Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

Auditoria de Los Recursos Informáticos para Mejorar Los

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 136

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES

“UNIANDES”

FACULTAD DE SISTEMAS MERCANTILES


CARRERA DE SISTEMAS

PROYECTO DE INVESTIGACIÓN PREVIO A LA OBTENCIÓN DEL TÍTULO


DE INGENIERA EN SISTEMAS E INFORMÁTICA

TEMA:
AUDITORIA DE LOS RECURSOS INFORMÁTICOS PARA MEJORAR LOS
MECANISMOS DE CONTROL DEL ÁREA DE SISTEMAS DE LA
COOPERATIVA “REY DAVID”

AUTORA: MONAR BALSECA MARÍA LUISA


TUTORA: ING. PICO PICO MARÍA ANGÉLICA MG.

AMBATO – ECUADOR

2019
APROBACIÓN DE LA TUTORA DEL TRABAJO DE TITULACIÓN

CERTIFICACIÓN:

Quién suscribe, legalmente CERTIFICA QUE: El presente Trabajo de Titulación


realizado por la señorita Monar Balseca María Luisa, Estudiante de la Carrera de
Sistemas, Facultad de Sistemas Mercantiles, con el tema “AUDITORIA DE LOS
RECURSOS INFORMÁTICOS PARA MEJORAR LOS MECANISMOS DE
CONTROL DEL ÁREA DE SISTEMAS DE LA COOPERATIVA “REY
DAVID”, ha sido prolijamente revisado, y cumple con todos los requisitos establecidos
en la normativa pertinente de la Universidad Regional Autónoma de los Andes
“UNIANDES”, por lo que apruebo su presentación.

Ambato, Julio del 2019

Ing. María Angélica Pico Pico Mg.


TUTORA
DECLARACIÓN DE AUTENTICIDAD

Yo, María Luisa Monar Balseca, estudiante de la Carrera de Sistemas, Facultad de


Sistemas Mercantiles, declaro que todos los resultados obtenidos en el presente trabajo
de investigación, previo a la obtención del título de INGENIERA EN SISTEMAS E
INFORMATICA, son absolutamente originales, auténticos y personales; a excepción
de las citas, por lo que son de mi exclusiva responsabilidad.

Ambato, Julio del 2019

Monar Balseca María Luisa


C.I. 1804591103
AUTORA
DERECHOS DE AUTORA

Yo, María Luisa Monar Balseca, declaro que conozco y acepto la disposición
constante en el literal d) del Art. 85 del Estatuto de la Universidad Regional Autónoma
de Los Andes, que en su parte pertinente textualmente dice: El Patrimonio de la
UNIANDES, está constituido por: La propiedad intelectual sobre las Investigaciones,
trabajos científicos o técnicos, proyectos profesionales y consultaría que se realicen en
la Universidad o por cuenta de ella;

Ambato, Julio del 2019

Monar Balseca María Luisa


C.I. 1804591103
AUTORA
DEDICATORIA

El presente trabajo investigativo lo dedico


principalmente a Dios, por ser el inspirador y
darme fuerza para continuar en este proceso de
obtener uno de los sueños más anhelados.

A mi Mamá Isabel por su amor, trabajo y sacrificio


en todos estos años, Mamá gracias por darme una
carrera para mi futuro, todo esto te lo debo a ti.
¡Te amo mamita!

A mis hijos Isabela y Liam, quienes son mi motor y


mi mayor inspiración.

A Vanessa quien siempre me motivó a seguir


adelante y a quien prometí que terminaría mis
estudios. ¡Promesa cumplida!

A mi Mami Carmen, mis tías, primas y demás


familiares, por quererme, apoyarme y siempre
creer en mí esto también se los debo a ustedes.

María Monar
AGRADECIMIENTO

A Dios por concederme la vida y guiarme y así


poder cumplir mi sueño.

A mi madre Isabel quien siempre me apoyo


incondicionalmente.

A mí querida Tutora Ingeniera María Pico, quien


me supo guiar desinteresadamente,
compartiéndome sus conocimientos, siendo más
que una docente una amiga que me brindo sabios
consejos.

A mis queridos Ingenieros de la Universidad


Regional Autónoma de los Andes, quienes día a día
me impartieron sus conocimientos a lo largo de la
carrera.

A todas las personas que me han apoyado y han


hecho que el trabajo se realice con éxito en
especial a aquellos que me abrieron las puertas y
me compartieron sus conocimientos.

María Monar
ÍNDICE GENERAL

APROBACIÓN DE LA TUTORA DEL TRABAJO DE TITULACIÓN


DECLARACION DE AUTENTICIDAD
DERECHOS DE AUTORA
DEDICATORIA
AGRADECIMIENTO
RESUMEN
ABSTRACT
INTRODUCCION ............................................................................................................ 1
Actualidad e Importancia .................................................................................................. 1
Problema de la Investigación ............................................................................................ 3
Situación Problémica ........................................................................................................ 3
Identificación de la línea de Investigación………………………………………………4
Formulación del problema ................................................................................................ 4
Objetivos de la Investigación ............................................................................................ 4
Objetivo General ............................................................................................................... 4
Objetivo Específicos ......................................................................................................... 4
Capítulo I. Fundamentación Teórica ................................................................................ 5
1.1. Antecedentes de la Investigación ........................................................................... 5
1.2. Actualidad del objetivo de estudio de la investigación.......................................... 6
1.2.1. Auditoria Informática ................................................................................. 6
1.2.1.1. Definición ................................................................................................ 6
1.2.1.2. Tipos ........................................................................................................ 7
1.2.1.3. Clasificación ............................................................................................ 7
1.2.1.3.1. Auditoría externa ................................................................................. 7
1.2.1.3.2. Auditoría interna .................................................................................. 8
1.2.1.4. Objetivos ................................................................................................. 8
1.2.1.5. Exploración ........................................................................................... 10
1.2.1.6. Planeamiento ......................................................................................... 10
1.2.1.7. Supervisión ............................................................................................ 11
1.2.1.8. Ejecución ............................................................................................... 11
1.2.1.9. Informe .................................................................................................. 11
1.2.2. Estándares ................................................................................................. 12
1.2.2.1. ISACA ................................................................................................... 12
1.2.2.2. ITIL ....................................................................................................... 13
1.2.2.3. ISO ........................................................................................................ 14
1.2.2.4. COBIT ................................................................................................... 14
1.2.2.4.1. Beneficios Cobit ................................................................................ 15
1.2.2.4.2. Características.................................................................................... 15
1.2.2.4.3. Principios ........................................................................................... 15
1.2.3. Áreas para auditar en informática ............................................................. 16
1.2.3.1. Tipos ...................................................................................................... 16
1.2.3.2. Herramientas ......................................................................................... 17
1.2.4. Síntomas de necesidad de una Auditoría Informática .............................. 18
1.2.4.1. Síntomas de descoordinación y desorganización .................................. 18
1.2.4.2. Síntomas de mala imagen e insatisfacción de los usuarios ................... 18
1.2.4.3. Síntomas de debilidades económico-financieras .................................. 18
1.2.4.4. Síntomas de Inseguridad ....................................................................... 19
1.2.5. Auditoria Informática de Sistemas ........................................................... 19
1.2.5.1. Sistema Operativo ................................................................................. 19
1.2.5.2. Software Básico .................................................................................... 20
1.2.6. Gestión ...................................................................................................... 20
1.2.6.2. Definición .............................................................................................. 20
1.2.6.3. Mecanismos de Control......................................................................... 21
1.2.6.4. Revisión de Controles de la Gestión Informática ................................. 21
1.2.7. Cooperativas ............................................................................................. 22
1.2.7.1. Definición .............................................................................................. 22
1.2.7.2. Características ....................................................................................... 22
1.2.7.3. Tipos de Cooperativas ........................................................................... 23
1.2.8. Actualidad del sector donde desarrolla el proyecto .................................. 23
2.1. Paradigma y tipo de investigación ........................................................................... 24
2.1.1. Paradigma de investigación............................................................................... 24
2.1.2. Tipos de investigación....................................................................................... 24
2.2. Procedimiento para la búsqueda y procesamiento de los datos ............................... 25
2.2.1. Población y muestra .......................................................................................... 25
2.2.2. Plan de recolección de la información ............................................................. 26
2.2.2.1. Métodos de la investigación ...................................................................... 26
2.2.2.2. Técnicas e instrumentos de la investigación .............................................. 26
2.2.2.3. Plan de procesamiento y análisis de la información .................................. 27
2.3. Resultados de Diagnóstico de la situación Actual ................................................... 28
2.3.1. Análisis e interpretación de los resultados ........................................................ 28
2.3.2 Resumen de las principales insuficiencias detectadas ........................................... 37
3.1. Nombre de la propuesta ....................................................................................... 39
3.2. Objetivos .............................................................................................................. 39
3.2.1. Objetivo General .......................................................................................... 39
3.2.2. Objetivos Específicos ................................................................................... 39
3.3. Desarrollo de la Propuesta ................................................................................... 39
3.3.1. Descripción de la propuesta.......................................................................... 39
3.3.2. Alcance de la Auditoria ................................................................................ 41
3.3.3. Estudio inicial en el cual se realiza la auditoría ........................................... 42
3.3.3.1. Estructura organizacional ..................................................................... 42
3.3.3.2. Número de puestos de trabajo ............................................................... 43
3.3.3.3. Seguridad de los departamentos de la Cooperativa............................... 43
3.3.4. Establecer los recursos necesarios para la auditoría ................................. 44
3.3.4.1. Resultados de la encuesta ...................................................................... 44
3.3.4.2. Resultados de la entrevista .................................................................... 52
3.3.4.3. Resultados de la Observación ............................................................... 53
3.4. Elaboración del plan de Auditoria ....................................................................... 59
3.4.1. Análisis de procesos realizados en la Cooperativa “Rey David” ................. 59
3.4.2. Diagramas de procesos de la Cooperativa “Rey David” ................................... 60
3.4.3. Elaboración del FODA y de la Cooperativa “Rey David” ............................... 64
3.4.4. Elaboración del plan de trabajo para la auditoría ......................................... 65
3.4.5. Selección de los procesos COBIT a auditar con relación a la Cooperativa
“Rey David” ................................................................................................................ 65
3.4.6. Formulario de Entidad .................................................................................. 66
3.4.7. Modelo de Madurez .............................................................................................. 68
3.4.8. Evaluación de riesgos de la tecnología de la información ................................ 69
3.4.8.1. Selección de los involucrados .................................................................... 69
3.4.8.2. Selección de los procesos COBIT prioritarios y de riesgo para la
Cooperativa Rey David ........................................................................................... 70
3.4.8.3. Resultados de encuestas de selección de procesos COBIT a auditar ........ 71
3.4.9. Resultado final del impacto sobre los criterios de la información COBIT ....... 84
3.4.10 Presentación grafica del impacto de los Criterios de Información .............. 86
3.4.11. Informe Técnico ......................................................................................... 88
Conclusiones
Recomendaciones
Bibliografía
Anexos
ÍNDICE DE TABLAS

Tabla 1 Tipos de Auditoria ............................................................................................... 7


Tabla 2 Población ........................................................................................................... 25
Tabla 3: Pregunta 1 ......................................................................................................... 29
Tabla 4: Pregunta 2 ......................................................................................................... 30
Tabla 5: Pregunta 3 ......................................................................................................... 31
Tabla 6: Pregunta 4 ......................................................................................................... 32
Tabla 7: Pregunta 5 ......................................................................................................... 33
Tabla 8: Pregunta 6 ......................................................................................................... 34
Tabla 9: Pregunta 7 ......................................................................................................... 35
Tabla 10: Análisis e interpretación de la Entrevista ....................................................... 36
Tabla 11: Puestos de Trabajo .......................................................................................... 43
Tabla 12: Pregunta 1 ....................................................................................................... 45
Tabla 13: Pregunta 2 ....................................................................................................... 46
Tabla 14: Pregunta 3 ....................................................................................................... 47
Tabla 15: Pregunta 4 ....................................................................................................... 48
Tabla 16: Pregunta 5 ....................................................................................................... 49
Tabla 17: Pregunta 6 ....................................................................................................... 50
Tabla 18: Pregunta 7 ....................................................................................................... 51
Tabla 19: Resultados de la Entrevista al Gerente de la Cooperativa “Rey David” ........ 52
Tabla 20: Resultados de la observación en la Cooperativa “Rey David” ....................... 53
Tabla 21: Posibilidad procesos ....................................................................................... 59
Tabla 22: Análisis de procesos ....................................................................................... 60
Tabla 23: Análisis interno ............................................................................................... 64
Tabla 24: Análisis externo .............................................................................................. 64
Tabla 25: Nivel de madurez ............................................................................................ 68
Tabla 26: Dominio: Evaluar, Dirigir y Monitorear......................................................... 71
Tabla 27: Dominio: Alinear, Planear y Organizar .......................................................... 72
Tabla 28: Dominio: Monitorear, Evaluar y Valorar ....................................................... 73
Tabla 29: Dominio: Construir, Adquirir e Implementar ................................................. 73
Tabla 30: Dominio: Entregar, Servir y Dar Soporte ....................................................... 74
Tabla 31: Resumen de los procesos COBIT seleccionados a Auditar ............................ 75
Tabla 32: Porcentaje de los criterios ............................................................................... 78
Tabla 33: Porcentajes de los procesos de impacto .......................................................... 78
Tabla 34: Tabla de reporte nivel de madurez ................................................................. 83
Tabla 35: Resultado final del impacto sobre los criterios de la información COBIT .... 85
Tabla 36: Reporte de nivel de madurez .......................................................................... 89
ÍNDICE DE ILUSTRACIONES

Ilustración 1Plan de procesamiento y análisis de la información ................................... 28


Ilustración 2: Pregunta 1 ................................................................................................. 29
Ilustración 3: Pregunta 2 ................................................................................................. 30
Ilustración 4: Pregunta 3 ................................................................................................. 31
Ilustración 5: Pregunta 4 ................................................................................................. 32
Ilustración 6: Pregunta 5 ................................................................................................. 33
Ilustración 7: Pregunta 6 ................................................................................................. 34
Ilustración 8: Pregunta 7 ................................................................................................. 35
Ilustración 9: Estructura organizacional ......................................................................... 42
Ilustración 10: Pregunta 1 ............................................................................................... 45
Ilustración 11: Pregunta 2 ............................................................................................... 46
Ilustración 12: Pregunta 3 ............................................................................................... 47
Ilustración 13: Pregunta 4 ............................................................................................... 48
Ilustración 14: Pregunta 5 ............................................................................................... 49
Ilustración 15: Pregunta 6 ............................................................................................... 50
Ilustración 16: Pregunta 7 ............................................................................................... 51
Ilustración 17: Depósitos ................................................................................................ 61
Ilustración 18: Retiros ..................................................................................................... 61
Ilustración 19: Créditos ................................................................................................... 62
Ilustración 20: Pagos ....................................................................................................... 62
Ilustración 21: Registro de asistencia ............................................................................. 63
Ilustración 22: Ciclo contable ......................................................................................... 63
Ilustración 23: Formulario de entidad que se usa en la Cooperativa “Rey David" ........ 67
Ilustración 24: Presentación grafica del impacto de los Criterios de Información ......... 88
RESUMEN

El presente trabajo de investigación, aborda de forma directa los diferentes problemas


encontrados con relación al manejo de los recursos informáticos dentro de la
cooperativa de ahorro y crédito “Rey David”, debido a la poca frecuencia en la
realización de auditorías tanto internas como externas, que permitan un adecuado
control de los diferentes procesos donde está involucrada la tecnología en la
cooperativa. No se puede olvidar que uno de los factores de éxito de las empresas, es la
realización de un examen crítico de los recursos informáticos, pues los mismos generan
una gran cantidad de información la cual es considerada uno de los activos más
preciados de toda empresa. Es por ello que mediante la utilización de un enfoque de
investigación mixto, a través de la aplicación de encuestas y entrevistas a los empleados
y el gerente de la cooperativa, se obtienen datos importantes acerca del estado actual de
la problemática, para posterior a ello proponer una solución dirigida a disminuir la
misma, mediante la realización de una auditoria informática externa con la utilización
del estándar COBIT 5.0, mediante la misma se puedo valorar la eficiencia, efectividad,
integridad, cumplimento y confiabilidad de la información y los procesos informáticos,
logrando una mejora notable en el control de los recursos informáticos, para posterior a
ello generar una propuesta de mejora mediante el planteamiento de un plan de
contingencia, que permita minimizar los posibles riesgos relacionados con el manejo de
los recursos informáticos de la cooperativa de ahorro y crédito “Rey David”.
ABSTRACT

This investigative research project directly approaches the different issues found
relating to the management of IT (Information Technology) resources within “Rey
David” Association of savings and credits, due to the absence of internal and external
audits which would allow an adequate control of different processes pertaining to the
field of technology in the association. One cannot forget that one of the key success
factors in business is the development of a critical exam of the systems resources since
these generate a great quantity of information which is considered one the most valuable
assets in every company. Due to this, through a mixed focus investigation, through the
conduction of surveys and interviews to the employees and manager of the association,
important data is obtained about the actual state of the company and hence to propose a
solution to any issues found. By applying an external IT audit using the framework
COBIT 5 the efficiency, effectiveness, integrity, fulfillment, and trustworthiness of the
information and the systems processes can be observed so that afterwards an
improvement proposal can be generated as a contingency plan which will minimize the
risks involved in the management of IT resources.
INTRODUCCIÓN

Actualidad e Importancia

El presente proyecto de investigación responde a los objetivos 1, 2 y 5 del Plan Toda


una Vida 2017 – 2021, puesto que los mismos tienen directa relación con la educación
de calidad y la utilización de Tecnologías de la Información y Comunicación con la
finalidad de contribuir con el desarrollo del país. El objetivo 1 del PNBV 2017 – 2021
menciona en una de las partes de su fundamento que para que exista una calidad
educativa se debe “pensar en el aprendizaje en sentido amplio y crítico, no en la simple
transmisión de conocimientos, sino en el desarrollo de capacidades para preguntar y
generar conocimiento, en el impulso a destrezas y talentos, en la realización de las
personas y su felicidad.” ( Secretaría Nacional de Planificación y Desarrollo, 2017).

Así también en una parte del fundamento del objetivo 2 del PNBV 2017-2021
manifiesta “En una sociedad del conocimiento, el lenguaje tiene relación con las
nuevas tecnologías de la información y la comunicación (lenguajes audiovisuales,
informáticos, entre otros); es decir, el conocimiento articulado a la vida y el
multilingüismo como factor para el desarrollo de capacidades prácticas para actuar en el
mundo.”, y una de las metas del objetivo 5 del PNVB 2017 – 2021 es “Incrementar de
4,6 a 5,6 el Índice de Desarrollo de Tecnologías de la Información y Comunicación a
2021.” ( Secretaría Nacional de Planificación y Desarrollo, 2017).

Considerando todo lo antes mencionado, se puede decir que mediante la elaboración del
presente trabajo de investigación, se contribuye con el cumplimiento tanto de metas
como objetivos del PNBV 2017-2021, ya que aplicando lo aprendido durante el
transcurso de la vida universitaria haciendo uso de destrezas y habilidades
investigativas, no solo se incurre en el ámbito universitario, sino también es una ante
sala para relacionarse con el campo laboral y a la vez se automatiza procesos para un
adecuado manejo de la información.

Se puede mencionar también que el presente proyecto de investigación tiene directa


relación con el objetivo de la matriz productiva de impulsar la investigación científica y
tecnológica en los sectores productivos, en la Zona 3, Asimismo se relaciona con la

1
Agenda Local del Gobierno Provincial de la Prefectura de Tungurahua ya que en uno de
sus objetivos sectoriales manifiesta que hay que potenciar al Cantón Ambato como polo
de desarrollo industrial y agroindustrial, bajo los criterios de competitividad, desarrollo
de tecnología de punta, cultura societaria y bursátil, mano de obra tecnificada y
vinculación con los centros de investigación de las universidades del cantón y del país

De acuerdo con el plan Nacional del Buen vivir


Se espera un incremento importante de la oferta en educación superior y un
mayor acceso a la misma; la intención, es vincular de manera clara la oferta de
carreras de tercer y cuarto nivel con la demanda laboral, tanto aquella presente
como la que se proyecta a futuro. El sistema educativo será de calidad, algo que
se verá reflejado en los resultados de evaluaciones nacionales e internacionales
para estudiantes y maestros. ( Secretaría Nacional de Planificación y Desarrollo,
2017)

Siguiendo este lineamiento el presente proyecto busca mejorar el apartado tecnológico


del área administrativa de la carrera de Sistemas en la Universidad Regional Autónoma
de los Andes que se dedica a la educación de tercer y cuarto nivel en una de las etapas
más importantes de la formación de los estudiantes, las prácticas pre profesionales que
son la forma en la que los mismos tienen su primer contacto con el ambiente laboral.
Ecuador en los últimos años ha comenzado un cambio en su matriz productiva mediante
la incorporación de tecnología y conocimiento en los actuales procesos productivos,
administrativos y de servicios, de acuerdo con estos cambios este proyecto cumple con
todos los valores necesarios en este ámbito ya que no solo busca incorporar la
tecnología en la gestión de las practicas pre profesionales sino que a su vez hace uso del
conocimiento del estudiante para ayudar en un proceso del área administrativa.

Tungurahua en base al plan de desarrollo nacional ha dado prioridad a los objeticos de


productividad los cuales generaran plazas de trabajo, al generar esta demanda es
necesario que los estudiantes de la carrera de sistemas puedan realizar sus prácticas pre
profesionales de una manera eficiente y preparados para desenvolverse en diferentes
escenarios no solo desarrollo de software, redes o mantenimiento de equipos, sino que
se vean preparados para cualquiera de estos retos.

2
Problema de la Investigación

Situación Problémica

El Consejo Mundial de Cooperativas de Ahorro y Crédito (WOCCU) ha publicado su


Informe Estadístico más reciente, el que ofrece datos financieros y sobre la membresía
de las cooperativas de ahorro y crédito y las cooperativas financieras a escala mundial.
El informe de este año incluye información de 56,904 cooperativas de ahorro y crédito
que prestan servicios a casi 208 millones de asociados en 103 países.

El Consejo Mundial de Cooperativas de Ahorro y Crédito es la asociación gremial y


agencia de desarrollo para el sistema internacional de cooperativas de ahorro y crédito.
El Consejo Mundial promueve el crecimiento sustentable de las cooperativas de ahorro
y crédito y otras cooperativas financieras en todo el mundo a fin de facultar a las
personas para que mejoren su calidad de vida a través del acceso a servicios financieros
asequibles y de alta calidad. El Consejo Mundial realiza esfuerzos de defensa activa en
representación del sistema global de las cooperativas de ahorro y crédito ante
organizaciones internacionales y trabaja con gobiernos nacionales para mejorar la
legislación y la regulación. (WOCCU, 2014)

Entre los años 1999– 2000 un grupo de personas de la Parroquia Santa Rosa Comunidad
de Apatug Alto, por la exclusión social y económica que sufrían como emigrantes en la
ciudad de Ambato, proponen crear una Caja de Ahorro y Crédito denominado “Fondo
Rotativo”, con el afán de ayudarse mutuamente y trabajar en forma conjunta con el
objetivo de mejorar sus condiciones de vida. (CoacReyDavid, 2019)

Desde su constitución hasta el año 2003, la Cooperativa desarrolló actividades


encaminadas al desarrollo comunal de la Parroquia Santa Rosa; con esta intervención la
cooperativa pudo ejecutar varios proyectos de desarrollo social entre los principales:
Proyecto de Ganadería, Producción Textil, Producción de Especies Menores, Asesoría a
distintas Cajas Comunales de Ahorro y Crédito. Este esfuerzo tuvo resultados positivos
desde el punto de vista de desarrollo integral; sin embargo el no especializarse en una
sola área fue su debilidad. (CoacReyDavid, 2019)

3
A partir de este año y debido a la migración de casi un 80% de la población de Santa
Rosa hacia las principales ciudades del país, los directivos de esta cooperativa proponen
reformar su estatuto y razón social a Cooperativa de Ahorro y Crédito, mejorar su
estructura administrativa y operativa e inician su ampliación de cobertura proponiendo
instalar agencias y sucursales en principales ciudades de mayor concentración
migratoria de la población indígena del Ecuador. (CoacReyDavid, 2019)

Formulación del problema

¿Cómo mejorar los mecanismos de control del área de sistemas de la Cooperativa “Rey
David”?

Identificación de la línea de Investigación

La línea de investigación es Tecnologías de Información y Comunicaciones.

Objetivos de la Investigación

Objetivo General

Desarrollar una Auditoria de los Recursos Informáticos mediante la aplicación de


estándares para mejorar los mecanismos de control en el área de sistemas de la
Cooperativa “Rey David”

Objetivo Específicos

• Determinar los referentes teóricos sobre Auditoria Informática, recursos


informáticos, estándares y cooperativas.
• Establecer los nodos críticos existentes en el área de sistemas de la Cooperativa
“Rey David”
• Proponer un plan de contingencia según las normas y estándares establecidos
para la Cooperativa “Rey David”

4
Capítulo I. Fundamentación Teórica

1.1. Antecedentes de la Investigación

En la investigación realizada por ( Loor Párraga & Espinoza Castillo, 2014) se plantea
“Aplicar una auditoría de seguridad física y lógica a los recursos de tecnologías de
información en la Carrera Informática, de la Escuela Superior Politécnica Agropecuaria
de Manabí Manuel Félix López de la ciudad de Calceta, evaluando la integridad de los
mismos” se concluye que el estudio y diagnóstico de la situación actual, permitió
conocer las necesidades existentes para las distintas áreas de la carrera, en la que se
registra inexistencia de manuales, políticas y procesos a cumplir.

En la investigación realizada por (Yangua Jumbo , 2014) se plantea “Determinar de qué


manera la ineficiente Auditoría Informática influye en los riesgos para el manejo de la
información en la Cooperativa de Ahorro y Crédito Educadores de Tungurahua” se
concluye que en la mayoría de los Departamentos investigados de la empresa no existe
ningún tipo de Seguridad física para los visitantes a los Departamentos, causando una
desconfianza de que la información está bien protegida.

En la investigación realizada por (Ortiz Collaguazo, 2016) se plantea “Desarrollar una


auditoría informática, aplicando la metodología COBIT 4.1 en el departamento de
sistemas, para establecer políticas y estrategias eficientes para solucionar los
inconvenientes enfocados a la Tecnología de la información (TI)” se concluye que La
auditoría realizada presenta las debilidades en los aspectos definidos por la matriz de
análisis de acuerdo a los dominios de la Metodología COBIT 4.1 y por la aplicación
MSAT el cual se puede determinar que los procesos que cumple cada área del
Departamento IT son efectuados de acuerdo a los objetivos que se plantee pero no de
manera correcta, debido a que no existe evidencias de lo que se realiza, no existe una
correcta documentación de los procesos efectuados, es muy importante, porque con ello
se puede respaldar el proceso de la información de acuerdo a lo que determina la
metodología.

5
1.2. Actualidad del objetivo de estudio de la investigación

1.2.1. Auditoria Informática

1.2.1.1. Definición

Los campos de aplicación de la auditoría han evolucionado mucho, desde su uso en los
aspectos netamente contables, hasta su uso en áreas y disciplinas de carácter especial,
como la ingeniería, la medicina y los sistemas computacionales. Evidentemente, junto
con ese progreso, también se ha registrado el desarrollo de las técnicas, métodos,
procedimientos y herramientas de cada uno de estos tipos de auditorías, así como un
enfoque cada vez más característico y especializado hacia el uso de técnicas más
apegadas al área que se va a evaluar. Debido a esos constantes cambios, a continuación
citaremos el concepto más amplio de la auditoría, para de ahí analizarlo de acuerdo con
lo aportado por la Real Academia Española y después, con esa conceptualización,
trasladarlo a una propuesta de clasificación de los tipos de auditoría. (Muñoz Razo ,
2002)

La auditoría, se puede concebir como una parte del control interno, la cual la ejecutan
profesionales acreditados por el auditor interno en el sector público, a fin de emitir una
opinión y agregar valor a la consecución de los objetivos institucionales; ese
profesionalismo no se produce de la noche a la mañana, más bien se desarrolla a partir
de compromiso y dedicación, crecimiento y ética; el proceso se desarrolla de forma
sistemática, independiente, objetiva, evalúa una entidad que actúe como sujeto pasivo,
gestión, proyectos, entre otros. (Mora Quiró, 2017 )

La Auditoria Informática es el proceso de recoger, agrupar y evaluar evidencias para


determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad
de los dalos, lleva a cabo eficazmente los fines de la organización y utiliza
eficientemente los recursos. De este modo la auditoría informática sustenta y confirma
la consecución de los objetivos tradicionales de la auditoría:

• Objetivos de protección de activos e integridad de datos.

6
• Objetivos de gestión que abarcan, no solamente los de protección de activos,
sino también los de eficacia y eficiencia. (Piattini Velthuis , 2001)

1.2.1.2. Tipos

Los tipos de Auditoría se basan según: La clasificación que se propone está integrada
por: Auditoría por lugar, Área, Especialización, Ambiental, y Especializadas en
Sistemas Computacionales.

Tabla 1 Tipos de Auditoria

Clase Contenido Objeto Finalidad


Financiera Opinión Cuentas anuales Presentan realidad
Informática Opinión Sistemas de aplicación, recursos Operatividad
informáticos, planes de eficiente y según
contingencia, etc. normas establecidas
Gestión Opinión Dirección Eficacia, eficiencia,
economicidad.
Cumplimiento Opinión Normas establecidas Las operaciones se
adecuan a estas
normas
Fuente (Piattini Velthuis , 2001)
Elaborado por: Monar Balseca María Luisa

1.2.1.3. Clasificación

1.2.1.3.1. Auditoría externa

La auditoría externa es aquella que se realiza con personal totalmente ajeno a la empresa
auditada, con libertad absoluta de actuación y libre de cualquier injerencia por parte de
la institución donde se practica. (Muñoz Razo , 2002)

Auditoría externa, los clientes que no conocen los límites. Habituales de la auditoría
sobreentienden que una vez finalizada ésta los auditores daremos una asistencia mis
7
propia de consultores, y que incluso llevaremos a cabo implantaciones, redactaremos
normas, o que al menos en los informes especificaremos las soluciones: nombre de la
herramienta que refuerza la seguridad en mi entorno, por ejemplo, cuando a menudo
esto requiere un estudio que se sale de los limites e incluso de la independencia propios
de la auditoría. Por ello, es importante que se delimiten las responsabilidades y los
productos a entregar que son objeto de una auditoria externa en el contrato o propuesta.
(Piattini Velthuis , 2001)

1.2.1.3.2. Auditoría interna

En la realización de estos tipos de evaluación, el auditor que lleva a cabo la auditoría


labora en la empresa donde se realiza la misma y, por lo tanto, de alguna manera está
involucrado en su operación normal; debido a esto, el auditor puede tener algún tipo de
dependencia con las autoridades de la institución, lo cual puede llegar a influir en el
juicio que emita sobre la evaluación de las áreas de la empresa. La definición que se
sugiere es: Es la revisión que realiza un profesional de la auditoría, cuya relación de
trabajo es directa y subordinada a la institución donde se aplicará la misma, con el
propósito de evaluar en forma interna el desempeño y cumplimiento de las actividades,
operaciones y funciones que se desarrollan en la empresa y sus áreas administrativas,
así como evaluar la razonabilidad en la emisión de sus resultados financieros. El
objetivo final es contar con un dictamen interno sobre las actividades de toda la
empresa, que permita diagnosticar la actuación administrativa, operacional y funcional
de empleados y funcionarios de las áreas que se auditan. (Muñoz Razo , 2002)

1.2.1.4. Objetivos

La definición de los objetivos de la auditoría informática es un tema difícil y complejo.


No existe un total acuerdo en la definición de tales objetivos y en consecuencia, en el
establecimiento de las funciones que debe desarrollar un auditor informático.
Para precisar esta situación sería necesario: (Huesca Aguilar, 2013)
• Definir el campo de actuación del auditor informático.
• Definir los objetivos de la auditoría informática.

8
Para el campo de actuación del auditor, sería preciso reflexionar sobre los siguientes
aspectos:

• Organización en la que se desenvolverá el auditor.


• Estructura.
• Tipo de actividad de la empresa.
• Departamento de informática objeto de la auditoría.
• Grado de sofisticación.
• Tamaño.
• Recursos del departamento
• Relaciones con la auditoría financiera.
• las propias limitaciones técnicas del auditor. (Huesca Aguilar, 2013)

De un modo general los objetivos de la auditoría informática podrían ser:

• Elaborar un informe sobre los aspectos que afecten al alcance de una


auditoría y señalar riesgos de errores o fraudes de un sistema informático.
• Evaluar la fiabilidad de los sistemas informáticos, en cuanto a la exactitud de
los datos a las informaciones tratadas.
• Verificar el cumplimiento de la normativa general de la empresa.
• Comprobar la eficacia de los sistemas implantados.
• Comprobar si se ha estudiado el coste / beneficio.
• Garantizar la seguridad física y lógica.
• Evaluar la dependencia de una organización respecto a sus sistemas
informáticos, revisando las medidas tomadas en el caso de que se produzca
un fallo y que permitan asegurar la continuidad de las actividades normales.
• Emisión de informes con la evaluación independiente de los sistemas
informáticos. Sintetizando riesgos, deficiencias, sugerencias y
recomendaciones.
• Análisis de la calidad y eficacia del servicio de atención a los usuarios.
Participación y seguimiento de proyectos de investigación. (Huesca Aguilar,
2013)

9
1.2.1.5. Exploración

La exploración es la etapa en la cual se realiza el estudio o examen previo al inicio de la


Auditoria con el propósito de conocer en detalle las características de la entidad a
auditar para tener los elementos necesarios que permitan un adecuado planeamiento del
trabajo a realizar y dirigirlo hacia las cuestiones que resulten de mayor interés de
acuerdo con los objetivos previstos. (Manso, 2008 ).

Los resultados de la exploración permiten, además, hacer la selección y las


adecuaciones a la metodología y programas a utilizar; así como determinar la
importancia de las materias que se habrán de examinar. (Manso, 2008 ).

También posibilita valorar el grado de fiabilidad del control interno (contable y


administrativo) así como que en la etapa de planeamiento se elabore un plan de trabajo
más eficiente y racional para cada auditor, lo que asegura que la Auditoría habrá de
realizarse con la debida calidad, economía, eficiencia y eficacia; propiciando, en buena
medida, el éxito de su ejecución. (Manso, 2008 )

1.2.1.6. Planeamiento

El trabajo fundamental en esta etapa es el definir la estrategia que se debe seguir en la


Auditoría a acometer. (Manso, 2008 )

Lo anterior conlleva planear los temas que se deben ejecutar, de manera que aseguren la
realización de una Auditoría de alta calidad y que se logre con la economía, eficiencia,
eficacia y prontitud debidas. (Manso, 2008 )

Partiendo de los objetivos y alcance previstos para la Auditoría y considerando toda la


información obtenida y conocimientos adquiridos sobre la entidad en la etapa de
exploración, el jefe de grupo procede a planear las tareas a desarrollar y
comprobaciones necesarias para alcanzar los objetivos de la Auditoría. (Manso, 2008 )

10
1.2.1.7. Supervisión

El propósito esencial de la supervisión es asegurar el cumplimiento de los objetivos de


la Auditoría y la calidad razonable del trabajo. Una supervisión y un control adecuados
de la Auditoría son necesarios en todos los casos y en todas las etapas del trabajo, desde
la exploración hasta la emisión del informe y su análisis con los factores de la entidad
auditada. (Manso, 2008 )

Asimismo, debe garantizar el cumplimiento de las Normas de Auditoría y que el


informe final refleje correctamente los resultados de las comprobaciones, verificaciones
e investigaciones realizadas. (Manso, 2008 )

1.2.1.8. Ejecución

El propósito fundamental de esta etapa es recopilar las pruebas que sustenten las
opiniones del auditor en cuanto al trabajo realizado, es la fase, por decir de alguna
manera, del trabajo de campo, esta depende grandemente del grado de profundidad con
que se hayan realizado las dos etapas anteriores, en esta se elaboran los Papeles de
Trabajo y las hojas de nota, instrumentos que respaldan excepcionalmente la opinión
del auditor actuante. (Manso, 2008 )

1.2.1.9. Informe

En esta etapa el Auditor se dedica a formalizar en un documento los resultados a los


cuales llegaron los auditores en la Auditoría ejecutada y demás verificaciones
vinculadas con el trabajo realizado. (Manso, 2008 )
Comunicar los resultados al máximo nivel de dirección de la entidad auditada y otras
instancias administrativas, así como a las autoridades que correspondan, cuando esto
proceda. (Manso, 2008 )
El informe parte de los resúmenes de los temas y de las Actas de Notificación de los
Resultados de Auditoría (parciales) que se vayan elaborando y analizando con los
auditados, respectivamente, en el transcurso de la Auditoría. (Manso, 2008 )

11
La elaboración del informe final de Auditoría es una de las fases más importante y
compleja de la Auditoría, por lo que requiere de extremo cuidado en su confección.
(Manso, 2008 )

El informe de Auditoría debe tener un formato uniforme y estar dividido por secciones
para facilitar al lector una rápida ubicación del contenido de cada una de ellas. (Manso,
2008 )

El informe de Auditoría debe cumplir con los principios siguientes:


• Que se emita por el jefe de grupo de los auditores actuantes.
• Por escrito.
• Oportuno.
• Que sea completo, exacto, objetivo y convincente, así como claro,
conciso y fácil de entender.
• Que todo lo que se consigna esté reflejado en los papeles de trabajo y que
responden a hallazgos relevantes con evidencias suficientes y
competentes.
• Que refleje una actitud independiente.
• Que muestre la calificación según la evaluación de los resultados de la
Auditoría.
• Distribución rápida y adecuada. (Manso, 2008 )

1.2.2. Estándares

1.2.2.1. ISACA

ISACA comenzó en 1967, cuando un pequeño grupo de personas con trabajos similares
auditar controles en los sistemas computacionales que se estaban haciendo cada vez más
críticos para las operaciones de sus respectivas organizaciones se sentaron a discutir la
necesidad de tener una fuente centralizada de información y guías en dicho campo. En
1969, el grupo se formalizó, incorporándose bajo el nombre de EDP Auditors
Association (Asociación de Auditores de Procesamiento Electrónico de Datos). En 1976
la asociación formó una fundación de educación para llevar a cabo proyectos de

12
investigación de gran escala para expandir los conocimientos y el valor en el campo de
gobierno y control de TI. Conocida previamente como la Information Systems Audit
and Control Association (Asociación de Auditoría y Control en Sistemas de
Información), ISACA ahora es solo un acrónimo, que refleja la amplia gama de
profesionales en gobierno de TI a los que sirve. (Porras Rodriguez, 2013)

1.2.2.2. ITIL

ITIL es un ITIL es un conjunto de prácticas y procesos, destinadas a facilitar la entrega


de servicios de tecnologías de la información. No es una metodología, sino un conjunto
de mejores prácticas. (Mazza, 2014)

El beneficio principal de ITIL es que permite lograr una correcta alineación de los
objetivos de TI con los objetivos estratégicos del negocio. Convirtiendo los objetivos
del negocio en parte del portafolio de servicios de IT. (Mazza, 2014)

La implementación de ITIL normalmente mejora la comunicación entre TI y las


organizaciones a través de un lenguaje común. (Mazza, 2014)

ITIL mejora la calidad de los servicios provistos, ofrece una visión clara y más
confianza de los servicios ofrecidos de TI, aumenta la flexibilidad para las
organizaciones a través de un entendimiento con las TI. (Mazza, 2014)

La implementación de ITIL puede ser un proceso complejo y engorroso, por lo cual


deben fijarse objetivos realistas y graduales. (Mazza, 2014)

La versión actual de ITIL cubre más de 25 procesos propios de la gestión del CIO, y
está organizada en 5 libros. Por ejemplo, en la parte estratégica de los servicios, se dice
cómo establecer un caso de negocio que sirva como disparador de aprobaciones
ejecutivas de un proyecto. (Mazza, 2014).

13
1.2.2.3. ISO

Las normas ISO son documentos que especifican requerimientos que pueden ser
empleados en organizaciones para garantizar que los productos y/o servicios ofrecidos
por dichas organizaciones cumplen con su objetivo. Hasta el momento ISO
(International Organization for Standardization), ha publicado alrededor de 19.500
normas internacionales que se pueden obtener desde la página oficial de ISO

1.2.2.4. COBIT

COBIT (Control Objectives for Information and related Technology, Objetivos de


control para la información y tecnologías relacionadas) es una metodología publicada en
1996 por el Instituto de Control de TI y la ISACA (Asociación de Auditoría y Control
de Sistemas de Información) que se usa para evaluar el departamento de informática de
una compañía. En Francia está representada por la AFAI (Asociación Francesa de
Auditoría y Consejo de TI). (Villagómez, 2017)

Este enfoque se basa en un índice de referencia de procesos, indicadores de objetivos


clave (KGl) e indicadores de rendimiento clave (KPI) que se usan para controlar los
procesos para recoger datos que la compañía puede usar para alcanzar sus objetivos. El
enfoque COBIT propone 34 procesos organizados en 4 áreas funcionales más grandes
que abarcan 318 objetivos: entrega y asistencia técnica; control; planeamiento y
organización; aprendizaje e implementación. (Villagómez, 2017)

CobiT (Control Objectives for Information and Related Technology) es un marco


conceptual para el buen gobierno de las tecnologías de la información, que fue
desarrollado originalmente en 1994 por ISACA. Desde un punto de vista práctico, tiene
que ser «adaptado» en función del tamaño y la misión de la organización. El Tribunal
de Cuentas Europeo ha desarrollado para aplicar esta metodología la herramienta
ECACOBIT, que se comentará más adelante. El marco de trabajo general CobiT se
muestra gráficamente en la figura siguiente, con el modelo de procesos de CobiT
compuesto de cuatro dominios que contienen 34 procesos genéricos, administrando los

14
recursos de TI para proporcionar información al negocio de acuerdo con los
requerimientos del negocio y de gobierno. (Minguillón Roy, 2010)

1.2.2.4.1. Beneficios Cobit

• Mejor alineación basada en una focalización sobre el negocio.


• Visión comprensible de TI para su administración.
• Clara definición de propiedad y responsabilidades.
• Aceptabilidad general con terceros y entes reguladores.
• Entendimiento compartido entre todos los interesados basados en un lenguaje
común.
• Cumplimiento global de los requerimientos de TI planteados en el Marco de
Control Interno de Negocio COSO. (Baquero & Guamán, 2013)

1.2.2.4.2. Características

• Orientado al negocio.
• Alineado con estándares y regulaciones "de facto".
• Basado en una revisión crítica y analítica de las tareas y actividades en TI.
• Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA,
AICPA). (Baquero & Guamán, 2013)

1.2.2.4.3. Principios

• Satisfacer las necesidades de las Partes Interesadas.


• Cubrir la Compañía de Forma Integral.
• Aplicar un solo Marco Integrado.
• Habilitar un Enfoque Holístico.
• Separar el Gobierno de la Administración. (Peña Ibarra, 2012)

15
1.2.3. Áreas para auditar en informática

1.2.3.1. Tipos

Hardware
• Plataforma de hardware
• Tarjeta madre
• Procesadores
• Dispositivos periféricos
• Arquitectura del sistema Instalaciones eléctricas, de datos y de
telecomunicaciones Innovaciones tecnológicas de hardware y periféricos.
(Muñoz Razo , 2002)

Software
• Plataforma del software
• Sistema operativo
• Lenguajes y programas de desarrollo
• Programas, paqueterías de aplicación y bases de datos
• Utilerías, bibliotecas y aplicaciones
• Software de telecomunicación Juegos y otros tipos de software. (Muñoz
Razo , 2002)

Gestión informática
• Actividad administrativa del área de sistemas
• Operación del sistema de cómputo
• Planeación y control de actividades
• Presupuestos y gastos de los recursos informáticos
• Gestión de la actividad informática
• Capacitación y desarrollo del personal informático
• Administración de estándares de operación, programación y desarrollo.
(Muñoz Razo , 2002)

16
Redes de cómputo
• Plataformas y configuración de las redes
• Protocolos de comunicaciones
• Sistemas operativos y software
• Administración de las redes de cómputo
• Administración de la seguridad de las redes
• Administración de las bases de datos de las redes (Muñoz Razo , 2002)

1.2.3.2. Herramientas

Estas técnicas, métodos y procedimientos de auditoría se ubicaran en tres grandes


grupos, considerando a las herramientas tradicionales y otras herramientas específicas
aplicables a los sistemas computacionales en tres grupos: (Muñoz Razo , 2002)
Instrumentos de recopilación de datos aplicables en la auditoría de sistemas
• Entrevistas
• Cuestionario
• Encuestas
• Observación
• Inventarios
• Muestreo
• Experimentación (Muñoz Razo , 2002)

Técnicas de evaluación aplicables en la auditoría de sistemas


• Examen
• Inspección
• Confirmación
• Comparación
• Revisión documental (Muñoz Razo , 2002)

Técnicas especiales para la auditoría de sistemas computacionales


• Guías de evaluación
• Ponderación
• Simulación

17
• Evaluación
• Diagrama del círculo de sistemas
• Diagramas de sistemas
• Matriz de evaluación
• Programas de verificación
• Seguimiento de programación (Muñoz Razo , 2002)

1.2.4. Síntomas de necesidad de una Auditoría Informática

1.2.4.1. Síntomas de descoordinación y desorganización

No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.


Los estándares de productividad se desvían sensiblemente de los promedios
conseguidos habitualmente. (Huesca Aguilar, 2013)

1.2.4.2. Síntomas de mala imagen e insatisfacción de los usuarios

No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de


Software en los terminales de usuario, variación de los ficheros que deben ponerse
diariamente a su disposición. (Huesca Aguilar, 2013)

No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables.


El usuario percibe que está abandonado y desatendido permanentemente. (Huesca
Aguilar, 2013)

No se cumplen en todos los casos los plazos de entrega de resultados periódicos.


Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario,
en especial en los resultados de aplicaciones críticas y sensibles. (Huesca Aguilar, 2013)

1.2.4.3. Síntomas de debilidades económico-financieras

• Incremento desmesurado de costos.


• Necesidad de justificación de Inversiones Informáticas (la empresa no está
absolutamente convencida de tal necesidad y decide contrastar opiniones).

18
• Desviaciones Presupuestarias significativas.
• Costos y plazos de nuevos proyectos (deben auditarse simultáneamente a
Desarrollo de Proyectos y al órgano que realizó la petición). (Huesca Aguilar,
2013)

1.2.4.4. Síntomas de Inseguridad

• Seguridad lógica.
• Seguridad física.
• Confidencialidad. Los datos son propiedad de la organización que los genera.
Los datos personales son confidenciales
• Continuidad del servicio. Establecer mecanismos de contingencia para continuar
ofreciendo el servicio aun cuando ocurran fallas
• Centros de procesos de datos fuera de control, prevenir antes de que suceda,
después de que sucede determinada situación sería inútil la auditoria. (Nguyen,
2010)

1.2.5. Auditoria Informática de Sistemas

1.2.5.1. Sistema Operativo

Un sistema operativo (SO) es software que controla la ejecución de otros programas de


ordenador, programa tareas, distribuye el almacenamiento, gestiona las interfaces con
hardware periférico y muestra la interfaz por defecto con el usuario cuando no hay
funcionando ningún otro programa. Es muy importante realizar determinados
procedimientos de auditoría sobre los sistemas operativos y los controles existentes a
este nivel, ya que vulnerabilidades en los SO tienen un impacto potencial en todo el
sistema de información (aunque las aplicaciones y las bases de datos tengan buenos
controles, si un intruso pudiera penetrar sin restricciones en el sistema operativo y su
sistema de carpetas, podría provocar graves daños en los datos y sistemas de la entidad).
(Minguillón Roy, 2010)

19
1.2.5.2. Software Básico

El software libre es aquel que le permite al usuario el usar el programa, con cualquier
propósito; el estudiar el funcionamiento; el adaptarlo a sus necesidades; y el distribuir
copias. Libre no necesariamente significa gratuito. (Mazza, 2014)

Dado que el código fuente de software libre está disponible, uno de sus principales
beneficios es la no dependencia del proveedor, situación que para ciertos casos, un
organismo de defensa por ejemplo, puede ser crítica. (Mazza, 2014)

El software libre se puede desarrollar mediante el esfuerzo colectivo, aunque no


necesariamente coordinado, de programadores alrededor del globo, utilizando los
medios que Internet ofrece: sitios como sourceforge, listas de correos, Wikis, Correos,
Foros, etc.

El software libre estimula a la innovación, ya que ofrece un producto potencialmente


flexible, de menor costo, al menos en cuanto licenciamiento se refiere, e independiente
de lo que el proveedor decida hacer con el mismo. (Mazza, 2014)

Entre los efectos no deseados, asociados el software libre, se encuentra la posible falta
de un soporte estructurado, y/o la dependencia del personal particularmente si se han
realizado modificaciones al producto original. (Mazza, 2014)

Son ejemplos de Software libre, el sistema operativo LINUX; la plataforma de


eLearning Claroline; el navegador Firefox; el servidor web Apache; etc. (Mazza, 2014)

1.2.6. Gestión

1.2.6.2. Definición

La gestión de los Recursos Informáticos involucra un conjunto de actividades tales


como la gobernabilidad, articulación con la estrategia organizacional, el planeamiento,
la justificación estratégico-económica de proyectos, la gestión de proyectos, del

20
conocimiento y del cambio, la organización del área y la motivación del equipo de
trabajo, la decisión de hacer o comprar, la selección de proveedores y aplicaciones, etc.
(Mazza, 2014)

Marcos de referencia, estándares, y técnicas soportan las actividades descriptas: COBIT,


ITIL, TOGAF, etc. en un contexto donde la infraestructura propietaria se complementa
con distintas formas de Clould Computing o Computación en la Nube. (Mazza, 2014)

1.2.6.3. Mecanismos de Control

El Control Interno Informático puede definirse como el sistema integrado al proceso


administrativo, en la planeación, organización, dirección y control de las operaciones
con el objeto de asegurar la protección de todos los recursos informáticos y mejorar los
índices de economía, eficiencia y efectividad de los procesos operativos automatizados.
(Pinilla Forero, 1997)

El Control Interno como cualquier actividad o acción realizada manual y/o


automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al
funcionamiento de un sistema para conseguir sus objetivos. (Piattini Velthuis , 2001)

1.2.6.4. Revisión de Controles de la Gestión Informática

La gestión de Recursos Informáticos utiliza tanto técnicas comunes a la gestión de otros


recursos, como propias dada las características de estos. En el módulo "Gestión de los
Recursos Informáticos" se hace mención específica a conceptos e instrumentos para la
misma, mientras que en los módulos que lo preceden se describen sistemas,
arquitecturas e ideas necesarias para poder comprender los principales recursos
informáticos y su potencial. (Mazza, 2014)

Por último, el módulo de "Nuevas Tecnologías" ofrece un acercamiento a un conjunto


de tecnologías que, con un alto nivel de subjetividad, han sido calificadas como nuevas,
y que como tales, ofrecen aún interesantes oportunidades para desarrollar soluciones
innovadoras y obtener ventajas competitivas. (Mazza, 2014)

21
• Sistemas Transaccionales
• Sistemas Analíticos
• Arquitecturas de los Sistemas de Información
• Internet y Negocios Electrónicos
• Estrategia y Recursos Informáticos
• Gestión de los Recursos Informáticos
• Nuevas Tecnologías (Mazza, 2014)

1.2.7. Cooperativas

1.2.7.1. Definición

Una 'cooperativa' se puede definir como una asociación gestionada por los socios, con el
fin de generar productos y servicios, en la cual los socios participantes, agricultores
particulares u hogares, comparten los riesgos y las ganancias de una explotación
económica de fundación y en propiedad conjuntas. (Koopmans, 2006)

Normalmente, una cooperativa se establece por parte de agricultores en reacción a unas


condiciones de mercado desfavorables, las cuales forman un problema común. Podría
tratarse de un problema relacionado con la comercialización de los productos, dando
como resultado precios bajos a nivel de la explotación agrícola; el suministro de
insumos agrícolas de buena calidad y de precio razonable, tales como semillas y
fertilizantes; o la concesión de suficiente crédito económico. Fundando una empresa
cooperativa, los agricultores esperan remediar dicho problema, aumentar sus ingresos
generados por la explotación agrícola, y fortalecer la posición económica de la misma.
(Koopmans, 2006)

1.2.7.2. Características

• Satisfacción de necesidades de los socios.


• Número de socios ilimitado.

22
• Pueden ser socios todos los que se dediquen a la actividad específica de la
cooperativa y lo deseen.
• Objetivos dependientes de las necesidades de los socios.
• El elemento fundamental es la persona humana.
• Capital variable.
• La condición de socio es intransferible, aunque se transfieran las
participaciones. (Orozco Vílchez, 1986)

1.2.7.3. Tipos de Cooperativas

• Cooperativas especializadas
• Cooperativas integrales
• Cooperativas multiactivas
• Cooperativas de usuarios o de servicios a los asociados
• Cooperativas con actividad financiera
• Cooperativas sin actividad financiera (Cruz Martínez , 2011)

1.2.8. Actualidad del sector donde desarrolla el proyecto

Desde su constitución hasta el año 2003, la Cooperativa desarrolló actividades


encaminadas al desarrollo comunal de la Parroquia Santa Rosa; con esta intervención la
cooperativa pudo ejecutar varios proyectos de desarrollo social entre los principales:
Proyecto de Ganadería, Producción Textil, Producción de Especies Menores, Asesoría a
distintas Cajas Comunales de Ahorro y Crédito. Este esfuerzo tuvo resultados positivos
desde el punto de vista de desarrollo integral; sin embargo, el no especializarse en una
sola área fue su debilidad. (CoacReyDavid, 2019)

A partir de este año y debido a la migración de casi un 80% de la población de Santa


Rosa hacia las principales ciudades del país, los directivos de esta cooperativa proponen
reformar su estatuto y razón social a Cooperativa de Ahorro y Crédito, mejorar su
estructura administrativa y operativa e inician su ampliación de cobertura proponiendo
instalar agencias y sucursales en principales ciudades de mayor concentración
migratoria de la población indígena del Ecuador. (CoacReyDavid, 2019)

23
Capítulo II. Diseño Metodológico y diagnóstico

2.1. Paradigma y tipo de investigación

2.1.1. Paradigma de investigación

La investigación Cuantitativa requiere que entre los elementos del problema de


investigación exista una relación cuya naturaleza sea lineal. Es decir, que haya claridad
entre los elementos del problema de investigación que conforman el problema, que sea
posible definirlo, limitarlos y saber exactamente donde se inicia el problema, en cual
dirección va y qué tipo de incidencia existe entre sus elementos. Esta investigación
apoyo en la fase final del proyecto. En ese momento obtuve datos para analizar y los
resultados salieron exactos.

La investigación Cualitativa está relacionada con los métodos inductivos, evita la


cuantificación cualitativa que la cuantitativa está relacionada con los métodos
deductivos. La investigación cualitativa en general se basa en la observación de
ciertos individuos en su entorno natural, sin una intervención invasiva en términos
generales. Por otro lado se investiga así mismo el entorno invasivo para entender el
proceso. (Parra Ramiréz, 2006) . La investigación Cualitativa contribuyo en la
recolección de información basada en la observación de comportamientos naturales,
discursos, respuestas abiertas para la posterior interpretación de significados.

2.1.2. Tipos de investigación

Investigación de campo

Investigación de campo es la recopilación de datos nuevos de fuentes primarias para un


propósito específico. Es un método cualitativo de recolección de datos encaminado a
comprender, observar e interactuar con las personas en su entorno natural. La
investigación de campo contribuyo para la elaboración de la perspectiva teórica, misma
que es la base a la propuesta para la solución del problema.

24
Investigación bibliográfica

La investigación bibliográfica consiste en la revisión de material bibliográfico existente


con respecto al tema a estudiar. Se trata de uno de los principales pasos para cualquier
investigación e incluye la selección de fuentes de información, mediante esta
investigación se realizó el marco teórico conceptual. En tal virtud la investigación
bibliográfica ayudó con la parte teórica que requiero para la investigación y de esta
investigación obtuve los temas propuestos para la elaboración del proyecto de grado.

Investigación Aplicada

La investigación aplicada recibe el nombre de “investigación práctica o empírica”, que


se caracteriza porque busca la aplicación o utilización de los conocimientos adquiridos,
a la vez que se adquieren otros, después de implementar y sistematizar la práctica
basada en investigación. El uso del conocimiento y los resultados de investigación que
da como resultado una forma rigurosa, organizada y sistemática de conocer la realidad.
La razón por la cual utilice la investigación aplicada fue por la auditoria informática ya
que de este modo observe con exactitud cada parámetro necesario para la investigación
que realice en la “Cooperativa Rey David”.

2.2. Procedimiento para la búsqueda y procesamiento de los datos

2.2.1. Población y muestra

La población objeto de estudio se describe a continuación

Tabla 2 Población

DESCRIPCIÓN FRECUENCIA PORCENTAJE


Gerente 1 8%
Empleados 10 84%
TOTAL 11 100%
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

No es necesario calcular la muestra, ya que la población no excede las 100 personas.

25
2.2.2. Plan de recolección de la información

2.2.2.1. Métodos de la investigación

Método inductivo

El uso del método inductivo proyecto investigativo fue de gran importancia, ya que
consistió en la recolección los datos para su análisis. La observación fue unos de los
aspectos más significativos en el método inductivo y la cual se utilizó para la auditoria
informática.

Método deductivo

En este proceso el razonamiento fue una parte fundamental para así llegar a una
conclusión. La deducción enlaza los indicios con las conclusiones, si todos los indicios
son ciertos, los requisitos son claros y las normas de deducción son usadas.

Método analítico

El método analítico permitió analizar los requerimientos para realizar un examen


crítico, ya que nos permitió examinar, descomponer y estudiar cada requerimiento que
fue planificado para la auditoria informática.

Método sintético

Fue el método que ayudo al razonamiento para elaborar de una forma resumida y
reuniendo los elementos más notables, para así realizar la auditoria informática y tuvo
como resultado desarrollar el trabajo investigativo con resultados, claros y reales.

2.2.2.2. Técnicas e instrumentos de la investigación

La técnica de recolección de datos utilizada fue la encuesta misma que se realizó a los
empleados de la Cooperativa Rey David, con el objetivo de determinar la existencia de

26
mecanismos de control en el área de sistemas de la Cooperativa Ambato y la necesidad
de ejecutar una Auditoria Informática

El instrumento básico utilizado en para la aplicación de la encuesta fue el cuestionario,


que es un documento que recoge en forma organizada los indicadores de las variables
implicadas en el objetivo de la encuesta.

También se aplicó la técnica de la entrevista que se realizó al Gerente de la Cooperativa,


en su despacho con el objetivo de determinar la existencia de mecanismos de control en
el área de sistemas de la Cooperativa Ambato y la necesidad de ejecutar una Auditoria
Informática

El instrumento básico utilizado en para la aplicación de la entrevista fue una guía de


entrevista, que es un documento que recoge en forma organizada los indicadores de las
variables implicadas en el objetivo de la entrevista.

2.2.2.3. Plan de procesamiento y análisis de la información

Una vez aplicada la encuesta a los empleados de la misma, se procedió a la validación


de los datos, donde se analizó individualmente cada una de las encuestas. Validadas las
encuestas se efectuó la tabulación

Con los resultados de las encuetas tabuladas se realizó un análisis estadístico con la
ayuda de grafico los mismos que permitieron realizar una mejor interpretación y con el
apoyo del marco teórico se estableció las recomendaciones y conclusiones.

27
Ilustración 1Plan de procesamiento y análisis de la información
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

2.3. Resultados de Diagnóstico de la situación Actual

2.3.1. Análisis e interpretación de los resultados

28
Análisis e interpretación de la encuesta aplicada a los empleados de la cooperativa
de ahorro y crédito “Rey David”

1. ¿Conoce Ud. si la Cooperativa cuenta con un Departamento de TIC’s?

Tabla 3: Pregunta 1

DESCRIPCIÓN FRECUENCIA PORCENTAJE


SI 0 0%
NO 10 100%
TOTAL 10 100%
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

0%

SI
NO

100%

Ilustración 2: Pregunta 1
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

Análisis e interpretación

El 100% de los encuestados responden que no tienen conocimientos que la Cooperativa


cuenta con el Departamento de Tic’s.

De acuerdo con la pregunta 1, el total encuestados responden que no cuenta la


Cooperativa cuenta con el Departamento de Tic’s lo que respalda el presente proyecto.

29
2. ¿Conoce Ud. si la Cooperativa ha llevado a cabo en los 2 últimos años una
Auditoria informática?

Tabla 4: Pregunta 2

DESCRIPCIÓN FRECUENCIA PORCENTAJE


SI 0 0%
NO 10 100%
TOTAL 10 100%
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

0%

SI
NO

100%

Ilustración 3: Pregunta 2
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

Análisis e interpretación

El 100% de los encuestados responden que en la Cooperativa en los últimos 2 años no


se ha llevado a cabo una Auditoria Informática.

De acuerdo con la pregunta 2, el 100% de encuestados responden que no saben que la


Cooperativa Rey David ha realizado dicha Auditoria Informática lo que respalda el
presente proyecto.

30
3. ¿Ud. tiene un manual donde este establecido los procedimientos para el uso de los
equipos de cómputo?

Tabla 5: Pregunta 3

DESCRIPCIÓN FRECUENCIA PORCENTAJE


SI 2 20%
NO 8 80%
TOTAL 10 100%
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

20%

SI
NO

80%

Ilustración 4: Pregunta 3
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

Análisis e interpretación

El 80% de los encuestados responden que, si cuentan con un manual de procedimientos


de usos de los equipos de cómputo, mientras en 20% manifiestan que no se les ha
entregado dicho manual de uso de procedimientos para el uso adecuado de los equipos
de cómputo.

De acuerdo con la pregunta 3, el 80% de encuestados responden que si se les ha


entregado el manual de procedimientos de usos de los equipos de cómputo lo que
respalda el presente proyecto.

31
4. Considera que los Sistemas Informáticos implementados en su computador son:

Tabla 6: Pregunta 4

DESCRIPCIÓN FRECUENCIA PORCENTAJE


Muy Rápidos 1 10%
Rápidos 8 80%
Medianamente Rápidos 0 0%
Lentos 1 10%
Muy Lentos 0 0%
TOTAL 10 100%
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

Rápidos

10%0%10% Medianamente
0%
Rápidos
Lentos

Muy Lentos
80%

Ilustración 5: Pregunta 4
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

Análisis e interpretación

El 80% de los encuestados responden que los Sistemas Informáticos implementados en


su computador son rápidos, mientras que el 10% manifiestan que son muy rápidos, el
10% dicen que son lentos.

De acuerdo con la pregunta 4, el 80% de encuestados responden los Sistemas


Informáticos implementados en su computador son rápidos que lo que respalda el
presente proyecto.

32
5. ¿En alguna ocasión ha existido errores en la información que Ud. maneja?

Tabla 7: Pregunta 5

DESCRIPCIÓN FRECUENCIA PORCENTAJE


SI 3 30%
NO 7 70%
TOTAL 10 100%
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

30%
SI
NO
70%

Ilustración 6: Pregunta 5
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

Análisis e interpretación

El 70% de los encuestados responden que a veces si han existido han existido fallas en
los sistemas computacionales, mientras tanto el 30% manifiesta que siempre existen
fallas en los sistemas computacionales.

De acuerdo con la pregunta 6, el 70% de encuestados responden si han existido fallas en


los sistemas computacionales, lo que respalda el presente proyecto.

33
6. ¿Ha existido en alguna ocasión fallas en los sistemas computacionales?

Tabla 8: Pregunta 6

DESCRIPCIÓN FRECUENCIA PORCENTAJE


Siempre 0 0%
A veces 9 90%
Nunca 1 10%
TOTAL 10 100%
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

10%0%

Siempre
A veces
Nunca

90%

Ilustración 7: Pregunta 6
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

Análisis e interpretación

El 90% de los encuestados responden que a veces han existido errores en la información
la cual los empleados de la Cooperativa Rey David que manejan, mientras tanto el 10%
manifiesta que nunca han tenido errores en su información.

De acuerdo con la pregunta 6, el 90% de encuestados responden a veces si han existido


errores en la información la cual los empleados de la Cooperativa Rey David manejan,
lo que respalda el presente proyecto.

34
7. ¿Considera Ud. que es necesario realizar un control de los recursos informáticos
existentes en la Cooperativa?

Tabla 9: Pregunta 7

DESCRIPCIÓN FRECUENCIA PORCENTAJE


SI 10 100%
NO 0 0%
TOTAL 10 100%
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

0%

SI
NO

100%

Ilustración 8: Pregunta 7
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

Análisis e interpretación

El 100% de los encuestados responden que si es necesario realizar un control de los


recursos informáticos existentes en la Cooperativa.

De acuerdo con la pregunta 7, el 100% de encuestados responden que si es necesario


realizar un control de los recursos informáticos existentes en la Cooperativa, lo que
respalda el presente proyecto.

35
Análisis e interpretación de la Entrevista al Tglo. Segundo Tisalema gerente de la
Cooperativa Rey David

Objetivo: Determinar la existencia de mecanismos de control en el área de sistemas de


la Cooperativa Rey David y la necesidad de ejecutar una Auditoria Informática
Fecha: 16/05/2019

Tabla 10: Análisis e interpretación de la Entrevista

Informante
INDICADORES EVALUADOS Tglo. Segundo Tisalema
Gerente de la Cooperativa Rey David
Existencia de un Departamento de Duda en su respuesta por falta de
TIC´s conocimiento en cuanto a tecnología y
luego manifiesta que sí sin embargo se
verifica mediante la observación que no
existe dicho departamento
Existencia de un diagrama funcional Manifiesta que no cuenta con un
diagrama funcional ya que sólo hay un
encargado de tics lo que corrobora la
inexistencia del departamento
Existencia de procedimiento para el No existe
uso de equipos de cómputo

Inventario actualizado de los recursos No existe


informáticos

Revisiones periódicas de la capacidad y En alguna ocasión sí se realizó


desempeño de los recursos de
informáticos
Conocimiento sobre riesgos en el Posee poco conocimiento
manejo de la información

Conocimiento y existencia de No posee conocimiento y manifiesta que


Procedimientos y medidas de en alguna ocasión se intentó incorporar
seguridad en caso de un ataque dos medidas de seguridad

36
software malicioso y virus informático
Realización de auditoría informática Como tal manifiesta que no
auditoría informática
Necesidad de auditoría para el control Muy necesario
del centro de datos

Existencia de un plan de contingencia No existe


Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

2.3.2 Resumen de las principales insuficiencias detectadas

Una vez realizado el diagnóstico de la situación a través, de un estudio de campo


realizado en el lugar mismo de los hechos, mediante la aplicación de encuestas a los
empleados, y entrevista al Tecnólogo Segundo Tisalema Gerente de la Cooperativa de
Ahorro y Crédito Rey David de la ciudad de Ambato se concluyó que:

• Por medio de la versión del señor gerente de la Cooperativa y sus empleados, se


pudo determinar que, dentro de la Cooperativa, no existe el departamento de
Tecnologías de la Información y Comunicación (TIC’s) y por ende tampoco
cuenta con un diagrama funcional de los empleados de este departamento.

• Tanto el señor gerente, como los empleados de la Cooperativa de Ahorro y


crédito Rey David, consideran que es necesario tener un control de los recursos
informáticos, puesto que, según versión del señor gerente, la cooperativa no
cuenta con un inventario actualizado de disponibilidad de recursos informáticos,
lo que, sin lugar a dudas, desemboca en inconvenientes significativos
relacionados con el control de estos recursos.

• Un porcentaje significativo de empleados de la Cooperativa de Ahorro y crédito


Rey David, señalan que en varias ocasiones se han encontrado con fallas en los
sistemas computacionales, y esto se puede deber a la inexistencia de medidas de
prevención detección y corrección para proteger a los sistemas informáticos de
software malicioso y virus, así como también al desconocimiento de los

37
procedimientos de seguridad que deben seguir en caso de que exista una falla
informática en el computador que están usando.

• Es de vital importancia, la realización de una auditoria informática puesto que a


pesar de la Cooperativa tiene en el mercado alrededor de 20 años, la misma no
ha llevado a cabo una auditoria informática completa esto mencionado por el
mismo gerente de la entidad, pues la población de investigación considera que es
muy necesario una auditoria informática externa y un plan de contingencia para
emergencias y fallas computacionales.

38
Capítulo III. Propuesta de solución al problema

3.1. Nombre de la propuesta

Auditoria de los recursos informáticos para mejorar los mecanismos de control del área
de Sistemas de la Cooperativa “Rey David”

3.2. Objetivos

3.2.1. Objetivo General

Desarrollar una Auditoria de los Recursos Informáticos mediante la aplicación del


estándar COBIT 5.0 para mejorar los mecanismos de control en el área de sistemas de la
Cooperativa “Rey David”

3.2.2. Objetivos Específicos

• Comprobar si los mecanismos de control del área de sistemas de la cooperativa


“Rey David” son útiles.
• Elaborar recomendaciones y medidas para los diferentes trabajos y sus procesos
diarios.
• Desarrollar un plan de contingencia para evitar riesgos y tener control de la
Cooperativa.

3.3. Desarrollo de la Propuesta

3.3.1. Descripción de la propuesta

Análisis de la situación actual de la metodología en base del estudio de campo

La cooperativa Rey David del cantón Ambato se creó como una entidad financiera
privada, es una cooperativa que desarrollan actividades encaminadas al desarrollo
comunal de la Parroquia Santa Rosa; con esta intervención la cooperativa pudo ejecutar

39
varios proyectos de desarrollo social entre los principales: Proyecto de Ganadería,
Producción Textil, Producción de Especies Menores, Asesoría a distintas Cajas
Comunales de Ahorro y Crédito. Este esfuerzo tuvo resultados positivos desde el punto
de vista de desarrollo integral; sin embargo el no especializarse en una sola área fue su
debilidad. (CoacReyDavid, 2019)

A partir de este año y debido a la migración de casi un 80% de la población de Santa


Rosa hacia las principales ciudades del país, los directivos de esta cooperativa proponen
reformar su estatuto y razón social a Cooperativa de Ahorro y Crédito, mejorar su
estructura administrativa y operativa e inician su ampliación de cobertura proponiendo
instalar agencias y sucursales en principales ciudades de mayor concentración
migratoria de la población indígena del Ecuador quedan la matriz en el cantón Ambato
en las calles, tiene dos sucursales que están ubicadas en el cantón Cevallos y en la
provincia de Napo. (CoacReyDavid, 2019)

Misión

Es una institución financiera privada con inspiración cristiana y visión social, que apoya
el desarrollo local e integral de la población marginada de la provincia en las áreas
rurales y urbanas, a través de la prestación de los productos y servicios financieros de
calidad, y contribuyendo a reducir la pobreza, crear esperanza, justicia, paz y
condiciones de vida más humana. (CoacReyDavid, 2019)

Visión

Ser una institución financiera sólida, en permanente crecimiento e innovación, y


prestando productos y servicios de calidad, logrando la satisfacción e involucramiento
de nuestros socios, clientes, colaboradores y aliados estratégicos. (CoacReyDavid,
2019)

40
Valores institucionales

Los valores que rigen el diario vivir y el cumplimiento de deberes y obligaciones de


Representantes, Directivos, Gerente General y Trabajadores de la Cooperativa de
Ahorro y Crédito Rey David Ltda. (CoacReyDavid, 2019)

La cooperativa cuenta con sistemas y procesos informáticos que no satisfacen en su


totalidad las necesidades de la mismas, se pudo detectar mediante el estudio de campo
que uno de los principales problemas existentes es el que no cuenta con un
Departamento de TIC’s, así como también depende de empresas externas para realizar
cambios en los sistemas informáticos, a más de ellos se detectó la falta de conocimiento
tanto de empleados como directivos con relación a conocimientos básicos de tecnología
de la información y comunicación. (CoacReyDavid, 2019)

3.3.2. Alcance de la Auditoria

En la presente auditoria el alcance está determinado por el marco referencial de COBIT


5.0, se determinará la forma más eficiente de utilizar las TIC’s, mediante la realización
de una evaluación de las tecnologías de la información para verificar su calidad y
eficacia en los cinco dominós de COBIT 5.0 los cuales son:

• Evaluar, Dirigir y Monitorear


• Alinear, Planear y Organizar
• Monitorear, Evaluar y Valorar
• Construir, Adquirir e Implementar
• Entregar, Dar servicio y Soporte

Como primer punto a desarrollar en la auditoría es la recolección y evaluación de la


información la cual permite determinar si los procesos y sistemas de información de la
cooperativa, cumplen con la principal función de mantener la integridad de la
información que se maneja dentro de la cooperativa, y al ser utilizada la misma nos
permita obtener una información veraz se considerará los procesos a diagnosticar
mediante una determinación de acuerdo a su vulnerabilidad, según un formulario de
entidad en el cual se establecen procesos prioritarios. Identificar procesos críticos y

41
erróneos de acuerdo a los objetivos de control de la metodología COBIT 5.0, nos
permite generar recomendaciones mismas que serán planteadas en un dictamen final y
que a priori serán tomadas en cuenta en la aplicación de un plan de contingencia.

3.3.3. Estudio inicial en el cual se realiza la auditoría

3.3.3.1. Estructura organizacional

Ilustración 9: Estructura organizacional


Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

42
3.3.3.2. Número de puestos de trabajo

Tabla 11: Puestos de Trabajo

Nivel Puestos de Trabajo

Nivel Legislativo -

Nivel Ejecutivo 6

Nivel de Asesor -

Nivel de Apoyo -

Nivel Operativo 5

Total, Puestos de Trabajo 11

Elaborado por: Monar Balseca María Luisa


Fuente: Talento Humano Cooperativa Rey David

3.3.3.3. Seguridad de los departamentos de la Cooperativa

Seguridad Física

La seguridad física en la Cooperativa “Rey David” es regular ya que al momento de


atender a los socios la atención es la inadecuada, además no cuentan con un guardia de
seguridad o un encargado de realizar el primer contacto con el socio para saber a qué
parte de la cooperativa se dirige ya que el ingreso a las misma es libre a todos los
departamentos.

En el caso de algún documento o información importante de la cooperativa la realizan


con el gerente.

Seguridad Lógica

En la Cooperativa “Rey David” la seguridad lógica como tal es inadecuada ya que, al no


existir un departamento de TIC’s y que los empleados de dicha cooperativa no están
capacitados totalmente en el uso y manejo adecuado y hacen que los datos de la misma
estén expuestos a daños y robos de la información pues que al momento de los

43
mantenimientos pertinentes o daño en algún equipo informático se requiere de técnico
externo el mismo que está ubicado en la ciudad de Cuenca, por lo cual están
vulnerables, y por esta misma razón al carecer de un departamento de TIC’s no cuentan
con copias de seguridad que respalden su información.

3.3.4. Establecer los recursos necesarios para la auditoría

Dentro de los recursos utilizados para realizar el proceso de auditoría se encuentran las
encuestas realizadas a todos los empleados de la Cooperativa “Rey David”, también la
entrevista realizada al Gerente.

Otro punto muy importante fue la observación, ya que permitió evidenciar la carencia
de los recursos informáticos en la Cooperativa “Rey David”, permitiéndonos observar la
falta de conocimientos de parte de los empleados sobre las tecnologías de la
información.
Al igual se implementaron algunos recursos materiales y humanos como son:

Recursos materiales

Los recursos materiales fueron brindados por la cooperativa, por tal manera se realizó
una solicitud pidiendo la autorización para poder utilizar los activos de la entidad
financiera, como son los equipos de cómputo y uso de discos duros e impresoras.

Recursos humanos

Los recursos humanos los empleados de la Cooperativa “Rey David”, a los cuales se les
realizó las encuestas propuestas para esta auditoría, al Gerente al mismo que se le
ejecuto la entrevista.
La auditora en este caso mi persona María Monar y la tutora del presente trabajo.

3.3.4.1. Resultados de la encuesta

44
Análisis e interpretación de la encuesta aplicada a los empleados de la cooperativa
de ahorro y crédito “Rey David”

1. El acceso a la información que Ud. maneja es restringido a personas ajenas a la


Cooperativa

Tabla 12: Pregunta 1

DESCRIPCIÓN FRECUENCIA PORCENTAJE


SI 10 100%
NO 0 0%
TOTAL 10 100%
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

0%

SI
NO

100%

Ilustración 10: Pregunta 1


Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

Análisis e interpretación

El 100% de los encuestados responden que la información que manejan es restringida a


personas ajenas a la Cooperativa

De acuerdo con la pregunta 1, el 100% de encuestados responden que la información


que manejan es restringida a personas ajenas a la Cooperativa, lo que respalda el
presente proyecto.

45
2. Considera que la seguridad de la información que Ud. maneja en la cooperativa es la
adecuada

Tabla 13: Pregunta 2

DESCRIPCIÓN FRECUENCIA PORCENTAJE


SI 4 40%
NO 6 60%
TOTAL 10 100%
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

40%
SI
NO
60%

Ilustración 11: Pregunta 2


Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

Análisis e interpretación

El 40% de los encuestados responden que la seguridad de la información que manejan


en la cooperativa es la adecuada mientras tanto el 60% manifiestan que no es la
adecuada.

De acuerdo con la pregunta 2, el 60% de encuestados responden que la información que


manejan no es la adecuada, lo que respalda el presente proyecto.

46
3. A su criterio se debería mejorar el manejo de la información en la cooperativa

Tabla 14: Pregunta 3

DESCRIPCIÓN FRECUENCIA PORCENTAJE


SI 10 100%
NO 0 0%
TOTAL 10 100%
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

0%

SI
NO

100%

Ilustración 12: Pregunta 3


Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

Análisis e interpretación

El 100% de los encuestados responden que si se debiese mejorar el manejo de la


información en la cooperativa.

De acuerdo con la pregunta 3, el 100% de encuestados responden si se debería mejorar


el manejo de la información en la cooperativa, lo que respalda el presente proyecto.

47
4. A su criterio se debería mejorar los equipos informáticos en la cooperativa

Tabla 15: Pregunta 4

DESCRIPCIÓN FRECUENCIA PORCENTAJE


SI 10 100%
NO 0 0%
TOTAL 10 100%
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

0%

SI
NO

100%

Ilustración 13: Pregunta 4


Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

Análisis e interpretación

El 100% de los encuestados responden que si debiese mejorar los equipos informáticos
en la cooperativa.

De acuerdo con la pregunta 4, el 100% de encuestados responden si debería mejorar los


equipos informáticos en la cooperativa, lo que respalda el presente proyecto.

48
5. Se realizan copias de seguridad de la información en la Cooperativa

Tabla 16: Pregunta 5

DESCRIPCIÓN FRECUENCIA PORCENTAJE


SI 3 30%
NO 7 70%
TOTAL 10 100%
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

30%
SI
NO
70%

Ilustración 14: Pregunta 5


Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

Análisis e interpretación

El 70% de los encuestados responden que no se realizan copias de seguridad de la


información en la Cooperativa, mientras el 30% manifiestan que si realizan copias de
seguridad de la información.

De acuerdo con la pregunta 5, el 70% de encuestados responden que no realizan copias


de seguridad de la información en la Cooperativa, lo que respalda el presente proyecto.

49
6. Está establecido claves únicas para su computador

Tabla 17: Pregunta 6

DESCRIPCIÓN FRECUENCIA PORCENTAJE


SI 2 20%
NO 8 80%
TOTAL 10 100%
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

20%

SI
NO

80%

Ilustración 15: Pregunta 6


Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

Análisis e interpretación

El 20% de los encuestados responden que, si se han establecido claves únicas para su
computador, mientras el 80% manifiestan que no han establecido claves únicas para su
computador.

De acuerdo con la pregunta 6, 80% manifiestan que no han establecido claves únicas
para su computador, lo que respalda el presente proyecto.

50
7. Con que frecuencia cambia su clave de acceso:

Tabla 18: Pregunta 7

DESCRIPCIÓN FRECUENCIA PORCENTAJE


Mensual 1 10%
Trimestral 8 80%
Semestral 1 10%
Anual 0 0%
TOTAL 10 100%
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

10%0%10%
Mensual
Trimestral
Semestral
Anual

80%

Ilustración 16: Pregunta 7


Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

Análisis e interpretación

El 10% de los encuestados responden que cambia su clave de acceso mensualmente,


mientras el 10% manifiestan que cambia su clave de acceso semestralmente y el 80%
cambia su clave de acceso trimestralmente.

De acuerdo con la pregunta 7, 80% manifiestan que cambia su clave de acceso


trimestralmente, lo que respalda el presente proyecto.

51
3.3.4.2. Resultados de la entrevista

Análisis de la Entrevista al Tglo. Segundo Tisalema gerente de la Cooperativa


“Rey David”
Objetivo: Determinar la existencia de mecanismos de control en el área de sistemas de
la Cooperativa Rey David y la necesidad de ejecutar una Auditoria Informática
Fecha: 16/05/2019

Tabla 19: Resultados de la Entrevista al Gerente de la Cooperativa “Rey David”

Informante
INDICADORES EVALUADOS Tglo. Segundo Tisalema
Gerente de la Cooperativa Rey David
Existencia de un Departamento de TIC´s Duda en su respuesta por falta de
conocimiento en cuanto a tecnología y luego
manifiesta que sí sin embargo se verifica
mediante la observación que no existe dicho
departamento
Existencia de un diagrama funcional Manifiesta que no cuenta con un diagrama
funcional ya que sólo hay un encargado de
tics lo que corrobora la inexistencia del
departamento
Existencia de procedimiento para el uso No existe
de equipos de cómputo

Inventario actualizado de los recursos No existe


informáticos

Revisiones periódicas de la capacidad y En alguna ocasión sí se realizó


desempeño de los recursos de
informáticos
Conocimiento sobre riesgos en el manejo Posee poco conocimiento
de la información
Conocimiento y existencia de No posee conocimiento y manifiesta que en
Procedimientos y medidas de seguridad alguna ocasión se intentó incorporar medidas

52
en caso de un ataque dos software de seguridad
malicioso y virus informático

Realización de auditoría informática Como tal manifiesta que no


auditoría informática

Necesidad de auditoría para el control del Muy necesario


centro de datos

Existencia de un plan de contingencia No existe


Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

3.3.4.3. Resultados de la Observación

Tabla 20: Resultados de la observación en la Cooperativa “Rey David”

Indicadores para la observación Informe

Principales procesos que lleva a cabo la Caja – Crédito – Contabilidad - Gerencia


cooperativa Atención al cliente – Negocios
Valoración de la agilidad de cada proceso: • Caja:
• Depósitos: El tiempo para realizar
los depósitos es lento
• Retiros: El tiempo para realizar los
retiros son lentos
• Pagos: El tiempo para realizar los
pagos depende de la operadora que
parcialmente son medianamente
rápidos
• Recargas: Igualmente el tiempo
para realizar los pagos depende de
la operadora que parcialmente son
medianamente rápidos
• Crédito: Los créditos que se realizan en
la cooperativa son lentos según el
monto y el acuerdo con el deudor.
• Contabilidad: Son lentos ya que el
sistema que ocupan se cuelga
• Gerencia: La atención del gerente para
los socios es rápida
• Atención al cliente: La atención lenta
ya que el sistema que ocupan se cuelga

53
• Negocios: La atención es
medianamente rápida
Caja1:
• El sistema operativo es Microsoft
Windows XP Professional 32-Bit
• Nombre de dominio REYDAVID
• ROLES: Estación de trabajo,
servidor, navegador de potencial,
navegador de copia de seguridad
• Procesador Pentium(R) Dual-Core
CPU E5800 @ 3.20GHz
• BIOS Versión Intel - 12 BIOS
• Memoria total 2016MB
• Memoria libre 1077MB
Caja2:
• El sistema operativo es Microsoft
Windows XP Professional 32-Bit
• Nombre de dominio REYDAVID
• ROLES: Estación de trabajo,
servidor, navegador de potencial,
navegador de copia de seguridad
• Procesador Pentium(R) Dual-Core
CPU E5800 @ 3.20GHz
• BIOS Versión Intel - 12 BIOS
• Memoria total 2016MB
• Disco Duro Total 932GB
CONTABILIDAD-PC

Nombre de dominio REYDAVID

Roles Estación de trabajo, servidor,
navegador potencial
• El sistema operativo es Microsoft
Windows 6.2 Professional 32-Bit
• Procesador CPU Intel (R) Core
(TM) i3-3240 a 3,40 GHz |
• Memoria total 3504MB
• Disco Duro Total 698GB
• BIOS Versión INTEL - 9
SECRETARIA-PC
• Nombre de dominio REYDAVID
• Roles Estación de trabajo, servidor,
navegador potencial

54
• Sistema operativo |Microsoft
Windows 7 Professional de 32 bits
• Descripción del procesador
Pentium (R) CPU de doble núcleo
E5500 @ 2.80GHz
• Memoria total 2016MB
• Disco Duro Total 466GB
• Versión BIOS _ASUS_ - 12 BIOS
FINANCIERO-PC
• Nombre de dominio REYDAVID
• Roles Estación de trabajo, servidor,
navegador potencial
• Sistema operativo Microsoft
Windows 6.2 Professional de 32
bits
• Descripción del procesador CPU
Intel (R) Core (TM) i3-3240 a 3,40
GHz
• Memoria total 3504MB
• Disco Duro Total 698GB
• Versión BIOS INTEL – 9
ASESOR-PC
•Nombre de dominio REYDAVID
•Roles Estación de trabajo, servidor,
navegador de potencial, navegador
de copia de seguridad
• Sistema operativo Microsoft
Windows 7 Home Premium de 32
bits
• Descripción del procesador Intel
(R) Pentium (R) 4 CPU 2.80GHz
• Memoria total 480MB
• Disco Duro Total 74.6GB
• Versión BIOS ACRSYS -
42302e31 Phoenix
REYPC02
• Nombre de dominio REYDAVID
• Estación de trabajo, servidor,
navegador potencial, navegador
maestro
• Sistema operativo Microsoft
Windows XP Professional de 32

55
bits
• Descripción del procesador
Pentium (R) CPU de doble núcleo
E5500 @ 2.80GHz
• Memoria total 2016MB
• Disco Duro Total 466GB
• Versión BIOS | HPQOEM –
20100303
GERENTEPC
•Nombre de dominio REYDAVID
•Estación de trabajo, servidor,
navegador potencial, navegador
maestro
• Sistema operativo |Microsoft
Windows 7 Professional de 32 bits
• Descripción del procesador
Pentium (R) CPU de doble núcleo
E5500 @ 2.80GHz
• Memoria total 3504MB
• Disco Duro Total 698GB
• BIOS Versión INTEL – 9
NEGOCIOS-PC
• Nombre de dominio REYDAVID
• Roles Estación de trabajo, servidor,
navegador potencial
• Sistema operativo | Microsoft
Windows 6.2 Professional de 32
bits
• Descripción del procesador CPU
Intel (R) Core (TM) i3-3240 a 3,40
GHz
• Memoria total 3504MB
• Disco Duro Total 698GB
• Versión BIOS | INTEL - 9
Existencia del departamento de TIC’s No existe un departamento e TIC’s
Existencia de organigrama estructural y Observe que no existe dicho organigrama
funcional estructural y tampoco un funcional.
Existencia de inventarios de recursos Si tienen, pero no actualizado, la fecha del
informáticos inventario es el 12/04/2016
Existencia de licenciamiento de software La Base de Datos que utilizan es
POSTGRESQL

56
Cliente- Servidor (Dos capas)
Con licencia de Uso
Versión 1.30
Lenguaje de programación POWER
BUILDER
Microsoft Office Versión 2.0
Valoración del servicio de internet No se puede visualizar el contrato del
internet del Proveedor de CNT
Comunicación interna: La comunicación interna es regular, falta
de comunicación acertada, mal
interpretación de mensajes internos,
ausencia del Departamento de TIC’s, falta
de capacitaciones y conocimientos en el
tema de tecnología.
Riesgos en la información Los riesgos para la información si existen
ya que se puede observar que como no
cuentan con un Ingeniero en sistemas, al
momento de reparar los equipos de
cómputo llaman a un técnico externo.
• Cambio de claves
• Errores de mantenimiento /
actualización de programas
• Contaminación por Virus a la
Información
• Difusión de software dañino
• Caída del sistema por agotamiento
de recursos
• Vulnerabilidades de los programas
• Errores del administrador
• Errores de configuración.
Inversión en tecnología La inversión tecnología es de $29.600
Equipos de cómputo $15,000
Impresoras $1,000
Redes $2,000
Infraestructura $,500
Proveedores $9,000
Equipamiento de oficina $500
Satisfacción del cliente Los clientes se pudieron observar que se
encuentran a gusto con la atención bridada
Existencia de software de aplicación Si existe
La Base de Datos que utilizan es
POSTGRESQL

57
Cliente- Servidor (Dos capas)
Con licencia de Uso
Versión 1.30
Lenguaje de programación POWER
BUILDER
Capacitación a los empleados No se da una capitación adecuada a los
empleados, ya que por lo que pude
observar carecen de conocimientos básicos
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

Análisis de las encuestas, entrevistas y observación

Una vez realizado el diagnóstico de la situación a través, de un estudio de campo


realizado en el lugar mismo de los hechos, mediante la aplicación de encuestas a los
empleados, entrevista y mediante la observación en la Cooperativa de Ahorro y Crédito
Rey David de la ciudad de Ambato se concluyó que:

• La Cooperativa Rey David carece de un departamento de TIC’s lo que hace que


la información sea vulnerable ya que al momento de mantenimientos o daños en
los equipos de cómputo llamen a un técnico externo.

• Los empleados de la cooperativa desconocen de temas de seguridad de la


información.

• Las claves personales en cada equipo de cómputo no son cambiadas


frecuentemente y esto hace que sea vulnerable para que personas ajenas a la
entidad financiera tengan acceso a la información.

• La cooperativa no cuenta con un plan de contingencia para garantizar el


funcionamiento de los equipos de cómputo, en caso de daños o alguna
emergencia.

• Los empleados carecen de conocimientos básicos de los equipos de cómputo y


esto hace que no sean utilizados de una correcta manera.

58
3.4. Elaboración del plan de Auditoria

3.4.1. Análisis de procesos realizados en la Cooperativa “Rey David”

En el plan de auditoria se van a detallar los procesos elaborados en la Cooperativa “Rey


David”, para esto se ejecuta una elección de los procesos que fueron seleccionados
mediante la encuesta, entrevista y la observación, ya que esto nos ayuda para tener en
cuenta que procesos se realizan con mayor repetición en la entidad financiera.

La encuesta está establecida en una matriz de posibilidad de ocurrencia de los procesos,


comenzando de este punto se elaboran los diagramas de los procesos elegidos para una
mejor valoración y observación.
En la Cooperativa “Rey David”, se llevan a realizan seis procesos los cuales son:
• Depósitos
• Retiros
• Créditos
• Pagos
• Registro de asistencia
• Ciclo contable

En esta matriz se muestra la posibilidad de ocurrencia que puede tener cada proceso,
dando una apreciación de uno a cuatro siendo uno la evaluación más baja y cuatro la
más alta, mostrando la posibilidad de que un proceso ocurra.

Tabla 21: Posibilidad procesos

PROBABILIDAD ESCALA DESCRIPCIÓN


Poco probable 1 El proceso ocurre anualmente
Posible 2 El proceso ocurre mensualmente
Probable 3 El proceso ocurre semanalmente
Muy Probable 4 El proceso ocurre a diario
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

En la encuesta realizada sobre la ocurrencia de procesos a los empleados de la


Cooperativa “Rey David”, en dichas encuestas se ha tomado los procesos con escala

59
tres y cuatro siendo como tal los procesos con mayor riesgo de fallas, pues son los
procesos de ocurrencia diaria o por lo menos semanalmente.

La matriz indica que de los seis procesos que se realizan en la Cooperativa “Rey
David”, tres de estos son de ocurrencia usual por lo mismo son los más expuestos a
fallas.

Tabla 22: Análisis de procesos

N° PROCESO ESCALA SE AUDITA


ANALIZADO ALCANZADA
1 2 3 4 SI NO
1 Depósitos X X
2 Retiros X X
3 Créditos X X
4 Pagos X X
5 Registro de asistencia X X
6 Ciclo contable X X
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

3.4.2. Diagramas de procesos de la Cooperativa “Rey David”

Aquí se puntualizan los seis procesos previamente elegidos, analizados en diagramas de


procesos permitiéndonos considerar la interacción de los objetos en el sistema, de una
manera más clara y breve.

Primer proceso (P01): Depósitos


Objetivo del proceso: Es mantener el dinero a salvo y aumentar al máximo sus intereses

Diagrama: Diagrama del primer proceso

60
Ilustración 17: Depósitos
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

Segundo proceso (P02): Retiros

Objetivo del proceso: Es la transacción por medio de la cual el cliente retira y recibe
determinada cantidad de dinero existente en su cuenta bancaria en la oficina de su
institución financiera.

Diagrama: Diagrama del segundo proceso

Ilustración 18: Retiros


Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

61
Tercer proceso (P03): Créditos

Objetivo del proceso: Préstamo de dinero a una persona o entidad, que se compromete a
devolverlo en un solo pago o en forma gradual

Diagrama: Diagrama del tercer proceso

Ilustración 19: Créditos


Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

Cuarto proceso (P04): Pagos

Objetivo del proceso: Administrar los diferentes tipos de pagos de los clientes de
manera eficiente.

Diagrama: Diagrama del cuarto proceso

Ilustración 20: Pagos


Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

62
Cuarto proceso (P05): Registro de asistencia

Objetivo del proceso: Administrar los diferentes tipos de pagos de los clientes de
manera eficiente.

Diagrama: Diagrama del quinto proceso

Ilustración 21: Registro de asistencia


Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

Cuarto proceso (P06): Ciclo contable

Objetivo del proceso: Realizar el proceso de registros que va desde el registro inicial de
las transacciones hasta los estados financieros finales

Diagrama: Diagrama del sexto proceso

Ilustración 22: Ciclo contable


Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

63
3.4.3. Elaboración del FODA y de la Cooperativa “Rey David”

Posteriormente de a ver realizado un análisis detallado de la entidad financiera mediante


la observación, indagación, entrevistas y encuestas se ha determino algunas fortalezas y
debilidades existentes que son:

Tabla 23: Análisis interno

Análisis Interno

Fortalezas Debilidades
Atención inmediata a los socios. Falta de conocimientos en el
área de informática.
Convenios con principales Falta de capacitación a los
instituciones del sector público. empleados de la cooperativa.

Factores Cumple con las principales Falta de seguridad física en la


obligaciones establecidas por la entidad financiera.
ley.
La Cooperativa está ubicada en Falta de organización.
un lugar estratégico de la ciudad.
Capacidad de respuesta oportuna Reducido acceso a la tecnología.
a los socios.
Confianza y credibilidad a los Falta de procedimientos y
socios de la entidad financiera. políticas en el área de sistemas
para los mecanismos de control.
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

Tabla 24: Análisis externo

Análisis Externo
Oportunidades Amenazas

64
Mejorar la imagen Mercado competitivo alto.
institucional.
Mejorar la calidad de Conocimientos básicos e inadecuados
tecnología de información y de las tecnologías de la información.
Factores comunicación.
Nuevas tecnologías en No existen manuales de procesos y
software y hardware. procedimientos del uso adecuado de los
equipos de cómputo.
Campañas de capacitación Existencia de empresas intermediarias
para empleados. en los mecanismos de control de la
cooperativa.
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

3.4.4. Elaboración del plan de trabajo para la auditoría

Posteriormente realizado el estudio inicial y el análisis al entorno a auditar, se tiene una


perspectiva completa y ordenada de la Cooperativa “Rey David”, permitiendo llevar a
cabo la fase uno de la metodología determinada para la auditoría.

3.4.5. Selección de los procesos COBIT a auditar con relación a la Cooperativa


“Rey David”

La Cooperativa “Rey David”, para lograr sus objetivos corporativos necesita disponer
los recursos de Tecnologías de la Información por un grupo de procesos, agrupados de
forma que faciliten la información necesaria para conseguir lo establecido por la
institución financiera. Para lo cual se consideran los procesos COBIT para satisfacer
diferentes criterios de la información, cuyos procesos serán elegidos mediante un
formulario de entidad propuesto por ISACA en su libro “Cobit Implementation tool
set”, admitiendo ejecutar una adecuada clasificación de los procesos a auditar por medio
de un análisis de prioridades.

65
3.4.6. Formulario de Entidad

Mediante este formulario se determinó la importancia, el riesgo y los controles que se


realizan a los procesos, para la selección de esta información se realizaron las siguientes
preguntas:
Importancia: Aquí la persona encuestada según sus roles desempeñados en la
Cooperativa de ahorro y crédito “Rey David”, establece el nivel de importancia que crea
preciso, las opciones de respuesta serán presentadas de mayor a menor de la siguiente
manera:
• Muy importante
• Algo importante
• No importante

Riesgo: Aquí se busca que el encuestado indique el nivel de riesgo que se puede generar
en las tareas realizadas, para lo cual se presenta las siguientes alternativas:
• Alto
• Medio
• Bajo

Control Interno: Aquí se hace énfasis en la documentación aprobada y publicada en la


cooperativa, esta documentación hace referencia a las tareas realizadas. Las alternativas
a elegir por el encuestado son:
• Documentado
• No Documentado
• No está seguro

66
FORMULARIO DE ENTIDAD

Importancia Riesgo Control Interno

No Documentado
No Importante

No esta seguro
Documentado
Departamento
Importante

Importante

Medio

Bajo
Alto
Cargo
Muy

Algo

Procesos COBIT
Evaluar, Dirigir y Monitorear
EDM01 Asegurar que se fija el Marco de Gobierno y su Mantenimiento
EDM02 Asegurar la Entrega de Valor
EDM03 Asegurar la Optimización de los Riesgos
EDM04 Asegurar la Optimización de los Recursos
EDM05 Asegurar la Transparencia a las partes interesadas
Alinear, Planear y Organizar
APO01 Administrar el Marco de la Administración de TI
APO02 Administrar la Estrategia
APO03 Administrar la Arquitectura Corporativa
APO04 Administrar la Innovación
APO05 Administrar el Portafolio
APO06 Administrar el Presupuesto y los Costos
APO07 Administrar el Recurso Humano
APO08 Administrar las Relaciones
APO09 Administrar los Contratos de Servicios
APO10 Administrar los Proveedores
APO11 Administrar la CalidadAPO12 Administrar los Riesgos
APO12 Administrar la Seguridad
Monitorear, Evaluar y Valorar
MEA01 Monitorear, Evaluar y Valorar el Desempeño y Cumplimiento
MEA02Monitorear, Evaluar y Valorar el Sistema de Control Interno
MEA03Monitorear, Evaluar y Valorar el Cumplimiento con Requisitos Externos
Construir, Adquirir e Implementar
BAI01 Administrar Programas y Proyectos
BAI02 Administrar la Definición de Requerimientos
BAI03 Administrar la Identificación y Construcción de Soluciones
BAI04 Administrar la Disponibilidad y Capacidad
BAI05 Administrar la Habilitación del Cambio
BAI06 Administrar Cambios
BAI07 Administrar la Aceptación de Cambios y Transiciones
BAI08 Administrar el Conocimiento
BAI09 Administrar los Activos
BAI10 Administrar la Configuración
Entregar, Servir y Dar Soporte
DSS01 Administrar las Operaciones
DSS02 Administrar las Solicitudes de Servicios y los Incidentes
DSS03 Administrar Problemas
DSS04 Administrar la Continuidad
DSS05 Administrar los Servicios de Seguridad
DSS06 Administrar los Controles en los Procesos de Negocio
Ilustración 23: Formulario de entidad que se usa en la Cooperativa “Rey David"
Elaborado por: Monar Balseca María Luisa
Fuente: (ISACA, 2019)

67
3.4.7. Modelo de Madurez

El modelo de madurez para la administración y el control de los procesos de


Tecnologías de Información se basa en un método de evaluación de la organización, de
tal forma que se pueda evaluar a si misma desde un nivel de no-existente (0) hasta un
nivel de optimizado (5). Este enfoque se deriva del modelo de madurez que el Software
Engineering Institute

Se define un estado de madurez para los procesos que son seleccionados el punto
anterior mediante el formulario de entidad, la escala incluye 0 a 5 porque es bastante
probable que no exista ningún proceso en absoluto. La escala 0-5 se basa en una escala
simple de madurez que muestra cómo evoluciona un proceso desde inexistente hasta
optimizado.

Se considera que una de las principales ventajas para utilizar el modelo de madurez
antes mencionado es la facilidad de auto evaluación ya que permite ubicarse a sí mismo
en un nivel y valorar los requerimientos para aplicar una mejora si así se requiere, los
principales objetivos del modelo de madurez están determinados de la siguiente manera:

• Donde se encuentra la cooperativa en la actualidad.


• La comparación.
• Donde se desea estar que la cooperativa se encuentre en un futuro.

Tabla 25: Nivel de madurez

NIVELES DE MADUREZ
Carencia completa de cualquier proceso reconocible. La
0
empresa no ha reconocido siquiera que existe un problema a
NO EXISTENTE
resolver
Existe evidencia que la empresa ha reconocido que los
problemas existen y requieren ser resueltos. Sin
1 embargo; no existen procesos estándar en su lugar existen
INICIAL enfoquesad hoc que tienden a ser aplicados de forma
individual o caso por caso. El enfoque general hacia la
administración es desorganizado.

68
Se han desarrollado los procesos hasta el punto en que se
siguen procedimientos similares en diferentes áreas que
realizan la misma tarea. No hay entrenamiento o
2
comunicación formal de los procedimientos estándar, y se deja
REPETIBLE
la responsabilidad al individuo. Existe un alto grado de
confianza en el conocimiento de los individuos y, por lo tanto,
los errores son muy probables.
Los procedimientos se han estandarizado y documentado, y se
han difundido a través de entrenamiento. Sin embargo, se
3 deja que el individuo decida utilizar estos procesos, y
DEFINIDO es poco probable que se detecten desviaciones. Los
procedimientos en sí no son sofisticados, pero formalizan las
prácticas existentes.
Es posible monitorear y medir el cumplimiento de
los procedimientos y tomar medidas cuando los procesos no
4 estén trabajando de forma efectiva. Los procesos están bajo
ADMINISTRADO constante mejora y proporcionan buenas prácticas. Se usa la
automatización y herramientas de una manera limitada
o fragmentada.
Los procesos se han refinado hasta un nivel de mejor práctica,
se basan en los resultados de mejoras continuas y en un
5
modelo de madurez con otras empresas. TI se usa de forma
integrada para automatizar el flujo de trabajo, brindando
OPTIMIZADO
herramientas para mejorar la calidad y la efectividad, haciendo
que la empresa se adapte de manera rápida.
Elaborado por: Monar Balseca María Luisa
Fuente: (Ulloa Barrera, 2017)

3.4.8. Evaluación de riesgos de la tecnología de la información

3.4.8.1. Selección de los involucrados

69
Como muestra se consideró a todas las personas que laboran en la cooperativa Rey
David, puesto que esta población son 11 individuos aquí se tiene como fin determinar la
información más adecuada para realizar, un examen minucioso a lo misma.

Cabe mencionar que las personas fueron clasificadas mediante grupos de acuerdo con
las experiencias en sus respectivos puestos de trabajo, áreas y departamentos que tiene
la cooperativa

Parte Gerencial: Este nos dará a conocer cuáles son los temas de mayor interés a su
criterio, para posterior a ellos considerarlo en la auditoria.

Departamentos de la Cooperativa: La opinión de los jefes departamentales es


importante razón por la cual se considera que tienen que ser evaluados

Empleados: Proporcionan la información más puntual acerca del funcionamiento de la


cooperativa

3.4.8.2. Selección de los procesos COBIT prioritarios y de riesgo para la Cooperativa


Rey David

Aquí se consideró los procesos importantes para las personas encuestadas mediante el
Formulario de Entidad.

Antes de la aplicación de la encuesta, se capacitado a los empleados, jefes y directivos


de la cooperativa con relación a la aplicación de la metodología COBIT en su
cooperativa, los beneficios que esta nos ofrece y resultados que se aspira obtener.

Se dio una explicación detallada a los involucrados en la auditoria acerca de conceptos


básicos y principios de COBIT, identificando los cinco dominios que maneja la
metodología aplicada y sus 37 procesos relacionados con los diferentes dominios.

70
3.4.8.3. Resultados de encuestas de selección de procesos COBIT a auditar

Aquí se muestra los resultados obtenidos de las encuestas aplicadas a directivos, jefes y
empleados de la cooperativa para posterior a ello seleccionar los procesos de más
transcendencia acorde con la metodología COBIT.
Dominio: Evaluar, Dirigir y Monitorear
Matriz de encuesta: Formulario de Entidad diagnóstico de Prioridad y Riesgo.
Parámetro de Medición: Importancia y Riesgo

Tabla 26: Dominio: Evaluar, Dirigir y Monitorear

Departamento

Importancia
Empleados
Promedio
Gerente
Jefe de
RESULTADOS DE INVOLUCRADOS

Evaluar, Dirigir y Monitorear Resultados


Asegurar que se fija el Marco de Gobierno y su
6 5 5 5
EDM01 Mantenimiento
EDM02 Asegurar la Entrega de Valor 5 5 4 5
EDM03 Asegurar la Optimización de los Riesgos 5 5 4 5
EDM04 Asegurar la Optimización de los Recursos 5 5 5 5
EDM05 Asegurar la Transparencia a las partes interesadas 5 4 4 4
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

Procesos COBIT que Destacan:


EDM01 Asegurar que se fija el Marco de Gobierno y su Mantenimiento
EDM02 Asegurar la Entrega de Valor
EDM03 Asegurar la Optimización de los Riesgos
EDM04 Asegurar la Optimización de los Recursos

Dominio: Alinear, Planear y Organizar


Matriz de encuesta: Formulario de Entidad diagnóstico de Prioridad y Riesgo.
Parámetro de Medición: Importancia y Riesgo

71
Tabla 27: Dominio: Alinear, Planear y Organizar

Departamento

Importancia
Empleados
Promedio
Gerente
Jefe de
RESULTADOS DE INVOLUCRADOS

Alinear, Planear y Organizar Resultados


Administrar el Marco de la Administración de
5 5 4 5
APO01 TI
APO02 Administrar la Estrategia 5 6 5 5
APO03 Administrar la Arquitectura Corporativa 5 4 4 4
APO04 Administrar la Innovación 4 4 4 4
APO05 Administrar el Portafolio 5 4 5 5
APO06 Administrar el Presupuesto y los Costos 5 4 5 5
APO07 Administrar el Recurso Humano 4 3 5 4
APO08 Administrar las Relaciones 6 5 4 5
APO09 Administrar los Contratos de Servicios 4 5 4 4
APO10 Administrar los Proveedores 4 5 5 5
APO11 Administrar la Calidad 4 5 4 4
APO12 Administrar la Seguridad 5 4 5 5
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

Procesos COBIT que Destacan:


APO01 Administrar el Marco de la Administración de TI
APO02 Administrar la Estrategia
APO05 Administrar el Portafolio
APO06 Administrar el Presupuesto y los Costos
APO08 Administrar las Relaciones
APO10 Administrar los Proveedores
APO12 Administrar la Seguridad

Dominio: Monitorear, Evaluar y Valorar


Matriz de encuesta: Formulario de Entidad diagnóstico de Prioridad y Riesgo.

72
Parámetro de Medición: Importancia y Riesgo

Tabla 28: Dominio: Monitorear, Evaluar y Valorar

Departamento

Importancia
Empleados
Promedio
Gerente
Jefe de
RESULTADOS DE INVOLUCRADOS

Monitorear, Evaluar y Valorar Resultados


Monitorear, Evaluar y Valorar el Desempeño y
MEA01 Cumplimiento 5 5 4 5
Monitorear, Evaluar y Valorar el Sistema de Control
MEA02 Interno 4 4 3 4
Monitorear, Evaluar y Valorar el Cumplimiento con
MEA03 Requisitos Externos 5 4 5 5
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

Procesos COBIT que Destacan:


MEA01 Monitorear, Evaluar y Valorar el Desempeño y Cumplimiento
MEA03 Monitorear, Evaluar y Valorar el Cumplimiento con Requisitos Externos

Dominio: Construir, Adquirir e Implementar


Matriz de encuesta: Formulario de Entidad diagnóstico de Prioridad y Riesgo.
Parámetro de Medición: Importancia y Riesgo

Tabla 29: Dominio: Construir, Adquirir e Implementar


Departamento

Importancia
Empleados
Promedio
Gerente
Jefe de

RESULTADOS DE INVOLUCRADOS

Construir, Adquirir e Implementar Resultados


BAI01 Administrar Programas y Proyectos 4 4 3 4
BAI02 Administrar la Definición de Requerimientos 5 5 5 5
BAI03 Administrar la Identificación y Construcción de 5 4 5 5

73
Soluciones
BAI04 Administrar la Disponibilidad y Capacidad 4 4 3 4
BAI05 Administrar la Habilitación del Cambio 5 4 5 5
BAI06 Administrar Cambios 3 3 4 3
Administrar la Aceptación de Cambios y
BAI07 Transiciones 5 4 5 5
BAI08 Administrar el Conocimiento 5 5 4 5
BAI09 Administrar los Activos 5 5 4 5
BAI10 Administrar la Configuración 5 6 6 6
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

Procesos COBIT que Destacan:


BAI02 Administrar la Definición de Requerimientos
BAI03 Administrar la Identificación y Construcción de Soluciones
BAI05 Administrar la Habilitación del Cambio
BAI07 Administrar la Aceptación de Cambios y Transiciones
BAI08 Administrar el Conocimiento
BAI09 Administrar los Activos
BAI10 Administrar la Configuración

Dominio: Entregar, Servir y Dar Soporte


Matriz de encuesta: Formulario de Entidad diagnóstico de Prioridad y Riesgo.
Parámetro de Medición: Importancia y Riesgo

Tabla 30: Dominio: Entregar, Servir y Dar Soporte


Departamento

Importancia
Empleados
Promedio
Gerente
Jefe de

RESULTADOS DE INVOLUCRADOS

Entregar, Servir y Dar Soporte Resultados


DSS01 Administrar las Operaciones 5 5 5 5
DSS02 Administrar las Solicitudes de Servicios y los 4 4 3 4

74
Incidentes
DSS03 Administrar Problemas 5 5 6 5
DSS04 Administrar la Continuidad 5 4 3 4
DSS05 Administrar los Servicios de Seguridad 6 6 6 6
Administrar los Controles en los Procesos de
DSS06 Negocio 5 4 4 4
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

Procesos COBIT que Destacan:


DSS01 Administrar las Operaciones
DSS03 Administrar Problemas
DSS05 Administrar los Servicios de Seguridad

Resumen de los procesos COBIT seleccionados a Auditar

En la tabla de representación se muestra el impacto de los procesos escogidos


inicialmente sobre los criterios de control de COBIT y los recursos de TI COBIT.

Tabla 31: Resumen de los procesos COBIT seleccionados a Auditar

Recursos del Criterios de Información


TI COBIT COBIT
Infraestructura

Disponibilidad
Cumplimiento
Confiabilidad
Información

Efectividad

Integridad
Aplicación

Eficiencia
Personas

Procesos COBIT Escogidos

Evaluar, Dirigir y Monitorear


Asegurar que se fija el
Marco de Gobierno y su X X X X P S P P
EDM01 Mantenimiento
Asegurar la Entrega de
X X X P P P
EDM02 Valor

EDM03 Asegurar la Optimización X X S P P S P P

75
de los Riesgos

Asegurar la Optimización
X X X P P S P P
EDM04 de los Recursos
Alinear, Planear y Organizar
Administrar el Marco de
X X X P P S P P
APO01 la Administración de TI
APO02 Administrar la Estrategia X X X P S P P
APO05 Administrar el Portafolio X X X P S P
Administrar el
X X P S P P
APO06 Presupuesto y los Costos
Administrar las
X X X P S P
APO08 Relaciones
Administrar los
X X X P S S P
APO10 Proveedores
APO12 Administrar la Seguridad X X X X P P P S P
Monitorear, Evaluar y Valorar
Monitorear, Evaluar y
Valorar el Desempeño y X X S P P
MEA01 Cumplimiento
Monitorear, Evaluar y
Valorar el Cumplimiento X X X P S P P
MEA03 con Requisitos Externos
Construir, Adquirir e
Implementar
Administrar la Definición
X X P S P
BAI02 de Requerimientos
Administrar la
Identificación y
X X P S P
Construcción de
BAI03 Soluciones
Administrar la
X X X X P P S P P P
BAI05 Habilitación del Cambio

76
Administrar la Aceptación
de Cambios y X X X X P S P P
BAI07 Transiciones
Administrar el
X X P P P P P P
BAI08 Conocimiento
BAI09 Administrar los Activos X X X P S P P P P
Administrar la
X X P P P
BAI10 Configuración
Entregar, Servir y Dar Soporte
Administrar las
X X X X P S P
DSS01 Operaciones
DSS03 Administrar Problemas X X X X P P P P P P
Administrar los Servicios
X X P P P P P P
DSS05 de Seguridad
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

La nomenclatura utilizada en la anterior tabla es la siguiente:

(P) Cuando el proceso tenga un impacto directo sobre el requerimiento de los criterios
de COBIT.

(S) Cuando el proceso tenga un impacto indirecto o secundario sobre los requerimientos
de los criterios de COBIT.

(Vacío) Cuando el proceso no tiene ningún impacto sobre los requerimientos de los
criterios de COBIT.

Aquí los recursos de COBIT tendrán una nomenclatura diferente que será simbolizada
de la siguiente manera:

(X) Cuando el proceso seleccionado tenga impacto sobre los recursos de del TI.

77
(Vacío) Cuando el proceso seleccionado no tiene ningún impacto sobre los recursos del
TI.

Mediante los porcentajes propuestos en la metodología para el manejo de riesgos por


COSO, se asignara un valor promedio para los procesos de impacto primario y
al igual para los de impacto secundario. (Ulloa Barrera, 2017)

Esto nos permitirá obtener un porcentaje de los criterios de la información manejados en


la tabla anterior, los impactos a manejar serán clasificados de la siguiente manera:
(Ulloa Barrera, 2017)

Tabla 32: Porcentaje de los criterios

PORCENTAJE IMPACTO PROMEDIO


15% 50% BAJO 16%
51% 75% MEDIO (S) 52%
76% 95% ALTO (P) 92%

Elaborado por: Monar Balseca María Luisa


Fuente: (Ulloa Barrera, 2017)

Aquí vamos determinar los porcentajes conseguidos, acorde al impacto de los procesos
COBIT sobre los criterios de la información elegidos anteriormente, por medio de lo
planteado por COSO se determinará un valor de 92% a los de impacto primario y un
52% cuando el impacto sea secundario y espacio en blanco (vacío) cuando el impacto
sea nulo, asignándolo de la siguiente manera:

Tabla 33: Porcentajes de los procesos de impacto

Criterios de Información
COBIT
Disponibilidad

Cumplimiento

Confiabilidad
Efectividad

Integridad
Eficiencia

Procesos COBIT Escogidos

Evaluar, Dirigir y Monitorear

78
Asegurar que se fija el Marco de
0,92 0,52 0,92 0,92
EDM01 Gobierno y su Mantenimiento
EDM02 Asegurar la Entrega de Valor 0,92 0,92 0,92

EDM03 Asegurar la Optimización de los Riesgos 0,52 0,92 0,92 0,52 0,92 0,92
Asegurar la Optimización de los
0,92 0,92 0,52 0,92 0,92
EDM04 Recursos
Alinear, Planear y Organizar
Administrar el Marco de la
0,92 0,92 0,52 0,92 0,92
APO01 Administración de TI
APO02 Administrar la Estrategia 0,92 0,52 0,92 0,92
APO05 Administrar el Portafolio 0,92 0,52 0,92

APO06 Administrar el Presupuesto y los Costos 0,92 0,52 0,92 0,92

APO08 Administrar las Relaciones 0,92 0,52 0,92


APO10 Administrar los Proveedores 0,92 0,52 0,52 0,92
APO12 Administrar la Seguridad 0,92 0,92 0,92 0,52 0,92
Monitorear, Evaluar y Valorar
Monitorear, Evaluar y Valorar el
0,52 0,92 0,92
MEA01 Desempeño y Cumplimiento
Monitorear, Evaluar y Valorar el
0,92 0,52 0,92 0,92
MEA03 Cumplimiento con Requisitos Externos
Construir, Adquirir e Implementar
Administrar la Definición de
0,92 0,52 0,92
BAI02 Requerimientos
Administrar la Identificación y
0,92 0,52 0,92
BAI03 Construcción de Soluciones

BAI05 Administrar la Habilitación del Cambio 0,92 0,92 0,52 0,92 0,92 0,92

Administrar la Aceptación de Cambios y


0,92 0,52 0,92 0,92
BAI07 Transiciones
BAI08 Administrar el Conocimiento 0,92 0,92 0,92 0,92 0,92 0,92
BAI09 Administrar los Activos 0,92 0,52 0,92 0,92 0,92 0,92
BAI10 Administrar la Configuración 0,92 0,92 0,92

79
Entregar, Servir y Dar Soporte
DSS01 Administrar las Operaciones 0,92 0,52 0,92
DSS03 Administrar Problemas 0,92 0,92 0,92 0,92 0,92 0,92

DSS05 Administrar los Servicios de Seguridad 0,92 0,92 0,92 0,92 0,92 0,92

Elaborado por: Monar Balseca María Luisa


Fuente: Talento Humano Cooperativa Rey David

Evaluación del nivel de madurez actual de los procesos críticos seleccionados.

Aquí se procesarán las tablas de madurez de los procesos elegidos preliminarmente,


teniendo en cuenta el entorno actual en el que se encuentra la Cooperativa “Rey David”,
mediante los criterios de información de la tabla anterior.

Para lo cual se obtendrá de los procesos COBIT que fueron elegidos anteriormente, por
medio del formulario de entidad elaborado a los empleados de la Cooperativa “Rey
David”.

Análisis del estado de madurez del dominio: Evaluar, Dirigir y Monitorear

EDM01 Asegurar que se fija el Marco de Gobierno y su Mantenimiento

Facilitar orientación para la eficacia del gobierno y mantenimiento de la Cooperativa


“Rey David”. Para responder las disposiciones referentes a TI y de conozcan las
estrategias y objetivos de la cooperativa, y así garantizar el control de los conocimientos
de carácter elegible y transparente, para el desempeño de las exigencias que se han
alcanzado las obligaciones para la gerencia de la entidad financiera.

EDM02 Asegurar la Entrega de Valor

Certificar una cuantía recomendable de las decisiones de las TI, valores y activos
utilizables, para la eficientemente entrega de valores y recursos para una posición
confidencial de los costes y de la ayuda para cubrir las necesidades de la Cooperativa
“Rey David”, para que haya la positiva y eficiente entrega de valores.

80
EDM03Asegurar la Optimización de los Riesgos

Para la optimización de riesgos se plantea realizar una estrategia, ya que los procesos
evaluados en toda la Cooperativa “Rey David”, y con la observación y contestación a
los riesgos que pueden ser vulnerables la cooperativa se dio a conocer las capacidades y
conocimientos de los empleados de dicha entidad financiera.

De esta manera se da a conocer por medio de la información proporcionada se mejorar


el conocimiento ante los riesgos en su puesto de trabajo, y así logren fundar y dirigir la
Cooperativa “Rey David” mediante la estrategia de a optimización de riesgos.

EDM04 Asegurar la Optimización de los Recursos

Para la optimización se implantará trabajos de perfeccionamiento en las tareas que


entran en la obtención los servicios que ofrecemos desde la Cooperativa “Rey David”,
este proyecto es de mucha importancia ya que, los trabajos mejoran constantemente ya
que están orientadas para el servicio que se ofrece a los socios y de esta manera ayudar
con las necesidades de la optimización de los recursos.

Análisis del estado de madurez del dominio: Alinear, Planear y Organizar

APO01 Administrar el Marco de la Administración de TI

La Cooperativa “Rey David” no cuenta con un departamento de TIC’s por lo cual no se


ha determinado ninguna administración del marco de la administración de TI, ignorando
por completo los beneficios que le podría ofrecer la administración del marco de la
administración de TI a la Cooperativa “Rey David” al momento de alcanzar sus metas y
objetivos de la entidad financiera.

Aquí se recomienda la creación de un Departamento de TIC’s para realizar una correcta


administración del marco de la administración de TI de forma rápida, que permitirá un

81
superior manejo de los recursos del TI de la Cooperativa “Rey David”, reconociendo un
óptimo servicio a los socios y a los empleados de la cooperativa.

APO02 Administrar la Estrategia

La Cooperativa “Rey David” no cuenta un plan de estrategia ordenado con el plan


estratégico institucional, y un plan activo que constituya las acciones a elaborar a corto
plazo, de modo que se certifique la meta de los objetivos colectivos planteados.

Se recomida establecer un plan de estrategia tecnológica, acorde a las operaciones de la


cooperativa proyectada, según las necesidades para así lograr el crecimiento de la
institución financiera.

APO05 Administrar el Portafolio

La Cooperativa “Rey David”, no tiene una administración adecuada de portafolio.

Por lo cual se recomienda en disponer adecuadamente un portafolio de inversión de las


tecnologías de la información, y de esta manera poder conseguir los objetivos
transcendentales de la entidad financiera.

APO06 Administrar el Presupuesto y los Costos

La Cooperativa “Rey David”, no posee una administración adecuada para la


administración para el presupuesto y los costos.

Por lo cual se recomienda un balance del presupuesto y el costo real con los calculados
para obviar desvíos y tomar correctivos adecuados y así controlar la cooperación de las
futuras inversiones en consecuencias recomendables para el desempeño y así lograr las
metas y objetivos de la entidad financiera.

82
APO08 Administrar las Relaciones

La Cooperativa “Rey David”, no administra de una forma adecuada las relaciones y


carecen de conocimiento de TI.

Tratar la administración de la cooperativa y TI para así poder orientar el objetivo usual


para lograr efectos corporativos buenos con los objetivos importantes y entre las
limitaciones y los riesgos.

APO10 Administrar los Proveedores

La administración de proveedores adecuada, para que permita distinguir entre diferentes


opciones, y así escoger a la tenga mejores opciones que se puntualicen para asi llega a
las metas propuestas por la cooperativa.

APO12 Administrar la Seguridad

Facilitar información apropiada sobre el estado actual de muestras y procedimientos


adecuados con la relación con TI de una manera pertinente a todos los departamentos
necesarios de la cooperativa, y así lograr una contestación oportuna que informen los
riesgos existentes en las entidades financieras, y así ayudar eficientemente para la
administración de la seguridad de manera positiva.

Tabla 34: Tabla de reporte nivel de madurez


MADUREZ
GRADO
DE

PROCESOS EVALUADOS

Evaluar, Dirigir y Monitorear


EDM01 Asegurar que se fija el Marco de Gobierno y su Mantenimiento 1
EDM02 Asegurar la Entrega de Valor 2
EDM03 Asegurar la Optimización de los Riesgos 2
EDM04 Asegurar la Optimización de los Recursos 1
Alinear, Planear y Organizar

83
APO01 Administrar el Marco de la Administración de TI 1
APO02 Administrar la Estrategia 1
APO05 Administrar el Portafolio 2
APO06 Administrar el Presupuesto y los Costos 2
APO08 Administrar las Relaciones 1
APO10 Administrar los Proveedores 1
APO12 Administrar la Seguridad 0
Monitorear, Evaluar y Valorar
MEA01 Monitorear, Evaluar y Valorar el Desempeño y Cumplimiento 1
MEA03 Monitorear, Evaluar y Valorar el Cumplimiento con Requisitos 1
Externos
Construir, Adquirir e Implementar
BAI02 Administrar la Definición de Requerimientos 1
BAI03 Administrar la Identificación y Construcción de Soluciones 0
BAI05 Administrar la Habilitación del Cambio 2
BAI07 Administrar la Aceptación de Cambios y Transiciones 2
BAI08 Administrar el Conocimiento 1
BAI09 Administrar los Activos 1
BAI10 Administrar la Configuración 0
Entregar, Servir y Dar Soporte
DSS01 Administrar las Operaciones 1
DSS03 Administrar Problemas 0
DSS05 Administrar los Servicios de Seguridad 0
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

3.4.9. Resultado final del impacto sobre los criterios de la información COBIT

Aquí se muestra la tabla que tiene los resultados del impacto que se obtuvo de los
criterios de información de COBIT, los valores fueron obtenidos mediante una
multiplicación de los valores determinados para los impactos de los criterios de
información los cuales fueron primarios y secundarios, y por los estados de madurez
alcanzados por cada proceso los cuales fueron obtenidos de la siguiente manera:
84
Total real, fue obtenido de la suma de cada una de las columnas de los criterios.
Total ideal, fue obtenido de la suma de las columnas de los criterios multiplicada por el
grado de madurez más alto.
Porcentaje final, alcanzado de cada uno de los criterios de información, realizando una
división del valor real para el valor ideal y multiplicándolo por 100.

Tabla 35: Resultado final del impacto sobre los criterios de la información COBIT

Criterios de Información COBIT

Disponibilidad

Cumplimiento

Confiabilidad
Efectividad

Integridad
Eficiencia
PROCESOS COBIT SELECIONADOS

Evaluar, Dirigir y Monitorear


EDM0 Asegurar que se fija el Marco de
1 Gobierno y su Mantenimiento 0.92 0.52 0.92 0.92
EDM0
2 Asegurar la Entrega de Valor 0.92 0.92 0.92
EDM0
3 Asegurar la Optimización de los Riesgos 0.52 0.92 0.52 0.92 0.92 0.92
EDM0 Asegurar la Optimización de los
4 Recursos 0.00 0.00 0.00 0.00 0.00
Alinear, Planear y Organizar
Administrar el Marco de la
APO01 Administración de TI 0.00 0.00 0.00 0.00 0.00
APO02 Administrar la Estrategia 0.92 0.52 0.92 0.92
APO05 Administrar el Portafolio 0.00 0.00 0.00
APO06 Administrar el Presupuesto y los Costos 0.92 0.52 0.92 0.92
APO08 Administrar las Relaciones 0.92 0.92 0.52
APO10 Administrar los Proveedores 0.92 0.52 0.92 0.52
APO12 Administrar la Seguridad 0.00 0.00 0,00 0,00 0,00
Monitorear, Evaluar y Valorar

85
MEA0 Monitorear, Evaluar y Valorar el
1 Desempeño y Cumplimiento 0.52 0.92 0.92
MEA0 Monitorear, Evaluar y Valorar el
3 Cumplimiento con Requisitos Externos 0.92 0.52 0,92 0.92
Construir, Adquirir e Implementar
Administrar la Definición de
BAI02 Requerimientos 0.92 0.92 0.52
Administrar la Identificación y
BAI03 Construcción de Soluciones 0.92 0.52 0.92
BAI05 Administrar la Habilitación del Cambio 0.92 0.92 0.92 0.92 0.92 0.52
Administrar la Aceptación de Cambios y
BAI07 Transiciones 0.92 0.52 0.92 0.92
BAI08 Administrar el Conocimiento 0.92 0.92 0.92 0.92 0.92 0.92
BAI09 Administrar los Activos 0.92 0.52 0.92 0.92 0.92 0.92
BAI10 Administrar la Configuración 0.00 0.00 0.00
Entregar, Servir y Dar Soporte
DSS01 Administrar las Operaciones 0.92 0.52 0.92
DSS03 Administrar Problemas 0.00 0.00 0.00 0.00 0.00 0.00
DSS05 Administrar los Servicios de Seguridad 0.00 0.00 0.00 0.00 0.00 0.00
TOTAL REAL 13.9 7.7 6.7 14.7 4.6 5.8
TOTAL IDEAL 69.6 61.8 33.4 88.3 32.2 28.8
PROMEDIO 20.0 12.5 20.0 16.7 14.3 20.0
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

3.4.10 Presentación grafica del impacto de los Criterios de Información

Aquí se realizará la interpretación grafica del impacto de cada criterio de información,


establecida en los porcentajes derivados en la tabla anterior.

Efectividad: Se alcanzó un porcentaje del 20% con relación al 100%, significando que
la información significativa manipulada regularmente en los procesos en la Cooperativa

86
“Rey David”, es facilitada de manera adecuada, veras y permanente en un 20%,
habiendo un 80% de inefectividad en el proceso.

Eficiencia: Se logró un porcentaje 12,5% con relación al 100%, cabe señalar que la
información obtenida por la Cooperativa “Rey David”, por lo cual sus recursos poseen
una eficiencia del 12,5%, dejando una ineficiencia del 87,5%.

Integridad: Se obtuvo un porcentaje 20% con relación al 100%, significando que la


repartición cotidiana de la información en la Cooperativa “Rey David”, tiene una
precisión y eficacia para efectuar las perspectivas de la cooperativa en un 20%, teniendo
un 80% de ineficiencia.

Disponibilidad: Se alcanzó un porcentaje 16,7% con relación al 100%, mediante el


porcentaje obtenido sabemos decir que la información en la Cooperativa “Rey David”,
al momento de ser solicitada por los procesos de la cooperativa y contenidos
incorporados a disponibilidad de información desempeña con un 16,7%, desistiendo un
repertorio de ineficiencia del 83,3%.

Cumplimiento: Se logró un porcentaje 14,3% con respecto al 100%, mediante el


cumplimiento de la Cooperativa “Rey David”, con relación a leyes ordenanza para el
procedimiento de la información es de un 14,3% la ineficiencia es de un 85,7%.

Confiabilidad: Se consiguió un porcentaje 20% con respecto al 100%, cabe señalar que
la Cooperativa “Rey David”, tiene la información inadecuada para la gerencia de toma
de decisiones para desempeñar con los compromisos de la cooperativa en un 20,0%,
siendo la inconfiabilidad es de un 80%

En la siguiente grafica se muestra el análisis previamente realizado más detallada


mente.

87
Confiabilidad 20

Cumplimiento 14,3

Disponibilidad 16,7

Integridad 20

Efectividad 12,5

Eficiencia 20

0 5 10 15 20

Ilustración 24: Presentación grafica del impacto de los Criterios de Información


Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

3.4.11. Informe Técnico

Alcance: Por medio de esta auditoria se aspira valorar la etapa real de la Cooperativa
“Rey David”, apreciando los procesos elegidos de los cinco dominios desplegados por
COBIT y de esta manera poder ofrecer las concernientes conclusiones y
recomendaciones a la Cooperativa “Rey David”.

Objetivo: El presente trabajo asumió tal objetivo ejecutar una auditoría informática
empleando la metodología COBIT 5 en la Cooperativa “Rey David”.

Metodología: La auditoría estuvo ejecutada por medio del marco de trabajo COBIT
5.0, puesto que su objetivo principal es optimizar los conocimientos de la cooperativa
en la cual se está administrando, por medio de cinco dominios los cuales quedan
combinados por 37 procesos mostrando las acciones de una forma manejable y
analizando el control previamente para la realización.

88
Desarrollo: Aquí, se muestra los procesos elegidos de los cinco dominios de COBIT
con la ayuda del referente nivel de madurez, una conclusión del proceso y las
recomendaciones emitidas por COBIT.

Tabla 36: Reporte de nivel de madurez

MADUREZ
GRADO
PROCESOS EVALUADOS

DE
Evaluar, Dirigir y Monitorear
EDM01 Asegurar que se fija el Marco de Gobierno y su Mantenimiento 1
EDM02 Asegurar la Entrega de Valor 2
EDM03 Asegurar la Optimización de los Riesgos 2
EDM04 Asegurar la Optimización de los Recursos 1
Alinear, Planear y Organizar
APO01 Administrar el Marco de la Administración de TI 1
APO02 Administrar la Estrategia 1
APO05 Administrar el Portafolio 2
APO06 Administrar el Presupuesto y los Costos 2
APO08 Administrar las Relaciones 1
APO10 Administrar los Proveedores 1
APO12 Administrar la Seguridad 0
Monitorear, Evaluar y Valorar
MEA01 Monitorear, Evaluar y Valorar el Desempeño y Cumplimiento 1
Monitorear, Evaluar y Valorar el Cumplimiento con Requisitos
MEA03 1
Externos
Construir, Adquirir e Implementar
BAI02 Administrar la Definición de Requerimientos 1
BAI03 Administrar la Identificación y Construcción de Soluciones 0
BAI05 Administrar la Habilitación del Cambio 2
BAI07 Administrar la Aceptación de Cambios y Transiciones 2

89
BAI08 Administrar el Conocimiento 1
BAI09 Administrar los Activos 1
BAI10 Administrar la Configuración 0
Entregar, Servir y Dar Soporte
DSS01 Administrar las Operaciones 1
DSS03 Administrar Problemas 0
DSS05 Administrar los Servicios de Seguridad 0
Elaborado por: Monar Balseca María Luisa
Fuente: Talento Humano Cooperativa Rey David

Por medio de los estados de madurez de los procesos elegidos, se ejecutó un análisis
individual de cada uno de los procesos para dar a saber una conclusión de fase del
proceso en la cooperativa y las concernientes recomendaciones planteadas por COBIT,
para así poder lograr un nivel mejor de madurez

DOMINIO: EVALUAR, DIRIGIR Y MONITOREAR.

EDM01 Asegurar que se fija el Marco de Gobierno y su Mantenimiento (nivel de


madurez 1)

Recomendaciones COBIT
• Cuidar el apropiado cumplimiento y aplicación de las destrezas que procedan de
para mejorar el Marco de Referencia de Gobierno.
• Describir un modelo estratégico de toma de decisiones para que sean efectivas y
estén alineadas con el ambiente externo e interno de la cooperativa y los
requerimientos.
• Certificar que el Marco de Referencia de Gobierno que sea funcional y este
asociado a la distribución de la cooperativa.

EDM02 Asegurar la Entrega de Valor (nivel de madurez 2)

Recomendaciones COBIT

90
• Satisfacción del desempeño del servicio de Tecnologías de la Información en la
Cooperativa “Rey David”.
• Concienciación para realizar de innovación de Tecnologías de la Información en
la Cooperativa “Rey David”.
• Mejorar la gestión ejecutiva para la entrega de valor y los costes de Tecnologías
de la Información adecuados.

EDM03 Asegurar la Optimización de los Riesgos (nivel de madurez 2)

Recomendaciones COBIT
• Inspeccionar y eliminar los riesgos de la Cooperativa “Rey David”.
• Impartir conocimientos para los riesgos existentes en la cooperativa.
• Eficacia para la mejoría de los riesgos de la cooperativa.

EDM04 Asegurar la Optimización de los Recursos (nivel de madurez 1)

Recomendaciones COBIT
• Observar los procesos para la adecuada optimización de los recursos de la
Cooperativa “Rey David”.
• Implantar KPIs y así obtener mayor eficiencia de los procesos, certificando un
enfoque imparcial en los procesos de optimización de los recursos de la
Cooperativa “Rey David”.
• Examinar los fundamentos para la toma de decisiones pertinentes y de los
resultados logrados.

DOMINIO: ALINEAR, PLANEAR Y ORGANIZAR

APO01 Administrar el Marco de la Administración de TI

Recomendaciones COBIT
• Planear y monitorear las acciones ordenadas con la orientación determinada para
así lograr los objetivos de la Cooperativa “Rey David”.
91
• Conseguir disposición y eficacia en las operaciones de Tecnologías de la
Información.
• Responsabilidades a los empleados dentro de una organización determinada
dentro de la cooperativa que permita resolver el adecuado comportamiento de
las Tecnologías de la Información.

APO02 Administrar la Estrategia

Recomendaciones COBIT
• Establecer un plan estratégico de Tecnologías de la Información, y así aprobar,
formar las tecnologías de la información con el plan estratégico para la
Cooperativa “Rey David”.
• Realizar evaluaciones internas para así observar las debilidades y fortalezas de la
Cooperativa “Rey David”, y de esta manera realizar un plan estratégico
adecuado.
• Para el plan de estrategia crear labores demandadas para su desempeño, se
reunirán los recursos precisos y la responsabilidad de su adecuado
cumplimiento.

APO05 Administrar el Portafolio

Recomendaciones COBIT
• Establecer un plan estratégico de Tecnologías de la Información, y así aprobar,
formar las tecnologías de la información con el plan estratégico para la
Cooperativa “Rey David”.
• Realizar evaluaciones internas para así observar las debilidades y fortalezas de la
Cooperativa “Rey David”, y de esta manera realizar un plan estratégico
adecuado.
• Para el plan de estrategia crear labores demandadas para su desempeño, se
reunirán los recursos precisos y la responsabilidad de su adecuado
cumplimiento.

92
APO06 Administrar el Presupuesto y los Costos

Recomendaciones COBIT
• Garantizar la sostenibilidad financiera para la Cooperativa “Rey David”.
• Elaborar estrategias para una adecuada toma de decisiones para el mejoramiento
de la Cooperativa “Rey David”.
• Encomendar y realizar medidas de acciones correctivas cuando sean requeridas
para la cooperativa.

APO08 Administrar las Relaciones

Recomendaciones COBIT
• Cumplir con las expectativas del negocio y así mejorar la actual administración
de la Cooperativa “Rey David”.
• Mejorar oportunidades, reconocer riesgos y limitaciones de Tecnologías de las
Información para así mejorar la cooperativa.
• Suministrar información para la mejora continua de los servicios en la
cooperativa.

APO10 Administrar los Proveedores

Recomendaciones COBIT
• Contratos con proveedores apropiadamente y en un tiempo prudente en la
Cooperativa “Rey David”.
• Proveedores que certifiquen la elección del mejor para que se aplique a los
requisitos requeridos.
• Conservar un inventario de los riesgos conteniendo reiteración de impacto
potencial y respuestas.

APO12 Administrar la Seguridad

Recomendaciones COBIT

93
• Garantizar que la tecnología importante relacionada con la seguridad no sea
susceptible de sabotaje y que la documentación de seguridad de la Cooperativa
“Rey David” no sea divulgada.
• Desarrollar medidas de prevención, detección y corrección.
• Encomendar que los servicios de datos sensibles sean intercambiadas de una
manera adecuada y así asegurar la información.

Análisis del estado de madurez del dominio: Monitorear, Evaluar y Valorar

MEA01 Monitorear, Evaluar y Valorar el Desempeño y Cumplimiento

Recomendaciones COBIT
• Realizar aportes significativos para las Tecnologías de la Información para
mejorar los riesgos diagnosticados en la Cooperativa “Rey David”.
• Desarrollo de actualizaciones del perfil de riesgo.
• Concientizar en la entrega de bienes para las Tecnologías de la Información.

94
Conclusiones

• No existe un Departamento de TIC’s en la Cooperativa de ahorro y crédito


“Rey David”.

• Los empleados de la Cooperativa tienen los conocimientos básicos sobre


seguridad informática y esto hace que esté en riesgo la información que
manejan diariamente.

• En la Cooperativa de ahorro y crédito “Rey David”, no se ha realizan


auditorias informáticas internas anualmente, lo que dificulta una apropiada
continuidad en el área de sistemas para la entidad financiera.

• La cooperativa carece de una correcta administración de riesgos en TI.

• La Infraestructura tecnológica no es la correcta, a pesar de que este recurso


es de mayor importancia para la Cooperativa

• El mantenimiento de los equipos de cómputo, se realizan externamente y


esto hace que la información de la cooperativa sea vulnerable.

• La Cooperativa no cuenta con planes estratégicos.

• No se pudo observar una correcta gestión de los recursos informáticos


conforme a las necesidades funcionales de la Cooperativa de ahorro y crédito
“Rey David”

95
Recomendaciones

• Establecer inmediatamente un esquema de clasificación de información que


implique a toda la cooperativa (en casos de confidencial) ya que, al carecer
de un correcto esquema de clasificación de información, es imposible aplicar
un método de seguridad eficaz y eficiente para la Cooperativa de ahorro y
crédito “Rey David”.

• Se recomienda que el encargo del área de sistemas implemente el plan de


contingencia elaborado para la cooperativa.

• Mediante lo observado y mediante esto liberado conclusiones, en el presente


proyecto investigativo es responsabilidad de la cooperativa tomar en cuentas
las recomendaciones expuestas de la Auditoría Informática.

96
Bibliografía

Loor Párraga, A. C., & Espinoza Castillo, V. A. (2014). AUDITORÍA DE


SEGURIDAD FÍSICA Y LÓGICA A LOS RECURSOS DE TECNOLOGÍA
DE INFORMACIÓN EN LA CARRERA INFORMÁTICA DE LA ESPAM
MFL. CALCETA.
Secretaría Nacional de Planificación y Desarrollo. (2017). Plan Nacional de Desarrollo
2017-2021. Quito: Autoedición.
Acosta Jordán, M. G. (2016). AUDITORÍA INFORMÁTICA PARA LA
OPTIMIZACIÓN DEL FUNCIONAMIENTO DE LOS SISTEMAS Y
EQUIPOS INFORMÁTICOS DE LA FACULTAD DE INGENIERÍA EN
SISTEMAS, ELECTRÓNICA E INDUSTRIAL. Ambato.
Baquero, K., & Guamán, K. (2013). COBIT (Objetivos de Control para la Información
y Tecnologías Relacionadas). Milaro: UNEMI.
CoacReyDavid. (2019). Rey David ltda. Obtenido de Rey David ltda:
http://www.coacreydavid.com/index.php/nosotros/resena-historica.html
Cruz Martínez , A. (2011). Intervención del estado colombiano en el sector solidario.
Colombia: Universidad del Rosario.
Delgado Rojas, X. (1998). Auditoría informatica. EUNED.
Diaz Pomasqui, K. (2017). Aplacacion web para la gestion . Ambato: UNIANDES.
Echenique García, J. (2007). Auditoría en Informática. España: Imagen.
Espinoza , A. (2007). Auditoria Informática para los Departamentos Financiero,
Tesorería, Proveeduría, Agencia Norte y Agencia Sur de la Empresa Municipal
de Agua Potable y Alcantarillado de Ambato. Ambato.
Hernández Hernández, E. (2000). Auditotía en informática. Mexico: Cultural.
Huesca Aguilar, G. (2013). Introducción a la auditoría informática. California:
Microsoft® Word .
ISACA. (s/n de s/n de 2019). Introducing COBIT 2019. Obtenido de Introducing
COBIT2019:
https://www.isaca.org/cobit/pages/default.aspx?cid=SEM_1234573&appeal=se
m&gclid=EAIaIQobChMIkZKsisH74gIVlAOGCh3CnwMMEAAYASAAEgK
0-_D_BwE&gclsrc=aw.ds
Jiménez, Y. (2009). Auditoría. El Cid.
Koopmans, R. (2006). AD38S Iniciar una cooperativa. Paises bajos: Agromisa
Foundation.
Manso, G. (27 de 03 de 2008 ). GERONET. Obtenido de GERONET:
http://www.geronet.com.ar/?p=48
Mazza, N. (2014). Gestión Estratégica de Recursos Informáticos. Sustentum.
Minguillón Roy, A. (2010). La auditoría de sistemas de información integrada en la
auditoría financiera. La perspectiva del sector público. Comunitat Valenciana:
Generalitat.
Mora Quiró, E. (2017 ). Auditoría Informática. San José: IAICR .
Muñoz Razo , C. (2002). Auditoría en sistemas computacionales. Mexico : Pearson.
Nguyen, T. (2 de febrero de 2010). wordpress.com. Obtenido de wordpress.com:
https://oala2010.wordpress.com/tag/sintomas-para-auditoria/
Orozco Vílchez, J. (1986). Doctrina cooperativa: antología. Costa Rica: EUNED.
Ortiz Collaguazo, H. D. (2016). Auditoría informática aplicando la metodología cobit
4.1 en el departamento de sistemas perteneciente al GRUPO KFC.
LATACUNGA : UTC LATACUNGA .
Pardo Martínez , C. (2008). Los sistemas y las auditorías . Bogóta : Imagen.
Parra Ramiréz, R. (2006). Metodo y Conocimiento. Colombia: EAFIT.
Peña Ibarra, J. (3 de Mayo de 2012). ISACA. Obtenido de ISACA:
https://www.isaca.org/chapters7/Monterrey/Events/Documents/20120305%20C
obiT%205.pdf
Piattini Velthuis , M. G. (2001). Auditoria Informatica Un enfoque practico. Bogota:
ALFAOMEGA.
Pinilla Forero, J. D. (1997). Auditoria informatica: Aplicaciones en produccion. s/c:
Ecoe.
Porras Rodriguez, D. (2013). ISACA. Obtenido de https://www.isaca.org/About-
ISACA/History/Espanol/Pages/default.aspx
Puerto Manchón, R. (2017). Sistemas Informáticos en Tiempo Real. Mexico: bv.
Rivas, G. A. (1989). Auditoría informática. Ediciones Díaz de Santos.
Sevilla Tendero, J. (2012). Auditoría de los sistemas de getión . Madrid: Graficas
Marcar.
Solis, A. (2007). Auditoría Informática para los Departamentos Técnico, Administrativo
Gerencia, Asesoría Jurídica, Archivos y la Agencia Centro de la Empresa.
Ambato.
Ttributos. (27 de 05 de 2018). Tributus.net. Obtenido de
https://www.tributos.net/definicion-de-cooperativa-785/
Ulloa Barrera, J. G. (2017). Auditoría informática aplicandola metodologíaCOBIT enel
Gobierno Autónomo Descentralizado Municipal de San Cristóbal de Patate.
Ambato.
Villagómez, C. (20 de 11 de 2017). CCM. Obtenido de https://es.ccm.net/contents/596-
cobit
WOCCU. (30 de Julio de 2014). aciamericas.coop. Obtenido de
https://www.aciamericas.coop/Nuevo-informe-estadistico-mundial
Yangua Jumbo , B. E. (2014). AUDITORÍA INFORMÁTICA Y SU INCIDENCIA EN
LOS RIESGOS PARA EL MANEJO DE LA INFORMACIÓN EN LA
COOPERATIVA DE AHORRO Y CRÉDITO. AMBATO.
Anexos
Anexo 1 Cuestionario para la encuesta
Anexo 2 Guía de la entrevista
Anexo 3 Guía de observación
Anexo 4 Cuestionario para la encuesta 2
Anexo 5 APO01 Administrar el Marco de la Administración de TI
Anexo 6 APO02 Administrar la Estrategia
Anexo 7 APO05 Administrar el Portafolio
Anexo 8 APO06 Administrar el Presupuesto y los Costos
Anexo 9 APO08 Administrar las Relaciones
Anexo 10 APO10 Administrar los Proveedores
Anexo 11 APO12 Administrar la Seguridad
Anexo 12 MEA01 Monitorear, Evaluar y Valorar el Desempeño y Cumplimiento
Anexo 13 MEA03 Monitorear, Evaluar y Valorar el Cumplimiento con Requisitos
Externos
Anexo 14 BAI02 Administrar la Definición de Requerimientos
Anexo 15 BAI03 Administrar la Identificación y Construcción de Soluciones
Anexo 16 BAI05 Administrar la Habilitación del Cambio
Anexo 17 BAI07 Administrar la Aceptación de Cambios y Transiciones
Anexo 18 BAI08 Administrar el Conocimiento
Anexo 19 BAI10 Administrar la Configuración
Anexo 20 DSS01 Administrar las Operaciones
Anexo 21 DSS03 Administrar Problemas
Anexo 22 DSS05 Administrar los Servicios de Seguridad
Anexo 1

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES


“UNIANDES”

ENCUESTA DIRIGIDA A LOS EMPLEADOS DE LA


COOPERATIVA “REY DAVID”

Objetivo: Determinar la existencia de mecanismos de control en el área de sistemas de


la Cooperativa Rey David y la necesidad de ejecutar una Auditoria Informática

Instrucciones:
• Lea cuidadosamente el instrumento
• Responda con objetividad y veracidad toda la encuesta.
• Gracias por su cordial ayuda.

1. ¿Conoce Ud. si la Cooperativa cuentas con un Departamento de TIC’s?


SI ( )
NO ( )

2. ¿Conoce Ud. si la Cooperativa ha llevado a cabo en los 2 últimos años una


Auditoria informática?
SI ( )
NO ( )

3. ¿Ud. tiene un manual donde este establecido los procedimientos para el uso de
los equipos de cómputo?
SI ( )
NO ( )

4. Considera que los Sistemas Informáticos implementados en su computador son:


Rápidos ( )
Muy rápidos ( )
Medianamente rápidos ( )
Lentos ( )
Muy lentos ( )
5. ¿En alguna ocasión ha existido errores en la información que Ud. maneja?
SI ( )
NO ( )

6. ¿Ha existido en alguna ocasión fallas en los sistemas computacionales?


Siempre ( )
A veces ( )
Nunca ( )

7. ¿Considera Ud. que es necesario realizar un control de los recursos informáticos


existentes en la Cooperativa?
SI ( ) NO ( )
Anexo 2

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES


“UNIANDES”

ENTREVISTA DIRIGIDA AL GERENTE DE LA


COOPERATIVA “REY DAVID”

Objetivo: Determinar la existencia de mecanismos de control en el área de sistemas de


la Cooperativa Rey David y la necesidad de ejecutar una Auditoria Informática

1. La Cooperativa cuenta con un Departamento de TIC’s

2. La Cooperativa cuenta con un diagrama funcional de los empleados del


Departamento de TIC’s

3. La cooperativa tiene establecido procedimientos para el uso adecuado de equipos de


cómputo

4. ¿La cooperativa cuenta con un inventario actualizado de disponibilidad de recursos


informáticos?

5. ¿Se realiza revisiones periódicas para determinar si la capacidad y desempeño del


recurso informático son suficientes?

6. ¿Conoce usted sobre los riesgos que existe en el manejo de la información?

7. ¿Conoce usted cuáles son los procedimientos de seguridad que debe seguir en caso
de que exista un ataque o falla informática en su computador?

8. ¿Se encuentran establecidas medidas de prevención, detección y corrección para


proteger a los sistemas informáticos de software malicioso y virus informáticos?

9. Se ha realizado en alguna ocasión una auditoria informática en la cooperativa


a. Qué tipo de Auditoria
b. Cuáles fueron los motivos que impulsaron a realizar esa auditoria
10. ¿Cree que hacer auditorias constantemente sea beneficioso para un mejor control del
centro de datos?

11. ¿Cuenta la entidad con un plan de contingencia en caso de una emergencia o falla
computacional?

12. ¿Considera que una Auditoria Informática externa es necesaria actualmente dentro
de la Cooperativa?
Anexo 3

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES


“UNIANDES”
Anexo 4
UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES
“UNIANDES”
ENCUESTA DIRIGIDA A LOS EMPLEADOS DE LA
“COOPERATIVA REY DAVID”

Objetivo: Determinar la existencia de mecanismos de control en el área de sistemas de


la Cooperativa Rey David y la necesidad de ejecutar una Auditoria Informática

Instrucciones:
• Lea cuidadosamente el instrumento
• Responda con objetividad y veracidad toda la encuesta.
• Gracias por su cordial ayuda.

1. El acceso a la información que Ud. maneja es restringido a personas ajenas a la


cooperativa
a. SI ( ) NO ( )

2. Considera que la seguridad de la información que Ud. maneja en la cooperativa


es la adecuada
a. SI ( ) NO ( )

3. A su criterio se debería mejorar el manejo de la información en la cooperativa


a. SI ( ) NO ( )

4. A su criterio se debería mejorar los equipos informáticos en la cooperativa


a. SI ( ) NO ( )

5. Se realizan copias de seguridad de la información en la Cooperativa


a. SI ( ) NO ( )

6. Está establecido claves únicas para su computador


a. SI ( ) NO ( )

7. Con que frecuencia cambia su clave de acceso:


Mensual ( )
Trimestral ( )
Semestral ( )
Anual ( )
Nunca ( )
Anexo 5
MODELO MADUREZ DOMINIO:
APO01: Administrar el Marco de la Administración de TI

OBSERVACIÓN
NO CUMPLE
CUMPLE
NIVELES DEL MODELO DE MADUREZ

No existe conciencia de la importancia de la elección y presupuesto de


0 las inversiones en TI. No existe seguimiento o monitoreo de las X
inversiones y gastos de TI
La organización reconoce la necesidad de administrar la inversión en
TI, aunque esta necesidad se comunica de manera inconsistente. La
asignación de responsabilidades de selección de inversiones en TI y de
desarrollo de presupuestos se hace de una forma ad hoc. Existen
1 X
implantaciones aisladas de selección y presupuesto de inversiones en
TI, con documentación informal. Las inversiones en TI se justifican de
una forma ad hoc. Se toman decisiones presupuestales enfocadas de
modo reactivo y operativo.
Existe un entendimiento implícito de la necesidad de seleccionar y
presupuestar las inversiones en TI. La necesidad de un proceso de
selección y presupuesto se comunica. El cumplimiento depende de la
2 X
iniciativa de individuos dentro de la organización. Surgen técnicas
comunes para desarrollar componentes del presupuesto de TI. Se toman
decisiones presupuestales reactivas y tácticas.
Las políticas y los procesos para inversiones y presupuestos están
definidas, documentadas y comunicadas y cubren temas clave de
negocio y de tecnología. El presupuesto de TI está alineado con los
planes estratégicos de TI y con los planes del negocio. Los procesos de
selección de inversiones en TI y de presupuestos están formalizados,
3 documentados y comunicados. Surge el entrenamiento formal, aunque X
todavía se basa de modo principal en iniciativas individuales. Ocurre la
aprobación formal de la selección de inversiones en TI y presupuestos.
El personal de TI cuenta con la experiencia y habilidades necesarias
para desarrollar el presupuesto de TI y recomendar inversiones
apropiadas en TI.

La responsabilidad y la rendición de cuentas por la selección y


presupuestos de inversiones se asignan a un individuo específico. Las
diferencias en el presupuesto se identifican y se resuelven. Se realizan
4 análisis formales de costos que cubren los costos directos e indirectos X
de las operaciones existentes, así como propuestas de inversiones,
considerando todos los costos a lo largo del ciclo completo de vida. Se
usa un proceso de presupuestos pro-activo y estándar. El impacto en los
costos operativos y de desarrollo debidos a cambios en hardware y
software.
Se utilizan las mejores prácticas de la industria para evaluar los costos
por comparación e identificar la efectividad de las inversiones. Se
utiliza el análisis de los avances tecnológicos en el proceso de selección
y presupuesto de inversiones. El proceso de administración de
inversiones se mejora de forma continua con base en las lecciones
5 aprendidas provenientes del análisis del desempeño real de las X
inversiones. Las decisiones de inversiones incluyen las tendencias de
mejora de precio/desempeño. Se investigan y evalúan formalmente las
alternativas de financiamiento dentro del contexto de la estructura de
capital existente en la organización, mediante el uso de métodos
formales de evaluación.
Anexo 6
MODELO MADUREZ DOMINIO:
APO02: Administrar la Estrategia

NO CUMPLE

OBSERVACI
CUMPLE

ÓN
NIVELES DEL MODELO DE MADUREZ

No se lleva a cabo la administración estratégica de TI. No existe


0 conciencia por parte de la gerencia de que la planeación estratégica de TI X
es requerida para dar soporte a las metas del negocio.
La gerencia de TI conoce la necesidad de una administración estratégica
de TI. La planeación de TI se realiza según se necesite como respuesta a
un requisito de negocio específico. La administración estratégica de TI se
discute de forma ocasional en las reuniones de la gerencia de TI. La
1 X
alineación de los requerimientos de las aplicaciones y tecnología del
negocio se lleva a cabo de modo reactivo en lugar de hacerlo por medio de
una estrategia organizacional. La posición de riesgo estratégico se
identifica de manera informal proyecto por proyecto.
La administración estratégica de TI se comparte con la gerencia del
negocio según se necesite. La actualización de los planes de TI ocurre
como respuesta a las solicitudes de la dirección. Las decisiones
2 estratégicas se toman proyecto por proyecto, sin ser consistentes con una X
estrategia global de la organización. Los riesgos y beneficios al usuario,
resultado de decisiones estratégicas importantes se reconocen de forma
intuitiva.
Una política define cómo y cuándo realizar la administración estratégica
de TI. La administración estratégica de TI sigue un enfoque estructurado,
el cual se documenta y se da a conocer a todo el equipo. El proceso de
planeación de TI es razonablemente sólido y garantiza que es factible
3 X
realizar una administración adecuada. Sin embargo, se otorga
discrecionalidad a gerentes individuales específicos con respecto a la
implantación del proceso, y no existen procedimientos para analizar el
proceso.
La administración estratégica de TI es una práctica estándar y las
excepciones son advertidas por la dirección. La administración estratégica
de TI es una función administrativa definida con responsabilidades de alto
nivel. La dirección puede monitorear el proceso estratégico de TI, tomar
decisiones informadas con base en el plan y medir su efectividad. La
planeación de TI de corto y largo plazo sucede y se distribuye en forma de
4 cascada hacia la organización, y las actualizaciones se realizan según son X
necesarias. La estrategia de TI y la estrategia organizacional se vuelven
cada vez más coordinadas al abordar procesos de negocio y capacidades
de valor agregado y al aprovechar el uso de aplicaciones y tecnologías por
medio de la re-ingeniería de procesos de negocio. Existen procesos bien
definidos para determinar el uso de recursos internos y externos requeridos
en el desarrollo y las operaciones de los sistemas.
La administración estratégica de TI es un proceso documentado y vivo,
que cada vez más se toma en cuenta en el establecimiento de las metas del
negocio y da como resultado un valor observable de negocios por medio
de las inversiones en TI. Las consideraciones de riesgo y de valor
5 X
agregado se actualizan de modo constante en el proceso de planeación
estratégica de TI. Se desarrollan planes realistas a largo plazo de TI y se
actualizan de manera constante para reflejar los cambiantes avances
tecnológicos y el progreso relacionado al negocio.
Anexo 7
MODELO MADUREZ DOMINIO:
APO05: Administrar el Portafolio

OBSERVACIÓN
NO CUMPLE
CUMPLE
NIVELES DEL MODELO DE MADUREZ

No hay conciencia de la importancia de la selección y presupuesto de la


0 X
inversión de TI. No hay seguimiento
La organización reconoce la necesidad de administrar la inversión de TI,
pero esta necesidad es comunicada de manera inconsistente. No hay una
asignación formal de responsabilidad para la selección de la inversión y
1 el desarrollo del presupuesto de TI. Los gastos significativos percibidos X
requieren justificaciones que los respalden. Las implementaciones
aisladas de la selección y el presupuesto de inversión de TI ocurren, con
documentación informal.
Hay un entendimiento implícito de la necesidad de seleccionar y
presupuestar la inversión de TI. La necesidad de un proceso de selección
y del establecimiento de un presupuesto es comunicada. El cumplimiento
depende de la iniciativa de personas de la organización. Hay un
2 surgimiento de técnicas comunes para desarrollar componentes del X
presupuesto de TI. Ocurren decisiones reactivas y tácticas de
presupuesto. Las expectativas basadas en tendencias de la tecnología
están comenzando a ser manifestadas y su impacto sobre la
productividad.
Los procesos de selección y presupuestario de la inversión de TI son
razonablemente correctos y abarcan aspectos claves del negocio y de la
tecnología. La selección y política de la inversión es definida,
3 documentada y comunicada. El presupuesto de TI está alineado con los X
planes estratégicos de TI y los planes del negocio. Los procesos de
presupuestario y de selección de la inversión de TI están formalizados,
documentados y son comunicados.
La responsabilidad y la obligación de reportar la selección y
presupuestario de inversiones es asignada a una persona específica. Las
variaciones del presupuesto son identificadas y resueltas. El personal de
4 TI tiene la experiencia y las habilidades necesarias para desarrollar el X
presupuesto de TI y recomienda inversiones apropiadas de TI. Se realizan
análisis formales de costos que abarcan los costos directos e indirectos de
las operaciones existentes.
Las ganancias y el rendimiento son calculados tanto en términos
financieros como no financieros. Se usan las mejores prácticas de la
industria para marcar como referencia los costos y para identificar los
métodos para aumentar la efectividad de las inversiones. Se usa el
análisis de los desarrollos tecnológicos en el proceso de selección y
presupuestario de la inversión. Está establecido un proceso de
5 X
mejoramiento continuo. Las decisiones de inversión incorporan
tendencias de mejoramiento de precio /desempeño, soportadas por nuevas
tecnologías y productos. Las alternativas de financiamiento son
investigadas y evaluadas formalmente dentro del contexto de la estructura
de capital existente de la organización, usando métodos formales de
evaluación.
Anexo 8
MODELO MADUREZ DOMINIO:
APO06: Administrar el Presupuesto y los Costos

OBSERVACIÓN
NO CUMPLE
CUMPLE
NIVELES DEL MODELO DE MADUREZ

La gerencia de TI no ha establecido un entorno positivo de control de la


0 información. No hay reconocimiento de la necesidad de establecer un X
conjunto de políticas, procedimientos, estándares, y procesos de
cumplimiento
La gerencia es reactiva al resolver los requerimientos del ambiente de control
de información. Las políticas, procedimientos estándares se elaboran y
1 X
comunican de forma ad hoc de acuerdo a los temas. Los procesos de
elaboración, comunicación y cumplimiento son informales e inconsistentes..
La gerencia tiene un entendimiento implícito de las necesidades y de los
requerimientos de un ambiente de control de información efectivo, aunque las
prácticas son en su mayoría informales. La gerencia ha comunicado la
necesidad de políticas, procedimientos y estándares de control, pero la
2 X
elaboración se delega a la discreción de gerentes y áreas de negocio
individuales. La calidad se reconoce como una filosofía deseable a seguir,
pero las prácticas se dejan a discreción de gerentes individuales. El
entrenamiento se realiza de forma individual, según se requiera.
El proceso de elaboración de políticas es estructurado, mantenido y conocido
por el personal, y las políticas, procedimientos y estándares existentes son
razonablemente sólidos y cubren temas clave. La gerencia ha reconocido la
importancia de la conciencia de la seguridad de TI y ha iniciado programas
3 de concientización. El entrenamiento formal está disponible para apoyar al X
ambiente de control de información, aunque no se aplica de forma rigurosa.
Aunque existe un marco general de desarrollo para las políticas y estándares
de control, el monitoreo del cumplimiento de estas políticas y estándares es
inconsistente.
La gerencia asume la responsabilidad de comunicar las políticas de control
interno y delega la responsabilidad y asigna suficientes recursos para
mantener el ambiente en línea con los cambios significativos. Se ha
4 establecido un ambiente de control de información positivo y proactivo. Se X
ha establecido un juego completo de políticas, procedimientos y estándares,
los cuales se mantienen y comunican, y forman un componente de buenas
prácticas internas.
El ambiente de control de la información está alineado con el marco
administrativo estratégico y con la visión, y con frecuencia se revisa,
actualiza y mejora. Se asignan expertos internos y externos para garantizar
que se adoptan las mejores prácticas de la industria, con respecto a las guías
5 de control y a las técnicas de comunicación. El monitoreo, la auto-evaluación X
y las verificaciones de cumplimiento están extendidas en la organización. La
tecnología se usa para mantener bases de conocimiento de políticas y de
concientización y para optimizar la comunicación, usando herramientas de
automatización de oficina y de entrenamiento basado en computadora.
Anexo 9
MODELO MADUREZ DOMINIO:
APO08: Administrar las Relaciones

OBSERVACIÓN
NO CUMPLE
CUMPLE
NIVELES DEL MODELO DE MADUREZ

Hay poca conciencia de los requerimientos externos que afectan a TI, y no


0 hay ningún proceso respecto al cumplimiento de requisitos regulatorios, X
legales y contractuales.
Hay conciencia del cumplimiento de las reglamentaciones, contratos y leyes
que impactan a la organización. Se siguen procesos informales para mantener
1 X
el cumplimiento, pero sólo a medida que surge la necesidad en los proyectos
nuevos o en respuesta a auditorías o revisiones.
Hay un entendimiento de la necesidad de cumplir los requerimientos externos
y la necesidad es comunicada. Donde el cumplimento se ha convertido en un
requerimiento recurrente, como en las reglamentaciones financieras o en la
legislación privada, se han desarrollado procedimientos individuales de
2 X
cumplimiento y éstos se siguen anualmente. Sin embargo, no está establecido
un esquema general que asegure que se satisfacen todos los requerimientos de
cumplimiento. Es probable, por lo tanto, que ocurran excepciones y que
nuevas necesidades de cumplimiento sólo sean resueltas de manera reactiva.
Se han desarrollado, documentado y comunicado políticas, procedimientos y
procesos para asegura el cumplimiento de las reglamentaciones y de las
obligaciones contractuales y legales. Estas no siempre son seguidas y algunas
pueden ser obsoletas o ser imprácticas para implementar. Se realiza poco
3 monitoreo y hay requisitos de cumplimiento que no hay sido satisfechos. Se X
provee entrenamiento en requisitos legales y regulatorios externos que
afectan a la organización y los procesos definidos de cumplimiento. Existen
contratos pro forma y procesos legales estándar para minimizar los riesgos
asociados con la responsabilidad contractual.
Hay total entendimiento de los problemas y riesgos provenientes de
requisitos externos y de la necesidad de asegurar el cumplimiento a todos los
niveles. Hay un esquema de entrenamiento formal que asegura que todo el
personal esté consiente del cumplimiento de sus obligaciones. Las
4 responsabilidades están claras y la propiedad del proceso es comprendida. El X
proceso incluye una revisión del entorno para identificar los requisitos
externos y los cambios en curso. Está establecido un mecanismo para
monitorear el no cumplimiento de los requisitos externos, reforzar las
prácticas externas e implementar acciones correctivas.
Hay un proceso bien organizado, eficiente y en vigor para cumplir con los
requisitos externos, basado en una sola función central que provee
orientación y coordinación con toda la organización. Hay amplio
conocimiento de los requisitos externos aplicables, incluyendo sus tendencias
futuras y cambios anticipados, y la necesidad de nuevas soluciones. La
5 X
organización participa en discusiones externas con grupos regulatorios y de la
industria para entender e influir en los requisitos externos que los afectan. Se
han desarrollado las mejores prácticas que aseguran el cumplimiento eficiente
de los requisitos externos, que resultan en muy pocos casos de excepciones
de cumplimiento.
Anexo 10
MODELO MADUREZ DOMINIO:
APO12: Administrar la Seguridad

OBSERVACIÓN
NO CUMPLE
CUMPLE
NIVELES DEL MODELO DE MADUREZ

La organización carece de un proceso de planeación de aseguramiento de


seguridad y de una metodología de ciclo de vida de desarrollo de sistemas. La
0 gerencia general y el personal de TI no reconocen que es necesario un X
programa de seguridad. Los proyectos y operaciones no se revisan nunca por
seguridad.
Hay una conciencia de la administración de la necesidad de aseguramiento de
seguridad. La experiencia individual impulsa el aseguramiento de seguridad,
cuando ésta ocurre. Las actividades de aseguramiento de seguridad cuando
1 ocurren están enfocadas al proyecto de TI y a las iniciativas orientadas al X
proceso, no a procesos a nivel de toda la organización. Los proyectos y
operaciones de TI no son medidos generalmente por seguridad, sino que la
administración da opiniones informales sobre la seguridad.
Se ha definido la métrica básica de calidad y podría repetirse de un proyecto
a otro dentro de la organización de TI. Se está estableciendo un programa
para administrar actividades de aseguramiento de seguridad dentro de TI.
2 X
Están establecidas prácticas de planeación y monitoreo de administración de
TI sobre las actividades de aseguramiento de seguridad, pero no se ejecutan
ampliamente.
La administración de TI está construyendo una base de conocimientos para
medición de la seguridad. Hay un proceso definido de aseguramiento de
calidad que ha sido comunicado por la administración y que involucra tanto a
TI como a la administración de usuarios finales. Se ha instituido un programa
3 X
de educación y entrenamiento para enseñar seguridad a todos los niveles de la
organización. La conciencia de la calidad es alta en toda la organización. Se
están estandarizando herramientas y prácticas y ocasionalmente se aplica un
análisis de las causas de fondo.
La organización mide de manera constante y consistente la seguridad de los
procesos, servicios, productos y proyectos. El aseguramiento de calidad es
atendido en todos los procesos, incluyendo los procesos con confianza
depositada en terceros. Se está estableciendo una base estandarizada de
4 X
conocimientos para la medición de la seguridad. Las encuestas sobre la
satisfacción de seguridad es un proceso constante y conduce al análisis de las
causas de fondo. Se usan los métodos de costo-beneficio para justificar las
iniciativas de aseguramiento de seguridad.
La conciencia de la seguridad es muy elevada dentro de toda la organización.
El aseguramiento de calidad está integrado y se ejecuta en todas las
actividades de TI. Los procesos de aseguramiento de calidad son flexibles y
adaptables a los cambios en el entorno de TI. Todos los problemas de
seguridad son analizados en busca de las causas que los originaron. Las
encuestas de satisfacción de calidad son una parte esencial de un proceso
5 X
constante de mejoramiento. La base de conocimientos es complementada con
las mejores prácticas externas. Se realiza se manera rutinaria Benchmarking
contra los estándares externos. El aseguramiento de seguridad de los procesos
de TI está totalmente integrados con la aseguramiento sobre los procesos del
negocio para asegurar que los productos y servicios de toda la organización
tengan una ventaja competitiva.
Anexo 11
MODELO MADUREZ DOMINIO:
MEA01: Monitorear, Evaluar y Valorar el Desempeño y Cumplimiento

OBSERVACIÓN
NO CUMPLE
CUMPLE
NIVELES DEL MODELO DE MADUREZ

La organización no cuenta con un proceso implantado de monitoreo. TI no


lleva a cabo monitoreo de proyectos o procesos de forma independiente. No
0 X
se cuenta con reportes útiles, oportunos y precisos. La necesidad de entender
de forma clara los objetivos de los procesos no se reconoce.
La gerencia reconoce una necesidad de recolectar y evaluar información
sobre los procesos de monitoreo. No se han identificado procesos estándar de
recolección y evaluación. El monitoreo se implanta y las métricas se
1 seleccionan de acuerdo a cada caso, de acuerdo a las necesidades de X
proyectos y procesos de TI específicos. El monitoreo por lo general se
implanta de forma reactiva a algún incidente que ha ocasionado alguna
perdida o vergüenza a la organización.
Se han identificado algunas mediciones básicas a ser monitoreadas. Los
métodos y las técnicas de recolección y evaluación existen, pero los procesos
no se han adoptado en toda la organización. La interpretación de los
2 X
resultados del monitoreo se basa en la experiencia de individuos clave.
Herramientas limitadas son seleccionadas y se implantan para recolectar
información.
La gerencia ha comunicado e institucionalizado un proceso estándar de
monitoreo. Se han implantado programas educacionales y de entrenamiento
para el monitoreo. Se ha desarrollado una base de conocimiento formalizada
3 del desempeño histórico. Las evaluaciones todavía se realizan al nivel de X
procesos y proyectos individuales de TI y no están integradas a través de
todos los procesos. Se han definido herramientas para monitorear los
procesos y los niveles de servicio de TI.
La gerencia ha definido las tolerancias bajo las cuales los procesos deben
operar. Los reportes de los resultados del monitoreo están en proceso de
estandarizarse y normalizarse. Hay una integración de métricas a lo largo de
4 todos los proyectos y procesos de TI. Los sistemas de reporte de la X
administración de TI están formalizados. Las herramientas automatizadas
están integradas y se aprovechan en toda la organización para recolectar y
monitorear la información operativa de las aplicaciones, sistemas y procesos.
Un proceso de mejora continua de la calidad se ha desarrollado para
actualizar los estándares y las políticas de monitoreo a nivel organizacional
incorporando mejores prácticas de la industria. Todos los procesos de
monitoreo están optimizados y dan soporte a los objetivos de toda la
organización. Las métricas impulsadas por el negocio se usan de forma
5 rutinaria para medir el desempeño, y están integradas en los marcos de X
trabajo estratégicos, tales como el Balanced Scorecard. El monitoreo de los
procesos y el rediseño continuo son consistentes con los planes de mejora de
los procesos de negocio en toda la organización. Benchmarks contra la
industria y los competidores clave se han formalizado, con criterios de
comparación bien entendidos.
Anexo 12
MODELO MADUREZ DOMINIO:
MEA03: Monitorear, Evaluar y Valorar el Cumplimiento con Requisitos Externos

OBSERVACIÓN
NO CUMPLE
CUMPLE
NIVELES DEL MODELO DE MADUREZ

Existe poca conciencia respecto a los requerimientos externos que afectan a


0 TI, sin procesos referentes al cumplimiento de requisitos regulatorios, legales X
y contractuales.
La gerencia ha implantado un programa de mejora continua en toda la
organización que toma en cuenta las lecciones aprendidas y las mejores
prácticas de la industria para monitorear el control interno. La organización
utiliza herramientas integradas y actualizadas, donde es apropiado, que
1 permiten una evaluación efectiva de los controles críticos de TI y una X
detección rápida de incidentes de control de TI. La compartición del
conocimiento, específico de la función de servicios de información, se
encuentra implantada de manera formal. El benchmarking con los estándares
de la industria y las mejores prácticas está formalizado.
Existe el entendimiento de la necesidad de cumplir con los requerimientos
externos y la necesidad se comunica. En los casos en que el cumplimiento se
ha convertido en un requerimiento recurrente., como en los reglamentos
regulatorios o en la legislación de privacidad, se han desarrollado
2 procedimientos individuales de cumplimiento y se siguen año con año. No X
existe, sin embargo, un enfoque estándar. Hay mucha confianza en el
conocimiento y responsabilidad de los individuos, y los errores son posibles.
Se brinda entrenamiento informal respecto a los requerimientos externos y a
los temas de cumplimiento.
Hay procesos documentados de adquisición e implementación. Se hace un
intento de aplicar consistentemente procesos documentados en todas las
diferentes aplicaciones y proyectos, pero no siempre se les encuentra
prácticos de implementar o que reflejen las soluciones tecnológicas actuales.
3 Son generalmente inflexibles y difíciles de aplicar en todos los casos, de X
modo que las medidas son frecuentemente desviadas. En consecuencia, las
aplicaciones se adquieren a menudo en forma fragmentada. El mantenimiento
sigue un método definido, pero frecuentemente absorbe demasiado tiempo y
es ineficiente.
Se han desarrollado, documentado y comunicado políticas, procedimientos y
procesos, para garantizar el cumplimiento de los reglamentos y de las
obligaciones contractuales y legales, pero algunas quizá no se sigan y algunas
quizá estén desactualizadas o sean pocas prácticas de implantar. Se realiza
4 X
poco monitoreo y existen requisitos de cumplimiento que no han sido
resueltos. Se brinda entrenamiento sobre requisitos legales y regulatorios
externos que afectan a la organización y se instruye respecto a los procesos
de cumplimiento definidos.
Existe un proceso bien organizado, eficiente e implantado para cumplir con
los requerimientos externos, basado en una sola función central que brinda
orientación y coordinación a toda la organización. Hay un amplio
conocimiento de los requerimientos externos aplicables, incluyendo sus
tendencias futuras y cambios anticipados, así como la necesidad de nuevas
5 X
soluciones. La organización participa en discusiones externas con grupos
regulatorios y de la industria para entender e influenciar los requerimientos
externos que la puedan afectar. Se han desarrollado mejores prácticas que
aseguran el cumplimiento de los requisitos externos, y esto ocasiona que haya
muy pocos casos de excepciones de cumplimiento.
Anexo 13
MODELO MADUREZ DOMINIO:
BAI02: Administrar la Definición de Requerimientos

OBSERVACIÓN
NO CUMPLE
CUMPLE
NIVELES DEL MODELO DE MADUREZ

No hay un proceso para diseñar y especificar aplicaciones. Típicamente, las


0 aplicaciones se obtienen sobre la base de ofertas impulsadas por vendedores, X
reconocimiento de marcas o familiaridad del personal de TI con productos
específicos, con poca o ninguna consideración de los requerimientos reales.
Hay una conciencia de que se requiere un proceso para adquirir y mantener
aplicaciones Los métodos, sin embargo, varían de un proyecto a otro sin
consistencia alguna y típicamente en aislamiento de los demás proyectos. Es
probable que la organización haya adquirido una variedad de soluciones
1 X
individuales y que ahora esté padeciendo de problemas e ineficiencias de
productos de software existente en la organización, incluyendo el
mantenimiento y el soporte. Los usuarios del negocio no pueden sacar mucho
provecho de las inversiones de TI.
Hay procesos similares para adquirir y mantener aplicaciones, pero éstos
están basados en la experiencia dentro de la función de TI, no en un proceso
documentado. La tasa de éxito con las aplicaciones depende en gran medida
2 X
de las habilidades internas y de los niveles de experiencia dentro de TI. El
mantenimiento es usualmente problemático y sufre cuando se han perdido
conocimientos internos de la organización.
Hay procesos documentados de adquisición e implementación. Se hace un
intento de aplicar consistentemente procesos documentados en todas las
diferentes aplicaciones y proyectos, pero no siempre se les encuentra
prácticos de implementar o que reflejen las soluciones tecnológicas actuales.
3 Son generalmente inflexibles y difíciles de aplicar en todos los casos, de X
modo que las medidas son frecuentemente desviadas. En consecuencia, las
aplicaciones se adquieren a menudo en forma fragmentada. El mantenimiento
sigue un método definido, pero frecuentemente absorbe demasiado tiempo y
es ineficiente.
Hay una metodología formal, clara y bien entendida de adquisición e
implementación de sistemas y la política que incluye un diseño formal y un
proceso de especificación, criterios para la adquisición de software de
4 aplicación, un proceso para probar y requerimientos para la documentación, X
asegurando que todas las aplicaciones se adquieran y se mantengan en forma
consistente. Existen mecanismos formales de aprobación para asegurar que se
sigan todos los pasos y que se autoricen las excepciones.
Las prácticas de adquisición y mantenimiento de software de aplicación están
acordes con los procesos acordados. El método está basado en componentes,
con aplicaciones predefinidas, estandarizadas adaptadas a las necesidades del
negocio. Es usual que se tomen métodos a nivel de toda la organización. El
proceso de adquisición y mantenimiento es bien avanzado, posibilita un
5 despliegue rápido y permite una alta capacidad de respuesta, así como X
también flexibilidad, para responder a los requerimientos cambiantes del
negocio. El proceso de adquisición e implementación de software de
aplicación ha estado sujeto a constante mejoramiento y es respaldado por
bases de datos de conocimientos internos y externos que contienen materiales
de referencia y las mejores prácticas.
Anexo 14
MODELO MADUREZ DOMINIO:
BAI03: Administrar la Identificación y Construcción de Soluciones

OBSERVACIÓN
NO CUMPLE
CUMPLE
NIVELES DEL MODELO DE MADUREZ

La arquitectura de la tecnología no es reconocida como un tópico


0 X
suficientemente importante que debe ser tratado.
Se hacen cambios a la infraestructura para cada nueva aplicación sin un plan
1 general. A pesar de que hay conciencia de que la infraestructura de TI es X
importante, no hay un método general consistente.
Hay consistencia entre los métodos tácticos, cuando se adquiere y se
mantiene la infraestructura de TI; sin embargo, no se basa en una estrategia
2 X
definida y no considera las necesidades de las aplicaciones del negocio que
debe ser soportado.
Surge un proceso claro, definido y generalmente entendido para administrar
la infraestructura de TI. Soporta las necesidades de aplicación críticas del
negocio y está alineado con la estrategia de TI y del negocio. Sin embargo,
no es posible determinar si el proceso se aplica de manera consistente y por
3 X
lo tanto es improbable que la infraestructura soporte plenamente las
necesidades de las aplicaciones del negocio. El outsourcing de la totalidad o
de parte de la infraestructura de TI ocurre generalmente como reacción a
problemas o a oportunidades específicas.
El proceso de adquisición y mantenimiento para la infraestructura de la
tecnología se ha desarrollado hasta el punto que funciona bien para la
mayoría de las situaciones, es seguido de manera consistente dentro de TI y
se basa en componentes y se concentra en la reutilización. Los intentos de
hacer cambios a la infraestructura sin seguir los procesos definidos acordados
4 serían detectados e impedidos. Es probable que la infraestructura de TI X
soporte de manera adecuada las aplicaciones del negocio. El proceso está
bien organizado, pero es a menudo reactivo en vez de ser proactivo. El costo
y el tiempo para alcanzar el nivel esperado de escalabilidad flexibilidad e
integración no están optimizado. Efectuar un outsourcing de la totalidad o de
una parte de la infraestructura de TI es parte del plan táctico.
El proceso de adquisición y mantenimiento para la infraestructura de la
tecnología es proactivo y está estrechamente alineado con las aplicaciones
críticas del negocio y con la arquitectura de la tecnología. Se siguen las
mejores prácticas respecto a soluciones de tecnología y la organización está
al tanto de los últimos desarrollos de plataforma y herramientas de
administración, incluyendo métodos en toda la organización y de la necesidad
de aumentar los niveles de fiabilidad, disponibilidad y seguridad de la red.
Los costos son reducidos racionalizando y estandarizando los componentes
5 X
de la infraestructura y usando la automatización. La organización mantiene
un alto nivel de conocimientos técnicos y puede identificar las mejores
formas de mejorar proactivamente el desempeño, incluyendo la consideración
de opciones de outsourcing. Puede monitorear y medir el desempeño de su
infraestructura existente para la detección oportuna de los problemas. La
infraestructura de TI es vista como el posibilitador clave para respaldar el uso
de TI. Los riesgos de proveedor de una sola fuente son administrados
activamente.
Anexo 15
MODELO MADUREZ DOMINIO:
BAI05: Administrar la Habilitación del Cambio

OBSERVACIÓN
NO CUMPLE
CUMPLE
NIVELES DEL MODELO DE MADUREZ

No existe un proceso definido de administración de cambio y los cambios se


pueden realizar virtualmente sin control. No hay conciencia de que el cambio
0 X
puede causar una interrupción para TI y las operaciones del negocio y no hay
conciencia de los beneficios de la buena administración de cambio.
Se reconoce que los cambios deben ser administrados y controlados, pero no
hay un proceso consistente para seguimiento. Las prácticas varían y es
probable que ocurran cambios no autorizados. Hay documentación
1 insuficiente o inexistente de cambios, y la documentación de configuración X
está incompleta y no es confiable. Es probable que ocurran errores junto con
interrupciones en el entorno de producción, causados por una administración
deficiente del cambio.
Hay un proceso informal de administración de cambios y la mayoría de los
cambios siguen este método; sin embargo, el mismo no está estructurado, es
rudimentario y está propenso a error. La precisión de la documentación de
2 X
configuración es inconsistente y sólo tiene lugar una planeación y un estudio
de impacto limitados antes de un cambio. Hay considerable ineficiencia y
repetición de trabajo.
Existe un proceso formal definido para la administración del cambio, que
incluye la categorización, asignación de prioridades, procedimientos de
emergencia, autorización del cambio y administración de liberación, y va
surgiendo el cumplimiento. Se dan soluciones temporales a los problemas y
3 los procesos a menudo se omiten o se hacen a un lado. Aún pueden ocurrir X
errores y los cambios no autorizados ocurren ocasionalmente. El análisis de
impacto de los cambios de TI en operaciones de negocio se está volviendo
formal, para apoyar la implantación planeada de nuevas aplicaciones y
tecnologías.
El proceso de administración de cambio se desarrolla bien y es consistente
para todos los cambios, y la gerencia confía que hay excepciones mínimas. El
proceso es eficiente y efectivo, pero se basa en manuales de procedimientos y
controles considerables para garantizar el logro de la calidad. Todos los
cambios están sujetos a una planeación minuciosa y a la evaluación del
impacto para minimizar la probabilidad de tener problemas de post-
4 producción. Se da un proceso de aprobación para cambios. La documentación X
de administración de cambios es vigente y correcta, con seguimiento formal a
los cambios. La documentación de configuración es generalmente exacta. La
planeación e implantación de la administración de cambios en TI se van
integrando con los cambios en los procesos de negocio, para asegurar que se
resuelven los asuntos referentes al entrenamiento, cambio organizacional y
continuidad del negocio.
El proceso de administración de cambios se revisa con regularidad y se
actualiza para permanecer en línea con las buenas prácticas. El proceso de
revisión refleja los resultados del monitoreo. La información de la
configuración es computarizada y proporciona un control de versión. El
5 rastreo del cambio es sofisticado e incluye herramientas para detectar X
software no autorizado y sin licencia. La administración de cambio de TI se
integra con la administración de cambio del negocio para garantizar que TI
sea un factor que hace posible el incremento de productividad y la creación
de nuevas oportunidades de negocio para la empresa.
Anexo 16
MODELO MADUREZ DOMINIO:
BAI08: Administrar el Conocimiento

OBSERVACIÓN
NO CUMPLE
CUMPLE
NIVELES DEL MODELO DE MADUREZ

Hay una total falta de programas de entrenamiento y educación. La


0 organización no reconoce que hay un problema a ser atendido respecto al X
entrenamiento y no hay comunicación sobre el problema.
Hay evidencia de que la organización ha reconocido la necesidad de contar
con un programa de entrenamiento y educación, pero no hay procedimientos
estandarizados. A falta de un proceso organizado, los empleados han buscado
1 X
y asistido a cursos de entrenamiento por su cuenta. Algunos de estos cursos
de entrenamiento abordan los temas de conducta ética, conciencia sobre la
seguridad en los sistemas y prácticas de seguridad.
Hay conciencia sobre la necesidad de un programa de entrenamiento y
educación, y sobre los procesos asociados a lo largo de toda la organización.
El entrenamiento está comenzando a identificarse en los planes de
2 desempeño individuales de los empleados. Los procesos se han desarrollado X
hasta la fase en la cual se imparte entrenamiento informal por parte de
diferentes instructores, cubriendo los mismos temas de materias con
diferentes puntos de vista.
Hay conciencia sobre la necesidad de un programa de entrenamiento y
educación, y sobre los procesos asociados a lo largo de toda la organización.
El entrenamiento está comenzando a identificarse en los planes de
3 desempeño individuales de los empleados. Los procesos se han desarrollado X
hasta la fase en la cual se imparte entrenamiento informal por parte de
diferentes instructores, cubriendo los mismos temas de materias con
diferentes puntos de vista.
Hay un programa completo de entrenamiento y educación que produce
resultados medibles. Las responsabilidades son claras y se establece la
propiedad sobre los procesos. El entrenamiento y la educación son
componentes de los planes de carrera de los empleados. La gerencia apoya y
asiste a sesiones de entrenamiento y de educación. Todos los empleados
4 X
reciben entrenamiento sobre conducta ética y sobre conciencia y prácticas de
seguridad en los sistemas. Todos los empleados reciben el nivel apropiado de
entrenamiento sobre prácticas de seguridad en los sistemas para proteger
contra daños originados por fallas que afecten la disponibilidad, la
confidencialidad y la integridad.
Hay un programa completo de entrenamiento y educación que produce
resultados medibles. Las responsabilidades son claras y se establece la
propiedad sobre los procesos. El entrenamiento y la educación son
componentes de los planes de carrera de los empleados. La gerencia apoya y
asiste a sesiones de entrenamiento y de educación. Todos los empleados
5 X
reciben entrenamiento sobre conducta ética y sobre conciencia y prácticas de
seguridad en los sistemas. Todos los empleados reciben el nivel apropiado de
entrenamiento sobre prácticas de seguridad en los sistemas para proteger
contra daños originados por fallas que afecten la disponibilidad, la
confidencialidad y la integridad.
Anexo 17
MODELO MADUREZ DOMINIO:
BAI10: Administrar la Configuración

OBSERVACIÓN
NO CUMPLE
CUMPLE
NIVELES DEL MODELO DE MADUREZ

La gerencia no valora los beneficios de tener un proceso implementado que


0 sea capaz de reportar y administrar las configuraciones de la infraestructura X
de TI, tanto para configuraciones de hardware como de software.
Se reconoce la necesidad de contar con una administración de configuración.
1 Se llevan a cabo tareas básicas de administración de configuraciones, tales X
como mantener inventarios de hardware y software pero de manera
individual. No están definidas prácticas estandarizadas.
Hay conciencia organizacional de la necesidad de una función de mesa de
servicio y de un proceso de administración de incidentes. Existe ayuda
disponible de manera informal a través de una red de individuos expertos.
2 Estos individuos tienen a su disposición algunas herramientas comunes para X
ayudar en la resolución de incidentes. No hay entrenamiento formal y la
comunicación obre procedimientos estándar y la responsabilidad es delegada
al individuo.
Hay conciencia organizacional de la necesidad de una función de mesa de
servicio y de un proceso de administración de incidentes. Existe ayuda
disponible de manera informal a través de una red de individuos expertos.
3 Estos individuos tienen a su disposición algunas herramientas comunes para X
ayudar en la resolución de incidentes. No hay entrenamiento formal y la
comunicación obre procedimientos estándar y la responsabilidad es delegada
al individuo.
En todos los niveles de la organización hay un total entendimiento de los
beneficios de un proceso de administración de incidentes y la función de
mesa de servicio se ha establecido en las unidades organizacionales
apropiadas. Las herramientas y técnicas están automatizadas con una base de
conocimientos centralizada. El personal de la mesa de servicio interactúa
muy de cerca con el personal de administración de problemas. Las
4 X
responsabilidades son claras y se monitorea su efectividad. Los
procedimientos para comunicar, escalar y resolver incidentes han sido
establecidos y comunicados. El personal de la mesa de servicio está
capacitado y los procesos se mejoran a través del uso de software para tareas
específicas. La gerencia ha desarrollado los KPIs y KGIs para el desempeño
de la mesa de servicio.
El proceso de administración de incidentes y la función de mesa de servicio
están bien organizados y establecidos y se llevan a cabo con un enfoque de
servicio al cliente ya que son expertos, enfocados al cliente y útiles. Los KPIs
y KGIs son medidos y reportados sistemáticamente. Una amplia y extensa
5 cantidad de preguntas frecuentes son parte integral de la base de X
conocimientos. Existen a disposición del usuario, herramientas para llevar a
cabo autodiagnósticos y para resolver incidentes. La asesoría es consistente y
los incidentes se resuelven de forma rápida dentro de un proceso estructurado
de escalamiento.
Anexo 18
MODELO MADUREZ DOMINIO:
DSS01: Administrar las Operaciones

OBSERVACIÓN
NO CUMPLE
CUMPLE
NIVELES DEL MODELO DE MADUREZ

La gerencia no reconoce la necesidad de un proceso para definir los niveles


0 de servicio. La responsabilidad y la rendición de cuentas sobre el monitoreo X
no está asignada.
Hay conciencia de la necesidad de administrar los niveles de servicio, pero el
proceso es informal y reactivo. La responsabilidad y la rendición de cuentas
sobre para la definición y la administración de servicios no está definida. Si
1 X
existen las medidas para medir el desempeño son solamente cualitativas con
metas definidas de forma imprecisa. La notificación es informal, infrecuente
e inconsistente.
Los niveles de servicio están acordados, pero son informales y no están
revisados. Los reportes de los niveles de servicio están incompletos y pueden
ser irrelevantes o engañosos para los clientes. Los reportes de los niveles de
servicio dependen, en forma individual, de las habilidades y la iniciativa de
2 X
los administradores. Está designado un coordinador de niveles de servicio
con responsabilidades definidas, pero con autoridad limitada. Si existe un
proceso para el cumplimiento de los acuerdos de niveles de servicio es
voluntario y no está implementado.
Las responsabilidades están bien definidas, pero con autoridad discrecional.
El proceso de desarrollo del acuerdo de niveles de servicio está en orden y
cuenta con puntos de control para revalorar los niveles de servicio y la
satisfacción de cliente. Los servicios y los niveles de servicio están definidos,
documentados y se ha acordado utilizar un proceso estándar. Las deficiencias
3 X
en los niveles de servicio están identificadas pero los procedimientos para
resolver las deficiencias son informales. Hay un claro vínculo entre el
cumplimiento del nivel de servicio esperado y el presupuesto contemplado.
Los niveles de servicio están acordados pero pueden no responder a las
necesidades del negocio.
Aumenta la definición de los niveles de servicio en la fase de definición de
requerimientos del sistema y se incorporan en el diseño de la aplicación y de
los ambientes de operación. La satisfacción del cliente es medida y valorada
de forma rutinaria. Las medidas de desempeño reflejan las necesidades del
cliente, en lugar de las metas de TI. Las medidas para la valoración de los
4 X
niveles de servicio se vuelven estandarizadas y reflejan los estándares de la
industria. Los criterios para la definición de los niveles de servicio están
basados en la criticidad del negocio e incluyen consideraciones de
disponibilidad, confiabilidad, desempeño, capacidad de crecimiento, soporte
al usuario, planeación de continuidad y seguridad.
Cuando no se cumplen los niveles de servicio, se llevan a cabos análisis
causa-raíz de manera rutinaria. El proceso de reporte para monitorear los
niveles de servicio se vuelve cada vez más automatizado. Los riesgos
5 X
operacionales y financieros asociados con la falta de cumplimiento de los
niveles de servicio, están definidos y se entienden claramente. Se implementa
y mantiene un sistema formal de medición de los KPIs y los KGIs.
Anexo 19
MODELO MADUREZ DOMINIO:
DSS03: Administrar Problemas

OBSERVACIÓN
NO CUMPLE
CUMPLE
NIVELES DEL MODELO DE MADUREZ

La gerencia no reconoce que los procesos clave del negocio pueden requerir
altos niveles de desempeño de TI o que el total de los requerimientos de
0 X
servicios de TI del negocio pueden exceder la capacidad. No se lleva cabo un
proceso de planeación de la capacidad.
Los usuarios, con frecuencia, tienen que llevar acabo soluciones alternas para
resolver las limitaciones de desempeño y capacidad. Los responsables de los
procesos del negocio valoran poco la necesidad de llevar a cabo una
1 planeación de la capacidad y del desempeño. Las acciones para administrar el X
desempeño y la capacidad son típicamente reactivas. El proceso de
planeación de la capacidad y el desempeño es informal. El entendimiento
sobre la capacidad y el desempeño de TI, actual y futuro, es limitado.
Los responsables del negocio y la gerencia de TI están conscientes del
impacto de no administrar el desempeño y la capacidad. Las necesidades de
desempeño se logran por lo general con base en evaluaciones de sistemas
2 individuales y el conocimiento y soporte de equipos de proyecto. Algunas X
herramientas individuales pueden utilizarse para diagnosticar problemas de
desempeño y de capacidad, pero la consistencia de los resultados depende de
la experiencia de individuos clave.
Los requerimientos de desempeño y capacidad están definidos a lo largo del
ciclo de vida del sistema. Hay métricas y requerimientos de niveles de
servicio bien definidos, que pueden utilizarse para medir el desempeño
operacional. Los pronósticos de la capacidad y el desempeño se modelan por
3 X
medio de un proceso definido. Los reportes se generan con estadísticas de
desempeño. Los problemas relacionados al desempeño y a la capacidad
siguen siendo susceptibles a ocurrir y su resolución sigue consumiendo
tiempo.
Hay procesos y herramientas disponibles para medir el uso del sistema, el
desempeño y la capacidad, y los resultados se comparan con metas definidas.
Hay información actualizada disponible, brindando estadísticas de
desempeño estandarizadas y alertando sobre incidentes causados por falta de
4 desempeño o de capacidad. Los problemas de falta de desempeño y de X
capacidad se enfrentan de acuerdo con procedimientos definidos y
estandarizados. Se utilizan herramientas automatizadas para monitorear
recursos específicos tales como espacios en disco, redes, servidores y
compuertas de red.
Los planes de desempeño y capacidad están completamente sincronizados
con las proyecciones de demanda del negocio. La infraestructura de TI y la
demanda del negocio están sujetas a revisiones regulares para asegurar que se
logre una capacidad óptima con el menor costo posible. Las herramientas
para monitorear recursos críticos de TI han sido estandarizadas y usadas a
través de diferentes plataformas y vinculadas a un sistema de administración
5 X
de incidentes a lo largo de toda la organización. Las herramientas de
monitoreo detectan y pueden corregir automáticamente problemas
relacionados con la capacidad y el desempeño. Se llevan a cabo análisis de
tendencias, los cuales muestran problemas de desempeño inminentes
causados por incrementos en los volúmenes de negocio, lo que permite
planear y evitar problemas inesperados.
Anexo 20
0MODELO MADUREZ DOMINIO:
DSS05: Administrar los Servicios de Seguridad

OBSERVACIÓN
NO CUMPLE
CUMPLE
NIVELES DEL MODELO DE MADUREZ

La organización no reconoce la necesidad de la seguridad para TI. Las


responsabilidades y la rendición de cuentas no están asignadas para
garantizar la seguridad. Las medidas para soportar la administrar la seguridad
0 X
de TI no están implementadas. No hay reportes de seguridad de TI ni un
proceso de respuesta para resolver brechas de seguridad de TI. Hay una total
falta de procesos reconocibles de administración de seguridad de sistemas.
La organización reconoce la necesidad de seguridad para TI. La conciencia
de la necesidad de seguridad depende principalmente del individuo. La
seguridad de TI se lleva a cabo de forma reactiva. No se mide la seguridad de
1 X
TI. Las brechas de seguridad de TI ocasionan respuestas con acusaciones
personales, debido a que las responsabilidades no son claras. Las respuestas a
las brechas de seguridad de TI son impredecibles.
La organización reconoce la necesidad de seguridad para TI. La conciencia
de la necesidad de seguridad depende principalmente del individuo. La
2 seguridad de TI se lleva a cabo de forma reactiva. No se mide la seguridad de X
TI. Las brechas de seguridad de TI ocasionan respuestas con acusaciones
personales, debido a que las responsabilidades no son claras.
Existe conciencia sobre la seguridad y ésta es promovida por la gerencia. Los
procedimientos de seguridad de TI están definidos y alineados con la política
de seguridad de TI. Las responsabilidades de la seguridad de TI están
3 X
asignadas y entendidas, pero no continuamente implementadas. Existe un
plan de seguridad de TI y existen soluciones de seguridad motivadas por un
análisis de riesgo.
Las responsabilidades sobre la seguridad de TI son asignadas, administradas
e implementadas de forma clara. Regularmente se lleva a cabo un análisis de
impacto y de riesgos de seguridad. Las políticas y prácticas de seguridad se
complementan con referencias de seguridad específicas. El contacto con
métodos para promover la conciencia de la seguridad es obligatorio. La
identificación, autenticación y autorización de los usuarios está
4 estandarizada. La certificación en seguridad es buscada por parte del personal X
que es responsable de la auditoría y la administración de la seguridad. Las
pruebas de seguridad se hacen utilizando procesos estándares y formales que
llevan a mejorar los niveles de seguridad. Los procesos de seguridad de TI
están coordinados con la función de seguridad de toda la organización. Los
reportes de seguridad están ligados con los objetivos del negocio. La
capacitación sobre seguridad se imparte tanto para TI como para el negocio.
Las responsabilidades sobre la seguridad de TI son asignadas, administradas
e implementadas de forma clara. Regularmente se lleva a cabo un análisis de
impacto y de riesgos de seguridad. Las políticas y prácticas de seguridad se
complementan con referencias de seguridad específicas. El contacto con
métodos para promover la conciencia de la seguridad es obligatorio. La
identificación, autenticación y autorización de los usuarios está
5 estandarizada. La certificación en seguridad es buscada por parte del personal X
que es responsable de la auditoría y la administración de la seguridad. Las
pruebas de seguridad se hacen utilizando procesos estándares y formales que
llevan a mejorar los niveles de seguridad. Los procesos de seguridad de TI
están coordinados con la función de seguridad de toda la organización. Los
reportes de seguridad están ligados con los objetivos del negocio. La
capacitación sobre seguridad se imparte tanto para TI como para el negocio.

También podría gustarte