Auditoria luisanny quintero

REPÚBLICA BOLIVARIANA DE VENEZUELA

INSTITUTO UNIVERSITARIO POLITÉCNICO

“SANTIAGO MARIÑO”

EXTENSIÓN PORLAMAR

APLICACIÓN DE AUDITORÍA COBIT AL DEPARTAMENTO DE SISTEMAS DE

LA EMPRESA SOFTMEDIA VE C.A.

Autores:

Br. Quintero, Luisanny C.I.: 24.905.763

Profa.: Ing. Alejandra Torres

Porlamar, Marzo 2016

2

ÍNDICE GENERAL

pp.

INTRODUCCIÓN............................................................................................... 2

CAPITULO

I. GENERALIDADES DE LA EMPRESA……….………………… 3

1.1. CARACTERIZACION DE LA EMPRESA…….………….. 3

1.1.1. Naturaleza de la Empresa……………………………….. 3

1.1.2. Ubicación Geográfica...…………………………………. 4

1.1.3. Visión…………………………………………………… 5

1.1.4. Misión…………………………………………………… 5

1.1.5. Objetivos Estratégicos…………………………………... 5

1.1.5.1. Análisis FODA……………………………………… 5

1.1.5.2. Metas Organizacionales…………………………….. 6

1.1.6. Estructura Organizativa…………………………………. 7

1.1.6.1. Descripción de los Procesos y Funciones…………… 7

1.2. Metodología COBIT………………………………………… 10

1.2.1. Modelo de Madurez…………………………………….... 12

1.2.2. Auditoria de TICS Aplicando COBIT…………………… 13

1.2.2.1. Área a Auditar………………………………………. 13

1.2.2.2. Proceso de recolección de la información…………... 14

1.2.2.3. Documentos de gestión en el área de informática…... 14

1.2.2.4. Plan de auditoria en el área de informática…………. 14

1.2.2.5. Herramientas y Técnicas……………………………. 15

1.2.2.6. Motivos o Necesidades de la Auditoria………..…… 15

1.2.2.7. Modelos de Madurez a Nivel Cualitativo (coso)……. 16

II. EJECUCIÓN DE LA AUDITORÍA……………………………… 20

2.1. Situación actual del área de sistemas……………………….. 20

2.1.1. Objetivos del departamento…………………………...... 21

2.1.2. Organigrama del departamento…………………………. 22

2.1.3. Seguridad del departamento…………………………….. 22

2.1.4. Características de la plataforma tecnológica……………. 23

2.1.5. Determinación de los problemas y planteamiento de

hipótesis…………………………………………………………………………. 27

2.1.5.1. Posibles problemas………………………………... 27

2.1.5.2. Formulación de hipótesis……………..…………... 27

2.2. Aplicación de la auditoria…………………..……………… 28

2.2.1. Modelo de madurez de los procesos………….………. 28

2.2.2. Reporte general de los grados de madurez…………….. 30

3

III. ANÁLISIS DE LOS RESULTADOS 33

3.1. Informe técnico……………………………………………... 33

3.2. Informe ejecutivo……………................................................. 37

IV. CONCLUSIONES Y RECOMENDACIONES 41

4.1. Conclusiones………………………………………………..... 41

4.2. Recomendaciones…………………..……………….............. 42

GLOSARIO…………………………………………………………………….. 43

REFERENCIAS......................…………………………………………………. 45

Bibliográficas..................………………………………………………….. 45

Electrónicas......................………………………………………………… 45

4

INTRODUCCIÓN

La información es un recurso clave para todas las empresas y desde el momento en que

la información se crea hasta que es destruida, la tecnología juega un papel importante. La

tecnología de la información está avanzando cada vez más y se ha generalizado en las

empresas, en entornos sociales, públicos, y de negocios.

Por lo tanto se conoce como auditoria informática el proceso de recoger, agrupar y

evaluar evidencias para determinar si un sistema de información salvaguarda el activo

empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la

organización y utiliza eficientemente los recursos, pues el progreso de la tecnología de la

computación y la informática, está mejorando día a día, esto a la vez está causando los

problemas de las oportunidades a cometer errores.

Por otra parte, la auditoria informática es una tarea que debe realizarse periódicamente,

porque permite recoger, agrupar y evaluar evidencias para determinar si los sistemas de

información y la tecnología utilizada, mantienen la integridad de los datos y promueven el

cumplimiento eficaz de los fines de la organización.

En el caso de la investigación realizada, se propone la aplicación de una auditoría

COBIT al Departamento de desarrollo de sistemas de la empresa Softmedia ve, c.a. con el

objeto de determinar amenazas y fortalezas en los procesos que ejecuta, a fin de determinar

los posibles factores que atenten contra el desarrollo regular y eficiente de las actividades.

5

CAPITULO I

GENERALIDADES DE LA EMPRESA

1.1. CARACTERIZACION DE LA EMPRESA

1.1.1. Naturaleza de la Empresa

SoftMedia VE, C.A., es una compañía que desarrolla las iniciativas de sus clientes

mediante servicios integrales de ingeniería y diseño informático. El equipo de profesionales

cuenta con amplia experiencia en desarrollo e implementación de software especializado.

Se encuentra en capacidad de ejecutar 50.000 horas/año de ingeniería informática con

posibilidades de expansión ágil y coordinada. Presta servicios acorde con el Estado del Arte

de la Tecnología Mundial adaptándolos a los recursos y necesidades particulares de sus

clientes.

1.1.2. Ubicación Geográfica

Sus instalaciones se encuentran ubicadas en el estado Nueva Esparta, Municipio Mariño,

Porlamar, Calle Cedeño, Centro empresarial Bolívar, Oficina A1.

Figura 1. Ubicación Sofmedia VE, C.A. Fuente: Google Maps. (2016).

https://www.google.co.ve/maps/@10.9601108,-63.8379027,15z

6

1.1.3. Visión

SoftMedia posee una planta de personal altamente especializado y con amplia

experiencia en cada una de las áreas.

Capacidad de Expansión

El conocimiento del desarrollo informático y tecnológico del país le permite a

SoftMedia ampliar de manera ágil y efectiva su planta de personal para asumir picos de

trabajos.

La experiencia y el conocimiento en el desarrollo de software especializado y tecnología

de punta, permite a SoftMedia entregar resultados con los más altos estándares de calidad.

Precios Competitivos

SoftMedia mantiene una estructura organizacional que optimiza los recursos técnicos -

administrativos y le permite ofrecer precios altamente competitivos.

Alianzas Estratégicas

El conocimiento del mercado mundial le facilita a SoftMedia la identificación, selección

y estructuración de alianzas para la solución de problemas tecnológicos específicos.

1.1.4. Misión

Softmedia provee infraestructura orientado al cumplimiento de objetivos estratégicos y

para ello selecciona las tecnologías de punta necesarias de acuerdo a cada situación.

Ya sea si su objetivo es incrementar su gestión, ampliar su presencia, mejorar la

eficiencia de sus procesos internos o expandir la misión de su institución, le ofrecemos

soluciones reales, efectivas y desarrolladas dentro del tiempo y los costos planeados.

Diseñamos y construimos soluciones completas de software. El diseño de la interfaz

usuario, el diseño estructural, el modelo de datos, el código fuente, la ayuda en línea y la

documentación de nuestras aplicaciones están pensadas para sostener una arquitectura de

información que sea relevante, confiable y contingente.

Nuestro conocimiento en las Tecnologías de la Información nos permite escribir código

eficiente y estable. Ya sea en Oracle,SQL, Delphi, Visual Basic, C++, ASP, PHP o HTML,

7

nuestro código es flexible, fácil de mantener y escalable, de manera que sus sistemas de

información puedan crecer al ritmo de sus necesidades.

1.1.5. Objetivos Estratégicos

1.1.5.1. Análisis FODA

Análisis Interno

Fortalezas

Profesionales calificados en su

área

Proyectos de software definidos

Debilidades

Ninguna metodología definida de

desarrollo de software

Falta de utilización de

estandarización de código

Mala administración de plazos de

entrega.

Análisis Externo

Oportunidades

Ubicación Céntrica y de fácil

acceso.

Buenos equipos de computo

Amenazas

Pérdida de recursos por mala

administración del tiempo

Código no sustentable ni sostenible

ni reutilizable.

Cuadro 1. Análisis FODA. Elaboración propia (2016).

1.1.5.2. Metas Organizacionales

Metas a Corto Plazo

Implementación del sistema de información institucional en su versión web para todas

las instituciones afiliadas a la empresa.

8

Metas a Largo Plazo

Ser el sistema líder para la administración y gestión de todos los procesos

institucionales en la mayoría de las instituciones a nivel nacional de Colombia.

1.1.6. Estructura Organizativa

En la siguiente figura es posible apreciar como está estructurada la organización:

Figura 2. Organigrama. Elaboración propia (2016).

1.1.6.1. Descripción de los Procesos y Funciones

Presidente

Es el fundador y dueño de la empresa, el encargado de gestionar los proyectos y los

presupuestos.

Presidente

Vicepresidente

Coordinador

Dpto. Recursos Humanos

Dpto. De Desarrollo

Dpto. de Soporte

9

Vicepresidente

Es el encargado de supervisar y gestionar todo el trabajo pertinente a las inversiones de los

recursos asignados por el presidente para los proyectos, y apoyar las actividades de

desarrollo de la empresa.

Coordinador

Es el profesional asignado para supervisar y liderar al departamento de desarrollo de

software.

Dpto. de recursos humanos

Es este departamento Trabajan profesionales dedicados a cumplir con los todas las

tareas pertinentes a la administración de los recursos y gestiones humanas.

Dpto. de desarrollo

En él se encuentran todos los profesionales asignados para el desarrollo de software,

contando con un personal humano entre ingenieros de sistemas e informáticos de 10

personas, entre presenciales y trabajadores a distancia.

Dpto. de soporte.

Este es el departamento encargado del soporte técnico de los sistemas.

1.2. Metodología COBIT

COBIT es un acrónimo para Control Objectives for Information and related

Technology (Objetivos de Control para tecnología de la información y relacionada);

desarrollada por la Information Systems Audit and Control Association (ISACA) y el IT

GovernanceInstitute (ITGI).

COBIT es una metodología aceptada mundialmente para el adecuado control de

proyectos de tecnología, los flujos de información y los riesgos que éstas implican. La

metodología COBIT se utiliza para planear, implementar, controlar y evaluar el gobierno

sobre TIC; incorporando objetivos de control, directivas de auditoría, medidas de

rendimiento y resultados, factores críticos de éxito y modelos de madurez.

10

Figura 3. Marco de Trabajo de Metodología COBIT. Fuente:

http://computationeinformaticx.blogspot.com/2014/11/metodologia-cobit.html.

Consultada el 20 de Marzo del 2017.

1.2.1. Modelo de Madurez

El enfoque de los Modelos de Madurez para el control sobre los procesos de TI

consiste en desarrollar un método de asignación de puntos para que una organización pueda

calificarse desde Inexistente hasta Optimizada (de 0 a 5).

http://computationeinformaticx.blogspot.com/2014/11/metodologia-cobit.html

11

Este planteamiento se basa en el Modelo de Madurez que el Software Engineering

Institute definió para la madurez de la capacidad de desarrollo de software. Cualquiera sea

el modelo, las escalas no deben estar demasiado simplificadas, lo que haría que el sistema

fuera difícil de usar y sugeriría una precisión que no es justificable.

Modelo Genérico de Madurez

0 Inexistente: Total falta de un proceso reconocible. La organización ni siquiera ha

reconocido que hay un problema que resolver.

1 Inicial: Hay evidencia de que la organización ha reconocido que los problemas

existen y que necesitan ser resueltos. Sin embargo, no hay procesos estandarizados pero en

cambio hay métodos ad hoc que tienden a ser aplicados en forma individual o caso por

caso. El método general de la administración es desorganizado.

2 Repetible: Los procesos se han desarrollado hasta el punto en que diferentes

personas siguen procedimientos similares emprendiendo la misma tarea. No hay

capacitación o comunicación formal de procedimientos estándar y la responsabilidad se

deja a la persona. Hay un alto grado de confianza en los conocimientos de las personas y

por lo tanto es probable que haya errores.

3 Definida: Los procedimientos han sido estandarizados y documentados, y

comunicados a través de capacitación. Sin embargo se ha dejado en manos de la persona el

seguimiento de estos procesos, y es improbable que se detecten desviaciones. Los

procedimientos mismos no son sofisticados sino que son la formalización de las prácticas

existentes.

4 Administrada: Es posible monitorear y medir el cumplimiento de los

procedimientos y emprender acción donde los procesos parecen no estar funcionando

12

efectivamente. Los procesos están bajo constante mejoramiento y proveen buena práctica.

Se usan la automatización y las herramientas en una forma limitada o fragmentada.

5 Optimizada. Los procesos han sido refinados hasta un nivel de la mejor práctica,

basados en los resultados de mejoramiento continuo y diseño de la madurez con otras

organizaciones. TI se usa en una forma integrada para automatizar el flujo de trabajo,

suministrando herramientas para mejorar la calidad y la efectividad, haciendo que la

empresa se adapte con rapidez.

Las escalas del Modelo de Madurez ayudarán a la gerencia de usuarios a explicar a los

administradores dónde existen deficiencias en la administración de TI y a fijarse objetivos

para donde necesitan estar comparando las prácticas de control de su organización con los

ejemplos de la mejor práctica. El nivel correcto de madurez estará influenciado por los

objetivos de negocio y el entorno operativo de la empresa. Específicamente, el nivel de

madurez de control dependerá de la dependencia de TI que tenga la empresa, de la

sofisticación de la tecnología y, lo que es más importante, del valor de su información.

1.2.2. Auditoria de TICS Aplicando Cobit

1.2.2.1. Área a Auditar

La auditoría se realizara en el departamento de desarrollo de software de la empresa, ya

que es donde se centran las actividades principales de la empresa y donde se utilizan las

tecnologías de información y equipos informáticos.

1.2.2.2. Proceso de recolección de la información

A través de observación directa y una guía de entrevista estructurada realizada al

coordinador del depto. de desarrollo y posterior al equipo de desarrollo, se pudieron

determinar las fallas presentadas en el departamento y poder obtener mayor cantidad de

evidencias.

13

1.2.2.3. Documentos de gestión en el área de informática

No existen manuales de procedimientos para el desarrollo y documentación de código

de los sistemas de información, como tampoco manuales de convivencia, o uso de los

equipos de cómputo.

1.2.2.4. Plan de auditoria en el área de informática

Para el plan de auditoria en el área de informática que han evaluado ciertos

procedimientos para el mejor alcance y precisión de la auditoria y la recolección de

evidencias.

N° ACTIVIDADES

1 Observación directa de los procesos de desarrollo del depto.

2 Entrevista con el coordinador y los desarrolladores de software

3 Análisis de los manuales que contiene el departamento

4 Revisión de las metodologías de desarrollo de sistemas

5 Evaluar la seguridad de la información y de los equipos tecnologías de la empresa

Cuadro 2. Actividades a efectuar. Elaboración propia (2016).

1.2.2.5. Herramientas y Técnicas

Herramientas Técnicas

Libreta para anotaciones

Lápices

Otros

Observación Directa

Entrevista No estructurada

Cuadro 3. Herramientas y Técnicas. Elaboración propia (2016).

14

1.2.2.6. Motivos o Necesidades de la Auditoria

Mala productividad en los procesos.

Desorganización en el desarrollo y plazos de tiempo de los proyectos.

Búsqueda de una mejor gestión en el desarrollo de sistemas.

Síntomas de fallas en integridad de la información.

1.2.2.7. Modelos de Madurez a Nivel Cualitativo (coso)

EL informe COSO, emitido por el Committee of Sponsoring Organization of Treadway

Commission (Comité de la Organización de Patrocinio de la comisión de Marcas) sobre

Control Interno, presenta la siguiente definición:

El control interno es un proceso, efectuado por el consejo de administración, la

dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un

grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las

siguientes categorías:

• Eficacia y eficiencia de las operaciones

• Fiabilidad de la información financiera

• Cumplimiento de las leyes y normas aplicables

COMPONENTES DEL CONTROL INTERNO

Los componentes del sistema de Control Interno pueden considerarse como un

conjunto de normas que son utilizados para evaluar el control interno y determinar su

efectividad; la estructura de control interno en el sector gubernamental tiene los siguientes

componentes:

a) Ambiente de control

b) Evaluación de riesgos

c) Actividades de control

d) Información y comunicación

e) Supervisión y seguimiento

15

CAPITULO II

EJECUCIÓN DE LA AUDITORÍA

2.1. Situación actual del área de sistemas

El departamento de desarrollo de sistemas se encuentra ubicado en un área independiente

la cual dispone de los puestos de trabajo de cada programador, con sus equipos de cómputo.

Figura 4. Ubicación Física del departamento de Informática. Elaboración propia (2016).

16

Cargos Funcionales y Operativos:

Nombres personas del

departamento

Cargos operativos Cargos funcionales

Lic. Nelson Bracho Coordinador Su función es coordinar las

actividades y el desarrollo

de los sistemas de la

empresa

T.s.u. Kevin Hernández Desarrollador de sistemas Encargado de desarrollo de

software de la empresa.

Ing. Alejandra Cruz Desarrollador de sistemas Encargado de desarrollo de


Ing. José Mata Desarrollador de sistemas Encargado de desarrollo de


Ing. Jose Hernandez Desarrollador de sistemas Encargado de desarrollo de


Lic. Francisco Rojas Desarrollador de sistemas Encargado de desarrollo de


Ing. Carlos Salazar Desarrollador de sistemas Encargado de desarrollo de


Lic. Rasec Casanova Desarrollador de sistemas Encargado de desarrollo de


Ing. Josue Vera Desarrollador de sistemas Encargado de desarrollo de


Ing. Marco Perez Desarrollador de sistemas Encargado de desarrollo de


Cuadro 4. Cargos y Funciones. Elaboración propia (2016)

17

2.1.1. Objetivos del departamento

Establecer una metodología de trabajo y desarrollo de software

Optimizar el rendimiento y productividad del departamento.

Estudiar las tecnologías necesarias para el desarrollo de los sistemas propuestas por

la gerencia de la empresa.

Analizar, y desarrollar los requerimientos para la programación de los módulos de

los sistemas propuestos.

Mantener la red de trabajo operativa (Comunicación y sistemas de información).

Realizar jornadas de adiestramiento, capacitación y nivelación a los actuales y

futuros usuarios de los recursos tecnológicos.

Establecer planes de mantenimiento en relación al hardware y software, hacer

levantamiento de información de las incidencias relacionadas a ellos, para luego

analizarlas y corregir fallas.

2.1.2. Organigrama del departamento

Figura 5. Organigrama del departamento de Informática. Elaboración propia (2016).

Coordinador general

Equipo de desarrollo

18

2.1.3. Seguridad del departamento

a. Seguridad física:

Contar con las instalaciones eléctricas adecuadas para resguardar la

integridad de los equipos.

b. Seguridad legal:

Aplicación de estándares y metodologías de calidad (IEEE, ISO, TIER, entre

otros) de manera tal que se garantice la ejecución de procesos blindados y

seguros.

Adquirir las licencias de los sistemas operativos (Microsoft) en uso, de igual

forma con antivirus u otro software; esto para no incurrir en faltas legales.

c. Seguridad de datos:

Ejecutar las tareas de respaldo según la planificación.

Establecer niveles de acceso acordes a la realidad tanto para los sistemas de

información como la los servidores, para impedir acceso y manipulación no

autorizada a la información.

d. Seguridad de personas:

Instituir políticas de seguridad física y mental para el personal.

Dotar al departamento con las herramientas de protección necesarias para

garantizar la seguridad de los empleados.

Instruir a los empleados de cómo actuar ante situaciones de desastre

(incendios, inundaciones, sismos, entre otros).

19

2.1.4. Características de la plataforma tecnológica

Nombre de

equipo

Características Software Funcionalidad

Coordinador Laptop Lenovo, 4gb de RAM, 1000Gb

de disco duro, tarjeta gráfica nvida

2gb, Procesador Intel i7

Sistema operativo

Windows 10.

Servidor local

Xamp.

Gestor de base de

datos.

Firebird y Mysql.

Editor de código

Sublime Text.

Equipo del

coordinador

Equipo1 Laptop Lenovo, 4gb de RAM, 500Gb

de disco duro, Procesador Intel i5.

Sistema operativo

Windows 10.

Servidor local

Xamp.

Gestor de base de

datos.

Firebird y Mysql.

Editor de código Sublime

Text.

Equipo de

desarrollador



Sistema operativo

Windows 10.

Servidor local

Xamp.

Gestor de base de

datos.

Firebird y Mysql.


Text.

Equipo de

desarrollador



Sistema operativo

Windows 10.

Servidor local

Xamp.

Equipo de

desarrollador

20

Gestor de base de

datos.

Firebird y Mysql.


Text.



Sistema operativo

Windows 10.

Servidor local

Xamp.

Gestor de base de

datos.

Firebird y Mysql.


Text.

Equipo de

desarrollador

Equipo 5 Laptop Lenovo, 4gb de RAM, 500Gb


Sistema operativo

Windows 10.

Servidor local

Xamp.

Gestor de base de

datos.

Firebird y Mysql.


Text.

Equipo de

desarrollador



Sistema operativo

Windows 10.

Servidor local

Xamp.

Gestor de base de

datos.

Firebird y Mysql.


Text.

Equipo de

desarrollador



Sistema operativo

Windows 10.

Servidor local

Equipo de

desarrollador

21

Xamp.

Gestor de base de

datos.

Firebird y Mysql.


Text.



Sistema operativo

Windows 10.

Servidor local

Xamp.

Gestor de base de

datos.

Firebird y Mysql.


Text.

Equipo de

desarrollador



Sistema operativo

Windows 10.

Servidor local

Xamp.

Gestor de base de

datos.

Firebird y Mysql.


Text.

Equipo de

desarrollador

Cuadro 4. Hardware PC. Elaboración propia (2016).

2.1.5.1. Posibles problemas

Falta de una metodología para el desarrollo de los sistemas

Falta de manuales de procedimientos para documentación de código y desarrollo del

mismo.

Falta de organización en la ejecución de los procesos.

Fallas de comunicación entre las diferentes dependencias administrativas.

22

No se lleva un registro de las actividades realizadas, lo que dificulta su control y

monitoreo.

2.1.5.2. Formulación de hipótesis

No se ha logrado establecer un enlace de comunicación fuerte dentro del

departamento, al no fluir correctamente la información el desarrollo de los procesos es

ineficiente. Así mismo, existen muchos procesos a la deriva, es decir, no se han

determinado responsabilidades y funciones; no se ha tomado importancia a temas referentes

a la seguridad de los datos ni a la metodología de trabajo, a la sustentabilidad y

mantenimiento del software desarrollado.

2.2. Aplicación de la auditoria

2.2.1. Modelo de madurez de los procesos

Nivel 0 Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5 Nivel 6

Definir un plan

estrategia de TI

X

Definir la

arquitectura de la

información

X

Definir la dirección

tecnológica

X

Definir los procesos,

organización y

relaciones de TI

X

Administrar la

inversión en TI

X

23

Comunicar las metas

y la dirección de la

gerencia

X

Administrar los

recursos humanos de

TI

X

Administrar la

calidad

X

Evaluar y administrar

los riesgos TI

X

Administrar los

proyectos

X

Identificar las

soluciones

automatizadas

X

Adquirir y mantener

software aplicativo

X

Adquirir y mantener

la infraestructura

tecnológica

X

Facilitar la operación

y el uso

X

Procurar recursos de

TI

X

Administrar los

cambios

X

Instalar y acreditar

soluciones y cambios

X

Definir y administra X

24

los niveles de servicio

Administrar los

servicios de terceros

X

Administrar el

desempeño y

capacidad

X

Asegurar el servicio

continuo

X

Garantizar la

seguridad de los

sistemas

X

Identificar y asignar

costos

X

Educar y entrenar a

los usuarios

X

Administrar la mesa

de servicio y los

incidentes

X

Administrar la

configuración

X

Administrar los

problemas

X

Administrar los datos X

Administrar el

ambiente físico

X

Administrar las

operaciones

X

Monitoreo y evaluar el

desempeño de TI

X

25

Monitorear y evaluar

el control interno

X

Garantizar el

cumplimiento

regulatorio

X

Proporcionar

gobierno de TI

X

Cuadro 5. Modelo de Madurez. Elaboración propia (2016)

Existen varias actividades que presentan fallas en los modelos de madurez, además que en

el departamento no cuenta con el personal completo y calificado para el desempeño de

todas las actividades de desarrollo y gestión de proyectos, a continuación se muestra una

tabla con los resultados:

Nivel 0 Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5 Nivel 6

Cantidad 1 5 4 6 7 7 2

Cuadro 6. Modelo de Madurez por tabla. Elaboración propia (2016)

En la escala de nivel de madurez de puede decir que el departamento cuenta con un

alto nivel 4 y nivel 5 de actividades.

2.2.2. Reporte general de los grados de madurez

Dominio Procesos Nivel de Madurez

Pla

nea

ción

y

Org

an

izaci

ón

Definir un plan estrategia de TI 3

Definir la arquitectura dela información 3

Definir la dirección tecnológica 1

Administrar la inversión en TI 4

Administrar los recursos humanos de TI 5

26

Administrar la calidad 6

Administrar los proyectos 4

Ad

qu

irir

e

imp

lem

enta

r Adquirir y mantener software aplicativo 6

Adquirir y mantener la infraestructura tecnológica 5

Administrar los cambios 2

En

treg

ar

y d

ar

sop

ort

e

Instalar y acreditar soluciones y cambios 1

Administrar los servicios de terceros 5

Administrar el desempeño y capacidad 5

Asegurar el servicio continuo 1

Garantizar la seguridad de los sistemas 4

Educar y entrenar a los usuarios 4

Administrar la mesa de servicio y los incidentes 5

Administrar la configuración 0

Administrar los problemas 2

Administrar los datos 3

Administrar las operaciones 1

Mon

itore

ar

y

evalu

ar

Monitoreo y evaluar el desempeño de TI 3

Garantizar el cumplimiento regulatorio 4

Proporcionar gobierno de TI 5

Cuadro 7. Reporte general de los grados de madurez. Elaboración propia (2016)

27

2.2.2.1 Análisis por dominio:

Planeación y organización

No se le están dando el uso correcto a las planificaciones y organizaciones

dentro del departamento, esto trae como consecuencia que la organización no

aproveche al máximo las TI.

Adquirir e implementar

A pesar que la organización cuenta con los recursos monetarios y la motivación

para optimizar los procesos tecnologías dentro de la empresa, el departamento

no cuenta con todo el personal capaz de manejar los distintos niveles de

tecnologías alojadas en la misma.

Entregar y dar soporte

Existe gran motivación en los usuarios por aprender acerca de los sistemas de

información utilizados en la organización, y el departamento cuenta con un

personal capacitado para brindar soluciones efectivas a los usuarios ante los

problemas que se puedan presentar.

Monitorear y evaluar

A pesar que existen manuales de monitoreo y evaluación, además, de llevar

algunos controles de accesos a las áreas de informática de la empresa, no se

cumple con cabalidad todas las medidas de seguridad sugeridas para mantener

en orden las actividades rutinarias del departamento.

28

CAPÍTULO III

ANÁLISIS DE LOS RESULTADOS

3.1. Informe técnico

Alcance

Mediante esta auditoría se pretende evaluar el estado actual del Departamento de

desarrollo de Sistemas de la empresa “Softmedia ve, C.A.”, conclusiones y

recomendaciones para cada uno de los procesos evaluados en cada dominio según la

metodología COBIT 5.

Objetivo General

Realizar la auditoría de las tecnologías de la información en el departamento de

desarrollo de Sistemas de la empresa “Softmedia ve, C.A.”, utilizando como modelo de

referencia la metodología COBIT 5.

Objetivos Específicos

Identificar posibles problemas técnicos en las TI y dar soluciones viables.

Definir controles que permitan disminuir la pérdida de recursos y tiempos de

desarrollo en el departamento de desarrollo de sistemas.

A continuación se detalla los resultados de las evaluaciones en cada uno de los

dominios, basándonos en los niveles de madurez los cuales van desde el rango 0 hasta

el rango máximo 6.

29

Dominio de Planear y Organizar

El departamento no cuenta con manuales y planificaciones bien estructuradas, en

cuento a los mantenimientos de los equipos, respaldos de la información y revisión la

calidad e integridad de la información de los sistemas

A pesar que no se posee este tipo de planificación, se puede decir que el departamento

cuenta con la motivación y los conocimientos necesarios para realizar el mismo.

Recomendaciones COBIT:

Crear un plan general estratégico de procesos de cómo se deben efectuar las

actividades a nivel general.

Aumentar el rango de los planes estratégicos incluyendo revisiones de

inventario de equipos tecnológicos, aumento de la revisión de la seguridad de la

información y creación de los manuales para la realización del desarrollo de los

sistemas.

Dominio de Adquirir e implementar

El departamento cuenta con el apoyo de la gerencia general en cuanto a la adquisición

de nuevas tecnológicas y el refuerzo de las TI dentro de la organización, esto cuenta con un

punto favorable ya que se enmarca el interés por parte de la directiva del mejoramiento de

las tecnologías.

Por otro lado, el departamento no cuenta con una normativa de requerimiento de

equipos, además, de un manual de implementación de los sistemas de información, esto

dificultando el mejoramiento del mismo.

El personal del departamento no cuenta con la capacitación necesaria para mejorar e

implementar nuevas herramientas tecnológicas dentro de los sistemas de información, ni

una coordinación adecuada para la realización y cumplimiento de las actividades.

30


Crear normativas de requerimientos basado en las tecnologías actuales dentro

de la organización.

Fomentar la capacitación del personal para así garantizar el mejoramiento de

las herramientas utilizadas para el desarollo de los sistemas de información.

Dominio Estratega y dar soporte

El departamento cuenta con el personal para el soporte a los usuarios que utilizan las

tecnologías así como los sistemas de información, además, cuenta con la motivación de

aprender día a día a utilizarlos y mejorarlos creando reglas y normas útil para el

mantenimiento de las mismas.


Crear y diseñar una metodología de trabajo para la productividad y el desarrollo

de software.

Dominio Monitoreo y Evaluación

El departamento cuenta con actividades y procesos de monitoreo continuo en los

sistemas de información, además de controles de seguridad para mantener la integridad de

la data en los sistema de base de datos.

Cuenta con scripts de actividades para el seguimiento de este monitoreo y un libro de

bitácoras para la revisión por parte de la auditoria de las actividades realizadas en los

servidores.

Por otro lado, no llevan un historial de acceso al área de servidores así como un control

de visitas por parte de entes externos para revisiones o mantenimientos.


Diseñar un plan de seguimiento para el control de accesos a las distintas aéreas

dentro del departamento de informática.

31

Mejorar con manuales las actividades de monitoreo de los sistemas de

información así como de las tecnologías utilizadas dentro de la organización.

3.2. Informe ejecutivo

En este informe de detalla los resultados de la evaluación en cada uno de los dominios

y las recomendaciones que ofrece la metodología COBIT 5 evaluando el departamento de

desarrollo de sistemas de la empresa Softmedia ve, c.a.

La efectividad consiste en que la información relevante sea entregada de forma,

correcta, consistente y utilizable, este criterio tiene un porcentaje de 60%.

40% 60%

Efectividad

Efectividad

Deficit

70% 30%

Eficiencia

Efectividad

Deficit

32

La eficiencia consiste en que la información debe ser generada optimizando los

recursos, este criterio tiene un promedio de 70%.

La confidencialidad consiste en que la información vital sea protegida contra la

revelación no autorizada, este criterio tiene un porcentaje de 45%.

La integridad consiste en que la información debe se precisa, completa y valida, este

criterio tiene un promedio de 82%.

45% 55%

Cofidencialidad

Efectividad

Deficit

82% 18%

Integridad

Efectividad

Deficit

33

La disponibilidad consiste en que la información esté disponible cuando esta sea

requería por parte de las aéreas de la organización en cualquier momento, este criterio tiene

un porcentaje de 85%.

El cumplimiento consiste en que se debe respetar las leyes, reglamentos y acuerdos

contractuales a los que está sujeta el proceso de la organización con políticas interna, este

criterio tiene un porcentaje de 60%.

85%

15%

Disponibilidad

Efectividad

Deficit

60% 40%

Cumplimiento

Efectividad

Deficit

34

La confiabilidad consiste en que se debe respetar y proporcionar la información

apropiada, con el fin de que la gerencia general administre la entidad, este criterio tiene un

porcentaje del 80%.

80%

20%

Confiablidad

Efectividad

Deficit

35

CAPITULO IV

CONCLUSIONES Y RECOMENDACIONES

4.1. CONCLUSIONES

Durante la ejecución de la auditoria aplicando la metodología COBIT 5, se determinó

la problemática que presentaba el departamento de desarrollo de la empresa Softmedia ve,

c.a, Lo que conllevo a proponer soluciones para el mejoramiento de las actividades que

realiza la empresa mediante sus sistemas de información y metodología de desarrollo.

Con la propuesta, se busca mejorar las condiciones y el rendimiento de la información

de los sistemas del departamento, estos con la finalidad de obtener una mejor confiabilidad,

disponibilidad, fiabilidad y resguardo de la información que es necesaria para la empresa,

para obtener un mejor rendimiento productividad creando procesos que agilicen y

supervisen las actividades de desarrollo de la empresa.

4.2. RECOMENDACIONES

La aplicación de la auditoría interna se efectúo con el fin de obtener un mejor

rendimiento del departamento de desarrollo.

Para alcanzar los objetivos establecidos, por tal motivo, se recomienda:

Llevar a cabo las sugerencias planteadas en la auditoría COBIT, en la fase de

resultados.

Aplicar tareas de auditoría cada 9 meses.

Cumplir con los planes de mantenimiento.

Renovar la plataforma tecnológica a medida que se necesite.

Llevar registros de las actividades realizadas

Mantener informadas a las diferentes gerencias de las actividades a realizar.

Creación de manuales de procedimientos y supervisar su cumplimiento

36

GLOSARIO

Administración: es el proceso de estructurar y utilizar conjuntos de recursos orientados

hacia el logro de metas, para llevar a cabo las tareas en un entorno organizacional. (Hitt,

2006).

Auditoría: evaluación donde se miden los niveles de desempeño y se verifica que los

procedimientos ejecutados son correctos y que cumplen con las normativas o políticas

existentes, permite dar a conocer el estatus actual de la empresa en cuanto a sus

operaciones. (Definición operacional).

Control: es una función administrativa: es la fase del proceso administrativo que mide y

evalúa el desempeño y toma la acción correctiva cuando se necesita. (Chiavenato, 2007).

Dirección: Proceso para dirigir e influir en las actividades de los miembros de un grupo o

una organización entera, con respecto a una tarea. (Stoner y Freeman, 1997).

Eficacia: capacidad para lograr el efecto que se desea o se espera tras la realización de una

acción. (Fernández y Otros, 1997).

Eficiencia: capacidad de reducir al mínimo los recursos usados para alcanzar los objetivos

de la organización. (Chiavenato, 2007).

Empresa: organización destinada a la producción o comercialización de bienes o servicios.

(Chiavenato, 2007).

Estrategia: En un proceso regulable, conjunto de las reglas que aseguran una decisión

óptima en cada momento. (Diccionario de la Real Academia Española, 2001).

Flujo de información: Desplazamiento de información dentro de una organización o entre

la organización y su entorno. (Definición operacional).

Gerencia: son los gerentes responsables de la administración general de la organización;

establecen políticas operativas y guían la interactuación de la organización y su entorno.

(Chiavenato, 2007).

Metas: fin de aprender alcanzar la organización; con una frecuencia, las organizaciones

tienen más de una meta; las metas son elementos fundamentales de las organizaciones.

(Stoner y Freeman, 1997).

37

Objetivos: son los resultados y fines esperados por personas o instituciones. (Definición

Operacional).

Organigrama: es un diagrama que ilustra las líneas de reporte entre unidades y personas

dentro de la organización, usando el término unidades para referirnos a equipos, grupos,

departamentos o divisiones. (Hellriegel, 2006).

Organización: es el proceso de gestión que combina los recursos materiales y humanos

con objetos de estableces una estructura formal de tareas y actividades. (Chiavenato, 2007).

Optimización: Buscar la mejor manera de realizar una actividad. (Diccionario de la Real

Academia Española, 2001).

Planeación: trazar un plan. (Diccionario de la Real Academia Española, 2001).

Planificador: que Hacer plan o proyecto de una acción. (Diccionario de la Real Academia

Española, 2001).

Proceso: Conjunto de las fases sucesivas de un fenómeno natural o de una operación

artificial. (Diccionario de la Real Academia Española, 2001).

38

REFERENCIAS

Referencias Bibliográficas

ISACA (2012). Cobit 5, USA: Editorial Isaca.

Referencias Electrónicas

Diccionario de la Real Academia Española (2001). Comercialización [online]. Disponible

en: http://lema.rae.es/drae/?val=comercializaci%C3%B3n [Consulta: 2017, Marzo 20].

Diccionario de la Real Academia Española (2001). Estrategia [online]. Disponible en:

http://lema.rae.es/drae/?val=estrategia [Consulta: 2017, Marzo 20].

Diccionario de la Real Academia Española (2001). Optimización [online]. Disponible en:

http://lema.rae.es/drae/?val=optimizacion [Consulta: 2017, Marzo 20].

Diccionario de la Real Academia Española (2001). Planeación [online]. Disponible en:

http://lema.rae.es/drae/?val=planeacion [Consulta: 2017, Marzo 20].

Diccionario de la Real Academia Española (2001). Planificador [online]. Disponible en:

http://lema.rae.es/drae/?val=planificador [Consulta: 2017, Marzo 20].

Diccionario de la Real Academia Española (2001). Proceso [online]. Disponible en:

http://lema.rae.es/drae/?val=proceso[Consulta: 2017, Marzo 20].

Diccionario de la Real Academia Española (2001). Producto [online]. Disponible en:

http://lema.rae.es/drae/?val=producto [Consulta: 2017, Marzo 20].

Diccionario de la Real Academia Española (2001). Servicio [online]. Disponible en:

http://lema.rae.es/drae/?val=servicio [Consulta: 2017, Marzo 20].

Fuzi , C. (2013).APLICACIÓN DE AUDITORÍA COBIT AL DEPARTAMENTO DE

INFORMÁTICA DE LA EMPRESA EKIPA, C.A. [online]. Disponible

enhttps://es.slideshare.net/mitcheljrn/trabajo-final-auditora [Consulta: 2017, Marzo 20].

Auditoria luisanny quintero

Engineering

Transcript of Auditoria luisanny quintero