Upload
duongnguyet
View
214
Download
0
Embed Size (px)
Citation preview
I N S T I T U T O P O L I T É C N I C O N A C I O N A L
UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS
SOCIALES Y ADMINISTRATIVAS
SECCIÓN DE ESTUDIOS DE POSGRADO E INVESTIGACIÓN
“AUTOMATIZACIÓN DEL PROCESO DE AUDITORÍA SOBRE EL
CONTROL INTERNO EN SECTORES PÚBLICOS Y PRIVADOS, BASADO
EN METODOLOGÍA COSO”
T E S I S
QUE PARA OBTENER EL GRADO DE
M A E S T RO E N C I E N C I A S E N I N F O R M Á T I C A
P R E S E N T A:
DIANA ARIZANDI VAZQUEZ ESPINDOLA
DIRECTORA DE TESIS:
DRA. ELIZABETH ACOSTA GONZAGA
CDMX, 2017.
INSTITUTO POLITÉCNICO NACIONAL
SECRETARÍA DE INVESTIGACIÓN Y POSGRADO
CARTA CESION DE DERECHOS
En la Ciudad de México el día 04 del mes de Noviembre del año 2017, la que suscribe
Diana Arizandi Vázquez Espindola, alumna del Programa de Maestría en Ciencias en
Informática con número de registro B150455 adscrito a la Sección de Estudios de
Posgrado e Investigación de la UPIICSA-IPN, manifiesta que es autora intelectual del
presente trabajo de Tesis bajo la dirección de la Dra. Elizabeth Acosta Gonzaga y cede
los derechos del trabajo intitulado AUTOMATIZACIÓN DEL PROCESO DE AUDITORÍA
SOBRE EL CONTROL INTERNO EN SECTORES PÚBLICOS Y PRIVADOS, BASADO EN
METODOLOGÍA COSO, al Instituto Politécnico Nacional para su difusión, con fines
académicos y de investigación.
Los usuarios de la información no deben reproducir el contenido textual, gráficas o
datos del trabajo sin el permiso expreso del autor y/o director del trabajo. Este puede ser
obtenido escribiendo a la siguiente dirección [email protected]. Si el permiso se
otorga, el usuario deberá dar el agradecimiento correspondiente y citar la fuente del
mismo.
Agradecimientos
José:
Te agradezco todo el apoyo que me brindaste a lo largo de este proyecto, por caminar conmigo de la
mano, por ser mí amigo, mi guía, mi mentor, mi compañero para toda la vida, por tu amor
incondicional, por tu comprensión, paciencia y sobre todo…por quererme tal y como soy.
Aun nos faltan muchos retos más por enfrentar, pero contigo a mi lado serán mucho más fáciles.
Ashley:
Por ser mi más grande motor en esta vida, porque sin ti no tendría la fuerza y felicidad que se necesita
para enfrentar los retos del día a día.
Te agradezco todas las muestras de amor, comprensión y paciencia que me tuviste a lo largo de este
proyecto.
Te amo hija, siempre serás mi fuente de inspiración.
Vicky y Mario:
Por amarme y formarme como una persona de bien, por brindarme la educación que me dieron y
enseñarme que todo se consigue a base de esfuerzos, responsabilidad, disciplina y continuidad, por
enseñarme que todo lo que uno comienza, se debe terminar.
Los amo padres.
Maritza y José Luis:
Por quererme y cuidar de los míos en todo momento, por su apoyo incondicional a lo largo de este reto,
porque son el mejor ejemplo de pareja a seguir.
Muchas gracias por su amor, paciencia y ayuda.
Los amo suegros
RESUMEN
El objetivo que busca el siguiente trabajo de tesis, es plasmar la importancia de la
automatización de los procesos de auditorías enfocados a los controles internos, en
sectores tanto públicos como privados, lo cual ayudará a las organizaciones o
instituciones con el cumplimiento de sus normativas.
Como bien sabemos, hoy en día cuando nos enfrentamos a un proceso de auditoría,
inmediatamente nos viene a la cabeza la idea de actividades tediosas y excesivas en
tiempo, salidas tarde de la oficina y recolección de información por todos lados.
Lo anterior refleja muchas áreas de oportunidad que debemos considerar, lo cual con
la presente propuesta se intenta atacar y mitigar utilizando herramientas tecnológicas,
es decir, se tiene plasmada la idea de utilizar un sistema web que permita mejorar los
procesos manuales con los que se están llevando a cabo dichas auditorias hoy en día.
Dentro del segundo capítulo se identificaran las características y bondades que brinda
la solución propuesta, es decir, se explica cómo es que a través de diez grandes
módulos, se puede eficientar la ejecución de las auditorias dentro de una aplicación,
pensada para cualquier organización. Se reflejará la razón de ser de cada módulo,
contemplando en todo momento el flujo completo que lleva a cabo el área de
auditoria.
El tercer capítulo contiene la metodología de gestión de proyectos que se puso en
marcha para monitorear y controlar la implementación satisfactoria del aplicativo. Es
aquí donde se presentan tanto las evidencias de cada uno de los desarrollos solicitados,
así como las evidencias de las pruebas de aceptación por parte de los usuarios
funcionales.
Llegando al cuarto capítulo, se identificaran los resultados de cumplimiento, es decir, se
verá la comparativa entre el requerimiento solicitado inicialmente y el aplicativo
entregado.
Los principales beneficios considerados a lo largo de este proyecto fueron: reducción
de tiempos en la elaboración, aplicación, distribución y procesamiento de
evaluaciones, toma de decisiones oportuna, contar con información centralizada y la
más importante, garantizar la aplicación de las normas en la organización, esto último
con fines de evitar corrupción y malos hábitos dentro de las entidades.
ABSTRACT
The objective of the following thesis work is to capture the importance of automating
auditing processes focused on internal controls, in both public and private sectors, which
will help organizations or institutions comply with their regulations.
As we know, today when we are faced with an audit process, the idea of tedious and
excessive activities in time, late departures from the office and information gathering
everywhere comes to mind.
This reflects many areas of opportunity that we must consider, which with the present
proposal is intended to attack and mitigate using technological tools, that is, the idea of
using a web system that allows improving the manual processes with which they are
carrying out these audits today.
The second chapter will identify the characteristics and benefits offered by the proposed
solution, that is, explain how it is that through eight large modules, the execution of audits
can be made efficient within an application, designed for any organization. The reason
of being of each module will be reflected, contemplating at all times the complete flow
carried out by the audit area.
The third chapter contains the project management methodology that was put in place
to monitor and control the successful implementation of the application. This is where
both the evidences of each of the requested developments are presented, as well as
the evidences of the acceptance tests by the functional users.
Arriving at the fourth chapter, the results of compliance will be identified, that is, the
comparison between the initially requested requirement and the delivered application
will be seen.
The main benefits considered throughout this project were: reduction of time in the
preparation, application, distribution and processing of evaluations, timely decision
making, having centralized information and most importantly, ensuring the application
of the rules in the organization , the latter with the purpose of avoiding corruption and
bad habits within the entities
INDICE GENERAL
GLOSARIO .......................................................................................................................................... 1
TABLAS ................................................................................................................................................ 3
ILUSTRACIONES ................................................................................................................................. 4
INTRODUCCION ................................................................................................................................ 8
Capítulo 1: Metodología COSO: auditoría en el control interno ............................................ 19
1.1 Auditoria......................................................................................................................................... 19
1.1.1 Definición ...........................................................................................................................................................19
1.1.2 Tipos .....................................................................................................................................................................20
1.1.3 Importancia .......................................................................................................................................................21
1.1.4 Auditoria de control interno .........................................................................................................................22
1.1.4.1 Definición .......................................................................................................................................................22
1.1.4.2 Planeación ....................................................................................................................................................23
1.1.4.3 Pruebas de los controles ...........................................................................................................................24
1.2 El control Interno .......................................................................................................................... 24
1.2.1 Definición ...........................................................................................................................................................24
1.2.2 Objetivos ............................................................................................................................................................25
1.2.3 Limitaciones .......................................................................................................................................................26
1.3 El sistema de control interno y su importancia en la auditoria ........................................... 27
1.3.1 Controles relevantes para la auditoria ......................................................................................................27
1.3.2 Efecto de la tecnología de información en el Control Interno ..........................................................27
1.4 Metodología COSO ...................................................................................................................... 27
1.4.1 Antecedentes ...................................................................................................................................................28
1.4.2 Definición ...........................................................................................................................................................28
1.4.3 Componentes ...................................................................................................................................................29
1.4.4 La auditoría del Control Interno basado en COSO ...............................................................................32
Capítulo 2: Problemática Identificada y Alternativa de Solución ......................................... 34
2.1 Especificación detallada del proceso actual (“AS IS”) .......................................................... 34
2.2 Diagrama “AS IS” .......................................................................................................................... 38
2.3 Establecimiento del Diagnostico identificado ......................................................................... 39
2.4 Análisis e identificación detallada de la solución (“TO BE”) a implementar ...................... 40
Capítulo 3: Administración y seguimiento de la Solución Identificada ................................ 44
3.1 Viabilidad del proyecto y aprobación ..................................................................................... 46
3.1.1 Caso de Negocio ............................................................................................................................................46
3.2 Preparación del proyecto ........................................................................................................... 47
3.3 Plan de Negocios ......................................................................................................................... 49
3.3.1 Especificación detallada del requerimiento ...........................................................................................52
3.4 Diseño de la Solución .................................................................................................................. 53
3.5 Construcción de la Solución ....................................................................................................... 56
3.6 Ejecución de Pruebas .................................................................................................................. 85
3.7 Preparaciones Finales ................................................................................................................ 129
3.8 Implementación ......................................................................................................................... 130
3.9 Cierre del proyecto .................................................................................................................... 130
Capítulo 4: Resultados Obtenidos .............................................................................................. 134
4.1 Comparativo de Requerimiento Inicial contra Solución entregada ....................................... 134
Conclusiones ................................................................................................................................. 138
ANEXO 1 Project Tailoring Matrix ................................................................................................ 144
ANEXO 2 Business Case Document ........................................................................................... 148
ANEXO 3 Project Charter ............................................................................................................. 161
ANEXO 4 Requirements Specifications ...................................................................................... 195
ANEXO 5 Test Cases...................................................................................................................... 222
ANEXO 6 Design Document ........................................................................................................ 228
ANEXO 7 Source Files ................................................................................................................... 270
ANEXO 8 Support Approval Document ..................................................................................... 272
1
GLOSARIO
Informática: Es la ciencia que estudia la forma automatizada en que se recopila,
procesa, genera y divulga la información.
COSO: Committee of Sponsoring Organizations of the Treadway Commission (COSO):
iniciativa de 5 organismos para la mejora de control interno dentro de las
organizaciones.
Componentes: Elementos que, a través de algún tipo de asociación o contigüidad,
dan lugar a un conjunto uniforme.
Principio: Es un valor que dirige el accionar de un sujeto de acuerdo a aquello que
dicta su conciencia. Está vinculado a la libertad individual, ya que un principio es fijado
sin una obligación que llega del exterior aunque es influido por la sociedad.
Punto de Enfoque: Conducir la atención hacia un tema, cuestión o problema desde
unos supuestos desarrollados con anticipación a fin de resolverlo de modo acertado.
End to end: Proceso de inicio a fin.
AS IS: Proceso que se lleva a cabo en la actualidad.
To Be: Proceso que sustituirá al actual.
Aplicación: Software que realiza un función particular para el usuario o para una
empresa. Utiliza una computadora para llevar a cabo tareas, también se le conoce
como programa o software de aplicación.
Aplicación Web: Las aplicaciones web reciben este nombre porque se ejecutan en
el internet. Es decir que los datos o los archivos en los que trabajas son procesados y
almacenados dentro de la web. Estas aplicaciones, por lo general, no necesitan ser
instaladas en tu computador.
Desarrollo web: Es un término que define la creación de sitios web para Internet o
una intranet. Para conseguirlo se hace uso de tecnologías de software del lado del
servidor y del cliente que involucran una combinación de procesos de base de
datos con el uso de un navegador web a fin de realizar determinadas tareas o mostrar
información.
2
Base de Datos: Es una colección compartida de datos lógicamente relacionados, junto
con una descripción de estos datos, que están diseñados para satisfacer las
necesidades de información de una organización.
Archivos Fuente: Es el código tal y como lo escribe el programador, es aquel que puede
leer e interpretar sin la necesidad de una computadora.
Matriz de pruebas: Representa cada uno de los procesos o sub-procesos con los que el
usuario final desea validar el funcionamiento del nuevo aplicativo.
Ponderación: Es el peso o la relevancia que tiene algo.
Control Interno: Es el conjunto de métodos y medidas adoptadas dentro de una entidad
a fin de salvaguardar sus recursos, verificar la veracidad de su información financiera y
administrativa, así como promover la eficiencia en las operaciones, estimular la
observación de las políticas prescritas y lograr el cumplimiento de las metas y objetivos
programados dentro de las organizaciones o instituciones.
3
TABLAS
Tabla 1. Plan de Rollback ____________________________________________________________________________ 129
Tabla 2. Plan de implementación (CutOver) __________________________________________________________ 129
Tabla 3. Lessons Learned/Best Practices ______________________________________________________________ 132
Tabla 4. Comparativo de Requerimiento Inicial contra Solución entregada ____________________________ 137
Tabla 5. Anexo 2 / Costos Financieros ________________________________________________________________ 156
Tabla 6. Anexo 2 / Gastos de Operación _____________________________________________________________ 157
Tabla 7. Anexo 3 / Milestones ________________________________________________________________________ 178
Tabla 8. Anexo 3 / Stakeholders ______________________________________________________________________ 183
Tabla 9. Anexo 3 / Involucrados _____________________________________________________________________ 187
Tabla 10. Anexo 3 / Presupuesto _____________________________________________________________________ 189
Tabla 11. Anexo 4 / FODA vs NIVEL DE RIESGO. ________________________________________________________ 210
Tabla 12. Anexo 4 / Permisos SuperUsuario ___________________________________________________________ 214
Tabla 13.Anexo 4 / Permisos Administrador ___________________________________________________________ 215
Tabla 14. Anexo 4 / Permisos Encuestador ____________________________________________________________ 216
Tabla 15. Anexo 4 / Permisos Encuestado _____________________________________________________________ 217
Tabla 16. Anexo 5 / Matriz de Casos de Pruebas ______________________________________________________ 227
Tabla 17. Anexo 6 / Presupuesto _____________________________________________________________________ 232
Tabla 18. Anexo 6 / Permisos SuperUsuario ___________________________________________________________ 262
Tabla 19. Anexo 6 / Permisos Administrador __________________________________________________________ 262
Tabla 20. Anexo 6 / Permisos Encuestador ____________________________________________________________ 262
Tabla 21. Anexo 6 / Permisos Encuestado _____________________________________________________________ 262
Tabla 22 Anexo 6 / Descripción de Tablas ____________________________________________________________ 262
Tabla 23. Anexo 6 / Tabla: Components _____________________________________________________________ 262
Tabla 24. Anexo 6 / Tabla: Principles _________________________________________________________________ 262
Tabla 25. Tabla 24. Anexo 6 / Tabla: Focus Points _____________________________________________________ 262
Tabla 26. Anexo 6 / Tabla: AditionalQuestions ________________________________________________________ 262
Tabla 27. Anexo 6 / Tabla: QuestionaryType __________________________________________________________ 262
Tabla 28. Anexo 6 / Tabla: RiskLevelVal _______________________________________________________________ 262
Tabla 29. Anexo 6 / Tabla: QuestionaryHdr ___________________________________________________________ 262
Tabla 30. Anexo 6 / Tabla: Custom_Cat _______________________________________________________________ 262
Tabla 31. Anexo / 6 Tabla: Countries _________________________________________________________________ 262
Tabla 32. Anexo 6 / Tabla: Entities ____________________________________________________________________ 262
Tabla 33. Anexo 6 / Tabla: Towns _____________________________________________________________________ 262
Tabla 34. Anexo 6 / Tabla: GeneralDataQuests _______________________________________________________ 262
Tabla 35. Anexo 6 / Tabla: AspNetUsers _______________________________________________________________ 262
Tabla 36. Anexo 6 / Tabla:UserFiles ___________________________________________________________________ 262
Tabla 37. anexo 6 / Tabla:Organizations ______________________________________________________________ 262
Tabla 38. anexo 6 / Tabla: OrganizationFiles __________________________________________________________ 262
4
Tabla 39. Anexo 6 / Tabla: AspNetUserRoles __________________________________________________________ 262
Tabla 40. Anexo 6 / Tabla: SentMails __________________________________________________________________ 262
Tabla 41. anexo 6 / Tabla: Menus ____________________________________________________________________ 262
Tabla 42. Anexo 6 / Tabla: Permits ____________________________________________________________________ 262
Tabla 43. Anexo 6 / Tabla: AspNetRoles ______________________________________________________________ 262
Tabla 44. Anexo 6 / Tabla: Questionary _______________________________________________________________ 262
Tabla 45. Anexo 6 / Tabla: QuestionaryAnswer ________________________________________________________ 262
Tabla 46. Anexo 6 / Tabla: QuestionaryResponse _____________________________________________________ 262
Tabla 47. Anexo 6 / Tabla: QuestionaryResponseHdr __________________________________________________ 262
Tabla 48. anexo 6 / Tabla: OrganizationApplicationUsers ______________________________________________ 262
ILUSTRACIONES
Ilustración 1 AS IS _____________________________________________________________________________________ 38
Ilustración 2. Módulos “To Be” _________________________________________________________________________ 42
Ilustración 3. Fases de la Metodología _________________________________________________________________ 45
Ilustración 4. Entregables por fase _____________________________________________________________________ 45
Ilustración 5. . Módulos VS Solución Detalla. ___________________________________________________________ 55
Ilustración 6. Pantalla de Inicio ________________________________________________________________________ 56
Ilustración 7. Menú General ___________________________________________________________________________ 57
Ilustración 8. Módulo de Usuario ______________________________________________________________________ 57
Ilustración 9. Evidencia de la creación del módulo de registro de usuarios ______________________________ 58
Ilustración 10. Evidencia de la creación del módulo de consulta de usuarios ___________________________ 59
Ilustración 11. Evidencia de la pantalla donde se visualiza el “Detalle de Usuario” ______________________ 60
Ilustración 12. Evidencia de la creación de la pantalla “Editar Usuario” _________________________________ 61
Ilustración 13. Evidencia de la creación de la pantalla “Bloquear Usuario” ______________________________ 61
Ilustración 14. Evidencia de la creación de la pantalla “Resetear Password” ____________________________ 62
Ilustración 15. Módulo de Organizaciones _____________________________________________________________ 63
Ilustración 16. Pantalla “Administración de Organizaciones” ___________________________________________ 63
Ilustración 17. Pantalla “Crear Organizaciones” ________________________________________________________ 64
Ilustración 18. Evidencia de la pantalla donde se visualiza el “Detalle de la Organización” ______________ 64
Ilustración 19. Evidencia de la pantalla donde se podrá “Editar la Organización” _______________________ 64
Ilustración 20. Evidencia de la pantalla donde se podrá “Eliminar la Organización” _____________________ 65
Ilustración 21. Módulo de Cuestionarios _______________________________________________________________ 66
Ilustración 22. Creación de cuestionarios Nuevos ______________________________________________________ 66
Ilustración 23. Pantalla “Consultar Cuestionario” _______________________________________________________ 67
Ilustración 24. Evidencia de la creación de la pantalla “Consultar Cuestionario> Actualizar” ____________ 67
Ilustración 25.Evidencia de la creación de la pantalla “Consultar Cuestionario> Detalle” ________________ 68
Ilustración 26. Evidencia de la creación de la pantalla “Consultar Cuestionario> Eliminar” ______________ 68
Ilustración 27. Adicionar Preguntas Específicas ________________________________________________________ 69
Ilustración 28. Agregar preguntas específicas a los cuestionarios _______________________________________ 71
Ilustración 29. Validar Puntajes Totales _________________________________________________________________ 72
Ilustración 30. Consultar Planilla Cuestionarios _________________________________________________________ 73
Ilustración 31. Desarrollo Pantalla Enviar Cuestionarios _________________________________________________ 74
5
Ilustración 32. Desarrollo Pantalla Responder Cuestionarios ____________________________________________ 75
Ilustración 33. Menú “Datos Generales” _______________________________________________________________ 76
Ilustración 34. Desarrollo de Pantalla de Captura de Datos Generales. __________________________________ 76
Ilustración 35. Pantalla Consulta de Datos Generales __________________________________________________ 77
Ilustración 36. Menú Módulo de Reporte de notificaciones _____________________________________________ 78
Ilustración 37. Monitoreo de Respuestas deficientes ____________________________________________________ 79
Ilustración 38. Menú Módulo de Indicadores ___________________________________________________________ 80
Ilustración 39. Indicador FODA ________________________________________________________________________ 81
Ilustración 40. Indicador FODA ver2 ___________________________________________________________________ 82
Ilustración 41. Indicador HeatMap_____________________________________________________________________ 83
Ilustración 42. Indicador HeatMap ver2 ________________________________________________________________ 83
Ilustración 43. Indicador Pastel 2 ______________________________________________________________________ 84
Ilustración 44. Indicador Pastel ________________________________________________________________________ 84
Ilustración 45. Indicador CUBO ________________________________________________________________________ 84
Ilustración 46. Indicador CUBO ver2 ___________________________________________________________________ 84
Ilustración 47. Evidencias de Pruebas sobre la Creación de una organización __________________________ 85
Ilustración 48. Evidencias de Pruebas sobre la Creación de una organización / Llenado de Formulario __ 86
Ilustración 49. Evidencias de Pruebas sobre la Creación de una organización / Resultados 1 ____________ 87
Ilustración 50. Evidencias de Pruebas sobre la Creación de una organización / Resultados 2 ____________ 87
Ilustración 51. Evidencias de Pruebas sobre Editar una organización ___________________________________ 88
Ilustración 52. Evidencia de Prueba sobre Registrar el alta de tres usuarios nuevos ______________________ 89
Ilustración 53. Evidencia de Prueba sobre Registrar el alta de tres usuarios nuevos / Consulta ___________ 89
Ilustración 54. Evidencia de prueba sobre el acceso con usuario no activado. __________________________ 90
Ilustración 55. Evidencia de prueba sobre el acceso con usuario no activado / Resultados _____________ 91
Ilustración 56. Evidencias de Prueba sobre la activación de usuarios. ___________________________________ 92
Ilustración 57. Evidencias de Prueba sobre la activación de usuarios / Resultados 1 _____________________ 92
Ilustración 58.Evidencias de Prueba sobre la activación de usuarios/ Resultados 2 ______________________ 93
Ilustración 59. Evidencias de Prueba sobre la activación de usuarios / Resultados 3 _____________________ 94
Ilustración 60. Evidencias de Pruebas sobre editar información de usuario previamente registrado. ______ 94
Ilustración 61. Evidencias de Pruebas sobre Bloqueo de usuario _______________________________________ 95
Ilustración 62. Evidencias de Pruebas sobre Bloqueo de usuario / Validación 1 _________________________ 95
Ilustración 63. Evidencias de Pruebas sobre Bloqueo de usuario / Validación 2 _________________________ 96
Ilustración 64. Evidencia de Pruebas sobre Creación de roles __________________________________________ 96
Ilustración 65. Evidencia de Pruebas sobre Creación de roles / Resultado 1 _____________________________ 97
Ilustración 66. Evidencia de pruebas sobre modificación de roles. ______________________________________ 98
Ilustración 67. . Evidencia de pruebas sobre modificación de roles / Resultados ________________________ 98
Ilustración 68. Evidencia de Pruebas sobre Crear cuestionario Nuevo. __________________________________ 99
Ilustración 69. Evidencia de Pruebas sobre Crear cuestionario Nuevo. / Resultados _____________________ 99
Ilustración 70. Evidencia de pruebas sobre: Asignar preguntas Adicionales a un cuestionario existente _ 101
Ilustración 71. Evidencia de pruebas sobre: Asignar preguntas Adicionales a un cuestionario existente /
validación 1 _________________________________________________________________________________________ 102
Ilustración 72. Evidencia de pruebas sobre: Asignar preguntas Adicionales a un cuestionario existente /
validación 2 _________________________________________________________________________________________ 102
Ilustración 73. Evidencia de pruebas sobre: Editar Cuestionario previamente creado. __________________ 103
Ilustración 74. . Evidencia de pruebas sobre: Editar Cuestionario previamente creado / Resultados 1 ___ 103
Ilustración 75. . Evidencia de pruebas sobre: Editar Cuestionario previamente creado. / Resultados 2 ___ 104
6
Ilustración 76. Evidencias de pruebas sobre: Consultar Cuestionario previamente creado ______________ 104
Ilustración 77. Evidencias de pruebas sobre: Consultar puntajes totales ________________________________ 105
Ilustración 78. Evidencias de Pruebas sobre: Consultar la estructura del cuestionario previamente creado
_____________________________________________________________________________________________________ 106
Ilustración 79. Evidencias de Pruebas sobre la distribución de cuestionarios, previamente creados. ____ 107
Ilustración 80. Evidencias de Pruebas sobre la distribución de cuestionarios, previamente creados /
Creación del cuerpo del correo. _____________________________________________________________________ 108
Ilustración 81. Evidencias de Pruebas sobre la distribución de cuestionarios, previamente creados /
Validación del envío. ________________________________________________________________________________ 108
Ilustración 82. Evidencia de pruebas sobre: Validación de Regla de llenado de datos previo a la respuesta
de cuestionarios. ____________________________________________________________________________________ 109
Ilustración 83. Evidencia de pruebas sobre: Validación de no acceso a evaluaciones, sin distribución
previa. ______________________________________________________________________________________________ 110
Ilustración 84. Evidencia de pruebas sobre: Validación de acceso a evaluaciones, con distribución
previa. ______________________________________________________________________________________________ 110
Ilustración 85. Evidencia de pruebas sobre: Validación de Regla de llenado de datos previo a la respuesta
de cuestionarios/ sin alerta. __________________________________________________________________________ 111
Ilustración 86. Evidencia de pruebas sobre: Captura de respuestas correspondientes. _________________ 112
Ilustración 87. Evidencias de pruebas sobre: validación de anexo de evidencias por pregunta ________ 113
Ilustración 88. Evidencias de pruebas sobre: Validar la información de Literatura y Nivel de Riesgo por
pregunta. ___________________________________________________________________________________________ 114
Ilustración 89. Evidencias de pruebas sobre: Validar la información de Literatura y Nivel de Riesgo por
pregunta/ Evidencia 2 _______________________________________________________________________________ 115
Ilustración 90. Evidencias de Pruebas sobre: Validar el almacenamiento de los resultados, sin finalizar el
cuestionario _________________________________________________________________________________________ 116
Ilustración 91. Evidencias de Pruebas sobre: Validar el almacenamiento de los resultados, sin finalizar el
cuestionario / Resultados ____________________________________________________________________________ 116
Ilustración 92. Evidencia de pruebas sobre: La activación de la Declaratoria de aceptación. __________ 117
Ilustración 93. Evidencias de prueba sobre: Evaluación en línea. ______________________________________ 118
Ilustración 94. Evidencias de pruebas sobre: Reporte de notificaciones. _______________________________ 119
Ilustración 95. Evidencias de pruebas sobre: Reporte de notificaciones. / Validación de estatus de envíos -
cuestionarios. _______________________________________________________________________________________ 119
Ilustración 96. Evidencias de pruebas sobre Tracking File. _____________________________________________ 120
Ilustración 97. Evidencias de Pruebas sobre: Pantalla Captura de Datos Generales ____________________ 121
Ilustración 98. Evidencias de Pruebas sobre: Pantalla Captura de Datos Generales / sección 2 _________ 121
Ilustración 99. Evidencias de Pruebas sobre: Pantalla Captura de Datos Generales / sección 3 _________ 122
Ilustración 100. Evidencias de Pruebas sobre: Pantalla Captura de Datos Generales / sección 4 ________ 122
Ilustración 101. Evidencias de Pruebas sobre: Pantalla Captura de Datos Generales / sección 4 ________ 123
Ilustración 102. Evidencias de Pruebas sobre: Pantalla Captura de Datos Generales / sección 5 ________ 123
Ilustración 103. Evidencias de pruebas sobre: Pantalla Consulta Datos Generales. _____________________ 124
Ilustración 104. Evidencia de pruebas sobre: La información que muestra el indicador FODA. __________ 125
Ilustración 105. Evidencia de pruebas sobre: La información que muestra el indicador HeatMap _______ 126
Ilustración 106. Evidencia de pruebas sobre: La información que muestra el indicador Pastel __________ 127
Ilustración 107. Evidencia de pruebas sobre: La información que muestra el indicador CUBO __________ 128
Ilustración 108. Gráfica de Cumplimiento. ____________________________________________________________ 137
Ilustración 109. Anexo 1 / PTT 1 _______________________________________________________________________ 146
7
Ilustración 110. Anexo 1 / PTT 2 _______________________________________________________________________ 147
Ilustración 111Anexo 3 / AS IS Situation _______________________________________________________________ 166
Ilustración 112. Anexo 3 / To Be Situation _____________________________________________________________ 168
Ilustración 113. Anexo 3 / Timelines __________________________________________________________________ 177
Ilustración 114. . Anexo 3 / Ruta Critica _______________________________________________________________ 179
Ilustración 115. Anexo 3 / Organization Chart _________________________________________________________ 182
Ilustración 116. Anexo 3 / DIAGRAMA LOGICO FUNCIONAL DEL APLICATIVO ___________________________ 190
Ilustración 117. Anexo 3 / Diagrama de la arquitectura identificada ___________________________________ 191
Ilustración 118. Anexo 4. Arquitectura ________________________________________________________________ 198
Ilustración 119. Anexo 4. Menú de Opciones Solicitado. _______________________________________________ 202
Ilustración 120. Anexo 4 / FODA vs Riesgos ___________________________________________________________ 204
Ilustración 121. Anexo 6 / Plan de Trabajo ____________________________________________________________ 233
Ilustración 122. aNEXO 6 / Ariquitectura ______________________________________________________________ 234
Ilustración 123. Anexo 6 Subsistemas Identificados ___________________________________________________ 236
Ilustración 124. Anexo 6/ Comunicación entre subsistemas ___________________________________________ 237
Ilustración 125. Anexo 6 / Diagrama Lógico. __________________________________________________________ 238
Ilustración 126. Anexo 6 / Diagrama de caso: CUCargaCat_Geograficos ______________________________ 239
Ilustración 127. Anexo 6 / Diagrama de caso: CUCargaCuest_Base_COSO ____________________________ 241
Ilustración 128. Anexo 6/ Diagrama de Caso: CUCarga_Organizacion _________________________________ 243
Ilustración 129. Anexo 6/ Diagrama de Caso: CUCarga_Empleados_Organizacion _____________________ 246
Ilustración 130. Anexo 6 / Diagrama de Caso: CUCalcula_Calificacion_Total __________________________ 249
Ilustración 131. Anexo 6 / Diagrama de Caso: CUMuestra_Indicadores _______________________________ 251
Ilustración 132. Anexo 6 / Menú solicitado. ___________________________________________________________ 253
Ilustración 133. Anexo 6 / Diseño: Menú DATOS GENERALES ___________________________________________ 256
Ilustración 134.Anexo 6/ Diseño: Menú CUESTIONARIOS >> NUEVOS __________________________________ 258
Ilustración 135. Anexo 6 / FODA vs Niveles de Riesgos solicitados _____________________________________ 260
Ilustración 136. Anexo 6 / Diseño: Menú CUESTIONARIOS >> NUEVOS __________________________________ 262
Ilustración 137. Anexo 6 / Diseño: Menú CUESTIONARIOS >> VALIDAR PUNTAJES TOTALES _______________ 262
Ilustración 138. Anexo 6/ Diseño: Menú CUESTIONARIOS >> CONSULTAR PLANTILLA CUESTIONARIOS _____ 262
Ilustración 139. Anexo 6 / Diseño: Menú CUESTIONARIOS >> ENVIAR CUESTIONARIO ____________________ 262
Ilustración 140. Anexo 6 / Diseño: Menú CUESTIONARIOS >> RESPONDER/CONSULTAR CUESTIONARIO ___ 262
Ilustración 141. Anexo 6 / Diseño: Menú TRACKING FILE _______________________________________________ 262
Ilustración 142. Anexo 6 / Diseño: Menú REPORTE DE NOTIFICACIONES _________________________________ 262
Ilustración 143. Anexo 6 / Diseño: Menú INDICADORES >> FODA _______________________________________ 262
Ilustración 144. Anexo 6 / Diseño: Menú INDICADORES>>HEATMAP ____________________________________ 262
Ilustración 145. Anexo 6 / Diseño: Menú INDICADORES>> Pastel _______________________________________ 262
Ilustración 146. Anexo 6 / Diseño: Menú ADMINISTRACION DE USUARIOS >> MONITOREO DE USUARIOS/
REGISTRO DE USUARIOS ______________________________________________________________________________ 262
Ilustración 147. Anexo 6 / Diseño: Menú ADMINISTRACION DE USUARIOS >> MONITOREO DE ROLES ______ 262
Ilustración 148. Anexo 6 / Diseño: Menú ADMINISTRACIÓN >> ORGANIZACIONES ______________________ 262
Ilustración 149. Anexo 6 / Especificaciones Generales. _______________________________________________ 262
Ilustración 150. Anexo 6 / Especificaciones Generales 2 ______________________________________________ 262
Ilustración 151Anexo 6 / Diagrama E-R _______________________________________________________________ 265
8
INTRODUCCION
El presente documento abordará la problemática existente que se identifica hoy en día
en la elaboración de auditorías enfocadas al control interno, en empresas tanto
públicas como privadas.
Se debe saber de antemano que todos los procesos de auditoria en México se realizan
de manera manual, con información descentralizada. Lo cual nos ayuda a identificar
claramente algunas áreas de oportunidad que se pueden aprovechar a fin de elaborar
una herramienta que nos permita la automatización de este proceso completo y de
esta manera minimizar todas las vulnerabilidades a las que este expuesta cualquier
organización o institución.
La elaboración de cuestionarios enfocados a ciertas áreas, la distribución de cada
evaluación, la aplicación de evaluaciones, errores en captura de información, el
análisis de resultados y la recolección de información, son deficiencias que se tomaran
para poner en marcha este proyecto tecnológico que desarrolle una aplicación y se
logre la disminución de los tiempos antes mencionados, la centralización de
información, reducción de gastos en recursos humanos y la identificación de casos de
fraude.
El proceso de auditoria nace desde el momento en que la empresa desea cuidar
cualquier vulnerabilidad a la que está expuesta y el proceso del control Interno es un
medio por el cual se puede garantizar la eficacia y eficiencia de las operaciones en las
organizaciones, ya que se entiende que el control interno “el proceso diseñado y
efectuado por el recurso humano de la institución, y cuyo objetivo es, la fiabilidad de la
información financiera y el cumplimiento de las leyes y normas aplicables”(Bortone &
Rojas, 2010).
Con lo expresado anteriormente se entiende que el control interno es la base para
garantizar los objetivos de la institución, la protección del patrimonio, y la ejecución de
la norma legal. Todo lo anterior es regulado y monitoreado por el área de auditoria.
Con el objetivo de mejorar los sistemas de control interno, diversos organismos
internacionales han propuesto modelos que han sido aceptados tanto en el ámbito
público como privado, siendo el informe emitido por el Committe of Sponsoring
9
Organization (COSO) el que destaca, ya que éste establece los criterios prácticos para
la organización y evaluación del sistema de control interno.
Con este modelo se brinda la ayuda que se requiere en la alta dirección para la
administración, monitoreo, evaluación y la mejora continua de los sistemas de control
interno.
Desde su origen, hasta hoy ya que es vigente, el informe COSO versión 2013, consta de
cinco componentes y diecisiete principios, los cuales se abordarán en el capítulo uno.
En este sentido, esta tesis tiene como propósito sistematizar el proceso de auditoría
sobre la gestión del control Interno, tanto en el ámbito público como privado, mediante
lo automatización de los subprocesos de evaluación, monitoreo y control de los
elementos que la componen bajo la metodología COSO.
Para ello, durante el capítulo dos, se abordará a detalle la problemática que se
identifica en todo el proceso y en base a ello dentro de este mismo capítulo se
plasmara la alternativa de solución que se identifica dentro de diez módulos que
permitirán la ejecución de auditorías exitosas y sencillas, con reducción de tiempos y
gastos.
Posterior a la identificación de la alternativa propuesta, en el tercer capitulo se agregan
las evidencias de la gestión de la aplicación tecnológica solicitada, dejando para el
cuarto capítulo los resultados obtenidos enfocados tanto a la calidad del producto
entregado como a los resultados que logra arrojar el software.
PLANTEAMIENTO DEL PROBLEMA
Los procesos de auditoria se llevan a cabo de dos a tres veces por año, lo que implica
que en un primer paso se identifiquen las áreas a evaluar y se prepare la metodología
correspondiente, según las normas regidas en la organización o institución
gubernamental, las cuales se deberán plasmar en un cuestionario especializado.
Posterior a la elaboración de dicho cuestionario, se envían las notificaciones de aviso, a
las áreas correspondientes, es en este paso en el cual de manera paralela, el área de
auditoria preparara todo lo necesario para trasladarse al punto de aplicación de la
auditoria, por lo que se tiene que destinar cierto presupuesto anual para esta finalidad,
considerando un gran número de auditores requeridos para abarcar el territorio
nacional.
10
Una vez que el auditor llega al lugar donde se aplicara la auditoria, se presenta con el
encuestado y comienza la sesión de preguntas, respuestas y solicitud de evidencias que
amparen lo que está respondiendo. Llevar a cabo el cuestionario correspondiente en
sitio, lleva alrededor de dos semanas.
Una vez que el auditor termina la sesión de preguntas, respuestas y recabación de
evidencias, comienza el proceso de análisis de resultados e identificación de riesgos, lo
que lleva alrededor de tres días.
Posterior a la obtención de resultados e identificación de riesgos, el auditor comunica a
los altos directivos esta información acompañada de las recomendaciones que se
deben aplicar y el periodo de vigencia con el que se cuenta para ponerlas en marcha.
Posterior a la comunicación de resultados en la organización auditable, el auditor se
traslada a otro punto auditable, hasta que éstos se hayan cubiertos en su totalidad. Se
tiene identificado que estos periodos duran de 2 a 3 meses por año.
Una vez que los auditores finalizan el periodo de auditorías, se reúnen en la sede central
y se inicia el proceso de recolección de información a través de manejo de archivos, los
cuales son concentrados por un área específica, y se invierte de una a dos semanas.
Una vez que finaliza la obtención del total de información se inicia el proceso de
análisis de resultados a nivel nacional, generación de graficas e interpretación de la
información, la cual es comunicada a los directivos a cargo, posterior a una semana
después de haber concluido la recolección de los datos.
En conclusión se identifica una gran inversión en tiempo y recursos tanto humanos
como financieros en los procesos mencionados con anterioridad, sin olvidar mencionar
la falta de información actualizada que permita una toma de decisiones oportunas.
OBJETIVO
Automatizar el proceso de gestión de las auditorias sobre el control Interno dentro de las
organizaciones o instituciones, bajo el informe COSO, a fin de disminuir los tiempos en la
aplicación de las evaluaciones, distribución de evaluaciones, procesamiento y
visualización de los resultados obtenidos, impactando de esta manera la toma de
decisiones oportuna y garantizar la aplicación de las normas en la organización.
JUSTIFICACION DE LA PROPUESTA.
Se propone llevar a cabo un sistema que permita mejorar el proceso de auditoría.
11
Dicho sistema existirá en un ambiente web, donde permita la ejecución del proceso de
auditoria desde cualquier parte en el que se encuentren los auditados, y en el cual
tanto auditores como directivos puedan consultar la información que se va recabando
día a día, sin esperar largas periodos de tiempo, como actualmente se llevan a cabo.
El aplicativo permitirá la creación de cuestionarios COSO personalizados, los cuales se
puedan aplicar, según la organización deseada.
Se considerara la distribución de notificaciones masivas, para la resolución de
evaluaciones, las cuales reducirán en gran medida los gastos de traslado de todo el
equipo de auditores a las áreas u organizaciones auditables.
Contemplara la funcionalidad de obtención de calificaciones inmediatas al finalizar
dichas evaluaciones, así como la identificación de preguntas con respuestas deficientes
y las recomendaciones correspondientes, según el nivel de riesgo que manejen dichas
deficiencias.
El sistema web mostrara la interpretación de los resultados obtenidos a través de
diferentes gráficos.
ALCANCE Y LIMITACIONES
El proceso automatizado, deberá:
Operar tanto en ámbito público como privado, es decir, deberá ser dinámico no
importando si la organización es del ámbito privado o la institución del ámbito
público, ya que se regularan bajo el informe COSO aplicado en ambos sentidos.
Se considerará únicamente la metodología COSO para las evaluaciones
aplicadas, así como para las recomendaciones marcadas en ésta.
Concentrar información de cualquier institución u organización que desee
incorporarse en este nuevo proceso, respetando la información de cada una, por
lo que este proceso deberá mantener seguridad, la cual no permita la
visualización de información entre distintas organizaciones e instituciones.
Manejar las ponderaciones que los usuarios asignen a las evaluaciones, es decir,
el sistema no calculara los parámetros para calificar las evaluaciones aplicadas.
El proceso automatizado no considerara:
La aplicación de cuestionarios o evaluaciones distintas a la estructura COSO.
12
Ponderaciones propias de la aplicación, estas serán definidas por los usuarios
funcionales del negocio (auditores).
RESULTADOS ESPERADOS
Se espera contar con una herramienta web que evalue el control interno, reduciendo
los tiempos de aplicación, distribución y respuestas de las evaluaciones requeridas;
permitiendo de esta manera un ahorro en el gasto derivado de los traslados del
personal requerido en los entes por evaluar.
Esta aplicación deberá proporcionar la información de aquellos componentes
deficientes que se identifiquen en las organizaciones y a su vez, las recomendaciones
que correspondan, las cuales se encontraran estipuladas dentro del informe COSO, lo
que permitirá que la organización o institución se alinee a las normas requeridas lo más
pronto posible.
RESEÑA DEL ESTUDIO
Capítulo 1: Metodología COSO: auditoría en el control interno
En este capítulo se abordarán y explicaran los conceptos independientes de auditoria,
control interno y la metodología COSO (The Committee of Sponsoring Organizations of
the Treadway Commission), a fin de poder plasmar posteriormente la relación tan
importante que se genera cuando se unen estos tres conceptos.
Se desarrollara el tema de la metodología COSO, historia, características, estructura, las
limitaciones dentro del control interno, deficiencias y el papel que juega en la auditoria
del control interno.
Se abordarán los antecedentes de la auditoria, distintas definiciones, tipos y técnicas de
auditorías, normas, procedimientos, su función y la interrelación con el control interno y
la metodología COSO.
13
Por otra parte se plasmaran también diferentes conceptos sobre el control interno,
características, objetivos y sus aplicaciones en la actualidad dentro del campo de la
auditoria, así como su relación e importancia con la metodología COSO.
Capítulo 2: Problemática Identificada y Alternativa de Solución
Utilizando la administración de proyectos, se identificaran las fases de pre-análisis,
análisis y diagnóstico de la presente iniciativa, a fin de poder diagramar el “AS IS” y de
esta manera diseñar una o varias alternativas de solución, pudiendo identificar dentro
de estas la que mejor se adecue a las necesidades del objetivo y alcance solicitado.
Capítulo 3: Administración y seguimiento de la Solución Identificada
Posterior a la identificación de la solución, en este capítulo se especificaran y
documentaran las fases de gestión del proyecto, rigiéndose bajo la metodología PLM
(Project Lifecycle Management) la cual consta de nueve fases y se basa en el PMI
(Project Management Institute).
Capítulo 4: Resultados Obtenidos
En este capítulo, se realizara una comparación entre los puntos solicitados y los puntos
entregados tomando como base los porcentajes de ponderación que contengan
cada uno de los entregables.
Conclusiones
Se indicara si el objetivo, alcances y requerimiento se lograron dentro de los estándares
indicados en la especificación del requerimiento.
Bibliografía
Se indicaran los detalles de cada una de las consultas realizadas.
Anexos
Apartado exclusivo donde se adjuntan documentos adicionales.
14
MARCO TEORICO
Tomando como base lo mencionado en el artículo “Reference Processes and Internal
Control Systems within Facility Management”(Alexander, 2008), en el cual se menciona
que:
“Un ICS (Sistema de control interno) efectivo, ayuda a minimizar los riesgos y
mejora la calidad de la información financiera. Un estándar para un ICS, es la
metodología COSO. Éste incluye un sistema de control interno documentado de
principios, procedimientos y procesos. COSO propone adoptar un enfoque
basado en el riesgo para los controles internos: Las compañías deben ejercer sus
estados financieros como punto de partida e identificar los riesgos potenciales
para las actividades del negocio, procesos y eventos que puedan afectar
significativamente sus estados financieros. Además, las medidas adecuadas para
el control de riesgos se deben poner en su lugar”. (Alexander, 2008)
Tomando como base lo anterior y partiendo de que un ICS ayuda a minimizar los
riesgos, es importante abordar que la administración de riesgos:
Es la disciplina que combina los recursos financieros, humanos, materiales, y
técnicos de una empresa, para identificar o evaluar riesgos potenciales y decidir
cómo manejarlos con la combinación optima de costo-efectividad.
La administración de riesgos en un marco amplio implica las estrategias, procesos,
personas, tecnología y conocimientos están alineados para manejar toda la
incertidumbre que una organización enfrenta.
Por otro lado los riesgos y oportunidades van siempre de la mano, y la clave es
determinar los beneficios potenciales de estas sobre los riesgos. Podemos agregar
que es una función empresarial cuyo objetivo es la conservación de los activos y
15
del poder de generación de beneficios mediante la minimización a largo plazo
del efecto financiero de las perdidas accidentales. (Leopardo, 2015)
Con la identificación de la relación existente entre el ICS y la administración de riesgos
es importante mencionar que ésta “se presenta como la base de una empresa que se
mantiene en el tiempo, dada su importancia en 1992 se publicó un informe
denominado Interna Control – Integrated Framework conocido también como COSO I,
el cual se creó con el fin de identificar los eventos que pueden perjudicar a una entidad
y para gestionar los riesgos, brindar la seguridad que la administración y la junta
directiva necesitan para el logro de los objetivos de la entidad. El control interno tiene
cinco componentes que se encuentran relacionas entre sí y nos ayudan a revisar y
calificar las actividades que realizan en una entidad. Éstos deben estar
interrelacionados para que se logre determinar la eficacia del sistema, ayudando a que
las empresas logren de una mejor manera el cumplimiento de sus objetivos, agilitando
los procesos y mejorando la integración del personal”.(Morocho & Gabriel, 2015).
Con los marcos de referencia mencionados hasta el momento, es necesario abarcar el
apartado dedicado a la metodología COSO, en el cual menciona la KPMG (COSO
Internal Control – Integrated Framework (2013), 2013) que:
Está diseñado para ser utilizado por las organizaciones para evaluar la eficacia
del sistema de control interno a fin de lograr los objetivos según lo determinado
por la dirección.
Dicho marco enumera tres categorías de objetivos, similar a la versión 1, en 1992.
1. Objetivos de Operación: Relacionadas con la efectividad y la eficiencia de
las entidades operacionales, incluyendo las metas de rendimiento
operativo y financiero, además de salvaguardar los activos contra
pérdidas. A diferencia de la versión I, este marco de referencia estaba
limitado únicamente hacia “La efectividad y eficiencia de las recursos de
las entidades”.
2. Objetivos de Informes: relacionados con la información financiera y no
financiera interna y externa a las partes interesadas, que abarcaría la
confiabilidad, oportunidad, transparencia, u otras condiciones según lo
establecido por los reguladores, los organismos de normalización, o las
políticas de la entidad. En el Marco de 1992, el objetivo de la presentación
de informes se llamaba el objetivo de informes financieros y que fue
descrito como "relativo a la preparación de estados financieros confiables."
16
3. Cumplimiento de Objetivos: En relación con la adhesión a las leyes y
reglamentos que debe seguir la entidad. En el Marco de 1992, el objetivo
de cumplimiento fue descrito como "en relación con el cumplimiento de la
entidad con las leyes y regulaciones aplicables." El Marco de 2013
considera el aumento de las demandas y la complejidad de las normas
legales, reglamentarias y contables que se han producido desde 1992.
La metodología COSO consta de cinco componentes del control interno, los
cuales son los mismos tanto en el 1992 y 2013; Sin embargo, sus definiciones se han
ampliado en el 2013. Las cuales se mencionan a continuación:
Ambiente de Control: Es el conjunto de normas, procesos y estructuras que
proporcionan la base para llevar a cabo el control interno en toda la
organización.
El consejo de administración y la alta gestión establece la importancia de las
normas de control interno y los estándares de conducta esperada.
Evaluación de riesgos. Implica una dinámica y un proceso iterativo para la
identificación y análisis de riesgos necesarios para lograr los objetivos de la
entidad, formando una base para determinar cómo deben ser administrados los
riesgos. La administración considera posibles cambios en el medio exterior y
dentro de su propio modelo de negocio que puedan impedir su capacidad para
lograr sus objetivos.
Actividades de control. Son las acciones establecidas dentro de las políticas y
procedimientos, las cuales ayudan a asegurar que las directivas de gestión para
mitigar riesgos para el logro de los objetivos, se llevan a cabo. Las actividades de
control son realizadas en todos los niveles de la entidad, en varias etapas dentro
del proceso de negocio, y sobre el ambiente tecnológico. Pueden ser preventivos
o correctivos en la naturaleza y puede abarcar una serie de manuales y
actividades automatizadas tales como autorizaciones y aprobaciones,
verificaciones, conciliaciones, y evaluaciones de desempeño de negocios.
La separación de funciones está típicamente construida en la selección y el
desarrollo de actividades de control. Donde la segregación de derechos no es
práctica, la gestión selecciona y desarrolla las actividades de control alternativas.
Información y comunicación. La información es necesaria para la entidad ya que
es necesario llevar a cabo las responsabilidades de control interno en apoyo de
la consecución de sus objetivos. La comunicación se produce tanto interna como
17
externamente, y proporciona a la organización de la información necesaria para
llevar a cabo actividades de control interno del día a día. La comunicación
permite al personal entender las responsabilidades de control interno y su
importancia para el logro de los objetivos.
Actividades de Monitoreo. Las evaluaciones en curso, evaluaciones separadas, o
alguna combinación de las dos se utilizan para determinar si cada uno de los
cinco componentes del control interno, incluidos los controles para efectuar los
principios dentro de cada componente, están presentes y funcionando. Los
resultados se evalúan y se comunican las deficiencias de una manera oportuna,
los temas más importantes son reportados a la alta dirección y al consejo (COSO
Internal Control – Integrated Framework (2013), 2013).
Dados los marcos de referencia especificados anteriormente, se identifica que la
metodología COSO cuenta con todas las herramientas para establecer una gestión de
la auditoria del control interno satisfactorio, a fin de reducir los riesgos en las
organizaciones o instituciones para que esto conlleve al cumplimiento de la
normatividad marcada y la ejecución de las buenas practicas.
19
Capítulo 1: Metodología COSO: auditoría en el control interno
1.1 Auditoria
1.1.1 Definición
Se abarcaran distintas perspectivas para comprender el concepto de auditoria desde
distintas aristas.
La primera definición que se plasmara será el del autor Juan Ramón Santillana
González, en su libro Auditoría (Santillana, 2013) , donde define a la auditoría interna
como:
“Una función que coadyuva con la organización en el logro de sus objetivos; para
ello se apoya en una metodología sistemática para analizar los procesos de
negocio y las actividades y procedimientos relacionados con los grandes retos de
la organización, que deriva en la recomendación de soluciones. La auditoría
interna es una función practicada por auditores internos profesionales con un
profundo conocimiento en la cultura de negocios, los sistemas y los procesos. La
función de auditoria interna provee segundad de que los controles internos
instaurados son adecuados para mitigar los riesgos y alcanzar el logro de las
metas y objetivos de la organización”.
La definición anterior es de gran importancia, ya que se empiezan a identificar
conceptos del control interno, los cuales son parte importante de este documento.
Otro autor, Ramiro Andrade Puga, en su libro Auditoría, (Gutierrez, 2011), define el
concepto de auditoria como:
“El examen posterior y sistemático que realiza un profesional auditor, de todas o
parte de las operaciones o actividades de una entidad con el propósito de
opinar sobre ellas, o de dictaminar cuando se trate de estados financieros”.
20
De la definición anterior denota la palabra “examen sistemático”, ya que la solución
que se busca va enfocada a la aplicación de evaluaciones personalizadas tal como se
menciona en la primera definición, es decir, en base a una metodología.
Abarcando una tercera y última definición planteada por el ILACIF (Manual
Latinoamericano de Auditoría Profesional en el sector Público), en donde se define a la
auditoria como: “El examen objetivo, sistemático y profesional de las operaciones
ejecutadas con la finalidad de evaluarlas, verificarlas y emitir un informe que contenga
comentarios, conclusiones y recomendaciones” (Gutierrez, 2011).
Analizando este concepto diremos que la parte más llamativa de éste es donde se
indica: “con la finalidad de evaluarlas, verificarlas y emitir informes que contengan
recomendaciones”, ya que precisamente estos conceptos formaran parte importante
del proceso automatizado que se busca implementar.
1.1.2 Tipos
Es importante mencionar que existen diferentes tipos de auditorías y en este apartado
se pretende exponer algunos de ellos, tomando como referencia la función a evaluar y
dónde se realiza, a fin de que se pueda identificar más adelante el alcance sobre el
tipo de auditoria que se desea implementar en este proyecto.
Por un lado existe la Auditoria Interna, la cual se lleva a cabo dentro de una
organización con el fin de medir su propio desempeño.
Por el contrario, existe la Auditoria Externa, la cual se realiza por una organización a fin
de evaluar las actividades de otras empresas.
Entre otros tipos de auditorías, encontramos la Auditoria Financiera, la cual está
encargada de verificar la veracidad y autenticidad de los estados financieros de una
organización o institución, así como la preparación correcta de los informes de acuerdo
a los estándares contables.
La Auditoria de Sistemas, responsable de mantener el funcionamiento informático de
una organización o institución.
La Auditoria Administrativa, encargada del análisis de los logros obtenidos en ciertos
periodos determinados y el análisis del desempeño de las funciones administrativas.
Otro tipo de Auditoria es la Operacional, la cual brinda como resultado la valoración de
la eficiencia y eficacia de una organización o institución, midiendo los ingresos
económicos contra los procesos de producción.
21
También existe la Auditoria Social, la cual refleja el análisis de los aportes realizados por
la sociedad, así como las participaciones de las mismas y en algunos casos las
incidencias presentadas.
Por último se mencionara a la Auditoría Fiscal, la cual tiene como objetivo garantizar el
cumplimiento y seguimiento de las leyes fiscales existentes (Rocio, 2016).
Se identifican infinidad de tipos de auditorías, las cuales no se mencionaran ya que
además de no tener ningún precedente o relación con la solución que se desea
implementar, el único objetivo es plasmar algunos ejemplos para denotar la diversidad
de auditorías que pudieran llegar a ser objeto de estudio en algún futuro con esta
misma herramienta.
En cuanto al alcance en el tipo de auditoria que se desea reflejar en esta iniciativa,
corresponde totalmente a la Auditoria Interna, la cual va a permitir ejercer evaluaciones
dentro de las mismas organizaciones a fin de identificar fallas en los controles de
manera previa a la ejecución de auditorías externas, realizadas por instituciones ajenas
a la organización. Lo cual minimizaría resultados erróneos, recomendaciones
adicionales o inclusive penalizaciones.
1.1.3 Importancia
En el blog de FUNIBER (FUNIBER, 2014), se menciona que las auditorias surgieron durante
la época de la revolución industrial como una medida para identificar fraudes, lo cual
ha ido cambiando con el tiempo ya que hoy en día son utilizadas para controlar la
alineación entre la organización y las estrategias propuestas por las áreas
administrativas a fin de asegurar un adecuado funcionamiento de las áreas financieras.
Se menciona que con las auditorias se pueden identificar los errores cometidos en la
organización o institución y éstas se pueden corregir a tiempo a fin de continuar el
rumbo deseado de las empresas o instituciones.
Se deja claro en este blog que una auditoria puede ayudar a las organizaciones a
optimizar sus operaciones y lograr importantes ahorros de costos.
También se sugiere que en cuanto se identifiquen evidencias de gastos excesivos,
incumplimiento de proyectos, quejas de clientes, alta rotación de recursos humanos y
sobre todo que los resultados se alejan de los deseados por las empresas u
organizaciones, entonces es urgente la aplicación de las auditorías.
Es altamente recomendable ejecutar auditorias anuales, ya que de esta manera se
lograra un mejor control sobre los procesos de gestión de la organización,
22
proporcionando a su vez un crecimiento que garantice la sostenibilidad de la
organización a largo plazo.
Con cada una de las razones expuestas con anterioridad, se identifica claramente la
importancia de la auditoria, la cual en conclusión nos permitirá continuar o en algunos
casos redirigir, el rumbo de la empresa a los logros deseados.
1.1.4 Auditoria de control interno
1.1.4.1 Definición
El Instituto de Auditores Internos de Argentina dentro de su web site (IAIA, 2016), plasman
su propia definición de Auditoria de control interno como:
“Una actividad independiente y objetiva de aseguramiento y consulta,
concebida para agregar valor y mejorar las operaciones de una organización.
Ayuda a una organización a cumplir sus objetivos aportando un enfoque
sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de
gestión de riesgos, control y gobierno.”
Por otro lado el autor (Gómez Lopez, 2016), comenta que el objetivo principal de la
auditoria Interna es: “Ayudar a la dirección en el cumplimiento de sus funciones y
responsabilidades, proporcionándole análisis objetivos, evaluaciones, recomendaciones
y todo tipo de comentarios pertinentes sobre las operaciones examinadas.”
Indica que esto se cumple con ayuda de otros objetivos más específicos, tales como:
- Contemplar el nivel en que se cumplen las instrucciones, planes y
procedimientos de la dirección.
- Revisar y evaluar la estabilidad y aplicación de los controles operativos,
contables y financieros.
- Garantizar que todos los bienes del activo estén registrados y protegidos.
23
- Evaluar la veracidad de la información contable.
- Preparar informes sobre las irregularidades que pudiesen encontrarse como
resultados de las investigaciones y contemplar las recomendaciones
pertinentes.
- Garantizar el cumplimiento de las recomendaciones contenidas en los
informes emitidos con anterioridad.
Adicional a los objetivos, el autor Juan Ramón Santillana comenta en su libro Auditoria
(Santillana, 2013), que la importancia de la auditoria interna radica en “entregar a la
alta administración resultados cualitativos, cuantitativos, independientes, confiables,
oportunos y objetivos; además de asistir a las organizaciones públicas y privadas a
alcanzar sus metas y objetivos.”
Santillana expresa que el alcance de la función de la Auditoria Interna es amplio e
involucra aspectos como:
- Revisar y evaluar la eficacia en las operaciones.
- La confiabilidad en la información financiera y operativa,
- Determinar e investigar fraudes, las medidas de protección de activos y el
cumplimiento con leyes y regulaciones; involucra también el asegurar apego a
las políticas y los procedimientos instaurados en la organización.
Como se identificó, una auditoria interna puede ayudar a los gerentes a establecer
medidas para lograr una buena gestión en la organización, contemplando situaciones
que constituyan un riesgo y lo que podría ser una oportunidad.
1.1.4.2 Planeación
La etapa de planeación en auditoria Interna sirve para conocer de manera previa las
características generales del área, programas, proyectos, conceptos y rubros que se
van a revisar en la misma. Esta etapa también es conocida como la de Estudio General.
El autor Raymond Jiménez, indica en su documento “Procesos para hacer una
Auditoria” la importancia de tener un plan de Auditoria, el cual deberá considerar
aspectos como:
- El objetivo de la auditoria, es decir, se deberá plasmar la finalidad o razón
principal por la que se llevara a cabo el proceso de auditoría.
- El alcance de la auditoria. En este punto se expresaran los límites que tendrá el
proceso de auditoría, es decir, se describirá lo que se incluye en el proceso y de
igual manera se recomienda indicar claramente lo que no se contemplara.
24
- El equipo auditor que llevara a cabo el proceso, es importante comunicar a todos
los involucrados el listado de roles y responsabilidades correspondientes.
- Los Criterios de Auditoria, los cuales son identificados dentro de las normas u otros
documentos de la organización utilizados como referencia para la realización
de la auditoria.
- Otra Información necesaria, en la cual se especificara cualquier otra
documentación que deba estar a disposición del equipo previamente.
- Representantes del auditado, identificando las personas y funciones que
actuaran como representantes de la organización auditada en cada una de las
áreas implicadas. Esta identificación deberá incluir el conjunto de áreas
afectadas por el alcance de la auditoria y su ubicación geográfica.
- Calendario de auditoria y horarios, en el cual se tendrá que especificar el
periodo que abarque toda la auditoria, incluyendo las fechas y horarios para la
ejecución de la auditoria y las reuniones con los representantes del auditado.
- Idioma de la auditoria, esto para contemplar organizaciones con varios centros
de trabajo con idiomas distintos.
- Lista de distribución del informe de auditoría, incluyendo los plazos para la
emisión del informe citado y las conclusiones de la misma. (Jiménez, 2016).
Se concluye que la planeación de la auditoria interna es la comprensión del negocio
de la entidad y su entorno. Puntos que serán tomados a consideración dentro de la
implementación de la solución que se desea.
1.1.4.3 Pruebas de los controles
El autor Javier Romero expresa en su documento titulado "Auditoria de control interno”,
que el auditor debe aplicar pruebas de los controles a fin de obtener evidencia de
auditoria suficiente y apropiada que garantice que estos controles estuvieron operando
efectivamente durante el periodo sometido a la auditoria (Romero, 2012).
Tengamos claro que cuando se desarrollan pruebas de la efectividad de la operación
de los controles, el auditor obtiene evidencia sobre la operación satisfactoria de estos
controles, incluyendo la obtención de evidencias sobre cómo se aplicaron estos
controles durante el periodo de la auditoria, la consistencia con la que aplicaron, así
como por quién y porqué medios fueron aplicados.
En lo referente a la iniciativa propuesta en este proyecto, se contemplaran espacios
para la carga de evidencias correspondientes, las cuales permitan certificar la
credibilidad de los procesos de auditoria automatizados.
1.2 El control Interno
1.2.1 Definición
25
En el documento expuesto por el colegio de contadores públicos de México, nombrado
“El control Interno, sus elementos, su evaluación por el Auditor externo y si efecto en el
trabajo de Auditoria de Estados Financieros”, aportan una definición del control Interno
como:
“Un elemento muy importante en el funcionamiento y operación de las empresas
y tiene un gran efecto en la calidad, oportunidad y veracidad de la información
que genera la empresa” (México, 2004).
En este mismo texto mencionan que el auditor debe realizar un estudio y evaluación del
Control Interno, como parte de una revisión de estados financieros practicada
conforme a las Normas de Auditoria Generalmente Aceptadas.
Se tiene un segundo aporte por parte del autor Geovanny Flores, el cual expresa en su
sitio web la siguiente definición del control Interno:
“El control interno ha sido diseñado, aplicado y considerado como la herramienta
más importante para el logro de los objetivos, la utilización eficiente de los
recursos y para obtener la productividad, además de prevenir fraudes, errores
violación a principios y normas contables, fiscales y tributarias.” (Giovanny, 2001)
La definición anterior es la que más se apega a los beneficios que busca obtener la
implementación del proyecto, objeto de estudio.
Por otro, el autor expresa que el control interno es un proceso ejecutado por el consejo
de directores, la administración y todo el personal de una entidad, diseñado para
proporcionar la obtención de los siguientes objetivos:
Efectividad y eficiencia en las operaciones.
Confiabilidad en la información financiera.
Cumplimiento de las leyes y regulaciones aplicables.
Indica además que el control interno comprende el conjunto de métodos y medidas
adoptadas dentro de una entidad a fin de salvaguardar sus recursos, verificar la
veracidad de su información financiera y administrativa, así como promover la
eficiencia en las operaciones, estimular la observación de las políticas prescritas y lograr
el cumplimiento de las metas y objetivos programados dentro de las organizaciones o
instituciones (Giovanny, 2001).
1.2.2 Objetivos
El control interno persigue los siguientes objetivos de manera general (Giovanny, 2001):
26
- La obtención de la información financiera oportuna, confiable y suficiente como
herramienta útil para la gestión y el control.
- Promover la obtención de la información técnica y otro tipo de información no
financiera para utilizarla como elemento útil para la gestión y el control.
- Procurar adecuadas medidas para la protección, uso y conservación de los
recursos financieros, materiales, técnicos y cualquier otro recurso de propiedad
de la entidad.
- Promover la eficiencia organizacional de la entidad para el ogro de sus objetivos
y misión.
- Asegurar que todas las acciones institucionales en la entidad se desarrollen en el
marco de las normas constitucionales, legales y reglamentarias.
1.2.3 Limitaciones
Las limitaciones del control interno se refieren a los sucesos que no pueden ser
controlados por medio de la auditoría interna.
En el momento de establecer el control interno hay que considerar que así como
persigue objetivos y lineamientos, también podemos identificar limitaciones. Como se
mencionó anteriormente las limitantes son aquellos factores que impiden que el Control
Interno funcione o que el establecimiento sea el más adecuado para la ejecución de lo
planeado, lo cual deberá ser revisado al inicio de cada proceso (Actualicese, 2015).
Algunas limitaciones que se pueden identificar son:
1. Requerimientos de la administración. En este punto se debe revisar el
análisis costo-beneficio, ya que el control interno no puede costar más que
los beneficios que se puedan recibir.
2. La colusión que se da cuando personas internas o externas se ponen de
acuerdo para realizar un robo o fraude. Esta es una limitante porque
puede suceder que desde el Control Interno haya un gran diseño para el
logro de óptimos resultados, pero imposible resistir la ausencia de principios
éticos por parte de las personas que componen el alma de la empresa.
3. La violación por parte de la administración derivados por abuso de
autoridad. Si el control interno funciona como tal, y se deben cumplir unos
parámetros, éstos deben ser respetados; de lo contrario, los resultados
podrían ser inconclusos.
4. Que el Control Interno se vuelva inadecuado u obsoleto; lo indicado es que
dicho control esté en constante desarrollo de acuerdo con las necesidades
que requiere la empresa y administración para su prosperidad.
5. Errores humanos, el Control Interno puede obtener fallas cuando hay errores
humanos por falta de información, o sencillamente confusiones normales
propias de la interacción, que pueden ser manejadas desde la asertividad.
27
Con esto se puede concluir que el control interno requiere disciplina por parte de los
empleados y la administración, además de la constante vigilancia, ya que no implica
procesos autónomos (Actualicese, 2015).
1.3 El sistema de control interno y su importancia en la auditoria
El Control Interno auxilia a la seguridad del sistema contable que se utiliza en las
organizaciones, fijando y evaluando los procedimientos administrativos, contables y
financieros, los cuales ayudan a que la empresa cumpla sus metas y objetivos. Detecta
las irregularidades y errores, pugnando por la solución factible evaluando todos los
niveles de autoridad, la administración del personal, los métodos y sistemas contables
para que de esta manera el auditor pueda dar cuenta veraz de las transacciones y
manejos empresariales.
1.3.1 Controles relevantes para la auditoria
Según el autor Javier Romero en su sitio web expresa que los controles relevantes son
aquellos que “contienen los objetivos de una entidad y los controles que implementa
para proveer seguridad razonable sobre su logro, se relacionan con la presentación de
informes financieros, las operaciones y el cumplimiento con cada una de las unidades
de operación y de los procesos de negocio de la entidad” (Romero, 2012).
1.3.2 Efecto de la tecnología de información en el Control Interno
Javier Romero, expresa en su sitio web de Auditoria y Control Interno (Romero, 2012),
que las tecnologías de Información proveen beneficios potenciales de efectividad y
eficiencia para el control interno, las cuales permiten:
- Aplicar reglas de negocio predefinidas y desarrollar cálculos complejos en el
procesamiento de grandes volúmenes de transacciones o datos.
- Enriquecer la oportunidad, disponibilidad y exactitud de la información.
- Reducir el riesgo de que los controles serán eludidos.
De igual manera expresa que la tecnología de la información también genera riesgos
específicos para el control interno de una entidad, incluyendo:
- Confianza en sistemas o programas que están procesando datos de manera
inexactos.
- Cambios no autorizados en los datos de los archivos maestros.
- Cambios no autorizados a los sistemas o a los programas.
1.4 Metodología COSO
28
1.4.1 Antecedentes
La Metodología COSO, conocida como el Committee os Sponsoring Organization of
the Treadway Commission se crea en 1985 como consecuencia de las malas prácticas
empresariales y los años anteriores de crisis.
La finalidad de esta iniciativa era llevar a cabo un liderazgo intelectual para la gestión
del riesgo empresarial, la disuasión del fraude y el control interno.
En 1992, se publica el informe COSO I, con el objetivo de ayudar a las organizaciones
a evaluar y mejorar sus sistemas de control interno. Dicho informe definió al control
interno como un proceso generado por la dirección y demás trabajadores de una
organización y diseñado para brindar un grado de seguridad adecuado para la
persecución de objetivos relacionados a:
- Confiabilidad de cualquier información financiera de la organización.
- Cumplimiento de la normativa aplicable.
- Eficacia y eficiencia en operaciones.
- Dicho estándar se compone de 5 capítulos, siendo éstos:
o Ambiente de control.
o Evaluación de Riesgos.
o Actividades de control.
o Información y comunicación.
o Supervisión.
En 2004, se publica el informe COSO II conocido como: Enterprise Risk Management –
Integrated Framework (ERM) o Marco Integrado de Riesgos. En esta versión se extendió
el concepto de control interno de COSO I a la gestión de riesgos, en la cual se incluye a
la totalidad de la plantilla de la organización.
El informe COSO III, se publicó en el año 2013 y es conocido como el renovado Marco
Integrado de Gestión de Riesgos, el cual incluye novedades como:
- El aumento de la confianza en cuanto a la eliminación de riesgos y consecución
de objetivos.
- Mejora la agilidad de los Sistemas de Gestión de Riesgos en su adaptación con los
entornos.
- Aporta mayor claridad referente a la comunicación y la información (BLOG,
2016).
1.4.2 Definición
29
COSO es un informe de apoyo, la cual tiene por misión proporcionar un liderazgo
intelectual a través del desarrollo de marcos generales y orientaciones sobre la Gestión
del Riesgo, Control Interno y Disuasión del Fraude, a fin de mejorar el desempeño
organizacional y reducir el alcance del fraude en las organizaciones (Galaz, 2015).
1.4.3 Componentes
El informe COSO se forma de cinco componentes interrelacionados, estos se derivan de
la forma como la administración maneja al ente, en los cuales están integrados los
procesos administrativos, clasificados de la siguiente manera:
a) Ambiente de Control.
b) Evaluación de Riesgos.
c) Actividades de Control.
d) Información y Comunicación.
e) Supervisión y Seguimiento.
El autor Javier Romero, explica a detalle cada uno de estos componentes (Romero,
2012). El primero componente, Ambiente de Control va enfocado al establecimiento de
un entorno en el que se estimule e influencie la actividad del personal con respecto al
control de sus actividades.
Este componente es la base de los demás componentes de control, enfocado a
proveer disciplina y estructura para el control e influenciar en la manera del como:
- Se estructuran las actividades del negocio.
- Se asigna autoridad y responsabilidad.
- Se organiza y desarrolla la gente.
- Se comparten y comunican los valores y creencias.
- El personal toma conciencia de la importancia del control.
Los factores del componente de Ambiente de Control, se enfocan a:
- La integridad y los valores éticos.
- El compromiso a ser competente.
- Las actividades de la junta directiva y el comité de auditoría.
- La mentalidad y estilo de operación de la gerencia.
- La estructura de la organización.
- La asignación de autoridad y responsabilidades.
- Las políticas y prácticas de recursos humanos.
30
Este componente tiene gran influencia en la forma del cómo se desarrollan las
operaciones, se establecen los objetivos y se minimizan los riesgos.
El componente Evaluación de Riesgos, identifica y el analiza los riesgos relevantes
para el logro de los objetivos y la base para determinar la forma en que tales riesgos
deben ser mejorados.
En toda organización, es indispensable el establecimiento de objetivos tanto globales
como de actividades relevantes, obteniendo con ello una base sobre la cual sean
identificados y analizados los factores de riesgo que amenazan su oportuno
cumplimiento.
Toda organización enfrenta una variedad de riesgos provenientes de fuentes externas e
internas que deben ser evaluados por la gerencia, quien a su vez, establece objetivos
generales y específicos e identifica y analiza los riesgos de que dichos objetivos no se
logren o afecten su capacidad para salvaguardar sus bienes y recursos, mantener
ventaja ante la competencia. Construir y conservar su imagen, incrementar y mantener
su solidez financiera.
La importancia de este componente es evidente en cualquier organización, ya que
representa la orientación básica de todos los recursos y esfuerzos, proporcionando una
base sólida para un control interno efectivo.
El componente de Evaluación de Riesgos contiene las siguientes categorías de
objetivos:
- Objetivos de Cumplimiento. Los cuales están dirigidos a la adherencia a
leyes y reglamentos, así como también a las políticas emitidas por la
administración.
- Objetivos de Operación. Son aquellos relacionados con la efectividad y
eficacia de las operaciones de la organización.
- Objetivos de la Información Financiera. Se refieren a la obtención de
información financiera confiable.
El logro de los objetivos antes mencionados está sujeto a los siguientes eventos:
1. Los controles internos efectivos proporcionan una garantía razonable de que los
objetivos de información financiera y de cumplimiento serán logrados, debido a
que están dentro del alcance de la administración.
2. En relación a los objetivos de operación, la situación difiere de la anterior debido
a que existen eventos fuera de control del ente o controles externos. Sin embargo,
el propósito de los controles en esta categoría está dirigido a evaluar la
consistencia e interrelación entre los objetivos y metas en los distintos niveles, la
identificación de factores críticos de éxito y la manera en que se reporta el
31
avance de los resultados y se implementan las acciones indispensables para
corregir desviaciones.
Los riesgos de actividades deben ser identificados, ayudando con ello a administrar los
riesgos en las áreas o funciones más importantes; las causas en este nivel pertenecen a
un rango amplio que va desde lo obvio hasta lo complejo y con distintos grados de
significación, deben incluir entre otros aspectos los siguientes:
- La estimación de la importancia del riesgo y sus efectos.
- La evaluación de la probabilidad de ocurrencia.
- El establecimiento de acciones y controles necesarios.
- La evaluación periódica del proceso anterior.
El componente Actividades de Control, se refiere a aquellas actividades que realiza la
gerencia y demás personal de la organización para cumplir diariamente con las
actividades asignadas. Estas actividades están expresadas en las políticas, sistemas y
procedimientos.
Las actividades de control tienen distintas características, sin embargo, lo trascendente
es que sin importar su categoría o tipo, todas ellas están apuntando hacia los riesgos
(reales o potenciales) en beneficio de la organización, su misión y objetivos, así como la
protección de los recursos propios o de terceros en su poder.
Las actividades de control son importantes no solo porque en sí mismas implican la
forma correcta de hacer las cosas, sino debido a que son el medio idóneo de asegurar
en mayor grado el logro de objetivos.
El tercer elemento COSO son los Sistemas de Información y Comunicación.
Los Sistemas de Información y Comunicación en la empresa relacionados con los
estados financieros, incluyen el Sistema de Contabilidad de la misma y consisten en los
métodos y registros establecidos para Identificar, Reunir, Analizar, Clasificar, Registrar y
Producir Información Cuantitativa de las operaciones que realiza una Entidad
Económica.
La calidad de los sistemas generadores de Información afecta la habilidad de la
Gerencia en tomar las decisiones apropiadas para controlar las actividades de la
entidad y preparar reportes financieros confiables y oportunos.
Para que un sistema contable sea útil y confiable debe contar con métodos y registros
que:
- Identifiquen y registren las transacciones reales
- Describan oportunamente todas las transacciones con el detalle que permita su
clasificación
- Cuantifiquen el valor de las operaciones
32
- Registren las transacciones en el periodo correspondiente
- Presenten y revelen adecuadamente dichas transacciones en los Estados
Financieros
Los sistemas de comunicación incluyen la forma en que se dan a conocer las funciones
y responsabilidades relativas al control interno de los reportes financieros (México, 2004).
El último componente COSO, llamado Supervisión y Seguimiento, va enfocado
principalmente a la revisión y evaluación sistemática de los componentes y elementos
que forman parte de los sistemas de control.
La evaluación debe conducir a la identificación de los controles débiles, insuficientes o
innecesarios, para promover con el apoyo decidido de la gerencia, su robustecimiento
e implantación. Esta evaluación puede llevarse a cabo de tres formas: durante la
realización de las actividades diarias en los distintos niveles de la organización; de
manera separada por personal que no es el responsable directo de la ejecución de las
actividades (incluidas las de control) y mediante la combinación de las dos formas
anteriores.
Se deben tener en cuenta las siguientes reglas para un adecuado seguimiento o
monitoreo:
- El personal debe obtener evidencia de que el control interno está
funcionando.
- Sí las comunicaciones externas corroboran la información generada
internamente.
- Se deben efectuar comparaciones periódicas de las cantidades
registradas en el sistema de información contable con el físico de los
activos.
- Revisar si se han implementado controles recomendados por los auditores
internos y externos; o por el contrario no se ha hecho nada o poco.
- Sí son adecuadas, efectivas y confiables las actividades del departamento
de la auditoría interna.
1.4.4 La auditoría del Control Interno basado en COSO
Como bien se mencionó en los puntos anteriores, realizar procesos de auditoria dentro
de las organizaciones de manera periódica, conlleva a la garantía de la ejecución
correcta de las normas y políticas establecidas dentro de la organización, y si a éste
proceso se le adhiere un marco de referencia como el informe COSO, se tendrá
garantizada la identificación de riesgos y áreas de oportunidad dentro de todas y cada
una de las áreas de la entidad. Con la aplicación de las recomendaciones que se
deriven del estándar COSO, la empresa reflejara un crecimiento y los empleados
conocerán las buenas practicas que se tienen que realizar dentro de la organización.
33
Es bien sabido que la auditoría del control interno basado en el informe COSO, genera
grandes beneficios a las organizaciones hoy en día, solo que aún no existe en México
ninguna herramienta que contenga en “end to end” del proceso automatizado, el cual
permita obtener los resultados en línea.
Capítulo 2
34
Problemática Identificada y
Alternativa de Solución.
Capítulo 2: Problemática Identificada y Alternativa de Solución
2.1 Especificación detallada del proceso actual (“AS IS”)
Hoy en día los procesos de auditoria comunes, dentro de la mayoría de las instituciones,
se inician con la notificación de la revisión al área de negocio y personal
correspondiente, por parte de alguna institución certificada de procesos, incluyendo en
ésta los periodos durante los cuales se llevara a cabo la evaluación. Dicha notificación
se realiza con algunos días de anticipación, durante los cuales el encuestado puede
hacer extensiva la notificación a todos aquellos participantes e involucrados que crea
conveniente, a fin de sensibilizarlos y solicitarles el apoyo correspondiente con
información certificada que pudieran solicitar los auditores.
Posterior a la notificación y el plan de trabajo compartido por los auditores y llegada la
fecha, se pone en marcha la ejecución de la auditoria, la cual inicia con algunas
preguntas realizadas por parte del auditor hacia el encuestado, quien será responsable
de los resultados obtenidos por la auditoria.
35
Aunque los procesos de auditoria son aplicables a distintos ámbitos dentro de la
organización, para este caso de estudio en específico se expondrán las actividades
actuales que se ponen en marcha para las auditorias del control interno en las
organizaciones o instituciones, las cuales contengan distintas sedes en todo el país y no
contengan un sistema automatizado para tal fin.
A continuación se detallaran los pasos a seguir actuales para los periodos de
evaluación del control Interno en distintas sedes:
1. El encuestador, quien pertenece a la institución certificada, envía la notificación
al área o áreas correspondientes de la organización, objeto de evaluación, por
medio de un correo electrónico. En este punto se especifican los tiempos de inicio
y duración de la auditoria, así como también se solicitaran los nombres de los
principales entrevistados o responsables, quienes brindaran las respuestas y
evidencias requeridas.
2. Llegado el día de la ejecución de la auditoria, el encuestador acude a la
organización o institución correspondiente, donde quiera que esta se encuentre,
y acude directamente con el encuestador o responsable a cargo.
3. Una vez presentados los involucrados, tanto de la empresa certificadora como
del personal de la organización a cargo, se da inicio a la sesión de preguntas y
respuestas, planteadas por la organización certificadora, a fin de dar respuesta a
todas las preguntas planteadas dentro del Cuestionario especializado. Dicho
cuestionario, fue realizado previamente por un equipo experto en base a las
características de la organización o institución.
4. Durante la sesión de preguntas y respuestas, las cuales se van capturando dentro
de un archivo en Excel, el encuestador solicitara en la mayoría de los casos, las
evidencias o documentos que avalen su respuesta. Los documentos se van
adjuntando dentro de una carpeta específica para la organización.
5. La duración de la auditoria para este tipo de cuestionarios es de
aproximadamente semana y media, ya que la evaluación es extensa y en caso
de que no se tengan a la mano las evidencias, se otorga un día de plazo para
que se entreguen.
6. Al finalizar la aplicación del cuestionario, el auditor inicia el proceso de
evaluación en un archivo Excel, considerando las respuestas proporcionadas por
el encuestado. Dicha proceso implica al auditor un esfuerzo de
aproximadamente tres días, ya que adicional a la evaluación, éste deberá
contemplar la comunicación de las recomendaciones correspondientes en las
secciones con puntajes bajos.
7. Se comunican los resultados obtenidos de dicha sede a todos los involucrados, así
como las recomendaciones que se deberán aplicar en las áreas de oportunidad
36
identificadas. Se indicara también el periodo de tiempo con el que se cuenta
para poner en práctica dichas recomendaciones.
Los periodos de tiempo para la ejecución de las recomendaciones, por parte de
la organización, van desde los 30 hasta los 90 días, dependiendo del riesgo que
represente dicha recomendación.
8. En la mayoría de los casos, se espera que los encuestados o responsables a
cargo, ejecuten de manera inmediata las recomendaciones, a fin de evitar
sanciones durante revisiones posteriores.
9. Una vez comunicado los resultados, el auditor abandona la sede y se dirige a otra
a fin de evaluar también en ésta, el control interno.
Dentro de la nueva sede realizara las mismas actividades a fin de evaluar el
control interno.
10. Al finalizar el periodo de auditorías o durante la ejecución de éstas, los altos
directivos solicitan información relevante sobre los resultados obtenidos a nivel
general, por sede o por área. Lo cual implica una labor de recolección de
información, ya que cada una es realizada por distintos auditores, los cuales
contemplan su información en sus equipos y estos se encuentran realizando otras
tantas auditorias en diferentes ubicaciones.
La recolección de la información solicitada, genera un esfuerzo aproximado de
tres días, y adicional a ello se tiene que contemplar el tiempo para la generación
de gráficos e interpretación de la información, lo cual generalmente tarda de
uno a dos días.
En base al detalle del flujo descrito con anterioridad, se logran identificar grandes
mejoras en el proceso de auditorías sobre el control interno tanto en sectores públicos
como privados, ya que hoy en día este proceso se lleva a cabo de forma manual,
invirtiendo gran cantidad de tiempo, recursos tanto financieros como humanos sin
mencionar la descentralización de la información, ya que no se cuenta con una base
de datos que permita almacenar y alinear el “end to end” del proceso.
Dado lo anterior sería ideal contar con un sistema evaluador de control interno, el cual
mejore la operatividad del proceso de auditorias, eliminando elementos como: falta de
información oportuna, re-trabajo y gastos excesivos, los cuales no ayudan a que se
cumplan los objetivos y alcances de las organizaciones e instituciones rápidamente, ya
que no se tiene un monitoreo activo.
En la Ilustración 1, se plasma el “workflow” del proceso manual que realiza el negocio
actualmente.
39
2.3 Establecimiento del Diagnostico identificado
Las áreas de oportunidad que se identifican se encuentran dentro de todo el proceso
de negocio plasmado en el apartado anterior, ya que resulta fácil identificar que las
auditorias se realizan través de procesos manuales y tediosos, los cuales se llevan a
cabo de manera frecuente durante los periodos de aplicación de las mismas.
Dentro de los primeros puntos a observar se tienen los periodos de respuesta otorgadas
a las notificaciones y solicitudes por parte de la institución certificadora. Estos pueden
variar, ya que las auditorias se tienen que planear considerando los tiempos de
atención que el personal pueda otorgarle a las mismas, ya que para estos procesos es
requerida la atención al 100% de los responsables a cargo.
Los gastos derivados de viáticos, son un punto importante durante la ejecución de estos
procesos ya que se tiene que destinar cierta cantidad considerable a cada auditor
para salir a campo y aplicar las evaluaciones correspondientes.
Otro punto importante que vale la pena resaltar es el esfuerzo en tiempo que requieren
invertir dos personas a una misma actividad, es decir, si el encuestador va
específicamente a entrevistarse con el responsable a cargo con la finalidad de que
éste le responda un cuestionario, el cual fue elaborado previamente, es de opción
múltiple, contiene una sección para anexar comentarios y contiene marcas especificas
en aquellas preguntas que requieren anexar obligatoriamente evidencias, entonces se
identifica una doble inversión de tiempo para responder entre dos personas un mismo
cuestionario.
No obstante, cabe resaltar que con lo anterior no se desfavorece la experiencia del
auditor sobre la aplicación de evaluaciones y las dinámicas sobre las cuales se apoyan,
solo que en este enfoque esa experiencia y tiempo se pudiera aprovechar para los
procesos de monitoreo, el aseguramiento de la puesta en práctica de las
recomendaciones, la interpretación de la información ya procesada y la elaboración
de nuevos cuestionarios especializados, los cuales pudieran ayudar con la evaluación
de los diferente procesos dentro de la organización y no solo al control interno.
Adicional a lo anterior, claramente se puede identificar que la captura de información
en aplicaciones de escritorio comunes, tales como Excel y el control del
almacenamiento de las evidencias en el ordenador del auditor hoy en día no forman
parte de las mejores prácticas en la aplicación de auditorías, ya que resulta un proceso
un tanto artesanal, considerando los diferentes avances tecnológicos con los que
contamos en la actualidad.
40
Respecto a los tiempos que se invierten durante los procesos de aplicación de
Cuestionarios relacionados al control interno, se pudieran contemplar dinámicas para
que éstos mejoren, permitiendo al mismo tiempo que la respuesta y las evidencias sean
las solicitadas y correspondan al enfoque de cada pregunta.
Respecto a los tiempos que invierte el auditor en los procesos de evaluación de
resultados, consideración de recomendaciones y la comunicación de resultados, se
pudieran contemplar también nuevas alternativas de automatización, a fin de que
estas actividades queden a cargo del sistema en tiempos óptimos, dejando las partes
de monitoreo e interpretación de información como responsabilidad del auditor o
administrador a cargo.
Adicional a lo anterior, se tendría que contemplar dentro de la automatización del
proceso, algún apartado relacionado al monitoreo de la ejecución de las
recomendaciones, a fin de garantizar que estas se estén poniendo en práctica sin
necesidad de controles artesanales por parte de los auditores.
Con lo anterior se puede observar que los tiempos que lleva la ejecución de los distintos
subprocesos, los cuales conforman el proceso general de auditoria, son altos. Si a estos
tiempos agregamos los tiempos de recolección de información de los distintos auditores
responsables de la ejecución de diversas auditorias en diferentes puntos de ubicación y,
los tiempos de interpretación y presentación de los resultados, al final representan
semanas de actividades conjuntas entre encuestados y encuestadores lo cual se
tendría que considerar en una posible alternativa de solución, a fin de enfocarse en
éstos y minimizarlos al máximo para que se contemplen resultados en línea y bases de
datos robustas para la centralización de la información.
2.4 Análisis e identificación detallada de la solución (“TO BE”) a implementar
Se identifica claramente una necesidad que cubrir en la ejecución del “end to end” del
proceso de auditoría sobre el control interno, expuesto en los puntos anteriores.
La alternativa de solución que se expondrá en este apartado, tendrá como objetivo la
automatización del proceso de gestión de las auditorias sobre el control interno dentro
de las organizaciones o instituciones, a fin de disminuir los tiempos en la aplicación de
las evaluaciones, distribución de notificaciones, procesamiento y visualización de los
resultados obtenidos, facilitando de esta manera la toma de decisiones oportuna a los
altos directivos, y de esta manera se garantice la aplicación de las normas en la
organización.
Cómo alternativa de solución se plantean a grandes rasgos los siguientes módulos base
para conformar el sistema de gestión de auditorías sobre el control interno:
41
1. Módulo de Integración de la Metodología base.
Dentro de este apartado se considerara la selección de la metodología base
sobre la cual se fundamentaran los cuestionarios especializados, es decir, se
considerara la carga de información de los cuestionarios previamente
desarrollados en común acuerdo por los expertos en la materia.
2. Módulo de Creación de Cuestionarios.
Esta sección se enfocara principalmente en la creación de cuestionarios. Estos se
crearan en base a la estructura COSO, metodología base del control interno.
Se considerara la creación de un cuestionario para cada una de las distintas
organizaciones o instituciones administradas.
Estos cuestionarios contendrán un periodo de vigencia a fin de que los usuarios
conozcan las fechas activas en que podrán dar respuesta a sus evaluaciones.
3. Distribución de Notificaciones y Asignación de Cuestionarios.
Este apartado está enfocado a la distribución de notificaciones sobre la
asignación de evaluaciones a usuarios específicos, es decir, mediante este
módulo se realizaran las notificaciones correspondientes para que, en el
momento de la recepción de estos avisos, los usuarios ingresen a la aplicación y
puedan responder los cuestionarios asignados, sin la presencia de un auditor.
4. Módulo de Evaluación de Resultados.
Esta sección está relacionada al proceso de evaluación de los resultados, en
función de los parámetros asignados o determinados por los expertos, es decir,
este apartado le proveerá al usuario el resultado de su evaluación y la
interpretación del mismo.
5. Identificación de Riesgos y Recomendaciones
Este módulo permitirá visualizar aquellas respuestas que fueron contestadas de
manera deficiente, es decir, de manera cualitativa, mostrara los puntos de riesgo
que se identifiquen con la finalidad de indicar las recomendaciones, marcadas
por la misma metodología COSO, que se tengan que poner en práctica para que
este riesgo no se convierta en un problema posteriormente para la organización.
42
Según la metodología COSO, actualmente se manejan diferentes niveles de
riesgo los cuales permiten asignar un plazo máximo de ejecución de la
recomendación a cada nivel, esto para garantizar que las recomendaciones
señaladas se estén ejecutando, con los documentos de las evidencias
correspondientes.
6. Monitoreo de resultados.
En el apartado de resultados se plantea la visualización de distintos indicadores
que permitan mostrar en un “page one” los resultados obtenidos.
La siguiente imagen Ilustración 4, se detalla el diagrama de los grandes modulos que
integrarían la solución futura.
Ilustración 3. Módulos “To Be”
44
Capítulo 3
Administración y seguimiento de la
Solución Identificada.
Capítulo 3: Administración y seguimiento de la Solución Identificada
Una vez identificada la propuesta de solución, en este capítulo se esp.ecificaran y
documentaran las fases de gestión del presente proyecto, rigiéndose bajo una
metodología propia, la cual se compone por la mezcla de algunas metodologías
destacadas como: “ASAP methodology" y las mejores prácticas del PMI (Project
Management Institute), la cual se conformara de nueve fases, tal y como se detallan
en la Ilustración 5:
1. Project Feasibility & Approval
2. Project Preparation
3. Business Blueprint
4. Realization Design
45
5. Realization Construction
6. Realization Test
7. Final Preparation
8. Go Live & Support
9. Project Closure
Cada una de las fases descritas tendrá sus propios requerimientos de entrada “inputs” y
salida “outputs”, expectativas del cliente y los pasos que se tienen que desarrollar
dentro de cada fase.
La Matriz de Entregables (Project Tailoring Matrix - Anexo 1), es el documento que
contiene la información de los entregables que se tienen que contemplar, según la fase
en la que se encuentre el proyecto, así como la lista de firmantes requeridos para cada
uno de los entregables y la información de los responsables que tendrán que llenar
cada documento.
La mayoría de las actividades involucra planeación, definición de requerimientos y
diseño de la solución propuesta. El equipo de proyectos capturara las necesidades del
negocio, los requerimientos y las especificaciones en varios documentos que son
entregables al final de cada fase.
Cada uno de los entregables de cada fase provee los requerimientos y
especificaciones de diseño.
La calidad se asegura mediante la buena escritura en los entregables, completando y
plasmando especificaciones claras, desarrollando programas con calidad en un
ambiente técnico sólido, y mediante pruebas completas en el sistema hasta que esté
listo para un ambiente de producción.
Ilustración 7. Entregables por fase
Ilustración 6. Fases de la Metodología
46
En la Ilustración 8, se detalla cada documento que se deberán entregar en cada una de
las fases del proyecto.
3.1 Viabilidad del proyecto y aprobación
En este caso se identifica un proyecto de innovación totalmente viable, dado que
actualmente en México no existe ninguna herramienta que permita automatizar el
proceso de gestión de la auditoria sobre el control Interno, la cual permita recabar la
información de manera centralizada, procesamiento de datos, interpretación y
visualización de indicadores en línea.
3.1.1 Caso de Negocio
La fase “Project Feasibility & Approval” contempla el inicio de la definición del proyecto,
en esta fase es donde se realiza el análisis de las necesidades del negocio en paralelo
con el análisis de factibilidad de la solución o posibles soluciones identificadas.
Inicia con la
definición del
proyecto
Se define el
proyecto con:
Se completa y
aprueba el
"Requirements
Specification"
Se realiza el
"Design the
solution"
Construcción
de la solución
Ejecución de
pruebas y
recolección de
evidencias
Elaboración del
"Implementation
Planning"
Transicion
Management Lesson Learned
Se crea el
"Business Case"
Se elabora el
"Project
Charter"
Se realiza el
"Business
Process Design"
(TO BE)
Se trabaja
con todos los
equipos
identificados
e
involucrados.
(IT)
Construcción
de los
materiales de
entrenamiento
para los
usuarios finales,
equipo de
soporte
Elaboración
del "UAT User
Acceptance
Test"
Elaboración del
"Deployment
Strategy & Plan"
Completed
Support
Approval
document
Closing out the
project
Se realiza un
análisis de las
necesidades
del Negocio
Se presenta el
"Project
Schedule"
Se trabaja con
todos los
equipos
identificados e
involucrados.
(Negocio e IT)
Se obtiene la
aprobación
del proyecto y
la solicitud del
financiamiento
Preparacion
del "kick off"
Se identifican
los "Test
Cases"
Project Feasibility & Approval
Project Preparation
Business Blueprint
Realization Design
Realization Construction
Realization Test
Final Preparation
Go Live & Support
Project Closure
47
Una vez que se obtiene la factibilidad del proyecto, se tienen que gestionar las
aprobaciones correspondientes en conjunto con la solicitud del financiamiento en un
mismo documento denominado “Business Case”.
En relación a este proyecto, a continuación se plasman las características más
importantes que compondrá el documento “Business Case” (Anexo 2), el cual se
contempló para la puesta en marcha de esta iniciativa:
1. Propósito del documento.
2. Introducción
3. Resumen Ejecutivo.
3.1. Contexto del Programa: Nombre
3.2. Sinopsis de la evaluación del caso de negocio.
4. Objetivos del proyecto.
5. Criterios de éxito del proyecto.
6. ¿Estamos haciendo las cosas correctas? (¿Por qué?)
6.1. Beneficios Financieros.
6.2. Resumen de los flujos de efectivo (ejemplos de beneficios).
6.3. Costos financieros
6.4. Visión general de los flujos de efectivo (ejemplos de capital de proyecto de
TI / costos operativos).
6.5. Beneficios no financieros.
6.6. Impacto del cambio organizacional.
6.7. Impacto de no realizar el proyecto.
7. Plan de Realización de beneficios.
8. Firmantes.
Al terminar el “Business Case”, todos los involucrados y firmantes Identificaran cual es la
necesidad del negocio y el monto que se requiere para la puesta en marcha de la
iniciativa.
Posterior a la obtención de todas las firmas, y el área de IT tenga acceso al monto
solicitado, el proyecto podrá avanzar a la siguiente fase “Project Preparation”, a través
del “Stage Gate” correspondiente.
3.2 Preparación del proyecto
En “Project Preparation”, nacen oficialmente los proyectos. En ésta se identifican y
definen las metas y objetivos aproximados del proyecto a fin de poder gestionar las
siguientes fases de planificación y desarrollo, por lo cual se tiene que asegurar todo el
48
trabajo necesario para que la propuesta del proyecto se factible y pueda ser
implementada satisfactoriamente.
En esta sección se asegura la identificación y eliminación de riesgos clave lo más
pronto posible y maximiza las oportunidades de desarrollo al asegurar que los proyectos
estén bien conceptualizados.
Es ideal que en esta etapa de preparación, se consideren los siguientes puntos de
referencia, todos ellos enfocados al éxito de la iniciativa:
Generación de la carta del Proyecto: “Project Charter”.
o Conceptualización del proyecto.
o Establecer metas y objetivos
o Esbozar una estrategia de implementación
o Identificación de posibles riesgos
o Definir roles y responsabilidades.
o Desarrollar estimaciones preliminares de costos
Reunión inicial “Kickoff”.
Plan de Trabajo Inicial “Project Schedule”.
En relación a este proyecto, a continuación se detallan los elementos que conforman el
documento “Project Charter” o carta de inicio oficial del Proyecto, el cual señala el
autor Andy Crowe, como el documento con el que se inicia oficialmente el proyecto y
detalla que si no se cuenta con éste, simplemente no se contara con un proyecto
oficial (Crowe, 2014).
El contenido completo del “Project Charter”, se encuentra dentro del Anexo 3. Este
documento detalla los siguientes puntos relacionados al proyecto, los cuales son
capturados por el Project Manager en conjunto con los usuarios funcionales:
1. Propósito del documento.
2. Contexto completo del proyecto.
3. Alcance del proyecto.
4. Criterios de éxito del proyecto.
5. Tiempos Estimados.
5.1. Gráfica de Gantt representando todas las fases de la Metodología
5.2. Fechas estimadas para revisiones de cambio de fases y los hitos clave.
5.3. Ruta Critica
6. Participantes demandantes del Proyecto (Governance).
7. Diagrama Organizacional.
8. Involucrados
9. Requerimientos de Recursos.
49
9.1. Nivel de Involucramiento de usuarios funcionales requeridos en cada fase.
9.2. Nivel de Involucramiento de usuarios IT requeridos en cada fase.
9.3. Nivel de Involucramiento de usuarios Internos/Externos.
9.4. Perfiles y conocimientos requeridos para soportar el proyecto.
10. Finanzas
11. Arquitectura y Operación.
12. Firmantes.
Al terminar el “Project Charter”, todos los involucrados y firmantes estarán conscientes
de que el proyecto ya tiene la formalidad requerida para la ejecución del proyecto.
Posterior a la obtención de todas las firmas, se lleva a cabo la sesión de “Kickoff”, en la
cual se invita tanto a las áreas involucradas y no involucradas a fin de dar a conocer los
objetivos que se perseguirán con la iniciativa, y el plan de trabajo con el cual se medirá
el avance del proyecto.
Posterior al banderazo de salida se realiza el “stage Gate” correspondiente, a fin de
obtener el visto bueno de los usuarios funcionales, sponsors del proyecto y directivos de
IT para avanzar a la fase “Business Blueprint”.
3.3 Plan de Negocios
En la fase “Business Blueprint” se concentran los procesos futuros y los requerimientos
del negocio para su implementación.
Como primer paso se debe identificar y tener claridad del plan de negocio que se
desea seguir.
En un plan de negocios se debe tener claridad del producto o servicio que se va a
ofrecer, los beneficios tanto a corto como a mediano plazo que se proporcionaran y la
estrategia que se utilizara para llegar a tales fines.
Para el presente proyecto se adoptó el modelo canvas a fin de clarificar o aterrizar el
plan de negocios que mejor se ajuste.
Con la utilización de los nueve bloques del modelo canvas, se busca plasmar de forma
más clara la interacción entre los diferentes componentes necesarios que se deben
contemplar para esta iniciativa.
1. Propuesta de Valor
La plataforma de automatización de auditorías, ofrecerá una solución práctica para
implementar evaluaciones mediante una metodología y herramientas electrónicas que
50
permitan satisfacer los objetivos de las normas a las que están obligadas las
dependencias, entidades gubernamentales y empresas privadas.
Este sistema mitigara los tiempos tan largos de ejecución y procesamiento de los
resultados que se llevan actualmente al aplicar auditorias y disminuirá los costos de la
aplicación de los mismos, ya que será una herramienta web la cual permitirá que cada
encuestado ingrese y responda su propia evaluación, anexando las evidencias
solicitadas.
Contar con un sistema evaluador de controles permitirá, eliminar las áreas de
oportunidad que se identifiquen en el proceso de auditoria tales como falta de
información oportuna, re-trabajo y gastos excesivos, mostrar las recomendaciones a
seguir para que se cumplan los objetivos y alcances de las organizaciones e
instituciones.
La toma de decisiones oportuna, disminuir los tiempos en la aplicación de las
evaluaciones, distribución de encuestas, procesamiento y visualización de los resultados
obtenidos, impactando de esta manera la toma de decisiones y garantizar la
aplicación de las normas en la organización, evaluar y monitorear los controles de
múltiples unidades operativas en tiempo real.
2. Segmento de Clientes
Esta aplicación iniciara con la implementación de la metodología COSO, aunque ésta,
siendo una metodología mundial utilizada en varios países, esta adecuada para
aplicarse a los controles internos existentes en empresas mexicanas o instituciones
gubernamentales.
3. Canales
La difusión de la plataforma se realizara a través de un sitio web, creado
específicamente para la herramienta, en el cual se encontraran los números telefónicos
de los “owners” involucrados, y se podrá solicitar información a través del correo
electrónico o levantando un ticket correspondiente en el área de Service Desk.
4. Relación con Clientes
Se podrá promocionar la utilización de la plataforma a través de una prueba piloto en
las organizaciones o instituciones interesadas, a fin de permitirle a los altos niveles la
visualización de los indicadores resultantes, se contemplara el beneficio de asesores, es
decir, auditores certificados o expertos en la materia durante toda la ejecución de la
iniciativa.
51
5. Recursos Clave
Para poner en marcha el proyecto, será necesaria la participación de personal experto
en IT, como:
Desarrolladores .net, es necesario contar con este tipo de recursos ya que hoy en
día existe una inclinación de las aplicaciones web mediante metodología MVC
(Modelo, Vista, Controlador).
Administradores de Bases de Datos, ya que será necesario plasmar un buen
diseño de la base, elemento fundamental para una excelente explotación de
información.
Un Líder de Proyecto, es necesario contar con esta figura la cual se encargara
tanto del cumplimiento exitoso del plan de trabajo, como la intermediación entre
el área de negocio y el equipo de IT.
El SME, es necesario contar con expertos en la materia los cuales para efectos del
presente proyecto serán auditores y contadores.
La renta de infraestructura como servidor y hosting.
La aportación del negocio, con un monto de $1, 212,750.
6. Socios Clave
Los aliados identificados en esta iniciativa serán:
Proveedores de hosting y servidores.
Proveedores de internet
Proveedores de recursos humanos.
7. Actividades Clave
La actividad clave que se proporcionara será:
Proveer una plataforma que ofrecerá una solución práctica para implementar
evaluaciones personalizadas mediante metodologías y herramientas electrónicas que
permitan satisfacer los objetivos de las normas a las que están obligadas las
dependencias, entidades gubernamentales y empresas privadas.
8. Estructura de Costos
Los gastos que se tienen previstos para esta iniciativa son:
Costos de Materia Prima
Adquisicion de equipo de cómputo.
52
Adquisicion de software para desarrollo de aplicaciones.
Costos de Mano de Obra
Pago de recursos.
Costos Indirectos
Pagos de servicios de internet.
Pagos de servicio de telefonía.
Pago de servicio de Luz.
Renta de servidor y hosting.
9. Fuente de Ingresos
Las fuentes de ingresos o beneficios económicos que traerá esta iniciativa, será en
función del ahorro con cerca de 93 millones de pesos anuales en la organización.
3.3.1 Especificación detallada del requerimiento
Posterior a la identificación del modelo de negocio a seguir, se tiene que realizar la
captura de la especificación del requerimiento en conjunto con todos los involucrados
del negocio.
El documento “Requirements Specification” tiene el propósito de documentar los
requisitos para el proyecto que se está considerando desarrollar e implementar. En este
documento se debe cuidar y respetar los objetivos del negocio que se documentaron
en la carta de proyecto o “Project Charter”, relacionados a los requisitos tecnológicos y
los requisitos de soporte.
A continuación se detallan los elementos que se solicitan en el documento
“Requirements Specification”, (Anexo 4) de esta iniciativa.
1. Propósito del documento.
2. Contexto del proyecto.
2.1. Alcance.
2.2. Perspectiva de: Aplicación de Software/Sistema/Infraestructura.
2.3. Supuestos.
2.4. Clases de usuarios y características.
3. Documentación de Requerimientos
53
3.1. Requerimientos de entrenamiento.
3.2. Requerimientos de Performance.
3.3. Requerimientos de Recuperación.
3.4. Requerimientos de Seguridad.
3.5. Requerimientos de Confiabilidad.
3.6. Requerimientos Operacionales.
4. Reglas de negocio.
5. Firmantes.
Cabe señalar la importancia de las firmas en el documento de especificación, ya que
una vez que éste sea aprobado por los involucrados, se tomara esta información como
base para el diseño de los componentes requeridos, en la fase posterior.
La metodología PLM, establece este documento como un control clave por lo que no
será entregado ningún requerimiento adicional a los especificados en este documento.
Una vez que se completa el documento y se obtienen las firmas de aprobación de los
usuarios solicitados, según la matriz de entregables, se llena el documento “Test Cases”,
en conjunto con los usuarios solicitantes.
En el “Test Case”, se agregan los escenarios de prueba que el usuario funcional
deseara ejecutar en la fase “Realization Test”, este documento se podrá ir actualizando
en cualquiera de las siguientes fases hasta llegar a la de pruebas. Este documento
servirá como base para llenar el entregable UAT (User Acceptance Testing) en la misma
fase de Pruebas.
En el Anexo 5, se encontrara la lista de los casos de prueba deseados.
Una vez que se finaliza y firma el “Requirement Specification” y se completa el “Test
Cases”, se promueve el “stage gate” de esta fase, en el cual se obtiene la aprobación
de los Involucrados responsables para avanzar a la fase de diseño.
3.4 Diseño de la Solución
Es aquí donde inicia la fase “Realization Design”, en la cual se trabaja el diseño de la
solución, trabajando en conjunto con todos los equipos involucrados de IT.
La fase de diseño consiste en plasmar un detalle más específico del proyecto. Esta fase
implica la creación planos detallados y prestar atención a cada característica o
especificación del usuario, a fin de garantizar el diseño y la medición de los mismos.
54
En esta fase se permite la retroalimentación adicional de los usuarios y los cambios de
última hora, a fin de obtener las aprobaciones requeridas por parte de éstos y con ello
dar inicio a la fase de desarrollo.
Para este proyecto el entregable requerido, según la metodología que se está
siguiendo, es el denominado “Design Document” (Anexo 6), el cual se compone de los
siguientes elementos:
1. Propósito del documento.
2. Consideraciones de Diseño.
2.1. Descripción de la Decisión.
2.2. Otras consideraciones.
3. Arquitectura
3.1. Subsistemas Principales.
3.2. Comunicación
4. Interfaces Externas.
5. Interfaces de Usuario.
5.1. Menús
5.2. Layout de Pantallas.
5.3. Layout de Reportes.
6. Organización de Base de Datos y Almacenamiento de Datos.
7. Lenguaje de Programación.
7.1. Recomendaciones
8. Otras consideraciones de Diseño.
9. Diseño de roles de seguridad.
10. Firmantes.
En este documento de diseño se está plasmando el detalle que contendrá cada uno
de los diez módulos que se están considerando en la solución.
En la Ilustración 9, se muestra la relación de los diez módulos y el detalle de cada
pantalla solicitada en el documento de diseño.
55
Al finalizar el documento y con las firmas de aprobación obtenidas, se gestiona la sesión
de “stage gate” necesaria.
En esta sesión se les comenta a los usuarios involucrados que por buenas prácticas no se
podrá considerar ningún cambio en lo solicitado, hasta haber finalizado la siguiente
fase en la cual se desarrolla la solución.
Una vez obtenida las aprobaciones correspondientes, el documento se entrega a los
desarrolladores involucrados para dar inicio a la fase “Realization Construction”.
Ilustración 10. . Módulos VS Solución Detalla.
56
3.5 Construcción de la Solución
En la fase “Realization Construction”, se utilizaran los modelos creados en la etapa de
diseño anterior con el fin de crear los componentes del sistema requerido.
Los entregables que se tienen contemplados en esta fase son los archivos fuente y el
manual de instalación del aplicativo.
Según el plan de trabajo se atacaran los desarrollos, en el siguiente orden y conforme a
los diseños entregados:
Construcción de Pantalla de Inicio
La Ilustración 12, se agrega como evidencia de la creación de la pantalla de ingreso, la
cual pedirá el correo electrónico del usuario previamente registrado y el Password
generado:
Construcción de Menú General
Ilustración 11. Pantalla de Inicio
57
La Ilustración 13, se agrega como evidencia del desarrollo del menú principal.
Construcción del Módulo de Usuario
Las pantallas de evidencia del desarrollo del módulo de usuarios se visualizan en la
Ilustración 16, el cual se agrego dentro del menú “Administración de Usuarios”, y se
subdivide en dos módulos: Registro para el alta de nuevos usuarios y el de monitoreo
para la consulta y edición de los registros previamente creados.
Ilustración 15. Módulo de Usuario
Ilustración 14. Menú General
58
Se anexa la evidencia de la creación del módulo de registro de usuarios, tal como se
muestra en la Ilustración 18.
En la Ilustración 19, se anexa evidencia de la creación del módulo de consulta de
usuarios,
Ilustración 17. Evidencia de la creación del módulo de registro de usuarios
59
A continuación se mostrara el detalle de las pantallas de acción, a las que se permite
ingresar desde la pantalla de Consulta de usuarios.
En la Ilustración 21, se observa la informacion detallada del usuario registrado
previamente.
Ilustración 20. Evidencia de la creación del módulo de consulta de usuarios
60
La ilustración 12, muestra la evidencia de la creación de la pantalla “Editar Usuario”.
Ilustración 22. Evidencia de la pantalla donde se visualiza el “Detalle de Usuario”
61
En la Ilustración 25, se muestra la evidencia de la creación de la pantalla “Bloquear
Usuario”
Ilustración 24. Evidencia de la creación de la pantalla “Bloquear Usuario”
Ilustración 23. Evidencia de la creación de la pantalla “Editar Usuario”
62
La ilustración 14 contiene la evidencia de la creación de la pantalla “Resetear
Password”,
Construcción del Módulo de Organizaciones
En la ilustración 15, se visualiza la evidencia del desarrollo del módulo de organizaciones,
el cual se agregó dentro del menú “Administración”.
Ilustración 26. Evidencia de la creación de la pantalla “Resetear Password”
63
En la Ilustración 28, se visualiza la evidencia de la creación de la pantalla “Administración
de Organizaciones”, en la cual se visualiza el listado de organizaciones registradas.
En la Ilustración 30, se anexa la evidencia de la creación de la pantalla “Crear
Organizaciones”, en la cual se realizara el alta de las organizaciones deseadas.
Ilustración 27. Módulo de Organizaciones
Ilustración 29. Pantalla “Administración de Organizaciones”
64
En la Ilustración 32, columna
acciones, se muestra el
detalle de las pantallas de
acción, a las que se
permite ingresar desde la
pantalla de Consulta de
Organizaciones.
En las siguientes pantallas
se visualizara a detalle
cada una de
las acciones
mencionadas con
anterioridad:
En
la Ilustración 33, se plasma la evidencia de la pantalla “Detalle Organización”.
En la Ilustración 369, se anexa la evidencia de la pantalla donde se podrá “Editar la
Organización”:
Ilustración 31. Pantalla “Crear Organizaciones”
Ilustración 34. Evidencia de la pantalla donde se visualiza el “Detalle de la Organización”
Ilustración 35. Evidencia de la pantalla donde se podrá “Editar la Organización”
65
En la Ilustración 38, se anexa la evidencia de la pantalla donde se podrá “Eliminar la
Organización”:
Construcción del Módulo de Cuestionarios
En la Ilustración 39, se anexa la pantalla de evidencia del desarrollo del módulo de
Cuestionarios, el cual se agregó dentro del menú como “Cuestionarios”, y se compone
de los siguientes sub/menús:
Menú Cuestionarios > Nuevo.
Ilustración 37. Evidencia de la pantalla donde se podrá “Eliminar la Organización”
66
Se anexa la pantalla de evidencia del desarrollo que contempla la opción de creación
de cuestionarios Nuevos, Ilustración 41.
Ilustración 42. Creación de cuestionarios Nuevos
Ilustración 40. Módulo de Cuestionarios
67
Se anexa la evidencia de la creación de la pantalla “Consultar Cuestionario”, Ilustración
44 .
En la Ilustración 45, se anexa la evidencia de la creación de la pantalla “Consultar
Cuestionario> Actualizar”.
Ilustración 46. Evidencia de la creación de la pantalla “Consultar Cuestionario> Actualizar”
Ilustración 43. Pantalla “Consultar Cuestionario”
68
Se anexa la evidencia de la creación de la pantalla “Consultar Cuestionario> Detalle”, Ilustración 48.
Se anexa la evidencia de la creación de la pantalla “Consultar Cuestionario> Eliminar”, Ilustración 50.
Ilustración 47.Evidencia de la creación de la pantalla “Consultar Cuestionario> Detalle”
Ilustración 49. Evidencia de la creación de la pantalla “Consultar Cuestionario> Eliminar”
69
En la Ilustración 51, se anexa la evidencia de la creación de la pantalla “Consultar
Cuestionario> Adicionar Preguntas Específicas”
Ilustración 52. Adicionar Preguntas Específicas
70
Menú Cuestionarios > Adicionar Preguntas Específicas:
En la Ilustración 53, se anexa la pantalla de evidencia del desarrollo que contempla la
opción de agregar preguntas específicas a los cuestionarios.
71
Menú Cuestionarios > Validar Puntajes Totales:
En la Ilustración 55, se anexa la pantalla de evidencia del desarrollo que contempla la
opción de validar los puntajes totales que contempla cada uno de los cuestionarios.
Ilustración 54. Agregar preguntas específicas a los cuestionarios
72
Menú Cuestionarios > Consultar Planilla Cuestionarios:
Se anexa la pantalla de evidencia del desarrollo que contempla la opción de consultar
plantillas de cuestionarios, ver Ilustración 57, la cual tiene la finalidad de mostrarle al
Ilustración 56. Validar Puntajes Totales
73
usuario que la creación se realizó de acuerdo a su selección previa en la pantalla
Cuestionarios> Nuevo.
Menú Cuestionarios > Enviar Cuestionarios:
Ilustración 58. Consultar Planilla Cuestionarios
74
En la Ilustración 59, se anexa la pantalla de evidencia del desarrollo que contempla la
opción de envío de cuestionarios, la cual tiene la finalidad distribuir de forma masiva el
cuestionario creado previamente en función de los usuarios registrados en la
organización correspondiente.
Menú Cuestionarios > Responder Cuestionarios:
Ilustración 60. Desarrollo Pantalla Enviar Cuestionarios
75
Se anexa la pantalla de evidencia del desarrollo donde se recabaran las respuestas de
los cuestionarios, ver Ilustración 62.
Ilustración 61. Desarrollo Pantalla Responder Cuestionarios
76
Construcción del Módulo de Captura de Datos Generales
En la Ilustración 64, se anexa la pantalla de evidencia del desarrollo del módulo de
Captura de Datos Generales, el cual se agregó dentro del menú “Datos Generales”, y
se compone de los siguientes sub/menús:
Menú Datos Generales > Captura
Se anexa la pantalla de evidencia del desarrollo que contempla el wizard que permitirá
capturar toda la información del usuario que contestara las evaluaciones
correspondientes, ver Ilustración 66.
Ilustración 63. Menú “Datos Generales”
Ilustración 65. Desarrollo de Pantalla de Captura de Datos Generales.
77
Menú Datos Generales > Consulta
En la Ilustración 67, se anexa la pantalla de evidencia del desarrollo que contempla la
consulta de la información capturada previamente.
Construcción del Módulo de Reporte de notificaciones
Se anexa la pantalla de evidencia del desarrollo del módulo de Reporte de
Notificaciones, ver Ilustración 69, el cual se agregó dentro del menú principal y tiene por
objetivo identificar las notificaciones que se enviaron para responder el cuestionario y el
estatus de avance de éstos:
Ilustración 68. Pantalla Consulta de Datos Generales
79
Construcción del Módulo de Monitoreo de Respuestas deficientes
Se anexa la pantalla de evidencia del desarrollo del módulo de Tracking File, ver
Ilustración 72, el cual se agregó dentro del menú principal y tiene por objetivo monitorear
las respuestas deficientes seleccionadas en las evaluaciones ejecutadas dentro de las
organizaciones.
Ilustración 71. Monitoreo de Respuestas deficientes
80
Construcción del Módulo de Indicadores
Se anexan las pantallas de evidencia del desarrollo de los gráficos, los cuales se
agregaron dentro del menú “Indicadores”, ver Ilustración 74, los cuales se compone de
los siguientes sub/menús:
INDICADORES > FODA
Se anexa la pantalla de evidencia del desarrollo que contempla el indicador FODA, el
cual a través de % de ponderación asignados por el usuario determina si las respuestas
de los cuestionarios entraran dentro de fortalezas, Oportunidades, Debilidades o
Amenazas, ver Ilustraciones 75 y 40.
Ilustración 73. Menú Módulo de Indicadores
82
INDICADORES > HeatMap
Se anexa la pantalla de evidencia del desarrollo que contempla el indicador HeatMap,
el cual a través de % de ponderación asignados por el usuario determina de manera
general el % de Aciertos y errores, ver ilustraciones 41 y 42.
Ilustración 77. Indicador FODA ver2
84
INDICADORES > Pastel
Se anexa la pantalla de evidencia del desarrollo que contempla el indicador de Pastel,
el cual a través de % de ponderación asignados por el usuario muestra de manera
general el % de Aciertos y errores, ver ilustraciones 43 y 44.
INDICADORES > Cubo
Se anexa la pantalla de evidencia del desarrollo que contempla el indicador en forma
Ilustración 81. Indicador Pastel
Ilustración 80. Indicador Pastel 2
Ilustración 82. Indicador CUBO
Ilustración 83. Indicador CUBO ver2
85
de Cubo, el cual a través de agrupadores muestra los resultados por componente y
principio, según la organización, ver ilustraciones 45 y 46.
3.6 Ejecución de Pruebas
Se inician las actividades de ejecución de pruebas integrales, las cuales se realizan
entre el área de IT y el usuario funcional del negocio solicitante.
Para esta etapa es crucial apoyarse de la matriz de casos de prueba que el usuario
entrego en la fase de Business BluePrint, Anexo 5.
A continuación se detallan las evidencias de las pruebas de aceptación del usuario,
(UAT User Acceptance Testing), durante las cuales el usuario se asegura del buen
funcionamiento del aplicativo y el cumplimiento del requerimiento de acuerdo con las
especificaciones solicitadas.
Case:
1. Creación de una organización, ver Ilustración 84.
a) Se ingresa a la opción Administración>Administración Organizaciones.
Ilustración 85. Evidencias de Pruebas sobre la Creación de una organización
86
b) Se agrega la información requerida para la organización: “Empresa BIEN
segura”
c) Se da clic en el botón Crear Nueva, ver Ilustración 86.
d) Se consulta el registro satisfactorio, ver Ilustraciones 49 y 50.
Ilustración 87. Evidencias de Pruebas sobre la Creación de una organización / Llenado de Formulario
87
Ilustración 89. Evidencias de Pruebas sobre la Creación de una organización / Resultados 1
Ilustración 88. Evidencias de Pruebas sobre la Creación de una organización / Resultados 2
88
Case:
2. Editar organización, ver ilustración 51.
a) Se ingresa a la opción editar y se actualiza la información solicitada.
b) Se consulta el detalle de la información de dicha Organización.
c) Se ingresa a la opción editar y se actualiza la información solicitada.
Case:
3. Registrar el alta de tres usuarios nuevos, asignados a la organización previamente
creada, ver Ilustración 91.
a) Se ingresa a la opción Administración de Usuarios>Registro de Usuarios.
b) Se captura la información del usuario correspondiente
c) Se asigna el rol deseado.
Ilustración 90. Evidencias de Pruebas sobre Editar una organización
89
d) Se ingresa a la pantalla Administración de Usuarios>Monitoreo Usuarios y se
inicia la búsqueda de los usuarios previamente registrados, ver Ilustración 93.
Ilustración 92. Evidencia de Prueba sobre Registrar el alta de tres usuarios nuevos
Ilustración 94. Evidencia de Prueba sobre Registrar el alta de tres usuarios nuevos / Consulta
90
Case:
4. Tratar de ingresar al aplicativo con uno de los tres usuarios previamente creados,
ver Ilustración 95.
a) Ir al menú Inicio del sistema.
b) Considerar el ingreso con el usuario de:
[email protected], previamente registrado.
c) Se identifica que el usuario, aunque este registrado, no le permite la
entrada al aplicativo si éste no es activado previamente, ver Ilustración 97.
Ilustración 96. Evidencia de prueba sobre el acceso con usuario no activado.
91
Case:
5. Activar los usuarios previamente registrados, ver Ilustraciones 99 y 57.
a) Ingresar a la opción Administración Usuarios>Monitoreo de Usuarios.
Ilustración 98. Evidencia de prueba sobre el acceso con usuario no activado / Resultados
93
b) Ir al menú Inicio y tratar de ingresar con cualquier usuario activado
previamente, ver Ilustración 102.
c) Ingresar al aplicativo, este deberá permitirle el ingreso sin problema, ver
Ilustración 104.
Ilustración 103.Evidencias de Prueba sobre la activación de usuarios/ Resultados 2
94
Case:
6. Editar información de usuario previamente registrado
a) Ingresar a la opción Administración Usuarios>Monitoreo de Usuarios>Editar.
b) Actualizar la información correspondiente.
c) Validar que la información se actualizo exitosamente, ver Ilustración 106.
Case:
Ilustración 107. Evidencias de Pruebas sobre editar información de usuario previamente registrado.
Ilustración 105. Evidencias de Prueba sobre la activación de usuarios / Resultados 3
95
7. Bloquear usuario.
a) Ingresar a la opción Administración Usuarios>Monitoreo de Usuarios
b) Seleccionar al usuario por Bloquear: Jaime Sánchez, de quien ya se validó
el acceso satisfactorio previamente, ver Ilustración 109.
c) Ir al menú inicio e ingresar con el usuario de Jaime Sánchez, el cual no
deberá ingresar al aplicativo, ver Ilustraciones 111 y 63.
Ilustración 108. Evidencias de Pruebas sobre Bloqueo de usuario
Ilustración 110. Evidencias de Pruebas sobre Bloqueo de usuario / Validación 1
96
Case:
8. Creación de rol.
a) Ingresar a la opción Administración Usuarios>Monitoreo roles>Crear Rol.
b) Se ingresa el nombre del nuevo rol.
c) Se da clic en el botón Guardar, ver Ilustración 114.
Ilustración 112. Evidencias de Pruebas sobre Bloqueo de usuario / Validación 2
Ilustración 113. Evidencia de Pruebas sobre Creación de roles
97
d) Deberá aparecer en la lista de roles, el nuevo rol creado, ver Ilustración 65.
Case:
9. Modificación de rol.
a) Ingresar a la opción Administración Usuarios>Monitoreo
roles>Administración de Roles
b) Seleccionar de la lista el rol a modificar.
c) Validar que se pueda habilitar o deshabilitar los accesos a cada uno de los
módulos que componen este aplicativo, ver Ilustración 116.
Ilustración 115. Evidencia de Pruebas sobre Creación de roles / Resultado 1
98
d) Se deshabilito el módulo de “Reporte de Notificaciones” por lo cual se
espera que el usuario con rol operativo, no pueda ingresar al módulo
mencionado
e) Se ingresa a la aplicación con rol operativo y se valida que no tenga
acceso a esta opción, ver Ilustración 118.
Ilustración 117. Evidencia de pruebas sobre modificación de roles.
Ilustración 119. . Evidencia de pruebas sobre modificación de roles / Resultados
99
Case:
10. Crear cuestionario Nuevo, relacionado a la organización previamente registrada.
a) Ingresar a la opción Cuestionarios>Nuevo.
b) Se seleccionan los campos solicitados: organización, componentes,
principios, puntos de enfoque, fecha de inicio de vigencia y fecha de fin de
vigencia con los que se desea conformar el cuestionario COSO, ver
Ilustración 121.
c) Una vez seleccionados los elementos, se valida el registro satisfactorio del
cuestionario, ver Ilustración 122.
Ilustración 123. Evidencia de Pruebas sobre Crear cuestionario Nuevo. / Resultados
Ilustración 120. Evidencia de Pruebas sobre Crear cuestionario Nuevo.
100
Case:
11. Asignar preguntas Adicionales al cuestionario previamente creado.
a) Se ingresa a la opción Cuestionarios>Adicionar Preguntas Específicas.
b) Se ingresa la organización y el cuestionario deseado: “Empresa BIEN
segura” y el cuestionario 078, creado previamente.
c) Se ingresa la relación a la que debe asignarse la pregunta específica, es
decir, se elige el componente, principio y punto de enfoque al que se
relacionara la nueva pregunta.
d) Se seleccionó el botón agregar.
e) Se poblaron los campos: Pregunta Adicional, Recomendación, nivel de
riesgo, descripción del riesgo.
f) Se validó que el tiempo de vencimiento de la recomendación lo arroje
satisfactoriamente el sistema, según el nivel del riesgo seleccionado
previamente.
g) Para guardar la pregunta adicional, se seleccionó el botón guardar, ver
Ilustración 124.
101
Ilustración 125. Evidencia de pruebas sobre: Asignar preguntas Adicionales a un cuestionario existente
102
h) Se validó el almacenamiento de la información satisfactoriamente, ver
Ilustraciones 126 y 72.
Ilustración 128. Evidencia de pruebas sobre: Asignar preguntas Adicionales a un cuestionario existente / validación 2
Ilustración 127. Evidencia de pruebas sobre: Asignar preguntas Adicionales a un cuestionario existente / validación 1
103
Case:
12. Editar Cuestionario previamente creado.
a) Se ingresó a la consulta de Cuestionarios, agregando el número de
cuestionario 78.
b) Se identifica la fecha de inicio y fin de vigencia.
c) Se seleccionó la opción “actualizar”, ver Ilustración 129.
d) Se cambió la fecha de vigencia, único dato actualizable en el cuestionario,
ver Ilustración 131.
Ilustración 130. Evidencia de pruebas sobre: Editar Cuestionario previamente creado.
Ilustración 132. . Evidencia de pruebas sobre: Editar Cuestionario previamente creado / Resultados 1
104
e) Se valida que la fecha se actualizó correctamente, ver Ilustración 133.
Case
13. Consultar Cuestionario previamente creado.
a) Se ingresó a la pantalla de Cuestionarios>Nuevo y se seleccionó el botón
“Consultar Cuestionarios”.
b) Se realiza la búsqueda del cuestionario deseado: 078
c) Se validó que el cuestionario se creó satisfactoriamente, ver Ilustración 135.
Ilustración 134. . Evidencia de pruebas sobre: Editar Cuestionario previamente creado. / Resultados 2
Ilustración 136. Evidencias de pruebas sobre: Consultar Cuestionario previamente creado
105
Case
14. Consultar puntajes totales del cuestionario previamente creado.
a) Se ingresó a la pantalla de Cuestionarios>Validar Puntajes Totales.
b) Se realizó la búsqueda del cuestionario deseado, agregando en el criterio
de búsqueda la organización y el número de evaluación correspondiente.
c) Se visualizó en pantalla la calificación a mostrar en las evaluaciones
finalizadas, conforme a la regla de negocio previamente solicitada, ver
Ilustración 137.
Case
15. Consultar la estructura del cuestionario previamente creado.
d) Se ingresó a la pantalla de Cuestionarios>Consultar Planilla Cuestionario.
e) Se seleccionó el botón “Buscar”.
f) Se agregaron los filtros de Organización y numero de evaluación.
Ilustración 138. Evidencias de pruebas sobre: Consultar puntajes totales
106
g) Se validó que este módulo mostrara en pantalla todas las preguntas de
acuerdo a lo solicitado en la creación del cuestionario, incluyendo la
pregunta adicional, ver Ilustración 139.
Case
16. Distribuir la evaluación creada a los usuarios previamente registrados.
a) Se ingresó a la pantalla de Cuestionarios>Envío de Cuestionarios.
b) Se validó que al agregar la organización y el número de cuestionario
dentro de los filtros, apareciera la relación de usuarios contemplados o
agregados bajo esa organización, ver Ilustración 141.
Ilustración 140. Evidencias de Pruebas sobre: Consultar la estructura del cuestionario previamente creado
107
c) Se validó que al seleccionar el Check que aparece en el grid por cada
registro del lado izquierdo y posterior a la redacción del correo, se pudieran
enviar los avisos electrónicos correspondientes a todos los involucrados
deseados, ver Ilustraciones 143 y 81.
Ilustración 142. Evidencias de Pruebas sobre la distribución de cuestionarios, previamente creados.
108
Ilustración 144. Evidencias de Pruebas sobre la distribución de cuestionarios, previamente creados / Creación
del cuerpo del correo.
Ilustración 145. Evidencias de Pruebas sobre la distribución de cuestionarios, previamente creados /
Validación del envío.
109
Case
17. Validar la regla del llenado de Datos Generales, previo a la captura de
respuestas.
a) Se ingresó a la pantalla de Cuestionarios>Responder Cuestionarios.
b) Se agregaron en la opción de búsqueda, la organización “Empresa BIEN
segura” y el número de cuestionario 78.
c) Se valida que aparece la alerta donde se notifica que antes de responder
el cuestionario se debe registrar informacion dentro de la pantalla Captura
de datos generales de forma satisfactoria y de acuerdo a las reglas
operativas, ver Ilustración 146.
Case
18. Validar el no acceso a evaluaciones, no distribuyendo previamente los
cuestionarios.
a) Se ingresó a la pantalla de Cuestionarios>Responder Cuestionarios con el
usuario creado previamente: [email protected], al cual no se le
realiza la distribución del cuestionario.
b) Se identifica satisfactoriamente que si no se distribuye el cuestionario al
usuario, éste no tendrá acceso al cuestionario, ver Ilustración 148.
Ilustración 147. Evidencia de pruebas sobre: Validación de Regla de llenado de datos previo a la
respuesta de cuestionarios.
110
Case
19. Validar el acceso a cuestionarios, previamente distribuidos.
a) Se ingresó a la pantalla de Cuestionarios>Responder Cuestionarios con el
usuario [email protected]
b) Se ingresa satisfactoriamente la información requerida en la pantalla
“Captura de Datos Generales”, ver Ilustración 150.
Ilustración 149. Evidencia de pruebas sobre: Validación de no acceso a evaluaciones, sin distribución previa.
Ilustración 151. Evidencia de pruebas sobre: Validación de acceso a evaluaciones, con distribución
previa.
111
c) Se identificó de manera satisfactoria que una vez finalizada la capturar la
información en la pantalla “Datos Generales”, relacionada al cuestionario
78, el usuario logro ingresar a la opción de “Responder Cuestionario”, sin
que apareciera ninguna alerta adicional, ver Ilustración 152.
Case
20. Validar la captura de respuestas correspondientes.
a) Se ingresó a la opción Cuestionarios>Responder Cuestionarios.
b) Se validó que el aplicativo permitiera buscar el Cuestionario a responder.
c) Se validó que el aplicativo permitiera seleccionar una de las 4 posibles
respuestas en cada una de las preguntas y permitiera capturar
Ilustración 153. Evidencia de pruebas sobre: Validación de Regla de llenado de datos previo a la respuesta de
cuestionarios/ sin alerta.
112
observaciones en los espacios habilitados para cada pregunta, de manera
satisfactoria, ver Ilustración 154.
Case
21. Validar el anexo de evidencias por pregunta.
a) Se ingresó a la opción Cuestionarios>Responder Cuestionario.
b) Se validó que el aplicativo permitiera buscar el Cuestionario a responder.
c) Se validó que el aplicativo permitiera adjuntar documentos en cada una
de las preguntas, de manera satisfactoria, ver Ilustración 156.
Ilustración 155. Evidencia de pruebas sobre: Captura de respuestas correspondientes.
113
Case
22. Validar la información de Literatura y Nivel de Riesgo por pregunta.
a) Se ingresó a la opción Cuestionarios>Responder Cuestionario.
b) Se validó que el aplicativo permitiera buscar el Cuestionario a responder.
c) Se validó que cada una de las preguntas contuviera su Literatura y Nivel
correspondiente, de forma satisfactoria, ver Ilustraciones 88 y 89.
Ilustración 157. Evidencias de pruebas sobre: validación de anexo de evidencias por pregunta
114
Ilustración 158. Evidencias de pruebas sobre: Validar la información de Literatura y Nivel de Riesgo
por pregunta.
115
Case
Ilustración 159. Evidencias de pruebas sobre: Validar la información de Literatura y Nivel de Riesgo
por pregunta/ Evidencia 2
116
23. Validar el almacenamiento de los resultados, sin finalizar el cuestionario.
a) Se ingresó a la opción Cuestionarios>Responder Cuestionario.
b) Se validó que el aplicativo permitiera buscar el Cuestionario a responder.
c) Se respondieron solo las primeras tres preguntas del cuestionario.
d) Se seleccionó la opción Guardar, a fin de poder regresar posteriormente y
continuar con la captura.
e) Se identificó la notificación sobre el almacenamiento de las respuestas de
la evaluación, ver Ilustración 161.
d) Se ingresó nuevamente al aplicativo, seleccionando el cuestionario 78.
e) Se identifica que las respuestas seleccionadas previamente, se
almacenaron de manera satisfactoria, ver Ilustración 163.
Ilustración 162. Evidencias de Pruebas sobre: Validar el almacenamiento de los resultados, sin finalizar el
cuestionario / Resultados
Ilustración 160. Evidencias de Pruebas sobre: Validar el almacenamiento de los resultados,
sin finalizar el cuestionario
117
Case
24. Validar la regla de la habilitación de la declaratoria de aceptación, previo a la
finalización de la evaluación.
a) Se ingresó a la opción Cuestionarios>Responder Cuestionario.
b) Se finaliza la captura de las respuestas del cuestionario.
c) Se habilita el check de “Declaratoria de Aceptación”.
d) Se valida que aparezca en pantalla la leyenda considerada como la
declaratoria de aceptación.
e) Se identifica satisfactoriamente la leyenda esperada, ver Ilustración 164.
Case
25. Validar la finalización del cuestionario, identificando la evaluación asignada por
el sistema.
a) Se ingresó a la opción Cuestionarios>Responder Cuestionario.
b) Se finalizó la captura de cada una de las preguntas solicitadas.
c) Se habilito la declaratoria de aceptación requerida.
d) Se habilito el check de finalización de cuestionario.
Ilustración 165. Evidencia de pruebas sobre: La activación de la Declaratoria de aceptación.
118
e) Se validó satisfactoriamente la evaluación en línea que arroja el aplicativo,
mostrando en pantalla los resultados obtenidos, ver Ilustración 166.
Case
26. Validar el estatus de los correos distribuidos con la información de las
evaluaciones solicitadas, y el estatus de las mismas.
a) Se ingresó a la opción Reporte de Notificaciones.
b) Se seleccionó la organización: “Empresa BIEN segura”.
c) Se seleccionó la opción “Enviados”, dentro del filtro “Envío de Email”.
d) Se seleccionó el cuestionario 78.
e) Se seleccionó la opción “Todos” dentro del filtro “Estatus Cuestionario”
f) Se validó que la pantalla muestra satisfactoriamente el estatus del envío de
la distribución de las notificaciones de resolución de cuestionarios, y
adicional muestra el estatus de esas evaluaciones, ver ilustraciones 94 y 95.
Ilustración 167. Evidencias de prueba sobre: Evaluación en línea.
119
Ilustración 168. Evidencias de pruebas sobre: Reporte de notificaciones.
Ilustración 169. Evidencias de pruebas sobre: Reporte de notificaciones. / Validación de estatus de
envíos - cuestionarios.
120
Case
27. Validar las preguntas contestadas de manera deficiente, correspondientes a las
evaluaciones previamente contestadas.
a) Se ingresó a la opción Tracking File.
b) Se seleccionó la organización: “Empresa BIEN segura”.
c) Se seleccionó el cuestionario 78.
d) Se seleccionó el botón Buscar.
e) Se validó satisfactoriamente que el aplicativo mostro aquellas evaluaciones
contestadas de manera deficiente, ver Ilustración 170.
Case
28. Validar que la información a capturar en la pantalla Datos Generales,
corresponda a lo solicitado y ésta se almacene de forma correcta.
a) Se ingresó a la opción “Datos Generales>Captura”.
b) Se inicia la captura de la información requerida.
Ilustración 171. Evidencias de pruebas sobre Tracking File.
121
c) Se identifica de manera satisfactoria que la información solicitada en este
módulo está completa, ver Ilustraciones 97,98, 99, 100,101 y102.
Ilustración 172. Evidencias de Pruebas sobre: Pantalla Captura de Datos Generales
Ilustración 173. Evidencias de Pruebas sobre: Pantalla Captura de Datos Generales / sección 2
122
Ilustración 174. Evidencias de Pruebas sobre: Pantalla Captura de Datos Generales / sección 3
Ilustración 175. Evidencias de Pruebas sobre: Pantalla Captura de Datos Generales / sección 4
123
Ilustración 176. Evidencias de Pruebas sobre: Pantalla Captura de Datos Generales / sección 4
Ilustración 177. Evidencias de Pruebas sobre: Pantalla Captura de Datos Generales / sección 5
124
Case
29. Validar que la pantalla de consulta de datos generales arroja la información
previamente capturada.
a) Se ingresó a la opción “Datos Generales>Consulta”.
b) Se agregó en el filtro de búsqueda la palabra clave “Andrea”, sobre la cual
fueron capturados previamente los datos.
c) Se valida satisfactoriamente que la pantalla de consulta, muestra los datos
previamente registrados, ver Ilustración 178.
Case
30. Validar que la gráfica de FODA arroja la información de los cuestionarios
previamente contestados, con formato de 4 grids con los colores solicitados.
a) Se ingresó a la opción “Indicadores>FODA”.
b) Se ingresan los filtros de búsqueda deseados: “Empresa BIEN segura” y
Cuestionario n.78.
c) Se identifica que el indicador si arroja información correspondiente al
cuestionario deseado, ver Ilustración 180.
Ilustración 179. Evidencias de pruebas sobre: Pantalla Consulta Datos Generales.
125
Case
31. Validar que la gráfica de HeatMap arroja la información de los cuestionarios
previamente contestados.
a) Se ingresó a la opción “Indicadores>HeatMap”.
b) Se ingresan los filtros de búsqueda deseados: “Empresa BIEN segura” y
Cuestionario n.78.
c) Se valida de manera satisfactoria que el indicador arroja información
relacionada al cuestionario 78, ver Ilustración 182.
Ilustración 181. Evidencia de pruebas sobre: La información que muestra el indicador FODA.
126
Case
32. Validar que la gráfica de Pastel, arroja la información de los cuestionarios
previamente contestados en forma de sector.
a) Se ingresó a la opción “Indicadores>Pastel”.
b) Se ingresan los filtros de búsqueda deseados: “Empresa BIEN segura” y
Cuestionario n.78.
c) Se valida que la gráfica arroja la información deseada, ver Ilustración 184.
Ilustración 183. Evidencia de pruebas sobre: La información que muestra el indicador HeatMap
127
Case
33. Validar que la gráfica de Cubo, arroja la información de los cuestionarios
previamente contestados en forma de CUBO, considerando solo componentes y
principios.
d) Se ingresó a la opción “Indicadores>CUBO”.
e) Se ingresan los filtros de búsqueda deseados: “Empresa BIEN segura” y
Cuestionario n.78.
f) Se identifica que la información aparece de forma satisfactoria, ver
Ilustración 186.
Ilustración 185. Evidencia de pruebas sobre: La información que muestra el indicador Pastel
129
3.7 Preparaciones Finales
En la fase de “Final Preparation”, se tienen que concluir todas las actividades necesarias
para la puesta en marcha del aplicativo desarrollado.
En esta fase se tienen que enfocar los esfuerzos en el plan de implementación, el cual
incluye la estrategia del deploy o publicación del aplicativo, el plan de rollback y el
entrenamiento a los usuarios finales.
A continuación se muestra la estrategia que se seguirá para realizar el deploy de la
aplicación, es decir, el plan de implementación (ver Tabla 3), y en caso de que se
presentara alguna incidencia o eventualidad durante la implementación, se detalla el
plan de rollback (ver Tabla 1), el cual tendrá que garantizar que los ambientes se
quedan con la funcionalidad previa a la instalación de los nuevos componentes.
Tabla 2. Plan de implementación (CutOver)
Tabla 1. Plan de Rollback
130
En lo que se refiere al entrenamiento a los usuarios, adicional a la ejecución de pruebas,
se consideró un entrenamiento de 4 horas en línea para 3 usuarios funcionales, periodo
durante el cual se les apoyo en la ejecución de escenarios end to end.
Adicional al entrenamiento, se entregó un manual de usuario en el cual se detalla la
funcionalidad de cada uno de los módulos.
Al finalizar las actividades anteriores, el usuario final podrá aprobar el inicio de la
ejecución del plan de implementación en ambientes productivos.
3.8 Implementación
Dado que se cuenta con las aprobaciones del usuario final sobre las pruebas UAT y el
training, se logra avanzar a la fase “Go Live and Support”, fase en la que se pone en
marcha la ejecución del plan de implementación.
Una vez que el sistema se pone a disponibilidad de todos los usuarios y éstos lo operan,
el equipo del proyecto deberá realizar el “Transfer Knowledge” al equipo de soporte,
este último responsable de la atención de incidencias en la operación del día a día,
posterior a la etapa de Hyper-care o estabilización del aplicativo.
Para esta fase se tiene considerado el entregable “Support Approval Document”
(Anexo 8), documento en el cual se le detalla al equipo de soporte las características
del aplicativo y principalmente el “modelo de soporte a seguir en caso de incidencias
reportadas”, mismo que se consideró en el proyecto, con la aprobación de usuario
funcional.
3.9 Cierre del proyecto
Una vez que se finaliza el Hyper-Care, se puede avanzar a la fase “Project Closure”, en
la cual se comunica el cierre formal del proyecto.
En esta fase es de gran importancia considerar como entregable el documento “Lesson
Learned”, en el cual donde se plasman las lecciones aprendidas que se recabaron en
cada una de las fases de la gestión del proyecto (ver Tabla 3).
131
Previous Project Lessons Learned/Best Practices
Ref
No Project Name
Date
Identified
(dd/mm/yy)
Type of Lesson
Learned
PLM Phase LL
Identified/Impacted Description
1 APASCI_BASECOSO 01/10/2015 Best Practice Feassibility and Approval
Es necesario contar con un
Business Case, previo a la
solicitud de reuniones con los
equipos involucrados.
2 APASCI_BASECOSO 01/02/2016 Lesson Learned Business BluePrint
Es necesario iniciar las
definiciones con todos los
equipos impactados, ya que
puede ocasionar retrasos y re-
trabajo.
3 APASCI_BASECOSO 01/09/2016 Lesson Learned Realization Design
Es necesario estimar un tiempo
con suficiente holgura en caso
de que se tenga estimado la
contratación de equipo
tecnico.
4 APASCI_BASECOSO 03/03/2017 Lesson Learned Realization construction
Es necesario contemplar un
entrenamiento inicial de la
metodología a los usuarios
funcionales, en las fases
iniciales del proyecto, a fin de
que identifiquen la dinámica a
seguir en todo el proceso de
la implementación de su
requerimiento. De esta
manera el PM evitara
numerosas explicaciones
sobre los objetivos de cada
entregable de manera
132
disgregada.
5 APASCI_BASECOSO 09/08/2017 Lesson Learned Realization Test
Es necesario contemplar a la
par la especificación
funcional y los casos de
pruebas, ya que si los
escenarios se dejan posterior a
la especificación el usuario
tarda en retomar el detalle de
lo que solicito.
6 APASCI_BASECOSO 09/10/2017 Best Practice Final Preparation
Es de gran importancia
contemplar una metodologia
en la gestión de proyectos, ya
que esto ayudara a certificar
la calidad de los entregables
solicitados por los clientes. Tabla 4. Lessons Learned/Best Practices
134
Capítulo 4: Resultados Obtenidos
4.1 Comparativo de Requerimiento Inicial contra Solución entregada
Previo a la comparativa de cumplimiento, se enlistaran los requerimientos cruciales
solicitados desde el inicio del proyecto, es decir, aquellos puntos mandatorios
considerados desde el alcance inicial del proyecto:
1. Creación de Cuestionarios Nuevos (tipo COSO).
2. Captura de Datos Generales.
3. Distribución masiva de Notificaciones.
4. Pantalla de captura de Preguntas Adicionales.
5. Pantalla para Responder Cuestionarios.
6. Pantalla de Reporte de Notificaciones/ Estatus de Envío.
7. Pantalla de Reporte de Notificaciones/ Estatus Cuestionario.
8. Pantalla Tracking File.
9. Pantalla de Administración de Usuarios.
10. Pantalla con Indicador FODA.
11. Pantalla de Administración de Organizaciones.
12. Pantalla con Indicador de Pastel o Sector.
13. Pantalla con Indicador HeatMap.
14. Pantalla con Indicador CUBO.
15. Pantalla de Visualizacion de Puntajes Totales.
16. Pantalla de Monitoreo de Roles.
17. Contemplar la Relación Organización/Cuestionarios.
18. Manejo de permisos por modulo.
19. Accesos a través de correo electrónico.
20. Contemplar una Declaratoria de Aceptación.
21. Contemplar controles de seguridad en Passwords.
En base a la relación anterior, en la Tabla 5 se muestra la descripción del punto medible
que le otorga el usuario, a cada uno de los requerimientos cruciales solicitados. Éstos se
tomaran como base para determinar si el entregable cumplió con la calidad requerida.
En caso de que alguno de los puntos no se haya cumplido, en la sección comentarios
se agregara el “workaround” que propone el equipo del proyecto.
135
# Módulo Descripción del punto
Medible
SI NO Comentarios
1 Creación de
Cuestionarios
COSO
¿Se considera en
automático, la
creación de la
estructura COSO en
los cuestionarios?
X
2 Captura de Datos
Generales
¿Se logra almacenar
la información de los
encuestados en la BD,
para su consulta
posterior?
X
3 Envío de
Cuestionarios
masivos.
¿Se logra enviar las
notificaciones de
forma masiva, a los
usuarios seleccionados
para las evaluaciones?
X
4 Preguntas
Adicionales.
¿Se logran adicionar
preguntas al
cuestionario COSO?
X
5 Respuestas de
Cuestionarios
¿Al finalizar una
evaluación, el usuario
visualiza el resultado
de inmediato?
X
6 Reporte de
Notificaciones
¿Se logra visualizar el
estatus de las
notificaciones
enviadas por correo
electrónico?
X
7 Reporte de
Notificaciones
¿Se logra visualizar el
estatus de los
cuestionarios, en
función del estatus de
las notificaciones de
envío?
X
8 Tracking File ¿Se logra visualizar
aquellas preguntas
contestadas de
manera deficiente?
X
9 Administración de
Usuarios
¿Se logra el alta de
usuarios masivos, a
través de archivo
Excel?
X
Se puede
realizar el
alta de
usuarios de
forma
136
individual
10 Indicador FODA ¿Se logra la
visualización del
indicador FODA
solicitado?
X
11 Administración de
Organizaciones
¿Se logra el registro,
edición y consulta de
Organizaciones?
X
12 Indicador Pastel ¿Se logra la
visualización del
indicador de sectores?
X
13 Indicador
HeatMap
¿Se logra la
visualización del
indicador de
HeatMap?
X
14
Indicador CUBO ¿Se logra visualizar el
cubo incluyendo las
leyendas de los
principios, dentro de
éste?
X
15 Relación
Organización/
Cuestionarios
¿Se logra la relación
entre organizaciones y
cuestionarios?
X
16 Permisos ¿Se logra el
cumplimiento de roles,
es decir, los usuarios de
cierta organización A,
no pueden consultar lo
de la organización B?
X
17 Accesos a través
de correo
electrónico
¿Se logra el acceso a
través de una sola
cuenta de correo
electrónico?
X
18
Visualización de
Puntajes Totales.
¿Se logra la
visualización de los
puntajes totales a
considerar, según la
estructura COSO?
X
19 Monitoreo de
Roles
¿Se logra la asignación
de roles/Módulos
esperada?
X
20 Declaratoria de
Aceptación
¿Se logra la
visualización de la
declaratoria de
aceptación de los
X
137
cuestionarios, previo a
la finalización de
éstos?
21 Password ¿Se cumple con los
controles de
seguridad, en la
creación de
Password?
X
Tabla 6. Comparativo de Requerimiento Inicial contra Solución entregada
Resultados de cumplimiento, según ponderación proporcionada por usuario funcional:
Como se observa en la siguiente gráfica de cumplimiento (ver Ilustración 188), el usuario
evalúa la entrega con un 95% de satisfacción y solo identifica un área de oportunidad
en mejoras dentro del módulo de administración de usuarios.
95%
5%
CUMPLIMIENTO
CUMPLIDO NO CUMPLIDO
Ilustración 189. Gráfica de Cumplimiento.
138
Conclusiones
Esta herramienta será de gran ayuda para las áreas de auditoria del control interno, ya
que se logró identificar que con la automatización del proceso completo y la
centralización de información, se erradicaron malas prácticas dentro de las
organizaciones, debido a que la aplicación indico la puesta en marcha de aquellas
recomendaciones necesarias en los puntos de evaluación registrados con deficiencias,
basadas en el informe COSO, y se pudo hacer uso de la explotación de información de
manera oportuna, la cual facilito la toma de decisiones a través de los indicadores
establecidos.
Se alcanzó una reducción de gastos de operación en las áreas de auditoria, ya que en
lugar de enviar a un auditor a la institución u organización, los encuestados ingresaron a
la aplicación desde sus sitios de trabajo, logrando de esta manera un incremento en la
productividad del área, maximizando los análisis de las respuestas obtenidas.
Con lo anterior, se asume que se logró una alineación entre las actividades de las áreas
y los objetivos de la empresa, teniendo como meta futura la disminución del indicador
de corrupción en empresas públicas.
Ahora bien, cabe señalar que este aplicativo presenta algunas áreas de oportunidad,
las cuales se pudieran retomar en una segunda fase. Estas mejoras consistirán en un
monitoreo activo de regreso, es decir, considerarían el seguimiento de la ejecución de
las recomendaciones y las evidencias con las que se sustentara la puesta en marcha
de estas mejores prácticas, que son sugerencia del informe COSO, mismas que
persiguen una gestión perfecta en el control interno.
Esta iniciativa aportara grandes beneficios cualitativos en cuanto al rendimiento
financiero, se identifica una disminución considerable en los gastos de operación, los
cuales se derivan por concepto de viáticos de los auditores hacia las organizaciones o
entidades por auditar.
La gestión del proyecto SECI se realizó satisfactoriamente, obteniendo un 95% de
satisfacción por parte del área de negocio. Con lo anterior se concluye que tanto los
objetivos, alcances y requerimiento se lograron dentro de los estándares solicitados.
139
El área de oportunidad del 5% que se identifica dentro del módulo de administración de
usuarios, se podrá gestionar también dentro de la segunda fase que se mencionó con
anterioridad. En caso de requerir modificaciones mayores o la integración de nuevas
modalidades, se estaría registrando un proyecto fase II, o bien, si se desearan cambios
menores se registraría el “upgrade” a través de un cambio, en donde se solicitarían
únicamente estas mejoras continuas.
Durante el desarrollo de esta Tesis, se fueron identificando varios puntos importantes en
la gestión de un proyecto, tales como la metodología, la cual jugó uno de los papeles
estelares, y es que sin ésta, el proyecto no podría tener un plan, una ejecución exitosa, y
mucho menos un monitoreo y control sobre los requerimientos solicitados por las distintas
áreas de negocio, o bien, clientes directos.
Otro de los puntos transcendentales en la gestión de este proyecto fue la integración
de cada una de las partes clave requeridas, esto es, sin un trabajo en equipo se habrían
presentado deficiencias durante su ejecución.
El papel que realizo el alcance del proyecto a lo largo de la gestión, también fue
crucial, ya que cualquier modificación a éste elemento hubiera impactado en tiempo y
costo a la presente iniciativa, poniendo en riesgo el entregable ya comprometido.
El elemento Tiempo también fue uno de los puntos significativos, ya que en base a este
se tuvieron que contemplar las actividades de todos los recursos asignados a la
iniciativa teniendo en mente siempre, la fecha de cumplimiento del entregable.
Otro punto a considerar en la ejecución de esta iniciativa fue el Costo. En este se
incluyeron procesos para estimar, presupuestar, financiar y controlar los gastos a fin de
que se completara el presupuesto dentro de los plazos estimados, y no caer en déficit
antes de la entrega.
Tal como se mencionó al inicio de este apartado, la Calidad fue otro de los elementos
substanciales en la gestión de esta iniciativa, ya que se tenía que garantizar en todo
momento la satisfacción del cliente.
El siguiente elemento identificado fueron los Recursos Humanos, ya que sin la
organización y seguimiento correcto del personal participante no se hubiese
garantizado el trabajo en equipo.
La Comunicación fue otra área significativa en la cual se apoyó el Project Manager, ya
que a través de ésta se le notificó a todos los involucrados el avance el proyecto. Es a
través de esta área del conocimiento donde se compartieron las preocupaciones de
los riesgos que se fueron presentando a lo largo de la ejecución de este proyecto, todo
140
ello con el fin de tomar acciones oportunas y adecuadas entre todos los líderes
participantes, tanto de IT como del negocio.
Los Stakholders fueron de gran apoyo, ya que sin su participación eficaz, esta iniciativa
no hubiese logrado sus objetivos.
A lo largo de la ejecución de esta iniciativa, se fueron identificando Riesgos, elementos
importantes dentro de esta gestión, ya que conforme se fueron presentando, se tenían
que determinar los procesos o actividades necesarias para su mitigación, lo cual al
paso del tiempo fue fortaleciendo cada vez más el entregable.
“Victoria es lo que sucede cuando mil horas de entrenamiento se cruzan con una
oportunidad” Mireia Poch
141
BIBLIOGRAFIA
Ablan Bertone, N. &. (2010). Los sistemas de control interno en los entes decentralizados estadales y municipales
desde la perpectiva COSO. UNAM Clase Library Catalog.
Actualicese. (9 de Abril de 2015). Limitaciones del Control Interno. Obtenido de http://actualicese.com/:
http://actualicese.com/2015/04/09/limitaciones-del-control-interno/
Alexander Redlein. (2008). Reference Processes and Internal Control Systems within Facility. Austria:
https://www.researchgate.net/profile/Keith_Alexander4/publication/264627067_Facilities_Management_
Processes/links/53e9dc170cf2dc24b3cadfc7.pdf#page=67.
Alexander Redlein, B. G. (2008). Reference Processes and Internal Control Systems within Facility Management.
Austria:
https://www.researchgate.net/profile/Keith_Alexander4/publication/264627067_Facilities_Management_
Processes/links/53e9dc170cf2dc24b3cadfc7.pdf#page=67.
BLOG, I. (2016). ISOTOOLS BLOG DE CALIDAD Y EXCELENCIA. Obtenido de https://www.isotools.org/:
https://www.isotools.org/2015/01/12/iso-90012015-coso-como-metodologia-gestion-riesgo/
Crowe, A. (2014). The PMP EXAM How to pass on your first Try. United States of America: Velociteach.
FUNIBER. (Marzo de 2014). La importancia de la Auditoria. Obtenido de http://blogs.funiber.org/:
http://blogs.funiber.org/direccion-empresarial/2014/03/24/la-importancia-de-la-auditoria
g. (s.f.). Obtenido de https://www2.deloitte.com/content/dam/Deloitte/mx/Documents/risk/COSO-Sesion1.pdf
Galaz, Y. R. (2015). Deloitte COSO. Obtenido de https://www2.deloitte.com/:
https://www2.deloitte.com/content/dam/Deloitte/mx/Documents/risk/COSO-Sesion1.pdf
142
Giovanny, F. (11 de Mayo de 2001). Control interno en la organización empresarial. Obtenido de gestiopolis:
http://www.gestiopolis.com/control-interno-organizacion-empresarial/
Gómez Lopez, R. (2016). GENERALIDADES EN LA AUDITORÍA. Obtenido de http://www.eumed.net/:
http://www.eumed.net/cursecon/libreria/rgl-genaud/1i.htm
Gutierrez, M. (Marzo de 2011). Auditoria. Obtenido de http://auditoria.over-blog.com/article-auditoria-
68941282.html
IAIA. (2016). Instituto de Auditores Internos de Argentina. Obtenido de //iaia.org.ar/: https://iaia.org.ar/auditor-
interno/definicion-auditoria-interna/
Jiménez, R. (2016). Procesos para hacer una Auditoria. Obtenido de http://www.academia.edu/:
http://www.academia.edu/9521692/Procesos_para_hacer_una_Auditoria
KPMG. (2013). COSO Internal Control –Integrated Framework (2013). KPMG.
Machorro, J. G. (2014-2015). IMPLEMENTACION DE UN MODELO DE GESTION FINANCIERA BAJO EL ENFOQUE DE
ADMINISTRACIÓN DE RIESGOS PARA LA REDUCCION DE LA MOROSIDAD EN LA COOPERAATIVA DE AHORRO
Y CREDITO PROFUTURO PERIODO 2014-2015. CUENCA-ECUADOR:
http://dspace.ucuenca.edu.ec/bitstream/123456789/21764/1/TESIS.pdf.
Malica, D. (2012). Imagen Profesional Online. Obtenido de http://www.facpce.org.:
http://www.facpce.org.ar:8080/iponline/el-sistema-de-control-interno-y-su-importancia-en-la-auditoria/
México, C. d. (11 de Noviembre de 2004). El control Interno, sus Elementos, su Evaluacion por el Auditor Externo y
su efectoen el trabajo de Auditoria de Estados Financieros. Obtenido de http://www.ccpm.org.mx/:
http://www.ccpm.org.mx/avisos/boletines/boletinauditoria3.pdf
Rocio, I. (Diciembre de 2016). LosTipos.com. Obtenido de http://www.lostipos.com/de/auditoria.html
Romero, J. (2012). Auditoría del control interno. Obtenido de gestiopolis: http://www.gestiopolis.com/auditoria-
del-control-interno/
Santillana, J. R. (2013). Auditoria Interna. Mexico: PEARSON. Obtenido de http://fullchismes.com/wp-
content/uploads/2016/10/Auditor%C3%ADa-interna-3ra-Edici%C3%B3n-Juan-Ram%C3%B3n-Santillana.pdf
144
ANEXO 1
Project Tailoring Matrix
AUTOMATIZACIÓN DEL PROCESO DE AUDITORÍA SOBRE EL CONTROL
INTERNO EN SECTORES PÚBLICOS Y PRIVADOS, BASADO EN METODOLOGÍA
COSO
Nombre Corto
APASCI_BASECOSO
Número Proyecto 0001
5 / Enero / 2017
146
En las ilustraciones 109 y 110, se muestran los resultados del Project Tailoring, el cual contiene el cruce de entregables por
fase vs los diferentes roles que se manejaran en el proyecto.
Se anexa documento en Excel para mejor visibilidad.
PPT_SECI.xls
Ilustración 190. Anexo 1 / PTT 1
148
Business Case Document
ANEXO 2
Business Case Document
AUTOMATIZACIÓN DEL PROCESO DE AUDITORÍA SOBRE EL CONTROL
INTERNO EN SECTORES PÚBLICOS Y PRIVADOS, BASADO EN METODOLOGÍA
COSO
Nombre Corto
APASCI_BASECOSO
Número Proyecto 0001
10 / Enero / 2017
149
Business Case Document
TABLE OF CONTENTS
1. Purpose
2. Introduction
3. Executive Summary
3.1 Programme Context: Name.
3.2 Synopsis of Business Case Assessment
4. Project SMART Objectives
5. Project Success Criteria
6. Are we doing the right things? (Why?)
6.1 Financial Benefits.
6.2 Overview of Cash Inflows (examples of benefits).
6.3 Financial Costs.
6.4 Overview of Cash Outflows (examples of IT project capital/operating
costs).
6.5 Non-financial Benefits (alignment).
6.6 Organizational Change Impact
6.7 Impact of Not Doing the Project
7. Benefits Realization Plan
8. Signatures
150
Business Case Document
AUTHOR: Diana Vazquez
REVISION
DATE BY: VERSION DESCRIPTION OF CHANGE
(INCLUDE REFERENCE TO ANY REQUEST FOR CHANGE NUMBERS)
10 Enero 2017
Diana Vazquez 1.0 Creación
Review/Approval History
REVIEW / APPROVAL DATE
BY: ACTION
26/Enero/2017 Francisca López Revisión PMO
26/Enero/2017 Angélica Hidalgo Revisión financiera del Business Case
1. Purpose
El propósito del documento Business Case para el proyecto “AUTOMATIZACIÓN DEL
PROCESO DE AUDITORÍA SOBRE EL CONTROL INTERNO EN SECTORES PÚBLICOS Y
PRIVADOS, BASADO EN METODOLOGÍA COSO” es tener un resumen de los beneficios,
inversión, plan de proyecto y riesgos potenciales.
Este documento proporciona la visión general del alcance y todo lo relacionado con el
proyecto.
2. Introduction
1. Are we doing the right things?
Actualmente existe la necesidad de alinear y automatizar los procesos de evaluación
del control interno que se llevan a cabo en las áreas de auditoria, la cual actualmente
se rige en base a la metodología COSO.
Se identifican grandes áreas de oportunidad en la creación de un sistema evaluador de
control interno ya que hoy en día, las auditorias se llevan a cabo de forma manual,
invirtiendo gran cantidad de tiempo y recursos específicos para estas actividades,
adicional a la existencia de errores en la captura de la información.
151
Business Case Document
Posterior a la captura de los datos, estos son enviados a otras personas, las cuales
deben realizar indicadores específicos dirigidos a altos niveles, en donde se logra
identificar que la información no es oportuna.
Se identifica la inversión de gran cantidad de tiempo, recursos tanto financieros como
humanos sin mencionar la descentralización de la información.
Dado lo anterior sería ideal contar con un sistema evaluador de control interno, el cual
eliminaría la mayoría de las áreas de oportunidad que se identifican en el proceso, falta
de información oportuna, re-trabajo y gastos excesivos, los cuales no permiten que se
cumplan los objetivos y alcances de las organizaciones e instituciones, ni se identifiquen
claramente malos hábitos realizados por los empleados o inclusive temas de corrupción.
2. Are we doing them the right way?
Hoy en día el proceso de auditoría del control interno se realiza de forma manual, lo
que permite considerar la existencia de errores en captura o interpretación de
información, según los auditores a cargo. Adicional a lo anterior, se identifican diversas
áreas de oportunidad, en las cuales desean trabajar los principales usuarios del negocio
(Auditoria).
Se desea disminuir los siguientes indicadores:
Falta de información oportuna.
Re-trabajo.
Gastos excesivos.
Incumplimiento en objetivos organizacionales/Institucionales.
Malos Hábitos.
Corrupción dentro de las organizaciones/Instituciones.
3. Are we getting the benefits?
El principal beneficio que traerá el proyecto será la disminución del indicador de
corrupción dentro de las organizaciones o instituciones gubernamentales, ya que esta
iniciativa contara con la información suficiente para evidenciar los errores en la
ejecución de los controles dentro de cada entidad gubernamental y contendrá la
información suficiente sobre los principales responsables (usuarios).
La iniciativa busca disminuir los tiempos en la aplicación de las evaluaciones,
distribución de evaluaciones, procesamiento y visualización de los resultados obtenidos
152
Business Case Document
impactando de esta manera la toma de decisiones oportuna y garantizar la aplicación
de las normas en la organización.
3. Executive Summary
3.1 Programme Context: Name
Business sponsor Eduardo Ramírez – Comptroller's Office Director
Track record of management
team
Juan Cortés – Internal Control Audit Manager
(Business Manager)
Carlos Osuna – Internal Control Audit Coordinator
(Business Leader)
Juana Martínez – Business Engagement Leader
Category of investment Tier 3
Project description/profile Automatizar el proceso de gestión de las auditorias
sobre el control Interno dentro de las organizaciones o
instituciones, bajo el informe COSO, a fin de disminuir los
tiempos en la aplicación de las evaluaciones,
distribución de evaluaciones, procesamiento y
visualización de los resultados obtenidos impactando
de esta manera la toma de decisiones oportuna y
garantizar la aplicación de las normas en la
organización.
3.2 Synopsis of Business Case Assessment
Project contribution (value) Principales Beneficios:
Disminución del indicador de corrupción.
Erradicación de Malos Hábitos.
153
Business Case Document
Automatización del “end to end” del proceso
de auditoría del control Interno.
Centralización de información.
Información oportuna.
Reducción de gastos dentro del área.
Incremento de productividad en el área.
Risk, financial return and
alignment scores
Esta iniciativa aportara grandes beneficios
cualitativos en cuanto al rendimiento financiero, se
identifica una disminución considerable en los gastos
de operación, los cuales se derivan por concepto de
viáticos de los auditores hacia las organizaciones o
entidades por auditar.
Dependencies En cuanto a dependencias duras, esta iniciativa no
presenta ninguna con algún otro proyecto.
En cuanto a dependencias blandas se tiene
contemplado que no se iniciaran los desarrollos, sin
antes contar con las aprobaciones correspondientes
de los usuarios funcionales a cargo.
Key risks De no implementar:
Continuar con los mismos niveles de corrupción y
malos habitas dentro de la organización o institución.
Continuar con procesos manuales y los errores en
captura o interpretación de información actuales.
Descentralización de información.
No se obtendrá la disminución de los Gastos de
operación en el área.
Empleados no productivos.
Actividades con re-trabajo.
Project timing (schedule) Inicio: Noviembre 2015
Fin: Agosto 2017
El plan detallado se formalizara al finalizar la etapa
de Blueprint (Abril), en donde estaremos buscando
acortar lo más posible los tiempos (de 1 a 2 meses)
debido a la prioridad del negocio.
154
Business Case Document
4. Project SMART Objectives
IDENTIFY PROJECT GOALS
AND OBJECTIVES
KEY ASSUMPTIONS
SPECIFIC DELIVERABLES METRIC/METHOD OF
MEASUREMENT
ACTUAL
RESULTS
Carga exitosa de
Evaluaciones para
aplicar.
Se asume que los SME
del negocio
proporcionaran los
cuestionarios con las
preguntas específicas
y las valoraciones
para cada pregunta
correspondiente.
Pantalla de
Conformación de
Cuestionarios.
La aplicación deberá
permitir la generación
de N cantidad de
evaluaciones en base
a la pre-carga
realizada con el
informe COSO.
N/A
Envío de
cuestionarios de
forma masiva
Se asume que la
distribución de
evaluaciones se
realizara en función
de los empleados
relacionados a las
organizaciones
correspondientes.
Pantalla de
distribución de
Evaluaciones.
La aplicación deberá
permitir el envío
masivo del número de
Evaluación a
responder, en función
a la organización o
institución
previamente
seleccionada.
N/A
Captura de
respuestas por
usuario.
Se asume que el
usuario podrá
responder la
evaluación
únicamente si esta, le
fue distribuida
previamente.
Pantalla de Captura
de Respuestas.
La aplicación deberá
permitir la captura de
respuestas de la
evaluación por
usuario, según la
organización a la que
pertenece.
N/A
Visualización de
Indicadores.
Se asume que la
información
previamente
capturada en las
evaluaciones, serán
fidedignas.
Visualización de
resultados en
Indicadores
gráficos.
La aplicación deberá
mostrar al menos dos
de las 4 gráficas
contempladas.
N/A
155
Business Case Document
5. Project Success Criteria
6. Are we doing the right things? (Why?)
6.1 Financial Benefits
A corto plazo no se identifican beneficios financieros dada la naturaleza del proyecto,
el cual se basa principalmente en proporcionar beneficios cualitativos en el “endo to
end” del proceso de auditorías sobre el control interno.
A mediano plazo se identificaría un beneficio financiero, considerando el ahorro por
concepto de viáticos, pero éste se mostraría posterior a las etapas de implementación y
estabilización de la iniciativa.
PROJECT SUCCESS
CRITERIA KEY ASSUMPTIONS
SPECIFIC DELIVERABLES METRIC/METHOD OF
MEASUREMENT ACTUAL
RESULTS
Cumplimiento de
fechas del
proyecto
establecidas
La desviación de
tiempos permita es
del 15% en base lo
permitido en las
prácticas de
proyectos.
Actividades del
proyecto
terminadas en
tiempo y calidad.
Reporte
semanal del
proyecto.
NA
Claro
entendimiento
de roles y
responsabilidades
en el proyecto
Despliegue de roles y
responsabilidades
requeridos en el
proyecto.
Matriz de
Actividades y
responsabilidades.
Entrega de
actividades
en el tiempo
establecido.
NA
Asignación de
recursos en
tiempo y
asignación de
prioridades
prontas
Contar con los
recursos requeridos
para la ejecución de
todas las actividades
planeadas.
Plan de trabajo con
fechas, actividades
y responsables a
cargo.
Plan de
trabajo con
avances y
estatus
semanales.
NA
156
Business Case Document 6.2 Overview of Cash Inflows (examples of benefits).
Dado que en el punto anterior se especifica que los beneficios financieros se
considerarían posteriormente a las etapas de implementación y estabilización de la
iniciativa, principalmente en los rubros de viáticos, a continuación se muestra el cálculo
el ahorro que se pudiera identificar posterior a dicha implementación.
6.3 Financial Costs
La inversión requerida para esta iniciativa se estima en: $ 1, 212, 750.
Los elementos considerados dentro de la inversión se detallan en el siguiente
presupuesto, ver Tabla 7.
Marzo Abril Mayo Junio Julio Agosto Septiembre Octubre Noviembre TOTAL
200 52,000$ 10,400,000$ 10,400,000$ 10,400,000$ 10,400,000$ 10,400,000$ 10,400,000$ 10,400,000$ 10,400,000$ 10,400,000$ 93,600,000$
Periodo de Viajes AnualGastos x Concepto
de viáticos Mensual
X Auditor
Numero de Auditores
Cantidad Precio Totales
Mes 1 Mes 2 Mes 3 Mes 4 Mes 5 Mes 6 Mes 7 Mes 8 Mes 9 Arranque
Computadoras 5 24,000.00$ 24,000.00$ 24,000.00$
1 800.00$ 800.00$ 800.00$ 800.00$ 800.00$ 800.00$ 800.00$ 800.00$ 5,600.00$
1 350.00$ 350.00$ 350.00$ 350.00$ 350.00$ 350.00$ 350.00$ 350.00$ 350.00$ 350.00$ 3,150.00$
Servicio Luz 1 $1,000 $1,000 $1,000 $1,000 $1,000 $1,000 $1,000 $1,000 $1,000 $1,000 $10,000
Servidor Hosting Producción 1 $3,000
1 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 270,000.00$
1 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 270,000.00$
1 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 315,000.00$
1 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 315,000.00$
Total 1,212,750.00$
Desarrollador .net
Desarrollador .net
DBA
Lider de Proyecto
Presupuesto
Duración del Proyecto
Infraestructura
Servidor Hosting Desarrollo
Servicio de Internet
Recursos
Tabla 8. Anexo 2 / Costos Financieros
157
Business Case Document 6.4 Overview of Cash Outflows (examples of IT project capital/operating costs).
Los gastos de Operación se identifican con los siguientes elementos, ver Tabla 9.
6.5 Non-financial Benefits (alignment).
Description and quantification:
Dentro de los principales beneficios no financieros que se identifican en esta iniciativa
son:
Disminución del indicador de corrupción.
Erradicación de Malos Hábitos en los empleados.
Automatización del “end to end” del proceso de auditoría del control Interno.
Centralización de información.
Información oportuna.
Reducción de gastos dentro del área.
Incremento de productividad en el área.
Eficiencia en el capital humano.
6.6 Organizational Change Impact.
Provide information about who will be the affected stakeholders in case of a change
Cantidad
Unitaria
N aproximado
mensual M1 M2 M3 M4 M5 M6 M7 M8 M9 M10 M11 M12
Soporte
1er Nivel
Generación de
ticket para
atención $80 50 $4,000 $4,000 $4,000 $4,000 $4,000 $4,000 $4,000 $4,000 $4,000 $4,000 $4,000 $4,000 48,000$
2do Nivel
Recurso Soporte 12,000$ 12,000$ 12,000$ 12,000$ 12,000$ 12,000$ 12,000$ 12,000$ 12,000$ 12,000$ 12,000$ 12,000$ 12,000$ 144,000$
Infraestructura
Servidor & Hosting 4,000$ 4,000$ 4,000$ 4,000$ 4,000$ 4,000$ 4,000$ 4,000$ 4,000$ 4,000$ 4,000$ 4,000$ 4,000$ 48,000$
240,000$
Período anual
TOTAL ANUAL
TOTAL ANUAL
Conceptos de Operación Cantidades
Tabla 10. Anexo 2 / Gastos de Operación
158
Business Case Document
and also describe the change management approach to be adopted and costs
involved in it.
Las áreas impactadas para este cambio es principalmente el área de Auditoria de
Control Interno, en la cual se encuentran 200 auditores a cargo.
El objetivo del cambio que se busca con esta iniciativa, es la automatización del
“end to end” del proceso de auditoría que se lleva a cabo actualmente dentro de
esta área, en la cual se busca que los empleados dejen de trasladarse a las sedes
por auditar, lo que reducirá costos anuales hasta por $93,600,000 MN.
Se espera que con esta automatización la información quede centralizada,
facilitando la visibilidad de información a través de los indicadores correspondientes.
La suma requerida para poner en marcha el presente proyecto es de $1, 212,750.
MN. Con una duración aproximada de 9 meses.
6.7 Impact of Not Doing the Project.
Provide the opportunity costs involved in case the project is not undertaken.
En caso de que la presente iniciativa no se lleve a cabo, el área continuaría con
varias áreas de oportunidad dentro de la ejecución de los proceso de auditoría y
continuaría generando un gasto anual de $93, 000,000 MN.
7. Benefits Realization Plan.
Generar la automatización del proceso de auditoría del Control Interno,
contemplando:
La distribución de evaluaciones
La centralización de información
La identificación de riesgos en las áreas auditadas
La visualización de indicadores en línea
Contar con información oportuna.
Generar cero gastos por temas de viáticos
159
Business Case Document
Eficientar el capital humano.
PROJECT SIGNATURES
Refer to the Project Roles and Responsibilities Matrix for required signatures. Please
indicate in the “comments” section if Project Workspace or email voting buttons are
used to capture required signatures.
*Your signature indicates your review and agreement with the content in this document
and that you are accountable for the sign-off of this completed key deliverable.
Printed Name/Title/Division Approval Signature
Date
Eduardo Ramirez
Sponsor
Comptroller's Office Director
□ Yes
□ No
Comments:
Juan Cortés
Functional Manager
Internal Control Audit
Manager
□ Yes
□ No
Comments:
Carlos Osuna
Functional Leader
Internal Control Audit
Coordinator
□ Yes
□ No
Comments:
Fernando Valtierra
IT Director
IT
□ Yes
□ No
Comments:
Juana Martínez
BEL
IT
□ Yes
□ No
Comments:
160
Business Case Document
Printed
Name/Title/Division
Approval Signature
Date
Jorge Fernández
Solution Delivery
Manager
IT
□ Yes
□ No
Comments:
Francisca López
PMO
IT/PMO
□ Yes
□ No
Comments:
Diana Vazquez,
Diana PM
IT/PMO
□ Yes
□ No
Comments:
Alejandro Rico
App Support
Manager
□ Yes
□ No
Comments:
Angélica Hidalgo
IT Finance
□ Yes
□ No
Comments:
161
Project Charter Document
ANEXO 3
Project Charter
AUTOMATIZACIÓN DEL PROCESO DE AUDITORÍA SOBRE EL CONTROL
INTERNO EN SECTORES PÚBLICOS Y PRIVADOS, BASADO EN METODOLOGÍA
COSO
Nombre Corto
APASCI_BASECOSO
Número Proyecto 0001
20 / Abril / 2017
162
Project Charter Document
TABLE OF CONTENTS
1. Purpose
2. Project Overview
3. Scope Statement
4. Project Success Criteria
5. Timelines
5.1. Gantt Chart representing all PLM phases.
5.2. Estimated dates for stage gate reviews and key milestones.
5.3. Project critical path
6. Governance
7. Project Organization Chart
8. Stakeholders Management
9. Resource Requirements (use if applicable).
9.1. Level of business involvement required during each phase.
9.2. Level of IT involvement required during each phase.
9.3. Internal vs. external resource involvement.
9.4. Key skills/knowledge required to support the project.
10. Financials (use if applicable).
11. Architecture and Operations.
12. Project Signatures.
163
Project Charter Document
1. Purpose
Este documento reconoce la existencia de un proyecto y apoya la decisión de refinar
aún más la solución del proyecto. En este documento el Patrocinador de Negocios y el
gerente del proyecto han llegado a un consenso, acordando el alcance, los resultados
globales, la gobernanza y la escalada del proyecto. La captura de este documento se
inicia en la fase “Project Preparation” con la elaboración progresiva de la declaración
de alcance a lo largo de la fase de planificación del proyecto.
2. Project Overview
PROJECT OVERVIEW
Executive Summary
Actualmente existe una petición del área de auditoria hacia el área de IT, con el
objetivo de alinear y automatizar el proceso de gestión de las auditorias sobre el
control Interno dentro de las organizaciones o instituciones, bajo el informe COSO, a
fin de disminuir los tiempos en la aplicación de las evaluaciones, distribución de
evaluaciones, procesamiento y visualización de los resultados obtenidos impactando
de esta manera la toma de decisiones oportuna y garantizar la aplicación de las
normas en la organización.
Current State – “As Is” Situation
Hoy en día, las auditorias se llevan a cabo de forma manual, invirtiendo gran
cantidad de tiempo y recursos específicos para estas actividades, dando lugar a
errores en la captura de la información.
Posterior a la captura de los datos, estos son enviados a otras personas, las cuales
deben realizar indicadores específicos dirigidos a altos niveles, en donde se logra
identificar que la información no es oportuna, ya que no se cuenta con una fuente
centralizada de información.
En los siguientes puntos se detallan los pasos actuales que se llevan a cabo para los
periodos de evaluación del control Interno en distintas sedes, ver Ilustración 192.
1. El encuestador, quien pertenece a la institución certificada, envía la
notificación al área o áreas correspondientes de la organización, objeto de
164
Project Charter Document
evaluación, por medio de un correo electrónico. En este punto se especifican
los tiempos de inicio y duración de la auditoria, así como también se solicitaran
los nombres de los principales entrevistados o responsables, quienes brindaran
las respuestas y evidencias requeridas.
2. Llegado el día de la ejecución de la auditoria, el encuestador acude a la
organización o institución correspondiente, donde quiera que esta se
encuentre, y acude directamente con el encuestador o responsable a cargo.
3. Una vez presentados los involucrados, tanto de la empresa certificadora como
del personal de la organización a cargo, se da inicio a la sesión de preguntas y
respuestas, planteadas por la organización certificadora, a fin de dar
respuesta a todas las preguntas planteadas dentro del Cuestionario
especializado. Dicho cuestionario, fue realizado previamente por un equipo
experto en base a las características de la organización o institución.
4. Durante la sesión de preguntas y respuestas, las cuales se van capturando
dentro de un archivo en Excel, el encuestador solicitara en la mayoría de los
casos, las evidencias o documentos que avalen su respuesta. Los documentos
se van adjuntando dentro de una carpeta específica para la organización.
5. La duración de la auditoria para este tipo de cuestionarios es de
aproximadamente semana y media, ya que la evaluación es extensa y en
caso de que no se tengan a la mano las evidencias, se otorga un día de plazo
para que se entreguen.
6. Al finalizar la aplicación del cuestionario, el auditor inicia el proceso de
evaluación dentro de su archivo en Excel, considerando las respuestas
proporcionadas por el encuestado. Dicha proceso implica al auditor un
esfuerzo de aproximadamente tres días, ya que adicional a la evaluación, éste
deberá contemplar la comunicación de las recomendaciones
correspondientes en las secciones con puntajes bajos.
7. Se comunican los resultados obtenidos de dicha sede a todos los involucrados,
así como las recomendaciones que se deberán aplicar en las áreas de
oportunidad identificadas. Se indicara también el periodo de tiempo con el
que se cuenta para poner en práctica dichas recomendaciones.
Los periodos de tiempo para la ejecución de las recomendaciones, por parte
165
Project Charter Document
de la organización, van desde los 30 hasta los 90 días, dependiendo del riesgo
que represente dicha recomendación.
8. En la mayoría de los casos, se espera que los encuestados o responsables a
cargo, ejecuten de manera inmediata las recomendaciones, a fin de evitar
sanciones durante revisiones posteriores.
9. Una vez comunicado los resultados, el auditor abandona la sede y se dirige a
otra a fin de evaluar también en ésta, el control interno.
Dentro de la nueva sede realizara las mismas actividades a fin de evaluar el
control interno.
10. Al finalizar el periodo de auditorías o durante la ejecución de éstas, los altos
directivos solicitan información relevante sobre los resultados obtenidos a nivel
general, por sede o por área. Lo cual implica una labor de recolección de
información, ya que cada una es realizada por distintos auditores, los cuales
contemplan su información en sus equipos y estos se encuentran realizando
otras tantas auditorias en diferentes ubicaciones.
La recolección de la información solicitada, genera un esfuerzo aproximado
de tres días, y adicional a ello se tiene que contemplar el tiempo para la
generación de gráficos e interpretación de la información, lo cual
generalmente tarda de uno a dos días.
166
Project Charter Document
Future State – “To Be” Situation
Se identifica la siguiente estrategia a seguir para cumplir con los requerimientos del
área de auditoria:
Se identifica claramente una necesidad que cubrir en la ejecución del “end to end”
del proceso de auditoría sobre el control interno.
Cómo alternativa de solución se plantean a grandes rasgos los siguientes módulos
base para conformar el sistema de gestión de auditorías sobre el control interno:
1. Módulo de Integración de la Metodología base.
Dentro de este apartado se considerara la selección de la metodología base sobre
la cual se fundamentaran los cuestionarios especializados, es decir, se considerara la
Ilustración 193Anexo 3 / AS IS Situation
167
Project Charter Document
carga de información de los cuestionarios previamente desarrollados en común
acuerdo por los expertos en la materia.
2. Módulo de Creación de Cuestionarios.
Esta sección se enfocara principalmente en la creación de cuestionarios. Estos se
crearan en base a la estructura COSO, metodología base del control interno.
Se considerara la creación de un cuestionario para cada una de las distintas
organizaciones o instituciones administradas.
Estos cuestionarios contendrán un periodo de vigencia a fin de que los usuarios
conozcan las fechas activas en que podrán dar respuesta a sus evaluaciones.
3. Distribución de Notificaciones y Asignación de Cuestionarios.
Este apartado está enfocado a la distribución de notificaciones sobre la asignación
de evaluaciones a usuarios específicos, es decir, mediante este módulo se realizaran
las notificaciones correspondientes para que, en el momento de la recepción de
estos avisos, los usuarios ingresen a la aplicación y puedan responder los
cuestionarios asignados, sin la presencia de un auditor.
4. Módulo de Evaluación de Resultados.
Esta sección está relacionada al proceso de evaluación de los resultados, en función
de los parámetros asignados o determinados por los expertos, es decir, este
apartado le proveerá al usuario el resultado de su evaluación y la interpretación del
mismo.
5. Identificación de Riesgos y Recomendaciones
Este módulo permitirá visualizar aquellas respuestas que fueron contestadas de
manera deficiente, es decir, mostrara los puntos de riesgo que se identifiquen con la
finalidad de indicar las recomendaciones, marcadas por la misma metodología, que
se tengan que poner en práctica para que este riesgo no se convierta en un
problema posteriormente para la organización.
Según la metodología COSO, actualmente se manejan diferentes niveles de riesgo
los cuales permiten asignar un plazo máximo de ejecución de la recomendación a
cada nivel, esto para garantizar que las recomendaciones señaladas se estén
ejecutando, con los documentos de las evidencias correspondientes.
168
Project Charter Document
6. Monitoreo de resultados.
En el apartado de resultados se plantea la visualización de distintos indicadores que
permitan mostrar en un “page one” los resultados obtenidos.
La Ilustración 195, corresponde al diagrama del “To Be” identificado para esta
necesidad.
Change Targets (Functions,
Organization, Geography, etc.) Roles/Jobs Impacted
Dentro de las metas de este
proyecto se identifican los
siguientes:
La incorporación de
evaluaciones en base a la
o Dirección de Contraloría
Eduardo Ramírez
o Gerencia del Control Interno
Ilustración 194. Anexo 3 / To Be Situation
169
Project Charter Document
metodología estándar,
dentro de la base de
datos.
La distribución de
notificaciones para la
ejecución de
evaluaciones de forma
masiva.
La captura de respuestas
de las evaluaciones, en
línea.
Contar con los resultados
inmediatos.
Monitoreo de riesgos.
Visualización de
Indicadores.
Administracion de varias
organizaciones en pralelo.
Juan Cortés
o Coordinación de Contraloría Interna
Carlos Osuna
Gonzalo Gutierrez
Guillermo Soler
o Coordinación de Auditoria Financiera
Silvia Ramírez
o Auditoria Operativa
Auditores Operativos (200).
Project Benefits
Key Performance Indicators(KPIs)
El sistema permitirá:
La creación de
evaluaciones a la medida
en base a los
componentes, principios y
puntos de enfoque
existentes dentro del
informe COSO, de una
manera rápida.
La distribución electrónica
de notificaciones de
forma masiva, ahorrara
Los puntos de medición de éxito del proyecto
serán:
Pantalla de Conformación de Cuestionarios:
Se permitirá la creación de cuestionarios
con los componentes, principios o puntos
de enfoque deseados en base a la
metodologia COSO.
Pantalla de distribución de Evaluaciones.
La aplicación deberá permitir el envío
masivo del número de Evaluación a
responder, en función a la organización o
170
Project Charter Document
tiempo de traslados del
personal a las sedes
correspondientes.
Adicionar evidencias que
certifiquen cada una de
las respuestas capturadas,
permitiendo contar con
una base de datos, la
cual concentre todos los
documentos
almacenados por los
propios evaluados.
La obtención de los
resultados de manera
inmediata, ahorrando
tiempo de recolección de
información e
interpretación.
Darle seguimiento a las
acciones correctivas, a fin
de que estas se lleven a
cabo incrementando a su
vez la alineación de las
actividades en las áreas
con las políticas de la
empresa y evitar errores
en los controles.
Visualización gráfica de
los resultados obtenidos a
fin de facilitar la
identificación de las áreas
de oportunidad.
Disminución del indicador
institución previamente seleccionada.
Pantalla de Captura de Respuestas
La aplicación deberá permitir la captura de
respuestas de la evaluación por usuario,
según la organización a la que pertenece.
Visualización de resultados en Indicadores gráficos.
La aplicación deberá mostrar al menos dos de
las 4 gráficas contempladas.
171
Project Charter Document
de corrupción.
Erradicación de Malos
Hábitos.
Centralización de
información.
<What measurable outcomes are
expected by the business>
Add examples
<What specific KPI’s are associated with these outcoms?>
e.g. attach business case
Add examples
Asignación y distribución
de Evaluaciones sin
necesidad del traslado de
los auditores a la cede por
auditar.
Obtención de resultados
en línea, sin necesidad de
solicitarla a los distintos
auditores.
Reducción de gastos
dentro del área, posterior
a la puesta en marcha de
la iniciativa.
Incremento de
productividad en el área.
Los puntos de medición de éxito del proyecto
serán:
Pantalla de Conformación de Cuestionarios:
Se permitirá la creación de cuestionarios
con los componentes, principios o puntos
de enfoque deseados en base a la
metodologia COSO.
Pantalla de distribución de Evaluaciones.
La aplicación deberá permitir el envío
masivo del número de Evaluación a
responder, en función a la organización o
institución previamente seleccionada.
Pantalla de Captura de Respuestas
La aplicación deberá permitir la captura de
respuestas de la evaluación por usuario,
según la organización a la que pertenece.
Visualización de resultados en Indicadores
gráficos.
La aplicación deberá mostrar al menos dos
de las 4 gráficas contempladas.
172
Project Charter Document
3. Scope Statement
SCOPE STATEMENT – WORK TO BE COMPLETED AND PARAMETERS OF THE PROJECT
Description
Cómo alcance dentro de esta la solución, se plantean los siguientes módulos base
para llevar a cabo la gestión de auditorías:
1. Módulo de Integración de la Metodología base.
Dentro de este apartado se considerara la selección de la metodología base sobre la
cual se fundamentaran los cuestionarios especializados, es decir, se considerara la
carga de información de los cuestionarios previamente desarrollados en común
acuerdo por los expertos en la materia.
2. Módulo de Creación de Cuestionarios.
Esta sección se enfocara principalmente en la creación de cuestionarios. Estos se
crearan en base a la estructura COSO, metodología base del control interno.
Se considerara la creación de un cuestionario para cada una de las distintas
organizaciones o instituciones administradas.
Estos cuestionarios contendrán un periodo de vigencia a fin de que los usuarios
conozcan las fechas activas en que podrán dar respuesta a sus evaluaciones.
3. Distribución de Notificaciones y Asignación de Cuestionarios.
Este apartado está enfocado a la distribución de notificaciones sobre la asignación de
evaluaciones a usuarios específicos, es decir, mediante este módulo se realizaran las
notificaciones correspondientes para que, en el momento de la recepción de estos
avisos, los usuarios ingresen a la aplicación y puedan responder los cuestionarios
asignados, sin la presencia de un auditor.
4. Módulo de Evaluación de Resultados.
Esta sección está relacionada al proceso de evaluación de los resultados, en función
de los parámetros asignados o determinados por los expertos, es decir, este apartado
le proveerá al usuario el resultado de su evaluación y la interpretación del mismo.
173
Project Charter Document
5. Identificación de Riesgos y Recomendaciones
Este módulo permitirá visualizar aquellas respuestas que fueron contestadas de manera
deficiente, es decir, mostrara los puntos de riesgo que se identifiquen con la finalidad
de indicar las recomendaciones, marcadas por la misma metodología, que se tengan
que poner en práctica para que este riesgo no se convierta en un problema
posteriormente para la organización.
Según la metodología COSO, actualmente se manejan diferentes niveles de riesgo los
cuales permiten asignar un plazo máximo de ejecución de la recomendación a cada
nivel, esto para garantizar que las recomendaciones señaladas se estén ejecutando,
con los documentos de las evidencias correspondientes.
6. Monitoreo de resultados.
En el apartado de resultados se plantea la visualización de distintos indicadores que
permitan mostrar en un “page one” los resultados obtenidos.
In Scope < Describe the work that is within the bounds of this project.>
Se tiene identificado dentro de los alcances del proyecto, los siguientes puntos a cubrir
por el nuevo sistema de automatización de auditorías:
Esta deberá operar tanto en ámbito público como privado, es decir, deberá ser
dinámico no importando si la organización es del ámbito privado o la institución
del ámbito público, ya que se regularan bajo el informe COSO aplicado en
ambos sentidos.
Se considerará únicamente la metodología COSO para las evaluaciones
aplicadas, así como para las recomendaciones marcadas en ésta.
Concentrar información de cualquier institución u organización que desee
incorporarse en este nuevo proceso, respetando la información de cada una,
por lo que este proceso deberá mantener seguridad, la cual no permita la
visualización de información entre distintas organizaciones e instituciones.
Manejar las ponderaciones que los usuarios asignen a las evaluaciones, es decir, el
sistema no calculara los parámetros para calificar las evaluaciones aplicadas.
Out of Scope
174
Project Charter Document
Queda fuera del alcance del proyecto, los siguientes puntos:
La aplicación de cuestionarios o evaluaciones distintas a la estructura COSO.
Ponderaciones propias de la aplicación, estas serán definidas por los usuarios
funcionales del negocio (auditores).
Project Assumptions< Assumptions are items the project team believes to be true as a basis for their
project execution. List the known assumptions that have the potential to impact the project. Assumptions
may have to do with resource availability, consistency of support from another area, supplier resources,
and other factors.>
Se asume que la información relacionada a las preguntas de los cuestionarios y
las recomendaciones se entregaran depuradas por el área del negocio.
Se asume que los cuestionarios se pre-cargaran en el sistema, con la
ponderación que el usuario haya determinado.
Se asume que en todas las organizaciones u entidades gubernamentales
contaran con el servicio de internet.
Customer Acceptance Criteria<State what the customer is looking for in terms of performance and results.
Clearly state the objectives with the measurable outcomes and success criteria, including project benefits
> This is describing the outcomes that will be measured, not the final results.
Add example
Los criterios de Aceptación del Proyecto se dividirán en los siguientes entregables:
A nivel aplicación:
El aplicativo deberá contar con una Pantalla de Conformación de Cuestionarios, la
cual permita crear cuestionarios con los componentes, principios o puntos de enfoque
deseados en base a la metodología COSO.
El aplicativo deberá contar con una Pantalla de distribución de Evaluaciones, la cual
deberá permitir el envío masivo del número de Evaluación a responder, en función a
una organización o institución previamente seleccionada.
El aplicativo deberá contar con una Pantalla de Captura de Respuestas, la cual
deberá permitir la captura de respuestas de la evaluación por usuario, según la
organización a la que pertenezca dicho usuario.
El aplicativo deberá contar con una pantalla de Visualización de resultados en
Indicadores gráficos.
Para la aceptación del este entregable, se espera que el aplicativo cuente con al
menos dos de los cuatro indicadores solicitados.
A nivel Indicadores (adicionales a la aplicación):
175
Project Charter Document
El principal indicador en el que impactara el proyecto positivamente inclusive a nivel
nacional será la corrupción, ya que esta iniciativa contara con la información
suficiente para evidenciar los errores en la ejecución de los controles dentro de cada
entidad gubernamental u organización y contendrá la información suficiente sobre los
principales responsables (usuarios).
4. Project Success Criteria
PROJECT SUCCESS CRITERIA
Description
List and briefly describe project success criteria. Project Success criteria need to be specific and
measurable (S.M.A.R.T.) metrics for achieving project benefits.
Measurement can be:
A business KPI (BSC type)
A specific deliverable (A report or a document)
A specific milestone (SLA Agreed, All roles filled…)
A survey or a questionnaire (Customer satisfaction)
Some examples
Improve accounting efficiency: Accounting headcount, Time for period close
Increase speed of customer cash-flow: Day sales outstanding, Number of disputes
Maintain customer satisfaction: Customer survey score, Invoice accuracy, %Case fill
Improve financial analytics: Specific report X delivered and running
Ensure business process compliance: Number of invoices without PO
Improve user satisfaction: User satisfaction survey
Maintain plant performance: Cost of goods sold, Capacity utilization
Based on Benchmarking from:
Can attach Post Go-Live Analysis (PGLA) analyses from similar projects, if applicable.
176
Project Charter Document
PROJECT SUCCESS CRITERIA
Se identifican los siguientes puntos de medición de éxito del proyecto
Carga exitosa de Evaluaciones para aplicar.
Se asume que los SME del negocio proporcionaran los cuestionarios con las
preguntas específicas y las valoraciones para cada pregunta correspondiente, a
fin de alimentar información para la Pantalla de Conformación de Cuestionarios,
en la cual la aplicación deberá permitir la generación de N cantidad de
evaluaciones en base a la pre-carga realizada con el informe COSO.
Envío de cuestionarios de forma masiva.
Se asume que la distribución de evaluaciones se realizara en función de los
empleados relacionados a las organizaciones correspondientes, en donde la
Pantalla de distribución de Evaluaciones permitirá el envío masivo del número de
evaluación a responder.
Captura de respuestas por usuario.
Se asume que el usuario podrá responder la evaluación únicamente si ésta, le
fue distribuida previamente, es decir, con esta modalidad el usuario en
automático tendrá acceso a la pantalla de Captura de Respuestas, en donde la
aplicación deberá permitir la captura de respuestas de la evaluación por
usuario, según la organización a la que pertenece.
Visualización de Indicadores.
Se asume que la información previamente capturada en las evaluaciones, serán
fidedignas con lo cual se podrán visualizar los resultados en Indicadores gráficos.
La aplicación deberá mostrar al menos dos de las cuatro gráficas solicitadas.
177
Project Charter Document
5. Timelines
5.1. Gantt Chart representing all PLM phases
Please include all major phases of the project with their timelines. An example Gantt Chart is given
below. Replace it with the Gantt Chart for your project.
Se anexa timeline planeada en esta iniciativa, ver Ilustración 196.
Ilustración 197. Anexo 3 / Timelines
178
Project Charter Document
5.2. Estimated dates for stage gate reviews and key milestones.
Please include target dates for stage gate reviews and key milestones.
Se anexan los siguientes milestones, ver Tabla 11.
Milestones Fecha Final
Etapa Project Feasibility and Approval Concluida 09 Febrero 2017
Etapa Project Preparation Concluida 10 Marzo 2017
Etapa Business BluePrint Concluida 29 Mayo 2017
Etapa Realization Design Concluida 12 Junio 2017
Etapa Realization Construction Concluida 06 Noviembte 2017
Etapa Realization Test Concluida 08 Noviembre 2017
Etapa Final Preparation 10 Noviembre 2017
Inicio hyperacare 13 Noviembre 2017
Etapa Go-live & Support Concluida 14 Noviembre 2017
Tabla 12. Anexo 3 / Milestones
179
Project Charter Document
5.3. Project critical path
Please include project interdependencies.
Se anexa la ruta crítica del proyecto, y sus interdependencias plasmadas de
acuerdo a las actividades estipuladas en el plan de trabajo, ver Ilustración 198.
Ilustración 199. . Anexo 3 / Ruta Critica
180
Project Charter Document
6. Governance
ESCALATION PROCESS
The Team Level Governance Structure, Steering Committee, and/or a functional or
application level Change Control Board (CCB) have been established to authorize
changes to baselined documentation, hardware and software and for in-development
products. Complete the tables below for the escalation process to be used on your
project. Use the Governance Model for your Division or Function as a guide for completing
the tables. Add as many escalation points needed to govern your project.
PROJECT GOVERNANCE
Team Level Governance, also known as Project Steering Committee (required information)
Governance Group When do they meet? What are they responsible for?
Core Project Team (Operating
team, IT/business)
<Weekly, Monthly, As
Needed>
Recommendation:
Weekly and As
Needed
<List the responsibilities of this group for your project>
Issue, Risk & Change Management
Project and Deliverable execution and daily tasks
Equipo Core de
Proyectos
Semanalmente Asegurar el correcto inicio,
planeación, ejecución, monitoreo y
control del Proyecto.
Revisión del estatus del avance del
proyecto con las distintas áreas
involucradas.
Comunicar Issues & riesgos.
Comunicar el gasto ejercido.
Destrabar posibles stoppers.
Change Control Board (if
applicable)
<Weekly, Monthly, As
Needed>
Recommendation:
Monthly and As
Needed
<List the responsibilities of this group for your project.
Utilization of the CCB is dependent on the
methodology type.>
Voting discussion and approval for project changes.
Change control escalation
Signature/Approval Authority Level : Example: dollar
limit, number of days, overall schedule impact etc.
Equipo de control de
Cambios
Semanalmente Aprobaciones sobre los cambios en
los CIs afectados.
181
Project Charter Document
Avances sobre el estatus del
cambio.
Stage Gate Committee
<Weekly, Monthly, As
Needed>
<List the responsibilities of this group for your project
and designate a proxy, if applicable>
Example: Review Project Status between project
milestone/phases and vote on authorization to
proceed
Equipo de Aprobadores
de State Gate
Al finalizar cada
fase de PLM Revisión del estatus del cumplimiento
sobre los objetivos marcados en la fase
por aprobar.
Governance Escalation Point #1
(CLT Direct Report)
Example: The Project Managers
IT reporting CLT representative(s)
<Weekly, Monthly, As
Needed>
Recommendation:
Monthly and As
Needed
<List the responsibilities of this group for your project>
Issues and Second Level Change Control Board
Escalation of issues to the IT Governance committees
on behalf of the Project Team.
Reporte de Estatus de
Avance
Semanal Se proporcionara el reporte de avance a
todos los Involucrados con la siguiente
información:
Objetivos alcanzados durante la
semana.
Próximos objetivos a alcanzar.
Issues y riesgos.
Porcentaje de avance del proyecto.
El % real contra % esperado.
La fase actual en la que se
encuentra el proyecto.
182
Project Charter Document
7. Project Organization Chart
PROJECT ORGANIZATION CHART
Please describe project organization chart in this section. (Ilustración 200)
Juan Cortés Internal Control Audit
Manager
Carlos OsunaInternal Control
Audit Coordinator
Guillermo Soler
Administrative Responsibilities Auditor
Gonzalo GutierrezInternal Monitoring and
Control Auditor
Marco PérezPresident
Fernando ValtierraDirector IT
Juana MartínezBEL
Jorge FernándezSDM
Alejandro RicoApp Support
Manager
Francisca LópezPMO
Diana VazquezPM
Minerva RojasPM
Abel CruzPM
Yazareth GutierrezGA
Angélica HidalgoIT Finances
Karen Mora PL
Jorge QuintanaADL
Nancy JuarezHRD
José ZapataFinances Director
Eduardo Ramírez Comptroller's Office Director
Silvia RamírezFinance Audit Coordinator
Daniel MoralesAccounts
receivable Manager
Marisol FernandezAccount payable
Manager
Auditor Operativo 2
Nivel 1
Auditor Operativo 3Nivel 1
Auditor Operativo 1
Nivel 1
Auditor Operativo 5 Nivel 1
Auditor Operativo 6Nivel 1
Auditor Operativo 4 Nivel 1
IT Components
Orlando BlancoNetwork
Erika ZamarripaCompute
Karen MondragónField Services
Carlos MurilloSecurity
Oscar RodriguezService Desk
Antonio EscamillaADL
Ilustración 201. Anexo 3 / Organization Chart
183
Project Charter Document
8. Stakeholders Management
STAKEHOLDERS MANAGEMENT
Identify the Stakeholders
Se identifican los siguientes Involucrados, ver Tabla 13.
Functional Manager Juan Cortés Internal Control Audit Manager
Functional Leader Carlos Osuna Internal Control Audit
Coordinator
Director Fernando Valtierra IT Director
Engagement Juana Martinez BEL
Managers Jorge Fernández Solution Delivery Management
Alejandro Rico App Support Manager
Angélica Hidalgo IT Finance Manager
PMO Francisca López Project Manager Officer
Diana Vazquez Project Manager
IT Components Orlando Blanco Network
Erika Zamarripa Compute
Karen Mondragón Field Services
Carlos Murillo Security
Oscar Rodriguez Service Desk
ADL Jorge Quintana Developer
ADL Antonio Escamilla Developer
Project Leader Karen Mora Project Leader
Tabla 14. Anexo 3 / Stakeholders
184
Project Charter Document
STAKEHOLDERS MANAGEMENT
Prioritize the Stakeholders
1. Directores funcionales del Proyecto
2. Gerentes funcionales del Proyecto
3. Líderes funcionales del Proyecto.
4. IT
Understand Key Stakeholdesr
Please briefly describe stakeholders in this section by concentrating on the following topics:
What financial or emotional interest do they have in the outcome of your work?
Is it positive or negative?
What motivates them most of all?
Do they have clear ownership of the project benefits?
Do they know what process or organizational changes are required to achieve the project
benefits?
What information do they want/need from you?
How do they want to receive information from you?
What is the best way of communicating your message to them?
How do you get feedback from them?
Should they be represented in the Steering Committee?
1. Directores de proyecto. Se solicita de los Directores la aprobación para la
implementación y su instrucción a todos los involucrados a fin de alinear los
objetivos y se logre un adecuado apoyo durante el despliegue de la iniciativa. Se
tienen planeadas reuniones mensuales previas y posteriores a las
implementaciones con los avances y seguimiento al cumplimiento de los
indicadores establecidos en cada uno de los entregables.
2. Gerente de Proyecto. Se requiere su apoyo para la definición de los desarrollos
requeridos, para la obtención de la información necesaria sobre el seguimiento
de los KPI´s establecidos en cada uno de los entregables.
3. Líderes de cada track. Seguimiento y compromiso para el cumplimiento de las
actividades asignadas en el plan de trabajo.
Se realizarán sesiones periódicas con el equipo extendido definido en cada fase de la
metodología, en las cuales se revisarán los avances de las actividades establecidas; así
como el seguimiento de los indicadores mensuales.
185
Project Charter Document
9. Resource Requirements (use if applicable)
9.1 Level of business involvement required during each phase.
Besides the information on required involvement of business resources this section
should cover the information on involvement of local vs. Regional/corporate
resources (shared learning, best practices…).
Durante el ciclo del proyecto se contempla el apoyo de los usuarios funcionales, en
el siguiente porcentaje de participación dentro de cada una de las fases:
Project Feasibility & Approval: Participación del 80 % - Debido a que es
necesario que proporcione (Objetivo del proyecto, alcance, beneficios e
Inversión requerida).
Project Preparation: Participación del 80 % - Es necesario realizar la Definición
detallada del requerimiento.
Business Blueprint: Participación del 90 % - Se debe completar la definición del
Requerimiento y el set de pruebas a realizar en el proyecto.
Realization Design: Participación del 40% - Por consultas requeridas en
funcionalidad.
Realization Construction: Participación del 20% - Por consultas requeridas que
se requieran en los desarrollos.
Realization Test: Participación del 100% - Para realizar las pruebas requeridas y
obtener la certificación de las mismas.
Final Preparation: Participación del 40% - Elaboración del manual de usuario y
firmas para la salida a producción.
Go live & Support: Participación del 100 % - Darle seguimiento a la
funcionalidad de la herramienta así como la evaluación del beneficio del
proyecto.
Project Closure: Participación del 10% - Dar los beneficios del proyecto y firmar
el cierre del mismo.
186
Project Charter Document
9.2 Level of IT involvement required during each phase.
Besides the information on required involvement of IT resources this section should
specify the information on involvement of local vs. Regional/corporate resources
(regional architecture teams, shared learning, best practices…).
Durante el ciclo del proyecto se contempla el apoyo de las áreas de IT, en el
siguiente porcentaje de participación dentro de cada una de las fases:
Project Feasibility Approval: Participación del 20 % - Apoyar en la elaboración
del Proposal.
Project Preparation: Participación del 80 % - En realizar la documentación
(Project charter, Plan de trabajo).
Business Blueprint: Participación del 90 % - Ya que se debe finalizar la
especificación del requerimiento y el set de pruebas a contemplar en la fase
de test.
Realization Design: Participación del 100% - Por consultas requeridas durante la
elaboración del diseño.
Realization Construction: Participación del 100% - Para poner en marcha la
elaboración de los procesos.
Realization Test: Participación del 100% - Para realizar las pruebas en conjunto
con usuarios funcionales y equipos de soporte y recabar la certificación de
las mismas.
Final Preparation: Participación del 90% - Elaboración del manual de usuario y
entrenamiento a equipos de soporte.
Go live & Support: Participación del 100 % - Asegurar la correcta puesta en
producción de las procesos y reaccionar de forma inmediata ante cualquier
incidencia que pudiera surgir.
Project Closure: Participación del 10% - Firmar el cierre.
9.3 Internal vs. external resource involvement.
En la Tabla 15, se especifican los recusos tanto internos como externos que se
requerirán.
187
Project Charter Document
This section should indicate which of the project roles will be covered by internal and
which by external resources.
Tabla 16. Anexo 3 / Involucrados
Project Role Recurso Puesto Tipo de Recurso
Functional
Manager
Juan Cortés Internal Control
Audit Manager
Internal resource
Functional
Leader
Carlos Osuna Internal Control
Audit
Coordinator
Internal resource
Director Fernando
Valtierra
IT Director Internal resource
Engagement Juana Martinez BEL Internal resource
Managers Jorge Fernández Solution Delivery
Management
Internal resource
Alejandro Rico App Support
Manager
Internal resource
Angélica Hidalgo IT Finance
Manager
Internal resource
PMO Francisca López Project Manager
Officer
Internal resource
Diana Vazquez Project Manager Internal resource
IT Components Orlando Blanco Network
Manager
Internal resource
Erika Zamarripa Compute
Manager
Internal resource
Karen
Mondragón
Field Services
Manager
Internal resource
Carlos Murillo Security
Manager
Internal resource
Oscar Rodriguez Service Desk
Manager
Internal resource
ADL Jorge Quintana Developer External Resource
ADL Antonio Escamilla Developer External Resource
Project Leader Karen Mora Project Leader External Resource
9.4 Key skills/knowledge required to support the project.
188
Project Charter Document
The key skill sets required for the project should be listed and briefly explained in this
section.
Usuarios Funcionales:
Conocimientos del proceso actual de auditorías manuales ejecutadas
dentro del área de control interno.
Conocimiento de la metodología COSO.
Conocimiento de los principales indicadores del área.
Conocimiento de la interpretación de los resultados obtenidos en las
evaluaciones del control interno.
IT
Conocimiento sobre:
- Desarrollos WEB
- Renta de Hosting
- .Net
- SQL SERVER
- Metodología MVC (Modelo, Vista, Controlador)
- Crystal Reports.
Temas de Datos:
Conocimiento de las características que deben tener las evaluaciones
COSO.
Conocimiento de cómo se deben ponderar las evaluaciones.
189
Project Charter Document
10. Financials (use if applicable)
Para este proyecto se visualizan los siguientes gastos destinados para los recursos
externos de IT y la parte de la infraestructura requerida, ver Tabla 17.
11. Architecture and Operations
En la Ilustración 202, se visualiza el diagrama logico funcional del aplicativo.
Cantidad Precio Totales
Mes 1 Mes 2 Mes 3 Mes 4 Mes 5 Mes 6 Mes 7 Mes 8 Mes 9 Arranque
Computadoras 5 24,000.00$ 24,000.00$ 24,000.00$
1 800.00$ 800.00$ 800.00$ 800.00$ 800.00$ 800.00$ 800.00$ 800.00$ 5,600.00$
1 350.00$ 350.00$ 350.00$ 350.00$ 350.00$ 350.00$ 350.00$ 350.00$ 350.00$ 350.00$ 3,150.00$
Servicio Luz 1 $1,000 $1,000 $1,000 $1,000 $1,000 $1,000 $1,000 $1,000 $1,000 $1,000 $10,000
Servidor Hosting Producción 1 $3,000
1 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 270,000.00$
1 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 270,000.00$
1 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 315,000.00$
1 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 315,000.00$
Total 1,212,750.00$
Desarrollador .net
Desarrollador .net
DBA
Lider de Proyecto
Presupuesto
Duración del Proyecto
Infraestructura
Servidor Hosting Desarrollo
Servicio de Internet
Recursos
Tabla 18. Anexo 3 / Presupuesto
190
Project Charter Document
ARCHITECTURE AND OPERATIONS
High Level Architecture
Please include a logical diagram in this section as well as information on compliance with
Regional/Corporate standards and opportunities to leverage existing functionality.
DIAGRAMA LOGICO FUNCIONAL DEL APLICATIVO
ADMINISTRACIÓN DE USUARIOS
ADMINISTRACIÓN DE ORGANIZACIONES
MONITOREO DE RESULTADOS
IDENTIFICACIÓN DE RIESGOS Y RECOMENDACIONES
EVALUACIÓN DE RESULTADOS
DISTRIBUCIÓN Y ASIGNACIÓN DE CUESTIONARIOS
CREACIÓN DE CUESTIONARIOS
INTEGRACIÓN DE LA METODOLOGIA BASE
Se regresa Cuestionario a Usuario funcional,
solicitándole la información faltante
IT registra la versión del Cuestionario COSO en la BD.
Usuario genera Cuestionario COSO con la estructura de 3 niveles (componente, principios y puntos de enfoque), conjunto de posibles respuestas por pregunta (punto de enfoque), así como la recomendación y literatura por pregunta.
Usuario asigna valores a cada una de las posibles respuestas del Cuestionario.
Cuestionario COSO, cuenta con preguntas, conjunto de respuestas por pregunta, recomendaciones y
literatura por pregunta
SI
NO
El administrador de la aplicación Crea/Conforma el cuestionario por aplicar, seleccionando la estructura que desee aplicar (uno, alguno o todos los Componentes) en la organización o institución correspondiente, y seleccionara la fecha de vigencia del cuestionario.
El administrador de la aplicación ingresara a la pantalla de Distribución Masiva para asignarle a todos los usuarios elegidos, el numero de evaluación generada.
El administrador del sistema, ingresara al aplicativo
El sistema arrojara el numero de evaluación Creada
Usuario Encuestado recibe notificación por mail, con el numero de Evaluación por contestar.
Usuario Encuestado Ingresa sus datos generales, relacionado el número de Cuestionario a Contestar
Usuario Encuestado ingresa a la evaluación correspondiente e inicia la captura/seleccion de sus respuestas.
Usuario Encuestado Finaliza la Evaluación y Obtiene la
calificación Asignada.
Usuario Administrador
Inicia la Evaluación de los resultados.
Usuario Administrador consulta los posibles riesgos por usuario/
cuestionario
Usuario administrador desea Monitorear los resultados en los
Indicadores?
NOUsuario Consulta
Indicadores e Interpreta
Información
SI
Usuario Administrador envía recordatorios a usuarios Encuestadores, para el seguimiento de la ejecución de las recomendaciones, en aquellas preguntas erroneas.
Usuario Admiistrador, espera a que la vigencia del Cuestionario, se cumpla.
El administrador del sistema registra el alta de la organización o institución
El administrador del sistema registra el alta de todos lo usuarios pertenecientes a la organización o institución.
Ilustración 203. Anexo 3 / DIAGRAMA LOGICO FUNCIONAL DEL APLICATIVO
191
Project Charter Document
ARCHITECTURE AND OPERATIONS
Diagrama de la arquitectura identificada
Dado que es un aplicativo nuevo no se identifica la re-utilización de procesos o
servidores existentes, dado que actualmente el proceso se ejecuta de manera
artesanal, ver Ilustración 204.
Servidor con:Aplicativo ASP . net
Base de Datos SQL ServerInternet
Servidor con:Aplicativo ASP . net
Base de Datos SQL ServerInternet
AplicaciónSistema
Evaluador delControl Interno
WWW.Host.COM
Ilustración 205. Anexo 3 / Diagrama de la arquitectura identificada
192
Project Charter Document
ARCHITECTURE AND OPERATIONS
Please briefly describe topics related to data conversion, migration, data standards, interfaces, etc. in this
section.
No se tiene identificado ninguna conversión de datos dentro de esta solución.
Tampoco se tienen identificadas interfaces que alimenten el aplicativos, ya que el
sistema se ira poblando en automático, a excepción de la carga manual de los
esquemas de los cuestionarios.
Please briefly describe the following topics in this section: decommissioning and costs implications,
service quality, security compliance and impact on Total Cost of Ownership (IT Baseline).
Dado que el presente Proyecto contemplara infraestructura nueva, no se tienen
identificados decomisos de servidores.
Los impactos económicos en cuanto a infraestructura, se muestran en la Tabla 10.
En cuanto a temas de seguridad, se buscara la renta de un servidor con la mayor
seguridad posible, tales como:
Network Monitoring
Firewall
Brute Force Detection
Nightly Security Updates.
Project Signatures
193
Project Charter Document
Printed
Name/Title/Division
Approval Signature
Date
Juan Cortés
Functional
Manager
□ Yes
□ No
Comments:
Printed
Name/Title/Division
Approval Signature
Date
Carlos Osuna
Functional Leader
□ Yes
□ No
Comments:
Printed
Name/Title/Division
Approval Signature
Date
Juana Martinez
BEL Jr
□ Yes
□ No
Comments:
Printed
Name/Title/Division
Approval Signature
Date
Karen Mora
Project Leader
□ Yes
□ No
Comments:
Printed
Name/Title/Division
Approval Signature
Date
Jorge Fernández
Build Manager
□ Yes
□ No
Comments:
Printed
Name/Title/Division
Approval Signature
Date
Alejandro Rico
Run Manager
□ Yes
□ No
Comments:
194
Project Charter Document
Printed
Name/Title/Division
Approval Signature
Date
Orlando Blanco
Network
□ Yes
□ No
Comments:
Printed
Name/Title/Division
Approval Signature
Date
Erika Zamarripa
Compute
□ Yes
□ No
Comments:
Printed
Name/Title/Division
Approval Signature
Date
Karen
Mondragón
Field Services
□ Yes
□ No
Comments:
Printed
Name/Title/Division
Approval Signature
Date
Carlos Murillo
Security
□ Yes
□ No
Comments:
195
Requirements Specification Document
ANEXO 4
Requirements Specifications
AUTOMATIZACIÓN DEL PROCESO DE AUDITORÍA SOBRE EL CONTROL
INTERNO EN SECTORES PÚBLICOS Y PRIVADOS, BASADO EN METODOLOGÍA
COSO
Nombre Corto
APASCI_BASECOSO
Número Proyecto 0001
10 / Mayo /2017
196
Requirements Specification Document
TABLE OF CONTENTS
1. Purpose
1 Purpose
2 Project Overview
2.1 Project Scope
2.2 Software Application/System/Infrastructure Perspective
2.3 Assumptions
2.4 User Classes and Characteristics
3 Documentation Requirements
3.3 Training Requirements
3.4 Performance Requirements
3.5 Recovery Requirements
3.6 Security Requirements
3.7 Reliability Requirements
3.8 Operational Requirements
4 Business Rules
5 Signatures
197
Requirements Specification Document
El propósito de este documento es documentar los requisitos para el proyecto
(aplicación / sistema / tecnología / procesos) que se está considerando para el
desarrollo o implementación. Esto debe utilizarse conjuntamente con los objetivos de
negocio documentados en el “Project Charter”, los requisitos tecnológicos y los
requisitos de soporte.
2. Project Overview
The overview section provides a high-level summary of the project requirements
(software application/system/technology/process) specifying the environment in which
it will be used, the anticipated users, and any known constraints, assumptions, and
dependencies.
2.1. Project Scope
El equipo de auditoria tiene la necesidad de poner en marcha la
implementación de una plataforma de automatización de auditorías, la cual
ofrecerá una solución práctica para la aplicación de evaluaciones mediante
una metodología y herramientas electrónicas que permitan satisfacer los
objetivos de las normas a las que está obligada la organización.
Este sistema mitigara los tiempos tan largos de ejecución y procesamiento de los
resultados que se llevan actualmente al aplicar auditorías y disminuirá los costos
de la aplicación de los mismos, ya que será una herramienta web la cual
permitirá que cada encuestado ingrese y responda su propia evaluación,
anexando las evidencias solicitadas.
Contar con un sistema evaluador de controles permitirá, eliminar las áreas de
oportunidad que se identifiquen en el proceso de auditoria tales como falta de
información oportuna, re-trabajo y gastos excesivos, mostrar las
recomendaciones a seguir para que se cumplan los objetivos y alcances de las
organizaciones e instituciones, la toma de decisiones oportuna, disminuir los
tiempos en la aplicación de las evaluaciones, distribución de encuestas,
procesamiento y visualización de los resultados obtenidos, impactando de esta
manera la toma de decisiones y garantizar la aplicación de las normas en la
organización, evaluar y monitorear los controles de múltiples unidades operativas
en tiempo real.
198
Requirements Specification Document
2.2. Software Application/System/Infrastructure Perspective
Current Architectural Alignment
Explain how the software application/system relates to the architecture, current
software applications/systems and other releases. Include any interfaces to other
systems.
En la Ilustración 206, se muestra la arquitectura que se identifica para el aplicativo.
Servidor con:Aplicativo ASP . net
Base de Datos SQL ServerInternet
Servidor con:Aplicativo ASP . net
Base de Datos SQL ServerInternet
AplicaciónSistema
Evaluador delControl Interno
WWW.Host.COM
Ilustración 207. Anexo 4. Arquitectura
Dado que es un aplicativo nuevo no se identifica la re-utilización de procesos o
servidores existentes, dado que actualmente el proceso se ejecuta de manera
artesanal.
Se solicitara la adquisición de un servidor web, dominio y una base de datos
robusta, para la implementación de la iniciativa.
No se identifica la necesidad de extraer información mediante alguna interfaz de
datos.
Major Features
Summarize the major features the software application/system/infrastructure must
199
Requirements Specification Document
perform. Provide a high-level summary in this area.
Para la puesta en marcha, se identifican los siguientes requerimientos de
hardware y software, dentro del servidor nuevo que se adquirirá:
Windows 2012
Disco Duro de 500 GB
Servidor ASP. Net 4.5
ASP .NET MVC (latest)
Base de datos MSSQL 2012 instalada.
Web Deploy
Cuenta de Hosting
Certificado SSL
Firewall
Para que el aplicativo se pueda ejecutar desde cualquier ordenador, éste
deberá contener las siguientes características:
Ambiente Windows.
Google Chrome.
Contar con Internet, minimo 3 MB.
No disponible para Lynux.
Architectural Alignment (TO BE)
Provide an operational overview to cover things, such as:
The need for a new server.
How much disk space will be required and estimate memory size
needed.
Additional data center floor space is required and monitoring
specifications if any.
Ongoing support and service level requirements from Computer
Operations to support the project/ application.
Any additional data or voice infrastructure requirements.
Any additional workstation configuration needed.
Indicate security requirements to support the application.
Backup requirements over a 12-month period. This could be Daily, Monthly,
200
Requirements Specification Document
Weekly, As Requested, or Independent. Determine the escalation timeline in case
of hardware
or software failure. Critical ranges could be less than 4, 8, or 12 hours and semi-
critical ranges could be less than 24, 36, or 72 hours. Identify primary and
secondary departmental contacts.
Se requiere la instalación de una base de datos SQL Server, montada dentro del
mismo Servidor Wintel. Esta base será la que recabara toda la información de la
nueva aplicación.
La base de datos deberá tener un “tablespace” de 20 GB para comenzar y este
deberá tener un crecimiento del 20% anual.
Los requerimientos de seguridad que se están considerando serán:
Actualizaciones de seguridad Nocturnos.
Backup’s semanales.
2.3. Assumptions
Assumptions and Dependencies Affecting Stated Requirements
List any assumptions that were used in developing the Requirements
Specifications. For example, if commercial components will be used in
development of the software application/system, include these assumptions in
this area.
List any dependencies the requirements have on external factors. For example,
some components may be developed as part of another project, which will
address requirements defined in the Requirements Specifications.
Note: Assumptions and dependencies provided in this section of the document
should include entries not listed in the Project Charter.
En cuanto a los requerimientos para el desarrollo de la iniciativa, se asume que los
usuarios funcionales conocen el “end to end” del proceso de auditorías.
En cuanto a la parte de desarrollo, se asume que hoy en día ya se tienen las
características necesarias en los ambientes de desarrollo, ya que de no ser así se corre
el riesgo de invertir tiempo en la solicitud de la incorporación de alguna característica
adicional.
201
Requirements Specification Document
Por el momento no se detectan dependencias en este proyecto, es decir, no existe
ningún impedimento para que esta iniciativa se lleve a cabo en los tiempos
especificados.
2.4. User Classes and Characteristics
User Classes Characteristics
Root
Tendra la visibilidad de toda la aplicación y podra
accesar y modificar todas las pantallas del aplicativo.
La escencia principal del usuario root, es que podra tener
visibilidad de varias sedes del negocio, a diferencia del
usuario administrador, que solo podra visualizar la sede a
la que se encuentra adscrito.
Administrador
Tendra la visibilidad unicamente de la sede a la que se
encuenra adscrito.
Podra dar de alta usuarios, pero no sedes adciionales.
Encuestador El usuario Encuentador, podra accesar o crear
cuestionarios y distribuirlos, a fin de que los usuarios
operativos apliquen la evaluación asignada.
Este usuario podra consultar los indicadores que arroje la
aplicación.
Operativo El usuario Operativo unicamente podra ingresar a
contestar las evaluaciones asignadas y visualizar los
indicadores.
3. Documentation Requirements
A continuación se detalla la especificación de la plataforma “Sistema de Gestión de
Auditorias del control Interno”, la cual tiene por objetivo contar con un sistema de
monitoreo continuo del control interno, diseñado para examinar, evaluar y monitorear
múltiples entidades y procesos permitiendo identificar riesgos a nivel entidad o por
proceso otorgando acciones correctivas específicas.
202
Requirements Specification Document
El sistema deberá permitir:
La creación de evaluaciones a la medida en base a los componentes, principios
y puntos de enfoque existentes dentro del informe COSO.
La distribución electrónica de notificaciones de forma masiva.
Adicionar evidencias que certifiquen cada una de las respuestas capturadas.
Consultar las evidencias que certifiquen las respuestas obtenidas.
La obtención de los resultados de manera oportuna.
El seguimiento a las acciones correctivas.
Visualización grafica de los resultados obtenidos.
Especificación detallada:
El sistema contendrá el siguiente menú de opciones, ver Ilustración 119.
Menú DATOS GENERALES:
El sistema tendrá una pantalla de captura de DATOS GENERALES, en la que se
incorporara toda la información de los involucrados (tanto encuestadores como
encuestados) en la evaluación.
Características:
Dentro de esta pantalla existirán diversos botones con funcionalidades específicas, las
cuales permitirán:
Modificar registros existentes.
Buscar registros.
Guardar registros. Eliminar registros.
Ilustración 208. Anexo 4. Menú de Opciones Solicitado.
203
Requirements Specification Document
Menú CUESTIONARIOS:
La pantalla “NUEVOS”, tendrá por objetivo permitir la creación de nuevos
cuestionarios en base a la metodología COSO. Características:
Dentro de esta pantalla existirán diversos botones con funcionalidades
específicas, las cuales permitirán:
Modificar cuestionarios.
Buscar cuestionarios.
Guardar cuestionarios.
Eliminar cuestionarios.
Se tendrá que especificar la vigencia del cuestionario.
En la parte baja de la pantalla irá apareciendo el puntaje total considerado,
resultado de la selección previa de los puntos de enfoque.
Toda vez que se haya definido la distribución de cuestionario, este no se podrá
modificar.
Aunque no sean visibles en esta pantalla, cuando se seleccionen los
componentes, principios y puntos de enfoque de las casillas de esta pantalla,
en automático se estarán considerando los niveles de riesgo,
recomendaciones y puntajes correspondientes para cada pregunta,
almacenados dentro en la base de datos.
Menú CUESTIONARIOS:
La pantalla “ADICIONAR PREGUNTAS ESPECIFICAS”, permitirá la incorporación o
agregación de preguntas adicionales relacionadas forzosamente a algún punto
de enfoque.
Características:
o Dentro de esta pantalla existirán diversos botones con funcionalidades
específicas, las cuales permitirán:
204
Requirements Specification Document
Modificar preguntas específicas.
Buscar preguntas específicas.
Guardar preguntas específicas.
Eliminar preguntas específicas.
o En caso de que los puntos de enfoque tengan preguntas específicas, el
valor de estas preguntas se evaluaran sobre el 70% de su valor, permitiendo
distribuir el 30% restante entre un numero N de preguntas adicionales.
o Siempre que se den de alta preguntas específicas, se consideraran cuatro
posibles respuestas, mismas que aparecerán en automático, del lado
derecho de la captura de la pregunta específica.
1. Siempre (con el 100% del valor de la pregunta).
2. Nunca (con el valor 0 (cero)).
3. A veces (con el 50% del valor de la pregunta).
4. No aplica (Se elimina el valor de la pregunta, es decir, el valor total
de la pregunta (100%) se restara del total del cuestionario )
o El sistema llenara de manera automática el tiempo de vencimiento de la
recomendación en base al nivel del riesgo proporcionado por el usuario,
ver Ilustración 209.
o En esta pantalla parecerán los siguientes controles:
Valor total del punto de enfoque.
El 70% del valor total. Valor a considerarse en caso de que el punto de
enfoque tenga al menos una pregunta específica.
Ilustración 210. Anexo 4 / FODA vs Riesgos
205
Requirements Specification Document
El 30% del valor total. Valor base a considerarse para distribuir entre las N
preguntas específicas a ingresarse.
Puntaje total del cuestionario.
Menú CUESTIONARIOS:
La pantalla “VALIDAR PUNTAJES TOTALES”, permitirá consultar los rangos o valores que se
consideraran para interpretar los puntajes totales obtenidos en los cuestionarios.
Características:
o Dentro de esta pantalla existirán diversos botones con funcionalidades específicas,
las cuales permitirán:
Buscar
Limpiar los espacios previamente capturados.
o Se consideraran los siguientes rangos para la interpretación de los resultados:
1. Rojo 0 al 25% -> Calificación no Satisfactoria.
2. Naranja 26 al 50% -> Calificación Deficiente o Baja.
3. Amarillo 51 al 75% -> Calificación Razonable o Media.
4. Verde 76 al 100% -> Calificación Satisfactoria.
Menú CUESTIONARIOS:
La pantalla “CONSULTAR PLANTILLA CUESTIONARIOS”, permitirá visualizar el
cuestionario previamente creado con las recomendaciones almacenadas dentro
de la base de datos, con el fin de identificar errores o certificar su correcta
creación.
Características:
o Dentro de esta pantalla existirán diversos botones con funcionalidades
específicas, las cuales permitirán:
Buscar
Imprimir plantilla del cuestionario.
o Al final de la pantalla se podrá observar el valor total del cuestionario.
Menú CUESTIONARIOS:
206
Requirements Specification Document
La pantalla “ENVIAR CUESTIONARIO”, tiene por objetivo la correcta distribución de
la dirección electrónica (url) donde se encuentra el cuestionario, incluyendo los
datos específicos de éste (Folio de Cuestionario y fecha de vigencia).
Dicha distribución se podrá realizar de forma masiva vía mail.
Características:
o Dentro de esta pantalla existirán diversos botones con funcionalidades
específicas, las cuales permitirán:
Buscar
Enviar correos.
o La funcionalidad de esta pantalla consiste en:
1. Identificar a los usuarios deseados, en base a los filtros de búsqueda.
2. Habilitar el check dentro de la columna Enviar para seleccionar a
cada usuario.
3. Un espacio para redactar el cuerpo del correo que se les enviara.
Menú CUESTIONARIOS:
La pantalla “RESPONDER/CONSULTAR CUESTIONARIO”, permitirá:
a) Contestar el cuestionario requerido y
b) Consultar los cuestionarios previamente contestados.
Características:
o Dentro de esta pantalla existirán diversos botones con funcionalidades
específicas, las cuales permitirán:
Buscar cuestionarios.
Modificar las respuestas de los cuestionarios.
Imprimir cuestionarios.
PDF los resultados obtenidos.
o Esta pantalla te permitir adjuntar archivos dentro de cada una de las
respuestas otorgadas.
207
Requirements Specification Document
o Permitirá agregar observaciones en cada una de las respuestas.
o Te mostrara la fecha de vigencia del cuestionario.
o Te mostrara el estatus en el que se encuentra el cuestionario
(completo/Incompleto).
o En caso de que el cuestionario haya sido finalizado, la pantalla mostrara la
fecha en la que fue finalizado.
o Solo se permitirá modificar un cuestionario si no ha sido concluido.
o Solo se permitirá modificar un cuestionario si aún está dentro de las fechas
de vigencia.
o Solo se permitirá modificar un cuestionario si tuvo preguntas deficientes y la
fecha de vigencia de las recomendaciones correspondientes no ha sido
finalizada.
o Se considerara un vínculo dentro de cada pregunta del cuestionario, el
cual permitirá orientar a los usuarios sobre el cuestionamiento que se les
realiza.
o Al finalizar el cuestionario se tendrá que habilitar la casilla declaratoria de
aceptación, la cual servirá como firma electrónica: (Dirección
IP/Hora/Fecha/usuario), a fin de certificar que el usuario que lo contesto es
quien dice ser.
o Al final de la pantalla existirá la casilla “finalizar cuestionario”, misma que se
tendrá que habilitar cuando el cuestionario hay sido finalizado y se haya
seleccionado previamente la casilla declaratoria de aceptación.
o Si esta casilla “finalizar cuestionario” no está marcada, no se contemplaran los
resultados dentro de las gráficas ya que se considerara como un cuestionario no
finalizado.
o Al final de la pantalla en la modalidad de consulta, aparecerán los resultados
obtenidos del cuestionario.
208
Requirements Specification Document
o En la modalidad de consulta de cuestionario, se podrán visualizar las
recomendaciones que otorga el sistema, con su respectiva fecha de vencimiento.
o Una vez que el cuestionario haya sido evaluado, se podrán modificar solo las
preguntas deficientes antes de su fecha de vencimiento.
o En caso de que el cuestionario presente preguntas deficientes en los resultados, el
sistema deberá guardar los registros de las dos evaluaciones presentadas, es decir,
almacenar los primeros resultados obtenidos y posteriormente almacenar las
modificaciones generadas posteriores tomando en cuenta las recomendaciones.
o Al finalizar el cuestionario, se le mostraran los resultados (calificación) al
encuestado y al mismo tiempo se le enviara un mail con la confirmación del
cuestionario finalizado, mostrándole la url del sistema, para que ingrese a validar
sus resultados.
Menú TRACKING FILE:
La pantalla TRACKING FILE, permitirá consultar el detalle de las fechas de vencimiento de
las recomendaciones, proporcionadas a todas aquellas respuestas deficientes dentro de
los cuestionarios.
Características:
o Dentro de esta pantalla existirán diversos botones con funcionalidades específicas,
las cuales permitirán:
Buscar
Enviar correo.
o La funcionalidad de esta pantalla es la siguiente:
1. Filtrar la información en base al estatus de las respuestas (deficientes
vencidas y/o deficientes próximas a vencerse).
Las preguntas deficientes próximas a vencerse, se consideraran
desde los últimos 130 días hacia adelante.
Las preguntas deficientes vencidas se consideraran desde los últimos
130 días hacia adelante.
209
Requirements Specification Document
2. Identificar cuáles preguntas deficientes están dentro de las vigencias
permitidas.
3. Habilitar la casilla para enviar un recordatorio al encuestado.
4. Espacio para redactar el cuerpo del mail.
Menú REPORTE DE NOTIFICACIONES:
La pantalla “REPORTE DE NOTIFICACIONES”, permitirá identificar si la transacción del envío
de correos electrónicos, realizada en la pantalla “ENVIAR CUESTIONARIO”, se realizó con
éxito. En caso de haber detectado transacciones exitosas, la consulta de notificaciones
también le permitirá consultar el estatus de los cuestionarios.
Características:
o Dentro de esta pantalla existirán diversos botones con funcionalidades específicas,
las cuales permitirán:
Buscar
Enviar correos.
o La funcionalidad de esta pantalla es la siguiente:
1. Consultar aquellos usuarios que recibieron satisfactoriamente la solicitud para
responder un cuestionario y el estatus en el que se encuentra el mismo.
2. Consultar aquellos usuarios que No recibieron satisfactoriamente la solicitud
para responder un cuestionario y poder enviarles nuevamente la notificación.
3. Enviar un recordatorio a todos aquellos usuarios que se haya identificado con
la recepción satisfactoria de la solicitud para resolver el cuestionario, y éste se
encuentre en estatus incompleto.
4. Se podrá seleccionar uno a uno los usuarios deseados para el envío de
notificaciones o recordatorios, mediante la habilitación de un “check” por
registro.
5. Redactar el cuerpo del correo.
Menú INDICADORES:
210
Requirements Specification Document
FODA
La pantalla “FODA”, permitirá la visualización gráfica de los resultados obtenidos, en
base al diagnóstico estratégico FODA.
Características:
o Dentro de esta pantalla existirán diversos botones con funcionalidades específicas,
las cuales permitirán:
Buscar.
Limpiar los espacios previamente capturados.
Guardar.
Consultar
Exportar a Excel.
o Esta pantalla considerara el nivel de riesgo y el valor de la respuesta obtenida
para que los resultados se integren a cualquiera de los cuatro puntos de la
estrategia FODA, ver Tabla 19.
Tabla 20. Anexo 4 / FODA vs NIVEL DE RIESGO.
o Los filtros que se podrán seleccionar en esta grafica son:
RIESGO
A (Alto) M (Medio)
B (Bajo)
F (Fortalezas) 100% 100% 100%
O (Oportunidades)
50% 50%
D (Debilidades) 50% <50%
A (Amenazas) <50% <50%
211
Requirements Specification Document
1. Componente
2. Principio
3. Puntos de enfoque
4. Preguntas Especificas
5. Entidad
6. Municipio
7. Encuestador
8. Encuestado
9. ID cuestionario
10. Periodo
11. Institución/Organización/Empresa
12. N° de evaluación.
Menú INDICADORES:
HEATMAP
La pantalla “HEAT MAP”, permitirá la visualización gráfica de los resultados obtenidos, en
base a un formato condicional con escalas de colores.
Características:
o Dentro de esta pantalla existirán diversos botones con funcionalidades específicas,
las cuales permitirán:
Buscar.
Guardar.
Consultar resultado
Exportar a Excel.
o Esta grafica plasmara los resultados obtenidos de los cuestionarios, evaluando el %
de aciertos en base a la siguiente fórmula propuesta por el área funcional.
(PUNTAJE OBTENIDO/PUNTAJE TOTAL DEL CUESTIONARIO) * 100
212
Requirements Specification Document
o Los filtros que se podrán seleccionar en esta grafica son:
Entidad
Municipio
Encuestador
Encuestado
ID cuestionario
Periodo
Institución/Organización/Empresa
N° de evaluación.*
Menú INDICADORES:
PASTEL
La pantalla “PASTEL”, permitirá la visualización gráfica de los resultados obtenidos en
base a sectores.
Características:
o Dentro de esta pantalla existirán diversos botones con funcionalidades específicas,
las cuales permitirán:
Buscar.
Guardar.
Consultar
Exportar a Excel. (es la misma grafica que la de heatmap por lo tanto se
exporta desde heatmap)
o Esta grafica plasmara los resultados obtenidos de los cuestionarios, evaluando el %
de aciertos en base a la siguiente formula:
(PUNTAJE OBTENIDO/PUNTAJE TOTAL DEL CUESTIONARIO) * 100
o Los filtros que se podrán seleccionar en esta grafica son:
213
Requirements Specification Document
1. Entidad
2. Municipio
3. Encuestador
4. Encuestado
5. ID cuestionario
6. Periodo
7. Institución/Organización/Empresa
8. N° de evaluación.
Menú ADMINISTRACION DE USUARIOS:
La pantalla “MONITOREO DE USUARIOS/ REGISTRO DE USUARIOS”, tiene por objetivo
realizar el “ABC” (altas, bajas y cambios) de los usuarios del sistema.
Características:
o Dentro de esta pantalla existirán diversos botones con funcionalidades específicas,
las cuales permitirán:
Deshabilitar usuarios.
Buscar usuarios.
Registrar usuarios.
Editar la información de los usuarios.
o Se tendrá que especificar forzosamente el nombre del usuario, el rol o perfil
asignado y el id de la organización.
o Esta pantalla permitirá realizar el alta masiva de usuarios, importándolos desde un
archivo Excel, en base a un layout específico.
o Esta pantalla permitirá deshabilitar a todos aquellos usuarios que no tengan
registrada actividad en el periodo que seleccione el administrador del sistema.
Menú ADMINISTRACION DE USUARIOS:
La pantalla “MONITOREO DE ROLES”, tiene por objetivo realizar el “abc” (altas, bajas y
cambios) de los Roles y/o perfiles identificados en el sistema.
Características:
214
Requirements Specification Document
o Dentro de esta pantalla existirán diversos botones con funcionalidades específicas,
las cuales permitirán:
Eliminar roles.
Buscar roles.
Crear roles.
Modificar roles.
o Se identifican las siguientes matrices de roles y permisos, ver Tablas 21, 13, 14 y 15.
Tabla 22. Anexo 4 / Permisos SuperUsuario
PANTALLAS SUPERUSUARIO
CONSULTAR MODIFICAR BORRAR INSERTAR
DATOS GENERALES X X X X
CUESTIONARIOS>NUEVO X X X X
CUESTIONARIOS>ADICIONAR PREGUNTAS ESPECIFICAS X X X X
CUESTIONARIOS>VALIDAR PUNTAJES TOTALES X X X X
CUESTIONARIOS>CONSULTA DE PLANTILLA DE CUESTIONARIOS X X X X
CUESTIONARIOS>ENVIAR CUESTIONARIO X X X X
CUESTIONARIOS>RESPONDER/CONSULTAR CUESTIONARIOS X X X X
TRACKING FILE X X X X
REPORTE DE NOTIFICACIONES X X X X
INDICADORES>FODA X X X X
INDICADORES>HEAT MAP X X X X
INDICADORES>PASTEL X X X X
ADMINISTRACION DE USUARIOS>MONITOREO DE USUARIOS X X X X
ADMINISTRACION DE USUARIOS>MONITOREO DE ROLES X X X X
ADMINISTRACION DE ORGANIZACIONES X X X X
215
Requirements Specification Document
PANTALLAS ADMINISTRADOR
CONSULTAR MODIFICAR BORRAR INSERTAR
DATOS GENERALES X X X X
CUESTIONARIOS>NUEVO X X X X
CUESTIONARIOS>ADICIONAR PREGUNTAS ESPECIFICAS X X X X
CUESTIONARIOS>VALIDAR PUNTAJES TOTALES X X X X
CUESTIONARIOS>CONSULTA DE PLANTILLA DE CUESTIONARIOS X X X X
CUESTIONARIOS>ENVIAR CUESTIONARIO X X X X
CUESTIONARIOS>RESPONDER/CONSULTAR CUESTIONARIOS X X X X
TRACKING FILE X X X X
REPORTE DE NOTIFICACIONES X X X X
INDICADORES>FODA X X X X
INDICADORES>HEAT MAP X X X X
INDICADORES>PASTEL X X X X
ADMINISTRACION DE USUARIOS>MONITOREO DE USUARIOS X X X X
ADMINISTRACION DE USUARIOS>MONITOREO DE ROLES
ADMINISTRACION DE ORGANIZACIONES
Tabla 23.Anexo 4 / Permisos Administrador
PANTALLAS EJECUTOR (ENCUESTADOR)
CONSULTAR MODIFICAR BORRAR INSERTAR
DATOS GENERALES X X
X
CUESTIONARIOS>NUEVO
CUESTIONARIOS>ADICIONAR PREGUNTAS ESPECIFICAS
CUESTIONARIOS>VALIDAR PUNTAJES TOTALES
216
Requirements Specification Document
CUESTIONARIOS>CONSULTA DE PLANTILLA DE CUESTIONARIOS
CUESTIONARIOS>ENVIAR CUESTIONARIO
CUESTIONARIOS>RESPONDER/CONSULTAR CUESTIONARIOS X X
X
TRACKING FILE X X
REPORTE DE NOTIFICACIONES
INDICADORES>FODA X
INDICADORES>HEAT MAP X
INDICADORES>PASTEL X
ADMINISTRACION DE USUARIOS>MONITOREO DE USUARIOS
ADMINISTRACION DE USUARIOS>MONITOREO DE ROLES
ADMINISTRACION DE ORGANIZACIONES
Tabla 24. Anexo 4 / Permisos Encuestador
PANTALLAS OPERATIVO (ENCUESTADO)
CONSULTAR MODIFICAR BORRAR INSERTAR
DATOS GENERALES X X
X
CUESTIONARIOS>NUEVO
CUESTIONARIOS>ADICIONAR PREGUNTAS ESPECIFICAS
CUESTIONARIOS>VALIDAR PUNTAJES TOTALES X
CUESTIONARIOS>CONSULTA DE PLANTILLA DE CUESTIONARIOS
CUESTIONARIOS>ENVIAR CUESTIONARIO
CUESTIONARIOS>RESPONDER/CONSULTAR CUESTIONARIOS X X
X
TRACKING FILE X
REPORTE DE NOTIFICACIONES
INDICADORES>FODA X
INDICADORES>HEAT MAP X
INDICADORES>PASTEL X
ADMINISTRACION DE USUARIOS>MONITOREO DE USUARIOS
217
Requirements Specification Document
ADMINISTRACION DE USUARIOS>MONITOREO DE ROLES
ADMINISTRACION DE ORGANIZACIONES
Tabla 25. Anexo 4 / Permisos Encuestado
Menú ADMINISTRACIÓN:
La pantalla “ORGANIZACIONES”, tiene por objetivo realizar el “abc” (altas, bajas y
cambios) de las organizaciones contempladas en el sistema.
o Características:
Dentro de esta pantalla existirán diversos botones con funcionalidades
específicas, las cuales permitirán:
Crear una organización/Institución o empresa
Dar de baja una organización/Institución o empresa.
Buscar una organización/Institución o empresa.
Modificar una organización/Institución o empresa.
o Debe existir un logotipo relacionado a cada organización/empresa o institución.
o Se debe especificar el país al que pertenece dicha organización/empresa o
institución.
o Se debe especificar el tipo de institución al que pertenece la empresa.
ESPECIFICACIONES GENERALES:
Dentro de la pantalla home (inicio), se permitirá el ingreso al sistema evaluador,
mediante la captura del usuario y password correspondiente.
Dentro del sistema se deberá contemplar una bandera que permita identificar
internamente si se trata de una institución pública o privada. Lo anterior con el
218
Requirements Specification Document
objetivo de que los términos dentro del sistema sean los ideales en cada uno de
los casos.
La bandera se especificara dentro del Menú ADMINISTRACION >>
ORGANIZACIONES.
El logotipo que se visualizara en el sistema será dinámico y dependerá de la
organización a la que pertenezca el usuario, es decir, cada usuario estará
relacionado a una organización, misma que al darse de alta deberá
proporcionar el logotipo correspondiente.
El sistema proveerá una firma electrónica y responsiva del usuario para cada
cuestionario contestado (dirección IP, Nombre, número de usuario, fecha y hora).
La base de datos mantendrá la información únicamente de los últimos 5 años,
pasando este periodo será depurada en automático. Lo anterior es para
garantizar el performance de la aplicación evitando lentitudes en las cargas de
información actuales que se realicen.
Los usuarios desean contemplar una aplicación web con:
Una base de datos robusta.
Controles de seguridad
o Acceso de usuarios con alta seguridad en los Password.
o Usuario administrador que otorgue los accesos.
o Almacenamiento de información en servidores seguros.
Entregable web en versiones para PC.
219
Requirements Specification Document
3.1 Training Requirements
Aunque el entrenamiento no esté dentro de los requerimientos funcionales, se deberán
considerar tiempos tanto para la transición de soporte al equipo de IT, mismo que se
quedara con el soporte, como el training para los usuarios finales, enfocado al tipo de
rol al que pertenece.
Estos entrenamientos se ejecutaran en la etapa de “Final Preparation”, es decir, previo
al Go-Live de la iniciativa.
3.2 Performance Requirements
Los usuarios funcionales solicitan contemplar servidores nuevos y seguros,
completamente dedicados para esta iniciativa, los cuales contengan una base de
datos robusta, y una respuesta rápida cuando se realicen las peticiones de registro-
Consulta en producción.
3.3 Recovery Requirements
Por temas de compulsas, el usuario funcional solicita que la información se encuentre
respaldada semanalmente durante un periodo de cinco años.
3.4 Security Requirements
Por parte del equipo funcional, se desea se respeten las especificaciones de seguridad
estipuladas en el módulo de administración de usuarios, en la cual se detalla la
existencia de roles y en el módulo de organizaciones, en la cual se solicita que exista
privacidad de información para cada organización.
En cuanto a la parte de infraestructura, se tienen contempladas las características de
seguridad dentro de la solicitud del servidor Nuevo, es decir, se solicita que este
contenga un firewall y detecciones de ataques de fuerza bruta.
3.5 Reliability Requirements
Se deberá asegurar que el aplicativo será tolerante ante fallos y las operaciones
deberán ser transaccionales.
3.6 Operational Requirements
220
Requirements Specification Document
Dada la criticidad de la operación, la aplicación deberá estar funcionando 24 x 7 lo 365
días del año.
4. Business Rules
Todas las reglas de negocio solicitadas, aparecen dentro del apartado 3 de este
documento.
Cada módulo especificado cuenta con las reglas plasmadas por el equipo funcional.
*Your signature indicates your review and agreement with the content in this document
and that you are accountable for the sign-off of this completed key deliverable.
Printed
Name/Title/Division
Approval Signature
Date
Carlos Osuna
Functional Leader
□ Yes
□ No
Comments:
221
Requirements Specification Document
Juana Martinez
BEL Jr
□ Yes
□ No
Comments:
Karen Mora
Project Leader
□ Yes
□ No
Comments:
Jorge Fernández
Build Manager
□ Yes
□ No
Comments:
Orlando Blanco
Network
□ Yes
□ No
Comments:
Erika Zamarripa
Compute
□ Yes
□ No
Comments:
Karen Mondragón
Field Services
□ Yes
□ No
Comments:
Carlos Murillo
Security
□ Yes
□ No
Comments:
Diana Vazquez
Project Manager
□ Yes
□ No
Comments:
222
Test Caes
ANEXO 5
Test Cases
AUTOMATIZACIÓN DEL PROCESO DE AUDITORÍA SOBRE EL CONTROL INTERNO EN SECTORES PÚBLICOS Y PRIVADOS,
BASADO EN METODOLOGÍA COSO
Nombre Corto
APASCI_BASECOSO
Número Proyecto 0001
12 / Mayo / 2017
223
Test Caes
En la Tabla 26, se visualizan cada uno de los casos de prueba que los usuarios capturaron.
Case Module Description Conditions Expected Results 1
Organización
Creación de una organización.
Se registrara la organización "Empresa BIEN segura"
Se espera que el alta de la organización solicitada, se registre con éxito.
2 Organización
Editar organización.
Se editara la entidad y municipio registrados en la organización "Empresa BIEN segura".
Se espera que la información de entidad y municipio se actualice con éxito.
3 Usuarios
Registrar el alta de tres usuarios nuevos, asignados a la organización previamente creada. Consulta de Usuarios Deseados.
Se deberán registrar tres usuarios con diferentes tipos de roles cada uno: Administrador, encuestado y encuestador.
Se espera que el alta de los usuarios con cada uno de los tipos de roles se efectué de manera satisfactoria.
4 Usuarios
Tratar de ingresar al aplicativo con uno de los tres usuarios previamente creados.
Para el ingreso al sistema se deberá considerar uno de los tres usuarios previamente creados, sin la activación de éste.
Se espera que el sistema no le permita la entrada, aunque ya este registrado. Se deberá validar la regla de activación de usuarios.
5 Usuarios
Activar los usuarios previamente registrados.
Se deberá activar los tres usuarios previamente registrados.
Se espera que los tres usuarios se activen de forma satisfactoria, ingresando al sistema sin contratiempo.
6 Usuarios
Editar información de usuario previamente registrado.
Se deberá actualizar la entidad y municipio de alguno de los tres usuarios registrados previamente.
Se espera que la información del usuario, se actualizada satisfactoriamente.
7 Usuarios
Bloquear usuario.
Se deberá considerar al usuario Jaime Sánchez, de quien ya se certificó el ingreso satisfactorio al aplicativo, previamente.
El usuario no deberá ingresar al aplicativo.
8 Roles
Creación / Consulta de rol.
Se considerara la creación del rol de Soporte
Se espera que el aplicativo logre crear el rol para el equipo de soporte.
9 Roles Modificación de un rol. Se contemplara la modificación del Rol Se espera que la habilitación /
224
Test Caes
"Operativo", al cual se le modificaran algunos de los permisos con los que ya cuenta. Para efectos de esta prueba se crea el usuario con rol operativo: [email protected]
des-habilitación de cada uno de los módulos, permita ingresar o no a las pantallas seleccionadas. Para este caso se espera que el usuario con rol operativo no pueda ingresar a la opción de Reporte de Notificaciones.
10 Cuestionarios>Nuevo
Crear cuestionario Nuevo, relacionado a la organización previamente registrada.
Se generara un cuestionario para la organización "Empresa BIEN segura", considerando solo uno de los componentes de la metodología COSO
Se espera que el cuestionario se registre satisfactoriamente y el aplicativo indique el número de la evaluación con la que se le dará seguimiento.
11 Cuestionarios>Nuevo
Asignar preguntas Adicionales al cuestionario previamente creado.
Se deberá considerar el cuestionario número 78, creado previamente en la organización "Empresa BIEN segura".
Se espera que la pregunta adicional que se incorpore, se pueda registrar satisfactoriamente.
12 Cuestionarios>Nuevo
Editar Cuestionario previamente creado.
Por regla de negocio únicamente se podrán actualizar las fechas de inicio y fin de vigencia de los cuestionarios. Para esta prueba, se considerara el cuestionario creado N. 078
Se espera que la fecha fin de vigencia del cuestionario, se modifique satisfactoriamente.
13 Cuestionarios>Nuevo
Consultar Cuestionario previamente creado.
Se tendrá que consultar el cuestionario creado previamente, es decir, el numero 078
Se espera que la opción de consulta de cuestionarios, muestre la información general de la evaluación 78.
14 Cuestionarios>Validar
Puntajes Totales
Consultar puntajes totales del cuestionario previamente creado.
Se realizara la búsqueda para la organización "Empresa BIEN segura" y el cuestionario numero 78
Se espera que la pantalla muestre las calificaciones esperadas, según la regla de negocio solicitada, considerando el puntaje total del cuestionario.
15 Cuestionarios>Consultar
Planilla Cuestionarios
Consultar la estructura del cuestionario previamente creado.
Se realizara la validación de esta pantalla considerando la evaluación creada previamente, 078 relacionado a la organización "Empresa BIEN segura".
Se espera que la consulta de la planilla de cuestionarios, muestre cada uno de los componentes que se consideró en su creación, incluyendo las preguntas adicionales.
225
Test Caes
16 Envío de Cuestionarios
Distribuir la evaluación creada a los usuarios previamente registrados.
Se realizara el ejercicio considerando la organización y el cuestionario creado y mencionado en los casos anteriores.
Se espera que los cuestionarios se hayan distribuidos de forma correcta.
17 Responder Cuestionarios
Validar la regla del llenado de Datos Generales, previo a la captura de respuestas.
Se deberá validar este escenario con el cuestionario 78, correspondiente a la organización "Empresa BIEN segura"
Se espera que el usuario pueda identificar la alerta en la que se le indica que antes de contestar la evaluación, es requerido capture sus datos en la pantalla "Captura de Datos Generales".
18 Responder Cuestionarios
Validar el no acceso a evaluaciones, no distribuyendo previamente los cuestionarios.
Se deberá crear un usuario adicional, relacionado a la organización ´ Empresa BIEN segura”. Dicho usuario no contendrá los permisos sobre el cuestionario 78, dado que no se le distribuirá el cuestionario dentro de la opción de Envío de Cuestionarios.
Se espera que el nuevo usuario creado, sin distribución de la evaluación 78, le aparezca la alerta, notificándole la falta de permisos para acceder al cuestionario.
19 Responder Cuestionarios
Validar el acceso a cuestionarios, previamente distribuidos.
Se ingresara con la cuenta de alguno de los usuarios previamente creados, relacionados a la organización: "Empresa BIEN segura", y se contestara la información solicitada en la pantalla de "Captura de Datos Generales"
Se espera que al finalizar la captura de los datos generales, el usuario logre ingresar al cuestionario en la pantalla "Responder Cuestionario" y no le aparezca ninguna alerta adicional.
20 Responder Cuestionarios
Validar la captura de respuestas correspondientes.
Se considerara el cuestionario 78, para validar la captura de las 4 posibles respuestas en cada una de las preguntas.
Se espera que el aplicativo permita capturar una de las 4 posibles respuestas y capturar observaciones en cada uno de los campos habilitados por pregunta.
21 Responder Cuestionarios
Validar el anexo de evidencias por pregunta.
Se considerara la evaluación 78, para validar la funcionalidad del manejo de archivos adjuntos, como evidencias.
Se espera que el sistema permita adjuntar archivos en cada una de las preguntas.
22 Responder Cuestionarios
Validar la información de Literatura y Nivel de Riesgo por pregunta.
Se considerara el cuestionario 78.
Se espera que cada una de las preguntas contenga la literatura y el nivel de riesgo solicitado.
23 Responder Cuestionarios
Validar el almacenamiento de los resultados, sin finalizar el
Se considerara el cuestionario 78
Se espera que se logre iniciar la captura de la evaluación,
226
Test Caes
cuestionario.
guardar la información sin completar el cuestionario y al regreso se logren guardar los cambios previamente realizados.
24 Responder Cuestionarios
Validar la regla de la habilitación de la declaratoria de aceptación, previo a la finalización de la evaluación.
Se considerar el cuestionario 78. Con todas las preguntas previamente contestadas.
Se espera que al finalizar el cuestionario y previo a su almacenamiento, el usuario pueda visualizar la declaratoria de aceptación.
25 Responder Cuestionarios
Validar la finalización del cuestionario, identificando la evaluación asignada por el sistema.
Se considerara el cuestionario 78, con todas las preguntas previamente contestadas y con la declaratoria de aceptación previamente aceptada.
Se espera que el aplicativo muestre los resultados de la evaluación obtenida, en pantalla.
26 Reporte de
Notificaciones
Validar el estatus de los correos distribuidos con la información de las evaluaciones solicitadas, y el estatus de las mismas.
Se consideraran los envíos previamente realizados al cuestionario 78, de la organización "Empresa BIEN segura"
Se espera que el aplicativo muestre el listado de los estatus de los envíos realizados y los estatus de las evaluaciones correspondientes.
27 Tracking File
Validar las preguntas contestadas de manera deficiente, correspondientes a las evaluaciones previamente contestadas.
Se consideraran los filtros de organización "Empresa BIEN segura" y el cuestionario n. 78.
Se espera que el aplicativo muestre en pantalla aquellas preguntas contestadas de manera deficiente.
28 Datos Generales>Captura
Validar que la información a capturar en la pantalla Datos Generales, corresponda a lo solicitado y ésta se almacene de forma correcta.
Se considerara ingresar con el usuario Andrea Santos.
Se espera que la información contemplada en el requerimiento, para esta pantalla, se contemple de manera satisfactoria.
29 Datos
Generales>Consulta
Validar que la pantalla de consulta de datos generales arroja la información previamente capturada.
Se considerara ingresar con el usuario Andrea Santos.
Se espera que la información capturada en la pantalla de captura Datos Generales, se muestre satisfactoriamente en esta pantalla de Consulta.
30 Indicadores> FODA
Validar que la gráfica de FODA arroja la información de los cuestionarios previamente contestados, con formato de 4 grids con los colores
Se considerara la información del cuestionario 78, correspondiente a la organización "Empresa BIEN segura".
Se espera que la gráfica muestre información relacionada al cuestionario deseado, en función de los 4
227
Test Caes
solicitados.
colores por cada uno de los indicadores del FODA.
31 Indicadores> HeatMap
Validar que la gráfica de HeatMap arroja la información de los cuestionarios previamente contestados.
Se considerara la información del cuestionario 78, correspondiente a la organización "Empresa BIEN segura".
Se espera que la gráfica muestre información relacionada al cuestionario deseado.
32 Indicadores>Pastel
Validar que la gráfica de Pastel, arroja la información de los cuestionarios previamente contestados en forma de sector.
Se considerara la información del cuestionario 78, correspondiente a la organización "Empresa BIEN segura".
Se espera que la gráfica muestre información relacionada al cuestionario deseado, en forma de sector.
33 Indicadores> Cubo
Validar que la gráfica de Cubo, arroje la información de los cuestionarios previamente contestados en forma de CUBO, considerando solo componentes y principios
Se considerará la información del cuestionario 78, correspondiente a la organización "Empresa BIEN segura".
Se espera que la gráfica muestre información relacionada al cuestionario deseado, en forma de CUBO.
Tabla 27. Anexo 5 / Matriz de Casos de Pruebas
228
Design Document
ANEXO 6
Design Document
AUTOMATIZACIÓN DEL PROCESO DE AUDITORÍA SOBRE EL CONTROL INTERNO EN
SECTORES PÚBLICOS Y PRIVADOS, BASADO EN METODOLOGÍA COSO
Nombre Corto
APASCI_BASECOSO
Número Proyecto 0001
15 / Mayo / 2017
229
Design Document
TABLE OF CONTENTS
1. Purpose.
2. Design Considerations.
2.1. Decision Overview.
2.2. Other Considerations.
3. Architecture
3.1. Major Subsystems.
3.2. Communication
4. External Interfaces.
5. User Interfaces.
5.1. Menus
5.2. Screen Layouts.
5.3. Report Layouts.
6. Database Organization and Data Storage.
7. Programming Language
7.1. Recommendations
8. Other Design Considerations.
9. Security Role Design.
10. Signatures
230
Design Document
Revision Control
AUTHOR: Diana Arizandi Vazquez Espíndola.
REVISION DATE BY: VERSION DESCRIPTION OF CHANGE
(INCLUDE REFERENCE TO ANY REQUEST FOR CHANGE
NUMBERS)
15 Mayo 2017 Diana
Vazquez
1.0 Definición y documentación del template.
Review/Approval History
REVIEW /
APPROVAL DATE
BY: ACTION
25 Mayo 2017 Yazareth
Gutierrez
Revisión de Documento
1. Purpose
El propósito de este documento es documentar formalmente el diseño de la aplicación
/ sistema de software.
Este documento debe ser estrictamente supervisado y firmado por el Arquitecto. Esto
debe incluir aspectos de datos y controles clave.
PROJECT IDENTIFICATION - PROJECT SPECIFICS
Project Name Project Number Date Document Created
AUTOMATIZACIÓN DEL
PROCESO DE AUDITORÍA SOBRE
EL CONTROL INTERNO EN
SECTORES PÚBLICOS Y
PRIVADOS, BASADO EN
METODOLOGÍA COSO
0001 15 Mayo 2017
Current Phase Project Tier
Classification Business Sponsor
Realization Design 3 Eduardo Ramírez
Division(s) Impacted BIS SLT Project Manager
México Juana Martínez Diana Vazquez
231
Design Document
2. Design Considerations
Decision Overview
Describe the system design in broad terms including alternative designs and why one was
chosen. Consider benefits, costs and schedule, and technical risks. Describe how the
proposed solution aligns with the enterprise architecture.
Dado que no existe en el mercado ningún software como el solicitado por el área de
auditoria, se toma la decisión de poner en ejecución la creación de una herramienta
nueva, la cual permita automatizar el proceso de auditorías, ofrecerá una solución
práctica para implementar evaluaciones mediante una metodología y herramientas
electrónicas que permitan satisfacer los objetivos de las normas a las que están obligadas
las dependencias, entidades gubernamentales y/o empresas privadas.
Este sistema mitigara los tiempos tan largos de ejecución y procesamiento de los resultados
que se llevan actualmente al aplicar auditorias y disminuirá los costos de la aplicación de los
mismos, ya que será una herramienta web la cual permitirá que cada encuestado ingrese y
responda su propia evaluación, anexando las evidencias solicitadas.
Contar con un sistema evaluador de controles permitirá, eliminar las áreas de oportunidad
que se identifiquen en el proceso de auditoria tales como falta de información oportuna, re-
trabajo y gastos excesivos, mostrar las recomendaciones a seguir para que se cumplan los
objetivos y alcances de las organizaciones e instituciones.
La toma de decisiones oportuna, disminuir los tiempos en la aplicación de las evaluaciones,
distribución de encuestas, procesamiento y visualización de los resultados obtenidos,
impactando de esta manera la toma de decisiones y garantizar la aplicación de las
normas en la organización, evaluar y monitorear los controles de múltiples unidades
operativas en tiempo real.
Los Beneficios que se identifican son:
232
Design Document
Disminución del indicador de corrupción.
Erradicación de Malos Hábitos.
Automatización del “end to end” del proceso de auditoría del control Interno.
Centralización de información.
Información oportuna.
Reducción de gastos dentro del área.
Incremento de productividad en el área.
Para esta iniciativa, se comunicó la necesidad de un fondeo de $1, 212, 750, ver el desglose
en la Tabla 28.
Se determinó el siguiente plan de actividades para la implementación, ver Ilustración121.
Cantidad Precio Totales
Mes 1 Mes 2 Mes 3 Mes 4 Mes 5 Mes 6 Mes 7 Mes 8 Mes 9 Arranque
Computadoras 5 24,000.00$ 24,000.00$ 24,000.00$
1 800.00$ 800.00$ 800.00$ 800.00$ 800.00$ 800.00$ 800.00$ 800.00$ 5,600.00$
1 350.00$ 350.00$ 350.00$ 350.00$ 350.00$ 350.00$ 350.00$ 350.00$ 350.00$ 350.00$ 3,150.00$
Servicio Luz 1 $1,000 $1,000 $1,000 $1,000 $1,000 $1,000 $1,000 $1,000 $1,000 $1,000 $10,000
Servidor Hosting Producción 1 $3,000
1 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 270,000.00$
1 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 30,000.00$ 270,000.00$
1 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 315,000.00$
1 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 35,000.00$ 315,000.00$
Total 1,212,750.00$
Desarrollador .net
Desarrollador .net
DBA
Lider de Proyecto
Presupuesto
Duración del Proyecto
Infraestructura
Servidor Hosting Desarrollo
Servicio de Internet
Recursos
Tabla 29. Anexo 6 / Presupuesto
233
Design Document
De momento no se identifican riesgos técnicos en esta iniciativa, ya que la solución
propuesta respeta las políticas de la empresa y la arquitectura empresarial, considerando
temas de seguridad en la nueva infraestructura solicitada, ver Ilustración 212.
Ilustración 211. Anexo 6 / Plan de Trabajo
234
Design Document
Servidor con:Aplicativo ASP . net
Base de Datos SQL ServerInternet
Servidor con:Aplicativo ASP . net
Base de Datos SQL ServerInternet
AplicaciónSistema
Evaluador delControl Interno
WWW.Host.COM
Ilustración 213. aNEXO 6 / Ariquitectura
Other Considerations
Describe other considerations used to make design choices.
Para tomar la decisión de implementar una iniciativa tecnológica para este proceso de
negocio, el cual se lleva a cabo de forma manual, se tomaron previamente las siguientes
consideraciones:
Las necesidades del área:
o Inexistencia de procesos automáticos.
o Descentralización de información.
o Creación de Indicadores manualmente.
o Inversión de tiempos elevados.
o Inversión de más de un recurso a una sola actividad.
La selección del producto, contemplando:
o El potencial del mercado, es decir, no existe ninguna plataforma para este
proceso de Negocio.
o La Factibilidad financiera.
o La Compatibilidad con la operación que se identifica.
o Calidad y rendimiento del producto.
235
Design Document
3. Architecture
Major Subsystems
Describe the major subsystems (major clusters of functionality), their responsibility, and
preliminary list of modules or classes that will be contained in each subsystem.
Describe how the system architecture fits into the current systems design. Identify any
required changes to the current application components as a result of this high-level
design.
Considerando que se trata de una iniciativa nueva y esta se llevara a cabo con
infraestructura nueva, no se considera la reutilización de componentes existentes dentro
del área de IT.
A continuación se detallan los principales subsistemas identificados en la solución, ver Ilustración 214.
236
Design Document
AUTOMATIZACIÓN DEL PROCESO DE AUDITORÍA SOBRE EL CONTROL INTERNO EN SECTORES PÚBLICOS Y PRIVADOS, BASADO EN METODOLOGÍA COSO
Crea
ción
/Int
egra
ción
de
Cues
tion
ario
sId
enti
fica
ción
de
la M
etod
olog
ía B
ase
Dis
trib
ució
n de
Not
ific
acio
nes
y A
sign
ació
n de
Cu
esti
onar
ios
Eval
uaci
ón d
e R
esul
tado
sId
enti
fica
ción
de
Rie
sgos
y R
ecom
enda
cion
esM
onit
oreo
de
Res
ulta
dos.
Adm
inis
trac
ión
de u
suar
ios
Adm
inis
trac
ión
de
Org
aniz
acio
nes
Rol “Operativo”Usuarios funcionales SME’s Rol “Administrador” Rol “Encuestador”Rol “Súper Usuario”IT
Usuario genera Cuestionario COSO con la estructura de 3 niveles (componente, principios y puntos de enfoque), conjunto de posibles respuestas por pregunta (punto de enfoque), así como la recomendación y literatura por pregunta.
Usuario asigna valores a cada una de las posibles respuestas del Cuestionario.
El administrador de la aplicación Crea/Conforma el cuestionario por aplicar, seleccionando la estructura que desee aplicar (uno, alguno o todos los Componentes) en la organización o institución correspondiente, y seleccionara la fecha de vigencia del cuestionario.
El administrador del sistema, ingresara al aplicativo
El sistema arrojara el numero de evaluación Creada
El administrador del sistema registra el alta de la organización o institución
El administrador del sistema registra el alta de todos lo usuarios pertenecientes a la organización o institución.
El administrador de la aplicación ingresara a la pantalla de Distribución Masiva para asignarle a todos los usuarios elegidos, el numero de evaluación generada.
Cuestionario COSO, cuenta con preguntas, conjunto de respuestas por pregunta, recomendaciones y
literatura por pregunta
Se regresa Cuestionario a Usuario funcional,
solicitándole la información faltante
NO
IT registra la versión del Cuestionario COSO en la BD.
SI
Usuario Encuestado recibe notificación por mail, con el numero de Evaluación por contestar.
Usuario Encuestado Ingresa sus datos generales, relacionado el número de Cuestionario a Contestar
Usuario Encuestado ingresa a la evaluación correspondiente e inicia la captura/seleccion de sus respuestas.
Usuario Encuestado Finaliza la Evaluación y Obtiene la calificación Asignada.
Usuario Admiistrador, espera a que la vigencia del Cuestionario, se cumpla.
Usuario Administrador Inicia la Evaluación de los
resultados.
Usuario administrador desea Monitorear los resultados en los
Indicadores?
Usuario Consulta Indicadores e Interpreta
Información
SI
Usuario Administrador envía recordatorios a usuarios Encuestadores, para el seguimiento de la ejecución de las recomendaciones, en aquellas preguntas erroneas.
Usuario Administrador consulta los posibles riesgos por usuario/
cuestionario
NO
NO
Ilustración 215. Anexo 6 Subsistemas Identificados
237
Design Document
Communication
Describe the communication between the sub-systems.
En el siguiente diagrama se muestra la interacción que se identifica, entre los diferentes
subsistemas, ver Ilustración 216
ADMINISTRACIÓN DE USUARIOS
ADMINISTRACIÓN DE ORGANIZACIONES
MONITOREO DE RESULTADOS
IDENTIFICACIÓN DE RIESGOS Y RECOMENDACIONES
EVALUACIÓN DE RESULTADOS
DISTRIBUCIÓN Y ASIGNACIÓN DE CUESTIONARIOS
CREACIÓN DE CUESTIONARIOS
INTEGRACIÓN DE LA METODOLOGIA BASE
Se regresa Cuestionario a Usuario funcional,
solicitándole la información faltante
IT registra la versión del Cuestionario COSO en la BD.
Usuario genera Cuestionario COSO con la estructura de 3 niveles (componente, principios y puntos de enfoque), conjunto de posibles respuestas por pregunta (punto de enfoque), así como la recomendación y literatura por pregunta.
Usuario asigna valores a cada una de las posibles respuestas del Cuestionario.
Cuestionario COSO, cuenta con preguntas, conjunto de respuestas por pregunta, recomendaciones y
literatura por pregunta
SI
NO
El administrador de la aplicación Crea/Conforma el cuestionario por aplicar, seleccionando la estructura que desee aplicar (uno, alguno o todos los Componentes) en la organización o institución correspondiente, y seleccionara la fecha de vigencia del cuestionario.
El administrador de la aplicación ingresara a la pantalla de Distribución Masiva para asignarle a todos los usuarios elegidos, el numero de evaluación generada.
El administrador del sistema, ingresara al aplicativo
El sistema arrojara el numero de evaluación Creada
Usuario Encuestado recibe notificación por mail, con el numero de Evaluación por contestar.
Usuario Encuestado Ingresa sus datos generales, relacionado el número de Cuestionario a Contestar
Usuario Encuestado ingresa a la evaluación correspondiente e inicia la captura/seleccion de sus respuestas.
Usuario Encuestado Finaliza la Evaluación y Obtiene la
calificación Asignada.
Usuario Administrador
Inicia la Evaluación de los resultados.
Usuario Administrador consulta los posibles riesgos por usuario/
cuestionario
Usuario administrador desea Monitorear los resultados en los
Indicadores?
NOUsuario Consulta
Indicadores e Interpreta
Información
SI
Usuario Administrador envía recordatorios a usuarios Encuestadores, para el seguimiento de la ejecución de las recomendaciones, en aquellas preguntas erroneas.
Usuario Admiistrador, espera a que la vigencia del Cuestionario, se cumpla.
El administrador del sistema registra el alta de la organización o institución
El administrador del sistema registra el alta de todos lo usuarios pertenecientes a la organización o institución.
Ilustración 217. Anexo 6/ Comunicación entre subsistemas
238
Design Document
La Ilustración 218, detalla el diagrama lógico correspondiente a la Obtención de la Evaluación de los Cuestionarios.
RESPUESTA DE CUESTIONARIOS
OBTENCIÓN DE LA CALIFICACIÓN CORRESPONDIENTE
Distribución de Evaluaciones
Creación / Integración de Cuestionario COSO, para su distribución.
Carga de Cuestionarios
SME funcional, crea Cuestionario en excel, con
Estructura Requerida
Siempre
1.-¿La administracion de la dependencia u organismo,
demuestra a través de su actitud y acciones la relevancia y
linea a seguir acerca de la integridad y los valores éticos
para el adecuado funcionamiento de la entidad y del
control interno?
12 puntos 100%
2.- ¿Existe un código de conducta, el cuál ha sido
comunicado a todos los niveles de la institución y a
terceros?
8 puntos 100%
2 10 puntos
3 10 puntos
4 30 puntos
5 30 puntos
6
7
8
9
10
11
12
13
14
15
16
17
COMPONENTE PRINCIPIO PUNTO DE ENFOQUEValor Punto de
Enfoque
10 puntos
20 puntos
Respuesta/Porcentaje (aplican las cuatro opciones
para todas las preguntas)Valor Componente
Valor
Principios
INFORMACIÓN Y COMUNICACIÓN 4
ACTIVIDADES DE MONITOREO Y SUPERVISIÓN 5
1
100 puntos
150 puntos
130 puntos
140 puntos
1 AMBIENTE DE CONTROL
EVAUACIÓN DEL RIESGO2
ACTIVIDADES DE CONTROL 3
SME entrega el Cuestionario al area de IT
para su carga correspondiente.
IT valida estructura requerida
¿La estructura es la requerida?
X=DBA carga el
cuestionario en la BDSI
IT Se solicita la información
faltante a los SME funcionales.
NO
DBA cargo las tablas:
Component Principle Focus Point (Con detalle de puntajes por
pregunta)
DBA (IT) alimenta los catálogos complementarios de los cuestionarios COSO, según el cuestionario entregado por el usuario funciona: RiskLevelVal (Niveles de Riesgo) QuestionaryAnswer (Conjunto de
Respuestas que se consideraran en el Cuestionario).
X=
DBA Crea Scripts de inserción y los ejecuta para iniciar la cara de
catalogos.
Usuario Administrador Integra cuestionario COSO, para su distribución. (En base a los
elementos existentes en las tablas: Componente Principio Punto de enfoque)
Usuario Administrador Valida el puntaje Total considerado para su
Evaluación en pantalla: “Validación de Puntajes
Totales”
Usuario Administrador distribuye el numero de Evaluación a
empleados asignados.
Usuario Recibe correo con la notificación de resolver determinado numero de
evaluación asignada.
Usuario inicia/Continua la resolución de la
Evaluación, dentro de la pantalla: “Responder
Cuestionario”
Se guarda en automático la información de los elementos que conforman el cuestionario, en las
tablas: QuestionaryHdr (cabecero) Questionary (detalle)
Sistema genera un número de Cuestionario, el cual es notificado en pantalla al
usuario que lo crea.
¿Botón Finalizar seleccionado?
Se muestran en pantalla los N numero de preguntas pendientes/sin contestar que conforman el cuestionario con la
lista de sus posibles respuestas.
Ej. Pregunta 1: ¿ Cada cuando bloquea su maquina al levantarse
de su lugar?
Siempre A veces Nunca N/A
¿Declaratoria de Aceptación
seleccionada?
¿Botón Guardar seleccionado?
¿Vigencia del cuestionario
expirada?
NO
Se alerta al usuario con el siguiente mensaje en
pantalla: “Cuestionario no vigente”
SI
Se almacena la información: Numero de Cuestionario - > Usuario
- > Respuestas seleccionadas, dentro de las tablas:
QuestionaryResponseHdr QuestionaryResponse
SI
NO
SI
Alertar al usuario para que habilite la declaratoria de
Aceptación
NO
¿Existen preguntas pendientes por contestar?
SI
Se enlista las 80 respuestas
seleccionadas.
NO
SI
NO
Se almacena la información: Numero de Cuestionario - > Usuario - > Respuestas
seleccionadas, dentro de las tablas: QuestionaryResponseHdr QuestionaryResponseSe actualiza el estatus del Cuestionario a “Completado”, es decir, sin preguntas pendientes por contestar.
Se Identifica el # de Cuestionario en la tabla QuestionaryHdr (cabecero) y se consulta en la tabla (detalle) el valor total de la pregunta, que corresponde a las respuesta seleccionadas.
Se identificaron todos los % de las N preguntas contestadas?
N<=80
Se Identifica el % del valor que se tiene que considerar en la tabla QuestionaryAnswer, en función de las respuestas seleccionadas.
X= Identifica el rango en el que se encuentra la calificación (interpretación de la Evaluación) en función al puntaje
Total de la Evaluación:(Tabla QuestionaryHdr).
NO
Calcula el valor total de las preguntas en función del % que corresponde, según la respuestas seleccionadas.
X=
Siguiente Pegunta= Siguiente Pegunta+1
X=
Siguiente Pegunta= Siguiente Pegunta+1
X=Calificación = 0
X=
Calificación = Calificación + valor total de la pregunta N
X=N =1
X=
N= N + 1
Mostrar en Pantalla Calificación e Interpretación de la Evaluación.
Interpretación de la Evaluación.
Del 0 al 25% Calificación no razonable.
Interpretación de la Evaluación.
Del 26 al 50% Calificación Deficiente.
Interpretación de la Evaluación.
Del 51 al 75% Calificación Razonable
Interpretación de la Evaluación.
Del 76 al 100% Calificación Satisfactoria
SI
Ilustración 219. Anexo 6 / Diagrama Lógico.
239
Desig Document
4. External Interfaces
Inputs
Identify input interfaces, function call protocol, and the nature of the data structures
passed across the interface.
La entrada de información al Sistema Evaluador se realizará de dos maneras:
1. Por un lado se cargara información de manera directa en la base de datos, ya
que no se cuenta con la información en algún otro sistema.
a. Carga de Catálogos geográficos: País, Entidad y Municipio, ver Ilustración 220.
DataBase User
CUCargaCat_Geograficos
«uses»
Ilustración 221. Anexo 6 / Diagrama de caso: CUCargaCat_Geograficos
ID del
caso
CUCargaCat_Geograficos
Nombre Carga Catálogos de
Países, Entidades y
Municipios.
Sistema Sistema Evaluador de Auditorias
Descripción
Realiza la carga de los catálogos de Países, las Entidades correspondientes a
esos países y los Municipios relacionados a las Entidades requeridas.
Actores
240
Desig Document
DBA – El cual cuenta con privilegios directamente en la Base de Datos.
Precondiciones
La cuenta/usuario debe de tener permisos en la base de datos para
modificar registros.
La base de datos debe estar en ambiente productivo y activo.
El Sistema evaluador este en línea.
Condiciones al terminar el caso
Los combo-list de País, Entidad y Municipio deberán mostrar la información
correspondiente.
Excepciones
Si la cuenta/usuario no tiene privilegios para cargar documentos en la base
de datos o ésta no se encuentra activa, el en el Sistema Evaluador no
mostrara información en las pantallas dependientes de esta data.
Inicio
El caso de uso inicia con los listados de País-> Entidades-> Municipios que se
deseen cargar en la base de datos.
Fin
El caso de uso termina con los catálogos poblados de información y
visualizados dentro de los combo-list en las pantallas requeridas.
Condiciones y restricciones
El usuario o cuenta debe de tener conexión al portal.
Puntos pendientes
Ninguno.
Escenario Descripción: Carga Catálogos Geográficos.
241
Desig Document
a) Se identifica la información de los países deseados a mostrar en el listado de
países.
b) Se identifica la relación entre los países deseados y las Entidades
correspondientes.
c) Se identifica la relación entre las Entidades y los Municipios correspondientes.
d) Se valida que la información está correctamente relacionada.
e) Se carga la información en los catálogos correspondientes.
f) Se valida que los catálogos geográficos estén poblados y los combo-list
muestren la información en las pantallas correspondientes.
g) Fin del caso de uso.
b. Carga de Cuestionarios con sus ponderaciones, recomendaciones y niveles
de riesgo por pregunta, ver Ilustración 222.
DataBase User
CUCargaCuest_Base_COSO
«uses»
Ilustración 223. Anexo 6 / Diagrama de caso: CUCargaCuest_Base_COSO
ID del
caso
CUCargaCuest_Base_COSO
Nombre Carga de
Cuestionarios con
base en la
metodología COSO
Sistema Sistema Evaluador de Auditorias
Descripción
242
Desig Document
Se realiza la carga manual de los cuestionarios, directo en la base de datos, con
el detalle de Componente, principio, punto de enfoque, recomendaciones,
literatura, niveles de riesgo y posibles respuestas con los valores
correspondientes.
Actores
DBA – El cual cuenta con privilegios directamente en la Base de Datos.
Precondiciones
La cuenta/usuario debe de tener permisos en la base de datos para
modificar registros.
La base de datos debe estar en ambiente productivo y activo.
El Sistema evaluador este en línea.
Condiciones al terminar el caso
Los combo-list de Componente, principio y punto de enfoque mostraran
información.
Al momento de crear un cuestionario, cada pregunta deberá reflejar las
recomendaciones que sugiere COSO y su literatura por cada punto de
enfoque.
Al momento de responder un cuestionario, este arrojara una calificación
total, contemplando los valores seleccionados en cada respuesta.
Excepciones
Este proceso se realiza de forma manual ya que no se cuenta con una
versión final del cuestionario que se aplicara.
Inicio
El caso de uso inicia con la entrega del cuestionario al DBA, para que
actualice las tablas correspondientes.
Fin
El caso de uso termina con los combo-list de Componente, principio y punto
de enfoque mostrando información y al finalizar una evaluación, el sistema
arroje una puntuación final.
Condiciones y restricciones
243
Desig Document
El usuario o cuenta debe de tener conexión al portal.
Si no se cuenta con la estructura de 3 niveles, plasmada a continuación, no
se podrá cargar la información de los cuestionarios COSO.
o Componente 1
Principio 1
Punto de Enfoque 1/Recomendación 1/ Nivel de Riesgo
Punto de Enfoque 2/Recomendación 2/ Nivel de Riesgo
Punto de Enfoque 3 /Recomendación 3 / Nivel de Riesgo
Puntos pendientes
Ninguno.
Escenario Descripción: Carga manual de Cuestionarios COSO.
a) El SME funcional, entrega al equipo de IT la estructura del cuestionario
COSO.
b) El DBA valida que la información contenga la estructura requerida y en
caso de contener los 3 niveles correctamente, ingresa a la base de datos
y comienza la carga de información.
c) Se valida que los combo-list de componente, principio y punto de
Enfoque contengan información en la pantalla de Creación de
Cuestionarios.
d) Fin del caso de uso.
2. Dentro del aplicativo, se tendrá que ingresar la siguiente información a fin de
poder iniciar con la utilización del mismo.
a. El usuario root o Súper Usuario, tendrá que registrar el alta de la o las
Organizaciones participantes en las auditorias, ver Ilustración 224.
CUCarga_Organizacion
Super Usuario
«uses»
Ilustración 225. Anexo 6/ Diagrama de Caso: CUCarga_Organizacion
244
Desig Document
ID del
caso
CUCarga_Organizacion
Nombre Carga/Registro de la
Organización/Organizaciones
Participantes
Sistema Sistema Evaluador de
Auditorias
Descripción
Se realiza el registro de la Organización participante en la auditoria.
Actores
Súper Usuario – usuario Root con los mayores privilegios, será el único Rol que podrá
realizar esta actividades, ya que los roles subsecuentes solo podrán visualizar la
información de la organización a la que pertenezcan.
Precondiciones
Contar con la información completa, para el registro satisfactorio de la
Organización:
o Organización,
o Tipo de Organización
o País
o Entidad
o Municipio
o Nombre del contacto principal
o Email del contacto
o Teléfono
o Fecha de Alta
o Logo
Condiciones al terminar el caso
La organización se podrá visualizar dentro de la pantalla de consultas de
organizaciones Registradas y se podrán entonces registrar los empleados
relacionados a esta organización.
Excepciones
No existirán excepciones para este caso de Uso, en caso de que no se cuente
con la información completa de la organización, o no se identifique la cuenta del
Súper Usuario, no se podrá realizar el registro satisfactorio.
245
Desig Document
Inicio
El caso de uso inicia cuando un el Súper usuario ingresa a la pantalla de
Administración de Organizaciones y comienza a poblar la información que se
solicita.
Fin
El caso de uso termina visualizando el contenido de la información del registro de
la organización dentro de la pantalla con el listado de organizaciones.
Condiciones y restricciones
El usuario debe de contar con conexión por https al portal.
Puntos pendientes
Ninguno
Escenario Descripción: Alta de Organizaciones
a) El Súper usuario ingresa al sistema de evaluación d auditorias
b) El Súper usuario ingresa a la opción administración de Organizaciones
c) El Súper Usuario ingresa la información que se le solicita en la pantalla:
o Organización,
o Tipo de Organización
o País
o Entidad
o Municipio
o Nombre del contacto principal
o Email del contacto
o Teléfono
o Fecha de Alta
o Logo
d) Se guarda la información.
e) Se visualiza que el registro se encuentre dentro del listado de Organizaciones
existentes.
f) Fin del caso de uso.
b. El usuario root o Súper Usuario, tendrá que registrar el alta de los empleados
relacionados a la Organización registrada previamente, ver Ilustración 226.
246
Desig Document
CUCarga_Empleados_Organizacion
Super Usuario
«uses»
Ilustración 227. Anexo 6/ Diagrama de Caso: CUCarga_Empleados_Organizacion
ID del
caso
CUCarga_Empleados_Organizacion
Nombre Carga/Registro de los
empleados
relacionados a la
organización
registrada
previamente
Sistema Sistema Evaluador de
Auditorias
Descripción
Se realiza el registro de los empleados correspondientes.
Actores
Súper Usuario – usuario Root, el cual contara con los privilegios necesarios
para dar de alta a los empleados de una organización.
Precondiciones
247
Desig Document
Para dar de alta a un empleado, es necesario:
Identificar la organización a la que pertenece.
El usuario debe contar con el correo electrónico de la empresa u
organización a la que pertenece.
Crear un password específico por usuario.
Se debe tener la siguiente información necesaria para el registro del alta.
Nombre
Apellido Paterno
Apellido Materno
Iniciales
Puesto o Cargo
Área
Organización
Teléfono
País
Entidad
Municipio
Dependencia
Contraseña
Rol
Condiciones al terminar el caso
El listado de empleados registrados, se podrá visualizar dentro de la
pantalla de consultas de empleados registrados.
Los empleados podrán ingresar al sistema con las cuentas registradas:
email y contraseña.
Excepciones
No existirán excepciones para este caso de Uso, en caso de que no se
cuente con la información completa por empleado, no se podrá realizar
el registro satisfactorio.
Inicio
El caso de uso inicia cuando un el Súper usuario ingresa a la pantalla de
Administración de Usuarios/Registro Usuarios y comienza a poblar la
información que se solicita.
Fin
248
Desig Document
El caso de uso termina visualizando el contenido de la información del
registro de los empleados dentro de la pantalla con el listado de
empleados registrados.
Condiciones y restricciones
El usuario debe de contar con conexión por https al portal.
Puntos pendientes
Ninguno
Escenario Descripción: Registro de Empleados (Usuarios)
a) El Súper usuario ingresa al sistema de evaluación de auditorías.
b) El Súper usuario ingresa a la opción Administración de Usuarios.
c) El Súper Usuario ingresa la información que se le solicita en la pantalla:
a. Nombre
b. Apellido Paterno
c. Apellido Materno
d. Iniciales
e. Puesto o Cargo
f. Área
g. Organización
h. Teléfono
i. País
j. Entidad
k. Municipio
l. Dependencia
m. Email
n. Contraseña
o. Rol
d) Se guarda la información.
e) Se visualiza que el registro se encuentre dentro del listado de Usuarios
existentes.
Fin del caso de uso.
249
Desig Document
Outputs
Identify output interfaces, function call protocol, and the nature of the data structures
passed across the interface.
Uno de los principales entregables de la iniciativa de automatización, consta de:
1. La entrega de la evaluación total del Cuestionario en línea, ver Ilustración 228.
CUCalcula_Calificacion_Total
Encuestado
«uses»
Ilustración 229. Anexo 6 / Diagrama de Caso: CUCalcula_Calificacion_Total
ID del
caso
CUCalcula_Calificacion_Total
Nombre Muestra Calificación
total
Sistema Sistema Evaluador de
Auditorias
Descripción
Se proporciona Calificación total Obtenida
Actores
Encuestado – Usuario con privilegios para contestar su evaluación.
Precondiciones
250
Desig Document
o Que el cuestionario este vigente.
o Haber contestado previamente todas las preguntas del cuestionario.
o Antes de finalizar la Evaluación, se deberá seleccionar la Declaratoria
de Aceptación.
o Haber finalizado la evaluación.
Condiciones al terminar el caso
En la pantalla de Responder Cuestionario, deberá aparecer la calificación
total obtenida con un semáforo, el cual indicara la severidad de la
Evaluación.
Excepciones
No existirán excepciones para este caso de Uso, en caso de que no se
cuente con todas las preguntas y sus respuestas correspondientes, el
sistema no podrá calcular los resultados.
Inicio
El caso de uso inicia cuando los usuarios Encuestados u Operativos ingresan al
aplicativo a contestar la evaluación que les fue asignada.
Fin
El caso de uso termina cuando el usuario visualiza la calificación total
obtenida, posterior a la finalización del cuestionario.
Condiciones y restricciones
El usuario debe de contar con conexión por https al portal.
Se debió asignar el cuestionario previamente a cada usuario.
El cuestionario debe estar vigente.
Puntos pendientes
Ninguno
Escenario Descripción: visualización de la Calificación obtenida
251
Desig Document
a) El Usuario Encuestado ingresa al sistema de evaluación de auditorias
b) El usuario ingresa a la opción “Responder Cuestionarios”.
c) El usuario responde las preguntas solicitadas
d) El usuario anexa las evidencias deseadas.
e) El usuario selecciona la declaratoria de aceptación
f) El usuario Finaliza el Cuestionario.
g) El sistema procesa los resultados.
h) El sistema muestra la calificación obtenida.
i) Fin del caso de uso.
2. La visualización de indicadores con los resultados obtenidos, los cuales no se
transmitirán hacia ningún otro sistema, ver Ilustración 230.
CUMuestra_Indicadores
Administrador
Encuestado«uses»
«uses»
Ilustración 231. Anexo 6 / Diagrama de Caso: CUMuestra_Indicadores
ID del
caso
CUMuestra_Indicadores
Nombre Se mostraran los
indicadores gráficos,
con la información
de los resultados
obtenidos.
Sistema Sistema Evaluador de
Auditorias
252
Desig Document
Descripción
Se visualizaran los indicadores gráficos solicitados, con los resultados
obtenidos de todas las evaluaciones.
Actores
Encuestador/Administrador – Usuarios con privilegios de consulta en los
indicadores gráficos solicitados.
Precondiciones
o Tener cuestionarios finalizados.
Condiciones al terminar el caso
Se mostrara la información gráfica de los resultados obtenidos.
Excepciones
No se mostrara la información de los cuestionarios que no hayan sido
finalizados.
Inicio
El caso de uso inicia cuando un usuario Encuestado o administrador desea
consultar cualquier gráfico, con los resultados obtenidos de su
organización.
Fin
El caso de uso termina visualizando el contenido de la información de los
cuestionarios finalizados, en los indicadores gráficos solicitados, según la
organización a la que pertenezcan.
Condiciones y restricciones
Los usuarios deberán contar con conexión por https al portal.
Puntos pendientes
Ninguno
Escenario Descripción: Consulta de Indicadores gráficos.
253
Desig Document
a) El usuario (Administrador o Encuestado) ingresa al sistema de evaluación
de auditorías.
b) El usuario (Administrador o Encuestado) ingresa a la opción Indicadores.
c) El usuario (Administrador o Encuestado) ingresa a la gráfica deseada.
d) El usuario (Administrador o Encuestado) selecciona los filtros a consultar.
e) Se genera la petición
f) Se visualizan los resultados obtenidos.
g) Fin del caso de uso.
5. User Interfaces
Menus
A continuación se muestra el Menú solicitado por el área funcional, ver Ilustración 233.
Screen Layouts
List Screen Names, Purpose, Fields and Definitions, Function Keys and Actions.
Ilustración 232. Anexo 6 / Menú solicitado.
254
Desig Document
DISEÑO DE PANTALLAS
A continuación se detalla el diseño de la plataforma “Sistema de Gestión de Auditorias
del control Interno”, la cual tiene por objetivo contar con un sistema de monitoreo
continuo del control interno, diseñado para examinar, evaluar y monitorear múltiples
entidades y procesos permitiendo identificar riesgos a nivel entidad o por proceso
otorgando acciones correctivas específicas.
El sistema deberá permitir:
La creación de evaluaciones a la medida en base a los componentes, principios y
puntos de enfoque existentes dentro del informe COSO.
La distribución electrónica de notificaciones de forma masiva.
Adicionar evidencias que certifiquen cada una de las respuestas capturadas.
Consultar las evidencias que certifiquen las respuestas obtenidas.
La obtención de los resultados de manera oportuna.
El seguimiento a las acciones correctivas.
Visualización grafica de los resultados obtenidos.
Diseño: Menú DATOS GENERALES:
El sistema tendrá una pantalla de captura de DATOS GENERALES, en la que se
incorporara toda la información de los involucrados (tanto encuestadores como
encuestados) en la evaluación.
Características:
Dentro de esta pantalla existirán diversos botones con funcionalidades específicas, las
cuales permitirán:
Modificar registros existentes.
Buscar registros.
Guardar registros. Eliminar registros.
Para mayor detalle, ver Ilustración 234.
257
Desig Document
Diseño: Menú CUESTIONARIOS >> NUEVOS
La pantalla “NUEVOS”, tendrá por objetivo permitir la creación de nuevos
cuestionarios en base a la metodología COSO, ver Ilustración 236.
259
Desig Document
Características:
Dentro de esta pantalla existirán diversos botones con funcionalidades
específicas, las cuales permitirán:
Modificar cuestionarios.
Buscar cuestionarios.
Guardar cuestionarios.
Eliminar cuestionarios.
Se tendrá que especificar la vigencia del cuestionario.
En la parte baja de la pantalla irá apareciendo el puntaje total considerado,
resultado de la selección previa de los puntos de enfoque.
Toda vez que se haya definido la distribución de cuestionario, este no se podrá
modificar.
Aunque no sean visibles en esta pantalla, cuando se seleccionen los
componentes, principios y puntos de enfoque de las casillas de esta pantalla, en
automático se estarán considerando los niveles de riesgo, recomendaciones y
puntajes correspondientes para cada pregunta, almacenados dentro en la
base de datos.
Diseño: Menú CUESTIONARIOS >> ADICIONAR PREGUNTAS ESPECIFICAS
La pantalla “ADICIONAR PREGUNTAS ESPECIFICAS”, permitirá la incorporación o
agregación de preguntas adicionales relacionadas forzosamente a algún punto
de enfoque.
Características:
o Dentro de esta pantalla existirán diversos botones con funcionalidades
específicas, las cuales permitirán:
Modificar preguntas específicas.
Buscar preguntas específicas.
Guardar preguntas específicas.
Eliminar preguntas específicas.
o En caso de que los puntos de enfoque tengan preguntas específicas, el valor
260
Desig Document
de estas preguntas se evaluaran sobre el 70% de su valor, permitiendo
distribuir el 30% restante entre un numero N de preguntas adicionales.
o Siempre que se den de alta preguntas específicas, se consideraran cuatro
posibles respuestas, mismas que aparecerán en automático, del lado
derecho de la captura de la pregunta específica.
1. Siempre (con el 100% del valor de la pregunta).
2. Nunca (con el valor 0 (cero)).
3. A veces (con el 50% del valor de la pregunta).
4. No aplica (Se elimina el valor de la pregunta, es decir, el valor total de
la pregunta (100%) se restara del total del cuestionario )
o El sistema llenara de manera automática el tiempo de vencimiento de la
recomendación en base al nivel del riesgo proporcionado por el usuario, ver
Ilustración 238.
o En esta pantalla parecerán los siguientes controles:
1. Valor total del punto de enfoque.
2. El 70% del valor total. Valor a considerarse en caso de que el punto de
enfoque tenga al menos una pregunta específica.
3. El 30% del valor total. Valor base a considerarse para distribuir entre las
N preguntas específicas a ingresarse.
4. Puntaje total del cuestionario, ver Ilustración 240.
Ilustración 239. Anexo 6 / FODA vs Niveles de Riesgos solicitados
262
Desig Document
Diseño: Menú CUESTIONARIOS >> VALIDAR PUNTAJES TOTALES
La pantalla “VALIDAR PUNTAJES TOTALES” (Ilustración 242), permitirá consultar los rangos o
Ilustración 241. Anexo 6 / Diseño: Menú CUESTIONARIOS >> NUEVOS
263
Desig Document
Report Layouts
List Report Name, Purpose, User Type, Frequency, Sort and Filter Criteria, and Fields and
Definitions.
Solo se tiene identificado un reporte dentro del sistema evaluador, el cual mostrara las
preguntas, respuestas y puntajes totales del cuestionario cada vez que el usuario finalice
su evaluación.
El reporte con los resultados generados, deberá mostrar la siguiente información a
nivel cabecero:
o Número de Cuestionario.
o Numero de Evaluación
o Valor del cuestionario.
o Vigencia.
o Estatus del Cuestionario.
o Entrevistador
o Entrevistado
o Cargo o puesto
o Unidad de negocio.
o Organización
o País
o Entidad
o Municipio
o Fecha de evaluación.
o Fecha Declaratoria.
o Fecha Completado.
El reporte con los resultados generados, deberá mostrar la siguiente información a
nivel detalle:
o Todos los componentes, principios y puntos de enfoque que conforman la
evaluación.
o Todas las respuestas seleccionadas en cada pregunta.
o La calificación arrojada por el sistema.
264
Desig Document
6. Database Organization and Data Storage
Logical Data Model
Provide a description of the logical data model. (The model should account for data
required on all reports, menus, screen layouts, as well as user actions.) Provide
appropriate diagrams. (May be attached in appendix).
En la Ilustración 269, se visualiza el Modelo lógico de la base de datos.
266
Desig Document
Se anexa el PDF a fin de facilitar la visibilidad del diagrama.
Diagrama ERVer4.pdf
Database Management System
Identify the DBMS (if applicable) that will be used for construction the relational
database model. Describe the rationale for selecting the DBMS.
La base de datos que se utilizara en esta iniciativa es SQL Server, ya que es un sistema
manejador robusto y podrá soportar sin problema la tecnología de la misma familia
que se utilizara para la implementación del sistema de evaluación.
Data Storage
Describe how non-database information is stored.
N/A, ya que toda la información se almacenara en este aplicativo.
7. Programming Language
Programming Language
Identify the programming language(s) that may be used to implement the design.
Se utilizara el lenguaje de programación .NET para la parte web y SQL para la base de
datos.
267
Desig Document
Recommendations
Provide a rationale for selecting the appropriated programming language.
Se utilizó este lenguaje ya que la aplicación web deseada se es una herramienta de
Microsoft y .NET es totalmente compatible con los demás elementos que se eligieron.
8. Other Design Considerations
Discuss any other design considerations including: memory management,
concurrency/threads issues, string messages, error handling, security, networking
considerations, etc.
La administración de memoria se ira monitoreando a fin de que en cuanto se detecten
niveles entre el 80% y 90 % de la capacidad, se realizara la solicitud del incremento de
las capacidades del servidor en cuanto a memoria, disco duro y ancho de banda.
9. Security Role Design
Access Controls – Authorization (Key Control Point)
For Key Control Compliance, Security Role and Segregation of Duties Design are
required for all NEW applications that become in-scope Key Control applications.
Security Role Design ensures that role profiles are created for end users to ensure the
right level of access. Segregation of Duties ensures that duties are separated so that one
person does not perform processing from the beginning to the end of the process.
Duties that should be segregated include:
- Authorization
- Custody of the assets
268
Desig Document
- Recording transactions
Discuss the varying levels of access control required by the application/system. Consider
user types, roles (viewers only, administrators, etc.)
Tal como se mencionó en puntos anteriores, se tiene planeada la creación de 4 roles,
con los cuales se controlaran los accesos a cada una de las pantallas del aplicativo.
Cada grupo contendrá accesos controlados:
Rol Root: Rol que controlara la aplicación. Este rol tendrá el poder del aplicativo en
cuanto a modificaciones en el desarrollo del portal. Por el lado administrativo, será solo
este rol el que registre el alta de Organizaciones.
Rol Administrativo: Este rol lo tendrá cada uno de los administradores a nivel
organización, los cuales podrán tener acceso a casi todas las pantallas del aplicativo, a
excepción del registro de nuevas organizaciones.
Rol Encuestador: Este rol lo tendrán todos aquellos perfiles que deseen lanzar o aplicar
una encuesta en su área.
Rol Operativo: Este rol lo tendrán los perfiles destinados a la resolución de las
evaluaciones y consulta de los indicadores resultantes.
*Your signature indicates your review and agreement with the content in this document
and that you are accountable for the sign-off of this completed key deliverable.
Printed
Name/Title/Divisi
on
Approval Signature
Date
Jorge Quintana
ADL
□ Yes
□ No
Comments:
269
Desig Document
Printed
Name/Title/Divisio
n
Approval Signature
Date
Jorge Fernández
Build Manager
□ Yes
□ No
Comments:
Printed
Name/Title/Divisio
n
Approval Signature
Date
Karen Mora
Project Leader
□ Yes
□ No
Comments:
Printed
Name/Title/Divisio
n
Approval Signature
Date
Diana Vazquez
Project Manager
□ Yes
□ No
Comments:
270
ANEXO 7
Source Files
AUTOMATIZACIÓN DEL PROCESO DE AUDITORÍA SOBRE EL CONTROL
INTERNO EN SECTORES PÚBLICOS Y PRIVADOS, BASADO EN METODOLOGÍA
COSO
Número Proyecto 0001
10/30/2017
Version 1.0
272
ANEXO 8
Support Approval Document
AUTOMATIZACIÓN DEL PROCESO DE AUDITORÍA SOBRE EL CONTROL
INTERNO EN SECTORES PÚBLICOS Y PRIVADOS, BASADO EN METODOLOGÍA
COSO
Número Proyecto 0001
10/30/2017
Version 1.0
273
AUTHOR: Diana Vazquez
REVISION
DATE BY: VERSION DESCRIPTION OF CHANGE
(INCLUDE REFERENCE TO ANY REQUEST FOR CHANGE NUMBERS)
30Oct2017
Diana Vazquez 1.0 Creación
Review/Approval History
Review / Approval
Date
By: Action
1/Nov/2017 Francisca López Revisión PMO
1. Outstanding Project Issues
Identify here the unresolved/outstanding issues that continue to exist post Go-Live, what action is
envisaged to resolve the issue, who is responsible for the issue and when it is planned to be finalised. The
outstanding issues may best be presented in a table as outlined below.
Issue Action to Complete Responsible Date
No se identifica
ningún issue
pendiente que se
tenga que
corregir.
N/A N/A N/A
2. Service Centre Briefing
274
List of names of who from 1st Line Support has been briefed and when. Hyperlink to Training Document /
Crib Sheet.
A continuación se agregan las líneas de soporte para el reporte y atención de
incidencias, los cuales fueron ya capacitados en la herramienta.
Soporte - 1er nivel: Equipo de Service Desk.
Soporte - 2do nivel: Equipo de Soporte Audit Control.
Soporte - 3er nivel: Equipo de execution del Proyecto. (Diana Vazquez)
3. Super Users Training
List of names of Super Users. Hyperlink to Training Document / Crib Sheet
Juan Cortes Director de auditoria.
Carlos Osuna
Silvia Ramírez.
4. Training End Users
List of names of Users trained and dates. Hyperlink to Training Documents
Auditores Operativos/ Coordinadores /Gerentes.
Juan Sánchez.
Carolina Martínez.
Camilo Ortega
Carlos González.
Ademar Juárez.
Ismael Rodríguez.
Marco Ramírez.
Antonio Altamirano.
Azul Saucedo.
Aurora Velázquez.
Natalia Espinosa.
Gonzalo Gutiérrez.
275
Guillermo Soler.
5. Existing SLA
List details of SLA (if any) and any changes to this due to the Project.
El tiempo de respuesta para los usuarios estará dado en función de la severidad
de la incidencia y el número de tickets que tengan registrados los equipos de
soporte previamente.
En los mejores escenarios la atención de una incidencia de bajo nivel, seria
entre 1 y 2 días, y si la incidencia es nivel alto, la atención seria inmediata y no
tendría que tomar más de 3 horas en otorgar un diagnóstico y solución.
6. Support Team Training
List member(s) of Support Trained (if any) and links to documentation – functional and technical (if
required).
Soporte - 1er nivel: Equipo de Service Desk.
Martha Fernández
Liliana Gómez.
Pedro Herrera.
Soporte - 2do nivel: Equipo de Soporte Audit Control.
Víctor Castillo
Sergio Ruvalcaba.
276
Cabe señalar que toda la documentación técnica sobre el aplicativo, se dio en
referencia al documento de Diseño ya que el equipo estuvo presente durante
el desarrollo, configuración y pruebas.
7. Key Documentation Handover
Provide links to :-
Test Scripts / Plans
Requirements Specification.
Design Document
Los documentos mencionados, ya fueron entregados a través de correo
electrónico al equipo de soporte responsable.
8. Handover date
Provide agreed date of Handover from Project to Support
Hyper- Care: del 1 al 20 de Noviembre 2017.
Entrega a soporte: 21 de Noviembre 2017.
En caso de presentarse incidencias diarias mayores a 10 tickets, la entrega se
aplazara hasta que estos sean los mínimos por día, a fin de recibir la operación
de manera más estable.
277
9. Checklist
Criteria Yes No
Doc
Location/
Comments
Training
Have Service Desk been briefed/trained ?
Have Service Desk been given documentation for the project ?
Who are the key Superusers ?
Juan Carlos
Cortes.
Carlos Osuna.
Silvia
Ramírez.
Has training documentation been completed for end users and support team ?
Have the Support Team been trained on the project ?
Has a Training document been written from the Project Team for Support ?
Support
Is there an existing SLA?
Have known issues been passed on to support ?
Are these documented ?
Timings
Has a date been set and agreed for project handover Meeting between the Project
Manager and the Service Delivery Manager ?
Has a date for the transition to support been agreed following the Go Live and
Handover meeting ?
Documentation
Has the Support Team been involved in the UAT / Testing / Reviewed Testing Docs ?
Have the relevant documents been made available ?
278
Printed
Name/Title/Division
Approval Signature
Date
Juan Cortés
Functional
Manager
□ Yes
□ No
Comments:
Printed
Name/Title/Division
Approval Signature
Date
Carlos Osuna
Functional Leader
□ Yes
□ No
Comments:
Printed
Name/Title/Division
Approval Signature
Date
Juana Martinez
BEL Jr
□ Yes
□ No
Comments:
Printed
Name/Title/Division
Approval Signature
Date
Karen Mora
Project Leader
□ Yes
□ No
Comments:
Printed
Name/Title/Division
Approval Signature
Date
Jorge Fernández
Build Manager
□ Yes
□ No
Comments:
Printed
Name/Title/Division
Approval Signature
Date
Alejandro Rico
Run Manager
□ Yes
□ No
Comments: