 0,00 0,00 0,00 5
PO3 Determinar la Dirección Tecnológica 0,86 0,86 x x x x
Total real (impacto*Nivel real) 0,86 0,86 0,00 0,00 0,00 0,00 0,00 1
Total ideal (impacto*Nivel ideal) 4,30 4,30 0,00 0,00 0,00 0,00 0,00 5
PO4 Definir los Procesos, la Organización y las Relaciones de TI 1,72 1,72 x x
Total real (impacto*Nivel real) 3,44 3,44 0,00 0,00 0,00 0,00 0,00 2
Total ideal (impacto*Nivel ideal) 8,60 8,60 0,00 0,00 0,00 0,00 0,00 5
PO5 Administrar la inversión de TI 3,44 3,44 2,52 x x x
Total real (impacto*Nivel real) 13,76 13,76 0,00 0,00 0,00 0,00 10,08 4
Total ideal (impacto*Nivel ideal) 17,20 17,20 0,00 0,00 0,00 0,00 12,60 5
108
AD
QU
IRIR
E IM
PLE
MEN
TA
R
AI1 Identificar Soluciones Automatizadas 0,86 0,63 0,63 x x x x
Total real (impacto*Nivel real) 0,86 0,63 0,00 0,63 0,00 0,00 0,00 1
Total ideal (impacto*Nivel ideal) 4,30 3,15 0,00 3,15 0,00 0,00 0,00 5
AI2 Adquirir y Mantener Software Aplicativo 1,72 1,72 1,26 1,26 x x x
Total real (impacto*Nivel real) 3,44 3,44 0,00 2,52 0,00 0,00 2,52 2
Total ideal (impacto*Nivel ideal) 17,20 17,20 0,00 6,30 0,00 0,00 6,30 5
AI3 Adquirir y Mantener Infraestructura Tecnológica 0,63 0,86 0,63 0,63 x x x
Total real (impacto*Nivel real) 0,63 086 0,00 0,63 0,63 0,00 0,00 1
Total ideal (impacto*Nivel ideal) 3,15 4,30 0,00 3,15 3,15 0,00 0,00 5
AI4 Facilitar la Operación y el Uso 0,86 0,86 0,63 0,63 0,63 x x x x
Total real (impacto*Nivel real) 0,86 0,86 0,00 0,63 0,63 0,63 0,00 1
Total ideal (impacto*Nivel ideal) 4,30 4,30 0,00 3,15 3,15 3,15 0,00 5
AI5 Adquirir Recursos de TI 2,52 3,44 2,52 x x x x
Total real (impacto*Nivel real) 10,06 13,76 0,00 0,00 0,00 10,08 0,00 4
Total ideal (impacto*Nivel ideal) 12,60 17,20 0,00 0,00 0,00 12,60 0,00 5
ENTR
EGA
R Y
DA
R S
OP
OR
TE
DS1 Definir y Administrar los Niveles de Servicio 0,86 0,86 0,63 0,63 0,63 0,63 x x x x
Total real (impacto*Nivel real) 0,86 0,86 0,63 0,00 0,63 0,63 0,63 1
Total ideal (impacto*Nivel ideal) 4,30 4,30 3,15 0,00 3,15 3,15 3,15 5
DS2 Administrar los Servicios de Terceros 2,58 2,58 1,89 1,89 1,89 1,89 1,89 x x x x
Total real (impacto*Nivel real) 7,74 7,74 5,67 5,67 5,67 5,67 5,67 3
Total ideal (impacto*Nivel ideal) 12,90 12,90 9,45 9,45 9,45 9,45 9,45 5
DS3 Administrar el Desempeño y la Capacidad 0,86 0,86 0,63 x x x
Total real (impacto*Nivel real) 0,86 0,86 0,00 0,00 0,00 0,63 0,00 1
Total ideal (impacto*Nivel ideal) 4,30 4,30 0,00 0,00 0,00 3,15 0,00 5
109
DS4 Garantizar la Continuidad del Servicio 0,86 0,63 0,86 x x x
Total ideal (impacto*Nivel real) 0,86 0,63 0,00 0,00 0,86 0,00 0,00 1
Total ideal (impacto*Nivel ideal) 4,30 3,15 0,00 0,00 4,30 0,00 0,00 5
DS5 Garantizar la Seguridad de los Sistemas 0,86 0,86 0,63 0,63 0,63 x x x
Total ideal (impacto*Nivel real) 0,00 0,00 0,86 0,86 0,63 0,63 0,63 1
Total ideal (impacto*Nivel ideal) 0,00 0,00 4,30 4,30 3,15 3,15 3,15 5
MO
NIT
OR
EA
R Y
EV
ALU
AR
ME1 Monitorear y Evaluar el Desempeño de TI x x x x
Total ideal (impacto*Nivel real) 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0
Total ideal (impacto*Nivel ideal) 0,00 0,00 0,00 0,00 0,00 0,00 0,00 5
ME2 Monitorear y Evaluar el Desempeño de TI x x x x
Total ideal (impacto*Nivel real) 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0
Total ideal (impacto*Nivel ideal) 0,00 0,00 0,00 0,00 0,00 0,00 0,00 5
ME3 Garantizar el Cumplimiento Regulatorio 0,86 0,63 x x
Total ideal (impacto*Nivel real) 0,00 0,00 0,00 0,00 0,00 0,86 0,63 1
Total ideal (impacto*Nivel ideal) 0,00 0,00 0,00 0,00 0,00 4,30 3,15 5
ME4 Proporcionar Gobierno TI x x x
Total ideal (impacto*Nivel real) 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0
Total ideal (impacto*Nivel ideal) 0,00 0,00 0,00 0,00 0,00 0,00 0,00 5
110
RESULTADOS FINALES DEL IMPACTO SOBRE LOS CRITERIOS DE INFORMACIÓN
Total real (impacto * Nivel Real) 45,72 49,19 7,79 10,94 9,05 19,13 20,16
Total ideal (impacto * Nivel ideal) 97,35 98,65 20,05 29,50 26,35 38,95 37,80
Porcentaje Alcanzado 46,96 49,86 38,85 37,08 34,35 49,11 53,33 444,22
Elaborado por: Andrea Mejía
111
GRAFICA REPRESENTATIVA DEL IMPACTO DE LOS CRITERIOS DE
INFORMACIÓN
Ilustración 23 Impacto sobre criterios de la información Elaborado por: Andrea Mejía
EL INFORME DE AUDITORÍA
Una vez analizado los procesos, se detalla los resultados de la evaluación de cada
uno de ellos divididos en sus respectivos dominios (Planear y organizar, adquirir e
implementar, entregar y dar soporte, monitorear y evaluar.), lo cual se basa en los
niveles de madurez los cuales van desde el grado 0 (no existente) al grado máximo
5 (administrado).
46,96
49,86
38,85
37,08
34,35
49,11
53,33
IMPACTO SOBRE LOS CRITERIOS DE LA INFORMACIÓN
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
112
Tabla 41
Informe de Auditoria
DOMINIO PROCESO CONCLUSIÓN RECOMENDACIONES COBIT P
LAN
EAR
Y O
RG
AN
IZA
R
PO1 DEFINIR UN PLAN ESTRATÉGICO
Este proceso se encuentra en el nivel de madurez 1 ya que no cuenta con un plan estratégico definido.
• Lograr alinear las TI con la institución, instruir a los jefes de departamento sobre las capacidades tecnológicas actuales y el futuro de estas, así como las oportunidades que prestan las TI, para el mejor desempeño de las labores diarias.
• Elaborar planes tácticos de TI, que se resulten del plan estratégico de TI, los cuales servirán para describir las iniciativas y los requerimientos de recursos que son requeridos por TI, estos planes deben ser bien detallados para poder realizar la definición de planes proyectados.
PO2
DEFINIR LA ARQUITECTURA DE LA INFORMACIÓN
Este proceso se encuentra en el nivel de madurez 1, debido a que se reconoce no tener una arquitectura de información, pero a pesar de reconocer su importancia no se la elabora
• Establecer un diseño de clasificación de datos que aplique a toda la gestión tecnológica, basado en la información crítica y sensible.
• Definir e implementar procedimientos para brindar integridad y consistencia de todos los datos que se encuentran almacenado en formato electrónico, como bases de datos, almacenamiento de datos y archivos.
PO3 DETERMINAR LA DIRECCIÓN TECNOLÓGICA
Este proceso se encuentra en el nivel de madurez 1, debido a que el desarrollo de componentes tecnológicos y la implantación de tecnologías emergentes son ad hoc y aisladas.
• Planear la dirección tecnológica, es decir analizar las tecnologías existentes y emergentes, para tomar en cuenta cual dirección tecnológica es apropiada para lograr cumplir con las estrategias de TI, y la arquitectura de sistemas de la institución
• Crear y mantener un plan de infraestructura tecnológica que este a la par con los planes estratégicos y tácticos de TI.
113
PO4
DEFINIR LOS PROCESOS LA ORGANIZACIÓN Y LAS RELACIONES DE TI
Este proceso se encuentra en el nivel de madurez 2 debido a que las necesidades de los usuarios y relaciones con proveedores se responden de forma táctica aunque inconsistentemente.
• Definir un marco de trabajo para el proceso de TI para la ejecución del plan estratégico de TI, incluyendo la estructura y relaciones de procesos de TI.
• Establecer un comité estratégico de TI a nivel del jefe departamental, para garantizar que el gobierno de TI se maneje de forma efectiva.
PO5 ADMINISTRAR LA INVERSIÓN DE TI
Las responsabilidades y rendición de cuentas para la selección de presupuestos de inversiones son asignadas en específico al Jefe del departamento informático y el jefe del departamento financiero.
• Optimizar de forma continua la administración de inversiones en base a las lecciones aprendidas del análisis del desempeño real de las inversiones.
• Incluir un análisis de costos y beneficios a largo plazo del ciclo total de vida en la toma de decisiones de inversiones.
AD
QU
IRIR
E IM
PLE
MEN
TAR
AI1 IDENTIFICAR SOLUCIONES AUTOMATIZADAS
Este proceso se encuentra en el nivel de madurez 1 puesto que existe la conciencia de la necesidad de definir requerimientos y de identificar soluciones tecnológicas, las necesidades son analizadas de manera informal y por ciertos individuos.
Destacar, priorizar, especificar los requerimientos funcionales y técnicos del departamento de informática, priorizando el desempeño, el costo, la confiabilidad, la compatibilidad, la auditoría, la seguridad, la disponibilidad, y continuidad, la ergonomía, funcionalidad y la legislación de la Institución.
• Identificar, documentar y analizar los riesgos relacionados con los procesos del negocio para el desarrollo de los requerimientos.
114
AI2
ADQUIRIR Y MANTENER SOFTWARE APLICATIVO
Este proceso se encuentra en el nivel de madurez 2 por cuanto existen procesos de adquisición y mantenimiento de software aplicativo en base a la experiencia de TI, el mantenimiento a menudo es problemático.
Ejecutar un diseño detallado, y los requerimientos técnicos del software.
Avalar integridad de la información, control de acceso, respaldo y pistas de auditoría.
AI3
ADQUIRIR Y MANTENER LA INFRAESTRUCTURA TECNOLÓGICA
Este proceso se encuentra en el nivel de madurez 1, ya que no se cuenta con un plan de adquisición de tecnología, por lo tanto no se controlan los procesos de adquirir, implantar y actualizar infraestructura tecnológica.
Salvaguardar la infraestructura tecnológica mediante medidas de control interno, seguridad y auditabilidad durante la configuración, integración y mantenimiento de hardware y software de la infraestructura tecnológica.
Desarrollar un plan de mantenimiento de la infraestructura y garantizar el control de cambios de esta.
AI4 FACILITAR LA OPERACIÓN Y EL USO
Este proceso se encuentra en el nivel de madurez 1, puesto que no existe una generación de documentación, ni políticas de generación de manuales, pero se tiene la conciencia de que esto es necesario, la mayor parte de la documentación y procedimientos ya se encuentran caducados o desactualizados.
• Efectuar una transferencia de conocimiento a la parte de las autoridades lo cual permitirá que estos tomen posesión del sistema y los datos.
• Mediante la transferencia de conocimientos a los usuarios finales se logrará que estos usen los sistemas con efectividad y eficiencia para el apoyo a los procesos del departamento de informática.
115
AI5 ADQUIRIR RECURSOS DE TI
Este proceso se encuentra en el nivel de madurez 4 ya que la adquisición de TI se integra totalmente con los sistemas generales del gobierno, ya que se sigue el proceso de compras públicas en la adquisición de algún recurso de TI.
Establecer buenas relaciones con la mayoría de proveedores.
Cumplir y hacer cumplir los derechos y obligaciones de ambas partes en los términos contractuales.
EN
TREG
AR
Y D
AR
SO
PO
RTE
DS1
DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO
Este proceso se encuentra en el nivel de madurez 1 ya que no se administra los niveles de servicio, la rendición de cuentas no se encuentra definido realmente.
Se debe definir un marco de trabajo para la administración de los niveles de servicio.
Realizar un monitoreo y reporte del cumplimiento de los niveles de servicio, estos reporte deben mantener un formato entendible por parte de los interesados.
DS2 ADMINISTRAR LOS SERVICIOS DE TERCEROS
Este proceso se encuentra en el nivel de madurez 3 por cuanto existen procedimientos documentados para controlar los servicios de terceros, los procesos son claros para realizar la negociación con los proveedores.
Establecer criterios formales y estandarizados para realizar la definición de los términos del acuerdo.
Asignar responsables para la administración del contrato y del proveedor.
DS3 ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD
Este proceso se encuentra en el nivel de madurez 1, puesto que los usuarios regularmente tienen que resolver los inconvenientes que se presenten para pacificar las limitaciones de desempeño y capacidad.
Implantar métricas de desempeño y evaluación de la capacidad.
Efectuar un monitoreo continuo del desempeño y la capacidad de los recursos de TI.
116
DS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIO
Este proceso se encuentra en el nivel de madurez ,1 por cuanto no se cuenta con un plan de continuidad de servicios.
Efectuar pruebas regulares del plan de continuidad, de esta forma se asegura que los sistemas de TI sean recuperados de forma efectiva.
Una vez realizada la reanudación exitosa de las funciones de TI, determinar la efectividad del plan de continuidad y realiza actualizaciones a este según amerite.
DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS
Este proceso se encuentra en el nivel de madurez 1 ya que la seguridad de los sistemas se encuentra a cargo de un solo individuo el cual es el Jefe del departamento Informático, no existen responsabilidades claras.
• Efectuar pruebas a la implementación de la seguridad, de igual forma monitorearla.
• Garantizar que las características de posibles incidentes de seguridad sean definidas y comunicadas de forma clara y oportuna.
MO
NIT
OR
EAR
Y E
VA
LUA
R
ME1
MONITOREAR Y EVALUAR EL DESEMPEÑO DE TI
Este proceso se encuentra en el nivel de madurez 0, por cuanto no se cuenta con un proceso implementado de monitoreo, así como con reporte útiles, oportunos y precisos sobre el desempeño.
• Definir y recoger los datos del monitoreo mediante un conjunto de objetivos, mediciones, metas y comparaciones de desempeño.
• Valorar el desempeño comparándolo periódicamente con las metas.
ME2
MONITOREAR Y EVALUAR CONTROL INTERNO
Este proceso se encuentra en el nivel de madurez 0, por cuanto, No se tiene procedimientos para monitorear la efectividad de los controles internos.
• Realizar una auto-evaluación del control interno de la administración de procesos, políticas y contratos de TI.
• Si es necesario, mediante revisiones de terceros asegurar la que se cumplan y efectivicen los controles internos.
• Verificar que los proveedores externos cumplan con los requerimientos legales y regulatorios y con las obligaciones contractuales.
117
ME3 GARANTIZAR EL CUMPLIMIENTO REGULATORIO
Este proceso se encuentra en el nivel de madurez 1 por cuanto, se siguen procesos informales para mantener el cumplimiento regulatorio.
• Tener muy en cuenta las leyes y reglamentos de la privacidad de la información, flujo de datos, reporte financieros, propiedad intelectual, etc.
• Evaluar el cumplimiento de las políticas, estándares y procedimientos de TI.
ME4 PROPORCIONAR GOBIERNO DE TI
Este proceso se encuentra en el nivel de madurez 0 por cuanto no existen procesos de gobierno de TI.
• Asistir al entendimiento de las autoridades sobre temas estratégicos de TI tales como el rol de TI.
• Certificar la optimización de la inversión, uso y asignación de los activos de TI mediante evaluaciones periódicas.
Elaborado por: Andrea Mejía
118
INFORME EJECUTIVO
En el Informe Ejecutivo se detalla los resultados de la evaluación a cada uno de los
procesos que recomienda COBIT siendo evaluado en la Gestión Tecnológica de la
Municipalidad de la Concordia.
Dichos criterios de información se encuentran expresados en los siguientes gráficos.
Ilustración 24: Criterio efectividad Elaborado por: Andrea Mejía
La efectividad consiste en que la información relevante sea entregada de forma
oportuna, correcta, consistente y utilizable, este criterio tiene un promedio del
46,96%.
Ilustración 25 Criterio eficiencia
Elaborado por: Andrea Mejía
46,96%53,04%
Criterio: Efectividad
Efectividad
Déficit
49,86%50,14%
Criterio: Eficiencia
Eficiencia
Déficit
119
La eficiencia consiste en que la información debe ser generada optimizando los
recursos, este criterio tiene un promedio del 49,86%.
Ilustración 26 Criterio confidencialidad Elaborado por: Andrea Mejía
La confidencialidad consiste en que la información vital sea protegida contra la
revelación no autorizada, este criterio tiene un promedio del 38,85%.
Ilustración 27 Criterio integridad Elaborado por: Andrea Mejía
La integridad consiste en que la información debe ser precisa, completa y valida,
este criterio tiene un promedio del 37,08%.
38,85%
61,15%
Criterio: Confidencialidad
Confidencialidad
Déficit
37,08%
62,92%
Criterio: Integridad
Integridad
Déficit
120
Ilustración 28 Criterio disponibilidad Elaborado por: Andrea Mejía
La disponibilidad consiste en que la información esté disponible cuando ésta sea
requerida por parte de las áreas de la institución en cualquier momento, este criterio
tiene un promedio del 34,35%.
Ilustración 29: Criterio cumplimiento Elaborado por: Andrea Mejía
El cumplimiento consiste en que se debe respetar las leyes, reglamentos y
acuerdos contractuales a los que está sujeta el proceso de la institución, como
políticas internas, este criterio tiene un promedio del 49,11%.
34,35%
65,65%
Criterio: Disponibilidad
Disponibilidad
Déficit
49,11%50,89%
Criterio: Cumplimiento
Cumplimiento
Déficit
121
Ilustración 30 Criterio Confiabilidad Elaborado por: Andrea Mejía
La confiabilidad consiste en que se debe respetar proporcionar la información
apropiada, con el fin de que las Autoridades administre la entidad, este criterio tiene
un promedio del 53,33%.
PRESUPUESTO DE LA AUDITORÍA
Tabla 42 Presupuesto de la auditoría
ACTIVIDAD RECURSOS PERSONAL VALOR
VISITA PRELIMINAR Elaboración de
los cuestionarios.
Recopilación de la información organizacional
DESARROLLO DE LA AUDITORIA Aplicación de
encuestas, empleados y autoridades.
Entrevistas a autoridades
Papeles Lápices Plumas Cámara Grabadora Filmadora Lápiz Pluma Formularios Computador Impresora
Auditor Informático 3 ayudantes Auditor Informático 6 ayudantes
$1.550,00
$5.500,00
53,33%46,67%
Criterio: Confiabilidad
Confidencialidad
Déficit
122
Evaluación de los equipos informáticos
Evaluación de seguridad de los datos, control de operación, seguridad física y procedimientos de respaldos.
REVISION Y PRE-INFORME Revisión de los
papeles de trabajo.
Determinación del Diagnostico e Implicancias.
Elaboración del Borrador.
INFORME Elaboración y
presentación del Informe.
Cámara Lápiz Pluma Papeles Computador Proyector Computador
Auditor Informático 2 ayudantes Auditor Informático Digitador
$800,00
$550,00
TOTAL GENERAL $8.400,00
Elaborado por: Andrea Mejía
123
CONCLUSIONES PARCIALES DEL CAPITULO
Una vez realizada y analizada la auditoria se puede concluir lo siguiente:
Existe una vista general equivocada de los equipos informáticos con que
cuenta la institución, es decir una cosa es lo que se tiene en inventario como
equipo en buen estado, y otra es la realidad que se pudo palpar en las visitas
que se realizaron a las diferentes facultades.
El COBIT es una herramienta muy importante para la realización, ejecución y
análisis de la auditoria informática apoyándose en los 4 dominios y
clasificados cada uno de ellos en sus procesos, los cuales están claramente
clasificados y se apegan a la realidad de cada organización.
Hubieron contratiempos en la recolección de la información ya que los
funcionarios en ciertas instancias no colaboraron con la entrega de la misma,
es por eso que se tuvo que recurrir a ciertas observaciones y entrevistas a los
funcionarios, y en algunos casos no se la obtuvo, pero se pudo concluir con
el trabajo de buena manera.
Todos los síntomas planteados en el inicio del trabajo, fueron comprobados
de que se tenían esas falencias, aunque para los funcionarios de la unidad
informática todo estaba correcto y los procesos iban sobre ruedas.
Se logró detectar aunque no estaba dentro de los síntomas que no se contaba
con un plan estratégico, que todo se manejaba bajos ciertos parámetros de
la unidad de informática, es decir solo por experiencia.
La protección física de los equipos corresponde a quienes en un principio se
les asigna, y corresponde notificar los movimientos en caso de que existan, a
las autoridades correspondientes (departamento de Cómputo, departamento
de Inventario y otros de competencia).
124
No existen detectores de humo en las instalaciones donde se encuentren los
equipos informáticos.
Hacer uso de software libre, en toda la Institución, y utilizar software aplicativo
con licenciamiento.
El área de la unidad de cómputo es muy limitado y sin las seguridades fiscas
pertinentes.
No se tienen extintores de bióxido de carbono especiales para este tipo de
departamentos.
CONCLUSIONES Y RECOMENDACIONES
CONCLUSIONES
La Unidad de Informática está adscrita a la Alcaldía, lo que hasta cierto punto
limita su accionar, además dicha unidad no cuenta con reglamentos claros,
documentación de los sistemas que realiza, ni del control de mantenimiento,
y desconoce donde exactamente están ubicados los equipos informáticos, ni
al custodio, así como no poseer un inventario de software.
La unidad de informática está en un sitio muy pequeño y desorganizado,
como lo demuestra la foto incluida en el anexo, lo que es un inconveniente
para su accionar.
Este trabajo ha dado un conjunto de directrices las cuales pueden ayudar a
organizar las TI con la institución, en otras palabras identificar riesgos,
gestionar recursos y medir el desempeño, así como el nivel de madurez de
cada uno de los procesos de la Gestión Tecnológica.
Las autoridades y usuarios son los beneficiados con el desarrollo de la
metodología COBIT, ya que este marco de referencia ayuda a entender sus
sistemas de TI, de igual forma decidir el nivel de seguridad y control para
125
proteger los activos (información, hardware, software, etc.) de la Institución
mediante un modelo de desarrollo de gobernación de TI.
Gracias al marco de referencia COBIT, se ha logrado evaluar y diagnosticar
los procesos de TI en la Institución. También se ha diagnosticado cada uno
de los criterios de la información, los cuales son efectividad, eficiencia,
confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.
126
RECOMENDACIONES
Tener muy presente los procesos que se encuentran con el nivel de madurez
de 0 y 1, que son los de factor crítico.
Todo el equipo de cómputo (computadoras, estaciones de trabajo, servidores,
y equipo accesorio), que esté o sea conectado a la red de la Institución, o
aquel que en forma autónoma se tenga y que sea propiedad de la misma debe
de sujetarse a las normas y procedimientos de instalación que emite la unidad
de cómputo.
Realizar evaluaciones periódicas con el fin de medir el avance de cada uno
de los procesos estudiados en este trabajo.
El equipo de la institución que sea de propósito específico y tenga una misión
crítica asignada, requiere estar ubicado en un área que cumpla con los
requerimientos de: seguridad física, las condiciones ambientales, la
Alimentación eléctrica y la normatividad para el acceso de equipos que el
Centro de Cómputo implante.
Los funcionarios de la Unidad de Cómputo debe dar cabal cumplimiento con
las normas de instalación, y notificaciones correspondientes de actualización,
reubicación, reasignación, y todo aquello que implique movimientos en su
ubicación, de adjudicación, sistema y misión.
BIBLIOGRAFÍA
BERNAL, C. (2010). METODOLOGÍA DE LA INVESTIGACIÓN (3ra Ed. ed.).
Colombia: Pearson Educación.
CAMPO, R. (2012). Manual práctico de auditoria interna. Buenos Aires:
Consejo profesional de Ciencias Económicas de la Ciudad Autónoma de
Buenos Aires.
CARRIÓN Toro Mayra del Cisne, CORONADO Cabezas Luz Margarita,
“Auditoría de la Gestión de las TIC’S para La empresa DIPAC utilizando
COBIT”, (208), Escuela Politécnica Nacional, Quito – Ecuador.
CASTELLO Ricardo J., (2006), “Auditoría en entornos informáticos”,
Segunda Edición
CORONEL Castro Karolay Michell, (2012), “Auditoría Informática orientada
a los procesos críticos de crédito generados en la Cooperativa de Ahorro y
Crédito ‘Fortuna’ aplicando el marco de trabajo COBIT”, Universidad Técnica
Particular de Loja, Loja – Ecuador
DEL CID, A. (2011). Investigación fundamentos y metodología. México:
Pearson Educación
ECHENIQUE García José Antonio (2011), “Auditoría en Informática”
GÓMEZ, Á. (2013). Auditoría de seguridad informática (Primera Edición ed.).
Bogotá, Colombia: Ediciones de la U.
GOMEZ, C. (2012). La investigación Científica en Preguntas y Respuestas.
Ambato: Empresdane. González, M., & Cordero, M. (2007). Diseño de
Páginas Web. España: MC Graw Gill, primera edición.
GRANADOS Pemberty Elizabeth, (2012), “Auditoría Informática: Conceptos
Básicos”
GUEVARA Plaza y PEÑA Ramos Eloy, “Auditoría Informática: Normas y
Documentación”
HORACIO Quinn Eduardo, (2008), “La Auditoria informática dentro de las
etapas de Análisis de Sistemas Administrativos”,
http://www.monografias.com/trabajos5/audi/audi.shtml#inter.
Ingeniería en Informática, Universidad de Alicante, (2010), “Auditoría y
Evaluación de Sistemas”
INSTITUTO MEXICANO DE CONTADORES PÚBLICOS. (2013). Modelos
de dictámenes y otras opiniones e informes del auditor. México: INSTITUTO
MEXICANO DE CONTADORES PUBLICOS.
MELO Cazar, Mónica Elizabeth, (2005), “Auditoría Informática realizada a la
Compañía Autotrack Cía. Ltda.”, pág. 11.
MERINO, C. (2014). AUDITORIA DE SISTEMAS DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN. Madrid: FC Editorial
MUNCH, L. y. (2009). Métodos y Técnicas de Investigación. México: Trillas.
MUÑOZ, C. (2002). Auditoría en sistemas computacionales. México:
Pearson.
NARANJO, A. (2006). AUDITORÍA DE SISTEMAS. Obtenido de
www.monografias.com, Guayaquil - Ecuador
PARDO, C. (2008). Los sistemas y las auditorías de gestión Integral. Bogotá:
UNIVERSIDAD DE LA SALLE.
PELAZAS, M. (2015). Planificación de la Auditoría. Madrid: Paraninfo.
PIATTINI, M. (2008). Auditoría de Tecnologías y sistemas de Información.
Madrid: Ra-Ma
QUEZADA, N. (2010). Metodología de la Investigación. Lima: Macro
RAMÍREZ Huamán, ANGELLO Luis, “Proyecto de Auditoría Informática en
la Organización DATA CENTER E.I.R.L aplicando la Metodología COBIT
4.1”, Universidad Nacional ‘Santiago Antúnez de Mayolo’”, (2011), Escuela
Profesional de Ingeniería de Sistemas e Informática”, Huaraz – Ancash -
Perú
RAMÍREZ R., Guadalupe y ÁLVAREZ D., Ezzard, “Auditoría a la Gestión de
las Tecnologías y Sistemas de Información”
RODRIGUEZ, J. (02 de 2005). GestioPolis. Obtenido de Comercio
Electronico.Aspecto clave:
http://www.gestiopolis.com/Canales4/ger/comelectro.htm
SALAZAR, H. (22 de 10 de 2010). SlideShare. Recuperado el 09 de 10 de
2014, de SlideShare: http:slideshare.net/HernanSalazar/investigacin-
bibliografica-2463165
SEVILLA, J. (2012). AUDITORIA DE LOS SISTEMAS INTEGRADOS DE
GESTIÓN. MADRID: FC EDITORIAL.
Silberschatz, A., Korth, H., & Sudarshan. (2006). Fundamentos de Bases de
Datos. Espana: Mc Graw Hill, cuarta edición.
SOBRINOS Sánchez, Roberto, (2000), “Planificación y Gestión de Sistemas
de Información”, Escuela Superior de Informática de Ciudad Real
Universidad de Castilla – La Mancha
Universidad Autónoma del Estado de Hidalgo, (2011), “Auditoría
Informática”, México
Universidad Regional Autónoma de los Andes UNIANDES. (2012). Manual
de Investigación (Primera Edición ed.). Ambato: Mendieta.
VALLABHANENI, R.S. (2007): Information Systems Audit Process. Tercera
Edición
http://www.iue.edu.co/documents/emp/entorTecnologicos.pdf, “Estrategias
Gerenciales: Gerencia para el emprendimiento, y gestión de Resultados,
Gestión tecnológica”
http://es.scribd.com/doc/13735708/Gestion-Tecnologica-, República
Bolivariana de Venezuela Ministerio de Educación Superior Universidad
Nacional Experimental “Simón Rodríguez”, Cátedra: Gestión de Tecnología.
Anexo 1: Encuesta realizada a los empleados Municipales:
Encuesta realizada a los empleados Municipales
Pregunta No 1. ¿Se conoce perfectamente el estado, la ubicación y el responsable
de cada equipo informático de la Municipalidad?
Si…… NO…… Parcialmente……
Pregunta No 2. ¿Cada que tiempo se realiza una auditoría relacionada con el
hardware y su funcionamiento?
Semestralmente… Anualmente…… Rara vez…… Nunca…
Pregunta No 3. ¿Cada que tiempo se realiza una auditoría relacionada con el
software y su funcionamiento?
Semestralmente… Anualmente…… Rara vez…… Nunca……
Pregunta No 4. ¿Cree usted que se hace un adecuado control del funcionamiento
de las tecnologías de información que apoyan el proceso operativo de la
Institución?
No se hace……. Si se hace……. Se hace parcialmente………….
Pregunta No 5. ¿Considera importante la realización de auditorías informáticas
para mejorar el control del funcionamiento de las tecnologías de información que
apoyan el proceso operativo de la Institución?
Muy importante…. Poco importante……. Nada importante……..
Pregunta No 6. ¿Está usted dispuesto a colaborar proveyendo información durante
la realización de estas auditorías?
Si…… No……. Parcialmente……..
Anexo 2: Encuesta realizada a los usuarios Municipales:
Encuesta realizada a los usuarios Municipales
Pregunta No 1. ¿Considera usted que el Municipio está fuertemente apoyado por
las tecnologías en su atención al usuario?
Si…. No…… Parcialmente……..
Pregunta No 2. ¿Durante sus visitas al Municipio, ha sufrido demoras en su
atención debido a daños en los equipos informáticos?
Nunca…. Rara vez…. A veces…. Frecuentemente…….
Pregunta No 3. ¿Cree usted que deben mejorase los equipos informáticos?
Si… No…… Parcialmente…….
Pregunta No 4. ¿Se han incorporado nuevos servicios apoyados por la tecnología?
Algunos……. Muy pocos…….. Ninguno……..
Pregunta No 5. ¿Cree usted que el personal está plenamente capacitado para el
manejo de los equipos informáticos?
Si… No…… Parcialmente…….
Pregunta No 6. ¿Cree usted que se debe mejorar toda la plataforma tecnológica
que dispone el Municipio para la atención a los usuarios?
Si… No…… Parcialmente…….
Anexo 5: SOFTWARE PARA AUDITORIA INFORMATICA
SOFTWARE DE SEGUIMIENTO DE PROGRAMAS
VULNERABILIDAD DEL SITIO WEB