Tusdmie013 2017

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES
UNIANDES
FACULTAD DE SISTEMAS MERCANTILES
PROGRAMA DE MAESTRÍA EN INFORMÁTICA EMPRESARIAL
PROYECTO DE INVESTIGACION PREVIO A LA OBTENCIÓN DEL GRADO
ACADÉMICO DE MAGISTER EN INFORMÁTICA EMPRESARIAL
TEMA:
”AUDITORÍA DE GESTIÓN INFORMÁTICA EN EL ÁREA DE LAS

TECNOLOGÍAS DE LA INFORMACIÓN PARA EL GOBIERNO AUTÓNOMO
DESCENTRALIZADO (GAD) MUNICIPAL DEL CANTÓN LA CONCORDIA”
AUTORA: ING. MEJÍA GUAQUEZ ANDREA GUADALUPE
ASESOR: DR. CAÑIZARES GALARZA FREDY PABLO, MGS.
SANTO DOMINGO-ECUADOR
2017
APROBACION DEL ASESOR DEL TRABAJO DE TITULACION
CERTIFICACIÓN:
Quien suscribe, legalmente CERTIFICA QUE: EL presente Trabajo de Titulación

realizado por la Ing. Andrea Guadalupe Mejía Guaquéz, estudiante del
Programa de Maestría en Informática Empresarial, Facultad de Sistemas
Mercantiles con el tema “AUDITORÍA DE GESTIÓN INFORMÁTICA EN EL
ÁREA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN PARA EL GOBIERNO
AUTÓNOMO DESCENTRALIZADO (GAD) MUNICIPAL DEL CANTÓN LA
CONCORDIA”, ha sido prolijamente revisado, y cumple con todos los requisitos
establecidos en la normativa pertinente de la Universidad Regional Autónoma de
los Andes –UNIANDES-, por lo que apruebo su presentación.
Santo Domingo, julio de 2017

DECLARACION DE AUTENTICIDAD
Yo, Andrea Guadalupe Mejía Guaquéz, estudiante del Programa de Maestría

en Informática Empresarial, Facultad de Sistemas Mercantiles, declaro que todos
los resultados obtenidos en el presente trabajo de investigación, previo a la
obtención del título de MAGISTER EN INFORMATICA EMPRESARIAL, son
absolutamente originales, auténticos y personales; a excepción de las citas por
lo que son de mi exclusiva responsabilidad.

DERECHOS DE AUTOR
Yo, Andrea Guadalupe Mejía Guaquéz, declaro que conozco y acepto la

disposición constante en el literal d) del Art. 85 del estatuto de la Universidad
Regional Autónoma de los Andes, que en su parte pertinente textualmente dice:
El Patrimonio de la UNIANDES, está constituido por: La propiedad intelectual
sobre las Investigaciones, trabajos científicos o técnicos, proyectos profesionales
y consultoría que se realicen en la Universidad o por cuenta de ella;

CERTIFICACION DEL LECTOR DEL TRABAJO DE TITULACIÓN
Yo, Robert Vinicio Lalama Flores, en calidad de Lector del Proyecto de Titulación.
CERTIFICO:
Que el presente trabajo de titulación realizado por el estudiante Andrea
Guadalupe Mejía Guaquéz sobre el tema: “AUDITORÍA DE GESTIÓN
INFORMÁTICA EN EL ÁREA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN
PARA EL GOBIERNO AUTÓNOMO DESCENTRALIZADO (GAD) MUNICIPAL
DEL CANTÓN LA CONCORDIA”, ha sido cuidadosamente revisado por el
suscrito, por lo que he podido constatar que cumple con todos los requisitos de
fondo y forma establecidos por la Universidad Regional Autónoma de Los Andes,
para esta clase de trabajos, por lo que autorizo su presentación.
Santo Domingo, octubre de 2017

DEDICATORIA
Este trabajo investigativo va dedicado:
A mi hijo Ander Ortega, quien es la razón que me levanta cada día para
esforzarme, mi principal motivación
A mi esposo Ismael Ortega, por su gran paciencia y confianza durante mi vida

estudiantil
A mis padres Rosa y José, porque siempre estuvieron a mi lado en los momentos
más difíciles, brindándome su apoyo
A toda mi familia, quienes han estado pendientes de mis logros y a la vez

fomentando deseos de superación.
Y no podía finalizar sin dedicarles a mis amigos Freddy y Verónica por su gran
amistad y apoyo incondicional.
Andrea Mejía
AGRADECIMIENTO
A Jehová Dios por bendecirme grandemente en cada paso que doy
A la Universidad Regional Autónoma de los Andes UNIANDES por la oportunidad

de superación
A la Ing. Piedad Alarcón por su apoyo incondicional y sabios consejos, que me

ayudaron a iniciar con otra etapa profesional
Me gustaría agradecer sinceramente a mi asesor del proyecto de investigación,

Dr. Fredy Cañizares por compartir sus conocimientos y saberme orientar con
paciencia durante todo el proceso de formación académica.
También a Gardenia, amiga y compañera de trabajo que ha sabido motivarme

en todo momento, más aun para culminar con éxito el presente proyecto.
Andrea Mejía
RESUMEN
Este trabajo investigativo desarrolla una auditoría de gestión informática para

identificar riesgos de la entidad y establecer controles necesarios que
garanticen la protección integral de los activos fijos en este caso, la
información de la entidad gubernamental, como también facilitar la
administración de los mismos del GAD
Para el desarrollo de la presente investigación, se utilizó el método analítico

sintético, principalmente se manifiesta aspectos valiosos de fuentes
bibliográficas que permitieron la construcción de un modelo teórico, útil
para la elaboración de la propuesta.
A través de la auditoria de gestión informática se pudo verificar el

cumplimiento de las funciones y actividades asignadas a los funcionarios,
empleados y usuarios del Área de las Tecnologías de la Información,
también permitió determinar los correctivos necesarios a situaciones, que
afectaron o pudieron traducirse en riesgos para el procedimiento adecuado
de la información; como las medidas de prevención a los problemas
relacionados en la administración de los recursos tecnológicos y de esa
manera promover a la calidad de gestión de los mismos
ABSTRACT
This research paper develops an information management audit to identify risks

of the entity and establish necessary controls that guarantee the integral
protection of fixed assets in this case, the governmental entity information, and
also to facilitate the administration of the GAD
For the development of the present research, we used the synthetic analytical
method, mainly manifested valuable aspects of bibliographic sources that
allowed the construction of a theoretical model, useful for the elaboration of the
proposal.
Through the computer management audit, it was possible to verify the fulfillment
of the functions and activities assigned to the employees, employees and users
of the Information Technology Area, also allowed to determine the necessary
correctives to situations, that affected or could be translated into risks to the
proper information procedure; as the prevention measures to the problems
related in the administration of the technological resources and of that way to
promote to the quality of management of the same ones
INDICE GENERAL
PORTADA
APROBACION DEL ASESOR DEL TRABAJO DE TITULACION
DECLARACION DE AUTENTICIDAD
DERECHOS DE AUTOR
CERTIFICACION DEL LECTOR DEL TRABAJO DE TITULACIÓN
DEDICATORIA
AGRADECIMIENTO
RESUMEN
ABSTRACT
INDICE GENERAL
INTRODUCCIÓN .......................................................................................................................1
Planteamiento del Problema .........................................................................................................2
Formulación del problema............................................................................................................3
Delimitación del problema ...........................................................................................................4
OBJETO DE INVESTIGACIÓN Y CAMPO DE ACCIÓN ........................................................4
IDENTIFICACIÓN DE LA LÍNEA DE INVESTIGACIÓN .......................................................4
OBJETIVOS ................................................................................................................................4
Objetivo General ..........................................................................................................................4
Objetivos Específicos ...................................................................................................................4
IDEA A DEFENDER ..................................................................................................................5
VARIABLES DE LA INVESTIGACIÓN ...................................................................................5
Variable Independiente: Auditoría de Gestión Informática ..........................................................5
Variable Dependiente: Control Operacional de las Tecnologías de la Información .....................5
JUSTIFICACIÓN DEL TEMA ....................................................................................................5
BREVE EXPLICACIÓN DE LA METODOLOGÍA A EMPLEAR ............................................6
RESUMEN DE LA ESTRUCTURA DEL PROYECTO DE INVESTIGACION .......................7
APORTE TEÓRICO, SIGNIFICACION PRÁCTICA Y NOVEDAD CIENTÍFICA .................8
CAPITULO I ...............................................................................................................................9
MARCO TEÓRICO .....................................................................................................................9
AUDITORIA INFORMÁTICA ...................................................................................................9
AUDITORIA ISO-9000 A LOS SISTEMAS COMPUTACIONALES .......................................9
SINTOMAS DE NECESIDAD DE UNA AUDITORIA INFORMÁTICA ...............................10
ASPECTOS A CONSIDERAR EN AUDITORÍA INFORMÁTICA ........................................14
CONTROL INTERNO INFORMÁTICO ..................................................................................16
AUDITORIA DE GESTIÓN TECNOLÓGICA ........................................................................20
CARACTERÍSTICAS DE LA AUDITORÍA TECNOLÓGICA ...............................................21
NORMAS TÉCNICAS SOBRE EJECUCIÓN DEL TRABAJO ...............................................22
PLANIFICACIÓN .....................................................................................................................22
ESTUDIO Y EVALUACIÓN DEL SISTEMA DE CONTROL INTERNO .............................23
CONTROLES ............................................................................................................................23
METODOLOGÍA DE TRABAJO DE LA AUDITORÍA INFORMÁTICA ..............................26
EJECUCIÓN DE LA AUDITORÍA INFORMÁTICA ..............................................................27
CICLO DE VIDA DE LA AUDITORÍA INFORMÁTICA .......................................................28
INICIO .......................................................................................................................................28
FASE DE PLANIFICACIÓN ....................................................................................................29
FASE DE EJECUCIÓN .............................................................................................................30
FASE DE REVISIÓN ................................................................................................................30
FIN .............................................................................................................................................30
COBIT .......................................................................................................................................31
HISTORIA Y EVOLUCIÓN DEL COBIT ................................................................................31
EVOLUCIÓN DEL PRODUCTO COBIT .................................................................................31
FUNCIÓN BÁSICA Y ORIENTACIÓN DEL COBIT. ...........................................................32
CONTEXTO DEL DESARROLLO TECNOLÓGICO..............................................................35
TECNOLOGÍA ..........................................................................................................................36
GESTIÓN TECNOLÓGICA .....................................................................................................37
TIPOS DE TECNOLOGÍA ........................................................................................................38
GESTIÓN TECNOLÓGICA: CONSULTORÍA Y AUDITORÍA INFORMÁTICA. ................39
RELACIÓN DE LA GESTIÓN Y LA TECNOLOGÍA .............................................................40
ESPECIFICACIÓN Y DISEÑO DE LA ESTRATEGIA TECNOLÓGICA ..............................42
OBJETIVO DE LA GESTIÓN TECNOLÓGICA .....................................................................43
CONCLUSIONES PARCIALES DEL CAPITULO ..................................................................43
CAPITULO II ............................................................................................................................45
MARCO METODOLÓGICO Y PLANTEAMIENTO DE LA PROPUESTA ..........................45
DISEÑO METODOLÓGICO. ...................................................................................................46
POBLACIÓN Y MUESTRA .....................................................................................................46
TABULACIÓN DE RESULTADOS .........................................................................................49
CAPITULO III ...........................................................................................................................63
DESARROLLO DE LA PROPUESTA .....................................................................................63
Tema ..........................................................................................................................................63
INTRODUCCIÓN .....................................................................................................................63
OBJETIVOS ..............................................................................................................................63
General .......................................................................................................................................63
Específicos .................................................................................................................................64
DESCRIPCIÓN GENERAL DE LA PROPUESTA ..................................................................65
DESARROLLO DE LA PROPUESTA .....................................................................................65
DIAGNÓSTICO PREVIO .........................................................................................................66
PLANIFICACIÓN .....................................................................................................................69
ÁREA A AUDITAR ..................................................................................................................70
RECOLECCIÓN DE LA INFORMACIÓN...............................................................................70
DOCUMENTOS DE GESTIÓN DEL ÁREA DE INFORMÁTICA .........................................70
PLAN DE LA AUDITORIA ......................................................................................................70
CRONOGRAMA DE ACTIVIDADES .....................................................................................70
MODELOS DE MADUREZ A NIVEL CUALITATIVO (COSO) ...........................................72
RESULTADOS ..........................................................................................................................74
MODELOS DE MADUREZ DE LOS PROCESOS ..................................................................74
RESUMEN DEL GRADO DE MADUREZ ............................................................................105
RESUMEN DE PROCESOS Y CRITERIO POR IMPACTO .................................................107
EL INFORME DE AUDITORÍA .............................................................................................111
PRESUPUESTO DE LA AUDITORÍA ...................................................................................121
CONCLUSIONES PARCIALES DEL CAPITULO ................................................................123
CONCLUSIONES Y RECOMENDACIONES .......................................................................124
CONCLUSIONES ...................................................................................................................124
RECOMENDACIONES ..........................................................................................................126
BIBLIOGRAFIA
ANEXOS
Índice de Ilustraciones
Ilustración 1 Visión sistemática de la Auditoria Informática .................................................... 13
Ilustración 2 Funcionamiento del control Interno Informático .................................................. 17
Ilustración 3: Ciclo de vida de una auditoría ............................................................................. 29
Ilustración 4: El Cubo de COBIT ............................................................................................. 34
Ilustración 5 Actividades relacionadas con la producción de tecnologías ................................. 42
Ilustración 6 Edificio del Municipio de la Concordia ............................................................... 45
Ilustración 7 Pregunta #1 Encuesta realizada a empleados Municipales ................................... 49
Ilustración 10 Pregunta #4 Encuesta realizada a empleados Municipales ................................. 52
Ilustración 13 Pregunta #1 Encuesta realizada a usuarios Municipales ..................................... 55
Ilustración 19 Propuesta a la solución Problemática ................................................................. 61
Ilustración 21 Estructura de la Propuesta .................................................................................. 65
Ilustración 22 Cronograma de Actividades ............................................................................... 71
Ilustración 23 Impacto sobre criterios de la información ....................................................... 111
Ilustración 24: Criterio efectividad ......................................................................................... 118
Ilustración 25 Criterio eficiencia ............................................................................................ 118
Ilustración 26 Criterio confidencialidad.................................................................................. 119
Ilustración 27 Criterio integridad ............................................................................................ 119
Ilustración 28 Criterio disponibilidad ..................................................................................... 120
Ilustración 29: Criterio cumplimiento ..................................................................................... 120
Ilustración 30 Criterio Confiabilidad ...................................................................................... 121
Índice de Tablas
Tabla 1 Diferencias y similitudes del Control Interno y la Auditoría Informática ..................... 18
Tabla 2 Tipos de Tecnología ..................................................................................................... 38
Tabla 3 Población involucrada en el problema .......................................................................... 47
Tabla 4 Muestra......................................................................................................................... 48
Tabla 5 Pregunta #1 Encuesta realizada a empleados Municipales ........................................... 49
Tabla 8 Pregunta # 4 Encuesta realizada a empleados Municipales ........................................ 52
Tabla 9 Pregunta # 5 Encuesta realizada a empleados Municipales .......................................... 53
Tabla 10 Pregunta # 6 Encuesta realizada a empleados municipales ......................................... 54
Tabla 13 Pregunta # 3 Encuesta realizada a usuarios Municipales ............................................ 57
Tabla 17 Cuadro de Herramientas ............................................................................................. 72
Tabla 18 Cuadro de Herramientas nivel cualitativo COSO ....................................................... 73
Tabla 19 Cuadro de herramientas Metodología para el manejo de riesgos COSO.................... 74
Tabla 20 Plan Estratégico ......................................................................................................... 75
Tabla 21 Definición de Arquitectura de la Información ........................................................... 76
Tabla 22 Dirección Tecnológica ............................................................................................... 78
Tabla 23 Definición de Procesos ............................................................................................... 80
Tabla 24 Administración de la Inversión .................................................................................. 81
Tabla 25 Identificación de Soluciones Automatizadas ............................................................. 83
Tabla 26 Adquirir y mantener el Software aplicativo ............................................................... 84
Tabla 27 Mantener la Infraestructura ........................................................................................ 86
Tabla 28 Facilitar operación y uso............................................................................................ 88
Tabla 29 Adquirir Recursos de TI ............................................................................................. 90
Tabla 30 Administrar niveles de servicios ................................................................................ 91
Tabla 31 Administrar los servicios de Terceros......................................................................... 93
Tabla 32 Desempeño y Calidad ................................................................................................ 94
Tabla 33 Continuidad de servicios ............................................................................................ 96
Tabla 34 Garantizar la Seguridad de los Sistemas .................................................................... 97
Tabla 35 Monitorear y Evaluar el Desempeño de TI ................................................................ 99
Tabla 36 Monitorear y Evaluar el Control Interno.................................................................. 100
Tabla 37 Cumplimiento regulatorio........................................................................................ 102
Tabla 38 Proporcionar Gobierno de TI ................................................................................... 103
Tabla 39 Grado de Madurez..…………………................................……………………...…105
Tabla 40 Grado de Madurez, Resumen de procesos y criterios de impacto…………………..107
Tabla 41 Informe de Auditoria………………………………………………………………..112
Tabla 42 Presupuesto de la Auditoria…………………………………………..…………….121
INTRODUCCIÓN
Antecedentes de la Investigación
Se ha realizado una investigación preliminar en la Biblioteca de la Universidad

Regional Autónoma de los Andes UNIANDES, para analizar las tesis que pueden
servir como antecedente investigativo a la presente, luego de un estudio y análisis
de las mismas, se han considerado importantes las siguientes investigaciones:
La tesis desarrollada por el Ing. Ramón Tóala previa a la obtención del título de
Magister en Informática empresarial y que fue presentada en el año 2013 con el
tema denominado “AUDITORIA INFORMÁTICA PARA EL CONTROL DE LA
GESTIÓN TECNOLÓGICA DE LA UNIVERSIDAD TÉCNICA DE MANABÍ”, de su
análisis se puede concluir que los procesos de auditoria permiten definir el estado
real de la infraestructura tecnológica que maneja la Institución educativa, también
se puede deducir que mediante la utilización de la metodología Cobit se llega a
obtener resultados evacuatorios de los procesos y de los equipos informáticos.
Toda auditoría informática requiere de una planificación previa y de la definición de
los instrumentos evacuatorios para hardware, para software y lógicamente para
procesos.
A nivel nacional y específicamente en la Escuela Superior Politécnica del Ejército,

se encontró la tesis de los ingenieros Sandra Patricia Balseca Alcocer y Miguel
Eduardo Cachimuel Querembás, con su tema “EVALUACIÓN Y AUDITORÍA
INFORMÁTICA DEL SISTEMA DE INFORMACIÓN DE LA E.S.P.E”, del análisis
realizado se puede concluir de que:
Es necesaria la realización periódica de un ejercicio práctico y formal de la auditoría

en informática que permita asegurar que los recursos informáticos se están
utilizando de manera adecuada para lograr los objetivos de la institución auditada.
Y como todo proceso de auditoría, la auditoría informática es similar al de auditoría
de estados financieros, en la cual los objetivos principales son, salvaguardar los
1
activos, asegurar la integridad de los datos, la consecución de los objetivos
gerenciales, y la utilización de los recursos con eficiencia y eficacia, para lo que se
realiza la recolección y evaluación de evidencias. De manera semejante como
sucede con la auditoría financiera en la auditoría informática se recogen evidencias,
las cuales se analizan para identificar, la manera en la cual son salvaguardados los
activos computarizados.
Planteamiento del Problema
A nivel mundial, se considera a la información como un activo tan o más

importante que cualquier otro en la organización y su notable crecimiento ha dado
lugar a grandes cambios en la manera de cómo se establecen los procesos de la
información almacenada a través de las TI, es por esta razón que se debe seguir
normas y estándares para el éxito de una empresa.
En el Ecuador, la tecnología es bastante escasa, la cual nos ha traído graves

consecuencias con respecto al desarrollo, ya que la falta de la misma nos ha impedido
avanzar de una manera óptima en el mercado competitivo a nivel mundial. Sin
embargo en este campo tecnológico no solo el Gobierno participa sino también la
sociedad entera como las empresas privadas y universidades con sus importantes
aportes que son tomados en cuenta al momento de hacer una evaluación.
El Gobierno Autónomo Descentralizado Municipal del Cantón la Concordia, es una

institución que conforma la organización territorial del Estado Ecuatoriano,
organizada y regulada por el artículo 238 de la Constitución de la República del
Ecuador, establece que constituyen Gobiernos Autónomos Descentralizados
(GAD).
El Gobierno Autónomo Descentralizado Municipal del Cantón la Concordia fue

aprobada en 5 de febrero de 2012 en el mismo año que se proclamó a La Concordia
como cantón de la provincia de Santo Domingo de los Tsáchilas. El Gobierno
Autónomo Descentralizado Municipal del Cantón la Concordia, se encuentra
ubicado en la Calle Eugenio Espejo y Carchi, con sus diferentes departamentos
2
como; la Dirección de Planificación, Equidad y Género, departamentos como:
Dirección Financiera, Administrativa, Comunicación Social entre otras, que brinda
servicios a la sociedad.
En varias visitas realizadas en el G.A.D. Municipal, se ha podido observar varias

falencias en el control operacional del aspecto tecnológico, como también en el
manejo y tratamiento de la información, entre ellas tenemos:
 No existe un inventario completo y acertado de equipos informáticos por lo que

genera desorganización y desconocimiento del stock real de equipos
 El desconocimiento del estado actual de los equipos informáticos ha con llevado

a innumerables errores de funcionamiento, reclamos por los usuarios y pérdida
de tiempo en atención al público. También no se ha podido hacer una
actualización tecnológica y tampoco se tiene información clara de quienes son
los adjudicatarios de los equipos de la Institución
 El procedimiento para realizar un requerimiento de material es mediante el

P.O.A. anual, lo que no se satisface la necesidad actual en el departamento
 No se han realizado auditorias informáticas de los recursos existentes para

evaluar su funcionalidad y utilización
 La falta de un manual de organización y funciones ha ocasionado que los

encargados del departamento informático manejen y manipulen tanto la
tecnología como la compatibilidad y configuración de los equipos informáticos
de manera empírica.
Formulación del problema
¿Cómo mejorar el control operacional de las tecnologías de la información en el

G.A.D Municipal del cantón La Concordia?
3
Delimitación del problema
El presente trabajo de investigación se ha desarrollado en el GAD Municipal del

Cantón de La Concordia, ubicado en la Calle Eugenio Espejo y Carchi.
El presente trabajo de investigación está delimitado en el departamento de las

Tecnologías de la Información, ya que es el encargado de establecer los procesos
y manejo de información almacenada.
OBJETO DE INVESTIGACIÓN Y CAMPO DE ACCIÓN
Objeto de Estudio: Procesos informáticos
Campo de acción: Auditoría Informática
IDENTIFICACIÓN DE LA LÍNEA DE INVESTIGACIÓN
La línea de investigación en el presente trabajo investigativo es: Las Tecnologías

de la Información y Comunicación
OBJETIVOS
Objetivo General
Planificar la ejecución de una Auditoría Informática, para que en base a ella se logre
el mejoramiento del control operacional de las Tecnologías de la Información en el
Gobierno Autónomo Descentralizado (GAD) Municipal del Cantón La Concordia
Objetivos Específicos
 Fundamentar científicamente los conceptos relacionados con Auditoría

Informática, metodología COBIT y el control operacional de las tecnologías de
información
4
 Realizar una investigación de campo sobre cómo se está llevando a cabo
actualmente el control operacional de las Tecnologías de la Información en el
GAD Municipal del Cantón La Concordia.
 Planificar una Auditoría Informática basada en los conceptos y en la

metodología COBIT para el G.A.D. Municipal del Cantón La Concordia.
 Validar la propuesta por expertos
IDEA A DEFENDER
Con la realización de una auditoría informática planificada en este trabajo

investigativo, se mejorará el proceso de control operacional de las Tecnologías de
Información en el Gobierno Autónomo Descentralizado (GAD) Municipal del Cantón
La Concordia
VARIABLES DE LA INVESTIGACIÓN
Variable Independiente: Auditoría de Gestión Informática
Variable Dependiente: Control Operacional de las Tecnologías de la Información
JUSTIFICACIÓN DEL TEMA
Del planteamiento del problema se puede deducir que este existe y que es de tipo
multifactorial, primeramente se debe resaltar que realmente no existe una
información concreta de todo el aparato tecnológico que tiene la Institución
Municipal, de cuál es su funcionamiento, de su ubicación y a cargo de quien está,
en definitiva no se tiene un control de toda la parte tecnológica y es por ello que
tampoco se pueden tomar decisiones para mejorar la infraestructura técnica.
Lógicamente se deduce que lo primero que hay que hacer es una auditoría
informática de toda la infraestructura tecnológica, luego de que esta se realice se
tendrán los siguientes beneficios:
5
 Se dispondrá de información clara y precisa del estado de la tecnología que
utiliza la entidad Municipal como apoyo a su proceso operativo.
 También se sabrá con plenitud la ubicación de equipos y obviamente los

responsables de los mismos.
 En base a esta información se podrá planificar la adquisición de nuevas

tecnologías, así como el recambio de todo el parque informático.
 En base a la mejora tecnológica, se podrá mejorar el servicio al usuario,

agilitando los procesos y pudiendo establecer interconexiones con entidades
gubernamentales.
 Luego de la auditoria informática se tendrá un mejor control operacional de toda

la infraestructura tecnología que apoya el funcionamiento de la Institución
municipal.
En base a todas estas mejoras, se justifica plenamente la realización del presente

trabajo investigativo.
BREVE EXPLICACIÓN DE LA METODOLOGÍA A EMPLEAR
La metodología investigativa que se empleó en el desarrollo del presente trabajo

de titulación tiene algunos aspectos a destacar así:
En lo que se refiere a la modalidad de la investigación concretamente se utilizó el

paradigma denominado cuali-cuantitativo, en este paradigma la modalidad
cualitativa permite averiguar las cualidades o características generales del
problema, esta averiguación normalmente se la hace en base a observación y a
visitas en la Institución. Las características cualitativas de la problemática
posteriormente son ratificadas mediante la cuantificación de la investigación de
campo llevada a cabo en base a encuestas.
6
Entre los tipos de investigación que se utilizaron se tiene: la bibliográfica, de campo
y aplicada. Mientras tanto los métodos a emplear en el desarrollo del presente
trabajo investigativo tenemos el Analítico sintético, Inductivo deductivo
Las técnicas que se aplicaron en el proceso investigativo son: la encuesta que se

llevará a cabo a los clientes internos y externos de la Municipalidad, también se
realizó una entrevista al Director de Sistemas para recabar sus criterios
relacionados a la problemática y a la solución de la misma.
Por ultimo empleamos los instrumentos investigativos como: los cuestionarios que
se utilizarán para las encuestas orientadas a los usuarios y a los empleados y la
guía de entrevistas para el Director Departamental
RESUMEN DE LA ESTRUCTURA DEL PROYECTO DE INVESTIGACION
El presente trabajo investigativo tiene las siguientes secciones:
La introducción contiene aspectos fundamentales como el planteamiento del

problema relacionado con una falta de control operacional de las tecnologías que
se usan en el Municipio, también se definen los objetivos que tienen que ver con la
planificación de una auditoría informática y obviamente con su fundamento teórico,
además se expresa los motivos que justifican esta investigación y las
características de novedad que tiene.
El marco teórico permite el fundamento científico de la propuesta, este aspecto

teórico tiene que ver con los conceptos fundamentales de la Auditoría informática,
también se fundamenta la metodología COBIT y el control operacional.
El marco metodológico se lo elabora en base a encuestas realizadas a empleados

y usuarios del municipio, en él, se ratifican los síntomas del problema y se orienta
a la solución.
7
Finalmente se tiene la propuesta en la cual se planifica la auditoría informática, se
preparan los instrumentos respectivos y se dan orientaciones relacionadas con el
informe final de la auditoria.
APORTE TEÓRICO, SIGNIFICACION PRÁCTICA Y NOVEDAD CIENTÍFICA
El aporte teórico que ofrece el presente trabajo investigativo, es el de aportar y

fortalecer las bases teóricas correspondientes a la Auditoria Informática ya que
servirá como fuente de consulta y a la vez extender su conocimientos a estudiantes,
que estén interesados en el tema.
La significación práctica, recae notablemente, en la implementación de una

Auditoría de Gestión Informática, orientada directamente a identificar riesgos de
la entidad y establecer controles necesarios que garanticen la protección
integral de los activos fijos en este caso, la información de la entidad
gubernamental, como también facilitar la administración de los mismos.
La novedad científica de la presente investigación es el alcance que tiene la

Auditoría de Gestión Informática en nuestro medio ya que radica en el hecho de
aplicar normas y técnicas dedicadas al aseguramiento y disponibilidad de la
información.
8
CAPITULO I
MARCO TEÓRICO
Este trabajo investigativo se fundamenta en los siguientes aspectos:
AUDITORIA INFORMÁTICA
“La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias

para determinar si un sistema informatizado salvaguarda los activos, mantiene la
integridad de los datos, lleva eficazmente los fines de la organización y utiliza
eficazmente los recursos.” (PIATTINI, 2008)
Dentro de la auditoría informática se tiene muy en claro cuatro puntos: "examen",

"metódico", "puntual" y" objetivo": (HORACIO, 2008)
 La auditoría informática es un examen, pues se verifica o comprueba el sistema

informático actualmente en uso.
 Este examen es metódico, ya que sigue un plan de trabajo, perfectamente

diseñado, que permite llegar a conclusiones suficientemente fundamentadas.
Este examen es puntual, ya que se realiza en un momento determinado y bajo
petición de la dirección.
 Este examen es objetivo, ya que se realiza por un equipo externo al servicio de

informática para buscar la objetividad requerida.
AUDITORIA ISO-9000 A LOS SISTEMAS COMPUTACIONALES
Es la revisión exhaustiva, sistemática y especializada que realizan únicamente los

auditores especializados y certificados en las normas y procedimientos ISO-9000,
aplicando exclusivamente los lineamientos, procedimientos e instrumentos
establecidos por esta asociación. El propósito fundamental de esta revisión es
9
evaluar, dictaminar y certificar que la calidad de los sistemas computacionales de
una empresa se apegue a los requerimientos delISO-9000. (Universidad de
Alicante, 2010)
SINTOMAS DE NECESIDAD DE UNA AUDITORIA INFORMÁTICA
Las empresas acuden a las auditorías externas cuando existen síntomas bien
perceptibles de debilidad. Estos síntomas pueden agruparse en clases.
 Síntomas de descoordinación y desorganización:

No coinciden los objetivos de la informática de la empresa y de la propia
compañía
 Síntomas de mala imagen e insatisfacción de los usuarios
1. No se atienden las peticiones de cambios de los usuarios. Ejemplo: cambio

de Software en los computadores
2. No se reparan las averías de Hardware ni se resuelven incidencias en

plazos razonables. El usuario percibe que está abandonado y desatendido
permanentemente.
3. No se cumplen en todos los casos los plazos de entrega de resultados

periódicos.
 Síntomas de debilidades económico-financiero:
1. Incremento desmesurado de costos
2. Necesidad de justificación de inversiones informáticas (la empresa no está

absolutamente convencida de tal necesidad y decide contrastar opiniones)
10
3. Costos y plazos de nuevos proyectos (deben auditarse simultáneamente a
desarrollo de proyectos y al órgano que realizó el pedido).
 Síntomas de inseguridad: Evaluación de nivel de riesgos.
1. Seguridad lógica
2. Seguridad física
3. Confidencialidad
Se pueden establecer tres grupos de funciones a realizar por un auditor informático:
 Participar en las revisiones durante y después del diseño, realización,

implantación y explotación de aplicaciones informativas, así como en las fases
análogas de realización de cambios importantes.
 Revisar y juzgar los controles implantados en los sistemas informativos para

verificar su adecuación a las órdenes e instrucciones de la dirección requisitos
legales, protección de confidencialidad y cobertura ante errores y fraudes.
(RAMIREZ & ALVAREZ, 2010)
Según HERNÁNDEZ (2009), “Conceptualmente la auditoría toda y cualquiera

auditoría, es la actividad consistente en la emisión de una opinión profesional sobre
si el objeto sometido a análisis presenta adecuadamente la realidad que pretende
reflejar y/o cumple las condiciones que le han sido prescritas”.
De aquí se deduce la importancia de establecer una opinión objetiva fundada en

las evidencias encontradas, sobre las diferencias existentes entre el planteamiento
del funcionamiento de cualquier área a auditar y su ejecución real en la
organización, y comunicarlas a las personas correspondientes.
11
Se plantea que una de las formas de Auditoría Informática aplicado a Entidades
Públicas es el proceso orientado a la identificación de riesgos y controles en la
gestión de las tecnologías de información, para su efectivo apoyo al logro de los
objetivos de la institución, para el cumplimiento de sus metas estratégicas, asociado
a la nueva economía digital en la que se desenvuelve.
Por un lado la identificación de riesgos nos sirve para determinar el nivel de

exposición de la institución al inadecuado uso de los servicios que brinda la
tecnología de la información, pero además permite gestionar los riesgos,
implementando controles que están orientados a evitarlos, transferirlos, reducirlos
o asumirlos gerencialmente. Por tanto, es necesario definir ambos conceptos:
riesgos y controles:
a. Riesgos: Un riesgo impide que la entidad logre alcanzar los objetivos

establecidos como negocio y que en el tiempo dicha situación genere
debilidades en el control interno
b. Control: Un control establece las medidas implementadas en las entidades con

la finalidad de reducir los riesgos existentes y proteger los activos más
importantes.
En la siguiente figura se visualiza la estrategia utilizada para la implantación de las

mejores prácticas de control. Es un proceso de “benchmarking” que toma en cuenta
las mejores recomendaciones internacionales, como las contenidas en el COBIT,
las utilizadas por empresas de prestigio internacional, las normas internacionales
de auditoría, entre otros; los que permiten obtener altos niveles de seguridad,
fiabilidad y conformidad en la gestión de la tecnología de la información.
Los riesgos de tecnologías de información que afectan a las entidades Públicas

están relacionados con 3 aspectos básicamente:
12
a. Dependencia en el uso de tecnología de información: Relacionada con
el uso que efectúa la Entidad y la importancia que representa para el
desarrollo de sus operaciones.
b. Confiabilidad en el uso de tecnología de información: Relacionada con

resultados del procesamiento de datos y que no requieren trabajo manual
por los usuarios para complementar la información.
c. Cambios en la tecnología de información: Relacionado con la

automatización de los procesos principales de la Entidad y la adecuación de
esos procesos automatizados a nuevas necesidades de la Entidad
motivados por regulación o por modernización para mantenerse
competitivos o lograr su acreditación. (GÓMEZ, 2013)
Un proceso de Auditoría Informática tiene como objetivos la implantación de nuevos

y mejores controles, que permitan entregar servicios tecnológicos con calidad y
eficiencia, que a su vez permitirá que el GAD municipal de La Concordia alcance
un mejor posicionamiento y acreditación dentro de las instituciones de este ramo
tanto dentro como fuera del país, apoyando de esta manera a los distintos procesos
que está emprendiendo para alcanzar la visión que se ha planteado.
Ilustración 1 Visión sistemática de la Auditoria Informática

Fuente: http://sisbib.unmsm.edu.pe/bibvirtualdata/publicaciones/indata/Vol6_n1/pdf/auditoria.pdf
Elaborado por: Ing. Andrea Mejía
13
Las etapas para establecer un sistema de control son las siguientes:
1. Establecimiento de estándares: Es la acción de determinar el/los parámetros

sobre los cuales se ejercerá el control y posteriormente, el estado o valor de
esos parámetros considerado deseable. Este es el primer elemento a
establecer para instrumentar un sistema de control. En esta especificación se
deberán incluir, entre otros, la precisión con que se medirá el parámetro a
verificar, el método de medición y el instrumento sensible que se aplicará, la
periodicidad en la aplicación y hasta los responsables de esta tarea.
2. Comparación o diagnóstico: implica el cotejo entre los resultados reales con los
deseables. En esta etapa se investiga (más o menos extensamente) acerca de
las causas de las desviaciones que acompañarán un informe con las
discrepancias detectadas, para ser fuente de información de la siguiente fase.
(CASTELLO, 2006)
3. La determinación de acciones correctivas es la tercera etapa. Lleva implícita

una decisión: corregir o dejar como está. Obviamente será más certera y
económica la solución de la discrepancia mientras más correcto sea el
diagnóstico hecho en la etapa anterior.
4. La ejecución de las acciones correctivas es el último paso. Sin éste, el control

será estéril, inútil e incompleto. Más aún, infinitamente caro como respuesta al
problema que intentó solucionar. Por ello, se considera que sin esta etapa
simplemente no ha existido una acción de control.
ASPECTOS A CONSIDERAR EN AUDITORÍA INFORMÁTICA
Uno de los aspectos más significativos de la Auditoría Informática se refiere a los

datos relativos a la Rentabilidad del Sistema. La rentabilidad del sistema debe ser
medida mediante el análisis de tres valores fundamentales: la evaluación de los
costes actuales, la comparación de esos costes actuales con magnitudes
14
representativas de la organización, y la comparación de los costes del sistema de
información de la empresa con los de empresas similares, preferentemente del
mismo sector de actividad. (Universidad Autónoma del Estado de Hidalgo, (2011)
Como evaluar de forma concreta estos tres aspectos fundamentales, que
conforman la rentabilidad del sistema de información, es lo que se analiza
seguidamente.
Evaluación de los costos actuales. Conocer, en términos económicos, los costos

que para una empresa supone su sistema de información, constituye uno de los
aspectos básicos de la auditoría informática. Se trata de cuantificar los costos de
los distintos elementos que configuran el sistema de información y que en términos
generales son los siguientes:
 Hardware. Se trata de analizar la evolución histórica del hardware en la

empresa, justificando dicha evolución. Es importante conocer el costo del
material (unidad central, periféricos, soporte) durante los últimos cinco años.
También será necesario analizar la utilización de cada elemento hardware
de la configuración, cifrándola en hora/mes, asegurando que la configuración
utilizada se corresponde con el menor valor utilización/costo, y examinar la
coherencia del mismo (MERINO, 2014)
 Software. Análisis de los costos relativos al sistema lógico, tanto en sus

aspectos relativos a la explotación (adecuación del sistema operativo,
versión del software utilizado) como en los aspectos relativos a la
programación de las distintas aplicaciones (prioridades de ejecución,
lenguaje utilizado).( Melo Cazar & Mónica Elizabeth, 2005)
 Capturas de datos. Análisis de los costos relativos a la captura de datos,

de las fuentes de información, tanto internas como externas de la empresa.
 Grabación de datos. Es necesario conocer también los costos relativos a la

transcripción de datos en los soportes adecuados (costos de personal,
equipos y máquinas auxiliares).
15
 Explotación. Análisis de los costos imputados a los factores relativos a la
explotación en sentido amplio (tratamiento manual, tiempos de realización
de aplicaciones, tiempo de respuesta, control errores, etc.)
 Aplicaciones. Se trata de evaluar los costos del análisis funcional, el análisis

orgánico, la programación, las pruebas de programas, preparación de datos
y costos de desarrollo de cada aplicación medido en horas.
 Personal. Teniendo en cuenta el nivel cualitativo y cuantitativo (las distintas

categorías, equilibrio entre esas categorías, remuneraciones salariales,
horas extraordinarias), se trata de analizar los costos de personal
directamente relacionado con el sistema de información. En este apartado
deberán tenerse en cuenta también los costes relativos a la formación del
personal.
 Documentación. Es necesario no sólo verificar que la documentación

relativa al sistema de información sea clara, precisa, actualizada y completa,
sino también los costos relativos a su elaboración y actualización.
 Difusión de la información. Se trata de evaluar los costos de difundir la

información, es decir, hacer llegar a los usuarios del sistema la información
demandada o aquella considerada necesaria en los distintos niveles de la
organización.
CONTROL INTERNO INFORMÁTICO
Para la aplicación y correcto funcionamiento en los procesos que plantea la

auditoría se tiene que llevar un control interno informático que es el que controla
diariamente que todas las actividades de sistemas sean realizadas cumpliendo los
procedimientos, estándares y normas fijados por la Dirección de la Organización
y/o la Dirección de Informática, así como los requerimientos legales. (PIATTINI,
2008)
16
La misión del Control Interno Informático es asegurarse de que las medidas que se
obtienen de los mecanismos implantados por cada responsable sean correctas y
válidas.
Como principales objetivos serían:
 Controlar que todas las actividades se realizan cumpliendo los

procedimientos y normas fijados, evaluar su bondad y asegurarse del
cumplimiento de las normas legales.
 Asesorar sobre el conocimiento de las normas
 Colaborar y apoyar el trabajo del Auditor Informático, así como el de las

auditorías externas al grupo.
 Definir, implantar y ejecutar mecanismos y controles para comprobar el logro

de los grados adecuados del servicio informático.
DIRECCIÓN
POLÍTICAS Y
Exigencias POLÍTICA
DIRECTRICES
internas y
externas
ESTÁNDARES,
PROCEDIMIENTOS,
NORMAS Y
METODOLOGÍAS
COMPROBACIÓN Y
SEGUIMIENTO DE CULTURA
CONTROLES IMPLANTAR
PROCEDIMIETNOS
DE CONTROL
Ilustración 2 Funcionamiento del control Interno Informático

Fuente: http://alarcos.esi.uclm.es/per/fruiz/cur/mso/comple/Cobit.pdf
17
“La Auditoría Informática y el Control Interno Informático son campos análogos. De
hecho, muchos de los actuales responsables de control interno informático
recibieron formación en seguridad informática tras su paso por la formación en
auditoría. Numerosos auditores se pasan al campo de control interno debido a la
similitud de los objetivos profesionales de control y auditoría. Pese a que ambas
figuras tienen objetivos comunes, existen diferencias que conviene matizar. En la
siguiente tabla se muestra las similitudes y diferencias entre ambas disciplinas:”
(Sobrinos Sánchez, 2000)
Tabla 1
Diferencias y similitudes del Control Interno y la Auditoría Informática
CONTROL INTERNO
AUDITOR INFORMÁTICO
INFORMÁTICO
 Personal Interno
 Conocimientos especializados den Tecnologías de la
Información
SIMILITUDES  Verificación del cumplimiento de controles internos,
normativas y procedimientos establecidos por la
Dirección de Informática y la Dirección General para
los sistemas de información
 Análisis de un momento
 Análisis de los informático
controles en el día a día determinado
 Informa a la Dirección  Informa a la Dirección
del Departamento de General de la
Informática Organización.
DIFERENCIAS  Solo personal interno  Personal Interno y
 El alcance de sus externo
funciones es  Tiene cobertura sobre
únicamente sobre el todos los componentes
Departamento de de los sistemas de
Informática información de la
Organización
Fuente: http://alarcos.esi.uclm.es/per/fruiz/cur/mso/comple/Cobit.pdf
“El auditor debe ser una persona independiente de la institución que se vaya a
auditar, él es responsable de aplicar el método que considere más adecuado, lo
que supone diseñar, desarrollar e implantar los controles; con total independencia
del equipo de desarrollo, el auditor deberá decidir los procedimientos que vaya
aplicar al auditar. El auditor puede hacer recomendaciones para mejorar el sistema,
cuidando siempre no perder la independencia”. (Guevara Plaza, 2010)
18
Todo auditor de sistemas informáticos debe estar técnicamente preparado y
poseer, los suficientes conocimientos y experiencia que le permitan realizar dicho
trabajo, de lo contrario deberá acudir a un experto en el área donde se tienen dudas,
es por eso que todo auditor debe tener una formación continua debido a la
revolución tecnológica.
Uno de los bienes más importante no solo de las empresas sino de las instituciones
es la información es por esto que existe conocimientos, normas, técnicas y buenas
practicas dedicadas a la evaluación y aseguramiento de la calidad, seguridad,
razonabilidad, y disponibilidad de la información tratada y almacenada a través del
computador y equipos afines, así como de la eficiencia, eficacia y economía con
que la administración de un ente están manejando dicha información y todos los
recursos físicos y humanos asociados para su adquisición, captura, procesamiento,
transmisión, distribución, uso y almacenamiento. Todo lo anterior con el objetivo de
emitir una opinión o juicio, para lo cual se aplican técnicas de auditoria de general
aceptación y conocimiento técnico específico. (SEVILLA, 2012)
También es una realidad que las facilidades que brindan los sistemas informáticos
pueden tener como inconveniente hacer más vulnerable la información importante
de las organizaciones, por lo que se deben implantar controles para mantener
segura la información y por ende se requiere de auditores especializados en
sistemas informáticos que prueben que estos controles son efectivos y permiten
que la información se procese de manera correcta. En consecuencia de esta
situación se crea la necesidad de realizar periódicamente evaluaciones a los
sistemas, o también llamadas, auditorías informáticas, con las cuales se pretende
identificar y evaluar los controles implantados en los sistemas y minimizar los
riesgos a los cuales las organizaciones que dependen de los sistemas informáticos
se encuentran expuestas.
La auditoría informática dentro de sus funciones se encuentra:

 Controlar y verificar todos los estándares informáticos que aplica la
organización.
19
 Analizar la eficiencia y eficacia de los Sistemas de Información
organizacionales
 Examinar el uso adecuado de los recursos informáticos de la organización.”

(GRANADOS, 2006 )
AUDITORIA DE GESTIÓN TECNOLÓGICA
Una auditoría de sistemas es un proceso de revisión de la manera en la que se

están administrando actualmente la gestión tecnológica y los controles implantados
en los mismos, basado en un criterio o modelo de control y gobierno de TI
establecido (p. ej. COBIT, ITIL, ISO), recolección de evidencias significativas y la
emisión de una opinión independiente acerca de los controles evaluados.
(SEVILLA, 2012)
Esta opinión debe ser revisada por la gerencia de la entidad auditada, quien debe
definir si está de acuerdo con la misma, puesto que en caso de estar en desacuerdo
el auditor debe realizar una evaluación más exhaustiva a los puntos en desacuerdo,
siendo este un escenario poco probable y deseado ya que los resultados emitidos
por el auditor deben ser verificables por medio de las evidencias recolectadas que
deben estar de acuerdo con las observaciones emitidas.
“Cuando en una instalación se encuentren operando sistemas avanzados de

computación, como procesamiento en línea, bases de datos y procesamiento
distribuido, se podía evaluar el sistema empleando técnicas avanzadas de
auditoría.” (ECHENIQUE, 2006)
Estos métodos requieren un experto y, por lo tanto, pueden no ser apropiados si el

departamento de auditoría no cuenta con el entrenamiento adecuado (la institución
no cuenta con departamento de auditoría).
La tecnología está afectando la forma en que las organizaciones están

estructuradas, administradas y operadas. En algunos casos, los cambios son
20
dramáticos. Cuando existe la necesidad de un nuevo diseño de sistemas
administrativos para lograr una efectiva administración y control financiero.
Las técnicas deben usarse apropiadamente, dentro de estas podemos mencionar:

las pruebas integrales consisten en el procesamiento de datos de un
departamento ficticio, comparando estos resultados con resultados
predeterminados, es decir las transacciones iniciadas por el auditor son
independientes de la aplicación normal, pero son procesadas al mismo tiempo.
(MERINO, 2014)
La simulación nos ayuda a desarrollar programas de aplicación para determinada

prueba y comparar los resultados de la simulación con la aplicación real. El
proceso manual generalmente los documentos de las transacciones contienen
espacio de trabajo para ejecutar el proceso necesario, en las aplicaciones
computarizadas, el proceso se efectúa electrónicamente dentro de la memoria del
computador mediante procedimientos programados y siguiendo reglas
predeterminadas.
CARACTERÍSTICAS DE LA AUDITORÍA TECNOLÓGICA
Según (GÓMEZ, 2013), la información de la empresa y para la empresa, se ha

convertido en un activo real de la misma, por ende, han de realizarse inversiones
informáticas, materia de la que se ocupa la Auditoría de Inversión Informática.
De la misma manera, los Sistemas informáticos o tecnológicos han de protegerse

de modo global y particular, a ello se debe la existencia de la Auditoría de Seguridad
Informática en general, cuando se producen cambios estructurales en la
Informática, se reorganiza de alguna forma su función; se está en el campo de la
Auditoría de Organización Informática o Tecnológica. Estos tres tipos de auditoría
engloban a las actividades auditoras que realizan en una auditoria parcial.
21
NORMAS TÉCNICAS SOBRE EJECUCIÓN DEL TRABAJO
PLANIFICACIÓN
Toda auditoría antes de comenzar siempre se debe planificar y alguien que no haya
participado en la planificación debe supervisar el plan. La planificación de la
auditoría supone desarrollar una estrategia global basada en el objetivo y en el
alcance del trabajo que se haya encargado al auditor. Las fases para elaborar el
plan serían:
1. Análisis General de riesgo: En este análisis el auditor debe tener conocimiento

general del sector en el que se desenvuelve la empresa, del tipo de actividad y
de la empresa en sí; de esta manera podrá determinar en primera instancia las
áreas donde el riesgo es mayor. El auditor debe utilizar técnicas de evaluación
tanto a la hora de desarrollar el plan global de la auditoría como a la hora de
planificar una auditoría concreta. (VALLABHANENI, 2007)
2. Desarrollo de un Plan Global relativo al ámbito y a la realización de la auditoría:

Una vez evaluado el riesgo de la entidad que se va a auditar, se elabora el plan
global, en este se reflejan las decisiones iniciales del auditor con respecto a los
principios, normas técnicas y demás legislación que se va a tener en cuenta en
el trabajo de auditoría. (INSTITUTO MEXICANO DE CONTADORES
PÚBLICOS, 2013)
3. Preparación del programa de auditoría: El auditor deberá preparar un programa

escrito en el que establezcan, bien detallados, los objetivos y los
procedimientos que se precisen para llevar a cabo el plan global de auditoría.
A medida que vaya progresando la auditoría, el auditor deberá ir revisando
tanto el plan global como los programas parte del plan de auditoría. (PELAZAS,
2015)
En la fase de planificación deben quedar claras las siguientes interrogantes:
22
 ¿Dónde se va a realizar el trabajo?
 ¿En cuánto tiempo se va a realizar?
 ¿En qué fecha es necesario que esté terminado el trabajo?
 ¿Quién compone el equipo de auditoría?
 ¿Qué áreas se van a auditar?
Es decir, el auditor deberá planificar el trabajo de forma adecuada a fin de identificar

los objetivos de cada área de la auditoría y determinar los métodos para alcanzar
esos objetivos de manera eficaz y eficiente.
ESTUDIO Y EVALUACIÓN DEL SISTEMA DE CONTROL INTERNO
Se deberá estudiar y evaluar adecuadamente el control interno. En el campo de la

auditoría tanto interna como externa de sistemas informáticos se suelen dividir los
controles en: controles generales y controles de aplicaciones. Los controles son
fundamentales para conseguir la seguridad informática.
CONTROLES
“Es el conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y

actitudes de las empresas y para ello permite verificar si todo se realiza conforme
a los programas adoptados, órdenes impartidas y principios admitidos” (NARANJO,
2006)
1. Controles generales.
Los controles generales de los sistemas informáticos, a su vez, se pueden

dividir en cinco categorías:
23
a. Controles de la Organización
La entidad deberá segmentar las distintas funciones y tareas entre el

personal del Centro de Proceso de Datos (C.P.D) y los usuarios, evitando
que funciones o tareas incompatibles las realice una misma persona. Por
ejemplo se debe prohibir al personal de C.P.D. que realice cualquier tipo
de transacción.
b. Controles sobre el desarrollo de los sistemas y su documentación.

Estos controles suponen que los nuevos sistemas y las modificaciones
de los existentes se deben revisar sometiéndolos a un lote de pruebas,
aceptándolos, en el caso de que hayan superado las pruebas. Los
manuales deberán ser actualizados, revisados y aprobados antes de
ponerlos en circulación. La persona o personas que realicen la función
de desarrollo o actualización deben ser distintas a las que revisen y
aprueben los sistemas y los manuales.
c. Controles sobre el software del sistema y sobre el hardware

Se deberán implantar funciones que detecten errores automáticamente,
tanto en el software como en el hardware. Se harán revisiones periódicas
con el objetivo de prevenir estos errores. Es conveniente elaborar
procedimientos escritos de como a de actuar el personal en el caso de
que ocurra cualquier tipo de fallo.
d. Controles de acceso.
Estos se implantan con el objetivo de prevenir o detectar errores

deliberados o accidentales, que sean consecuencia del uso o de la
manipulación inadecuada de los ficheros de datos, del uso incorrecto o
no autorizado de los programas informáticos o por la utilización
inadecuada de los recursos informáticos. (CASTELO, 2006)
24
2. Controles sobre las aplicaciones
Una primera aproximación de los controles los que hay que someter a las
aplicaciones podría ser la que los clasifica en tres categorías: entrada, salida
y proceso. (PELAZAS, 2015)
a. Controles de las entradas.
Estos controles se deben diseñar e implantar para que actúen sobre las
transacciones de altas, sobre el mantenimiento de archivos, sobre la
consulta de datos y en las funciones de corrección de errores.
b. Controles del proceso
Normalmente se incluyen en los programas de las aplicaciones. Se

diseñan para prevenir o detectar fallas al procesar las entradas de
transacciones. También estos controles deberían detectar la posibilidad
de que se puedan actualizar archivos que no se correspondan con la
aplicación o con el programa en cuestión.
c. Controles de salida
Estos controles se implantan para asegurar que el resultado del proceso

es el adecuado y además, que esos resultados sólo llegan a personas
que estén autorizados a tal efecto.
IMPLANTACIÓN DE UN SISTEMA DE CONTROLES INTERNOS

INFORMÁTICOS
Los controles pueden implantarse a varios niveles diferentes. Para llegar a conocer
la configuración del sistema es necesario documentar los detalles de la red, así
como los distintos niveles de control y elementos relacionados:
25
 Entorno de red: esquema de la red, descripción de la configuración hardware
de comunicaciones, descripción del software que se utiliza como acceso a las
telecomunicaciones, control de red, situación general de los computadores de
entornos de base que soportan aplicaciones críticas y consideraciones relativas
a la seguridad de la red
 Configuración del computador base: configuración del soporte físico, entorno

del sistema operativo, software con particiones, bibliotecas de programas y
conjunto de datos
 Entorno de aplicaciones: procesos de transacciones, sistemas de gestión de

bases de datos y entornos de procesos distribuidos
 Productos y herramientas: software para desarrollo de programas, software de

gestión de bibliotecas y para operaciones automáticas.
 Seguridad del computador: identificar y verificar usuarios, control de acceso,

registro e información, integridad del sistema, controles de supervisión, etc.
(PIATTINI y otros, 2008)
METODOLOGÍA DE TRABAJO DE LA AUDITORÍA INFORMÁTICA
En resumen podemos indicar lo siguiente:
“El método de trabajo del auditor pasa por las siguientes etapas:
 Alcance y Objetivos de la Auditoría Informática
 Estudio inicial del entorno auditable
 Determinación de los recursos necesarios para realizar la auditoría
 Elaboración del plan y de los Programas de Trabajo
26
 Actividades propiamente dichas de la auditoría
 Confección y redacción del Informe Final
 Redacción de la carta de introducción” (MUÑOZ, 2002)
EJECUCIÓN DE LA AUDITORÍA INFORMÁTICA
Según (PARDO, 2008) La ejecución de la auditoría Informática consiste

principalmente en la recolección de información y evidencias suficientes, para
fundamentar los comentarios, conclusiones y recomendaciones con respecto a la
Gestión tecnológica, lo cual se realiza utilizando diversas técnicas como las
siguientes:
 Entrevistas
 Simulación
 Cuestionarios
 Análisis de la información documental entregada por el auditado
 Revisión y Análisis de Estándares
 Revisión y Análisis de la información de auditorías anteriores
El análisis de esta información deberá ser realizado utilizando el criterio profesional

adquirido por la experiencia del equipo encargado del Proyecto de Auditoría,
identificando cuando las evidencias obtenidas son suficientes para evidenciar el
adecuado conocimiento de la entidad. (ARGUELLES, 2011)
27
La información recabada debe ser completa y detallada para que pueda ser
comprendida por el equipo de auditoría y permita la obtención de comentarios,
conclusiones y recomendaciones, mediante su revisión.
CICLO DE VIDA DE LA AUDITORÍA INFORMÁTICA
El proceso de la auditoría implica diversas etapas en las que el auditor ha de seguir

cumpliendo las normas de auditoría para que éste pueda emitir una opinión
profesional sobre lo que está auditando. (PIATTINI, 2008)
El modelo del proceso para realizar las auditorías sigue un ciclo continuo de
actividades: planificar, ejecutar, revisar y corregir.
INICIO
Este acto se concreta en la primera entrevista con los responsables de la

Institución. Se debe solicitar un inventario de los recursos que se va a auditar para
hacerse una idea de la extensión y así poder presupuestar el trabajo de auditoría.
28
Inicio Entrevista Inicial
Inventario de Recursos
Contrato o carta de encargo
Planificar Planificación Estratégica

Planificación administrativa
Planificación técnica
técnicaUUVVVVVV
Corregir Realizar pruebas de cumplimiento

Ejecutar Realizar pruebas sustantivas
Elaborar informes
Distribuir Informes
Revisar los papeles de

Revisar
trabajo
Reorganizar y archivar
Fin papeles de trabajo
Ilustración 3: Ciclo de vida de una auditoría

Elaborado por: Andrea Mejía
FASE DE PLANIFICACIÓN
En esta etapa se define las actividades necesarias para la ejecución, es decir se

identifica las razones por las que se va a realizar la auditoria y determinación del
objeto de la misma, así como el diseño de métodos, técnicas y procedimientos que
se llevan a cabo para la elaboración documental de planes, programas y
presupuestos para dicha auditoria (MUÑOZ, 2002)
Se utiliza para asegurarse que el alcance y el contexto de la auditoría se han

establecido correctamente, que todos los riesgos se han identificado y se han
cuantificado, que se asignan los recursos necesarios para que se pueda realizar la
auditoría.
29
FASE DE EJECUCIÓN
La fase de ejecución está determinada por las características concretas, los puntos
y requerimientos, que se estimaron en la etapa de planeación. En este inciso solo
se indican los puntos más importantes (SEVILLA, 2012)
Aquí se lleva acabo las decisiones adoptadas, se ejecutan los procedimientos

diseñados en la fase de planificación. No es necesario que esta fase esté terminada
para que se active la fase de revisión.
FASE DE REVISIÓN
El equipo auditor debe comprobar que existe correspondencia entre los riesgos
documentales y el plan de acción propuesto. Esta verificación se puede realizar
utilizando técnicas de muestreo, si bien es cierto que no es objetivo de esta fase
analizar los registros, si se debe comprobar que al menos estos existan. (MERINO,
2014)
El trabajo de auditoría se debe revisar, hay que asegurarse de las debilidades que
se hayan detectado, se debe informar al auditorio de las debilidades y de las
mejoras necesarias para prevenir o eliminar esas debilidades.
FIN
En esta fase la auditora debe integrar perfectamente los papeles de trabajo, ya que
servirán en caso de aclaraciones posteriores y para dar seguimiento a las
soluciones de las desviaciones encontradas. (MERINO, 2014)
En un momento determinado se concluye el trabajo y el ciclo se interrumpe. Es el

momento de organizar y archivar los papeles de trabajo de tal forma que se puedan
reutilizar y localizar en el futuro, si fuera necesario.
30
COBIT
HISTORIA Y EVOLUCIÓN DEL COBIT
El proyecto COBIT se emprendió por primera vez en el año 1995, con el fin de crear
un mayor producto global que pudiese tener un impacto duradero sobre el campo
de visión de los negocios, así como sobre los controles de los sistemas de
información implantados. La primera edición del COBIT, fue publicada en 1996 y
fue vendida en 98 países de todo el mundo. La segunda edición (tema de estudio
en este informe) publicada en Abril de 1998, desarrolla y mejora lo que poseía la
anterior mediante la incorporación de un mayor número de documentos de
referencia fundamentales, nuevos y revisados (de forma detallada) objetivos de
control de alto nivel, intensificando las líneas maestras de auditoría, introduciendo
un conjunto de herramientas de implementación, así como un CD-ROM
completamente organizado el cual contiene la totalidad de los contenidos de esta
segunda edición.(CHICAIZA, 2011)
EVOLUCIÓN DEL PRODUCTO COBIT
El COBIT evolucionará a través de los años y será el fundamento de

investigaciones futuras, por lo que se generará una familia de productos COBIT. Al
ocurrir esto, las tareas y actividades que sirven como la estructura para organizar
los Objetivos de Control de TI, serán refinadas posteriormente, siendo también
revisado el balance entre los dominios y los procesos a la luz de los cambios en la
industria. (PARDO, 2008)
Una temprana adición significativa visualizada para la familia de productos COBIT,

es el desarrollo de las Guías de Gerencia que incluyen Factores Críticos de éxito,
Indicadores Clave de Desempeño y Medidas Comparativas. Los Factores Críticos
de Éxito, identificarán los aspectos o acciones más importantes para la
administración y poder tomar, así, dichas acciones o considerar los aspectos para
lograr control sobre sus procesos de TI. Los Indicadores Clave de Desempeño
proporcionarán medidas de éxito que permitirán a la gerencia conocer si un proceso
de TI está alcanzando los requerimientos de negocio. La Medidas Comparativas
31
definirán niveles de madurez que pueden ser utilizadas por la gerencia para:
determinar el nivel actual de madurez de la empresa; determinar el nivel de
madurez que se desea lograr, como una función de sus riesgos y objetivos; y
proporcionar una base de comparación de sus prácticas de control de TI contra
empresas similares o normas de la industria. Esta adición proporcionará
herramientas a la gerencia para evaluar el ambiente de TI de su organización con
respecto a los 34 Objetivos de Control de alto nivel de COBIT. (PELAZAS, 2015)
En definitiva, la organización ISACF (Information Systems Audit and Control

Foundation) espera que el COBIT sea adoptado por las comunidades de auditoría
y negocio como un estándar generalmente aceptado para el control de las
Tecnologías de la Información
FUNCIÓN BÁSICA Y ORIENTACIÓN DEL COBIT.
Según (NARVAEZ, 2012) El COBIT, es una herramienta de gobierno de las

Tecnologías de la Información que ha cambiado de igual forma que lo ha hecho el
trabajo de los profesionales de TI. La ISACF, organización creadora de esta norma
COBIT (Information Systems Audit and Control Fundation), así como sus
patrocinadores, han diseñado este producto principalmente como una fuente de
instrucción para los profesionales dedicados a las actividades de control. La
definición que nos ofrece el sumario ejecutivo del COBIT (Control Objetives for
Information and related Tecnology: Gobierno, Control y Revisión de la Información
y Tecnologías Relacionadas) es la siguiente:
La misión del COBIT: buscar, desarrollar, publicar y promover un autoritario y

actualizado conjunto internacional de objetivos de control de tecnologías de la
información, generalmente aceptadas, para el uso diario por parte de gestores de
negocio y auditores.
Dicho de una forma menos formal, señalaremos que el COBIT ayuda a salvar las
fisuras existentes entre los riesgos de negocio, necesidades de control y aspectos
técnicos. Además, proporciona "prácticas sanas" a través de un Marco Referencial
32
(Framework) de dominios y procesos, y presenta actividades en una estructura
manejable y lógica. Las “prácticas sanas” del COBIT representan el consenso de
los expertos (ayudarán a los profesionales a optimizar la inversión en información,
pero aún más importante, representan aquello sobre lo que serán juzgados si las
cosas salen mal). (CASTELLO, 2006)
El tema principal que trata el COBIT es la orientación a negocios. Éste, está

diseñado no solo para ser utilizado por usuarios y auditores, sino que en forma más
importante, está diseñado para ser utilizado como una lista de verificación detallada
para los propietarios de los procesos de negocio. De forma creciente, las prácticas
de negocio comprenden la completa autorización de los procesos propios de
negocio, con lo que poseen una total responsabilidad para todos los aspectos de
dichos procesos.
La norma COBIT, proporciona una herramienta para los procesos propios de

negocio que facilitan la descarga de esta responsabilidad. La norma parte con una
simple y pragmática premisa: En orden de proporcionar la información que la
organización necesita para llevar a cabo sus objetivos, los requisitos de las
tecnologías de la información necesitan ser gestionados por un conjunto de
procesos agrupados de forma natural. La norma continúa con un conjunto de 34
objetivos de control de alto nivel para cada uno de los procesos de las tecnologías
de la información, agrupados en cuatro dominios: planificación y organización,
adquisición e implementación, soporte de entrega y monitorización. Esta estructura,
abarca todos los aspectos de la información y de la tecnología que la mantiene.
(CHICAIZA, 2011)
Mediante la dirección de estos 34 objetivos de control de alto nivel, los procesos

propios de negocio pueden garantizar la existencia de un sistema de control
adecuado para los entornos de las tecnologías de la información. En suma, cada
uno de los 34 objetivos de control de alto nivel correspondiente, es una directiva de
revisión o seguridad para permitir la inspección de los procesos de las tecnologías
de la información en contraste con los 302 objetivos de control detallados en el
COBIT para el suministro de una gestión de seguridad, así como de un aviso para
33
la mejora. La norma COBIT contiene un conjunto de herramientas de
implementación el cual aporta una serie de lecciones de aprendizaje, con las que
las organizaciones podrán aplicar de forma rápida y satisfactoria esta norma a sus
entornos de trabajo. (SOBRINOS, 2010)
Ilustración 4: El Cubo de COBIT

Fuente: It Governance Institute, Cobit 4.1. (2007), www.itgi.org, http://www.isaca.org/Knowledge‐
Center/cobit/Documents/cobiT4.1spanish.pdf
Para gobernar efectivamente TI, es importante determinar las actividades y los

riesgos que requieren ser administrados. Normalmente se ordenan dentro de
dominios de responsabilidad de plan, construir, ejecutar y Monitorear. COBIT define
las actividades de TI en un modelo de 34 procesos genéricos agrupados en 4
dominios:
 Planear y Organizar (PO): Estrategias y tácticas. Identificar la manera en que

TI pueda contribuir de la mejor manera al logro de los objetivos del negocio.
Proporciona dirección para la entrega de soluciones (AI) y la entrega de
servicio (DS).
 Adquirir e Implementar (AI): Identificación de soluciones, desarrollo o

adquisición, cambios y/o mantenimiento de sistemas existentes. Proporciona
las soluciones y las pasa para convertirlas en servicios.
34
 Entregar y Dar Soporte (DS): Cubre la entrega de los servicios requeridos.
Incluye la prestación del servicio, la administración de la seguridad y de la
continuidad, el soporte del servicio a los usuarios, la administración de los
datos y de las instalaciones operacionales. Recibe las soluciones y las hace
utilizables por los usuarios finales.
 Monitorear y Evaluar (ME): Todos los procesos de TI deben evaluarse de

forma regular en el tiempo en cuanto a su calidad y cumplimiento de los
requerimientos de control. Este dominio abarca la administración del
desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la
aplicación del gobierno. Monitorear todos los procesos para asegurar que se
sigue la dirección provista. (NARVAEZ, 2012)
CONTEXTO DEL DESARROLLO TECNOLÓGICO
El tema de la gestión tecnológica ha tomado gran relieve en América Latina,

introduciendo nuevas preocupaciones e ideas en torno al desarrollo científico y
tecnológico de los países de la región (Ávalos, 1990). En particular, ha llamado la
atención el papel que juega la investigación científica en este proceso, haciendo
evidente la necesidad de que el Gobierno, las empresas públicas y privadas, las
universidades y otras instituciones de investigación, se convenzan de su
importancia para alcanzar un desarrollo autónomo y sostenible. Además, se han
identificado ciertos fenómenos que se presentan en la región y que caracterizan la
investigación científica y tecnológica. (CAMPO, 2012)
En primer lugar, aunque en muchas universidades se realiza investigación, apenas

en los últimos años se ha dado alguna relación directa entre la academia y las
necesidades reales de producción. En segundo lugar, solo a partir de 1980, los
Gobiernos de los países de la región plantearon de manera expresa políticas de
ciencia y tecnología como componente del plan de desarrollo general. En tercer
lugar, usualmente la industria de la región ha brindado poca atención a las tareas
de investigación (JARAMILLO, 2010).
35
TECNOLOGÍA
La tecnología es el conjunto de conocimientos científicos y empíricos, habilidades,

experiencias y organización requeridos para producir, distribuir, comercializar y
utilizar bienes y servicios. Incluye tanto conocimientos teóricos como prácticos,
medios físicos, know-how, métodos y procedimientos productivos, gerenciales y
organizativos, entre otros, así como la identificación y asimilación de éxitos y
fracasos anteriores, la capacidad y destrezas de los recursos humanos, etc.
Desde otro punto de vista, la tecnología, además, puede entenderse como la

actividad de búsqueda de aplicaciones a conocimientos existentes. Los
conocimientos científicos y tecnológicos presentan características diferentes. Los
primeros son más complejos, surgen de la observación y el análisis y tratan de
suministrar conjuntos de conceptos cada vez más abarcadores y, a su vez, en la
medida de lo posible más sencillos con respecto a los fenómenos, sus vínculos y
sus variaciones, así como sus causas y consecuencias. Los conocimientos
tecnológicos consisten en nuevos procedimientos por medio de los cuales se
alcanzan fines prácticos; pueden considerarse como el conocimiento de los
procedimientos probados por los cuales se alcanzan objetivos predeterminados.
Los avances científicos consisten en explicaciones teóricas nuevas o mejoradas

sobre determinados fenómenos.
Los conocimientos tecnológicos se incorporan en diversos objetos:
• En objetos (hardware): materiales, maquinarias, equipos.
• En registros (software): procedimientos, manuales, bancos de datos.
• En el hombre (humanware): conocimientos, habilidades.
• En instituciones (orgware): estructuras y formas organizativas,

interacciones, experiencia empresarial.
36
GESTIÓN TECNOLÓGICA
La Gestión Tecnológica (GT), se concibe como el proceso de administrar el

desarrollo de la tecnología, su implementación y difusión en los sectores industrial,
público y privado y en la sociedad en general. Además, implica el manejo del
proceso de innovación a través de la Investigación y Desarrollo (I+D), lo cual incluye
la introducción y uso de tecnología en productos, en procesos industriales, y en
otras áreas estructurales y funcionales de la empresa, así como también la
utilización de este conocimiento en la solución de los diferentes problemas de la
sociedad, del ser humano y del medio ambiente. Es una poderosa herramienta que
se debe enmarcar dentro de los procesos generales de innovación desarrollados
en las organizaciones. (NARVAEZ, 2012)
El control del recurso tecnológico proporciona una ventaja competitiva a las

organizaciones, sobre todo en aquellas en las que se integra en la estrategia
general de la propia empresa. Y esto es mucho más importante para el caso de
organizaciones dedicadas a la generación de productos o servicios en sectores de
alta tecnología en las que el periodo de validez de una tecnología concreta (en
términos de adecuación y rendimiento comparativo con otras competidoras) es
cada vez más reducido (ciclos de producto más cortos). (CHICAIZA, 2011)
La gestión tecnológica es conocimiento y es una práctica. Es un sistema de

conocimientos y prácticas relacionados con los procesos de creación, desarrollo,
transferencia y uso de la tecnología.
Según la fundación COTEC, “la Gestión de la tecnología incluye todas aquellas

actividades que capacitan a una organización para hacer el mejor uso posible de
la ciencia y la tecnología generada tanto de forma externa como interna. Este
conocimiento conduce hacia una mejora de sus capacidades de innovación, de
forma que ayuda a promocionar la eficacia y eficiencia de la organización para
obtener ventajas competitivas”.
37
TIPOS DE TECNOLOGÍA
Podemos encontrar dos tipos de clasificación, desde el punto de vista estratégico

a y desde el punto de vista de su utilización en un determinado proyecto de la
organización.
Tabla 2
Tipos de Tecnología
Desde el punto de vista estratégico
Tecnologías clave Son aquellas que la empresa domina completamente y que
hacen que mantenga una posición de dominación relativa
frente a sus competidores en un cierto mercado (sector) y
tiempo
Son aquellas tecnologías consolidadas que se requieren
Tecnologías para el desarrollo de los productos de la organización pero
básicas que no supone ninguna ventaja competitiva porque también
son perfectamente conocidas por los competidores
Son aquellas tecnologías inmaduras (posiblemente en las
primeras fases de su desarrollo) en las que la empresa que
Tecnologías consideramos está apostando como base para constituirse
emergentes en tecnologías clave si sus desarrollos satisfacen las
expectativas puestas en ellas. Se asume con ellas un
riesgo elevado.
Desde el punto de vista de un proyecto
Cuando sin ellas no se puede realizar. Si estas tecnologías
no se conocen (o no suficientemente) en la organización
Imprescindibles
deberán adoptarse las medidas adecuadas para
incorporarlas a la organización.
Cuando el proyecto se realizaría mejor en el caso de
Convenientes
disponer de ellas
Cuando tienen un papel secundario y se puede realizar el
Auxiliares proyecto sin ellas. Estas pueden ahorrar tiempo y coste
pero afectan poco a las prestaciones del sistema
La capacidad competitiva de la empresa queda determinada por dos factores:
 Los externos que dicen la relación con el sector de la actividad a la que

pertenece la empresa, contexto y a las característica de la política
38
económica que le afecta son el mercado de trabajo, la política industrial y el
sistema fiscal.
 Los internos que se vinculan a la actuación de la propia empresa y dependen

de su capacidad de dirección para consolidar la gestión e innovación
tecnológica y las capacidades existentes en su interior para generar
competencias.
La Gestión Tecnológica es un factor importante de competitividad por todo lo que

ella representa para la organización a nivel de la empresa en particular no basta
para alcanzar la competitividad plena, pues esta última es sistémica.
GESTIÓN TECNOLÓGICA: CONSULTORÍA Y AUDITORÍA INFORMÁTICA.
Por otra parte la gestión tecnológica se divide en dos partes que resultan
fundamentales para el correcto funcionamiento y empleo de las nuevas tecnologías
que, supuestamente, han llegado para facilitar el trabajo. Por un lado se
encuentra la consultoría informática, que se encarga de la planificación de los
programas. La misma debe estar pendiente de todas las posibles aplicaciones que
posee cada programa elegido por la administración de las empresas, para así poder
determinar cuál será el más indicado para aplicar según sus funciones. (PIATTINI,
2008)
La otra parte de la gestión tecnológica se trata de la auditoría informática, la cual

se encarga de llevar a cabo la ejecución de los programas tecnológicos y el control
de los mismos. Además, la persona que oficia de auditor informático (los auditores
informáticos siempre serán internos ya que una empresa no se puede arriesgar a
que una persona del ambiente externo manipule los sistemas de información) debe
estar capacitada para la resolución de todos los problemas que puedan
presentarse, no solo en los sistemas de información, sino que también, en el resto
de los recursos tecnológicos con los que cuenta una empresa.
39
Como bien dijimos al principio del artículo, la tecnología es una de las razones
principales por la cual, el desempeño y desarrollo de las empresas, va avanzando
a pasos agigantados, especialmente cuando se trata de las pequeñas y medianas
empresas, y es por ello, que aunque no se cuenten con los recursos económicos
necesarios como para poder llevar a cabo la gestión tecnológica correspondiente,
de alguna u otra manera la misma debe hacerse presente en toda empresa que
posea recursos tecnológicos. (PIATTINI, 2008)
Además es fundamental poder disminuir al mismo nivel, los riesgos de fallas y

errores que puedan cometer estos sistemas tecnológicos, y preferentemente la
gestión tecnológica debe intentar eliminar dicho riesgo, una pequeña falla, puede
traer como consecuencia la pérdida de toda la información correspondiente a una
empresa, y este es un factor que puede arruinar por completo a la entidad si no se
aplica un método de gestión tecnológica que resulte eficiente, por eso es preciso
que antes de implementar cualquier novedad a su empresa, consulte primero
acerca de todas las ventajas y desventajas que posee.
RELACIÓN DE LA GESTIÓN Y LA TECNOLOGÍA
El management contemporáneo relaciona el factor tecnológico con el sistema

administrativo y la estructura de la organización. En la estructura interna de los
sistemas productivos aparece ahora una nueva unidad organizacional
especializada en la administración de este factor; por tal razón, para analizar la
relación entre gestión y tecnología se hace pertinente determinar el rol que esta
última desempeña. Es posible, de tal modo, diferenciar cuatro tipos de
organizaciones de acuerdo a la forma como la tecnología se involucra dentro de su
estructura: (SEVILLANO, 2009)
 Empresas cuyo objetivo principal no es la producción de tecnología como

una mercancía separada, sino que asimila esta como un insumo para ser
empleado en la producción y comercialización de bienes y servicios. En este
caso la generación de tecnología es una actividad desarrollada
40
preferentemente de manera exógena por un laboratorio de investigación o
por un departamento de diseño y desarrollo.
 Empresas que basan sus actividades en la tecnología como producto a

comercializar; su producto final es precisamente la tecnología, lo cual implica
procesar conocimientos para producir paquetes tecnológicos y venderlos en
el mercado. Ese conocimiento puede ser científico o empírico, pertenecer a
la empresa o a otros, o incluso ser un bien libre; puede ser original o copiado,
ser una innovación, una adaptación o una mezcla.
Junto con la creatividad, la fuerza de trabajo en las empresas de tecnología requiere

de talentos adicionales a los netamente científicos técnicos. Este tipo de
competencias se reconocen en la Ilustración 4 en la cual se señala el conjunto de
actividades necesario para producir tecnología, permitiendo observar que las tareas
a cargo de los integrantes de la fuerza de trabajo en una empresa que maneja
tecnología son muy variadas.
41
ACTIVIDADES ACTIVIDADES ACTIVIDADES DE
CIENTÍFICO-TÉCNICAS ECONÓMICO- PLANIFICACIÓN
COMERCIALES
Idea / invento Reconocimiento de Previsión de negocios

Investigación científica posibilidades posibles
comerciales
y técnica Definición de
Búsqueda Investigación objetivos
económico – comercial
Dimensionamiento Formulación de
Dimensionamiento presupuestos
Diseño
Ingeniería Especificaciones Decisiones
organizativas
Planta Piloto
Primera etapa de la
Interacción con comercialización Estrategias para
distintos plazos
producción
Desarrollo del mercado
Estrategia de
Desarrollo del producto reclutamiento de
personal a largo
Patentes / Licencias plazo
Ilustración 5 Actividades relacionadas con la producción de tecnologías

ESPECIFICACIÓN Y DISEÑO DE LA ESTRATEGIA TECNOLÓGICA
La estrategia tecnológica debe hacer explícitas las opciones tecnológicas de la

empresa y su éxito o fracaso estará basado en la identificación de oportunidades y
en la concentración de recursos en aquellas áreas tecnológicas en las que posea
mejores capacidades internas y que les permitan alcanzar con rapidez la fase de
comercialización.
Se debe tener en cuenta:
El grado de riesgo implícito, que varía desde la aplicación o mejora de

tecnologías existentes hasta el desarrollo de otras completamente nuevas.
42
La intensidad en el esfuerzo tecnológico, que puede variar desde una
investigación exploratoria hasta la completa aplicación industrial.
La distribución del presupuesto destinado a la tecnología entre las diversas

opciones tecnológicas elegidas.
La elección de la posición competitiva para cada tecnología (líder, seguidor,

búsqueda de nichos de mercado, etcétera).
OBJETIVO DE LA GESTIÓN TECNOLÓGICA
La gestión tecnológica tiene como objetivo mejorar la variable tecnológica en la

estrategia global de la empresa y comprende actividades de identificación y
obtención de tecnología, investigación y desarrollo (I+D), adaptación de nuevas
tecnologías, explotación de las tecnologías para la producción de bienes y servicio.
(PIATTINI, 2008)
Se ocupa también de la funciones de vigilancia tecnológica para detectar las

tecnologías de interés para el futuro, del referencia miento (benchmarking), de la
reingeniería y de la tercerización (outsorsing), del análisis de los productos de los
competidores (rereverse engineering), de los derechos de propiedad y
licenciamiento, de las normas y estándares, y de la alianzas estratégicas
CONCLUSIONES PARCIALES DEL CAPITULO
Una vez realizado el marco teórico, y analizado cada uno de sus puntos se ha
llegado a las siguientes conclusiones:
 En la actualidad y desde hace mucho tiempo la auditoría de sistemas ha

tomado una importancia relevante en la vida empresarial, ya que no hay
empresa o institución que en estos momento prácticamente dependa de este
mundo de la informática, es por eso que dichas empresas y/o instituciones,
43
tienen que cuidar e invertir muy bien en tecnología, y es la auditoría que les dirá
porque camino ir
 En toda institución debe realizarse por lo menos anualmente una auditoría

informática y no esperar a que suceda o fallen los controles para en ese
momento aplicarla, esto evitaría gastos.
 La gestión tecnológica de toda institución es la parte medular, una mala

administración o fallas en ellas significan gastos y en muchos casos perdidas
irrecuperables.
 Las instituciones deben tener en cuenta que no es la mejor la que más invierte
en tecnología sino la que mejor invierte, y es el departamento de informática
que debe estar asesorando a los gerentes en las adquisiciones,
modernizaciones de tecnologías, para ello es importante el pleno conocimiento
de la tecnología actual.
44
CAPITULO II
MARCO METODOLÓGICO Y PLANTEAMIENTO DE LA PROPUESTA
El Municipio
El Gobierno Autónomo Descentralizado Municipal del Cantón la Concordia, es una

institución que conforma la organización territorial del Estado Ecuatoriano,
organizada y regulada por el artículo 238 de la Constitución de la República del
Ecuador, establece que constituyen Gobiernos Autónomos Descentralizados
(GAD). El Gobierno Autónomo Descentralizado Municipal del Cantón la Concordia
fue aprobado el 5 de febrero de 2012 en el mismo año que se proclamó a La
Concordia como cantón de la provincia de Santo Domingo de los Tsáchilas. El
Gobierno Autónomo Descentralizado Municipal del Cantón la Concordia, se
encuentra ubicado en la Calle Eugenio Espejo y Carchi, cuenta con sus diferentes
departamentos como; la Dirección de Planificación, Equidad y Género,
departamentos como: Dirección Financiera, Administrativa, Comunicación Social
entre otras, que brinda servicios a la sociedad.
Ilustración 6 Edificio del Municipio de la Concordia

Fuente: Tomado de http://www.lahora.com.ec/index.php/noticias/show
45
DISEÑO METODOLÓGICO.
La modalidad investigativa que se ha utilizado en el presente proyecto de

investigación es la denominada cuali-cuantitativa. La investigación cualitativa es el
procedimiento metodológico que se caracteriza por entender el conjunto de
cualidades interrelacionadas que caracterizan a un determinado fenómeno, se la
aplico para determinar las características del problema como la imposibilidad tomar
decisiones para compra o actualización de equipos debido a la falta de información
sobre el estado del parque tecnológico y su nivel de apoyo en la entidad municipal
La investigación cuantitativa se caracteriza por recoger, procesar y analizar datos

cuantitativos o numéricos sobre variables previamente determinadas. Dicha
metodología se la aplico para determinar estadísticamente los síntomas de la
problemática.
Los tipos de investigación aplicados son:
 Bibliográfica: Este tipo de investigación se la desarrolla en base a la

recopilación de la información de fuentes primarias, se la utilizó para desarrollar
el marco teórico orientado esencialmente a los conceptos básicos de la auditoría
informática, de la metodología Cobit y el control operacional
 De Campo: se la lleva a cabo en base a encuestas y entrevistas, se la aplico

para desarrollar el marco metodológico. Se entrevistó al Director del
departamento de Sistemas y se encuesto tanto a los usuarios como a los
empleados
POBLACIÓN Y MUESTRA
La población involucrada en la problemática descrita en el inicio de este trabajo

investigativo está estructurada de la siguiente forma:
46
Tabla 3
Población involucrada en el problema
FUNCIÓN NUMERO
Director del Departamento de 1

Sistemas
Empleados Municipales 39
Usuarios del municipio 10000
TOTAL 10040
Se define como la muestra, a un porcentaje de la población y esta se calcula en

base a la siguiente formula
Población
Muestra = ------------------------------------------- Se asume un error del 5%
(Población – 1) * Error² + 1
Reemplazando valores se tiene
10040
Muestra = -------------------------------------------
(10040 – 1) * 0,05² + 1
10040
Muestra = -------------------------------------------
(10039) * 0,0025² + 1
10040
Muestra = -------------------------------------------
26,098
Muestra = 385
La muestra se ha estratificado de la siguiente forma:
47
Tabla 4
Muestra
FUNCIÓN NUMERO
Director del Departamento de 1

Sistemas
Empleados Municipales 34
Usuarios del municipio 350
TOTAL 385
Métodos investigativos
Analítico- Sintético: Método investigativo aplicado para analizar y sintetizar

información para el marco teórico. Se recopilo la información teórica y mediante el
método se logró llegar a la construcción del fundamento teórico
Inductivo-Deductivo. Se indujo una respuesta particular a la problemática para

deducir una solución general a la problemática Municipal del país
Las técnicas de investigación aplicadas fueron:
 Entrevista al Director del Departamento de Sistemas y encuestas tanto a

empleados como a usuarios municipales
Los instrumentos utilizados fueron:
 Cuestionarios específicos para usuarios y empleados
 Guía de entrevista para el Director del Departamento de Sistemas.
48
TABULACIÓN DE RESULTADOS
Luego de realizada la investigación de campo se procedió a tabular los resultados

de las encuestas, los cuales se detallan a continuación.
Encuesta realizada a los empleados Municipales:
Pregunta No 1. ¿Se conoce perfectamente el estado, la ubicación y el responsable

de cada equipo informático de la Municipalidad?
Si…… NO…… Parcialmente……
Tabla 5
Pregunta #1 Encuesta realizada a empleados Municipales
Respuestas Frecuencia Porcentaje
Si 7 21%
No 19 56%
Parcialmente 8 23%
Total 34 100%
Si
Parcialmente 21%
23%
No
56%
Ilustración 7 Pregunta #1 Encuesta realizada a empleados Municipales

Análisis e interpretación: La gran mayoría de los investigados afirma que no se

conoce exactamente la ubicación y los custodios asignados a los diferentes equipos
informáticos con los que trabaja el Municipio
49
Pregunta No 2. ¿Cada que tiempo se realiza una auditoría relacionada con el
hardware y su funcionamiento?
Semestralmente… Anualmente…… Rara vez…… Nunca…
Tabla 6

Semestralmente 2 6%
Anualmente 5 15%
Rara vez 11 32%
Nunca 16 47%
Total 34 100%
Semestral Anualment
mente e
6% 15%
Nunca
47%
Rara vez
32%
Ilustración 8 Pregunta #2 Encuesta realizada a empleados Municipales

Análisis e interpretación: De acuerdo a la encuesta, la mayoría afirman que nunca

se ha realizado una auditoria de hardware y su funcionamiento, un porcentaje
intermedio aseguran que rara vez se lo ha realizado, otra parte afirma que
anualmente se ha realizado mientras que un bajo porcentaje señalan que se lo has
realizado semestralmente.
50
software y su funcionamiento?
Semestralmente… Anualmente…… Rara vez…… Nunca……
Tabla 7

Semestralmente 1 3%
Anualmente 3 9%
Rara vez 9 26%
Nunca 21 62%
Total 34 100%
Semestral Anualment
mente e
3% 9%
Rara vez
26%
Nunca
62%
Ilustración 9 Pregunta # 3 Encuesta realizada a empleados Municipales

Análisis e interpretación: Según los resultados obtenidos de la encuesta, un

elevado porcentaje afirma que nunca se ha realizado una auditoria relacionada con
software y su funcionamiento, mientras otros manifiestan que rara vez y en su
minoría anualmente y semestralmente.
51
Pregunta No 4. ¿Cree usted que se hace un adecuado control del funcionamiento
de las tecnologías de información que apoyan el proceso operativo de la
Institución?
No se hace……. Si se hace……. Se hace parcialmente………….
Tabla 8
Pregunta # 4 Encuesta realizada a empleados Municipales

No se hace 22 65%
Si se hace 3 9%
Se hace parcialmente 9 26%
Total 34 100%
Se hace
parcialmen
te
26%
No se hace
65%
Si se hace
9%
Análisis e interpretación: Según los resultados obtenidos de la encuesta, un alto

porcentaje de encuestados admiten que, no se hace un adecuado control del
funcionamiento de las tecnologías de información, un porcentaje medio manifiestan
que se hace parcialmente un adecuado control mientras tanto una minoría afirman,
que si se hace un adecuado control de las tecnologías de información.
52
Pregunta No 5. ¿Considera importante la realización de auditorías informáticas
para mejorar el control del funcionamiento de las tecnologías de información que
apoyan el proceso operativo de la Institución?
Muy importante…. Poco importante……. Nada importante……..
Tabla 9
Pregunta # 5 Encuesta realizada a empleados Municipales

Muy importante 29 85%
Poco importante 4 12%
Nada importante 1 3%
Total 34 100%
Poco Nada
importante importante
12% 3%
Muy
importante
85%

Análisis e interpretación: Según los resultados de la encuesta se puede

manifestar que gran parte de los encuestados consideran muy importante la
realización de una auditoria informática, por otra parte existe un bajo porcentaje
que consideran poco importante la realización de una auditoría informática mientras
tanto una poca minoría declaran nada importante la realización de una auditoría
informática.
53
Pregunta No 6. ¿Está usted dispuesto a colaborar y a proveer información durante
la realización de estas auditorías?
Si…… No……. Parcialmente……..
Tabla 10
Pregunta # 6 Encuesta realizada a empleados municipales

Si 31 91%
No 1 3%
Parcialmente 2 6%
Total 34 100%
Parcialmen
te
6%
No
3%
Si
91%

Análisis e interpretación: La mayoría de encuestados indican que estarían

dispuestos a proveer información para la ejecución de la auditoria mientras que una
pequeña parte expresaron que lo realizaran parcialmente y por ultimo una mínima
parte de los encuestados dijeron que no
54
Encuesta realizada a los usuarios Municipales:
Pregunta No 1. ¿Considera usted que el Municipio está fuertemente apoyado por

las tecnologías en su atención al usuario?
Si…. No…… Parcialmente……..
Tabla 11
Pregunta # 1 Encuesta realizada a usuarios Municipales

Si 29 9%
No 198 59%
Parcialmente 108 32%
Total 335 100%
Si
Parcialmente 9%
32%
No
59%
Ilustración 13 Pregunta # 1 Encuesta realizada a usuarios Municipales

Análisis e interpretación:
Según los resultados de la encuesta se puede manifestar que gran parte de los
encuestados consideran que no está apoyado por las tecnologías en su atención al
usuario, por otra parte existe un mediano porcentaje que consideran que lo está
parcialmente, mientras tanto una minoría manifiestan positivamente
55
Pregunta No 2. ¿Durante sus visitas al Municipio, ha sufrido demoras en su
atención debido a daños en los equipos informáticos?
Nunca…. Rara vez…. A veces…. Frecuentemente…….
Tabla 12

Nunca 67 20%
Rara vez 131 39%
A veces 105 31%
Frecuentemente 32 10%
Total 335 100%
Frecuenteme
nte
10% Nunca
20%
A veces
31%
Rara vez
39%

Análisis e interpretación: Según los resultados obtenidos de la encuesta, un

grupo de encuestados afirman que rara vez han sufrido demoras en atención por
daños en equipos, mientras otros manifiestan que ha ocurrido a veces y en su
minoría nunca y frecuentemente han tenido inconvenientes .
56
Pregunta No 3. ¿Cree usted que deben mejorase los equipos informáticos?
Si… No…… Parcialmente…….
Tabla 13

Si 103 31%
No 99 29%
Total 335 100%
Parcialmen Si
te 31%
40%
No
29%

Análisis e interpretación: Revisando los resultados de las encuestas podemos

observar que en su mayoría concuerdan con el mejoramiento de los equipos
informáticos, muestras el grupo restante están entre que sí y no.
57
Pregunta No 4. ¿Se han incorporado nuevos servicios apoyados por la tecnología?
Algunos……. Muy pocos…….. Ninguno……..
Tabla 14
Pregunta #4 Encuesta realizada a usuarios Municipales

Algunos 59 18%
Muy pocos 187 56%
Ninguno 89 26%
Total 335 100%
Ninguno Algunos
26% 18%
Muy pocos
56%

Análisis e interpretación: En el resultado de la presente encuesta podemos notar

que en su mayoría revelan que se han incorporado nuevos servicios apoyados por
la tecnología mientras que un pequeño grupo mencionan que ninguno ha sido
incorporado y por ultimo tenemos a una minoría que declaran haber incorporado
algunos servicios nuevos apoyados a la tecnología
58
Pregunta No 5. ¿Cree usted que el personal está plenamente capacitado para el
manejo de los equipos informáticos?

Tabla 15

Si 159 48%
No 35 10%
Total 335 100%
Parcialmen Si
te 48%
42%
No
10%

Análisis e interpretación: Se puede reiterar que el resultado de esta encuesta se

manifiesta que hay un equilibrio entre estar capacitado plenamente en el manejo
de equipos informáticos y las otras dos opciones de estarlo parcialmente y no
estarlo.
59
Pregunta No 6. ¿Cree usted que se debe mejorar toda la plataforma tecnológica
que dispone el Municipio para la atención a los usuarios?
Tabla 16

Si 179 53%
No 17 5%
Total 335 100%
Parcialmente
42% Si
53%
No
5%

Análisis e interpretación: Podemos concluir que en su mayoría opinan que debe

mejorar la plataforma tecnológica para atención a usuarios, seguidamente existe
un grupo inferior que lo consideran parcialmente y por ultimo una gran minoría no
lo consideran.
60
Entrevista al Director de Sistemas del Municipio
Pregunta ¿Se han realizado auditorias informáticas en la Institución?
Lamentablemente debo decir que formalmente no se han realizado auditorias

informáticas en la Institución, el hardware se lo arregla o revisa cuando hay una
petición, además el software también se lo revisa cuando deja de funcionar el
equipo o lo hace muy lento.
Pregunta ¿Cree importante la realización de una auditoría informática al

interior del Municipio?
Si, considero que ayudaría mucho al diagnóstico de cómo está funcionando toda la
plataforma tecnológica del Municipio, además ayudaría al control y a la evaluación
de los niveles de manejo informático por parte del personal. También ayudaría en
cuanto al control del nivel de funcionamiento del aparato tecnológico en la calidad
del servicio que presta el Municipio al usuario.
PLANTEAMIENTO DE LA PROPUESTA.
La propuesta de solución a la problemática planteada al inicio de este trabajo

investigativo se esquematiza de la siguiente forma:
Planificación
Ejecución
Planificación de Resultados y
recomendaciones
una auditoría Desarrollo de
informática la Auditoría Exposición de
relacionada con resultados de la
informática
hardware y Auditoría y
software recomedancione
s a los mismos
Ilustración 19 Propuesta a la solución Problemática

61
Entre las conclusiones del capítulo tenemos:
 No se tiene información clara y concreta relacionada con la ubicación de los

equipos y sus custodios.
 Nunca se han elaborado auditorias de hardware y software que evalúe el estado

y el funcionamiento de los equipos como de los sistemas.
 El Municipio está dando una imagen negativa al utilizar equipos no actualizados,

los cuales fallan en determinados momentos causando molestias a los usuarios.
 Se considera que el municipio y su plataforma tecnológica debe modernizarse

ya que no ha incorporado nuevos servicios apoyados por la tecnología.
 El personal ve con buenos ojos la realización de una auditoria informática y está

presto a colaborar con la misma
62
CAPITULO III
DESARROLLO DE LA PROPUESTA
Tema
AUDITORÍA DE GESTIÓN INFORMÁTICA EN EL ÁREA DE LAS TECNOLOGÍAS
DE LA INFORMACIÓN PARA EL GOBIERNO AUTÓNOMO DESCENTRALIZADO
(GAD) MUNICIPAL DEL CANTÓN LA CONCORDIA
INTRODUCCIÓN
El GAD Municipal del Cantón La Concordia ha venido sufriendo cambios

estructurales para brindar un mejor servicio a la comunidad. La mayoría de los
recursos utilizados en la informática son críticos y por ende muy necesario, es por
eso que, hay que organizarlos, generando políticas que permitan aprovecharlos y
utilizarlos de la mejor manera, la velocidad con qué, los medios de comunicación
progresa.
La Unidad de computo, ha venido realizando varios proyectos relacionados con el

área informática con el fin de apoyar a las distintas actividades que se desarrollan
dentro de ella, por lo que se vuelve indispensable controlar que se entreguen los
servicios requeridos, que exista una correcta capacitación para su uso y un
adecuado soporte que permita la continuidad de las operaciones en caso de
suscitarse algún tipo de problema o incidente. La auditoría informática se la realiza
con el fin de enmendar fallas en el momento oportuno, que ocasionarían la entrega
de resultados que no sean satisfactorios para el usuario final o fallas en las
operaciones, que podrían provocar la pérdida total de la información.
OBJETIVOS
General
Desarrollar una auditoria informática enfocada esencialmente a la gestión
tecnológica del GAD Municipal del Cantón La Concordia.
63
Específicos
 Diagnosticar la situación actual de todo el ámbito tecnológico de la institución

 Elaborar la planificación de la auditoria informática a realizar
 Ejecutar la auditoría informática
 Emitir el informe final de la auditoría
Organigrama Estructural del GAD municipal del Cantón La Concordia
COMISIONES CONCEJO ALCALDÍA

CONSEJO DE LA CONSEJO DE
NIÑEZ Y LA PLANIFICACION
ADOLESCENCIA
CONSEJO DE
SISTEMA DE
SALUD
PARTICIPACION
CIUDADANA
SECRETARIA ASESOR COORDINACION UNIDAD DE

GENERAL GENERAL AUDITORIA
INTERNA
PROCURADURIA COMUNICACIÓN SOCIAL

UNICA
TECNOLOGIAS DE
LA INFORMACION
DIRECCION DE DIRECCION DE DIRECCION DE DIRECCION DE DIRECCION DE

PLANIFICACION OBRAS PÚBLICAS GESTION EQUIDAD Y PARTICIPACIÓN
AMBIENTAL GÉNERO
AVALÚOS Y DESARROLLO DE UNIDAD DE
CATASTROS INFRAESTRUCTURA DESECHOS SOLIDOS EQUIDAD Y
PRESUPUESTOS Y CALIDAD GÉNERO
GESTIÓN AMBIENTAL
FISCALIZACION
TERRITORIAL
JUNTA DE
PROTECCION
MANEJO
AMBIENTAL
SIMBOLOGÍA
DIRECCION DIRECCION DIRECCION DE
ADMINISTRATIVA FINANCIERA TALENTO
HUMANO LINEA DE
SERVICIOS CONTABILIDAD
AUTORIDAD
GENERALES LINEA DE ASESORIA
LINEA DE
COMISARÍA
MUNICIPAL
TESORERÍA CORDINACION
CONCEJO MUNICIPAL
SEGURIDAD PRESUPUESTO
COORDINACION
CIUDADANA DIRECCION
JEFATURA
Ilustración 20: Organigrama funcional del GAD Municipal del Cantón La Concordia
64
DESCRIPCIÓN GENERAL DE LA PROPUESTA
Como se mencionó anteriormente la propuesta de solución al problema planteado

consiste en la elaboración de una Auditoria Informática para el Control de la Gestión
Tecnológica del GAD Municipal del Cantón La Concordia el mismo que ha sido
desarrollado en las siguientes etapas:
• Visita preliminar
Determinación de objetivos
Diseñar plan de auditoria
PLANIFICACION Elaboración de instrumentos
• Ejecución de actividades planificadas.

Aplicación de instrumentos
Integración de papeles de trabajo
EJECUCION Elaboración de informe preliminar
• Análisis de los resultados encontrados

Informe de problemas encontrados
Elaboración del informe final
DICTAMEN
Presentación del infome
Ilustración 21 Estructura de la Propuesta

Elaborado por Andrea Mejía
DESARROLLO DE LA PROPUESTA
Como se mencionó anteriormente la propuesta de solución consiste en llevar a

cabo la auditoria informática desde Agosto 2016 a Marzo del 2017, en base al
esquema anterior esta ha sido realizada en las siguientes etapas:
65
DIAGNÓSTICO PREVIO
El GAD Municipal de la Concordia no cuenta con el departamento de cómputo

creado con normas y reglamentos propios, esta es solo una unidad asignada a la
Municipalidad, la cual cuenta con 40 empleados incluido el jefe de la unidad,
aunque ya se cuenta con el proyecto para formarlo y ya se encuentra en el pleno
del Honorable Consejo Universitario, y se espera que para el primer semestre del
año 2017 ya este creado el Departamento de Informática. Es por las razones
previamente mencionada es que se encontraron los síntomas que a continuación
se describe así como los procesos y controles que deben tener en cuenta para
solucionarlos:
Carencia de planes de contingencia para la seguridad de los equipos.
Realizada el diagnóstico inicial en lo relacionado a la seguridad de los equipos se

pudo concluir que no se tiene previsto un plan general de contingencias orientado
a preservar la seguridad de información en cada equipo. Esto significa que no se
han generado políticas relacionas con el cuidado que debe tener cada usuario en
cuanto al manejo de su computador. No se ha socializado algunas sugerencias
realizadas por parte de los miembros del centro de cómputo hacia cada uno de los
usuarios de la institución. Esto implica que algunos usuarios toman la iniciativa
relaciona con la seguridad pero de manera empírica mientras que la gran mayoría
no toma en cuenta ningún proceso de seguridad.
No se dispone de un plan de mantenimiento de los equipos informáticos
Uno de los factores que han traído serios inconvenientes con la vida útil de los
equipos informáticos han sido el mantenimiento que se les realice, la unidad de
computo dice llevar un control de esta situación pero en las encuestas realizadas
se encontró con otra realidad es decir la unidad de cómputo 100% vigila sus
66
equipos, los departamentos sufren cuando sus equipos se dañan, en muchos casos
ellos mismos (los custodios) son las que tienen que arreglárselas contratando a
terceros para que le solucionen los problemas, lo cual ha implicado en la pérdida
del equipo o en otros casos darle de baja a los mismos.
Existe software la cual no posee licencia.
Otro de los problemas detectados en el diagnóstico previo, ha sido el que los

computadores de la institución (salvando la unidad de cómputo), no poseen
licencias de los software instalados en ellos, es más siguen instalando cualquier
software que ellos necesiten sin ninguna restricción, la unidad de cómputo no tiene
ningún plan u ordenanzas que evite tal situación.
No existe software libre utilizado en la institución.
En los centro de cómputo, en los departamentos de la Institución no existe software

libre, ellos solo poseen software propietarios para cumplir con sus funciones diarias,
solo la unidad de cómputo trabaja con este tipo de software ya sea en sus
servidores y para el desarrollo de software.
No hay control de Garantías
Las garantías han sido otro problema, ya que en muchos casos dentro del plazo de
las mismas no han cumplido con ellas, prueba de eso es que existen algunos
equipos dañados y prácticamente abandonados, trayendo consigo muchos
problemas, en algunos casos se ha optado por perder la garantía reparándolas el
mismo personal que las utiliza o con ayuda de terceros.
67
No se capacita al personal
El personal que labora dentro de la institución en muchos casos son ellos mismos
que se auto-educan en temas de informática, ya que no existe un plan en el cual
se tome en cuenta esta preparación, solo existe un plan de este tipo para el
personal técnico de la unidad informática.
No se tiene inventario del Hardware (ubicación, características técnicas,

custodio y estado)
En cuanto a esta situación, el departamento que tiene este control es el de

inventario, pero en cuanto al parque tecnológico la unidad de cómputo debería
contar con esta información, la cual no la posee.
Muchos equipos, redes y sistemas tienen deficiencia en cuanto a claves de

seguridad o de acceso, ya que son colocados sin criterio técnico, no son
renovadas y no hay quien las controle.
Desde hace mucho tiempo uno de los bienes que más se cuida es la información y
uno de los pasos para lograrlo es la buena administración de claves de acceso, y
es aquí donde tampoco se tienen políticas definidas para este caso, son los mismos
usuarios que proceden al cambio de claves cuando ellos crean conveniente (puede
pasar años con la misma clave), la unidad de computo solo toma cartas en el asunto
en los sistemas que ellos desarrollen, después cada usuario es libre(sin control) de
colocarle o cambiar las claves de acceso.
68
No está definido el Plan Estratégico de Tecnologías de la Información
Al estar la unidad de cómputo adscrita al GAD Municipal, no cuenta con su propio

plan estratégico de tecnología, lo cual no permite aplicar sus propias estrategias,
ya que solo es prácticamente una oficina, sin sus propios planes.
No existen políticas definidas para la adquisición de nuevas tecnologías.
En cuanto a la adquisición de equipos informáticos, en la actualidad aunque se

manejan con el portal de compras públicas, en muchos casos solo han comprado
equipos sin ver la real necesidad de los departamentos (características de los
equipos), es decir compran los equipos y los usuarios finales solo aceptan lo que le
dan, recordando que no todos tienen las mismas necesidades.
Seguridades físicas deficientes en el Centros de Cómputo y oficinas.
Las seguridades físicas de los departamentos de la Institución así como del centro
de cómputo es totalmente deficiente, no cuenta con puertas de emergencias,
detectores de incendio, extintores o peor aún planes de emergencia, haciéndolos
sumamente peligrosos en un determinado momento que algún siniestro suceda.
PLANIFICACIÓN
En esta etapa se diseñan los instrumentos de evaluación y sus periodos de

ejecución, se planificará la ejecución de la auditoría utilizando la metodología
COBIT
69
ÁREA A AUDITAR
La auditoría planificada está en la Municipalidad del Cantón La Concordia
RECOLECCIÓN DE LA INFORMACIÓN
Por medio de la observación realizada se procedió a la realización de las encuestas

al personal administrativo, autoridades y la entrevista al Jefe de la Unidad de
Cómputo; y así poder determinar con más precisión cuales son los problemas
presentados y poder dar un dictamen más específico.
DOCUMENTOS DE GESTIÓN DEL ÁREA DE INFORMÁTICA
Actualmente la unidad no cuenta con el manual de procedimientos administrativos

informáticos, ni tampoco cuenta con la documentación requerida las cuales son:
 Mantenimiento de Equipos de Cómputo.
 Un Plan de Contingencias.
 Seguridad de datos y equipos de Cómputo.
 Inventario del Hardware
PLAN DE LA AUDITORIA
CRONOGRAMA DE ACTIVIDADES
Para el Plan de desarrollo de la Auditoria, se cuenta con el apoyo de las autoridades

de la Municipalidad, solicitando la participación de los principales empleados,
directores y autoridades de la institución para lo cual se ha realizado el siguiente
cronograma de actividades:
70
AÑO 2016 2017
DESCRIPCIÓN
AGOSTO SEPTIEMBRE OCTUBRE NOVIEMBRE ENERO FEBRERO MARZO
FASE 1: PLANEACIÓN
Visita Preliminar
Definición de Objetivos
Definición de puntos a evaluar y otros
Elaboración instrumentos de evaluación
FASE 2: EJECUCIÓN
Evaluación de los Procesos
Encuestas al Personal Administrativo
Encuestas al Personal Directivo
Encuestas a las autoridades
Entrevista al Jefe de Informática
Evaluación del equipo Tecnológico
FASE 3: EJECUCIÓN
Análisis de información y discusión de hallazgos
Informe de problemas detectados
Elaboración del Informe Final
Presentación del informe de auditoría
Ilustración 22 Cronograma de Actividades

Elaborado por Andrea Mejía
71
HERRAMIENTAS Y TÉCNICAS
Tabla 17
Cuadro de Herramientas
HERRAMIENTAS TÉCNICAS
Cuaderno de apuntes, grabadora, Observación, entrevistas y encuestas
camara, papel, lapiceros, laptop
MODELOS DE MADUREZ A NIVEL CUALITATIVO (COSO 1)
En la siguiente tabla se presenta el impacto de los objetivos de control de COBIT

sobre los criterios y recursos de TI.
La nomenclatura utilizada en los criterios de información para la siguiente tabla es

la siguiente: (P), cuando el objetivo de control tiene un impacto directo al
requerimiento, (S), cuando el objetivo de control tiene un impacto indirecto es decir
no completo sobre el requerimiento, y finalmente ( ) vacío, cuando el objetivo de
control no ejerce ningún impacto sobre el requerimiento, en cambio cuando se
encuentra con (X) significa que los objetivos de control tienen un impacto en los
recursos
1
COSO (Committee of Sponsoring Organizations), modelo de control de negocios, que proporciona un
estándar a partir del cual las grandes empresas evalúan sus procesos, y determinan como mejorar el
desempeño.
72
Tabla 18
Cuadro de Herramientas nivel cualitativo COSO
RECURSOS DE TI DE
OBJETIVOS DE CONTROL DE COBIT CRITERIOS DE INFORMACIÓN DE COBIT
COBIT
CONFIDENCIALIDAD
INFRAESTRUCTURA
DISPONIBILIDAD
CUMPLIMIENTO
CONFIABILIDAD
INFORMACIÓN
INTEGRIDAD
APLICACIÓN
EFECTIVIDAD
EFICIENCIA
PERSONAS
PLANEAR Y ORGANIZAR
P01 Definir un plan estratégico de TI P S X X X X

PO2 Definir la arquitectura de la información S P S X X
PO3 Definir la dirección tecnológica P P X X
Definir los procesos, organización y
PO4 P P X
relaciones de TI.
PO5 Administrar la inversión en TI. P P S X X X

Comunicar las metas y la dirección de la
PO6 P S X X
gerencia
PO7 Administrar los recursos humanos de TI P P X

PO8 Administrar la calidad P P S S X X X X
PO9 Evaluar y Administrar los riesgos de TI P P P P S S X X X X
PO10 Administrar los proyectos P P S X X X
ADQUIRIR E IMPLEMENTAR
AI1 Identificar las soluciones automatizadas P S S X X

AI2 Adquirir y mantener software aplicativo P P S S X
Adquirir y mantener la infraestructura
AI3 S P S S X
tecnológica
AI4 Facilitar la operación y el uso P P S S S X X

AI5 Procurar recursos de TI S P S X X X
AI6 Administrar los cambios P P P P S X X X X
AI7 Instalar y acreditar solucione y cambios P S S S X X X
ENTREGAR Y DAR SOPORTE
DS1 Definir y administrar los niveles de servicio P P S S S S X X X

DS2 Administrar los servicios de terceros P P S S S S S X X X X
DS3 Administrar el desempeño y capacidad P P S X X
DS4 Asegurar el servicio continuo P S P X X X X
DS5 Garantizar la seguridad de los sistemas P P S S S X X X X
DS6 Identificar y asignar costos P P X X X
DS7 Educar y entrenar a los usuarios P S X
Administrar la mesa de servicio y los
DS8 P P X X
incidentes
73
DS9 Administrar la configuración P S S S X X X
DS10 Administrar los problemas P P X
DS11 Administrar los datos P P X
DS12 Administrar el ambiente físico S S X X X X
DS13 Administrar las operaciones P P S S X X X X
MONITOREAR Y EVALUAR
ME1 Monitorear y evaluar el desempeño de TI. P P S S S X X X X
ME2 Monitorear y evaluar el control interno P P S S P S P X X X X
ME3 Garantizar el cumplimiento regulatorio P S X X X X
ME4 Proporcionar gobierno de TI P S P P S S S X X X X
Para tener un porcentaje de los criterios de la información, se asigna un valor para

el impacto primario, de igual forma tendremos un valor para el impacto secundario.
Este porcentaje se establece en base a la propuesta metodológica para el manejo
de riesgos COSO.
Tabla 19
Cuadro de herramientas Metodología para el manejo de riesgos COSO
CALIFICACIÓN IMPACTO PROMEDIO
15% 50% BAJO 32%

51% 75% MEDIO 63%
76% 95% ALTO 86%
RESULTADOS
MODELOS DE MADUREZ DE LOS PROCESOS
A continuación se muestra una ficha por cada uno de los objetivos haciendo un
análisis de los modelos de madurez de COBIT, para determinar el nivel mínimo que
no cumple la Institución que a su vez califica el nivel en dicho objetivo.
74
Tabla 20
Plan Estratégico
DOMINIO: PLANIFICAR Y ORGANIZAR
PO1: Definir el Plan Estratégico de Tecnología de la Información
NIVEL DE
CUMPLE OBSERVACIÓN
MADUREZ
No existe conocimiento por parte de los GRADO DE MADUREZ
funcionarios de que al existir la planeación El proceso de definir el plan estratégico de TI está en
0
estratégica de TI esta es requerida para dar el nivel de madurez 1
soporte a las metas de la institución. OBJETIVOS NO CUMPLIDOS
La planeación estratégica es discutida en  No existe un plan estratégico de TI y estrategias de
las reuniones con las autoridades recursos de la Institución.
1 No se elaboran planes a largo plazo de TI, haciendo
solo actualizaciones, debido a los avances
tecnológicos.
NO CUMPLE:
2. Las decisiones estratégicas se toman los proyectos en forma individual, sin

estar de acuerdo con una estrategia global de la institución
3. La planeación estratégica de TI sigue un enfoque estructurado, el cual se

documenta y se da a conocer a todo el equipo. Las estrategias de talento
humano, técnicos y financieros de TI influyen cada vez más la adquisición de
nuevos productos y tecnologías
4. Existen procesos bien definidos para determinar el uso de recursos internos y

externos requeridos en el desarrollo y las operaciones de los sistemas
5. Se desarrollan planes realistas a largo plazo de TI y se actualizan de manera

constante para reflejar los cambios en los avances tecnológicos.
RECOMENDACIONES
Para el proceso PO1 de COBIT se establece los siguientes objetivos de control:
75
 Elaborar Planes a largo plazo de TI
 Tomar decisiones estratégicas
 Definir los recursos internos y externos necesarios
Para pasara al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo
 Valorar el desempeño actual, es decir realizar una evaluación de los planes

existentes, así como de los de los sistemas de información y su impacto de
los objetivos de la Unidad de Informática.
En el largo Plazo:
 Crear planes tácticos de TI, que resulten del plan estratégico de TI, estos
planes deben ser bien detallados para poder realizar la definición de planes
proyectados.
Tabla 21
Definición de Arquitectura de la Información
PO2: Definir la Arquitectura de la Información
NIVEL DE
CUMPLE OBSERVACIÓN
MADUREZ
Conocen la experiencia y las GRADO DE MADUREZ
responsabilidades necesarias para El proceso de definir la arquitectura de la Información
0
desarrollar esta arquitectura no existen en está en el nivel de madurez 1
la organización OBJETIVOS NO CUMPLIDOS
Las Autoridades están conscientes de la  No se resolvieron las necesidades futuras
necesidad de una arquitectura de realizando el proceso de arquitectura de
1 información. El desarrollo de algunos información
componentes de una arquitectura de  Aprovechar las habilidades personales para la
información ocurre de manera ad hoc. construcción de la arquitectura de la información.
76
NO CUMPLE
2. Las personas obtienen sus habilidades al construir la arquitectura de

información por medio de experiencia práctica y la aplicación repetida de
técnicas
3. Existe una función de administración de datos definida formalmente, que

establece estándares para toda la organización, y empieza a reportar sobre la
aplicación y uso de la arquitectura de la información.
4. El proceso de definición de la arquitectura de la información es proactivo y se

enfoca resolver necesidades futuras de la institución.
5. El personal de TI cuenta con la experiencia y las habilidades necesarias para

desarrollar y dar mantenimiento a una arquitectura de información robusta y
sensible que refleje todos los requerimientos de la institución
RECOMENDACIONES
 Desarrollar y mantener la arquitectura de la información

 Tener en claro la definición del proceso de la arquitectura de la información
 Ser partícipe de la construcción de la arquitectura de la información para
incrementar sus habilidades
En el Corto Plazo
 Establecer y mantener un modelo de arquitectura de la información para

facilitar el desarrollo de aplicaciones y actividades de soporte a la toma de
77
decisiones, este modelo será útil para la creación, uso y compartición
óptimas de la información vital.
En el largo Plazo:
 Definir e implementar procedimientos para brindar integridad y consistencia

de todos los datos que se encuentran almacenado en formato electrónico,
como base de datos, almacenamiento de datos y archivos.
Tabla 22
Dirección Tecnológica
PO3: Determinar la Dirección Tecnológica
NIVEL DE
CUMPLE OBSERVACIÓN
MADUREZ
Hay desconocimiento sobre la importancia GRADO DE MADUREZ
0 de la planeación de la infraestructura El proceso de determinar la dirección tecnológica está
tecnológica para la entidad. en el nivel de madurez 1
La autoridad reconoce la necesidad de OBJETIVOS NO CUMPLIDOS
planear la infraestructura tecnológica. El  Desarrollar las habilidades para la elaboración del
1 desarrollo de componentes tecnológicos y plan de la infraestructura tecnológica.
la implantación de tecnologías Realizar un plan de infraestructura tecnológica.
emergentes son ad hoc y aisladas.
NO CUMPLE
2. La evaluación de los cambios tecnológicos se delega a personas que siguen

procesos intuitivos, aunque similares.
3. Existe un plan de infraestructura tecnológica definido, documentado y bien

difundido, aunque se aplica de forma inconsistente
4. El área de informática cuenta con la experiencia y las habilidades necesarias

para desarrollar un plan de infraestructura tecnológica
78
5. La dirección del plan de infraestructura tecnológica está impulsada por los
estándares y avances internacionales, en lugar de estar orientada por los
proveedores de tecnología
RECOMENDACIONES
 Elaborar un plan de infraestructura tecnológica.
 Impulsar la orientación de la infraestructura tecnológica hacia los

proveedores
 No delegar los cambios tecnológicos a personas que no tienen la debida

experiencia
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo
 Planear la dirección tecnológica, es decir analizar las tecnologías existentes

y emergentes, para tomar en cuenta cual dirección tecnológica es apropiada
para lograr cumplir las estrategias de TI.
En el largo Plazo:
 Realizar un proceso de monitoreo de tecnologías, si es posible establecer

un foro tecnológico, para de esta forma brindar directrices tecnológicas.
79
Tabla 23
Definición de Procesos
PO4: Definir los Procesos, la Organización y las Relaciones de TI
NIVEL DE
CUMPLE OBSERVACIÓN
MADUREZ
La organización de TI no está establecida GRADO DE MADUREZ
0 de forma efectiva para enfocarse en el El proceso de definir los procesos, la Organización y las
logro de los objetivos de la institución Relaciones de TI, está en el nivel de madurez 2.
La función de TI se considera como una OBJETIVOS NO CUMPLIDOS
1 función de soporte, sin una perspectiva  Formular las relaciones con terceros para la TI.
organizacional general  No satisfacer los requerimientos del negocio.
Existe la necesidad de contar con una
institución organizada, pero las decisiones
2
todavía dependen del conocimiento y
habilidades de individuos clave.
NO CUMPLE
3. Se formulan las relaciones con terceros, incluyendo los comités de dirección,

auditoría interna y administración de proveedores
4. La organización de TI responde de forma pro activa al cambio e incluye todos

los roles necesarios para satisfacer los requerimientos de la institución.
5. La estructura institucional de TI es flexible y adaptable
RECOMENDACIONES
 Ser flexible y adaptable a la estructura organizacional de TI
 Responder de forma pro activa a los requerimientos de la institución
80
 Formular relaciones con terceros como auditoria interna
 Para pasara al nivel de madurez 3 se debe adoptar las siguiente estrategias:
En el Corto Plazo
 Realizar una evaluación permanente de personal, para así asegurar que el

personal involucrado en las TI sea el pertinente para la función asignada.
En el largo Plazo:
 Implantar métodos de supervisión dentro de las funciones de TI para

asegurar que los roles y responsabilidades se ejerzan correctamente
Tabla 24
Administración de la Inversión
PO5: Administrar la inversión de TI
NIVEL DE
CUMPLE OBSERVACIÓN
MADUREZ
No existe conciencia de la importancia de GRADO DE MADUREZ
la selección y presupuesto de las El proceso de administrar la Inversión de TI, está en
0 inversiones en TI. No existe seguimiento o el nivel de madurez 4.
monitoreo de las inversiones y gastos de OBJETIVOS NO CUMPLIDOS
TI. • Formular las relaciones con terceros para la TI.
La institución reconoce la necesidad de
administrar la inversión en TI, aunque esta
1
necesidad se comunica de manera
inconsistente
Existe un entendimiento implícito de la
2 necesidad de seleccionar y presupuestar
las inversiones en TI.
El presupuesto de TI está alineado con los
planes estratégicos de TI. Los procesos de
3 selección de inversiones en TI y de
presupuestos están formalizados
documentados y comunicados.
La responsabilidad y la rendición de
4
cuentas por la selección y presupuestos de
81
inversiones se asignan a un individuo
específico. Las diferencias en el
presupuesto se identifican y se resuelven.
NO CUMPLE
5. Se utilizan las mejores prácticas de la industria para evaluar los costos por
comparación e identificar la efectividad de las inversiones. Se utiliza el análisis
de los avances tecnológicos en el proceso de selección y presupuesto de
inversiones.
RECOMENDACIONES
 Reconocer la necesidad de administrar la inversión en TI.
 Utilizar las mejores prácticas para la evaluación de costos de inversión
 Documentar y formalizar el presupuesto en TI.
En el Corto Plazo
 Incluir un análisis de costos y beneficios a largo plazo del ciclo total de vida
en la toma de decisiones de inversiones.
En el largo Plazo:
 Mejorar de forma continua la administración de inversiones en base a las

lecciones aprendidas del análisis del desempeño real de las inversiones.
82
Tabla 25
Identificación de Soluciones Automatizadas
DOMINIO: ADQUIRIR E IMPLEMENTAR
AI1: Identificar Soluciones Automatizadas
NIVEL DE
CUMPLE OBSERVACIÓN
MADUREZ
La organización no requiere de la GRADO DE MADUREZ
identificación de los requerimientos El proceso de identificar Soluciones Automatizadas
funcionales y operativos para el desarrollo, está en el nivel de madurez 1.
0
implantación o modificación de OBJETIVOS NO CUMPLIDOS
soluciones, tales como sistemas, servicios,  Determinar el proceso para la solución de TI,
infraestructura y datos según el requerimiento de la organización
Existe una investigación o análisis  Documentación de los proyectos realizados
1 estructurado mínimo de la tecnología
disponible
NO CUMPLE
2. El éxito de cada proyecto depende de la experiencia de unas cuantas personas

clave. La calidad de la documentación y de la toma de decisiones varía de
forma considerable
3. El proceso para determinar las soluciones de TI se aplica para algunos

proyectos con base en factores tales como las decisiones tomadas por el
personal involucrado, la cantidad de tiempo administrativo dedicado, y el
tamaño y prioridad del requerimiento de negocio original.
4. La documentación de los proyectos es de buena calidad y cada etapa se

aprueba adecuadamente.
5. La metodología está soportada en bases de datos de conocimiento internas y

externas que contienen material de referencia sobre soluciones tecnológicas.
83
RECOMENDACIONES
Para el proceso AI1 de COBIT estable los siguientes objetivos de control:
 Soportar la metodología de TI en base de datos.
 Determinar los procesos para las soluciones de TI.
 Explotar la experiencia de los trabajadores para la buena toma de

decisiones.
En el Corto Plazo:
 Resaltar, priorizar, especificar los requerimientos funcionales y técnicos,

priorizando el desempeño, el costo, la confiabilidad, la compatibilidad, la
auditoría, la seguridad, la disponibilidad, y continuidad, la ergonomía,
funcionalidad y la legislación.
En el Largo Plazo:
 Que exista el alineamiento con las estrategias de la Organización y de TI.
Tabla 26
Adquirir y mantener el Software aplicativo
AI2: Adquirir y mantener el Software Aplicativo
NIVEL DE
CUMPLE OBSERVACIÓN
MADUREZ
Normalmente, las aplicaciones se obtienen GRADO DE MADUREZ
con base en ofertas de proveedores, en el El proceso de Adquirir y Mantener Software Aplicativo
reconocimiento de la marca o en la está en el nivel de madurez 2.
0
familiaridad del personal de TI con OBJETIVOS NO CUMPLIDOS
productos específicos, considerando poco
o nada los requerimientos actuales.
84
Es probable que se hayan adquirido en  Dar a conocer el proceso de adquisición y
forma independiente una variedad de mantenimiento del Sistema de Información
soluciones individuales para (software) y aplicaciones.
1
requerimientos particulares del negocio,  Determinar la metodología formal para la
teniendo como resultado ineficiencias en documentación del software en uso.
el mantenimiento y soporte
Existen procesos de adquisición y
mantenimiento de aplicaciones, con
2
diferencias pero similares, en base a la
experiencia dentro de la operación de TI.
NO CUMPLE
3. Existe un proceso claro, definido y de comprensión general para la adquisición

y mantenimiento de software aplicativo. Este proceso va de acuerdo con la
estrategia de TI y de la institución.
4. Existe una metodología formal y bien comprendida que incluye un proceso de

diseño y especificación, un criterio de adquisición, un proceso de prueba y
requerimientos para la documentación.
5. El enfoque se extiende para toda la empresa. La metodología de adquisición y

mantenimiento presenta un buen avance y permite un posicionamiento
estratégico rápido, que permite un alto grado de reacción y flexibilidad para
responder a requerimientos cambiantes de la institución
RECOMENDACIONES
 Asegurar que el software diseñado sea de calidad.
85
 Realizar un diseño detallado, y los requerimientos técnicos del software.
 Identificar los requerimientos del negocio para el desarrollo del software.
En el Corto Plazo:
 Desarrollar estrategia y planes de mantenimiento del software aplicativo.
En el Largo Plazo:
 Garantizar integridad de la información, control de acceso, respaldo y pistas

de auditoría.
Tabla 27
Mantener la Infraestructura
AI3: Adquirir y mantener la Infraestructura Tecnológica
NIVEL DE
CUMPLE OBSERVACIÓN
MADUREZ
No se reconoce la administración de la GRADO DE MADUREZ
infraestructura de tecnología como un El proceso de Adquirir y Mantener Infraestructura
0
asunto importante al cual deba ser Tecnológica está en el nivel de madurez 1.
resuelto. OBJETIVOS NO CUMPLIDOS
Se realizan cambios a la infraestructura  Definir una estrategia para la adquisición y
para cada nueva aplicación, sin ningún plan mantenimiento de la infraestructura.
1 en conjunto. La actividad de  Organizar y prevenir el proceso de adquisición y

mantenimiento reacciona a necesidades mantenimiento de la infraestructura.
de corto plazo.
86
NO CUMPLE
2. La adquisición y mantenimiento de la infraestructura de TI no se basa en una

estrategia definida y no considera las necesidades de las aplicaciones de la
institución que se deben respaldar.
3. El proceso respalda las necesidades de las aplicaciones críticas de la

institución y concuerda con la estrategia de negocio de TI, pero no se aplica en
forma consistente.
4. La infraestructura de TI soporta adecuadamente las aplicaciones del negocio.

El proceso está bien organizado y es preventivo.
5. El proceso de adquisición y mantenimiento de la infraestructura de tecnología

es preventivo y está estrechamente en línea con las aplicaciones críticas de la
institución y con la arquitectura de la tecnología.
RECOMENDACIONES
 Crear un plan de adquisición de infraestructura tecnológica.
 Garantizar la disponibilidad de la infraestructura tecnológica.
 Identificar que necesidades se tiene para adquisición de infraestructura

tecnológica.
87
En el Corto Plazo:
 Crear un plan de adquisición de infraestructura tecnológica.
En el Largo Plazo:
 Proteger la infraestructura tecnológica mediante medidas de control interno,

seguridad y auditabilidad durante la configuración, integración y
mantenimiento de hardware y software de la infraestructura tecnológica.
Tabla 28
Facilitar operación y uso
AI4: Facilitar la Operación y el uso
NIVEL DE
CUMPLE OBSERVACIÓN
MADUREZ
No existe el proceso con respecto a la GRADO DE MADUREZ
elaboración de documentación de usuario, El proceso de Facilitar la Operación y el Uso está en el
0
manuales de operación y material de nivel de madurez 1.
entrenamiento. OBJETIVOS NO CUMPLIDOS
Mucha de la documentación y muchos de  Falta generar los materiales de entretenimiento
los procedimientos ya caducaron. Los buscando su calidad.
1
materiales de entrenamiento tienden a ser  Garantizar la compañía de estándares para el
esquemas únicos con calidad variable. desarrollo del proceso.
NO CUMPLE
2. Personas o equipos de proyecto generan los materiales de entrenamiento, y la

calidad depende de los individuos que se involucran
3. Se guardan y se mantienen los procedimientos en una biblioteca formal y

cualquiera que necesite saber tiene acceso a ella.
4. Existen controles para garantizar que se adhieren los estándares y que se

desarrollan y mantienen procedimientos para todos los procesos.
88
5. Los materiales de procedimiento y de entrenamiento se tratan como una base
de conocimiento en evolución constante que se mantiene en forma electrónica,
con el uso de administración de conocimiento actualizada, workflow y
tecnologías de distribución, que los hacen accesibles y fáciles de mantener.
RECOMENDACIONES
 Control para garantizar adherir los estándares para el mantenimiento de los

procesos.
 Desarrollar un plan para realizar soluciones de operación el cual sirva para

identificar y documentar todos los aspectos técnicos, la capacidad de
operación y los niveles de servicio requeridos.
En el Corto Plazo:
 Realizar una transferencia de conocimiento a la parte gerencial lo cual

permitirá que estos tomen posesión del sistema y los datos.
En el Largo Plazo:
 Mediante la transferencia de conocimientos a los usuarios finales se lograra

que estos usen los sistemas con efectividad y eficiencia para el apoyo a los
procesos de la Organización.
89
Tabla 29
Adquirir Recursos de TI
AI5: Adquirir Recursos de TI
NIVEL DE
CUMPLE OBSERVACIÓN
MADUREZ
No existe un proceso definido de
0 GRADO DE MADUREZ
adquisición de recursos de TI.
El proceso de Adquirir Recursos de TI está en el nivel
Los contratos para la adquisición de de madurez 4.
OBJETIVOS NO CUMPLIDOS
recursos de TI son elaborados y
 Falta de buenas relaciones con algunos
administrados por personas que ejercen proveedores de forma estratégica.
1
su juicio profesional más que seguir
resultados de procedimientos y políticas
formales
Se determinan responsabilidades y
2
rendición de cuentas para la
La adquisición de TI se integra en gran
3 parte con los sistemas generales de
adquisición de la institución.
La adquisición de TI se integra en gran
parte con los sistemas generales de
4 adquisición del negocio. Existen
estándares de TI para la adquisición de
recursos de TI.
NO CUMPLE
5. Se establecen buenas relaciones con el tiempo con la mayoría de los

proveedores, y se mide y vigila la calidad de estas relaciones. Se manejan las
relaciones en forma estratégica.
RECOMENDACIONES
 Tomar medidas en la administración de contratos y adquisiciones.
90
 Establecer buenas relaciones con la mayoría de proveedores.
En el Corto Plazo:
 Manejar estratégicamente los estándares, políticas y procedimientos de TI

para adquirir los recursos de TI.
En el Largo Plazo:
 Cumplir y hacer cumplir los derechos y obligaciones de ambas partes en los

términos contractuales.
Tabla 30
Administrar niveles de servicios
DOMINIO: ENTREGAR Y DAR SOPORTE

DS1: Definir y Administrar los Niveles de Servicio
NIVEL DE
CUMPLE OBSERVACIÓN
MADUREZ
Las autoridades no reconocen la necesidad GRADO DE MADUREZ
0 de un proceso para definir los niveles de El proceso de Definir y Administrar los Niveles de
servicio. Servicio está en el nivel de madurez 1.
La responsabilidad y la rendición de OBJETIVOS NO CUMPLIDOS
cuentas sobre para la definición y la  No ordenar los procesos de desarrollo por niveles
1 administración de servicios no está de servicio.
definida.  Realizar reportes de servicio de forma completa y
relevante
NO CUMPLE
2. Los reportes de los niveles de servicio están incompletos y pueden ser

irrelevantes o engañosos para los clientes. Los reportes de los niveles de
servicio dependen, en forma individual, de las habilidades y la iniciativa de los
administradores.
91
3. El proceso de desarrollo del acuerdo de niveles de servicio está en orden y
cuenta con puntos de control para revalorar los niveles de servicio y la
satisfacción de cliente.
4. La satisfacción del cliente es medida y valorada de forma rutinaria. Las medidas

de desempeño reflejan las necesidades del cliente, en lugar de las metas de
TI.
5. Todos los procesos de administración de niveles de servicio están sujetos a

mejora continua. Los niveles de satisfacción del cliente son administrados y
monitoreados de manera continua.
RECOMENDACIONES
Para el proceso DS1 de COBIT estable los siguientes objetivos de control:
 Realizar un portafolio de servicios.
 Realizar acuerdos de niveles de servicio.
En el Corto Plazo:
 Realizar a menudo una revisión con los proveedores internos y externos los
acuerdos de niveles de servicio.
En el Largo Plazo:
 Realizar un monitoreo y reporte del cumplimiento de los niveles de servicio,

estos reporte deben mantener un formato entendible por parte de los
interesados
92
Tabla 31
Administrar los servicios de Terceros
DS2: Administrar los Servicios de Terceros
NIVEL DE
CUMPLE OBSERVACIÓN
MADUREZ
Los servicios de terceros no son ni GRADO DE MADUREZ
0 aprobados ni revisados por las El proceso de Administrar los Servicios de Terceros
autoridades. No hay actividades de está en el nivel de madurez 3.
medición y los terceros no reportan. OBJETIVOS NO CUMPLIDOS
No hay condiciones estandarizadas para  Verificar de forma continua las capacidades del
1 los convenios con los prestadores de proveedor.
servicios.  Monitorear e implementar acciones correctivas.
Se utiliza un contrato pro forma con
2 términos y condiciones estándares del
proveedor (por ejemplo, la descripción de
servicios que se prestarán).
Cuando se hace un acuerdo de prestación
de servicios, la relación con el tercero es
3 meramente contractual. La naturaleza de
los servicios a prestar se detalla en el
contrato e incluye requerimientos legales,
operacionales y de control.
NO CUMPLE
4. Las aptitudes, capacidades y riesgos del proveedor son verificadas de forma

continua
5. Se monitorea el cumplimiento de las condiciones operacionales, legales y de

control y se implantan acciones correctivas.
RECOMENDACIONES
 Monitorear e implementar acciones correctivas.
 Verificar de forma continua las capacidades del proveedor.
93
En el Corto Plazo:
 Establecer criterios formales y estandarizados para realizar la definición de

los términos del acuerdo.
En el Largo Plazo:
 Mantener acuerdos de confidencialidad con los proveedores
Tabla 32
Desempeño y Calidad
DS3: Administrar el Desempeño y la Capacidad
NIVEL DE
CUMPLE OBSERVACIÓN
MADUREZ
La autoridad no reconoce que los procesos GRADO DE MADUREZ
clave de la institución pueden requerir El proceso de Administrar el Desempeño y la
0 altos niveles de desempeño de TI o que el Capacidad está en el nivel de madurez 1.
total de los requerimientos de servicios de OBJETIVOS NO CUMPLIDOS
TI de la institución pueden exceder la  Realizar evaluaciones de la infraestructura de TI
capacidad. logrando una capacidad óptima.
Los responsables de los procesos de la  Establecer métodos de desempeño y evaluación.
organización valoran poco la necesidad de
1 llevar a cabo una planeación de la
capacidad y del desempeño. Las acciones
para administrar el desempeño y la
capacidad son típicamente reactivas.
NO CUMPLE
2. Las necesidades de desempeño se logran por lo general con base en

evaluaciones de sistemas individuales y el conocimiento y soporte de equipos
de proyecto.
3. Los pronósticos de la capacidad y el desempeño se modelan por medio de un

proceso definido. Los reportes se generan con estadísticas de desempeño.
94
4. Hay información actualizada disponible, brindando estadísticas de desempeño
estandarizadas y alertando sobre incidentes causados por falta de desempeño
o de capacidad.
5. La infraestructura de TI y la demanda del negocio están sujetas a revisiones

regulares para asegurar que se logre una capacidad óptima con el menor costo
posible.
RECOMENDACIONES
 Establecer métricas de desempeño y evaluación de la capacidad
 Realizar revisiones de forma periódica.
En el Corto Plazo:
 Realizar pronósticos de la capacidad y el desempeño futuros de los recursos

de TI en intervalos regulares.
En el Largo Plazo:
 Realizar un monitoreo continuo del desempeño y la capacidad de los

recursos de TI.
95
Tabla 33
Continuidad de servicios

DS4: Garantizar la continuidad del servicio
NIVEL DE
CUMPLE OBSERVACIÓN
MADUREZ
No hay comprensión de los riesgos, GRADO DE MADUREZ
0 vulnerabilidades y amenazas a las El proceso de Garantizar la Continuidad del Servicio
operaciones de TI. está en el nivel de madurez 1.
Las responsabilidades sobre la continuidad OBJETIVOS NO CUMPLIDOS
1 de los servicios son informales y la  Mantener un plan de servicios.
autoridad para ejecutar responsabilidades  Integrar los procesos de servicios para mejores
es limitada. prácticas externas
NO CUMPLE
2. Los reportes sobre la disponibilidad son esporádicos, pueden estar incompletos

y no toman en cuenta el impacto en el negocio.
3. Las responsabilidades de la planeación y de las pruebas de la continuidad de

los servicios están claramente asignadas y definidas
4. Se asigna la responsabilidad de mantener un plan de continuidad de servicios.
5. Los procesos integrados de servicio continuo toman en cuenta referencias de

la industria y las mejores prácticas externas.
RECOMENDACIONES
 Desarrollar y tomar muy en cuenta planes de continuidad.
 Realizar un marco de trabajo de continuidad.
96
En el Corto Plazo:
 Realizar pruebas regulares del plan de continuidad, de esta forma se

asegura que los sistemas de TI sean recuperados de forma efectiva
Tabla 34
Garantizar la Seguridad de los Sistemas
DS5: Garantizar la Seguridad de los Sistemas
NIVEL DE
CUMPLE OBSERVACIÓN
MADUREZ
Las medidas adoptadas para la GRADO DE MADUREZ
administración de la seguridad de TI no El proceso de Garantizar la Seguridad de los Sistemas
0 están implementadas. No hay reportes de está en el nivel de madurez 1.
seguridad de TI ni un proceso de respuesta OBJETIVOS NO CUMPLIDOS
para resolver brechas de seguridad de TI.  Concientizar el valor de la seguridad de la
La seguridad de TI se lleva a cabo de forma información.
reactiva. No se mide la seguridad de TI. Las  Elaborar un plan de seguridad de TI.
brechas de seguridad de TI ocasionan
1 respuestas con acusaciones personales,
debido a que las responsabilidades no son
claras. Las respuestas a las brechas de
seguridad de TI son impredecibles.
NO CUMPLE
2. La conciencia sobre la necesidad de la seguridad esta fraccionada y limitada.

Aunque los sistemas producen información relevante respecto a la seguridad,
ésta no se analiza.
3. Las responsabilidades de la seguridad de TI están asignadas y entendidas,

pero no continuamente implementadas. Existe un plan de seguridad de TI y
existen soluciones de seguridad motivadas por un análisis de riesgo.
97
4. El contacto con métodos para promover la conciencia de la seguridad es
obligatorio. La identificación, autenticación y autorización de los usuarios está
estandarizada.
5. Los usuarios y los clientes se responsabilizan cada vez más de
6. definir requerimientos de seguridad, y las funciones de seguridad están

integradas con las aplicaciones en la fase de diseño.
RECOMENDACIONES
 Se debe administrar la seguridad TI.
 Realizar un plan de seguridad de TI.
En el Corto Plazo:
 Implementar seguridad en la red como por ejemplo firewalls, dispositivos de

seguridad, detección de intrusos, etc.)
En el Largo Plazo:
 Realizar pruebas a la implementación de la seguridad, de igual forma

monitorear esta.
98
Tabla 35
Monitorear y Evaluar el Desempeño de TI

ME1: Monitorear y Evaluar el Desempeño de TI
NIVEL DE
CUMPLE OBSERVACIÓN
MADUREZ
La TI no lleva a cabo monitoreo de GRADO DE MADUREZ
proyectos o procesos de forma El proceso de Monitorear y Evaluar el Desempeño de
independiente. No se cuenta con reportes TI está en el nivel de madurez 0.
0 útiles, oportunos y precisos. La necesidad OBJETIVOS NO CUMPLIDOS
de entender de forma clara los objetivos  Poder identificar los procesos estándares de
de los procesos no se reconoce. evaluación.
 Integrar todos los procesos y proyectos de TI.
NO CUMPLE
1. La interpretación de los resultados del monitoreo se basa en la experiencia de

individuos clave
2. Las mediciones de la contribución de la función de servicios de información al

desempeño de la organización se han definido, usando criterios financieros y
operativos tradicionales.
3. Hay una integración de métricas a lo largo de todos los proyectos y procesos

de TI. Los sistemas de reporte de la administración de TI están formalizados.
4. Las métricas impulsadas por el negocio se usan de forma rutinaria para medir
el desempeño, y están integradas en los marcos de trabajo estratégicos, tales
como el Balanced Scorecard.
RECOMENDACIONES
Para el proceso ME1 de COBIT estable los siguientes objetivos de control:
99
 Definir un método de monitoreo como Balance Scorecard.
 Evaluar el desempeño comparándolo periódicamente con las metas.
En el Corto Plazo:
 Realizar una marco de trabajo de monitoreo general garantizado por la

gerencia.
En el Largo Plazo:
 Identificar e iniciar medidas correctivas sobre el desempeño de TI.
Tabla 36
Monitorear y Evaluar el Control Interno

ME2: Monitorear y Evaluar el Control Interno
NIVEL DE
CUMPLE OBSERVACIÓN
MADUREZ
Los métodos de reporte de control interno GRADO DE MADUREZ
no existen. Existe una falta generalizada de El proceso de Monitorear y Evaluar el Control Interno
conciencia sobre la seguridad operativa y está en el nivel de madurez 0.
el aseguramiento del control interno de TI. OBJETIVOS NO CUMPLIDOS
0  Establecer los procesos para la evaluación y
aseguramiento del control interno.
 Utilizar herramientas integradas para la
detección del control interno de TI.
NO CUMPLE
1. La gerencia de TI no ha asignado de manera formal las responsabilidades para

monitorear la efectividad de los controles internos.
100
2. La oficina de servicios de información realiza monitoreo periódico sobre la
efectividad de lo que considera controles internos críticos. Se están empezando
a usar metodologías y herramientas para monitorear los controles internos,
aunque no se basan en un plan.
3. Se ha definido un programa de educación y entrenamiento para el monitoreo

del control interno. Se ha definido también un proceso para auto evaluaciones
y revisiones de aseguramiento del control interno, con roles definidos para los
responsables de la administración y de TI
4. Se han implantado herramientas para estandarizar evaluaciones y para

detectar de forma automática las excepciones de control. Se ha establecido una
función formal para el control interno de TI, con profesionales especializados y
certificados que utilizan un marco de trabajo de control formal avalado por la
alta dirección.
5. La organización utiliza herramientas integradas y actualizadas, donde es

apropiado, que permiten una evaluación efectiva de los controles críticos de TI
y una detección rápida de incidentes de control de TI.
RECOMENDACIONES
 Monitorear el marco de trabajo de control interno de forma continua.

 Mediante las revisiones de auditoría reportar la efectividad de los controles
internos sobre las TI.
En el Corto Plazo:
 Realizar una auto-evaluación del control interno de la administración de

procesos, políticas y contratos de TI.
101
En el Largo Plazo:
 Identificar e iniciar medidas correctivas sobre el desempeño de TI.
Tabla 37
Cumplimiento regulatorio
ME3: Garantizar el Cumplimiento Regulatorio
NIVEL DE
CUMPLE OBSERVACIÓN
MADUREZ
Existe poca conciencia respecto a los GRADO DE MADUREZ
requerimientos externos que afectan a TI, El proceso de Garantizar el Cumplimiento Regulatorio
0 sin procesos referentes al cumplimiento de está en el nivel de madurez 1.
requisitos regulatorios, legales y OBJETIVOS NO CUMPLIDOS
contractuales.  Brindar capacitación sobre requisitos legales y
Se siguen procesos informales para regulatorios externos.
1 mantener el cumplimiento, pero solo si la  Conocer los requerimientos aplicables, como la
necesidad surge en nuevos proyectos o solución de nuevas necesidades.
como respuesta a auditorías o revisiones
NO CUMPLE
2. No existe, sin embargo, un enfoque estándar. Hay mucha confianza en el

conocimiento y responsabilidad de los individuos, y los errores son posibles.
3. Se brinda entrenamiento sobre requisitos legales y regulatorios externos que

afectan a la institución y se instruye respecto a los procesos de cumplimiento
definidos.
4. Las responsabilidades son claras y el empoderamiento de los procesos es

entendido. El proceso incluye una revisión del entorno para identificar
requerimientos externos y cambios recurrentes.
5. Hay un amplio conocimiento de los requerimientos externos aplicables,

incluyendo sus tendencias futuras y cambios anticipados, así como la
necesidad de nuevas soluciones.
102
RECOMENDACIONES
 Integrar los reporte de TI sobre el cumplimiento regulatorio.
 Garantizar la identificación de requerimientos locales e internacionales

legales, contractuales de políticas, y regulatorios.
En el Corto Plazo:
 Tener muy en cuenta las leyes y reglamentos de privacidad, flujo de datos,

reporte financieros, propiedad intelectual, etc.
En el Largo Plazo:
 Evaluar el cumplimiento de las políticas, estándares y procedimientos de TI.
Tabla 38
Proporcionar Gobierno de TI
ME4: Proporcionar Gobierno de TI
NIVEL DE
CUMPLE OBSERVACIÓN
MADUREZ
Existe una carencia completa de cualquier GRADO DE MADUREZ
proceso reconocible de gobierno de TI. La El proceso de Proporcionar Gobierno de TI está en el
organización ni siquiera ha reconocido que nivel de madurez 0.
0 existe un problema a resolver; por lo tanto, OBJETIVOS NO CUMPLIDOS
no existe comunicación respecto al tema.  Comunicar por parte de la Gerencia los
procedimientos estandarizados.
103
NO CUMPLE
1. El enfoque de la gerencia es reactivo y solamente existe una comunicación

esporádica e inconsistente sobre los temas y los enfoques para resolverlos.
2. La gerencia ha identificado mediciones básicas para el gobierno de TI, así como

métodos de evaluación y técnicas; sin embargo, el proceso no ha sido adoptado
a lo largo de la institución.
3. Las autoridades ha comunicado los procedimientos estandarizados y el

entrenamiento está establecido. Se han identificado herramientas para apoyar
a la supervisión del gobierno de TI.
4. Los procesos de TI y el gobierno de TI están alineados e integrados con la

estrategia corporativa de TI. La mejora de los procesos de TI se basa
principalmente en un entendimiento cuantitativo y es posible monitorear y medir
el cumplimiento con procedimientos y métricas de procesos.
5. La implantación de las políticas de TI ha resultado en una organización,

personas y procesos que se adaptan rápidamente, y que dan soporte completo
a los requisitos de gobierno de TI. Todos los problemas y desviaciones se
analizan por medio de la técnica de causa raíz y se identifican e implementan
medidas eficientes de forma rápida.
RECOMENDACIONES
 Administrar los riesgos de forma eficiente.
 Garantizar la optimización de la inversión, uso y asignación de los activos de

TI mediante evaluaciones periódicas.
104
En el Corto Plazo:
 Establecer un marco de trabajo de gobierno de TI, incluyendo liderazgo,

procesos, roles y responsabilidades.
En el Largo Plazo:
 Conformar un comité de auditoría para asegurar el cumplimiento de TI.
RESUMEN DEL GRADO DE MADUREZ

Tabla 39
Grado de madurez
MADURE
NIVEL DE
DOMINIO PROCESO
Z
PO1 Definir el Plan Estratégico de la Información 1
PO2 Definir la Arquitectura de la Información 1
PLANIFICAR Y
PO3 Determinar la Dirección Tecnológica 1
ORGANIZAR
PO4 Definir los Procesos, la Organización y las Relaciones de TI 2
PO5 Administrar la inversión de TI. 4
AI1 Identificar Soluciones Automatizadas 1
AI2 Adquirir y Mantener Software Aplicativo 2
ADQUIRIR E
AI3 Adquirir y Mantener Infraestructura Tecnológica 1
IMPLEMENTAR
AI4 Facilitar la Operación y el uso 1
AI5 Adquirir Recursos de TI 4
DS1 Definir y Administrar los Niveles de Servicio 1
DS2 Administrar los Servicios de Tercero 3
ENTREGAR Y DAR
DS3 Administrar el Desempeño y la Capacidad 1
SOPORTE
DS4 Garantizar la Continuidad del Servicio 1
DS5 Garantizar la Seguridad de los Sistemas 1
ME1 Monitorear y Evaluar el Desempeño y la Capacidad 0
MONITOREAR Y ME2 Monitorear y Evaluar el Control Interno 0
EVALUAR ME3 Garantizar el Cumplimiento Regulatorio 1
ME4 Proporcionar Gobierno de TI 0
105
El análisis de cada uno de los dominios es el siguiente:
DOMINIO: PLANEAR Y ORGANIZAR (PO)
Las estrategias de TI no se encuentran a la par con las de la Institución, esto

significa que la Municipalidad de la Concordia no ha alcanzado el uso óptimo de los
recursos ya no han sido aprovechados al máximo o a lo mejor no se cuenta con los
recursos necesarios para la realización de ciertas tareas, no todo el personal
entiende los objetivos de TI, son pocos los usuarios que comprenden la importancia
de estos, para el cumplimiento de la institución.
DOMINIO: ADQUIRIR E IMPLEMENTAR (AI)
Para que se cumplan la estrategia de TI, se debe identificar, desarrollar o adquirir

las soluciones de TI, así como la implementación e integración en los procesos de
la Institución.
DOMINIO: ENTREGA Y DAR SOPORTE (DS)
Los servicios de TI son medianamente entregados de acuerdo a las prioridades de

la institución, Los costos de TI no se encuentran totalmente optimizados, puesto
que no existe un plan de continuidad no es implementada la disponibilidad de forma
completa de los sistemas de TI, de igual forma la integridad y la confidencialidad no
se encuentran implementadas de forma óptima.
DOMINIO: MONITOREAR Y EVALUAR (ME)
Las autoridades no monitorea ni evalúa el control interno en la Municipalidad de la

Concordia, existe una poca vinculación en el desempeño de TI con las metas de la
Institución, no existe una medición óptima de riesgos y el reporte de estos, así como
el cumplimiento, desempeño y control.
106
RESUMEN DE PROCESOS Y CRITERIO POR IMPACTO
Tabla 40
Grado de Madurez, Resumen de procesos y criterio de Impacto
CRITERIOS DE INFORMACIÓN RECURSOS TI
Nivel de Madurez
Recursos Humanos
Confidencialidad
PROCESOS
Disponibilidad
Cumplimiento
Confiabilidad
Instalaciones
Sistemas de
Efectividad
Tecnología
Integridad
Aplicación
Eficiencia
Datos
PO1 Definir el Plan Estratégico de Tecnologías de la Información 0,86 0,63 x x x
Total real (impacto*Nivel real) 0,86 0,63 0,00 0,00 0,00 0,00 0,00 1
Total ideal (impacto*Nivel ideal) 4,30 3,15 0,00 0,00 0,00 0,00 0,00 5
PO2 Definir la arquitectura de la Información 0,63 0,86 0,63 x x x
PLANIFICAR Y ORGANIZAR
PO3 Determinar la Dirección Tecnológica 0,86 0,86 x x x x
PO4 Definir los Procesos, la Organización y las Relaciones de TI 1,72 1,72 x x
PO5 Administrar la inversión de TI 3,44 3,44 2,52 x x x
107
AI1 Identificar Soluciones Automatizadas 0,86 0,63 0,63 x x x x
AI2 Adquirir y Mantener Software Aplicativo 1,72 1,72 1,26 1,26 x x x
AI3 Adquirir y Mantener Infraestructura Tecnológica 0,63 0,86 0,63 0,63 x x x

Total real (impacto*Nivel real) 0,63 086 0,00 0,63 0,63 0,00 0,00 1
AI4 Facilitar la Operación y el Uso 0,86 0,86 0,63 0,63 0,63 x x x x
AI5 Adquirir Recursos de TI 2,52 3,44 2,52 x x x x
DS1 Definir y Administrar los Niveles de Servicio 0,86 0,86 0,63 0,63 0,63 0,63 x x x x
DS2 Administrar los Servicios de Terceros 2,58 2,58 1,89 1,89 1,89 1,89 1,89 x x x x
DS3 Administrar el Desempeño y la Capacidad 0,86 0,86 0,63 x x x
108
DS4 Garantizar la Continuidad del Servicio 0,86 0,63 0,86 x x x
Total ideal (impacto*Nivel real) 0,86 0,63 0,00 0,00 0,86 0,00 0,00 1
DS5 Garantizar la Seguridad de los Sistemas 0,86 0,86 0,63 0,63 0,63 x x x
ME1 Monitorear y Evaluar el Desempeño de TI x x x x
ME2 Monitorear y Evaluar el Desempeño de TI x x x x
ME3 Garantizar el Cumplimiento Regulatorio 0,86 0,63 x x
ME4 Proporcionar Gobierno TI x x x
109
RESULTADOS FINALES DEL IMPACTO SOBRE LOS CRITERIOS DE INFORMACIÓN
Total real (impacto * Nivel Real) 45,72 49,19 7,79 10,94 9,05 19,13 20,16
Total ideal (impacto * Nivel ideal) 97,35 98,65 20,05 29,50 26,35 38,95 37,80
Porcentaje Alcanzado 46,96 49,86 38,85 37,08 34,35 49,11 53,33 444,22
110
GRAFICA REPRESENTATIVA DEL IMPACTO DE LOS CRITERIOS DE
INFORMACIÓN
IMPACTO SOBRE LOS CRITERIOS DE LA

INFORMACIÓN
53,33 46,96
Efectividad
Eficiencia
Confidencialidad
49,86
49,11 Integridad
Disponibilidad
Cumplimiento
Confiabilidad
34,35 38,85
37,08
Ilustración 23 Impacto sobre criterios de la información Elaborado por: Andrea Mejía
EL INFORME DE AUDITORÍA
Una vez analizado los procesos, se detalla los resultados de la evaluación de cada
uno de ellos divididos en sus respectivos dominios (Planear y organizar, adquirir e
implementar, entregar y dar soporte, monitorear y evaluar.), lo cual se basa en los
niveles de madurez los cuales van desde el grado 0 (no existente) al grado máximo
5 (administrado).
111
Tabla 41
Informe de Auditoria
DOMINIO PROCESO CONCLUSIÓN RECOMENDACIONES COBIT
Este proceso se encuentra en el nivel • Lograr alinear las TI con la institución, instruir a los jefes
de madurez 1 ya que no cuenta con un de departamento sobre las capacidades tecnológicas
plan estratégico definido. actuales y el futuro de estas, así como las
oportunidades que prestan las TI, para el mejor
desempeño de las labores diarias.
DEFINIR UN PLAN
PO1 • Elaborar planes tácticos de TI, que se resulten del plan
ESTRATÉGICO
estratégico de TI, los cuales servirán para describir las
iniciativas y los requerimientos de recursos que son
requeridos por TI, estos planes deben ser bien
PLANEAR Y ORGANIZAR
detallados para poder realizar la definición de planes

proyectados.
Este proceso se encuentra en el nivel • Establecer un diseño de clasificación de datos que
de madurez 1, debido a que se aplique a toda la gestión tecnológica, basado en la
DEFINIR LA
reconoce no tener una arquitectura de información crítica y sensible.
ARQUITECTURA
PO2 información, pero a pesar de • Definir e implementar procedimientos para brindar
DE LA
reconocer su importancia no se la integridad y consistencia de todos los datos que se
INFORMACIÓN
elabora encuentran almacenado en formato electrónico, como
bases de datos, almacenamiento de datos y archivos.
Este proceso se encuentra en el nivel • Planear la dirección tecnológica, es decir analizar las
de madurez 1, debido a que el tecnologías existentes y emergentes, para tomar en
desarrollo de componentes cuenta cual dirección tecnológica es apropiada para
DETERMINAR LA
tecnológicos y la implantación de lograr cumplir con las estrategias de TI, y la
PO3 DIRECCIÓN
tecnologías emergentes son ad hoc y arquitectura de sistemas de la institución
TECNOLÓGICA
aisladas. • Crear y mantener un plan de infraestructura
tecnológica que este a la par con los planes
estratégicos y tácticos de TI.
112
Este proceso se encuentra en el nivel • Definir un marco de trabajo para el proceso de TI para
DEFINIR LOS de madurez 2 debido a que las la ejecución del plan estratégico de TI, incluyendo la
PROCESOS LA necesidades de los usuarios y estructura y relaciones de procesos de TI.
PO4 ORGANIZACIÓN Y relaciones con proveedores se • Establecer un comité estratégico de TI a nivel del jefe
LAS RELACIONES responden de forma táctica aunque departamental, para garantizar que el gobierno de TI
DE TI inconsistentemente. se maneje de forma efectiva.
Las responsabilidades y rendición de • Optimizar de forma continua la administración de

cuentas para la selección de inversiones en base a las lecciones aprendidas del
presupuestos de inversiones son análisis del desempeño real de las inversiones.
ADMINISTRAR LA
PO5 asignadas en específico al Jefe del • Incluir un análisis de costos y beneficios a largo plazo
INVERSIÓN DE TI
departamento informático y el jefe del del ciclo total de vida en la toma de decisiones de
departamento financiero. inversiones.
Este proceso se encuentra en el nivel  Destacar, priorizar, especificar los requerimientos

de madurez 1 puesto que existe la funcionales y técnicos del departamento de

conciencia de la necesidad de definir informática, priorizando el desempeño, el costo, la
requerimientos y de identificar confiabilidad, la compatibilidad, la auditoría, la
IDENTIFICAR soluciones tecnológicas, las seguridad, la disponibilidad, y continuidad, la
AI1 SOLUCIONES necesidades son analizadas de manera ergonomía, funcionalidad y la legislación de la
AUTOMATIZADAS informal y por ciertos individuos. Institución.
• Identificar, documentar y analizar los riesgos
relacionados con los procesos del negocio para el
desarrollo de los requerimientos.
113
Este proceso se encuentra en el nivel  Ejecutar un diseño detallado, y los requerimientos
de madurez 2 por cuanto existen técnicos del software.
ADQUIRIR Y
procesos de adquisición y  Avalar integridad de la información, control de acceso,
MANTENER
AI2 mantenimiento de software aplicativo respaldo y pistas de auditoría.
SOFTWARE
en base a la experiencia de TI, el
APLICATIVO
mantenimiento a menudo es
problemático.
Este proceso se encuentra en el nivel  Salvaguardar la infraestructura tecnológica mediante
de madurez 1, ya que no se cuenta con medidas de control interno, seguridad y auditabilidad
ADQUIRIR Y un plan de adquisición de tecnología, durante la configuración, integración y mantenimiento
MANTENER LA por lo tanto no se controlan los de hardware y software de la infraestructura
AI3
INFRAESTRUCTUR procesos de adquirir, implantar y tecnológica.
A TECNOLÓGICA actualizar infraestructura tecnológica.  Desarrollar un plan de mantenimiento de la
infraestructura y garantizar el control de cambios de
esta.
Este proceso se encuentra en el nivel • Efectuar una transferencia de conocimiento a la parte
de madurez 1, puesto que no existe de las autoridades lo cual permitirá que estos tomen
una generación de documentación, ni posesión del sistema y los datos.
FACILITAR LA políticas de generación de manuales, • Mediante la transferencia de conocimientos a los
AI4 OPERACIÓN Y EL pero se tiene la conciencia de que esto usuarios finales se logrará que estos usen los sistemas
USO es necesario, la mayor parte de la con efectividad y eficiencia para el apoyo a los procesos
documentación y procedimientos ya del departamento de informática.
se encuentran caducados o
desactualizados.
114
Este proceso se encuentra en el nivel  Establecer buenas relaciones con la mayoría de
de madurez 4 ya que la adquisición de proveedores.
TI se integra totalmente con los  Cumplir y hacer cumplir los derechos y obligaciones de
ADQUIRIR
AI5 sistemas generales del gobierno, ya ambas partes en los términos contractuales.
RECURSOS DE TI
que se sigue el proceso de compras
públicas en la adquisición de algún
recurso de TI.
Este proceso se encuentra en el nivel  Se debe definir un marco de trabajo para la
DEFINIR Y
de madurez 1 ya que no se administra administración de los niveles de servicio.
ADMINISTRAR
DS1 los niveles de servicio, la rendición de  Realizar un monitoreo y reporte del cumplimiento de
LOS NIVELES DE
cuentas no se encuentra definido los niveles de servicio, estos reporte deben mantener
SERVICIO
realmente. un formato entendible por parte de los interesados.
Este proceso se encuentra en el nivel  Establecer criterios formales y estandarizados para

de madurez 3 por cuanto existen realizar la definición de los términos del acuerdo.
procedimientos documentados para  Asignar responsables para la administración del
ADMINISTRAR
controlar los servicios de terceros, los contrato y del proveedor.
DS2 LOS SERVICIOS DE
procesos son claros para realizar la
TERCEROS
negociación con los proveedores.
Este proceso se encuentra en el nivel  Implantar métricas de desempeño y evaluación de la

de madurez 1, puesto que los usuarios capacidad.
ADMINISTRAR EL
regularmente tienen que resolver los  Efectuar un monitoreo continuo del desempeño y la
DS3 DESEMPEÑO Y LA
inconvenientes que se presenten para capacidad de los recursos de TI.
CAPACIDAD
pacificar las limitaciones de
desempeño y capacidad.
115
Este proceso se encuentra en el nivel  Efectuar pruebas regulares del plan de continuidad, de
de madurez ,1 por cuanto no se cuenta esta forma se asegura que los sistemas de TI sean
GARANTIZAR LA con un plan de continuidad de recuperados de forma efectiva.
DS4 CONTINUIDAD servicios.  Una vez realizada la reanudación exitosa de las
DEL SERVICIO funciones de TI, determinar la efectividad del plan de
continuidad y realiza actualizaciones a este según
amerite.
Este proceso se encuentra en el nivel • Efectuar pruebas a la implementación de la seguridad,
de madurez 1 ya que la seguridad de de igual forma monitorearla.
GARANTIZAR LA
los sistemas se encuentra a cargo de • Garantizar que las características de posibles
DS5 SEGURIDAD DE
un solo individuo el cual es el Jefe del incidentes de seguridad sean definidas y comunicadas
LOS SISTEMAS
departamento Informático, no existen de forma clara y oportuna.
responsabilidades claras.
Este proceso se encuentra en el nivel • Definir y recoger los datos del monitoreo mediante un
MONITOREAR Y de madurez 0, por cuanto no se cuenta conjunto de objetivos, mediciones, metas y
EVALUAR EL con un proceso implementado de comparaciones de desempeño.
ME1
DESEMPEÑO DE monitoreo, así como con reporte • Valorar el desempeño comparándolo periódicamente
TI útiles, oportunos y precisos sobre el con las metas.
desempeño.
Este proceso se encuentra en el nivel • Realizar una auto-evaluación del control interno de la
de madurez 0, por cuanto, No se tiene administración de procesos, políticas y contratos de TI.
MONITOREAR Y procedimientos para monitorear la • Si es necesario, mediante revisiones de terceros
EVALUAR efectividad de los controles internos. asegurar la que se cumplan y efectivicen los controles
ME2
CONTROL internos.
INTERNO • Verificar que los proveedores externos cumplan con los
requerimientos legales y regulatorios y con las
obligaciones contractuales.
116
Este proceso se encuentra en el nivel • Tener muy en cuenta las leyes y reglamentos de la
GARANTIZAR EL de madurez 1 por cuanto, se siguen privacidad de la información, flujo de datos, reporte
ME3 CUMPLIMIENTO procesos informales para mantener el financieros, propiedad intelectual, etc.
REGULATORIO cumplimiento regulatorio. • Evaluar el cumplimiento de las políticas, estándares y
procedimientos de TI.
Este proceso se encuentra en el nivel • Asistir al entendimiento de las autoridades sobre
de madurez 0 por cuanto no existen temas estratégicos de TI tales como el rol de TI.
PROPORCIONAR
ME4 procesos de gobierno de TI. • Certificar la optimización de la inversión, uso y
GOBIERNO DE TI
asignación de los activos de TI mediante evaluaciones
periódicas.
117
INFORME EJECUTIVO
En el Informe Ejecutivo se detalla los resultados de la evaluación a cada uno de los

procesos que recomienda COBIT siendo evaluado en la Gestión Tecnológica de la
Municipalidad de la Concordia.
Dichos criterios de información se encuentran expresados en los siguientes

gráficos.
Criterio: Efectividad
Efectividad
53,04% 46,96%
Déficit
Ilustración 24: Criterio efectividad

La efectividad consiste en que la información relevante sea entregada de forma

oportuna, correcta, consistente y utilizable, este criterio tiene un promedio del
46,96%.
Criterio: Eficiencia
Eficiencia
50,14% 49,86%
Déficit
Ilustración 25 Criterio eficiencia

118
La eficiencia consiste en que la información debe ser generada optimizando los
recursos, este criterio tiene un promedio del 49,86%.
Criterio: Confidencialidad
Confidencialidad
38,85%
Déficit
61,15%
Ilustración 26 Criterio confidencialidad

La confidencialidad consiste en que la información vital sea protegida contra la

revelación no autorizada, este criterio tiene un promedio del 38,85%.
Criterio: Integridad
37,08% Integridad
62,92% Déficit
Ilustración 27 Criterio integridad

La integridad consiste en que la información debe ser precisa, completa y valida,

este criterio tiene un promedio del 37,08%.
119
Criterio: Disponibilidad
Disponibilidad
34,35%
Déficit
65,65%
Ilustración 28 Criterio disponibilidad

La disponibilidad consiste en que la información esté disponible cuando ésta sea

requerida por parte de las áreas de la institución en cualquier momento, este criterio
tiene un promedio del 34,35%.
Criterio: Cumplimiento
Cumplimiento
50,89% 49,11% Déficit
Ilustración 29: Criterio cumplimiento

El cumplimiento consiste en que se debe respetar las leyes, reglamentos y

acuerdos contractuales a los que está sujeta el proceso de la institución, como
políticas internas, este criterio tiene un promedio del 49,11%.
120
Criterio: Confiabilidad
Confidencialidad
46,67% Déficit
53,33%
Ilustración 30 Criterio Confiabilidad

La confiabilidad consiste en que se debe respetar proporcionar la información

apropiada, con el fin de que las Autoridades administre la entidad, este criterio tiene
un promedio del 53,33%.
PRESUPUESTO DE LA AUDITORÍA
Tabla 42
Presupuesto de la auditoría
ACTIVIDAD RECURSOS PERSONAL VALOR
VISITA Papeles Auditor $1.550,00

PRELIMINAR Lápices Informático
 Elaboración de Plumas 3 ayudantes
los Cámara
cuestionarios.
 Recopilación de
la información
organizacional Grabadora Auditor $5.500,00
Filmadora Informático
DESARROLLO DE Lápiz 6 ayudantes
LA AUDITORIA Pluma
 Aplicación de Formularios
encuestas, Computador
empleados y
Impresora
autoridades.
 Entrevistas a
autoridades
121
 Evaluación de
los equipos
informáticos
 Evaluación de
seguridad de
los datos,
control de
operación,
seguridad física
y
procedimientos
de respaldos. Cámara Auditor
Lápiz Informático $800,00
REVISION Y PRE-
Pluma 2 ayudantes
INFORME
Papeles
 Revisión de los
Computador
papeles de
trabajo.
 Determinación
del Diagnostico
e Implicancias.
 Elaboración del
Borrador.
Proyector Auditor $550,00
INFORME Computador Informático
 Elaboración y Digitador
presentación
del Informe.
TOTAL GENERAL  $8.400,00
122
Una vez realizada y analizada la auditoria se puede concluir lo siguiente:
 Existe una vista general equivocada de los equipos informáticos con que
cuenta la institución, es decir una cosa es lo que se tiene en inventario como
equipo en buen estado, y otra es la realidad que se pudo palpar en las visitas
que se realizaron a las diferentes facultades.
 El COBIT es una herramienta muy importante para la realización, ejecución y

análisis de la auditoria informática apoyándose en los 4 dominios y
clasificados cada uno de ellos en sus procesos, los cuales están claramente
clasificados y se apegan a la realidad de cada organización.
 Hubieron contratiempos en la recolección de la información ya que los

funcionarios en ciertas instancias no colaboraron con la entrega de la misma,
es por eso que se tuvo que recurrir a ciertas observaciones y entrevistas a los
funcionarios, y en algunos casos no se la obtuvo, pero se pudo concluir con
el trabajo de buena manera.
 Todos los síntomas planteados en el inicio del trabajo, fueron comprobados

de que se tenían esas falencias, aunque para los funcionarios de la unidad
informática todo estaba correcto y los procesos iban sobre ruedas.
 Se logró detectar aunque no estaba dentro de los síntomas que no se contaba

con un plan estratégico, que todo se manejaba bajos ciertos parámetros de
la unidad de informática, es decir solo por experiencia.
 La protección física de los equipos corresponde a quienes en un principio se

les asigna, y corresponde notificar los movimientos en caso de que existan, a
las autoridades correspondientes (departamento de Cómputo, departamento
de Inventario y otros de competencia).
123
 No existen detectores de humo en las instalaciones donde se encuentren los
equipos informáticos.
 Hacer uso de software libre, en toda la Institución, y utilizar software aplicativo

con licenciamiento.
 El área de la unidad de cómputo es muy limitado y sin las seguridades fiscas

pertinentes.
 No se tienen extintores de bióxido de carbono especiales para este tipo de

departamentos.
CONCLUSIONES Y RECOMENDACIONES
CONCLUSIONES
 La Unidad de Informática está adscrita a la Alcaldía, lo que hasta cierto punto
limita su accionar, además dicha unidad no cuenta con reglamentos claros,
documentación de los sistemas que realiza, ni del control de mantenimiento,
y desconoce donde exactamente están ubicados los equipos informáticos, ni
al custodio, así como no poseer un inventario de software.
 La unidad de informática está en un sitio muy pequeño y desorganizado,

como lo demuestra la foto incluida en el anexo, lo que es un inconveniente
para su accionar.
 Este trabajo ha dado un conjunto de directrices las cuales pueden ayudar a

organizar las TI con la institución, en otras palabras identificar riesgos,
gestionar recursos y medir el desempeño, así como el nivel de madurez de
cada uno de los procesos de la Gestión Tecnológica.
 Las autoridades y usuarios son los beneficiados con el desarrollo de la

metodología COBIT, ya que este marco de referencia ayuda a entender sus
sistemas de TI, de igual forma decidir el nivel de seguridad y control para
124
proteger los activos (información, hardware, software, etc.) de la Institución
mediante un modelo de desarrollo de gobernación de TI.
 Gracias al marco de referencia COBIT, se ha logrado evaluar y diagnosticar

los procesos de TI en la Institución. También se ha diagnosticado cada uno
de los criterios de la información, los cuales son efectividad, eficiencia,
confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.
125
RECOMENDACIONES
 Tener muy presente los procesos que se encuentran con el nivel de madurez
de 0 y 1, que son los de factor crítico.
 Todo el equipo de cómputo (computadoras, estaciones de trabajo, servidores,

y equipo accesorio), que esté o sea conectado a la red de la Institución, o
aquel que en forma autónoma se tenga y que sea propiedad de la misma debe
de sujetarse a las normas y procedimientos de instalación que emite la unidad
de cómputo.
 Realizar evaluaciones periódicas con el fin de medir el avance de cada uno

de los procesos estudiados en este trabajo.
 El equipo de la institución que sea de propósito específico y tenga una misión

crítica asignada, requiere estar ubicado en un área que cumpla con los
requerimientos de: seguridad física, las condiciones ambientales, la
Alimentación eléctrica y la normatividad para el acceso de equipos que el
Centro de Cómputo implante.
 Los funcionarios de la Unidad de Cómputo debe dar cabal cumplimiento con

las normas de instalación, y notificaciones correspondientes de actualización,
reubicación, reasignación, y todo aquello que implique movimientos en su
ubicación, de adjudicación, sistema y misión.
126
BIBLIOGRAFÍA
 BERNAL, C. (2010). METODOLOGÍA DE LA INVESTIGACIÓN (3ra Ed. ed.).

Colombia: Pearson Educación.
 CAMPO, R. (2012). Manual práctico de auditoria interna. Buenos Aires:
Consejo profesional de Ciencias Económicas de la Ciudad Autónoma de
Buenos Aires.
 CARRIÓN Toro Mayra del Cisne, CORONADO Cabezas Luz Margarita,
“Auditoría de la Gestión de las TIC’S para La empresa DIPAC utilizando
COBIT”, (208), Escuela Politécnica Nacional, Quito – Ecuador.
 CASTELLO Ricardo J., (2006), “Auditoría en entornos informáticos”,
Segunda Edición
 CORONEL Castro Karolay Michell, (2012), “Auditoría Informática orientada
a los procesos críticos de crédito generados en la Cooperativa de Ahorro y
Crédito ‘Fortuna’ aplicando el marco de trabajo COBIT”, Universidad Técnica
Particular de Loja, Loja – Ecuador
 DEL CID, A. (2011). Investigación fundamentos y metodología. México:
Pearson Educación
 ECHENIQUE García José Antonio (2011), “Auditoría en Informática”
 GÓMEZ, Á. (2013). Auditoría de seguridad informática (Primera Edición ed.).
Bogotá, Colombia: Ediciones de la U.
 GOMEZ, C. (2012). La investigación Científica en Preguntas y Respuestas.
Ambato: Empresdane. González, M., & Cordero, M. (2007). Diseño de
Páginas Web. España: MC Graw Gill, primera edición.
 GRANADOS Pemberty Elizabeth, (2012), “Auditoría Informática: Conceptos
Básicos”
 GUEVARA Plaza y PEÑA Ramos Eloy, “Auditoría Informática: Normas y
Documentación”
 HORACIO Quinn Eduardo, (2008), “La Auditoria informática dentro de las
etapas de Análisis de Sistemas Administrativos”,
http://www.monografias.com/trabajos5/audi/audi.shtml#inter.
 Ingeniería en Informática, Universidad de Alicante, (2010), “Auditoría y
Evaluación de Sistemas”
 INSTITUTO MEXICANO DE CONTADORES PÚBLICOS. (2013). Modelos
de dictámenes y otras opiniones e informes del auditor. México: INSTITUTO
MEXICANO DE CONTADORES PUBLICOS.
 MELO Cazar, Mónica Elizabeth, (2005), “Auditoría Informática realizada a la
Compañía Autotrack Cía. Ltda.”, pág. 11.
 MERINO, C. (2014). AUDITORIA DE SISTEMAS DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN. Madrid: FC Editorial
 MUNCH, L. y. (2009). Métodos y Técnicas de Investigación. México: Trillas.
 MUÑOZ, C. (2002). Auditoría en sistemas computacionales. México:
Pearson.
 NARANJO, A. (2006). AUDITORÍA DE SISTEMAS. Obtenido de
www.monografias.com, Guayaquil - Ecuador
 PARDO, C. (2008). Los sistemas y las auditorías de gestión Integral. Bogotá:
UNIVERSIDAD DE LA SALLE.
 PELAZAS, M. (2015). Planificación de la Auditoría. Madrid: Paraninfo.
 PIATTINI, M. (2008). Auditoría de Tecnologías y sistemas de Información.
Madrid: Ra-Ma
 QUEZADA, N. (2010). Metodología de la Investigación. Lima: Macro
 RAMÍREZ Huamán, ANGELLO Luis, “Proyecto de Auditoría Informática en
la Organización DATA CENTER E.I.R.L aplicando la Metodología COBIT
4.1”, Universidad Nacional ‘Santiago Antúnez de Mayolo’”, (2011), Escuela
Profesional de Ingeniería de Sistemas e Informática”, Huaraz – Ancash -
Perú
 RAMÍREZ R., Guadalupe y ÁLVAREZ D., Ezzard, “Auditoría a la Gestión de
las Tecnologías y Sistemas de Información”
 RODRIGUEZ, J. (02 de 2005). GestioPolis. Obtenido de Comercio
Electronico.Aspecto clave:
http://www.gestiopolis.com/Canales4/ger/comelectro.htm
 SALAZAR, H. (22 de 10 de 2010). SlideShare. Recuperado el 09 de 10 de
2014, de SlideShare: http:slideshare.net/HernanSalazar/investigacin-
bibliografica-2463165
 SEVILLA, J. (2012). AUDITORIA DE LOS SISTEMAS INTEGRADOS DE
GESTIÓN. MADRID: FC EDITORIAL.
 Silberschatz, A., Korth, H., & Sudarshan. (2006). Fundamentos de Bases de
Datos. Espana: Mc Graw Hill, cuarta edición.
 SOBRINOS Sánchez, Roberto, (2000), “Planificación y Gestión de Sistemas
de Información”, Escuela Superior de Informática de Ciudad Real
Universidad de Castilla – La Mancha
 Universidad Autónoma del Estado de Hidalgo, (2011), “Auditoría
Informática”, México
 Universidad Regional Autónoma de los Andes UNIANDES. (2012). Manual
de Investigación (Primera Edición ed.). Ambato: Mendieta.
 VALLABHANENI, R.S. (2007): Information Systems Audit Process. Tercera
Edición
 http://www.iue.edu.co/documents/emp/entorTecnologicos.pdf, “Estrategias
Gerenciales: Gerencia para el emprendimiento, y gestión de Resultados,
Gestión tecnológica”
 http://es.scribd.com/doc/13735708/Gestion-Tecnologica-, República
Bolivariana de Venezuela Ministerio de Educación Superior Universidad
Nacional Experimental “Simón Rodríguez”, Cátedra: Gestión de Tecnología.
ANEXOS
.
Anexo 1: Encuesta realizada a los empleados Municipales:
Encuesta realizada a los empleados Municipales
Pregunta No 1. ¿Se conoce perfectamente el estado, la ubicación y el responsable

de cada equipo informático de la Municipalidad?
Si…… NO…… Parcialmente……
hardware y su funcionamiento?
Semestralmente… Anualmente…… Rara vez…… Nunca…
software y su funcionamiento?
Semestralmente… Anualmente…… Rara vez…… Nunca……
Pregunta No 4. ¿Cree usted que se hace un adecuado control del funcionamiento
de las tecnologías de información que apoyan el proceso operativo de la
Institución?
No se hace……. Si se hace……. Se hace parcialmente………….
Pregunta No 5. ¿Considera importante la realización de auditorías informáticas
para mejorar el control del funcionamiento de las tecnologías de información que
apoyan el proceso operativo de la Institución?
Muy importante…. Poco importante……. Nada importante……..
Pregunta No 6. ¿Está usted dispuesto a colaborar proveyendo información durante
la realización de estas auditorías?
Si…… No……. Parcialmente……..
Anexo 2: Encuesta realizada a los usuarios Municipales:
Encuesta realizada a los usuarios Municipales
Pregunta No 1. ¿Considera usted que el Municipio está fuertemente apoyado por

las tecnologías en su atención al usuario?
Si…. No…… Parcialmente……..
Pregunta No 2. ¿Durante sus visitas al Municipio, ha sufrido demoras en su
atención debido a daños en los equipos informáticos?
Nunca…. Rara vez…. A veces…. Frecuentemente…….
Pregunta No 3. ¿Cree usted que deben mejorase los equipos informáticos?
Pregunta No 4. ¿Se han incorporado nuevos servicios apoyados por la tecnología?
Algunos……. Muy pocos…….. Ninguno……..
Pregunta No 5. ¿Cree usted que el personal está plenamente capacitado para el
manejo de los equipos informáticos?
Pregunta No 6. ¿Cree usted que se debe mejorar toda la plataforma tecnológica
que dispone el Municipio para la atención a los usuarios?
Anexo 3: Carta de aprobación de Perfil
Anexo 4: Aprobación de Perfil de Tesis
Anexo 5: SOFTWARE PARA AUDITORIA INFORMATICA
SOFTWARE DE SEGUIMIENTO DE PROGRAMAS
VULNERABILIDAD DEL SITIO WEB

SEGURIDAD
AUDITORIA DE HARDWARE Y SOFTWARE

AUDITORIA DE HARDWARE Y SOFTWARE

Tusdmie013 2017

Cargado por

Copyright:

Formatos disponibles

Tusdmie013 2017

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tusdmie013 2017

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES

FACULTAD DE SISTEMAS MERCANTILES

PROGRAMA DE MAESTRÍA EN INFORMÁTICA EMPRESARIAL

PROYECTO DE INVESTIGACION PREVIO A LA OBTENCIÓN DEL GRADO

ACADÉMICO DE MAGISTER EN INFORMÁTICA EMPRESARIAL

”AUDITORÍA DE GESTIÓN INFORMÁTICA EN EL ÁREA DE LAS

AUTORA: ING. MEJÍA GUAQUEZ ANDREA GUADALUPE

ASESOR: DR. CAÑIZARES GALARZA FREDY PABLO, MGS.

Quien suscribe, legalmente CERTIFICA QUE: EL presente Trabajo de Titulación

Santo Domingo, julio de 2017

Yo, Andrea Guadalupe Mejía Guaquéz, estudiante del Programa de Maestría

Santo Domingo, julio de 2017

Yo, Andrea Guadalupe Mejía Guaquéz, declaro que conozco y acepto la

Santo Domingo, julio de 2017

Santo Domingo, octubre de 2017

Este trabajo investigativo va dedicado:

A mi esposo Ismael Ortega, por su gran paciencia y confianza durante mi vida

A toda mi familia, quienes han estado pendientes de mis logros y a la vez

A Jehová Dios por bendecirme grandemente en cada paso que doy

A la Universidad Regional Autónoma de los Andes UNIANDES por la oportunidad

A la Ing. Piedad Alarcón por su apoyo incondicional y sabios consejos, que me

Me gustaría agradecer sinceramente a mi asesor del proyecto de investigación,

También a Gardenia, amiga y compañera de trabajo que ha sabido motivarme

Este trabajo investigativo desarrolla una auditoría de gestión informática para

Para el desarrollo de la presente investigación, se utilizó el método analítico

A través de la auditoria de gestión informática se pudo verificar el

This research paper develops an information management audit to identify risks

Se ha realizado una investigación preliminar en la Biblioteca de la Universidad

A nivel nacional y específicamente en la Escuela Superior Politécnica del Ejército,

Es necesaria la realización periódica de un ejercicio práctico y formal de la auditoría

Planteamiento del Problema

A nivel mundial, se considera a la información como un activo tan o más

En el Ecuador, la tecnología es bastante escasa, la cual nos ha traído graves

El Gobierno Autónomo Descentralizado Municipal del Cantón la Concordia, es una

El Gobierno Autónomo Descentralizado Municipal del Cantón la Concordia fue

En varias visitas realizadas en el G.A.D. Municipal, se ha podido observar varias

 No existe un inventario completo y acertado de equipos informáticos por lo que

 El desconocimiento del estado actual de los equipos informáticos ha con llevado

 El procedimiento para realizar un requerimiento de material es mediante el

 No se han realizado auditorias informáticas de los recursos existentes para

 La falta de un manual de organización y funciones ha ocasionado que los

Formulación del problema

¿Cómo mejorar el control operacional de las tecnologías de la información en el

El presente trabajo de investigación se ha desarrollado en el GAD Municipal del

El presente trabajo de investigación está delimitado en el departamento de las

OBJETO DE INVESTIGACIÓN Y CAMPO DE ACCIÓN

Objeto de Estudio: Procesos informáticos

Campo de acción: Auditoría Informática

IDENTIFICACIÓN DE LA LÍNEA DE INVESTIGACIÓN

La línea de investigación en el presente trabajo investigativo es: Las Tecnologías

 Fundamentar científicamente los conceptos relacionados con Auditoría

 Planificar una Auditoría Informática basada en los conceptos y en la

 Validar la propuesta por expertos

Con la realización de una auditoría informática planificada en este trabajo

Variable Independiente: Auditoría de Gestión Informática

Variable Dependiente: Control Operacional de las Tecnologías de la Información

JUSTIFICACIÓN DEL TEMA

 También se sabrá con plenitud la ubicación de equipos y obviamente los

 En base a esta información se podrá planificar la adquisición de nuevas