Embed Size (px)
DESCRIPTION
Citation preview
REPÚBLICA BOLIVARIANA DE VENEZUELA
INSTITUTO UNIVERSITARIO POLITÉCNICO
“SANTIAGO MARIÑO”
EXTENSIÓN PORLAMAR
APLICACIÓN DE AUDITORÍA COBIT AL DEPARTAMENTO DE
INFORMÁTICA DE LA EMPRESA EKIPA, C.A.
Autores:
Br. Cristopher Fuzi
Br. Gerónimo Carrión
Br. Miguel Márquez
Br. Mitchel Rivas
Profesor: Lic. Eliecer Boadas
Porlamar, Enero 2013
ÍNDICE GENERAL
pp.
INTRODUCCIÓN............................................................................................... 2
CAPITULOI. GENERALIDADES DE LA EMPRESA……….………………… 3
1.1. CARACTERIZACION DE LA EMPRESA…….………….. 3 1.1.1. Naturaleza de la Empresa……………………………….. 3 1.1.2. Ubicación Geográfica...…………………………………. 4 1.1.3. Visión…………………………………………………… 5 1.1.4. Misión…………………………………………………… 5 1.1.5. Objetivos Estratégicos…………………………………... 5 1.1.5.1. Análisis FODA……………………………………… 5 1.1.5.2. Metas Organizacionales…………………………….. 6 1.1.6. Estructura Organizativa…………………………………. 7 1.1.6.1. Descripción de los Procesos y Funciones…………… 71.2. Metodología COBIT………………………………………… 101.2.1. Modelo de Madurez…………………………………….... 121.2.2. Auditoria de TICS Aplicando COBIT…………………… 13 1.2.2.1. Área a Auditar………………………………………. 13 1.2.2.2. Proceso de recolección de la información…………... 14 1.2.2.3. Documentos de gestión en el área de informática…... 14 1.2.2.4. Plan de auditoria en el área de informática…………. 14 1.2.2.5. Herramientas y Técnicas……………………………. 15 1.2.2.6. Motivos o Necesidades de la Auditoria………..…… 15 1.2.2.7. Modelos de Madurez a Nivel Cualitativo (coso)……. 16
II. EJECUCIÓN DE LA AUDITORÍA……………………………… 202.1. Situación actual del área de sistemas……………………….. 20
2.1.1. Objetivos del departamento…………………………...... 21 2.1.2. Organigrama del departamento…………………………. 22 2.1.3. Seguridad del departamento…………………………….. 22 2.1.4. Características de la plataforma tecnológica……………. 23 2.1.5. Determinación de los problemas y planteamiento de
hipótesis………………………………………………………………………….27
2.1.5.1. Posibles problemas………………………………... 27 2.1.5.2. Formulación de hipótesis……………..…………... 27
2.2. Aplicación de la auditoria…………………..……………… 282.2.1. Modelo de madurez de los procesos………….………. 282.2.2. Reporte general de los grados de madurez…………….. 30
III. ANÁLISIS DE LOS RESULTADOS 33 3.1. Informe técnico……………………………………………... 33 3.2. Informe ejecutivo……………................................................. 37
IV. CONCLUSIONES Y RECOMENDACIONES 41 4.1. Conclusiones………………………………………………..... 41
4.2. Recomendaciones…………………..……………….............. 42GLOSARIO…………………………………………………………………….. 43
REFERENCIAS......................…………………………………………………. 45Bibliográficas..................………………………………………………….. 45Electrónicas......................………………………………………………… 45
INTRODUCCIÓN
En el mundo actual, la tecnología de la información juega un papel de alta relevancia
para las empresas y organizaciones en el desarrollo de sus procesos, por lo que puede
decirse que la tecnología es imprescindible, al hacer uso de ella es posible realizar o
ejecutar diversos procesos de alta complejidad de forma automática, llevando controles,
registros y reduciendo notablemente los tiempos de trabajo.
De acuerdo con lo anteriormente expuesto, es necesario revisar, monitorear y controlar
el uso aplicado a las tecnologías de la información, de tal forma que pueda aprovecharse al
máximo los beneficios que otorga. Para cumplir con esta tarea, existen dentro de las
empresas CTI o Departamentos de Informática, ellos son los encargados de administrar los
recursos tecnológicos y buscar utilizarlos de la manera más idónea para optimizar los
procesos.
Por otra parte, una tarea que debe realizarse de forma periódica es la auditoría, la cual en
el área informática es una actividad que permite recoger, agrupar y evaluar evidencias para
determinar si los sistemas de información y la tecnología utilizada, mantienen la integridad
de los datos y promueven elcumplimiento eficaz de los fines de la organización.
En el caso de la investigación realizada, se propone la aplicación de una auditoría
COBIT al Departamento de Informática de la empresa EKIPA, C.A con el objeto de
determinar amenazas y fortalezas en los procesos que ejecuta, a fin de determinar los
posibles factores que atenten contra el desarrollo regular y eficiente de las actividades.
CAPITULO I
GENERALIDADES DE LA EMPRESA
1.1. CARACTERIZACION DE LA EMPRESA
1.1.1. Naturaleza de la Empresa
La empresa EKIPA, C.A tiene sus inicios el 17 de Mayo del 2005, con una sociedad de
integración de tres grupos económicos Venezolanos (Inversiones Gamin, Inversiones
Artenara e Intergroup), quienes se unieron para desarrollar un plan de comercialización de
productos ferreteros y del hogar que ya había sido implementado anteriormente por la
empresa RattanDepot, con su dueño Johnny Clip, y que por diferentes razones se vio en la
necesidad de ofrecer sus instalaciones para que esta nueva empresa impulsara la actividad
económica a la que se dedica.
EKIPA, C.A se crea con un número aproximado de setenta y seis (76) empleados que
ocupan cargos de Vendedores, Supervisores, Cajeros, Asistentes de Piso de Ventas, y
Gerentes en las diferentes áreas, jerárquicamente está representado de la siguiente manera:
Gerencia General, Gerencia de Ventas, Gerencia de Compras (Nacionales e
Internacionales), Gerencia de Administración, Gerencia de Capital Humano, Importaciones
y Recepción. La Gerencia de Ventas tiene a su cargo las áreas de: Ferretería, Plomería,
Pintura, Jardinería, Accesorios para Autos, Electricidad, y Línea Blanca; (cada una de ellas
asignadas con vendedores) un Almacén y un módulo de Atención al Cliente, creado
recientemente para cubrir con las necesidades de los consumidores y ofrecer un servicio de
óptima calidad.
EKIPA, CA tiene una misión principal a futuro, ofrecer la mejor variedad, calidad en
productos y soluciones, para la construcción y el hogar, en un ambiente confortable.
Teniendo como mejor activo un capital humano profesional, a través del cual quieren lograr
estar comprometidos con una cultura de servicio hasta la atención y satisfacción del cliente.
1.1.2. Ubicación Geográfica
La empresa EKIPA, C.A se encuentra ubicada en la zona este de la isla de Margarita, en el
siguiente mapa extraído de Google Maps puede verse la localización de la organización:
Figura 1. Localización de EKIPA C.A. Tomado de: Google Maps (2012)
La ubicación de la organización no es simplemente una casualidad, fue ideada
estratégicamente, pensando en el hecho de que la parte este de la isla posee gran potencial a
nivel comercial, en las zonas cercanas existen diferentes tipos de locales que atraen gran
cantidad de clientes al concentrar todo en un mismo lugar (Centros comerciales,
restaurantes, clínicas, establecimientos policiales, entes bancarios, entre otros), la zona se
encuentra en una vía principal, bien comunicada y con facilidades de acceso. Todo lo antes
mencionado, ubica a la organización en un punto ventajoso frente a sus competidores ya
que los usuarios siempre se inclinan por la comodidad.
1.1.3. Visión
EKIPA, C.A. tiene como visión, ser reconocidos en su ramo como la mejor solución a
los clientes de la región.
1.1.4. Misión
EKIPA, C.A tiene una misión principal a futuro, ofrecer la mejor variedad, calidad en
productos y soluciones, para la construcción y el hogar, en un ambiente confortable.
Teniendo como mejor activo un capital humano profesional, a través del cual quieren lograr
estar comprometidos con una cultura de servicio eficaz para lograr la mejor atención y
satisfacción del cliente.
1.1.5. Objetivos Estratégicos
1.1.5.1. Análisis FODA
Análisis Interno
Fortalezas
Variedad de herramientas en el
área ferretera.
Servicio de gran calidad y
especializado en el área.
Gran cantidad de departamentos.
Debilidades
Dependencias en soportes externos.
Manejo de 2 sistemas de
información en paralelo.
Control de procesos deposito –
tienda.
Análisis Externo
Oportunidades
Ubicación Céntrica y de fácil
acceso.
Línea de descuentos a productos
con poca rotación.
Mejora y utilización de las TIC’s
como herramientas.
Amenazas
Oferta de productos con menor
precio por parte de la competencia.
Incrementación de la competencia.
Captación de un solo tipo de clase
social.
1.1.5.2. Metas Organizacionales
Metas a Corto Plazo
Abastecimiento de los productos disponibles para la venta, con el fin de brindar
variedad y calidad a los clientes.
Metas a Largo Plazo
Dar mejor servicio en empresa ferretera de la región brindando, confort, estabilidad,
variedad a los clientes que visitan la tienda.
1.1.6. Estructura Organizativa
En la siguiente figura es posible apreciar como está estructurada la organización:
Figura 2. Estructura Organizativa de EKIPA, C.A.Elaboración propia (2012)
1.1.6.1. Descripción de los Procesos y Funciones
Gerencia General
Es la gerencia principal dentro de la empresa, encargada de regular y vigilar las
actividades y los procesos de los demás departamentos, este personal en la empresa se
dirige directamente al gerente de administración, gerente de compras y gerente de
operaciones respectivamente.
Directiva Gerente General
Gerente Administrativo
Jefe de Inormática
Soporte Técnico
Jefe de Caja Supervisoras de Caja
Cajeras
Atencion al ClienteJefe de
Recursos Humanos
Recepción
Gerente de Compras
Compras Nacionales
Compras Internacionales
Entrada de Mercancia
Gerente de Operaciones
Supervisores de Piso de
VentaVendedores
Jefe de Deposito Depositarios
Gerencia Administrativa
Es el jefe principal de los departamentos de: informática, finanzas, caja principal, caja
operativa y recursos humanos, es el administrador principal y sus funciones radican en el
flujo de procesos de efectivo, caja e información.
Departamento de informática
Este departamento se encuentra conformado por un jefe de informática y por soporte
técnico, son los encargados de regular y resguardar la información dentro de los sistemas
informáticas, además de brinda soporte a todos los departamentos dentro de la empresa, con
el fin de mantener el funcionamiento óptimo de todos los equipos tecnológicos.
Departamento de Recursos Humanos
Este departamento se encuentra conformado por un jefe y una asistente de recursos
humanos, quienes se encarga del control de nómina, ingreso y egresos, además del control
de asistencias y toda la información relevante de los empleados, leyes y normativas.
Departamento de Finanzas
Es el departamento encargado de la contabilidad de la empresa, además del control de
flujo de caja y pagos realizados a los distintos proveedores o servicios.
Departamento de Caja principal
Es el departamento encargado del cuadre de cajas efectuados por el departamento de
caja operativa, son los encargado del conteo y resguardo del efectivo de la empresa.
Caja Operativa
Este departamento se encuentra conformado por supervisoras de caja y las cajeras,
quienes son la cara al público al momento de concretar una transacción de compra o
devolución, ellas son las encargadas de recibir los pagos de los clientes.
Gerencia de Operaciones
La gerencia de operaciones es la encargada de evaluar y planificar la optimización de
las ventas en el área de piso de venta, además de vigilar los procesos de trasferencia de
mercancía realizadas desde el depósito a la tienda. Esta gerencia controla los departamentos
de: depósito, atención al cliente y vendedores.
Departamento de Depósito
Este departamento realiza el proceso de recepción, entrada y transferencia de la
mercancía a la tienda, es un departamento de alto nivel de confianza ya que son quieren
reciben y depositan los productos que se encuentran en la empresa.
Departamento de Atención al Cliente
Es el departamento encargado de efectuar la revisión de los productos vendidos por la
tiendas, además de la recepción de las quejas e inquietudes de los clientes. Este
departamento emite las garantías de los productos.
Departamento de Ventas
Es el departamento encargado de la atención de los clientes en cuanto a los
departamento de ventas, este departamento se subdivide en supervisores y vendedores,
donde los supervisores realizan evaluaciones y planificaciones estratégicas de la ubicación
de la mercancía para su mejor venta y los vendedores se encargan de guiar al cliente en su
compra y de coordinar la organización de la mercancía con su debida identificación y
precio.
Gerencia de Compras
Es el personal encargado de efectuar las compras nacionales e internacionales
correspondientes a los productos de venta en la tienda, a su vez posee un grupo de trabajo
de compradoras que agilizan este tipo de transacciones y un departamento de entrada de
mercancía que ayuda a mantener un filtro de los productos que entran a la tienda y validar
características como por ejemplo: el código de barra, código modelo o descripción del
producto.
Departamento de Compras
Este departamento es el encargado de realizar los sugeridos de compras a través de
órdenes de compras tanto a nivel nacional como internacional, además de ello, son las
encargadas de velar que las facturas de los proveedores lleguen a tiempo.
Departamento de Entrada de Mercancía
Este departamento es el encargado de velar por la integridad de la data en los sistemas
maestro de artículos correspondiente a los productos que son comprados, además de
encargarse de validar las cantidades recibidas sean las mismas que las solicitadas y por
ende cumplir con las notificaciones por posibles notas de crédito.
1.2. Metodología COBIT
COBIT es un acrónimo para Control Objectives for Information and related
Technology (Objetivos de Control para tecnología de la información y relacionada);
desarrollada por la Information Systems Audit and Control Association (ISACA) y el IT
GovernanceInstitute (ITGI).
COBIT es una metodología aceptada mundialmente para el adecuado control de
proyectos de tecnología, los flujos de información y los riesgos que éstas implican. La
metodología COBIT se utiliza para planear, implementar, controlar y evaluar el gobierno
sobre TIC; incorporando objetivos de control, directivas de auditoría, medidas de
rendimiento y resultados, factores críticos de éxito y modelos de madurez.
Figura 3. Marco de Trabajo de Metodología COBIT.Elaboración propia (2013).
1.2.1. Modelo de Madurez
El enfoque de los Modelos de Madurez para el control sobre los procesos de TI
consiste en desarrollar un método de asignación de puntos para que una organización pueda
calificarse desde Inexistente hasta Optimizada (de 0 a 5).
Este planteamiento se basa en el Modelo de Madurez que el Software
EngineeringInstitute definió para la madurez de la capacidad de desarrollo de software.
Cualquiera sea el modelo, las escalas no deben estar demasiado simplificadas, lo que haría
que el sistema fuera difícil de usar y sugeriría una precisión que no es justificable.
Modelo Genérico de Madurez
0 Inexistente: Total falta de un proceso reconocible. La organización ni siquiera ha
reconocido que hay un problema que resolver.
1 Inicial: Hay evidencia de que la organización ha reconocido que los problemas
existen y que necesitan ser resueltos. Sin embargo, no hay procesos estandarizados pero en
cambio hay métodos ad hoc que tienden a ser aplicados en forma individual o caso por
caso. El método general de la administración es desorganizado.
2 Repetible: Los procesos se han desarrollado hasta el punto en que diferentes personas
siguen procedimientos similares emprendiendo la misma tarea. No hay capacitación o
comunicación formal de procedimientos estándar y la responsabilidad se deja a la persona.
Hay un alto grado de confianza en los conocimientos de las personas y por lo tanto es
probable que haya errores.
3 Definida: Los procedimientos han sido estandarizados y documentados, y
comunicados a través de capacitación. Sin embargo se ha dejado en manos de la persona el
seguimiento de estos procesos, y es improbable que se detecten desviaciones. Los
procedimientos mismos no son sofisticados sino que son la formalización de las prácticas
existentes.
4 Administrada: Es posible monitorear y medir el cumplimiento de los procedimientos
y emprender acción donde los procesos parecen no estar funcionando efectivamente. Los
procesos están bajo constante mejoramiento y proveen buena práctica. Se usan la
automatización y las herramientas en una forma limitada o fragmentada.
5 Optimizada. Los procesos han sido refinados hasta un nivel de la mejor práctica,
basados en los resultados de mejoramiento continuo y diseño de la madurez con otras
organizaciones. TI se usa en una forma integrada para automatizar el flujo de trabajo,
suministrando herramientas para mejorar la calidad y la efectividad, haciendo que la
empresa se adapte con rapidez.
Las escalas del Modelo de Madurez ayudarán a la gerencia de usuarios a explicar a los
administradores dónde existen deficiencias en la administración de TI y a fijarse objetivos
para donde necesitan estar comparando las prácticas de control de su organización con los
ejemplos de la mejor práctica. El nivel correcto de madurez estará influenciado por los
objetivos de negocio y el entorno operativo de la empresa. Específicamente, el nivel de
madurez de control dependerá de la dependencia de TI que tenga la empresa, de la
sofisticación de la tecnología y, lo que es más importante, del valor de su información.
1.2.2. Auditoria de TICS Aplicando Cobit
1.2.2.1. Área a Auditar
La auditoría se realizara en el departamento de informática de la empresa, ya que es el
lugar donde se maneja gran parte de la información de la empresa como el manejo de los
equipos tecnológicos.
1.2.2.2. Proceso de recolección de la información
A través de observación directa y una guía de entrevista estructurada realizada al jefe
del departamento de informática y posterior al gerente general, se pudieron determinar las
fallas presentadas en el departamento y poder obtener mayor cantidad de evidencias.
1.2.2.3. Documentos de gestión en el área de informática
Actualmente los documentos utilizados por el departamento de informática son:
Manual de respaldo de equipos
Manual de uso de sistemas de información
Manual de contingencias
Manual de procedimientos administrativos
A pesar de ello, no existen manuales de procedimientos para mantenimiento de equipos
o normativas de uso para los equipos tecnológicos de la empresa.
1.2.2.4. Plan de auditoria en el área de informática
Para el plan de auditoria en el área de informática que han evaluado ciertos
procedimientos para el mejor alcance y precisión de la auditoria y la recolección de
evidencias.
N ACTIVIDADES
1 Entrevista Con el Jefe del departamento de informática y Gerente General
2 Observación directa en los procesos del departamento
3 Análisis de los manuales que contiene el departamento
4 Revisión de Carpetas de historiales de equipos
5 Evaluar las tecnologías de información (TI), tanto en hardware como el software
6 Evaluar la seguridad de la información y de los equipos tecnologías de la empresa
Cuadro 1. Actividades a efectuar. Elaboración propia (2013)
1.2.2.5. Herramientas y Técnicas
Herramientas Técnicas
Cuaderno de Apuntas
Sistema Microsoft Office
Lápices
Aplicación Everest
Hojas de papel
Otros
Observación Directa
Entrevista Estructurada
Cuadro 2. Herramientas y Tecnicas. Elaboración propia (2013)
1.2.2.6. Motivos o Necesidades de la Auditoria
Síntomas de inseguridad en el mantenimiento de la información.
Quejas de los usuarios que manejan los sistemas de información.
Búsqueda de una nueva opinión acerca de los procesos informáticos dentro de la
organización
Síntomas de fallas en integridad de la información.
1.2.2.7. Modelos de Madurez a Nivel Cualitativo (coso)
OBJETIVOS DE CONTROL DE COBIT
CRITERIOS DE
INFORMACIÓN DE
COBIT
RECURSOS DE
TI DE COBIT
EF
EC
TIV
IDA
D
EF
ICIE
NC
IA
CO
NF
IAB
ILID
AD
INT
EG
RID
AD
DIS
PO
NIB
ILID
AD
CU
MP
LIM
IEN
TO
CO
NF
IAB
ILID
AD
PE
RS
ON
AS
INF
OR
MA
CIO
N
AP
LIC
AC
IÓN
INF
RA
ES
TR
UC
TU
RA
PLANEAR Y ORGANIZAR
PO1Definir un plan estrategia
de TIP S X X X X
PO2Definir la arquitectura
dela informaciónP S S P X X
PO3Definir la dirección
tecnológicaP P X X
PO4
Definir los procesos,
organización y relaciones
de TI
P P X
PO5Administrar la inversión
en TIP P S X X X
PO6Comunicar las metas y la
dirección de la gerenciaP S X X
PO7Administrar los recursos
humanos de TIP P X
PO8 Administrar la calidad P P S X X X X
PO9Evaluar y administrar los
riesgos TIS S P P P S S X X X X
PO10Administrar los
proyectosP P X X X
ADQUIRIR E
IMPLEMETAR
AI1Identificar las soluciones
automatizadasP S X X
AI2Adquirir y mantener
software aplicativoP P S S X
AI3
Adquirir y mantener la
infraestructura
tecnológica
S P S S X
AI4Facilitar la operación y el
usoP P S S S S X X X
AI5 Procurar recursos de TI S P S X X X X
AI6 Administrar los cambios P P P P S X X X X
AI7Instalar y acreditar
soluciones y cambiosP S S S X X X X
ENTREGAR Y
DAR SOPORTE
DS1Definir y administra los
niveles de servicioP P S S S X X X X
DS2Administrar los servicios
de tercerosP P X X X X
DS3Administrar el
desempeño y capacidadP S X X
DS4Asegurar el servicio
continuoP P X X X X
DS5Garantizar la seguridad
de los sistemasP S X X X X
DS6Identificar y asignar
costosP P X X X X
DS7Educar y entrenar a los
usuariosP S X
DS8 Administrar la mesa de P P X X
servicio y los incidentes
DS9Administrar la
configuraciónP S S S X X X
DS10Administrar los
problemasS X X X X
DS11 Administrar los datos P P X
DS12Administrar el ambiente
físicoP P X
DS13Administrar las
operacionesP P S S X X X X
MONITOREO Y
EVALUACION
ME1Monitoreo y evaluar el
desempeño de TIP P S S S S S X X X X
ME2Monitorear y evaluar el
control internoP P S S S S S X X X X
ME3Garantizar el
cumplimiento regulatorioP S X X X X
ME4Proporcionar gobierno de
TIP P S S S S S X X X X
Cuadro 3. Cuadro de Madurez. Elaboración propia (2013)
Mediante el estudio de la anterior tabla se pueden obtener los siguientes resultados:
Clasificación ImpactoPorcentaj
e
15% - 40% BAJO 28
41% - 80% MEDIO 67
81% - 95% ALTO 86
Cuadro 4. Clasificación de impacto. Elaboración propia (2013)
Teniendo en cuenta la anterior tabla se puede decir que el departamento trabaja bajo un
rango de impacto alto sobre la organización y que de sus actividades pueden influir en la
dirección y la coordinación de las TI.
CAPITULO II
EJECUCIÓN DE LA AUDITORÍA
2.1. Situación actual del área de sistemas
a. Ubicación: el departamento de informática se ubica en el primer piso del local,
específicamente en el área de oficinas, tiene como responsabilidad mantener la integridad
de la data que se maneja dentro de la organización. De igual forma, es este departamento
quien gestiona y administra la adquisición y uso del software y hardware que utiliza la
empresa para el desarrollo de sus actividades operacionales; así mismo, se encarga de
mantener a la empresa a la vanguardia en lo que respecta a la plataforma tecnológica.
Figura 4. Ubicación Física del departamento de Informática.Elaboración propia (2013).
b. Cargos Funcionales y Operativos:
Cristian Joan, Navarro Fuentes Jefe de Informática
Se encarga de aministrar los recursos tecnológicos (software y hardware) de la empresa, así como de coordinar que los demás integrantes del departamento cumplan con sus funciones, debe velar porque la empresa se encuentre a la vanguardia a nivel tecnológico.
Cristopher Fuzi MataAnalista de
sistemas/Técnico computación y redes
Mitchel José Rivas NoriegaAnalista de
sistemas/Técnico computación y redes
Daniel Silvestre Medina Chacón Asistente analista/técnico
Su función principal es la de prestar apoyo durante la ejecución de las tareas diarias del departamento, se involucra dentro de actividades de mantenimiento, control y reparación de los recursos tecnológicos, sigue instrucciones de los demás integrantes del departamento.
Nombres y Apellidos Personal del Departamento
Cargos Operativos
Cargos Funcionales
Una de sus funciones principales consiste en analizar las posibles utilidades y modificaciones necesarias de los sistemas operativos para alcanzar una mayor efectividad. De igual forma, estudian procesos de forma detallada en busca de posibles mejoras, las cuales deben desarrollar e implementar. Otra misión de estas personas es dar apoyo técnico a los usuarios de los equipos y software utilizado en la empresa; así mismo mantener software y hardware operativos.
Cuadro 5. Cargos y Funciones. Elaboración propia (2013)
2.1.1. Objetivos del departamento
Constituir planes de acción estratégicos ligados a la tecnología, en concordancia con
los requerimientos de la directiva y gerencia de la empresa.
Proponer la adquisición de nuevos recursos tecnológicos para la organización,
siempre y cuando se considere necesario y se demuestre que así sea.
Resguardar la integridad de la data que se maneja dentro de la empresa,
estableciendo mecanismos de control y seguridad para alcanzar tal fin.
Brindar soporte técnico al personal de las diferentes áreas de la empresa.
Planificar tareas de respaldo (Plan backup) para cada uno de los equipos, haciéndolo
de forma periódica y almacenando esa información en dispositivos de
almacenamiento masivo externo.
Mantener la red de trabajo operativa (Comunicación y sistemas de información).
Realizar jornadas de adiestramiento, capacitación y nivelación a los actuales y
futuros usuarios de los recursos tecnológicos.
Establecer planes de mantenimiento en relación al hardware y software, hacer
levantamiento de información de las incidencias relacionadas a ellos, para luego
analizarlas y corregir fallas.
2.1.2. Organigrama del departamento
Figura 5. Organigrama del departamento de Informática.Elaboración propia (2013).
2.1.3. Seguridad del departamento
a. Seguridad física:
Proteger el área del data center frente a posibles inundaciones.
Contar con las instalaciones eléctricas adecuadas para resguardar la
integridad de los equipos.
Un lugar adecuado y fresco que mantenga los servidores trabajando a
temperaturas ideales.
b. Seguridad legal:
Aplicación de estándares y metodologías de calidad (IEEE, ISO, TIER,
entreotros) de manera tal que se garantice la ejecución de procesos blindados
y seguros.
Adquirir las licencias de los sistemas operativos (Microsoft) en uso, de igual
forma con antivirus u otro software; esto para no incurrir en faltas legales.
Contar con las licencias de los sistemas SAP B1 y sistemas RetailPro R4.
Departamento de Informática
Soporte Técnico
Software Hardware
Redes
Microsoft
Procedimientos
Estandarización (Normas y manuales)
Formación y capacitación Optimización
c. Seguridad de datos:
Ejecutar las tareas de respaldo según la planificación.
Establecer niveles de acceso acordes a la realidad tanto para los sistemas de
información como la los servidores, para impedir acceso y manipulación no
autorizada a la información.
d. Seguridad de personas:
Instituir políticas de seguridad física y mental para el personal.
Dotar al departamento con las herramientas de protección necesarias para
garantizar la seguridad de los empleados.
Instruir a los empleados de como actuar ante situaciones de desastre
(incendios, inundaciones, sismos, entre otros).
2.1.4. Características de la plataforma tecnológica
a. Hardware
Equipos Server
Nombre del Equipo Características Utilidad
Server 1
CPU Intel Xeon 1.8GhzServidor
de
sistema
SAP B1
Memoria
RAM14 Gb
Disco duro 500 Gb
Monitor Samsung 17"
Server 2
CPU Intel Xeon 2.7 GhzServidor
de
sistema
RetailPro
Memoria
RAM4 Gb
Disco duro 500 Gb
Monitor Samsung 17"
Server 3CPU Corel 2 duo 2.4 Ghz Servidor
de Memoria 500 Gb
RAM
DominioDisco duro 2 Gb
Monitor Samsung 17"
Cuadro 6. Hardware Server. Elaboración propia (2013)
Equipos PC
Nombre del Equipo Características Utilidad
PC 1
CPUCorel 2 duo 2.4
GhzPc Jefe
informátic
a
Memoria
RAM2 Gb
Disco duro 320 Gb
Monitor Samsung 22"
PC 2
CPUCorel 2 duo 1.8
GhzPc
Analista de
sistema
Memoria
RAM2 Gb
Disco duro 150 Gb
Monitor Samsung 19"
PC 3
CPUCorel 2 duo 1.8
GhzPc
Analista de
sistema
Memoria
RAM320Gb
Disco duro 2 Gb
Monitor Samsung 19"
Cuadro 7. Hardware PC. Elaboración propia (2013)
b. Software
Equipos Server
Nombre del Equipo Sistema OperativoAplicacione
s
Server 1 Windows Server 2008 R2 64 bit
SAP B1
MySQL
server
Microsoft
office
Server 2 Windows Server 2003 SP2 32 Bit
RetailPro R4
Oracle 11
Microsoft
office
Server 3 Windows Server 2003 SP2 32 Bit
Central TLF
Microsoft
office
Cuadro 8. Software Server. Elaboración propia (2013)
Equipos PC
Nombre del Equipo Sistema Operativo
PC 1 Windows 7 profesional 32 bit
SAP B1
RetailPro
Microsoft
Office
PC 2 Windows 7 profesional 32 bit SAP B2
RetailPro
Microsoft
Office
PC 3 Windows 7 profesional 32 bit
SAP B3
RetailPro
Microsoft
Office
Cuadro 9. Software PC. Elaboración propia (2013)
Topología de la empresa
Figura 6. Topología de Red de la empresa. Elaboración propia (2013).
La empresa cuenta con una topología de tipo estrella, con una conexión de internet
basada en ABA de CANTV con una conexión de 2MB, el cableado de red está marcado en
cable coaxial categoría 6 y un router que brinda señal wifi.
2.1.5. Determinación de los problemas y planteamiento de hipótesis
No se cuenta con servidores de reposición en canso de alguna contingencia
Falta de acondicionamiento al área de servidores
Falta de capacitación a los personal de informática que brinda soporte a los usuarios
en los sistemas SAP B1 y RetailPro 9
2.1.5.1. Posibles problemas
Incumplimiento de planes de mantenimiento.
Falta de organización en la ejecución de los procesos.
Inexperiencia en el uso de los sistemas de información de la empresa.
Fallas de comunicación entre las diferentes dependencias administrativas.
No se lleva un registro de las actividades realizadas, lo que dificulta su control y
monitoreo.
2.1.5.2. Formulación de hipótesis
No se ha logrado establecer un enlace de comunicación fuerte dentro del
departamento, al no fluir correctamente la información el desarrollo de los procesos es
ineficiente. Así mismo, existen muchos procesos a la deriva, es decir, no se han
determinado responsabilidades y funciones; no se ha tomado importancia a temas referentes
a la seguridad en general.
2.2. Aplicación de la auditoria
2.2.1. Modelo de madurez de los procesos
Nivel 0 Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5 Nivel 6
Definir un plan estrategia de TI X
Definir la arquitectura de la
informaciónX
Definir la dirección tecnológica X
Definir los procesos, organización
y relaciones de TIX
Administrar la inversión en TI X
Comunicar las metas y la dirección
de la gerenciaX
Administrar los recursos humanos
de TIX
Administrar la calidad X
Evaluar y administrar los riesgos TI X
Administrar los proyectos X
Identificar las soluciones
automatizadasX
Adquirir y mantener software
aplicativoX
Adquirir y mantener la
infraestructura tecnológicaX
Facilitar la operación y el uso X
Procurar recursos de TI X
Administrar los cambios X
Instalar y acreditar soluciones y
cambiosX
Definir y administra los niveles de X
servicio
Administrar los servicios de
tercerosX
Administrar el desempeño y
capacidadX
Asegurar el servicio continuo
Garantizar la seguridad de los
sistemasX
Identificar y asignar costos X
Educar y entrenar a los usuarios X
Administrar la mesa de servicio y
los incidentesX
Administrar la configuración X
Administrar los problemas X
Administrar los datos X
Administrar el ambiente físico X
Administrar las operaciones X
Monitoreo y evaluar el desempeño
de TIX
Monitorear y evaluar el control
internoX
Garantizar el cumplimiento
regulatorioX
Proporcionar gobierno de TI X
Cuadro 12. Modelo de Madurez. Elaboración propia (2013)
Como se muestra en el cuadro anterior existe varias actividades que presentan fallas en
los modelos de madurez, además que en el departamento no cuenta con el persona
completo para cumplir con la gran mayoría de las actividades, a continuación se muestra
una tabla con los resultados:
Nivel 0 Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5 Nivel 6
Cantidad 4 6 5 8 5 5 0
Cuadro 13. Modelo de Madurez por tabla. Elaboración propia (2013)
En la escala de nivel de madurez de puede decir que el departamento cuenta con un
alto nivel 3 de actividades.
2.2.2. Reporte general de los grados de madurez
Domini
o
Procesos Nivel de Madurez
Plan
eaci
ón y
Org
aniz
ació
n
Definir un plan estrategia de TI 0
Definir la arquitectura dela información 3
Definir la dirección tecnológica 1
Administrar la inversión en TI 4
Administrar los recursos humanos de TI 5
Administrar la calidad 4
Administrar los proyectos 1
Adqu
irir e
impl
emen
tar Adquirir y mantener software aplicativo 4
Adquirir y mantener la infraestructura tecnológica 4
Administrar los cambios 2
Entr
egar
y d
ar s
opor
te
Instalar y acreditar soluciones y cambios 1
Administrar los servicios de terceros 5
Administrar el desempeño y capacidad 2
Asegurar el servicio continuo 3
Garantizar la seguridad de los sistemas 1
Educar y entrenar a los usuarios 4
Administrar la mesa de servicio y los incidentes 5
Administrar la configuración 0
Administrar los problemas 2
Administrar los datos 3
Administrar las operaciones 1
Mon
itore
ar y
eval
uar
Monitoreo y evaluar el desempeño de TI 3
Garantizar el cumplimiento regulatorio 4
Proporcionar gobierno de TI 5
Cuadro 14. Reporte general de los grados de madurez. Elaboración propia (2013)
2.2.2.1 Análisis por dominio:
Planeación y organización
No se le están dando el uso correcto a las planificaciones y organizaciones
dentro del departamento, esto trae como consecuencia que la organización no
aproveche al máximo las TI.
Adquirir e implementar
A pesar que la organización cuenta con los recursos monetarios y la motivación
para optimizar los procesos tecnologías dentro de la empresa, el departamento
no cuenta con todo el personal capaz de manejar los distintos niveles de
tecnologías alojadas en la misma.
Entregar y dar soporte
Existe gran motivación en los usuarios por aprender acerca de los sistemas de
información utilizados en la organización, y el departamento cuenta con un
personal capacitado para brindar soluciones efectivas a los usuarios ante los
problemas que se puedan presentar.
Monitorear y evaluar
A pesar que existen manuales de monitoreo y evaluación, además, de llevar
algunos controles de accesos a las áreas de informática de la empresa, no se
cumple con cabalidad todas las medidas de seguridad sugeridas para mantener
en orden las actividades rutinarias del departamento.
CAPÍTULO III
ANÁLISIS DE LOS RESULTADOS
3.1. Informe técnico
Alcance
Mediante esta auditoría se pretende evaluar el estado actual del Departamento
Informático de la empresa “EKIPA, C.A.”, mediante este proceso se podrá brindar al
“EKIPA, C.A.” sus respectivas conclusiones y recomendaciones para cada uno de los
procesos evaluados en cada dominio según la metodología COBIT 4.1.
Objetivo General
Realizar la auditoría de las tecnologías de la información en el departamento de
informática dentro de la empresa “EKIPA, C.A.”, utilizando como modelo de referencia la
metodología COBIT 4.1.
Objetivos Específicos
Identificar posibles problemas técnicos en las TI y dar soluciones viables.
Definir controles que permitan disminuir riesgos dentro del departamento de
informática.
A continuación se detalla los resultados de las evaluaciones en cada uno de los
dominios, basándonos en los niveles de madurez los cuales van desde el rango 0 hasta
el rango máximo 5.
Dominio de Planear y Organizar
El departamento cuenta con manuales y planificaciones bien estructuradas, en cuento a
los mantenimientos de los equipos, respaldos de la información y revisión la calidad e
integridad de la información.
A pesar que no se posee un manual general de dicho proceso, se puede decir que el
departamento cuenta con la motivación y los conocimientos necesarios para realizar el
mismo.
Recomendaciones COBIT:
Crear un plan general estratégico y un script de procesos de cómo se deben
efectuar las actividades a nivel general.
Aumentar el rango de los planes estratégicos incluyendo revisiones de
inventario de equipos tecnológicos, aumento de la revisión de la seguridad de la
información y mejoramiento de los manuales actualmente existentes.
Dominio de Adquirir e implementar
El departamento cuenta con el apoyo de la gerencia general en cuanto a la adquisición
de nuevas tecnológicas y el refuerzo de las TI dentro de la organización, esto cuenta con un
punto favorable ya que se enmarca el interés por parte de la directiva del mejoramiento de
las tecnologías.
Por otro lado, el departamento no cuenta con una normativa de requerimiento de
equipos, además, de un manual de implementación de los sistemas de información los
cuales son atendidos por un soporte externo, esto dificultando el mejoramiento del mismo.
El personal del departamento no cuenta con la capacitación necesaria para mejorar e
implementar nuevas herramientas dentro de los sistemas de información, así como, creando
así la dependencia de los entes externos.
Recomendaciones COBIT:
Crear normativas de requerimientos basado en las tecnologías actuales dentro
de la organización.
Fomentar la capacitación del personal para así garantizar el mejoramiento de
las herramientas utilizadas dentro de los sistemas de información y así
disminuir el nivel de dependencia de los entes externos.
Dominio Estratega y dar soporte
El departamento cuenta con el personal para el soporte a los usuarios que utilizan las
tecnologías así como los sistemas de información, además, cuenta con la motivación de
aprender día a día a utilizarlos y mejorarlos creando reglas y normas útil para el
mantenimiento de las mismas.
Por otro lado, faltan planes de capacitación a los usuarios para el uso de las
tecnológicas.
Recomendaciones COBIT:
Crear y diseñar planeas de capacitación a los usuarios para el uso de los las
tecnologías y los sistemas de información.
Dominio Monitoreo y Evaluación
El departamento cuenta con actividades y procesos de monitoreo continuo en los
sistemas de información, además de controles de seguridad para mantener la integridad de
la data en los sistema de base de datos.
Cuenta con scripts de actividades para el seguimiento de este monitoreo y un libro de
bitácoras para la revisión por parte de la auditoria de las actividades realizadas en los
servidores.
Por otro lado, no llevan un historial de acceso al área de servidores así como un control
de visitas por parte de entes externos para revisiones o mantenimientos.
Recomendaciones COBIT:
Diseñar un plan de seguimiento para el control de accesos a las distintas aéreas
dentro del departamento de informática.
Mejorar con manuales las actividades de monitoreo de los sistemas de
información así como de las tecnologías utilizadas dentro de la organización.
3.2. Informe ejecutivo
En este informe de detalla los resultados de la evaluación en cada uno de los dominios
y las recomendaciones que ofrece la metodología COBIT 4.1 evaluando el departamento de
informática dentro de la organización “EKIPA, C.A.”.
52%48%
Efectividad
EfectividadDeficit
La efectividad consiste en que la información relevante sea entregada de forma,
correcta, consistente y utilizable, este criterio tiene un porcentaje de 52%.
69%
31%
Eficiencia
EfectividadDeficit
La eficiencia consiste en que la información debe ser generada optimizando los
recursos, este criterio tiene un promedio de 69%.
42%
58%
Cofidencialidad
EfectividadDeficit
La confidencialidad consiste en que la información vital sea protegida contra la
revelación no autorizada, este criterio tiene un porcentaje de 42%.
78%
22%
Integridad
EfectividadDeficit
La integridad consiste en que la información debe se precisa, completa y valida, este
criterio tiene un promedio de 78%.
85%
15%
Disponibilidad
EfectividadDeficit
La disponibilidad consiste en que la información esté disponible cuando esta sea
requería por parte de las aéreas de la organización en cualquier momento, este criterio tiene
un porcentaje de 85%.
55%
45%
Cumplimiento
EfectividadDeficit
El cumplimiento consiste en que se debe respetar las leyes, reglamentos y acuerdos
contractuales a los que está sujeta el proceso de la organización con políticas interna, este
criterio tiene un porcentaje de 55%.
80%
20%
Confiablidad
EfectividadDeficit
La confiabilidad consiste en que se debe respetar y proporcionar la información
apropiada, con el fin de que la gerencia general administre la entidad, este criterio tiene un
porcentaje del 80%.
CAPITULO IV
CONCLUSIONES Y RECOMENDACIONES
4.1. CONCLUSIONES
Las auditorías permiten conocer de manera concreta el estado de las actividades
desarrolladas, evaluando los niveles de desempeño y productividad en las diferentes
dependencias, es una herramienta o técnica de gran apoyo a nivel gerencial.
Por su parte, el trabajo de auditoría aplicado a la empresa EKIPA, C.A, específicamente
en el área de informática, aporta resultados relevantes para la organización, ya que define
de forma puntual los aspectos a mejorar y a desarrollar dentro del área de estudio para
optimizar las actividades que desempeña. Como fue planteado en anteriores oportunidades,
el departamento de informática dentro de una organización es de vital importancia, porque
actualmente todos los procesos son manejados bajo un ambiente tecnológico.
Por otro lado, es importante mantener canales de comunicación efectivos a nivel interno
del departamento e interdepartamentales, debido a que esta área especializada de trabajo
interactúa e interviene en los procesos de las demás áreas especializadas de la empresa, De
igual forma se determinó que existe falta de organización, registro y control de las
actividades del departamento, el estudio aplicado se considera beneficioso porque en él se
plasma una especie de mapa o base que servirá de vía en la aplicación de medidas
correctivas y el establecimiento de nuevos planes de trabajo, para optimizar los procesos y
hacer uso adecuado y provechoso de los recursos de TI.
4.2. RECOMENDACIONES
Llevar a cabo las sugerencias planteadas en la auditoría COBIT, en la fase de
resultados.
Capacitar a los usuarios de los sistemas de información en el uso de estos, de tal
manera que puedan aprovechar al máximo las ventajas que estos ofrecen.
Aplicar tareas de auditoría cada 6 meses.
Cumplir con los planes de mantenimiento.
Renovar la plataforma tecnológica a medida que se necesite.
Llevar registros de las actividades realizadas, hacer levantamiento de información
de las incidencias, elaboración de manuales para apoyo a usuarios y a futuro
integrantes del área de informática.
Mantener informadas a las diferentes gerencias de las actividades a realizar, de tal
manera, que exista un estado de alineación en la información y todos se mantengan
al mismo nivel de conocimiento.
GLOSARIO
Administración: es el proceso de estructurar y utilizar conjuntos de recursos orientados
hacia el logro de metas, para llevar a cabo las tareas en un entorno organizacional. (Hitt,
2006).
Auditoría: evaluación donde se miden los niveles de desempeño y se verifica que los
procedimientos ejecutados son correctos y que cumplen con las normativas o políticas
existentes, permite dar a conocer el estatus actual de la empresa en cuanto a sus
operaciones. (Definición operacional).
Comercialización: acción de dar a un producto condiciones y vías de distribución para su
venta. (Diccionario de la Real Academia Española, 2001).
Control: es una función administrativa: es la fase del proceso administrativo que mide y
evalúa el desempeño y toma la acción correctiva cuando se necesita. (Chiavenato, 2007).
Dirección: Proceso para dirigir e influir en las actividades de los miembros de un grupo o
una organización entera, con respecto a una tarea. (Stoner y Freeman, 1997).
Eficacia: capacidad para lograr el efecto que se desea o se espera tras la realización de una
acción. (Fernández y Otros, 1997).
Eficiencia: capacidad de reducir al mínimo los recursos usados para alcanzar los objetivos
de la organización. (Chiavenato, 2007).
Empresa: organización destinada a la producción o comercialización de bienes o servicios.
(Chiavenato, 2007).
Estrategia: En un proceso regulable, conjunto de las reglas que aseguran una decisión
óptima en cada momento. (Diccionario de la Real Academia Española, 2001).
Estructura organizacional: es la capacidad de una organización de dividir el trabajo y
asignar funciones y responsabilidades a personas o grupos de la organización. (Lusthaus,
2002).
Flujo de información: Desplazamiento de información dentro de una organización o entre
la organización y su entorno. (Definición operacional).
Gerencia: son los gerentes responsables de la administración general de la organización;
establecen políticas operativas y guían la interactuación de la organización y su entorno.
(Chiavenato, 2007).
Metas: fin de aprender alcanzar la organización; con una frecuencia, las organizaciones
tienen más de una meta; las metas son elementos fundamentales de las organizaciones.
(Stoner y Freeman, 1997).
Objetivos: son los resultados y fines esperados por personas o instituciones. (Definición
Operacional).
Organigrama: es un diagrama que ilustra las líneas de reporte entre unidades y personas
dentro de la organización, usando el término unidades para referirnos a equipos, grupos,
departamentos o divisiones. (Hellriegel, 2006).
Organización: es el proceso de gestión que combina los recursos materiales y humanos
con objetos de estableces una estructura formal de tareas y actividades. (Chiavenato, 2007).
Optimización: Buscar la mejor manera de realizar una actividad. (Diccionario de la Real
Academia Española, 2001).
Planeación: trazar un plan. (Diccionario de la Real Academia Española, 2001).
Planificador: que Hacer plan o proyecto de una acción. (Diccionario de la Real Academia
Española, 2001).
Proceso: Conjunto de las fases sucesivas de un fenómeno natural o de una operación
artificial. (Diccionario de la Real Academia Española, 2001).
Servicio: acción de repartir o suministrar algún producto a un cliente. (Diccionario de la
Real Academia Española, 2001).
Toma de Decisiones: es un proceso de pensamiento que ocupa toda la actividad, que tiene
por fin solucionar un problema. (Latorre, 1996).
REFERENCIAS
Referencias Bibliográficas
Fernández, M. y Sánchez, J. (1997). Eficacia Organizacional. Concepto, desarrollo y
evaluación. Madrid, España: Editorial Díaz de Santos, S.A.
Hellriegel, D. (2006). Administración. Enfoque basado en competencia (10ed.). Madrid,
España: CengageLearning Editores.
Hitt, P. (2006). Administración (9ed.). México D. F., México: Pearson educación
Lusthaus, C. (2002). Evaluación Organizacional: marco para mejorar el desempeño.
Ottawa, Canadá: Centro Internacional de Investigaciones.
Stoner, J.y Freeman, E. (1997). Administración (6ed.). México D. F., México: McGraw-
Hill.
Referencias Electrónicas
Diccionario de la Real Academia Española (2001). Comercialización [online]. Disponible
en: http://lema.rae.es/drae/?val=comercializaci%C3%B3n [Consulta: 2012, Noviembre 12]
Diccionario de la Real Academia Española (2001). Estrategia [online]. Disponible en:
http://lema.rae.es/drae/?val=estrategia [Consulta: 2012, Noviembre 12]
Diccionario de la Real Academia Española (2001). Optimización [online]. Disponible en:
http://lema.rae.es/drae/?val=optimizacion [Consulta: 2012, Noviembre 12]
Diccionario de la Real Academia Española (2001). Planeación [online]. Disponible en:
http://lema.rae.es/drae/?val=planeacion [Consulta: 2012, Noviembre 12]
Diccionario de la Real Academia Española (2001). Planificador [online]. Disponible en:
http://lema.rae.es/drae/?val=planificador [Consulta: 2012, Noviembre 12]
Diccionario de la Real Academia Española (2001). Proceso [online]. Disponible en:
http://lema.rae.es/drae/?val=proceso [Consulta: 2012, Noviembre 12]
Diccionario de la Real Academia Española (2001). Producto [online]. Disponible en:
http://lema.rae.es/drae/?val=producto [Consulta: 2012, Noviembre 12]
Diccionario de la Real Academia Española (2001). Servicio [online]. Disponible en:
http://lema.rae.es/drae/?val=servicio [Consulta: 2012, Noviembre 12]
