UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS …dspace.uniandes.edu.ec/bitstream/123456789/6938/1/TUSDMIE013-20… · obtención del título de MAGISTER EN INFORMATICA ... administración

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES

UNIANDES

FACULTAD DE SISTEMAS MERCANTILES

PROGRAMA DE MAESTRÍA EN INFORMÁTICA EMPRESARIAL

PROYECTO DE INVESTIGACION PREVIO A LA OBTENCIÓN DEL GRADO

ACADÉMICO DE MAGISTER EN INFORMÁTICA EMPRESARIAL

TEMA:

”AUDITORÍA DE GESTIÓN INFORMÁTICA EN EL ÁREA DE LAS

TECNOLOGÍAS DE LA INFORMACIÓN PARA EL GOBIERNO AUTÓNOMO

DESCENTRALIZADO (GAD) MUNICIPAL DEL CANTÓN LA CONCORDIA”

AUTORA: ING. MEJÍA GUAQUEZ ANDREA GUADALUPE

ASESOR: DR. CAÑIZARES GALARZA FREDY PABLO, MGS.

SANTO DOMINGO-ECUADOR

2017

APROBACION DEL ASESOR DEL TRABAJO DE TITULACION

CERTIFICACIÓN:

Quien suscribe, legalmente CERTIFICA QUE: EL presente Trabajo de Titulación

realizado por la Ing. Andrea Guadalupe Mejía Guaquéz, estudiante del

Programa de Maestría en Informática Empresarial, Facultad de Sistemas

Mercantiles con el tema “AUDITORÍA DE GESTIÓN INFORMÁTICA EN EL

ÁREA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN PARA EL GOBIERNO

AUTÓNOMO DESCENTRALIZADO (GAD) MUNICIPAL DEL CANTÓN LA

CONCORDIA”, ha sido prolijamente revisado, y cumple con todos los requisitos

establecidos en la normativa pertinente de la Universidad Regional Autónoma de

los Andes –UNIANDES-, por lo que apruebo su presentación.

Santo Domingo, julio de 2017

DECLARACION DE AUTENTICIDAD

Yo, Andrea Guadalupe Mejía Guaquéz, estudiante del Programa de Maestría

en Informática Empresarial, Facultad de Sistemas Mercantiles, declaro que todos

los resultados obtenidos en el presente trabajo de investigación, previo a la

obtención del título de MAGISTER EN INFORMATICA EMPRESARIAL, son

absolutamente originales, auténticos y personales; a excepción de las citas por

lo que son de mi exclusiva responsabilidad.


DERECHOS DE AUTOR

Yo, Andrea Guadalupe Mejía Guaquéz, declaro que conozco y acepto la

disposición constante en el literal d) del Art. 85 del estatuto de la Universidad

Regional Autónoma de los Andes, que en su parte pertinente textualmente dice:

El Patrimonio de la UNIANDES, está constituido por: La propiedad intelectual

sobre las Investigaciones, trabajos científicos o técnicos, proyectos profesionales

y consultoría que se realicen en la Universidad o por cuenta de ella;


CERTIFICACION DEL LECTOR DEL TRABAJO DE TITULACIÓN

Yo, Robert Vinicio Lalama Flores, en calidad de Lector del Proyecto de Titulación.

CERTIFICO:

Que el presente trabajo de titulación realizado por el estudiante Andrea

Guadalupe Mejía Guaquéz sobre el tema: “AUDITORÍA DE GESTIÓN

INFORMÁTICA EN EL ÁREA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN

PARA EL GOBIERNO AUTÓNOMO DESCENTRALIZADO (GAD) MUNICIPAL

DEL CANTÓN LA CONCORDIA”, ha sido cuidadosamente revisado por el

suscrito, por lo que he podido constatar que cumple con todos los requisitos de

fondo y forma establecidos por la Universidad Regional Autónoma de Los Andes,

para esta clase de trabajos, por lo que autorizo su presentación.

Santo Domingo, octubre de 2017

DEDICATORIA

Este trabajo investigativo va dedicado:

A mi hijo Ander Ortega, quien es la razón que me levanta cada día para

esforzarme, mi principal motivación

A mi esposo Ismael Ortega, por su gran paciencia y confianza durante mi vida

estudiantil

A mis padres Rosa y José, porque siempre estuvieron a mi lado en los momentos

más difíciles, brindándome su apoyo

A toda mi familia, quienes han estado pendientes de mis logros y a la vez

fomentando deseos de superación.

Y no podía finalizar sin dedicarles a mis amigos Freddy y Verónica por su gran

amistad y apoyo incondicional.

Andrea Mejía

AGRADECIMIENTO

A Jehová Dios por bendecirme grandemente en cada paso que doy

A la Universidad Regional Autónoma de los Andes UNIANDES por la oportunidad

de superación

A la Ing. Piedad Alarcón por su apoyo incondicional y sabios consejos, que me

ayudaron a iniciar con otra etapa profesional

Me gustaría agradecer sinceramente a mi asesor del proyecto de investigación,

Dr. Fredy Cañizares por compartir sus conocimientos y saberme orientar con

paciencia durante todo el proceso de formación académica.

También a Gardenia, amiga y compañera de trabajo que ha sabido motivarme

en todo momento, más aun para culminar con éxito el presente proyecto.

Andrea Mejía

RESUMEN

Este trabajo investigativo desarrolla una auditoría de gestión informática para

identificar riesgos de la entidad y establecer controles necesarios que

garanticen la protección integral de los activos fijos en este caso, la

información de la entidad gubernamental, como también facilitar la

administración de los mismos del GAD

Para el desarrollo de la presente investigación, se utilizó el método analítico

sintético, principalmente se manifiesta aspectos valiosos de fuentes

bibliográficas que permitieron la construcción de un modelo teórico, útil

para la elaboración de la propuesta.

A través de la auditoria de gestión informática se pudo verificar el

cumplimiento de las funciones y actividades asignadas a los funcionarios,

empleados y usuarios del Área de las Tecnologías de la Información,

también permitió determinar los correctivos necesarios a situaciones, que

afectaron o pudieron traducirse en riesgos para el procedimiento adecuado

de la información; como las medidas de prevención a los problemas

relacionados en la administración de los recursos tecnológicos y de esa

manera promover a la calidad de gestión de los mismos

ABSTRACT

This research paper develops an information management audit to identify risks

of the entity and establish necessary controls that guarantee the integral

protection of fixed assets in this case, the governmental entity information, and

also to facilitate the administration of the GAD

For the development of the present research, we used the synthetic analytical

method, mainly manifested valuable aspects of bibliographic sources that

allowed the construction of a theoretical model, useful for the elaboration of the

proposal.

Through the computer management audit, it was possible to verify the fulfillment

of the functions and activities assigned to the employees, employees and users

of the Information Technology Area, also allowed to determine the necessary

correctives to situations, that affected or could be translated into risks to the

proper information procedure; as the prevention measures to the problems

related in the administration of the technological resources and of that way to

promote to the quality of management of the same ones

INDICE GENERAL

PORTADA

APROBACION DEL ASESOR DEL TRABAJO DE TITULACION

DECLARACION DE AUTENTICIDAD

DERECHOS DE AUTOR

CERTIFICACION DEL LECTOR DEL TRABAJO DE TITULACIÓN

DEDICATORIA

AGRADECIMIENTO

RESUMEN

ABSTRACT

INDICE GENERAL

INTRODUCCIÓN .......................................................................................................................1

Planteamiento del Problema .........................................................................................................2

Formulación del problema............................................................................................................3

Delimitación del problema ...........................................................................................................4

OBJETO DE INVESTIGACIÓN Y CAMPO DE ACCIÓN ........................................................4

IDENTIFICACIÓN DE LA LÍNEA DE INVESTIGACIÓN .......................................................4

OBJETIVOS ................................................................................................................................4

Objetivo General ..........................................................................................................................4

Objetivos Específicos ...................................................................................................................4

IDEA A DEFENDER ..................................................................................................................5

VARIABLES DE LA INVESTIGACIÓN ...................................................................................5

Variable Independiente: Auditoría de Gestión Informática ..........................................................5

Variable Dependiente: Control Operacional de las Tecnologías de la Información .....................5

JUSTIFICACIÓN DEL TEMA ....................................................................................................5

BREVE EXPLICACIÓN DE LA METODOLOGÍA A EMPLEAR ............................................6

RESUMEN DE LA ESTRUCTURA DEL PROYECTO DE INVESTIGACION .......................7

APORTE TEÓRICO, SIGNIFICACION PRÁCTICA Y NOVEDAD CIENTÍFICA .................8

CAPITULO I ...............................................................................................................................9

MARCO TEÓRICO .....................................................................................................................9

AUDITORIA INFORMÁTICA ...................................................................................................9

AUDITORIA ISO-9000 A LOS SISTEMAS COMPUTACIONALES .......................................9

SINTOMAS DE NECESIDAD DE UNA AUDITORIA INFORMÁTICA ............................... 10

ASPECTOS A CONSIDERAR EN AUDITORÍA INFORMÁTICA ........................................ 14

CONTROL INTERNO INFORMÁTICO .................................................................................. 16

AUDITORIA DE GESTIÓN TECNOLÓGICA ........................................................................ 20

CARACTERÍSTICAS DE LA AUDITORÍA TECNOLÓGICA ............................................... 21

NORMAS TÉCNICAS SOBRE EJECUCIÓN DEL TRABAJO ............................................... 22

PLANIFICACIÓN ..................................................................................................................... 22

ESTUDIO Y EVALUACIÓN DEL SISTEMA DE CONTROL INTERNO ............................. 23

CONTROLES ............................................................................................................................ 23

METODOLOGÍA DE TRABAJO DE LA AUDITORÍA INFORMÁTICA .............................. 26

EJECUCIÓN DE LA AUDITORÍA INFORMÁTICA .............................................................. 27

CICLO DE VIDA DE LA AUDITORÍA INFORMÁTICA ....................................................... 28

INICIO ....................................................................................................................................... 28

FASE DE PLANIFICACIÓN .................................................................................................... 29

FASE DE EJECUCIÓN ............................................................................................................. 30

FASE DE REVISIÓN ................................................................................................................ 30

FIN ............................................................................................................................................. 30

COBIT ....................................................................................................................................... 31

HISTORIA Y EVOLUCIÓN DEL COBIT ................................................................................ 31

EVOLUCIÓN DEL PRODUCTO COBIT ................................................................................. 31

FUNCIÓN BÁSICA Y ORIENTACIÓN DEL COBIT. ........................................................... 32

CONTEXTO DEL DESARROLLO TECNOLÓGICO.............................................................. 35

TECNOLOGÍA .......................................................................................................................... 36

GESTIÓN TECNOLÓGICA ..................................................................................................... 37

TIPOS DE TECNOLOGÍA ........................................................................................................ 38

GESTIÓN TECNOLÓGICA: CONSULTORÍA Y AUDITORÍA INFORMÁTICA. ................ 39

RELACIÓN DE LA GESTIÓN Y LA TECNOLOGÍA ............................................................. 40

ESPECIFICACIÓN Y DISEÑO DE LA ESTRATEGIA TECNOLÓGICA .............................. 42

OBJETIVO DE LA GESTIÓN TECNOLÓGICA ..................................................................... 43

CONCLUSIONES PARCIALES DEL CAPITULO .................................................................. 43

CAPITULO II ............................................................................................................................ 45

MARCO METODOLÓGICO Y PLANTEAMIENTO DE LA PROPUESTA .......................... 45

DISEÑO METODOLÓGICO. ................................................................................................... 46

POBLACIÓN Y MUESTRA ..................................................................................................... 46

TABULACIÓN DE RESULTADOS ......................................................................................... 49

CAPITULO III ........................................................................................................................... 63

DESARROLLO DE LA PROPUESTA ..................................................................................... 63

Tema .......................................................................................................................................... 63

INTRODUCCIÓN ..................................................................................................................... 63

OBJETIVOS .............................................................................................................................. 63

General ....................................................................................................................................... 63

Específicos ................................................................................................................................. 64

DESCRIPCIÓN GENERAL DE LA PROPUESTA .................................................................. 65

DESARROLLO DE LA PROPUESTA ..................................................................................... 65

DIAGNÓSTICO PREVIO ......................................................................................................... 66

PLANIFICACIÓN ..................................................................................................................... 69

ÁREA A AUDITAR .................................................................................................................. 70

RECOLECCIÓN DE LA INFORMACIÓN............................................................................... 70

DOCUMENTOS DE GESTIÓN DEL ÁREA DE INFORMÁTICA ......................................... 70

PLAN DE LA AUDITORIA ...................................................................................................... 70

CRONOGRAMA DE ACTIVIDADES ..................................................................................... 70

MODELOS DE MADUREZ A NIVEL CUALITATIVO (COSO) ........................................... 72

RESULTADOS .......................................................................................................................... 74

MODELOS DE MADUREZ DE LOS PROCESOS .................................................................. 74

RESUMEN DEL GRADO DE MADUREZ ............................................................................ 105

RESUMEN DE PROCESOS Y CRITERIO POR IMPACTO ................................................. 107

EL INFORME DE AUDITORÍA ............................................................................................. 111

PRESUPUESTO DE LA AUDITORÍA ................................................................................... 121

CONCLUSIONES PARCIALES DEL CAPITULO ................................................................ 123

CONCLUSIONES Y RECOMENDACIONES ....................................................................... 124

CONCLUSIONES ................................................................................................................... 124

RECOMENDACIONES .......................................................................................................... 126

BIBLIOGRAFIA

ANEXOS

Índice de Ilustraciones

Ilustración 1 Visión sistemática de la Auditoria Informática .................................................... 13

Ilustración 2 Funcionamiento del control Interno Informático .................................................. 17

Ilustración 3: Ciclo de vida de una auditoría ............................................................................. 29

Ilustración 4: El Cubo de COBIT ............................................................................................. 34

Ilustración 5 Actividades relacionadas con la producción de tecnologías ................................. 42

Ilustración 6 Edificio del Municipio de la Concordia ............................................................... 45

Ilustración 7 Pregunta #1 Encuesta realizada a empleados Municipales ................................... 49



Ilustración 10 Pregunta #4 Encuesta realizada a empleados Municipales ................................. 52



Ilustración 13 Pregunta #1 Encuesta realizada a usuarios Municipales ..................................... 55






Ilustración 19 Propuesta a la solución Problemática ................................................................. 61

Ilustración 21 Estructura de la Propuesta .................................................................................. 65

Ilustración 22 Cronograma de Actividades ............................................................................... 71

Ilustración 23 Impacto sobre criterios de la información ....................................................... 111

Ilustración 24: Criterio efectividad ......................................................................................... 118

Ilustración 25 Criterio eficiencia ............................................................................................ 118

Ilustración 26 Criterio confidencialidad.................................................................................. 119

Ilustración 27 Criterio integridad ............................................................................................ 119

Ilustración 28 Criterio disponibilidad ..................................................................................... 120

Ilustración 29: Criterio cumplimiento ..................................................................................... 120

Ilustración 30 Criterio Confiabilidad ...................................................................................... 121

Índice de Tablas

Tabla 1 Diferencias y similitudes del Control Interno y la Auditoría Informática ..................... 18

Tabla 2 Tipos de Tecnología ..................................................................................................... 38

Tabla 3 Población involucrada en el problema .......................................................................... 47

Tabla 4 Muestra......................................................................................................................... 48

Tabla 5 Pregunta #1 Encuesta realizada a empleados Municipales ........................................... 49



Tabla 8 Pregunta # 4 Encuesta realizada a empleados Municipales ........................................ 52

Tabla 9 Pregunta # 5 Encuesta realizada a empleados Municipales .......................................... 53

Tabla 10 Pregunta # 6 Encuesta realizada a empleados municipales ......................................... 54



Tabla 13 Pregunta # 3 Encuesta realizada a usuarios Municipales ............................................ 57




Tabla 17 Cuadro de Herramientas ............................................................................................. 72

Tabla 18 Cuadro de Herramientas nivel cualitativo COSO ....................................................... 73

Tabla 19 Cuadro de herramientas Metodología para el manejo de riesgos COSO.................... 74

Tabla 20 Plan Estratégico ......................................................................................................... 75

Tabla 21 Definición de Arquitectura de la Información ........................................................... 76

Tabla 22 Dirección Tecnológica ............................................................................................... 78

Tabla 23 Definición de Procesos ............................................................................................... 80

Tabla 24 Administración de la Inversión .................................................................................. 81

Tabla 25 Identificación de Soluciones Automatizadas ............................................................. 83

Tabla 26 Adquirir y mantener el Software aplicativo ............................................................... 84

Tabla 27 Mantener la Infraestructura ........................................................................................ 86

Tabla 28 Facilitar operación y uso............................................................................................ 88

Tabla 29 Adquirir Recursos de TI ............................................................................................. 90

Tabla 30 Administrar niveles de servicios ................................................................................ 91

Tabla 31 Administrar los servicios de Terceros ......................................................................... 93

Tabla 32 Desempeño y Calidad ................................................................................................ 94

Tabla 33 Continuidad de servicios ............................................................................................ 96

Tabla 34 Garantizar la Seguridad de los Sistemas .................................................................... 97

Tabla 35 Monitorear y Evaluar el Desempeño de TI ................................................................ 99

Tabla 36 Monitorear y Evaluar el Control Interno.................................................................. 100

Tabla 37 Cumplimiento regulatorio........................................................................................ 102

Tabla 38 Proporcionar Gobierno de TI ................................................................................... 103

Tabla 39 Grado de Madurez..…………………................................……………………...…105

Tabla 40 Grado de Madurez, Resumen de procesos y criterios de impacto…………………..107

Tabla 41 Informe de Auditoria………………………………………………………………..112

Tabla 42 Presupuesto de la Auditoria…………………………………………..…………….121

1

INTRODUCCIÓN

Antecedentes de la Investigación

Se ha realizado una investigación preliminar en la Biblioteca de la Universidad

Regional Autónoma de los Andes UNIANDES, para analizar las tesis que pueden

servir como antecedente investigativo a la presente, luego de un estudio y análisis

de las mismas, se han considerado importantes las siguientes investigaciones:

La tesis desarrollada por el Ing. Ramón Tóala previa a la obtención del título de

Magister en Informática empresarial y que fue presentada en el año 2013 con el

tema denominado “AUDITORIA INFORMÁTICA PARA EL CONTROL DE LA

GESTIÓN TECNOLÓGICA DE LA UNIVERSIDAD TÉCNICA DE MANABÍ”, de su

análisis se puede concluir que los procesos de auditoria permiten definir el estado

real de la infraestructura tecnológica que maneja la Institución educativa, también

se puede deducir que mediante la utilización de la metodología Cobit se llega a

obtener resultados evacuatorios de los procesos y de los equipos informáticos.

Toda auditoría informática requiere de una planificación previa y de la definición de

los instrumentos evacuatorios para hardware, para software y lógicamente para

procesos.

A nivel nacional y específicamente en la Escuela Superior Politécnica del Ejército,

se encontró la tesis de los ingenieros Sandra Patricia Balseca Alcocer y Miguel

Eduardo Cachimuel Querembás, con su tema “EVALUACIÓN Y AUDITORÍA

INFORMÁTICA DEL SISTEMA DE INFORMACIÓN DE LA E.S.P.E”, del análisis

realizado se puede concluir de que:

Es necesaria la realización periódica de un ejercicio práctico y formal de la auditoría

en informática que permita asegurar que los recursos informáticos se están

utilizando de manera adecuada para lograr los objetivos de la institución auditada.

Y como todo proceso de auditoría, la auditoría informática es similar al de auditoría

de estados financieros, en la cual los objetivos principales son, salvaguardar los

2

activos, asegurar la integridad de los datos, la consecución de los objetivos

gerenciales, y la utilización de los recursos con eficiencia y eficacia, para lo que se

realiza la recolección y evaluación de evidencias. De manera semejante como

sucede con la auditoría financiera en la auditoría informática se recogen evidencias,

las cuales se analizan para identificar, la manera en la cual son salvaguardados los

activos computarizados.

Planteamiento del Problema

A nivel mundial, se considera a la información como un activo tan o más

importante que cualquier otro en la organización y su notable crecimiento ha dado

lugar a grandes cambios en la manera de cómo se establecen los procesos de la

información almacenada a través de las TI, es por esta razón que se debe seguir

normas y estándares para el éxito de una empresa.

En el Ecuador, la tecnología es bastante escasa, la cual nos ha traído graves

consecuencias con respecto al desarrollo, ya que la falta de la misma nos ha impedido

avanzar de una manera óptima en el mercado competitivo a nivel mundial. Sin

embargo en este campo tecnológico no solo el Gobierno participa sino también la

sociedad entera como las empresas privadas y universidades con sus importantes

aportes que son tomados en cuenta al momento de hacer una evaluación.

El Gobierno Autónomo Descentralizado Municipal del Cantón la Concordia, es una

institución que conforma la organización territorial del Estado Ecuatoriano,

organizada y regulada por el artículo 238 de la Constitución de la República del

Ecuador, establece que constituyen Gobiernos Autónomos Descentralizados

(GAD).

El Gobierno Autónomo Descentralizado Municipal del Cantón la Concordia fue

aprobada en 5 de febrero de 2012 en el mismo año que se proclamó a La Concordia

como cantón de la provincia de Santo Domingo de los Tsáchilas. El Gobierno

Autónomo Descentralizado Municipal del Cantón la Concordia, se encuentra

ubicado en la Calle Eugenio Espejo y Carchi, con sus diferentes departamentos

3

como; la Dirección de Planificación, Equidad y Género, departamentos como:

Dirección Financiera, Administrativa, Comunicación Social entre otras, que brinda

servicios a la sociedad.

En varias visitas realizadas en el G.A.D. Municipal, se ha podido observar varias

falencias en el control operacional del aspecto tecnológico, como también en el

manejo y tratamiento de la información, entre ellas tenemos:

No existe un inventario completo y acertado de equipos informáticos por lo que

genera desorganización y desconocimiento del stock real de equipos

El desconocimiento del estado actual de los equipos informáticos ha con llevado

a innumerables errores de funcionamiento, reclamos por los usuarios y pérdida

de tiempo en atención al público. También no se ha podido hacer una

actualización tecnológica y tampoco se tiene información clara de quienes son

los adjudicatarios de los equipos de la Institución

El procedimiento para realizar un requerimiento de material es mediante el

P.O.A. anual, lo que no se satisface la necesidad actual en el departamento

No se han realizado auditorias informáticas de los recursos existentes para

evaluar su funcionalidad y utilización

La falta de un manual de organización y funciones ha ocasionado que los

encargados del departamento informático manejen y manipulen tanto la

tecnología como la compatibilidad y configuración de los equipos informáticos

de manera empírica.

Formulación del problema

¿Cómo mejorar el control operacional de las tecnologías de la información en el

G.A.D Municipal del cantón La Concordia?

4

Delimitación del problema

El presente trabajo de investigación se ha desarrollado en el GAD Municipal del

Cantón de La Concordia, ubicado en la Calle Eugenio Espejo y Carchi.

El presente trabajo de investigación está delimitado en el departamento de las

Tecnologías de la Información, ya que es el encargado de establecer los procesos

y manejo de información almacenada.

OBJETO DE INVESTIGACIÓN Y CAMPO DE ACCIÓN

Objeto de Estudio: Procesos informáticos

Campo de acción: Auditoría Informática

IDENTIFICACIÓN DE LA LÍNEA DE INVESTIGACIÓN

La línea de investigación en el presente trabajo investigativo es: Las Tecnologías

de la Información y Comunicación

OBJETIVOS

Objetivo General

Planificar la ejecución de una Auditoría Informática, para que en base a ella se logre

el mejoramiento del control operacional de las Tecnologías de la Información en el

Gobierno Autónomo Descentralizado (GAD) Municipal del Cantón La Concordia

Objetivos Específicos

Fundamentar científicamente los conceptos relacionados con Auditoría

Informática, metodología COBIT y el control operacional de las tecnologías de

información

5

Realizar una investigación de campo sobre cómo se está llevando a cabo

actualmente el control operacional de las Tecnologías de la Información en el

GAD Municipal del Cantón La Concordia.

Planificar una Auditoría Informática basada en los conceptos y en la

metodología COBIT para el G.A.D. Municipal del Cantón La Concordia.

Validar la propuesta por expertos

IDEA A DEFENDER

Con la realización de una auditoría informática planificada en este trabajo

investigativo, se mejorará el proceso de control operacional de las Tecnologías de

Información en el Gobierno Autónomo Descentralizado (GAD) Municipal del Cantón

La Concordia

VARIABLES DE LA INVESTIGACIÓN

Variable Independiente: Auditoría de Gestión Informática

Variable Dependiente: Control Operacional de las Tecnologías de la Información

JUSTIFICACIÓN DEL TEMA

Del planteamiento del problema se puede deducir que este existe y que es de tipo

multifactorial, primeramente se debe resaltar que realmente no existe una

información concreta de todo el aparato tecnológico que tiene la Institución

Municipal, de cuál es su funcionamiento, de su ubicación y a cargo de quien está,

en definitiva no se tiene un control de toda la parte tecnológica y es por ello que

tampoco se pueden tomar decisiones para mejorar la infraestructura técnica.

Lógicamente se deduce que lo primero que hay que hacer es una auditoría

informática de toda la infraestructura tecnológica, luego de que esta se realice se

tendrán los siguientes beneficios:

6

Se dispondrá de información clara y precisa del estado de la tecnología que

utiliza la entidad Municipal como apoyo a su proceso operativo.

También se sabrá con plenitud la ubicación de equipos y obviamente los

responsables de los mismos.

En base a esta información se podrá planificar la adquisición de nuevas

tecnologías, así como el recambio de todo el parque informático.

En base a la mejora tecnológica, se podrá mejorar el servicio al usuario,

agilitando los procesos y pudiendo establecer interconexiones con entidades

gubernamentales.

Luego de la auditoria informática se tendrá un mejor control operacional de toda

la infraestructura tecnología que apoya el funcionamiento de la Institución

municipal.

En base a todas estas mejoras, se justifica plenamente la realización del presente

trabajo investigativo.

BREVE EXPLICACIÓN DE LA METODOLOGÍA A EMPLEAR

La metodología investigativa que se empleó en el desarrollo del presente trabajo

de titulación tiene algunos aspectos a destacar así:

En lo que se refiere a la modalidad de la investigación concretamente se utilizó el

paradigma denominado cuali-cuantitativo, en este paradigma la modalidad

cualitativa permite averiguar las cualidades o características generales del

problema, esta averiguación normalmente se la hace en base a observación y a

visitas en la Institución. Las características cualitativas de la problemática

posteriormente son ratificadas mediante la cuantificación de la investigación de

campo llevada a cabo en base a encuestas.

7

Entre los tipos de investigación que se utilizaron se tiene: la bibliográfica, de campo

y aplicada. Mientras tanto los métodos a emplear en el desarrollo del presente

trabajo investigativo tenemos el Analítico sintético, Inductivo deductivo

Las técnicas que se aplicaron en el proceso investigativo son: la encuesta que se

llevará a cabo a los clientes internos y externos de la Municipalidad, también se

realizó una entrevista al Director de Sistemas para recabar sus criterios

relacionados a la problemática y a la solución de la misma.

Por ultimo empleamos los instrumentos investigativos como: los cuestionarios que

se utilizarán para las encuestas orientadas a los usuarios y a los empleados y la

guía de entrevistas para el Director Departamental

RESUMEN DE LA ESTRUCTURA DEL PROYECTO DE INVESTIGACION

El presente trabajo investigativo tiene las siguientes secciones:

La introducción contiene aspectos fundamentales como el planteamiento del

problema relacionado con una falta de control operacional de las tecnologías que

se usan en el Municipio, también se definen los objetivos que tienen que ver con la

planificación de una auditoría informática y obviamente con su fundamento teórico,

además se expresa los motivos que justifican esta investigación y las

características de novedad que tiene.

El marco teórico permite el fundamento científico de la propuesta, este aspecto

teórico tiene que ver con los conceptos fundamentales de la Auditoría informática,

también se fundamenta la metodología COBIT y el control operacional.

El marco metodológico se lo elabora en base a encuestas realizadas a empleados

y usuarios del municipio, en él, se ratifican los síntomas del problema y se orienta

a la solución.

8

Finalmente se tiene la propuesta en la cual se planifica la auditoría informática, se

preparan los instrumentos respectivos y se dan orientaciones relacionadas con el

informe final de la auditoria.

APORTE TEÓRICO, SIGNIFICACION PRÁCTICA Y NOVEDAD CIENTÍFICA

El aporte teórico que ofrece el presente trabajo investigativo, es el de aportar y

fortalecer las bases teóricas correspondientes a la Auditoria Informática ya que

servirá como fuente de consulta y a la vez extender su conocimientos a estudiantes,

que estén interesados en el tema.

La significación práctica, recae notablemente, en la implementación de una

Auditoría de Gestión Informática, orientada directamente a identificar riesgos de

la entidad y establecer controles necesarios que garanticen la protección

integral de los activos fijos en este caso, la información de la entidad

gubernamental, como también facilitar la administración de los mismos.

La novedad científica de la presente investigación es el alcance que tiene la

Auditoría de Gestión Informática en nuestro medio ya que radica en el hecho de

aplicar normas y técnicas dedicadas al aseguramiento y disponibilidad de la

información.

9

CAPITULO I

MARCO TEÓRICO

Este trabajo investigativo se fundamenta en los siguientes aspectos:

AUDITORIA INFORMÁTICA

“La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias

para determinar si un sistema informatizado salvaguarda los activos, mantiene la

integridad de los datos, lleva eficazmente los fines de la organización y utiliza

eficazmente los recursos.” (PIATTINI, 2008)

Dentro de la auditoría informática se tiene muy en claro cuatro puntos: "examen",

"metódico", "puntual" y" objetivo": (HORACIO, 2008)

La auditoría informática es un examen, pues se verifica o comprueba el sistema

informático actualmente en uso.

Este examen es metódico, ya que sigue un plan de trabajo, perfectamente

diseñado, que permite llegar a conclusiones suficientemente fundamentadas.

Este examen es puntual, ya que se realiza en un momento determinado y bajo

petición de la dirección.

Este examen es objetivo, ya que se realiza por un equipo externo al servicio de

informática para buscar la objetividad requerida.

AUDITORIA ISO-9000 A LOS SISTEMAS COMPUTACIONALES

Es la revisión exhaustiva, sistemática y especializada que realizan únicamente los

auditores especializados y certificados en las normas y procedimientos ISO-9000,

aplicando exclusivamente los lineamientos, procedimientos e instrumentos

establecidos por esta asociación. El propósito fundamental de esta revisión es

10

evaluar, dictaminar y certificar que la calidad de los sistemas computacionales de

una empresa se apegue a los requerimientos delISO-9000. (Universidad de

Alicante, 2010)

SINTOMAS DE NECESIDAD DE UNA AUDITORIA INFORMÁTICA

Las empresas acuden a las auditorías externas cuando existen síntomas bien

perceptibles de debilidad. Estos síntomas pueden agruparse en clases.

Síntomas de descoordinación y desorganización:

No coinciden los objetivos de la informática de la empresa y de la propia

compañía

Síntomas de mala imagen e insatisfacción de los usuarios

1. No se atienden las peticiones de cambios de los usuarios. Ejemplo: cambio

de Software en los computadores

2. No se reparan las averías de Hardware ni se resuelven incidencias en

plazos razonables. El usuario percibe que está abandonado y desatendido

permanentemente.

3. No se cumplen en todos los casos los plazos de entrega de resultados

periódicos.

Síntomas de debilidades económico-financiero:

1. Incremento desmesurado de costos

2. Necesidad de justificación de inversiones informáticas (la empresa no está

absolutamente convencida de tal necesidad y decide contrastar opiniones)

11

3. Costos y plazos de nuevos proyectos (deben auditarse simultáneamente a

desarrollo de proyectos y al órgano que realizó el pedido).

Síntomas de inseguridad: Evaluación de nivel de riesgos.

1. Seguridad lógica

2. Seguridad física

3. Confidencialidad

Se pueden establecer tres grupos de funciones a realizar por un auditor informático:

Participar en las revisiones durante y después del diseño, realización,

implantación y explotación de aplicaciones informativas, así como en las fases

análogas de realización de cambios importantes.

Revisar y juzgar los controles implantados en los sistemas informativos para

verificar su adecuación a las órdenes e instrucciones de la dirección requisitos

legales, protección de confidencialidad y cobertura ante errores y fraudes.

(RAMIREZ & ALVAREZ, 2010)

Según HERNÁNDEZ (2009), “Conceptualmente la auditoría toda y cualquiera

auditoría, es la actividad consistente en la emisión de una opinión profesional sobre

si el objeto sometido a análisis presenta adecuadamente la realidad que pretende

reflejar y/o cumple las condiciones que le han sido prescritas”.

De aquí se deduce la importancia de establecer una opinión objetiva fundada en

las evidencias encontradas, sobre las diferencias existentes entre el planteamiento

del funcionamiento de cualquier área a auditar y su ejecución real en la

organización, y comunicarlas a las personas correspondientes.

12

Se plantea que una de las formas de Auditoría Informática aplicado a Entidades

Públicas es el proceso orientado a la identificación de riesgos y controles en la

gestión de las tecnologías de información, para su efectivo apoyo al logro de los

objetivos de la institución, para el cumplimiento de sus metas estratégicas, asociado

a la nueva economía digital en la que se desenvuelve.

Por un lado la identificación de riesgos nos sirve para determinar el nivel de

exposición de la institución al inadecuado uso de los servicios que brinda la

tecnología de la información, pero además permite gestionar los riesgos,

implementando controles que están orientados a evitarlos, transferirlos, reducirlos

o asumirlos gerencialmente. Por tanto, es necesario definir ambos conceptos:

riesgos y controles:

a. Riesgos: Un riesgo impide que la entidad logre alcanzar los objetivos

establecidos como negocio y que en el tiempo dicha situación genere

debilidades en el control interno

b. Control: Un control establece las medidas implementadas en las entidades con

la finalidad de reducir los riesgos existentes y proteger los activos más

importantes.

En la siguiente figura se visualiza la estrategia utilizada para la implantación de las

mejores prácticas de control. Es un proceso de “benchmarking” que toma en cuenta

las mejores recomendaciones internacionales, como las contenidas en el COBIT,

las utilizadas por empresas de prestigio internacional, las normas internacionales

de auditoría, entre otros; los que permiten obtener altos niveles de seguridad,

fiabilidad y conformidad en la gestión de la tecnología de la información.

Los riesgos de tecnologías de información que afectan a las entidades Públicas

están relacionados con 3 aspectos básicamente:

13

a. Dependencia en el uso de tecnología de información: Relacionada con

el uso que efectúa la Entidad y la importancia que representa para el

desarrollo de sus operaciones.

b. Confiabilidad en el uso de tecnología de información: Relacionada con

resultados del procesamiento de datos y que no requieren trabajo manual

por los usuarios para complementar la información.

c. Cambios en la tecnología de información: Relacionado con la

automatización de los procesos principales de la Entidad y la adecuación de

esos procesos automatizados a nuevas necesidades de la Entidad

motivados por regulación o por modernización para mantenerse

competitivos o lograr su acreditación. (GÓMEZ, 2013)

Un proceso de Auditoría Informática tiene como objetivos la implantación de nuevos

y mejores controles, que permitan entregar servicios tecnológicos con calidad y

eficiencia, que a su vez permitirá que el GAD municipal de La Concordia alcance

un mejor posicionamiento y acreditación dentro de las instituciones de este ramo

tanto dentro como fuera del país, apoyando de esta manera a los distintos procesos

que está emprendiendo para alcanzar la visión que se ha planteado.

Ilustración 1 Visión sistemática de la Auditoria Informática Fuente: http://sisbib.unmsm.edu.pe/bibvirtualdata/publicaciones/indata/Vol6_n1/pdf/auditoria.pdf

Elaborado por: Ing. Andrea Mejía

14

Las etapas para establecer un sistema de control son las siguientes:

1. Establecimiento de estándares: Es la acción de determinar el/los parámetros

sobre los cuales se ejercerá el control y posteriormente, el estado o valor de

esos parámetros considerado deseable. Este es el primer elemento a

establecer para instrumentar un sistema de control. En esta especificación se

deberán incluir, entre otros, la precisión con que se medirá el parámetro a

verificar, el método de medición y el instrumento sensible que se aplicará, la

periodicidad en la aplicación y hasta los responsables de esta tarea.

2. Comparación o diagnóstico: implica el cotejo entre los resultados reales con los

deseables. En esta etapa se investiga (más o menos extensamente) acerca de

las causas de las desviaciones que acompañarán un informe con las

discrepancias detectadas, para ser fuente de información de la siguiente fase.

(CASTELLO, 2006)

3. La determinación de acciones correctivas es la tercera etapa. Lleva implícita

una decisión: corregir o dejar como está. Obviamente será más certera y

económica la solución de la discrepancia mientras más correcto sea el

diagnóstico hecho en la etapa anterior.

4. La ejecución de las acciones correctivas es el último paso. Sin éste, el control

será estéril, inútil e incompleto. Más aún, infinitamente caro como respuesta al

problema que intentó solucionar. Por ello, se considera que sin esta etapa

simplemente no ha existido una acción de control.

ASPECTOS A CONSIDERAR EN AUDITORÍA INFORMÁTICA

Uno de los aspectos más significativos de la Auditoría Informática se refiere a los

datos relativos a la Rentabilidad del Sistema. La rentabilidad del sistema debe ser

medida mediante el análisis de tres valores fundamentales: la evaluación de los

costes actuales, la comparación de esos costes actuales con magnitudes

15

representativas de la organización, y la comparación de los costes del sistema de

información de la empresa con los de empresas similares, preferentemente del

mismo sector de actividad. (Universidad Autónoma del Estado de Hidalgo, (2011)

Como evaluar de forma concreta estos tres aspectos fundamentales, que

conforman la rentabilidad del sistema de información, es lo que se analiza

seguidamente.

Evaluación de los costos actuales. Conocer, en términos económicos, los costos

que para una empresa supone su sistema de información, constituye uno de los

aspectos básicos de la auditoría informática. Se trata de cuantificar los costos de

los distintos elementos que configuran el sistema de información y que en términos

generales son los siguientes:

Hardware. Se trata de analizar la evolución histórica del hardware en la

empresa, justificando dicha evolución. Es importante conocer el costo del

material (unidad central, periféricos, soporte) durante los últimos cinco años.

También será necesario analizar la utilización de cada elemento hardware

de la configuración, cifrándola en hora/mes, asegurando que la configuración

utilizada se corresponde con el menor valor utilización/costo, y examinar la

coherencia del mismo (MERINO, 2014)

Software. Análisis de los costos relativos al sistema lógico, tanto en sus

aspectos relativos a la explotación (adecuación del sistema operativo,

versión del software utilizado) como en los aspectos relativos a la

programación de las distintas aplicaciones (prioridades de ejecución,

lenguaje utilizado).( Melo Cazar & Mónica Elizabeth, 2005)

Capturas de datos. Análisis de los costos relativos a la captura de datos,

de las fuentes de información, tanto internas como externas de la empresa.

Grabación de datos. Es necesario conocer también los costos relativos a la

transcripción de datos en los soportes adecuados (costos de personal,

equipos y máquinas auxiliares).

16

Explotación. Análisis de los costos imputados a los factores relativos a la

explotación en sentido amplio (tratamiento manual, tiempos de realización

de aplicaciones, tiempo de respuesta, control errores, etc.)

Aplicaciones. Se trata de evaluar los costos del análisis funcional, el análisis

orgánico, la programación, las pruebas de programas, preparación de datos

y costos de desarrollo de cada aplicación medido en horas.

Personal. Teniendo en cuenta el nivel cualitativo y cuantitativo (las distintas

categorías, equilibrio entre esas categorías, remuneraciones salariales,

horas extraordinarias), se trata de analizar los costos de personal

directamente relacionado con el sistema de información. En este apartado

deberán tenerse en cuenta también los costes relativos a la formación del

personal.

Documentación. Es necesario no sólo verificar que la documentación

relativa al sistema de información sea clara, precisa, actualizada y completa,

sino también los costos relativos a su elaboración y actualización.

Difusión de la información. Se trata de evaluar los costos de difundir la

información, es decir, hacer llegar a los usuarios del sistema la información

demandada o aquella considerada necesaria en los distintos niveles de la

organización.

CONTROL INTERNO INFORMÁTICO

Para la aplicación y correcto funcionamiento en los procesos que plantea la

auditoría se tiene que llevar un control interno informático que es el que controla

diariamente que todas las actividades de sistemas sean realizadas cumpliendo los

procedimientos, estándares y normas fijados por la Dirección de la Organización

y/o la Dirección de Informática, así como los requerimientos legales. (PIATTINI,

2008)

17

La misión del Control Interno Informático es asegurarse de que las medidas que se

obtienen de los mecanismos implantados por cada responsable sean correctas y

válidas.

Como principales objetivos serían:

Controlar que todas las actividades se realizan cumpliendo los

procedimientos y normas fijados, evaluar su bondad y asegurarse del

cumplimiento de las normas legales.

Asesorar sobre el conocimiento de las normas

Colaborar y apoyar el trabajo del Auditor Informático, así como el de las

auditorías externas al grupo.

Definir, implantar y ejecutar mecanismos y controles para comprobar el logro

de los grados adecuados del servicio informático.

Ilustración 2 Funcionamiento del control Interno Informático Fuente: http://alarcos.esi.uclm.es/per/fruiz/cur/mso/comple/Cobit.pdf

DIRECCIÓN

Exigencias

internas y

externas

POLÍTICAS Y

DIRECTRICES

ESTÁNDARES,

PROCEDIMIENTOS,

NORMAS Y

METODOLOGÍAS

IMPLANTAR

PROCEDIMIETNOS

DE CONTROL

POLÍTICA

CULTURA COMPROBACIÓN Y

SEGUIMIENTO DE

CONTROLES

18

“La Auditoría Informática y el Control Interno Informático son campos análogos. De

hecho, muchos de los actuales responsables de control interno informático

recibieron formación en seguridad informática tras su paso por la formación en

auditoría. Numerosos auditores se pasan al campo de control interno debido a la

similitud de los objetivos profesionales de control y auditoría. Pese a que ambas

figuras tienen objetivos comunes, existen diferencias que conviene matizar. En la

siguiente tabla se muestra las similitudes y diferencias entre ambas disciplinas:”

(Sobrinos Sánchez, 2000)

Tabla 1

Diferencias y similitudes del Control Interno y la Auditoría Informática

CONTROL INTERNO INFORMÁTICO

AUDITOR INFORMÁTICO

SIMILITUDES

Personal Interno

Conocimientos especializados den Tecnologías de la Información

Verificación del cumplimiento de controles internos, normativas y procedimientos establecidos por la Dirección de Informática y la Dirección General para los sistemas de información

DIFERENCIAS

Análisis de los controles en el día a día

Informa a la Dirección del Departamento de Informática

Solo personal interno

El alcance de sus funciones es únicamente sobre el Departamento de Informática

Análisis de un momento informático determinado

Informa a la Dirección General de la Organización.

Personal Interno y externo

Tiene cobertura sobre todos los componentes de los sistemas de información de la Organización

Fuente: http://alarcos.esi.uclm.es/per/fruiz/cur/mso/comple/Cobit.pdf

“El auditor debe ser una persona independiente de la institución que se vaya a

auditar, él es responsable de aplicar el método que considere más adecuado, lo

que supone diseñar, desarrollar e implantar los controles; con total independencia

del equipo de desarrollo, el auditor deberá decidir los procedimientos que vaya

aplicar al auditar. El auditor puede hacer recomendaciones para mejorar el sistema,

cuidando siempre no perder la independencia”. (Guevara Plaza, 2010)

19

Todo auditor de sistemas informáticos debe estar técnicamente preparado y

poseer, los suficientes conocimientos y experiencia que le permitan realizar dicho

trabajo, de lo contrario deberá acudir a un experto en el área donde se tienen dudas,

es por eso que todo auditor debe tener una formación continua debido a la

revolución tecnológica.

Uno de los bienes más importante no solo de las empresas sino de las instituciones

es la información es por esto que existe conocimientos, normas, técnicas y buenas

practicas dedicadas a la evaluación y aseguramiento de la calidad, seguridad,

razonabilidad, y disponibilidad de la información tratada y almacenada a través del

computador y equipos afines, así como de la eficiencia, eficacia y economía con

que la administración de un ente están manejando dicha información y todos los

recursos físicos y humanos asociados para su adquisición, captura, procesamiento,

transmisión, distribución, uso y almacenamiento. Todo lo anterior con el objetivo de

emitir una opinión o juicio, para lo cual se aplican técnicas de auditoria de general

aceptación y conocimiento técnico específico. (SEVILLA, 2012)

También es una realidad que las facilidades que brindan los sistemas informáticos

pueden tener como inconveniente hacer más vulnerable la información importante

de las organizaciones, por lo que se deben implantar controles para mantener

segura la información y por ende se requiere de auditores especializados en

sistemas informáticos que prueben que estos controles son efectivos y permiten

que la información se procese de manera correcta. En consecuencia de esta

situación se crea la necesidad de realizar periódicamente evaluaciones a los

sistemas, o también llamadas, auditorías informáticas, con las cuales se pretende

identificar y evaluar los controles implantados en los sistemas y minimizar los

riesgos a los cuales las organizaciones que dependen de los sistemas informáticos

se encuentran expuestas.

La auditoría informática dentro de sus funciones se encuentra:

Controlar y verificar todos los estándares informáticos que aplica la

organización.

20

Analizar la eficiencia y eficacia de los Sistemas de Información

organizacionales

Examinar el uso adecuado de los recursos informáticos de la organización.”

(GRANADOS, 2006 )

AUDITORIA DE GESTIÓN TECNOLÓGICA

Una auditoría de sistemas es un proceso de revisión de la manera en la que se

están administrando actualmente la gestión tecnológica y los controles implantados

en los mismos, basado en un criterio o modelo de control y gobierno de TI

establecido (p. ej. COBIT, ITIL, ISO), recolección de evidencias significativas y la

emisión de una opinión independiente acerca de los controles evaluados.

(SEVILLA, 2012)

Esta opinión debe ser revisada por la gerencia de la entidad auditada, quien debe

definir si está de acuerdo con la misma, puesto que en caso de estar en desacuerdo

el auditor debe realizar una evaluación más exhaustiva a los puntos en desacuerdo,

siendo este un escenario poco probable y deseado ya que los resultados emitidos

por el auditor deben ser verificables por medio de las evidencias recolectadas que

deben estar de acuerdo con las observaciones emitidas.

“Cuando en una instalación se encuentren operando sistemas avanzados de

computación, como procesamiento en línea, bases de datos y procesamiento

distribuido, se podía evaluar el sistema empleando técnicas avanzadas de

auditoría.” (ECHENIQUE, 2006)

Estos métodos requieren un experto y, por lo tanto, pueden no ser apropiados si el

departamento de auditoría no cuenta con el entrenamiento adecuado (la institución

no cuenta con departamento de auditoría).

La tecnología está afectando la forma en que las organizaciones están

estructuradas, administradas y operadas. En algunos casos, los cambios son

21

dramáticos. Cuando existe la necesidad de un nuevo diseño de sistemas

administrativos para lograr una efectiva administración y control financiero.

Las técnicas deben usarse apropiadamente, dentro de estas podemos mencionar:

las pruebas integrales consisten en el procesamiento de datos de un

departamento ficticio, comparando estos resultados con resultados

predeterminados, es decir las transacciones iniciadas por el auditor son

independientes de la aplicación normal, pero son procesadas al mismo tiempo.

(MERINO, 2014)

La simulación nos ayuda a desarrollar programas de aplicación para determinada

prueba y comparar los resultados de la simulación con la aplicación real. El

proceso manual generalmente los documentos de las transacciones contienen

espacio de trabajo para ejecutar el proceso necesario, en las aplicaciones

computarizadas, el proceso se efectúa electrónicamente dentro de la memoria del

computador mediante procedimientos programados y siguiendo reglas

predeterminadas.

CARACTERÍSTICAS DE LA AUDITORÍA TECNOLÓGICA

Según (GÓMEZ, 2013), la información de la empresa y para la empresa, se ha

convertido en un activo real de la misma, por ende, han de realizarse inversiones

informáticas, materia de la que se ocupa la Auditoría de Inversión Informática.

De la misma manera, los Sistemas informáticos o tecnológicos han de protegerse

de modo global y particular, a ello se debe la existencia de la Auditoría de Seguridad

Informática en general, cuando se producen cambios estructurales en la

Informática, se reorganiza de alguna forma su función; se está en el campo de la

Auditoría de Organización Informática o Tecnológica. Estos tres tipos de auditoría

engloban a las actividades auditoras que realizan en una auditoria parcial.

22

NORMAS TÉCNICAS SOBRE EJECUCIÓN DEL TRABAJO

PLANIFICACIÓN

Toda auditoría antes de comenzar siempre se debe planificar y alguien que no haya

participado en la planificación debe supervisar el plan. La planificación de la

auditoría supone desarrollar una estrategia global basada en el objetivo y en el

alcance del trabajo que se haya encargado al auditor. Las fases para elaborar el

plan serían:

1. Análisis General de riesgo: En este análisis el auditor debe tener conocimiento

general del sector en el que se desenvuelve la empresa, del tipo de actividad y

de la empresa en sí; de esta manera podrá determinar en primera instancia las

áreas donde el riesgo es mayor. El auditor debe utilizar técnicas de evaluación

tanto a la hora de desarrollar el plan global de la auditoría como a la hora de

planificar una auditoría concreta. (VALLABHANENI, 2007)

2. Desarrollo de un Plan Global relativo al ámbito y a la realización de la auditoría:

Una vez evaluado el riesgo de la entidad que se va a auditar, se elabora el plan

global, en este se reflejan las decisiones iniciales del auditor con respecto a los

principios, normas técnicas y demás legislación que se va a tener en cuenta en

el trabajo de auditoría. (INSTITUTO MEXICANO DE CONTADORES

PÚBLICOS, 2013)

3. Preparación del programa de auditoría: El auditor deberá preparar un programa

escrito en el que establezcan, bien detallados, los objetivos y los

procedimientos que se precisen para llevar a cabo el plan global de auditoría.

A medida que vaya progresando la auditoría, el auditor deberá ir revisando

tanto el plan global como los programas parte del plan de auditoría. (PELAZAS,

2015)

En la fase de planificación deben quedar claras las siguientes interrogantes:

23

¿Dónde se va a realizar el trabajo?

¿En cuánto tiempo se va a realizar?

¿En qué fecha es necesario que esté terminado el trabajo?

¿Quién compone el equipo de auditoría?

¿Qué áreas se van a auditar?

Es decir, el auditor deberá planificar el trabajo de forma adecuada a fin de identificar

los objetivos de cada área de la auditoría y determinar los métodos para alcanzar

esos objetivos de manera eficaz y eficiente.

ESTUDIO Y EVALUACIÓN DEL SISTEMA DE CONTROL INTERNO

Se deberá estudiar y evaluar adecuadamente el control interno. En el campo de la

auditoría tanto interna como externa de sistemas informáticos se suelen dividir los

controles en: controles generales y controles de aplicaciones. Los controles son

fundamentales para conseguir la seguridad informática.

CONTROLES

“Es el conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y

actitudes de las empresas y para ello permite verificar si todo se realiza conforme

a los programas adoptados, órdenes impartidas y principios admitidos” (NARANJO,

2006)

1. Controles generales.

Los controles generales de los sistemas informáticos, a su vez, se pueden

dividir en cinco categorías:

24

a. Controles de la Organización

La entidad deberá segmentar las distintas funciones y tareas entre el

personal del Centro de Proceso de Datos (C.P.D) y los usuarios, evitando

que funciones o tareas incompatibles las realice una misma persona. Por

ejemplo se debe prohibir al personal de C.P.D. que realice cualquier tipo

de transacción.

b. Controles sobre el desarrollo de los sistemas y su documentación.

Estos controles suponen que los nuevos sistemas y las modificaciones

de los existentes se deben revisar sometiéndolos a un lote de pruebas,

aceptándolos, en el caso de que hayan superado las pruebas. Los

manuales deberán ser actualizados, revisados y aprobados antes de

ponerlos en circulación. La persona o personas que realicen la función

de desarrollo o actualización deben ser distintas a las que revisen y

aprueben los sistemas y los manuales.

c. Controles sobre el software del sistema y sobre el hardware

Se deberán implantar funciones que detecten errores automáticamente,

tanto en el software como en el hardware. Se harán revisiones periódicas

con el objetivo de prevenir estos errores. Es conveniente elaborar

procedimientos escritos de como a de actuar el personal en el caso de

que ocurra cualquier tipo de fallo.

d. Controles de acceso.

Estos se implantan con el objetivo de prevenir o detectar errores

deliberados o accidentales, que sean consecuencia del uso o de la

manipulación inadecuada de los ficheros de datos, del uso incorrecto o

no autorizado de los programas informáticos o por la utilización

inadecuada de los recursos informáticos. (CASTELO, 2006)

25

2. Controles sobre las aplicaciones

Una primera aproximación de los controles los que hay que someter a las

aplicaciones podría ser la que los clasifica en tres categorías: entrada, salida

y proceso. (PELAZAS, 2015)

a. Controles de las entradas.

Estos controles se deben diseñar e implantar para que actúen sobre las

transacciones de altas, sobre el mantenimiento de archivos, sobre la

consulta de datos y en las funciones de corrección de errores.

b. Controles del proceso

Normalmente se incluyen en los programas de las aplicaciones. Se

diseñan para prevenir o detectar fallas al procesar las entradas de

transacciones. También estos controles deberían detectar la posibilidad

de que se puedan actualizar archivos que no se correspondan con la

aplicación o con el programa en cuestión.

c. Controles de salida

Estos controles se implantan para asegurar que el resultado del proceso

es el adecuado y además, que esos resultados sólo llegan a personas

que estén autorizados a tal efecto.

IMPLANTACIÓN DE UN SISTEMA DE CONTROLES INTERNOS

INFORMÁTICOS

Los controles pueden implantarse a varios niveles diferentes. Para llegar a conocer

la configuración del sistema es necesario documentar los detalles de la red, así

como los distintos niveles de control y elementos relacionados:

26

Entorno de red: esquema de la red, descripción de la configuración hardware

de comunicaciones, descripción del software que se utiliza como acceso a las

telecomunicaciones, control de red, situación general de los computadores de

entornos de base que soportan aplicaciones críticas y consideraciones relativas

a la seguridad de la red

Configuración del computador base: configuración del soporte físico, entorno

del sistema operativo, software con particiones, bibliotecas de programas y

conjunto de datos

Entorno de aplicaciones: procesos de transacciones, sistemas de gestión de

bases de datos y entornos de procesos distribuidos

Productos y herramientas: software para desarrollo de programas, software de

gestión de bibliotecas y para operaciones automáticas.

Seguridad del computador: identificar y verificar usuarios, control de acceso,

registro e información, integridad del sistema, controles de supervisión, etc.

(PIATTINI y otros, 2008)

METODOLOGÍA DE TRABAJO DE LA AUDITORÍA INFORMÁTICA

En resumen podemos indicar lo siguiente:

“El método de trabajo del auditor pasa por las siguientes etapas:

Alcance y Objetivos de la Auditoría Informática

Estudio inicial del entorno auditable

Determinación de los recursos necesarios para realizar la auditoría

Elaboración del plan y de los Programas de Trabajo

27

Actividades propiamente dichas de la auditoría

Confección y redacción del Informe Final

Redacción de la carta de introducción” (MUÑOZ, 2002)

EJECUCIÓN DE LA AUDITORÍA INFORMÁTICA

Según (PARDO, 2008) La ejecución de la auditoría Informática consiste

principalmente en la recolección de información y evidencias suficientes, para

fundamentar los comentarios, conclusiones y recomendaciones con respecto a la

Gestión tecnológica, lo cual se realiza utilizando diversas técnicas como las

siguientes:

Entrevistas

Simulación

Cuestionarios

Análisis de la información documental entregada por el auditado

Revisión y Análisis de Estándares

Revisión y Análisis de la información de auditorías anteriores

El análisis de esta información deberá ser realizado utilizando el criterio profesional

adquirido por la experiencia del equipo encargado del Proyecto de Auditoría,

identificando cuando las evidencias obtenidas son suficientes para evidenciar el

adecuado conocimiento de la entidad. (ARGUELLES, 2011)

28

La información recabada debe ser completa y detallada para que pueda ser

comprendida por el equipo de auditoría y permita la obtención de comentarios,

conclusiones y recomendaciones, mediante su revisión.

CICLO DE VIDA DE LA AUDITORÍA INFORMÁTICA

El proceso de la auditoría implica diversas etapas en las que el auditor ha de seguir

cumpliendo las normas de auditoría para que éste pueda emitir una opinión

profesional sobre lo que está auditando. (PIATTINI, 2008)

El modelo del proceso para realizar las auditorías sigue un ciclo continuo de

actividades: planificar, ejecutar, revisar y corregir.

INICIO

Este acto se concreta en la primera entrevista con los responsables de la

Institución. Se debe solicitar un inventario de los recursos que se va a auditar para

hacerse una idea de la extensión y así poder presupuestar el trabajo de auditoría.

29

Ilustración 3: Ciclo de vida de una auditoría Elaborado por: Andrea Mejía

FASE DE PLANIFICACIÓN

En esta etapa se define las actividades necesarias para la ejecución, es decir se

identifica las razones por las que se va a realizar la auditoria y determinación del

objeto de la misma, así como el diseño de métodos, técnicas y procedimientos que

se llevan a cabo para la elaboración documental de planes, programas y

presupuestos para dicha auditoria (MUÑOZ, 2002)

Se utiliza para asegurarse que el alcance y el contexto de la auditoría se han

establecido correctamente, que todos los riesgos se han identificado y se han

cuantificado, que se asignan los recursos necesarios para que se pueda realizar la

auditoría.

Inicio

Planificar

Corregir

Revisar

Ejecutar

Fin

Entrevista Inicial Inventario de Recursos

Contrato o carta de encargo

Planificación Estratégica Planificación administrativa

Planificación técnica técnicaUUVVVVVV

Realizar pruebas de cumplimiento

Realizar pruebas sustantivas

Elaborar informes

Distribuir Informes

Revisar los papeles de

trabajo

Reorganizar y archivar

papeles de trabajo

30

FASE DE EJECUCIÓN

La fase de ejecución está determinada por las características concretas, los puntos

y requerimientos, que se estimaron en la etapa de planeación. En este inciso solo

se indican los puntos más importantes (SEVILLA, 2012)

Aquí se lleva acabo las decisiones adoptadas, se ejecutan los procedimientos

diseñados en la fase de planificación. No es necesario que esta fase esté terminada

para que se active la fase de revisión.

FASE DE REVISIÓN

El equipo auditor debe comprobar que existe correspondencia entre los riesgos

documentales y el plan de acción propuesto. Esta verificación se puede realizar

utilizando técnicas de muestreo, si bien es cierto que no es objetivo de esta fase

analizar los registros, si se debe comprobar que al menos estos existan. (MERINO,

2014)

El trabajo de auditoría se debe revisar, hay que asegurarse de las debilidades que

se hayan detectado, se debe informar al auditorio de las debilidades y de las

mejoras necesarias para prevenir o eliminar esas debilidades.

FIN

En esta fase la auditora debe integrar perfectamente los papeles de trabajo, ya que

servirán en caso de aclaraciones posteriores y para dar seguimiento a las

soluciones de las desviaciones encontradas. (MERINO, 2014)

En un momento determinado se concluye el trabajo y el ciclo se interrumpe. Es el

momento de organizar y archivar los papeles de trabajo de tal forma que se puedan

reutilizar y localizar en el futuro, si fuera necesario.

31

COBIT HISTORIA Y EVOLUCIÓN DEL COBIT

El proyecto COBIT se emprendió por primera vez en el año 1995, con el fin de crear

un mayor producto global que pudiese tener un impacto duradero sobre el campo

de visión de los negocios, así como sobre los controles de los sistemas de

información implantados. La primera edición del COBIT, fue publicada en 1996 y

fue vendida en 98 países de todo el mundo. La segunda edición (tema de estudio

en este informe) publicada en Abril de 1998, desarrolla y mejora lo que poseía la

anterior mediante la incorporación de un mayor número de documentos de

referencia fundamentales, nuevos y revisados (de forma detallada) objetivos de

control de alto nivel, intensificando las líneas maestras de auditoría, introduciendo

un conjunto de herramientas de implementación, así como un CD-ROM

completamente organizado el cual contiene la totalidad de los contenidos de esta

segunda edición.(CHICAIZA, 2011)

EVOLUCIÓN DEL PRODUCTO COBIT

El COBIT evolucionará a través de los años y será el fundamento de

investigaciones futuras, por lo que se generará una familia de productos COBIT. Al

ocurrir esto, las tareas y actividades que sirven como la estructura para organizar

los Objetivos de Control de TI, serán refinadas posteriormente, siendo también

revisado el balance entre los dominios y los procesos a la luz de los cambios en la

industria. (PARDO, 2008)

Una temprana adición significativa visualizada para la familia de productos COBIT,

es el desarrollo de las Guías de Gerencia que incluyen Factores Críticos de éxito,

Indicadores Clave de Desempeño y Medidas Comparativas. Los Factores Críticos

de Éxito, identificarán los aspectos o acciones más importantes para la

administración y poder tomar, así, dichas acciones o considerar los aspectos para

lograr control sobre sus procesos de TI. Los Indicadores Clave de Desempeño

proporcionarán medidas de éxito que permitirán a la gerencia conocer si un proceso

de TI está alcanzando los requerimientos de negocio. La Medidas Comparativas

32

definirán niveles de madurez que pueden ser utilizadas por la gerencia para:

determinar el nivel actual de madurez de la empresa; determinar el nivel de

madurez que se desea lograr, como una función de sus riesgos y objetivos; y

proporcionar una base de comparación de sus prácticas de control de TI contra

empresas similares o normas de la industria. Esta adición proporcionará

herramientas a la gerencia para evaluar el ambiente de TI de su organización con

respecto a los 34 Objetivos de Control de alto nivel de COBIT. (PELAZAS, 2015)

En definitiva, la organización ISACF (Information Systems Audit and Control

Foundation) espera que el COBIT sea adoptado por las comunidades de auditoría

y negocio como un estándar generalmente aceptado para el control de las

Tecnologías de la Información

FUNCIÓN BÁSICA Y ORIENTACIÓN DEL COBIT.

Según (NARVAEZ, 2012) El COBIT, es una herramienta de gobierno de las

Tecnologías de la Información que ha cambiado de igual forma que lo ha hecho el

trabajo de los profesionales de TI. La ISACF, organización creadora de esta norma

COBIT (Information Systems Audit and Control Fundation), así como sus

patrocinadores, han diseñado este producto principalmente como una fuente de

instrucción para los profesionales dedicados a las actividades de control. La

definición que nos ofrece el sumario ejecutivo del COBIT (Control Objetives for

Information and related Tecnology: Gobierno, Control y Revisión de la Información

y Tecnologías Relacionadas) es la siguiente:

La misión del COBIT: buscar, desarrollar, publicar y promover un autoritario y

actualizado conjunto internacional de objetivos de control de tecnologías de la

información, generalmente aceptadas, para el uso diario por parte de gestores de

negocio y auditores.

Dicho de una forma menos formal, señalaremos que el COBIT ayuda a salvar las

fisuras existentes entre los riesgos de negocio, necesidades de control y aspectos

técnicos. Además, proporciona "prácticas sanas" a través de un Marco Referencial

33

(Framework) de dominios y procesos, y presenta actividades en una estructura

manejable y lógica. Las “prácticas sanas” del COBIT representan el consenso de

los expertos (ayudarán a los profesionales a optimizar la inversión en información,

pero aún más importante, representan aquello sobre lo que serán juzgados si las

cosas salen mal). (CASTELLO, 2006)

El tema principal que trata el COBIT es la orientación a negocios. Éste, está

diseñado no solo para ser utilizado por usuarios y auditores, sino que en forma más

importante, está diseñado para ser utilizado como una lista de verificación detallada

para los propietarios de los procesos de negocio. De forma creciente, las prácticas

de negocio comprenden la completa autorización de los procesos propios de

negocio, con lo que poseen una total responsabilidad para todos los aspectos de

dichos procesos.

La norma COBIT, proporciona una herramienta para los procesos propios de

negocio que facilitan la descarga de esta responsabilidad. La norma parte con una

simple y pragmática premisa: En orden de proporcionar la información que la

organización necesita para llevar a cabo sus objetivos, los requisitos de las

tecnologías de la información necesitan ser gestionados por un conjunto de

procesos agrupados de forma natural. La norma continúa con un conjunto de 34

objetivos de control de alto nivel para cada uno de los procesos de las tecnologías

de la información, agrupados en cuatro dominios: planificación y organización,

adquisición e implementación, soporte de entrega y monitorización. Esta estructura,

abarca todos los aspectos de la información y de la tecnología que la mantiene.

(CHICAIZA, 2011)

Mediante la dirección de estos 34 objetivos de control de alto nivel, los procesos

propios de negocio pueden garantizar la existencia de un sistema de control

adecuado para los entornos de las tecnologías de la información. En suma, cada

uno de los 34 objetivos de control de alto nivel correspondiente, es una directiva de

revisión o seguridad para permitir la inspección de los procesos de las tecnologías

de la información en contraste con los 302 objetivos de control detallados en el

COBIT para el suministro de una gestión de seguridad, así como de un aviso para

34

la mejora. La norma COBIT contiene un conjunto de herramientas de

implementación el cual aporta una serie de lecciones de aprendizaje, con las que

las organizaciones podrán aplicar de forma rápida y satisfactoria esta norma a sus

entornos de trabajo. (SOBRINOS, 2010)

Ilustración 4: El Cubo de COBIT

Fuente: It Governance Institute, Cobit 4.1. (2007), www.itgi.org, http://www.isaca.org/Knowledge‐Center/cobit/Documents/cobiT4.1spanish.pdf

Para gobernar efectivamente TI, es importante determinar las actividades y los

riesgos que requieren ser administrados. Normalmente se ordenan dentro de

dominios de responsabilidad de plan, construir, ejecutar y Monitorear. COBIT define

las actividades de TI en un modelo de 34 procesos genéricos agrupados en 4

dominios:

Planear y Organizar (PO): Estrategias y tácticas. Identificar la manera en que

TI pueda contribuir de la mejor manera al logro de los objetivos del negocio.

Proporciona dirección para la entrega de soluciones (AI) y la entrega de

servicio (DS).

Adquirir e Implementar (AI): Identificación de soluciones, desarrollo o

adquisición, cambios y/o mantenimiento de sistemas existentes. Proporciona

las soluciones y las pasa para convertirlas en servicios.

35

Entregar y Dar Soporte (DS): Cubre la entrega de los servicios requeridos.

Incluye la prestación del servicio, la administración de la seguridad y de la

continuidad, el soporte del servicio a los usuarios, la administración de los

datos y de las instalaciones operacionales. Recibe las soluciones y las hace

utilizables por los usuarios finales.

Monitorear y Evaluar (ME): Todos los procesos de TI deben evaluarse de

forma regular en el tiempo en cuanto a su calidad y cumplimiento de los

requerimientos de control. Este dominio abarca la administración del

desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la

aplicación del gobierno. Monitorear todos los procesos para asegurar que se

sigue la dirección provista. (NARVAEZ, 2012)

CONTEXTO DEL DESARROLLO TECNOLÓGICO

El tema de la gestión tecnológica ha tomado gran relieve en América Latina,

introduciendo nuevas preocupaciones e ideas en torno al desarrollo científico y

tecnológico de los países de la región (Ávalos, 1990). En particular, ha llamado la

atención el papel que juega la investigación científica en este proceso, haciendo

evidente la necesidad de que el Gobierno, las empresas públicas y privadas, las

universidades y otras instituciones de investigación, se convenzan de su

importancia para alcanzar un desarrollo autónomo y sostenible. Además, se han

identificado ciertos fenómenos que se presentan en la región y que caracterizan la

investigación científica y tecnológica. (CAMPO, 2012)

En primer lugar, aunque en muchas universidades se realiza investigación, apenas

en los últimos años se ha dado alguna relación directa entre la academia y las

necesidades reales de producción. En segundo lugar, solo a partir de 1980, los

Gobiernos de los países de la región plantearon de manera expresa políticas de

ciencia y tecnología como componente del plan de desarrollo general. En tercer

lugar, usualmente la industria de la región ha brindado poca atención a las tareas

de investigación (JARAMILLO, 2010).

36

TECNOLOGÍA

La tecnología es el conjunto de conocimientos científicos y empíricos, habilidades,

experiencias y organización requeridos para producir, distribuir, comercializar y

utilizar bienes y servicios. Incluye tanto conocimientos teóricos como prácticos,

medios físicos, know-how, métodos y procedimientos productivos, gerenciales y

organizativos, entre otros, así como la identificación y asimilación de éxitos y

fracasos anteriores, la capacidad y destrezas de los recursos humanos, etc.

Desde otro punto de vista, la tecnología, además, puede entenderse como la

actividad de búsqueda de aplicaciones a conocimientos existentes. Los

conocimientos científicos y tecnológicos presentan características diferentes. Los

primeros son más complejos, surgen de la observación y el análisis y tratan de

suministrar conjuntos de conceptos cada vez más abarcadores y, a su vez, en la

medida de lo posible más sencillos con respecto a los fenómenos, sus vínculos y

sus variaciones, así como sus causas y consecuencias. Los conocimientos

tecnológicos consisten en nuevos procedimientos por medio de los cuales se

alcanzan fines prácticos; pueden considerarse como el conocimiento de los

procedimientos probados por los cuales se alcanzan objetivos predeterminados.

Los avances científicos consisten en explicaciones teóricas nuevas o mejoradas

sobre determinados fenómenos.

Los conocimientos tecnológicos se incorporan en diversos objetos:

• En objetos (hardware): materiales, maquinarias, equipos.

• En registros (software): procedimientos, manuales, bancos de datos.

• En el hombre (humanware): conocimientos, habilidades.

• En instituciones (orgware): estructuras y formas organizativas,

interacciones, experiencia empresarial.

37

GESTIÓN TECNOLÓGICA

La Gestión Tecnológica (GT), se concibe como el proceso de administrar el

desarrollo de la tecnología, su implementación y difusión en los sectores industrial,

público y privado y en la sociedad en general. Además, implica el manejo del

proceso de innovación a través de la Investigación y Desarrollo (I+D), lo cual incluye

la introducción y uso de tecnología en productos, en procesos industriales, y en

otras áreas estructurales y funcionales de la empresa, así como también la

utilización de este conocimiento en la solución de los diferentes problemas de la

sociedad, del ser humano y del medio ambiente. Es una poderosa herramienta que

se debe enmarcar dentro de los procesos generales de innovación desarrollados

en las organizaciones. (NARVAEZ, 2012)

El control del recurso tecnológico proporciona una ventaja competitiva a las

organizaciones, sobre todo en aquellas en las que se integra en la estrategia

general de la propia empresa. Y esto es mucho más importante para el caso de

organizaciones dedicadas a la generación de productos o servicios en sectores de

alta tecnología en las que el periodo de validez de una tecnología concreta (en

términos de adecuación y rendimiento comparativo con otras competidoras) es

cada vez más reducido (ciclos de producto más cortos). (CHICAIZA, 2011)

La gestión tecnológica es conocimiento y es una práctica. Es un sistema de

conocimientos y prácticas relacionados con los procesos de creación, desarrollo,

transferencia y uso de la tecnología.

Según la fundación COTEC, “la Gestión de la tecnología incluye todas aquellas

actividades que capacitan a una organización para hacer el mejor uso posible de

la ciencia y la tecnología generada tanto de forma externa como interna. Este

conocimiento conduce hacia una mejora de sus capacidades de innovación, de

forma que ayuda a promocionar la eficacia y eficiencia de la organización para

obtener ventajas competitivas”.

38

TIPOS DE TECNOLOGÍA

Podemos encontrar dos tipos de clasificación, desde el punto de vista estratégico

a y desde el punto de vista de su utilización en un determinado proyecto de la

organización.

Tabla 2 Tipos de Tecnología

Desde el punto de vista estratégico

Tecnologías clave Son aquellas que la empresa domina completamente y que hacen que mantenga una posición de dominación relativa frente a sus competidores en un cierto mercado (sector) y tiempo

Tecnologías básicas

Son aquellas tecnologías consolidadas que se requieren para el desarrollo de los productos de la organización pero que no supone ninguna ventaja competitiva porque también son perfectamente conocidas por los competidores

Tecnologías emergentes

Son aquellas tecnologías inmaduras (posiblemente en las primeras fases de su desarrollo) en las que la empresa que consideramos está apostando como base para constituirse en tecnologías clave si sus desarrollos satisfacen las expectativas puestas en ellas. Se asume con ellas un riesgo elevado.

Desde el punto de vista de un proyecto

Imprescindibles

Cuando sin ellas no se puede realizar. Si estas tecnologías no se conocen (o no suficientemente) en la organización deberán adoptarse las medidas adecuadas para incorporarlas a la organización.

Convenientes Cuando el proyecto se realizaría mejor en el caso de disponer de ellas

Auxiliares Cuando tienen un papel secundario y se puede realizar el proyecto sin ellas. Estas pueden ahorrar tiempo y coste pero afectan poco a las prestaciones del sistema

Elaborado por: Andrea Mejía

La capacidad competitiva de la empresa queda determinada por dos factores:

Los externos que dicen la relación con el sector de la actividad a la que

pertenece la empresa, contexto y a las característica de la política

39

económica que le afecta son el mercado de trabajo, la política industrial y el

sistema fiscal.

Los internos que se vinculan a la actuación de la propia empresa y dependen

de su capacidad de dirección para consolidar la gestión e innovación

tecnológica y las capacidades existentes en su interior para generar

competencias.

La Gestión Tecnológica es un factor importante de competitividad por todo lo que

ella representa para la organización a nivel de la empresa en particular no basta

para alcanzar la competitividad plena, pues esta última es sistémica.

GESTIÓN TECNOLÓGICA: CONSULTORÍA Y AUDITORÍA INFORMÁTICA.

Por otra parte la gestión tecnológica se divide en dos partes que resultan

fundamentales para el correcto funcionamiento y empleo de las nuevas tecnologías

que, supuestamente, han llegado para facilitar el trabajo. Por un lado se

encuentra la consultoría informática, que se encarga de la planificación de los

programas. La misma debe estar pendiente de todas las posibles aplicaciones que

posee cada programa elegido por la administración de las empresas, para así poder

determinar cuál será el más indicado para aplicar según sus funciones. (PIATTINI,

2008)

La otra parte de la gestión tecnológica se trata de la auditoría informática, la cual

se encarga de llevar a cabo la ejecución de los programas tecnológicos y el control

de los mismos. Además, la persona que oficia de auditor informático (los auditores

informáticos siempre serán internos ya que una empresa no se puede arriesgar a

que una persona del ambiente externo manipule los sistemas de información) debe

estar capacitada para la resolución de todos los problemas que puedan

presentarse, no solo en los sistemas de información, sino que también, en el resto

de los recursos tecnológicos con los que cuenta una empresa.

40

Como bien dijimos al principio del artículo, la tecnología es una de las razones

principales por la cual, el desempeño y desarrollo de las empresas, va avanzando

a pasos agigantados, especialmente cuando se trata de las pequeñas y medianas

empresas, y es por ello, que aunque no se cuenten con los recursos económicos

necesarios como para poder llevar a cabo la gestión tecnológica correspondiente,

de alguna u otra manera la misma debe hacerse presente en toda empresa que

posea recursos tecnológicos. (PIATTINI, 2008)

Además es fundamental poder disminuir al mismo nivel, los riesgos de fallas y

errores que puedan cometer estos sistemas tecnológicos, y preferentemente la

gestión tecnológica debe intentar eliminar dicho riesgo, una pequeña falla, puede

traer como consecuencia la pérdida de toda la información correspondiente a una

empresa, y este es un factor que puede arruinar por completo a la entidad si no se

aplica un método de gestión tecnológica que resulte eficiente, por eso es preciso

que antes de implementar cualquier novedad a su empresa, consulte primero

acerca de todas las ventajas y desventajas que posee.

RELACIÓN DE LA GESTIÓN Y LA TECNOLOGÍA

El management contemporáneo relaciona el factor tecnológico con el sistema

administrativo y la estructura de la organización. En la estructura interna de los

sistemas productivos aparece ahora una nueva unidad organizacional

especializada en la administración de este factor; por tal razón, para analizar la

relación entre gestión y tecnología se hace pertinente determinar el rol que esta

última desempeña. Es posible, de tal modo, diferenciar cuatro tipos de

organizaciones de acuerdo a la forma como la tecnología se involucra dentro de su

estructura: (SEVILLANO, 2009)

Empresas cuyo objetivo principal no es la producción de tecnología como

una mercancía separada, sino que asimila esta como un insumo para ser

empleado en la producción y comercialización de bienes y servicios. En este

caso la generación de tecnología es una actividad desarrollada

41

preferentemente de manera exógena por un laboratorio de investigación o

por un departamento de diseño y desarrollo.

Empresas que basan sus actividades en la tecnología como producto a

comercializar; su producto final es precisamente la tecnología, lo cual implica

procesar conocimientos para producir paquetes tecnológicos y venderlos en

el mercado. Ese conocimiento puede ser científico o empírico, pertenecer a

la empresa o a otros, o incluso ser un bien libre; puede ser original o copiado,

ser una innovación, una adaptación o una mezcla.

Junto con la creatividad, la fuerza de trabajo en las empresas de tecnología requiere

de talentos adicionales a los netamente científicos técnicos. Este tipo de

competencias se reconocen en la Ilustración 4 en la cual se señala el conjunto de

actividades necesario para producir tecnología, permitiendo observar que las tareas

a cargo de los integrantes de la fuerza de trabajo en una empresa que maneja

tecnología son muy variadas.

42

Ilustración 5 Actividades relacionadas con la producción de tecnologías Elaborado por: Andrea Mejía

ESPECIFICACIÓN Y DISEÑO DE LA ESTRATEGIA TECNOLÓGICA

La estrategia tecnológica debe hacer explícitas las opciones tecnológicas de la

empresa y su éxito o fracaso estará basado en la identificación de oportunidades y

en la concentración de recursos en aquellas áreas tecnológicas en las que posea

mejores capacidades internas y que les permitan alcanzar con rapidez la fase de

comercialización.

Se debe tener en cuenta:

El grado de riesgo implícito, que varía desde la aplicación o mejora de

tecnologías existentes hasta el desarrollo de otras completamente nuevas.

ACTIVIDADES

CIENTÍFICO-TÉCNICAS

ACTIVIDADES

ECONÓMICO-

COMERCIALES

ACTIVIDADES DE

PLANIFICACIÓN

Idea / invento

Investigación científica

y técnica

Búsqueda

Dimensionamiento

Diseño

Ingeniería

Planta Piloto

Interacción con

producción

Reconocimiento de

posibilidades

comerciales

Investigación

económico – comercial

Dimensionamiento

Especificaciones

Primera etapa de la

comercialización

Desarrollo del mercado

Desarrollo del producto

Patentes / Licencias

Previsión de negocios posibles

Definición de objetivos

Formulación de presupuestos

Decisiones organizativas

Estrategias para distintos plazos

Estrategia de reclutamiento de personal a largo

plazo

43

La intensidad en el esfuerzo tecnológico, que puede variar desde una

investigación exploratoria hasta la completa aplicación industrial.

La distribución del presupuesto destinado a la tecnología entre las diversas

opciones tecnológicas elegidas.

La elección de la posición competitiva para cada tecnología (líder, seguidor,

búsqueda de nichos de mercado, etcétera).

OBJETIVO DE LA GESTIÓN TECNOLÓGICA

La gestión tecnológica tiene como objetivo mejorar la variable tecnológica en la

estrategia global de la empresa y comprende actividades de identificación y

obtención de tecnología, investigación y desarrollo (I+D), adaptación de nuevas

tecnologías, explotación de las tecnologías para la producción de bienes y servicio.

(PIATTINI, 2008)

Se ocupa también de la funciones de vigilancia tecnológica para detectar las

tecnologías de interés para el futuro, del referencia miento (benchmarking), de la

reingeniería y de la tercerización (outsorsing), del análisis de los productos de los

competidores (rereverse engineering), de los derechos de propiedad y

licenciamiento, de las normas y estándares, y de la alianzas estratégicas

CONCLUSIONES PARCIALES DEL CAPITULO

Una vez realizado el marco teórico, y analizado cada uno de sus puntos se ha

llegado a las siguientes conclusiones:

En la actualidad y desde hace mucho tiempo la auditoría de sistemas ha

tomado una importancia relevante en la vida empresarial, ya que no hay

empresa o institución que en estos momento prácticamente dependa de este

mundo de la informática, es por eso que dichas empresas y/o instituciones,

44

tienen que cuidar e invertir muy bien en tecnología, y es la auditoría que les dirá

porque camino ir

En toda institución debe realizarse por lo menos anualmente una auditoría

informática y no esperar a que suceda o fallen los controles para en ese

momento aplicarla, esto evitaría gastos.

La gestión tecnológica de toda institución es la parte medular, una mala

administración o fallas en ellas significan gastos y en muchos casos perdidas

irrecuperables.

Las instituciones deben tener en cuenta que no es la mejor la que más invierte

en tecnología sino la que mejor invierte, y es el departamento de informática

que debe estar asesorando a los gerentes en las adquisiciones,

modernizaciones de tecnologías, para ello es importante el pleno conocimiento

de la tecnología actual.

45

CAPITULO II

MARCO METODOLÓGICO Y PLANTEAMIENTO DE LA PROPUESTA

El Municipio

El Gobierno Autónomo Descentralizado Municipal del Cantón la Concordia, es una

institución que conforma la organización territorial del Estado Ecuatoriano,

organizada y regulada por el artículo 238 de la Constitución de la República del

Ecuador, establece que constituyen Gobiernos Autónomos Descentralizados

(GAD). El Gobierno Autónomo Descentralizado Municipal del Cantón la Concordia

fue aprobado el 5 de febrero de 2012 en el mismo año que se proclamó a La

Concordia como cantón de la provincia de Santo Domingo de los Tsáchilas. El

Gobierno Autónomo Descentralizado Municipal del Cantón la Concordia, se

encuentra ubicado en la Calle Eugenio Espejo y Carchi, cuenta con sus diferentes

departamentos como; la Dirección de Planificación, Equidad y Género,

departamentos como: Dirección Financiera, Administrativa, Comunicación Social

entre otras, que brinda servicios a la sociedad.

Ilustración 6 Edificio del Municipio de la Concordia Fuente: Tomado de http://www.lahora.com.ec/index.php/noticias/show

46

DISEÑO METODOLÓGICO.

La modalidad investigativa que se ha utilizado en el presente proyecto de

investigación es la denominada cuali-cuantitativa. La investigación cualitativa es el

procedimiento metodológico que se caracteriza por entender el conjunto de

cualidades interrelacionadas que caracterizan a un determinado fenómeno, se la

aplico para determinar las características del problema como la imposibilidad tomar

decisiones para compra o actualización de equipos debido a la falta de información

sobre el estado del parque tecnológico y su nivel de apoyo en la entidad municipal

La investigación cuantitativa se caracteriza por recoger, procesar y analizar datos

cuantitativos o numéricos sobre variables previamente determinadas. Dicha

metodología se la aplico para determinar estadísticamente los síntomas de la

problemática.

Los tipos de investigación aplicados son:

Bibliográfica: Este tipo de investigación se la desarrolla en base a la

recopilación de la información de fuentes primarias, se la utilizó para desarrollar

el marco teórico orientado esencialmente a los conceptos básicos de la auditoría

informática, de la metodología Cobit y el control operacional

De Campo: se la lleva a cabo en base a encuestas y entrevistas, se la aplico

para desarrollar el marco metodológico. Se entrevistó al Director del

departamento de Sistemas y se encuesto tanto a los usuarios como a los

empleados

POBLACIÓN Y MUESTRA

La población involucrada en la problemática descrita en el inicio de este trabajo

investigativo está estructurada de la siguiente forma:

47

Tabla 3 Población involucrada en el problema

FUNCIÓN NUMERO

Director del Departamento de

Sistemas

1

Empleados Municipales 39

Usuarios del municipio 10000

TOTAL 10040


Se define como la muestra, a un porcentaje de la población y esta se calcula en

base a la siguiente formula

Población Muestra = ------------------------------------------- Se asume un error del 5% (Población – 1) * Error² + 1 Reemplazando valores se tiene 10040 Muestra = ------------------------------------------- (10040 – 1) * 0,05² + 1 10040 Muestra = ------------------------------------------- (10039) * 0,0025² + 1 10040 Muestra = ------------------------------------------- 26,098 Muestra = 385 La muestra se ha estratificado de la siguiente forma:

48

Tabla 4 Muestra

FUNCIÓN NUMERO

Director del Departamento de

Sistemas

1

Empleados Municipales 34

Usuarios del municipio 350

TOTAL 385


Métodos investigativos

Analítico- Sintético: Método investigativo aplicado para analizar y sintetizar

información para el marco teórico. Se recopilo la información teórica y mediante el

método se logró llegar a la construcción del fundamento teórico

Inductivo-Deductivo. Se indujo una respuesta particular a la problemática para

deducir una solución general a la problemática Municipal del país

Las técnicas de investigación aplicadas fueron:

Entrevista al Director del Departamento de Sistemas y encuestas tanto a

empleados como a usuarios municipales

Los instrumentos utilizados fueron:

Cuestionarios específicos para usuarios y empleados

Guía de entrevista para el Director del Departamento de Sistemas.

49

TABULACIÓN DE RESULTADOS

Luego de realizada la investigación de campo se procedió a tabular los resultados

de las encuestas, los cuales se detallan a continuación.

Encuesta realizada a los empleados Municipales:

Pregunta No 1. ¿Se conoce perfectamente el estado, la ubicación y el responsable

de cada equipo informático de la Municipalidad?

Si…… NO…… Parcialmente……

Tabla 5 Pregunta #1 Encuesta realizada a empleados Municipales

Respuestas Frecuencia Porcentaje

Si 7 21%

No 19 56%

Parcialmente 8 23%

Total 34 100%


Ilustración 7 Pregunta #1 Encuesta realizada a empleados Municipales Elaborado por: Andrea Mejía

Análisis e interpretación: La gran mayoría de los investigados afirma que no se

conoce exactamente la ubicación y los custodios asignados a los diferentes equipos

informáticos con los que trabaja el Municipio

Si21%

No56%

Parcialmente23%

50

Pregunta No 2. ¿Cada que tiempo se realiza una auditoría relacionada con el

hardware y su funcionamiento?

Semestralmente… Anualmente…… Rara vez…… Nunca…



Semestralmente 2 6%

Anualmente 5 15%

Rara vez 11 32%

Nunca 16 47%

Total 34 100%


Ilustración 8 Pregunta #2 Encuesta realizada a empleados Municipales


Análisis e interpretación: De acuerdo a la encuesta, la mayoría afirman que nunca

se ha realizado una auditoria de hardware y su funcionamiento, un porcentaje

intermedio aseguran que rara vez se lo ha realizado, otra parte afirma que

anualmente se ha realizado mientras que un bajo porcentaje señalan que se lo has

realizado semestralmente.

Semestralmente

6%

Anualmente

15%

Rara vez32%

Nunca47%

51


software y su funcionamiento?

Semestralmente… Anualmente…… Rara vez…… Nunca……



Semestralmente 1 3%

Anualmente 3 9%

Rara vez 9 26%

Nunca 21 62%

Total 34 100%


Ilustración 9 Pregunta # 3 Encuesta realizada a empleados Municipales


Análisis e interpretación: Según los resultados obtenidos de la encuesta, un

elevado porcentaje afirma que nunca se ha realizado una auditoria relacionada con

software y su funcionamiento, mientras otros manifiestan que rara vez y en su

minoría anualmente y semestralmente.

Semestralmente

3%

Anualmente

9%

Rara vez26%

Nunca62%

52

Pregunta No 4. ¿Cree usted que se hace un adecuado control del funcionamiento

de las tecnologías de información que apoyan el proceso operativo de la

Institución?

No se hace……. Si se hace……. Se hace parcialmente………….

Tabla 8 Pregunta # 4 Encuesta realizada a empleados Municipales




Análisis e interpretación: Según los resultados obtenidos de la encuesta, un alto

porcentaje de encuestados admiten que, no se hace un adecuado control del

funcionamiento de las tecnologías de información, un porcentaje medio manifiestan

que se hace parcialmente un adecuado control mientras tanto una minoría afirman,

que si se hace un adecuado control de las tecnologías de información.

No se hace65%

Si se hace9%

Se hace parcialmen

te26%


No se hace 22 65%

Si se hace 3 9%

Se hace parcialmente 9 26%

Total 34 100%

53

Pregunta No 5. ¿Considera importante la realización de auditorías informáticas

para mejorar el control del funcionamiento de las tecnologías de información que

apoyan el proceso operativo de la Institución?

Muy importante…. Poco importante……. Nada importante……..

Tabla 9 Pregunta # 5 Encuesta realizada a empleados Municipales




Análisis e interpretación: Según los resultados de la encuesta se puede

manifestar que gran parte de los encuestados consideran muy importante la

realización de una auditoria informática, por otra parte existe un bajo porcentaje

que consideran poco importante la realización de una auditoría informática mientras

tanto una poca minoría declaran nada importante la realización de una auditoría

informática.

Muy importante

85%

Poco importante

12%

Nada importante

3%


Muy importante 29 85%

Poco importante 4 12%

Nada importante 1 3%

Total 34 100%

54

Pregunta No 6. ¿Está usted dispuesto a colaborar y a proveer información durante

la realización de estas auditorías?

Si…… No……. Parcialmente……..

Tabla 10 Pregunta # 6 Encuesta realizada a empleados municipales




Análisis e interpretación: La mayoría de encuestados indican que estarían

dispuestos a proveer información para la ejecución de la auditoria mientras que una

pequeña parte expresaron que lo realizaran parcialmente y por ultimo una mínima

parte de los encuestados dijeron que no

Si91%

No3%

Parcialmente6%


Si 31 91%

No 1 3%

Parcialmente 2 6%

Total 34 100%

55

Encuesta realizada a los usuarios Municipales:

Pregunta No 1. ¿Considera usted que el Municipio está fuertemente apoyado por

las tecnologías en su atención al usuario?

Si…. No…… Parcialmente……..

Tabla 11

Pregunta # 1 Encuesta realizada a usuarios Municipales


Si 29 9%

No 198 59%

Parcialmente 108 32%

Total 335 100%


Ilustración 13 Pregunta # 1 Encuesta realizada a usuarios Municipales


Análisis e interpretación:

Según los resultados de la encuesta se puede manifestar que gran parte de los

encuestados consideran que no está apoyado por las tecnologías en su atención al

usuario, por otra parte existe un mediano porcentaje que consideran que lo está

parcialmente, mientras tanto una minoría manifiestan positivamente

Si9%

No59%

Parcialmente32%

56

Pregunta No 2. ¿Durante sus visitas al Municipio, ha sufrido demoras en su

atención debido a daños en los equipos informáticos?

Nunca…. Rara vez…. A veces…. Frecuentemente…….

Tabla 12 Pregunta # 2 Encuesta realizada a usuarios Municipales


Nunca 67 20%

Rara vez 131 39%

A veces 105 31%

Frecuentemente 32 10%

Total 335 100%




Análisis e interpretación: Según los resultados obtenidos de la encuesta, un

grupo de encuestados afirman que rara vez han sufrido demoras en atención por

daños en equipos, mientras otros manifiestan que ha ocurrido a veces y en su

minoría nunca y frecuentemente han tenido inconvenientes .

Nunca 20%

Rara vez39%

A veces31%

Frecuentemente10%

57

Pregunta No 3. ¿Cree usted que deben mejorase los equipos informáticos?

Si… No…… Parcialmente…….

Tabla 13 Pregunta # 3 Encuesta realizada a usuarios Municipales


Si 103 31%

No 99 29%


Total 335 100%


Ilustración 15 Pregunta # 3 Encuesta realizada a usuarios Municipales Elaborado por: Ing. Andrea Mejía

Análisis e interpretación: Revisando los resultados de las encuestas podemos

observar que en su mayoría concuerdan con el mejoramiento de los equipos

informáticos, muestras el grupo restante están entre que sí y no.

Si31%

No29%

Parcialmente

40%

58

Pregunta No 4. ¿Se han incorporado nuevos servicios apoyados por la tecnología?

Algunos……. Muy pocos…….. Ninguno……..

Tabla 14

Pregunta #4 Encuesta realizada a usuarios Municipales


Algunos 59 18%

Muy pocos 187 56%

Ninguno 89 26%

Total 335 100%




Análisis e interpretación: En el resultado de la presente encuesta podemos notar

que en su mayoría revelan que se han incorporado nuevos servicios apoyados por

la tecnología mientras que un pequeño grupo mencionan que ninguno ha sido

incorporado y por ultimo tenemos a una minoría que declaran haber incorporado

algunos servicios nuevos apoyados a la tecnología

Algunos18%

Muy pocos56%

Ninguno26%

59

Pregunta No 5. ¿Cree usted que el personal está plenamente capacitado para el

manejo de los equipos informáticos?


Tabla 15



Si 159 48%

No 35 10%


Total 335 100%




Análisis e interpretación: Se puede reiterar que el resultado de esta encuesta se

manifiesta que hay un equilibrio entre estar capacitado plenamente en el manejo

de equipos informáticos y las otras dos opciones de estarlo parcialmente y no

estarlo.

Si48%

No10%

Parcialmente

42%

60

Pregunta No 6. ¿Cree usted que se debe mejorar toda la plataforma tecnológica

que dispone el Municipio para la atención a los usuarios?


Tabla 16



Si 179 53%

No 17 5%


Total 335 100%




Análisis e interpretación: Podemos concluir que en su mayoría opinan que debe

mejorar la plataforma tecnológica para atención a usuarios, seguidamente existe

un grupo inferior que lo consideran parcialmente y por ultimo una gran minoría no

lo consideran.

Si53%

No5%

Parcialmente42%

61

Entrevista al Director de Sistemas del Municipio

Pregunta ¿Se han realizado auditorias informáticas en la Institución?

Lamentablemente debo decir que formalmente no se han realizado auditorias

informáticas en la Institución, el hardware se lo arregla o revisa cuando hay una

petición, además el software también se lo revisa cuando deja de funcionar el

equipo o lo hace muy lento.

Pregunta ¿Cree importante la realización de una auditoría informática al

interior del Municipio?

Si, considero que ayudaría mucho al diagnóstico de cómo está funcionando toda la

plataforma tecnológica del Municipio, además ayudaría al control y a la evaluación

de los niveles de manejo informático por parte del personal. También ayudaría en

cuanto al control del nivel de funcionamiento del aparato tecnológico en la calidad

del servicio que presta el Municipio al usuario.

PLANTEAMIENTO DE LA PROPUESTA.

La propuesta de solución a la problemática planteada al inicio de este trabajo

investigativo se esquematiza de la siguiente forma:

Ilustración 19 Propuesta a la solución Problemática


Planificación

Planificación de una auditoría informática relacionada con hardware y software

Ejecución

Desarrollo de la Auditoría informática

Resultados y recomendaciones

Exposición de resultados de la Auditoría y recomedanciones a los mismos

62


Entre las conclusiones del capítulo tenemos:

No se tiene información clara y concreta relacionada con la ubicación de los

equipos y sus custodios.

Nunca se han elaborado auditorias de hardware y software que evalúe el estado

y el funcionamiento de los equipos como de los sistemas.

El Municipio está dando una imagen negativa al utilizar equipos no actualizados,

los cuales fallan en determinados momentos causando molestias a los usuarios.

Se considera que el municipio y su plataforma tecnológica debe modernizarse

ya que no ha incorporado nuevos servicios apoyados por la tecnología.

El personal ve con buenos ojos la realización de una auditoria informática y está

presto a colaborar con la misma

63

CAPITULO III

DESARROLLO DE LA PROPUESTA

Tema

AUDITORÍA DE GESTIÓN INFORMÁTICA EN EL ÁREA DE LAS TECNOLOGÍAS

DE LA INFORMACIÓN PARA EL GOBIERNO AUTÓNOMO DESCENTRALIZADO

(GAD) MUNICIPAL DEL CANTÓN LA CONCORDIA

INTRODUCCIÓN

El GAD Municipal del Cantón La Concordia ha venido sufriendo cambios

estructurales para brindar un mejor servicio a la comunidad. La mayoría de los

recursos utilizados en la informática son críticos y por ende muy necesario, es por

eso que, hay que organizarlos, generando políticas que permitan aprovecharlos y

utilizarlos de la mejor manera, la velocidad con qué, los medios de comunicación

progresa.

La Unidad de computo, ha venido realizando varios proyectos relacionados con el

área informática con el fin de apoyar a las distintas actividades que se desarrollan

dentro de ella, por lo que se vuelve indispensable controlar que se entreguen los

servicios requeridos, que exista una correcta capacitación para su uso y un

adecuado soporte que permita la continuidad de las operaciones en caso de

suscitarse algún tipo de problema o incidente. La auditoría informática se la realiza

con el fin de enmendar fallas en el momento oportuno, que ocasionarían la entrega

de resultados que no sean satisfactorios para el usuario final o fallas en las

operaciones, que podrían provocar la pérdida total de la información.

OBJETIVOS

General

Desarrollar una auditoria informática enfocada esencialmente a la gestión

tecnológica del GAD Municipal del Cantón La Concordia.

64

Específicos

Diagnosticar la situación actual de todo el ámbito tecnológico de la institución

Elaborar la planificación de la auditoria informática a realizar

Ejecutar la auditoría informática

Emitir el informe final de la auditoría

Organigrama Estructural del GAD municipal del Cantón La Concordia

Ilustración 20: Organigrama funcional del GAD Municipal del Cantón La Concordia

LINEA DE AUTORIDAD

LINEA DE ASESORIA

LINEA DE CORDINACION

CONCEJO MUNICIPAL

COORDINACION

DIRECCION

JEFATURA

COMISIONES CONCEJO ALCALDÍA CONSEJO DE LA

NIÑEZ Y LA ADOLESCENCIA

CONSEJO DE PLANIFICACION

SISTEMA DE

PARTICIPACION

CIUDADANA

CONSEJO DE SALUD

SECRETARIA GENERAL

UNIDAD DE AUDITORIA INTERNA

ASESOR COORDINACION GENERAL

PROCURADURIA UNICA

COMUNICACIÓN SOCIAL

DIRECCION DE PLANIFICACION

DIRECCION DE OBRAS PÚBLICAS

DIRECCION DE GESTION

AMBIENTAL

DIRECCION DE EQUIDAD Y

GÉNERO

DIRECCION DE PARTICIPACIÓN

AVALÚOS Y CATASTROS

DESARROLLO DE INFRAESTRUCTURA

PRESUPUESTOS

UNIDAD DE DESECHOS SOLIDOS

Y CALIDAD AMBIENTAL

EQUIDAD Y GÉNERO

GESTIÓN TERRITORIAL

TECNOLOGIAS DE LA INFORMACION

FISCALIZACION

JUNTA DE PROTECCION

MANEJO AMBIENTAL

DIRECCION ADMINISTRATIVA

DIRECCION FINANCIERA

DIRECCION DE TALENTO HUMANO

SERVICIOS GENERALES

CONTABILIDAD

COMISARÍA MUNICIPAL

TESORERÍA

SEGURIDAD CIUDADANA

PRESUPUESTO

SIMBOLOGÍA

65

DESCRIPCIÓN GENERAL DE LA PROPUESTA

Como se mencionó anteriormente la propuesta de solución al problema planteado

consiste en la elaboración de una Auditoria Informática para el Control de la Gestión

Tecnológica del GAD Municipal del Cantón La Concordia el mismo que ha sido

desarrollado en las siguientes etapas:

Ilustración 21 Estructura de la Propuesta Elaborado por Andrea Mejía

DESARROLLO DE LA PROPUESTA

Como se mencionó anteriormente la propuesta de solución consiste en llevar a

cabo la auditoria informática desde Agosto 2016 a Marzo del 2017, en base al

esquema anterior esta ha sido realizada en las siguientes etapas:

PLANIFICACION

• Visita preliminar

Determinación de objetivos

Diseñar plan de auditoria

Elaboración de instrumentos

EJECUCION

• Ejecución de actividades planificadas.

Aplicación de instrumentos

Integración de papeles de trabajo

Elaboración de informe preliminar

DICTAMEN

• Análisis de los resultados encontrados

Informe de problemas encontrados

Elaboración del informe final

Presentación del infome

66

DIAGNÓSTICO PREVIO

El GAD Municipal de la Concordia no cuenta con el departamento de cómputo

creado con normas y reglamentos propios, esta es solo una unidad asignada a la

Municipalidad, la cual cuenta con 40 empleados incluido el jefe de la unidad,

aunque ya se cuenta con el proyecto para formarlo y ya se encuentra en el pleno

del Honorable Consejo Universitario, y se espera que para el primer semestre del

año 2017 ya este creado el Departamento de Informática. Es por las razones

previamente mencionada es que se encontraron los síntomas que a continuación

se describe así como los procesos y controles que deben tener en cuenta para

solucionarlos:

Carencia de planes de contingencia para la seguridad de los equipos.

Realizada el diagnóstico inicial en lo relacionado a la seguridad de los equipos se

pudo concluir que no se tiene previsto un plan general de contingencias orientado

a preservar la seguridad de información en cada equipo. Esto significa que no se

han generado políticas relacionas con el cuidado que debe tener cada usuario en

cuanto al manejo de su computador. No se ha socializado algunas sugerencias

realizadas por parte de los miembros del centro de cómputo hacia cada uno de los

usuarios de la institución. Esto implica que algunos usuarios toman la iniciativa

relaciona con la seguridad pero de manera empírica mientras que la gran mayoría

no toma en cuenta ningún proceso de seguridad.

No se dispone de un plan de mantenimiento de los equipos informáticos

Uno de los factores que han traído serios inconvenientes con la vida útil de los

equipos informáticos han sido el mantenimiento que se les realice, la unidad de

computo dice llevar un control de esta situación pero en las encuestas realizadas

se encontró con otra realidad es decir la unidad de cómputo 100% vigila sus

67

equipos, los departamentos sufren cuando sus equipos se dañan, en muchos casos

ellos mismos (los custodios) son las que tienen que arreglárselas contratando a

terceros para que le solucionen los problemas, lo cual ha implicado en la pérdida

del equipo o en otros casos darle de baja a los mismos.

Existe software la cual no posee licencia.

Otro de los problemas detectados en el diagnóstico previo, ha sido el que los

computadores de la institución (salvando la unidad de cómputo), no poseen

licencias de los software instalados en ellos, es más siguen instalando cualquier

software que ellos necesiten sin ninguna restricción, la unidad de cómputo no tiene

ningún plan u ordenanzas que evite tal situación.

No existe software libre utilizado en la institución.

En los centro de cómputo, en los departamentos de la Institución no existe software

libre, ellos solo poseen software propietarios para cumplir con sus funciones diarias,

solo la unidad de cómputo trabaja con este tipo de software ya sea en sus

servidores y para el desarrollo de software.

No hay control de Garantías

Las garantías han sido otro problema, ya que en muchos casos dentro del plazo de

las mismas no han cumplido con ellas, prueba de eso es que existen algunos

equipos dañados y prácticamente abandonados, trayendo consigo muchos

problemas, en algunos casos se ha optado por perder la garantía reparándolas el

mismo personal que las utiliza o con ayuda de terceros.

68

No se capacita al personal

El personal que labora dentro de la institución en muchos casos son ellos mismos

que se auto-educan en temas de informática, ya que no existe un plan en el cual

se tome en cuenta esta preparación, solo existe un plan de este tipo para el

personal técnico de la unidad informática.

No se tiene inventario del Hardware (ubicación, características técnicas,

custodio y estado)

En cuanto a esta situación, el departamento que tiene este control es el de

inventario, pero en cuanto al parque tecnológico la unidad de cómputo debería

contar con esta información, la cual no la posee.

Muchos equipos, redes y sistemas tienen deficiencia en cuanto a claves de

seguridad o de acceso, ya que son colocados sin criterio técnico, no son

renovadas y no hay quien las controle.

Desde hace mucho tiempo uno de los bienes que más se cuida es la información y

uno de los pasos para lograrlo es la buena administración de claves de acceso, y

es aquí donde tampoco se tienen políticas definidas para este caso, son los mismos

usuarios que proceden al cambio de claves cuando ellos crean conveniente (puede

pasar años con la misma clave), la unidad de computo solo toma cartas en el asunto

en los sistemas que ellos desarrollen, después cada usuario es libre(sin control) de

colocarle o cambiar las claves de acceso.

69

No está definido el Plan Estratégico de Tecnologías de la Información

Al estar la unidad de cómputo adscrita al GAD Municipal, no cuenta con su propio

plan estratégico de tecnología, lo cual no permite aplicar sus propias estrategias,

ya que solo es prácticamente una oficina, sin sus propios planes.

No existen políticas definidas para la adquisición de nuevas tecnologías.

En cuanto a la adquisición de equipos informáticos, en la actualidad aunque se

manejan con el portal de compras públicas, en muchos casos solo han comprado

equipos sin ver la real necesidad de los departamentos (características de los

equipos), es decir compran los equipos y los usuarios finales solo aceptan lo que le

dan, recordando que no todos tienen las mismas necesidades.

Seguridades físicas deficientes en el Centros de Cómputo y oficinas.

Las seguridades físicas de los departamentos de la Institución así como del centro

de cómputo es totalmente deficiente, no cuenta con puertas de emergencias,

detectores de incendio, extintores o peor aún planes de emergencia, haciéndolos

sumamente peligrosos en un determinado momento que algún siniestro suceda.

PLANIFICACIÓN

En esta etapa se diseñan los instrumentos de evaluación y sus periodos de

ejecución, se planificará la ejecución de la auditoría utilizando la metodología

COBIT

70

ÁREA A AUDITAR

La auditoría planificada está en la Municipalidad del Cantón La Concordia

RECOLECCIÓN DE LA INFORMACIÓN

Por medio de la observación realizada se procedió a la realización de las encuestas

al personal administrativo, autoridades y la entrevista al Jefe de la Unidad de

Cómputo; y así poder determinar con más precisión cuales son los problemas

presentados y poder dar un dictamen más específico.

DOCUMENTOS DE GESTIÓN DEL ÁREA DE INFORMÁTICA

Actualmente la unidad no cuenta con el manual de procedimientos administrativos

informáticos, ni tampoco cuenta con la documentación requerida las cuales son:

Mantenimiento de Equipos de Cómputo.

Un Plan de Contingencias.

Seguridad de datos y equipos de Cómputo.

Inventario del Hardware

PLAN DE LA AUDITORIA

CRONOGRAMA DE ACTIVIDADES

Para el Plan de desarrollo de la Auditoria, se cuenta con el apoyo de las autoridades

de la Municipalidad, solicitando la participación de los principales empleados,

directores y autoridades de la institución para lo cual se ha realizado el siguiente

cronograma de actividades:

71

Ilustración 22 Cronograma de Actividades Elaborado por Andrea Mejía

DESCRIPCIÓN AÑO 2016 2017

AGOSTO SEPTIEMBRE OCTUBRE NOVIEMBRE ENERO FEBRERO MARZO

FASE 1: PLANEACIÓN

Visita Preliminar

Definición de Objetivos

Definición de puntos a evaluar y otros

Elaboración instrumentos de evaluación

FASE 2: EJECUCIÓN

Evaluación de los Procesos

Encuestas al Personal Administrativo

Encuestas al Personal Directivo

Encuestas a las autoridades

Entrevista al Jefe de Informática

Evaluación del equipo Tecnológico

FASE 3: EJECUCIÓN

Análisis de información y discusión de hallazgos

Informe de problemas detectados

Elaboración del Informe Final

Presentación del informe de auditoría

72

HERRAMIENTAS Y TÉCNICAS

Tabla 17

Cuadro de Herramientas

HERRAMIENTAS TÉCNICAS

Cuaderno de apuntes, grabadora,

camara, papel, lapiceros, laptop

Observación, entrevistas y encuestas


MODELOS DE MADUREZ A NIVEL CUALITATIVO (COSO1)

En la siguiente tabla se presenta el impacto de los objetivos de control de COBIT

sobre los criterios y recursos de TI.

La nomenclatura utilizada en los criterios de información para la siguiente tabla es

la siguiente: (P), cuando el objetivo de control tiene un impacto directo al

requerimiento, (S), cuando el objetivo de control tiene un impacto indirecto es decir

no completo sobre el requerimiento, y finalmente ( ) vacío, cuando el objetivo de

control no ejerce ningún impacto sobre el requerimiento, en cambio cuando se

encuentra con (X) significa que los objetivos de control tienen un impacto en los

recursos

1 COSO (Committee of Sponsoring Organizations), modelo de control de negocios, que proporciona un

estándar a partir del cual las grandes empresas evalúan sus procesos, y determinan como mejorar el

desempeño.

73

Tabla 18 Cuadro de Herramientas nivel cualitativo COSO

OBJETIVOS DE CONTROL DE COBIT

CRITERIOS DE INFORMACIÓN DE COBIT RECURSOS DE TI DE

COBIT

EFEC

TIV

IDA

D

EFIC

IEN

CIA

CO

NFI

DEN

CIA

LID

AD

INTE

GR

IDA

D

DIS

PO

NIB

ILID

AD

CU

MP

LIM

IEN

TO

CO

NFI

AB

ILID

AD

PER

SON

AS

INFO

RM

AC

IÓN

AP

LIC

AC

IÓN

INFR

AES

TRU

CTU

RA

PLANEAR Y ORGANIZAR

P01 Definir un plan estratégico de TI

P S X X X X

PO2 Definir la arquitectura de la información S P S X X

PO3 Definir la dirección tecnológica P P X X

PO4 Definir los procesos, organización y

relaciones de TI. P P X

PO5 Administrar la inversión en TI. P P S X X X

PO6 Comunicar las metas y la dirección de la

gerencia P S X X

PO7 Administrar los recursos humanos de TI P P X

PO8 Administrar la calidad P P S S X X X X

PO9 Evaluar y Administrar los riesgos de TI P P P P S S X X X X

PO10 Administrar los proyectos P P S X X X

ADQUIRIR E IMPLEMENTAR

AI1 Identificar las soluciones automatizadas

P S S X X

AI2 Adquirir y mantener software aplicativo P P S S X

AI3 Adquirir y mantener la infraestructura

tecnológica S P S S X

AI4 Facilitar la operación y el uso P P S S S X X

AI5 Procurar recursos de TI S P S X X X

AI6 Administrar los cambios P P P P S X X X X

AI7 Instalar y acreditar solucione y cambios P S S S X X X

ENTREGAR Y DAR SOPORTE

DS1 Definir y administrar los niveles de servicio

P P S S S S X X X

DS2 Administrar los servicios de terceros P P S S S S S X X X X

DS3 Administrar el desempeño y capacidad P P S X X

DS4 Asegurar el servicio continuo P S P X X X X

DS5 Garantizar la seguridad de los sistemas P P S S S X X X X

DS6 Identificar y asignar costos P P X X X

DS7 Educar y entrenar a los usuarios P S X

DS8 Administrar la mesa de servicio y los

incidentes P P X X

74

DS9 Administrar la configuración P S S S X X X

DS10 Administrar los problemas

P P X

DS11 Administrar los datos P P X

DS12 Administrar el ambiente físico S S X X X X

DS13 Administrar las operaciones P P S S X X X X

MONITOREAR Y EVALUAR

ME1 Monitorear y evaluar el desempeño de TI.

P P S S S X X X X

ME2 Monitorear y evaluar el control interno P P S S P S P X X X X

ME3 Garantizar el cumplimiento regulatorio P S X X X X

ME4 Proporcionar gobierno de TI P S P P S S S X X X X


Para tener un porcentaje de los criterios de la información, se asigna un valor para

el impacto primario, de igual forma tendremos un valor para el impacto secundario.

Este porcentaje se establece en base a la propuesta metodológica para el manejo

de riesgos COSO.

Tabla 19 Cuadro de herramientas Metodología para el manejo de riesgos COSO

CALIFICACIÓN IMPACTO PROMEDIO

15% 50% BAJO 32%

51% 75% MEDIO 63%

76% 95% ALTO 86%


RESULTADOS

MODELOS DE MADUREZ DE LOS PROCESOS

A continuación se muestra una ficha por cada uno de los objetivos haciendo un

análisis de los modelos de madurez de COBIT, para determinar el nivel mínimo que

no cumple la Institución que a su vez califica el nivel en dicho objetivo.

75

Tabla 20 Plan Estratégico

DOMINIO: PLANIFICAR Y ORGANIZAR

PO1: Definir el Plan Estratégico de Tecnología de la Información

NIVEL DE

MADUREZ CUMPLE OBSERVACIÓN

0

No existe conocimiento por parte de los

funcionarios de que al existir la planeación

estratégica de TI esta es requerida para dar

soporte a las metas de la institución.

GRADO DE MADUREZ

El proceso de definir el plan estratégico de TI está en

el nivel de madurez 1

OBJETIVOS NO CUMPLIDOS

No existe un plan estratégico de TI y estrategias de

recursos de la Institución.

No se elaboran planes a largo plazo de TI, haciendo

solo actualizaciones, debido a los avances

tecnológicos.

1

La planeación estratégica es discutida en

las reuniones con las autoridades


NO CUMPLE:

2. Las decisiones estratégicas se toman los proyectos en forma individual, sin

estar de acuerdo con una estrategia global de la institución

3. La planeación estratégica de TI sigue un enfoque estructurado, el cual se

documenta y se da a conocer a todo el equipo. Las estrategias de talento

humano, técnicos y financieros de TI influyen cada vez más la adquisición de

nuevos productos y tecnologías

4. Existen procesos bien definidos para determinar el uso de recursos internos y

externos requeridos en el desarrollo y las operaciones de los sistemas

5. Se desarrollan planes realistas a largo plazo de TI y se actualizan de manera

constante para reflejar los cambios en los avances tecnológicos.

RECOMENDACIONES

Para el proceso PO1 de COBIT se establece los siguientes objetivos de control:

76

Elaborar Planes a largo plazo de TI

Tomar decisiones estratégicas

Definir los recursos internos y externos necesarios

Para pasara al nivel de madurez 2 se debe adoptar las siguientes estrategias:

En el Corto Plazo

Valorar el desempeño actual, es decir realizar una evaluación de los planes

existentes, así como de los de los sistemas de información y su impacto de

los objetivos de la Unidad de Informática.

En el largo Plazo:

Crear planes tácticos de TI, que resulten del plan estratégico de TI, estos

planes deben ser bien detallados para poder realizar la definición de planes

proyectados.

Tabla 21 Definición de Arquitectura de la Información


PO2: Definir la Arquitectura de la Información

NIVEL DE


0

Conocen la experiencia y las

responsabilidades necesarias para

desarrollar esta arquitectura no existen en

la organización

GRADO DE MADUREZ

El proceso de definir la arquitectura de la Información

está en el nivel de madurez 1


No se resolvieron las necesidades futuras

realizando el proceso de arquitectura de

información

Aprovechar las habilidades personales para la

construcción de la arquitectura de la información.

1

Las Autoridades están conscientes de la

necesidad de una arquitectura de

información. El desarrollo de algunos

componentes de una arquitectura de

información ocurre de manera ad hoc.


77

NO CUMPLE

2. Las personas obtienen sus habilidades al construir la arquitectura de

información por medio de experiencia práctica y la aplicación repetida de

técnicas

3. Existe una función de administración de datos definida formalmente, que

establece estándares para toda la organización, y empieza a reportar sobre la

aplicación y uso de la arquitectura de la información.

4. El proceso de definición de la arquitectura de la información es proactivo y se

enfoca resolver necesidades futuras de la institución.

5. El personal de TI cuenta con la experiencia y las habilidades necesarias para

desarrollar y dar mantenimiento a una arquitectura de información robusta y

sensible que refleje todos los requerimientos de la institución

RECOMENDACIONES


Desarrollar y mantener la arquitectura de la información

Tener en claro la definición del proceso de la arquitectura de la información

Ser partícipe de la construcción de la arquitectura de la información para

incrementar sus habilidades


En el Corto Plazo

Establecer y mantener un modelo de arquitectura de la información para

facilitar el desarrollo de aplicaciones y actividades de soporte a la toma de

78

decisiones, este modelo será útil para la creación, uso y compartición

óptimas de la información vital.

En el largo Plazo:

Definir e implementar procedimientos para brindar integridad y consistencia

de todos los datos que se encuentran almacenado en formato electrónico,

como base de datos, almacenamiento de datos y archivos.

Tabla 22 Dirección Tecnológica


PO3: Determinar la Dirección Tecnológica

NIVEL DE


0

Hay desconocimiento sobre la importancia

de la planeación de la infraestructura

tecnológica para la entidad.

GRADO DE MADUREZ

El proceso de determinar la dirección tecnológica está

en el nivel de madurez 1


Desarrollar las habilidades para la elaboración del

plan de la infraestructura tecnológica.

Realizar un plan de infraestructura tecnológica.

1

La autoridad reconoce la necesidad de

planear la infraestructura tecnológica. El

desarrollo de componentes tecnológicos y

la implantación de tecnologías

emergentes son ad hoc y aisladas.


NO CUMPLE

2. La evaluación de los cambios tecnológicos se delega a personas que siguen

procesos intuitivos, aunque similares.

3. Existe un plan de infraestructura tecnológica definido, documentado y bien

difundido, aunque se aplica de forma inconsistente

4. El área de informática cuenta con la experiencia y las habilidades necesarias

para desarrollar un plan de infraestructura tecnológica

79

5. La dirección del plan de infraestructura tecnológica está impulsada por los

estándares y avances internacionales, en lugar de estar orientada por los

proveedores de tecnología

RECOMENDACIONES


Elaborar un plan de infraestructura tecnológica.

Impulsar la orientación de la infraestructura tecnológica hacia los

proveedores

No delegar los cambios tecnológicos a personas que no tienen la debida

experiencia

Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:

En el Corto Plazo

Planear la dirección tecnológica, es decir analizar las tecnologías existentes

y emergentes, para tomar en cuenta cual dirección tecnológica es apropiada

para lograr cumplir las estrategias de TI.

En el largo Plazo:

Realizar un proceso de monitoreo de tecnologías, si es posible establecer

un foro tecnológico, para de esta forma brindar directrices tecnológicas.

80

Tabla 23

Definición de Procesos


PO4: Definir los Procesos, la Organización y las Relaciones de TI

NIVEL DE


0

La organización de TI no está establecida

de forma efectiva para enfocarse en el

logro de los objetivos de la institución

GRADO DE MADUREZ

El proceso de definir los procesos, la Organización y las

Relaciones de TI, está en el nivel de madurez 2.


Formular las relaciones con terceros para la TI.

No satisfacer los requerimientos del negocio.

1

La función de TI se considera como una

función de soporte, sin una perspectiva

organizacional general

2

Existe la necesidad de contar con una

institución organizada, pero las decisiones

todavía dependen del conocimiento y

habilidades de individuos clave.


NO CUMPLE

3. Se formulan las relaciones con terceros, incluyendo los comités de dirección,

auditoría interna y administración de proveedores

4. La organización de TI responde de forma pro activa al cambio e incluye todos

los roles necesarios para satisfacer los requerimientos de la institución.

5. La estructura institucional de TI es flexible y adaptable

RECOMENDACIONES


Ser flexible y adaptable a la estructura organizacional de TI

Responder de forma pro activa a los requerimientos de la institución

81

Formular relaciones con terceros como auditoria interna

Para pasara al nivel de madurez 3 se debe adoptar las siguiente estrategias:

En el Corto Plazo

Realizar una evaluación permanente de personal, para así asegurar que el

personal involucrado en las TI sea el pertinente para la función asignada.

En el largo Plazo:

Implantar métodos de supervisión dentro de las funciones de TI para

asegurar que los roles y responsabilidades se ejerzan correctamente

Tabla 24 Administración de la Inversión

DOMINIO: PLANIFICAR Y ORGANIZAR PO5: Administrar la inversión de TI

NIVEL DE


0

No existe conciencia de la importancia de

la selección y presupuesto de las

inversiones en TI. No existe seguimiento o

monitoreo de las inversiones y gastos de

TI.

GRADO DE MADUREZ

El proceso de administrar la Inversión de TI, está en

el nivel de madurez 4.


• Formular las relaciones con terceros para la TI.

1

La institución reconoce la necesidad de

administrar la inversión en TI, aunque esta

necesidad se comunica de manera

inconsistente

2

Existe un entendimiento implícito de la

necesidad de seleccionar y presupuestar

las inversiones en TI.

3

El presupuesto de TI está alineado con los

planes estratégicos de TI. Los procesos de

selección de inversiones en TI y de

presupuestos están formalizados

documentados y comunicados.

4 La responsabilidad y la rendición de

cuentas por la selección y presupuestos de

82

inversiones se asignan a un individuo

específico. Las diferencias en el

presupuesto se identifican y se resuelven.


NO CUMPLE

5. Se utilizan las mejores prácticas de la industria para evaluar los costos por

comparación e identificar la efectividad de las inversiones. Se utiliza el análisis

de los avances tecnológicos en el proceso de selección y presupuesto de

inversiones.

RECOMENDACIONES


Reconocer la necesidad de administrar la inversión en TI.

Utilizar las mejores prácticas para la evaluación de costos de inversión

Documentar y formalizar el presupuesto en TI.


En el Corto Plazo

Incluir un análisis de costos y beneficios a largo plazo del ciclo total de vida

en la toma de decisiones de inversiones.

En el largo Plazo:

Mejorar de forma continua la administración de inversiones en base a las

lecciones aprendidas del análisis del desempeño real de las inversiones.

83

Tabla 25 Identificación de Soluciones Automatizadas

DOMINIO: ADQUIRIR E IMPLEMENTAR AI1: Identificar Soluciones Automatizadas

NIVEL DE


0

La organización no requiere de la

identificación de los requerimientos

funcionales y operativos para el desarrollo,

implantación o modificación de

soluciones, tales como sistemas, servicios,

infraestructura y datos

GRADO DE MADUREZ

El proceso de identificar Soluciones Automatizadas

está en el nivel de madurez 1.


Determinar el proceso para la solución de TI,

según el requerimiento de la organización

Documentación de los proyectos realizados

1

Existe una investigación o análisis

estructurado mínimo de la tecnología

disponible


NO CUMPLE

2. El éxito de cada proyecto depende de la experiencia de unas cuantas personas

clave. La calidad de la documentación y de la toma de decisiones varía de

forma considerable

3. El proceso para determinar las soluciones de TI se aplica para algunos

proyectos con base en factores tales como las decisiones tomadas por el

personal involucrado, la cantidad de tiempo administrativo dedicado, y el

tamaño y prioridad del requerimiento de negocio original.

4. La documentación de los proyectos es de buena calidad y cada etapa se

aprueba adecuadamente.

5. La metodología está soportada en bases de datos de conocimiento internas y

externas que contienen material de referencia sobre soluciones tecnológicas.

84

RECOMENDACIONES

Para el proceso AI1 de COBIT estable los siguientes objetivos de control:

Soportar la metodología de TI en base de datos.

Determinar los procesos para las soluciones de TI.

Explotar la experiencia de los trabajadores para la buena toma de

decisiones.


En el Corto Plazo:

Resaltar, priorizar, especificar los requerimientos funcionales y técnicos,

priorizando el desempeño, el costo, la confiabilidad, la compatibilidad, la

auditoría, la seguridad, la disponibilidad, y continuidad, la ergonomía,

funcionalidad y la legislación.

En el Largo Plazo:

Que exista el alineamiento con las estrategias de la Organización y de TI.

Tabla 26 Adquirir y mantener el Software aplicativo

DOMINIO: ADQUIRIR E IMPLEMENTAR AI2: Adquirir y mantener el Software Aplicativo

NIVEL DE


0

Normalmente, las aplicaciones se obtienen

con base en ofertas de proveedores, en el

reconocimiento de la marca o en la

familiaridad del personal de TI con

productos específicos, considerando poco

o nada los requerimientos actuales.

GRADO DE MADUREZ

El proceso de Adquirir y Mantener Software Aplicativo

está en el nivel de madurez 2.


85

1

Es probable que se hayan adquirido en

forma independiente una variedad de

soluciones individuales para

requerimientos particulares del negocio,

teniendo como resultado ineficiencias en

el mantenimiento y soporte

Dar a conocer el proceso de adquisición y

mantenimiento del Sistema de Información

(software) y aplicaciones.

Determinar la metodología formal para la

documentación del software en uso.

2

Existen procesos de adquisición y

mantenimiento de aplicaciones, con

diferencias pero similares, en base a la

experiencia dentro de la operación de TI.


NO CUMPLE

3. Existe un proceso claro, definido y de comprensión general para la adquisición

y mantenimiento de software aplicativo. Este proceso va de acuerdo con la

estrategia de TI y de la institución.

4. Existe una metodología formal y bien comprendida que incluye un proceso de

diseño y especificación, un criterio de adquisición, un proceso de prueba y

requerimientos para la documentación.

5. El enfoque se extiende para toda la empresa. La metodología de adquisición y

mantenimiento presenta un buen avance y permite un posicionamiento

estratégico rápido, que permite un alto grado de reacción y flexibilidad para

responder a requerimientos cambiantes de la institución

RECOMENDACIONES


Asegurar que el software diseñado sea de calidad.

86

Realizar un diseño detallado, y los requerimientos técnicos del software.

Identificar los requerimientos del negocio para el desarrollo del software.


En el Corto Plazo:

Desarrollar estrategia y planes de mantenimiento del software aplicativo.

En el Largo Plazo:

Garantizar integridad de la información, control de acceso, respaldo y pistas

de auditoría.

Tabla 27 Mantener la Infraestructura

DOMINIO: ADQUIRIR E IMPLEMENTAR AI3: Adquirir y mantener la Infraestructura Tecnológica

NIVEL DE


0

No se reconoce la administración de la

infraestructura de tecnología como un

asunto importante al cual deba ser

resuelto.

GRADO DE MADUREZ

El proceso de Adquirir y Mantener Infraestructura

Tecnológica está en el nivel de madurez 1.


Definir una estrategia para la adquisición y

mantenimiento de la infraestructura.

Organizar y prevenir el proceso de adquisición y

mantenimiento de la infraestructura.

1

Se realizan cambios a la infraestructura

para cada nueva aplicación, sin ningún plan

en conjunto. La actividad de

mantenimiento reacciona a necesidades

de corto plazo.


87

NO CUMPLE

2. La adquisición y mantenimiento de la infraestructura de TI no se basa en una

estrategia definida y no considera las necesidades de las aplicaciones de la

institución que se deben respaldar.

3. El proceso respalda las necesidades de las aplicaciones críticas de la

institución y concuerda con la estrategia de negocio de TI, pero no se aplica en

forma consistente.

4. La infraestructura de TI soporta adecuadamente las aplicaciones del negocio.

El proceso está bien organizado y es preventivo.

5. El proceso de adquisición y mantenimiento de la infraestructura de tecnología

es preventivo y está estrechamente en línea con las aplicaciones críticas de la

institución y con la arquitectura de la tecnología.

RECOMENDACIONES


Crear un plan de adquisición de infraestructura tecnológica.

Garantizar la disponibilidad de la infraestructura tecnológica.

Identificar que necesidades se tiene para adquisición de infraestructura

tecnológica.


88

En el Corto Plazo:

Crear un plan de adquisición de infraestructura tecnológica.

En el Largo Plazo:

Proteger la infraestructura tecnológica mediante medidas de control interno,

seguridad y auditabilidad durante la configuración, integración y

mantenimiento de hardware y software de la infraestructura tecnológica.

Tabla 28 Facilitar operación y uso

DOMINIO: ADQUIRIR E IMPLEMENTAR AI4: Facilitar la Operación y el uso

NIVEL DE


0

No existe el proceso con respecto a la

elaboración de documentación de usuario,

manuales de operación y material de

entrenamiento.

GRADO DE MADUREZ

El proceso de Facilitar la Operación y el Uso está en el

nivel de madurez 1.


Falta generar los materiales de entretenimiento

buscando su calidad.

Garantizar la compañía de estándares para el

desarrollo del proceso.

1

Mucha de la documentación y muchos de

los procedimientos ya caducaron. Los

materiales de entrenamiento tienden a ser

esquemas únicos con calidad variable.


NO CUMPLE

2. Personas o equipos de proyecto generan los materiales de entrenamiento, y la

calidad depende de los individuos que se involucran

3. Se guardan y se mantienen los procedimientos en una biblioteca formal y

cualquiera que necesite saber tiene acceso a ella.

4. Existen controles para garantizar que se adhieren los estándares y que se

desarrollan y mantienen procedimientos para todos los procesos.

89

5. Los materiales de procedimiento y de entrenamiento se tratan como una base

de conocimiento en evolución constante que se mantiene en forma electrónica,

con el uso de administración de conocimiento actualizada, workflow y

tecnologías de distribución, que los hacen accesibles y fáciles de mantener.

RECOMENDACIONES


Control para garantizar adherir los estándares para el mantenimiento de los

procesos.

Desarrollar un plan para realizar soluciones de operación el cual sirva para

identificar y documentar todos los aspectos técnicos, la capacidad de

operación y los niveles de servicio requeridos.


En el Corto Plazo:

Realizar una transferencia de conocimiento a la parte gerencial lo cual

permitirá que estos tomen posesión del sistema y los datos.

En el Largo Plazo:

Mediante la transferencia de conocimientos a los usuarios finales se lograra

que estos usen los sistemas con efectividad y eficiencia para el apoyo a los

procesos de la Organización.

90

Tabla 29 Adquirir Recursos de TI

DOMINIO: ADQUIRIR E IMPLEMENTAR AI5: Adquirir Recursos de TI

NIVEL DE


0 No existe un proceso definido de

adquisición de recursos de TI.

GRADO DE MADUREZ El proceso de Adquirir Recursos de TI está en el nivel de madurez 4. OBJETIVOS NO CUMPLIDOS

Falta de buenas relaciones con algunos proveedores de forma estratégica.

1

Los contratos para la adquisición de

recursos de TI son elaborados y

administrados por personas que ejercen

su juicio profesional más que seguir

resultados de procedimientos y políticas

formales

2 Se determinan responsabilidades y

rendición de cuentas para la

3

La adquisición de TI se integra en gran

parte con los sistemas generales de

adquisición de la institución.

4

La adquisición de TI se integra en gran

parte con los sistemas generales de

adquisición del negocio. Existen

estándares de TI para la adquisición de

recursos de TI.


NO CUMPLE

5. Se establecen buenas relaciones con el tiempo con la mayoría de los

proveedores, y se mide y vigila la calidad de estas relaciones. Se manejan las

relaciones en forma estratégica.

RECOMENDACIONES


Tomar medidas en la administración de contratos y adquisiciones.

91

Establecer buenas relaciones con la mayoría de proveedores.


En el Corto Plazo:

Manejar estratégicamente los estándares, políticas y procedimientos de TI

para adquirir los recursos de TI.

En el Largo Plazo:

Cumplir y hacer cumplir los derechos y obligaciones de ambas partes en los

términos contractuales.

Tabla 30 Administrar niveles de servicios

DOMINIO: ENTREGAR Y DAR SOPORTE

DS1: Definir y Administrar los Niveles de Servicio

NIVEL DE


0 Las autoridades no reconocen la necesidad de un proceso para definir los niveles de

servicio.

GRADO DE MADUREZ El proceso de Definir y Administrar los Niveles de Servicio está en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS

No ordenar los procesos de desarrollo por niveles de servicio.

Realizar reportes de servicio de forma completa y relevante

1

La responsabilidad y la rendición de cuentas sobre para la definición y la

administración de servicios no está

definida.


NO CUMPLE

2. Los reportes de los niveles de servicio están incompletos y pueden ser

irrelevantes o engañosos para los clientes. Los reportes de los niveles de

servicio dependen, en forma individual, de las habilidades y la iniciativa de los

administradores.

92

3. El proceso de desarrollo del acuerdo de niveles de servicio está en orden y

cuenta con puntos de control para revalorar los niveles de servicio y la

satisfacción de cliente.

4. La satisfacción del cliente es medida y valorada de forma rutinaria. Las medidas

de desempeño reflejan las necesidades del cliente, en lugar de las metas de

TI.

5. Todos los procesos de administración de niveles de servicio están sujetos a

mejora continua. Los niveles de satisfacción del cliente son administrados y

monitoreados de manera continua.

RECOMENDACIONES

Para el proceso DS1 de COBIT estable los siguientes objetivos de control:

Realizar un portafolio de servicios.

Realizar acuerdos de niveles de servicio.


En el Corto Plazo:

Realizar a menudo una revisión con los proveedores internos y externos los

acuerdos de niveles de servicio.

En el Largo Plazo:

Realizar un monitoreo y reporte del cumplimiento de los niveles de servicio,

estos reporte deben mantener un formato entendible por parte de los

interesados

93

Tabla 31

Administrar los servicios de Terceros


DS2: Administrar los Servicios de Terceros

NIVEL DE


0

Los servicios de terceros no son ni aprobados ni revisados por las autoridades. No hay actividades de medición y los terceros no reportan.

GRADO DE MADUREZ El proceso de Administrar los Servicios de Terceros está en el nivel de madurez 3. OBJETIVOS NO CUMPLIDOS

Verificar de forma continua las capacidades del proveedor.

Monitorear e implementar acciones correctivas.

1 No hay condiciones estandarizadas para los convenios con los prestadores de servicios.

2

Se utiliza un contrato pro forma con términos y condiciones estándares del proveedor (por ejemplo, la descripción de servicios que se prestarán).

3

Cuando se hace un acuerdo de prestación de servicios, la relación con el tercero es meramente contractual. La naturaleza de los servicios a prestar se detalla en el contrato e incluye requerimientos legales, operacionales y de control.


NO CUMPLE

4. Las aptitudes, capacidades y riesgos del proveedor son verificadas de forma

continua

5. Se monitorea el cumplimiento de las condiciones operacionales, legales y de

control y se implantan acciones correctivas.

RECOMENDACIONES


Monitorear e implementar acciones correctivas.

Verificar de forma continua las capacidades del proveedor.

94


En el Corto Plazo:

Establecer criterios formales y estandarizados para realizar la definición de

los términos del acuerdo.

En el Largo Plazo:

Mantener acuerdos de confidencialidad con los proveedores

Tabla 32 Desempeño y Calidad


DS3: Administrar el Desempeño y la Capacidad

NIVEL DE


0

La autoridad no reconoce que los procesos clave de la institución pueden requerir altos niveles de desempeño de TI o que el total de los requerimientos de servicios de TI de la institución pueden exceder la capacidad.

GRADO DE MADUREZ El proceso de Administrar el Desempeño y la Capacidad está en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS

Realizar evaluaciones de la infraestructura de TI logrando una capacidad óptima.

Establecer métodos de desempeño y evaluación.

1

Los responsables de los procesos de la organización valoran poco la necesidad de llevar a cabo una planeación de la capacidad y del desempeño. Las acciones para administrar el desempeño y la capacidad son típicamente reactivas.


NO CUMPLE

2. Las necesidades de desempeño se logran por lo general con base en

evaluaciones de sistemas individuales y el conocimiento y soporte de equipos

de proyecto.

3. Los pronósticos de la capacidad y el desempeño se modelan por medio de un

proceso definido. Los reportes se generan con estadísticas de desempeño.

95

4. Hay información actualizada disponible, brindando estadísticas de desempeño

estandarizadas y alertando sobre incidentes causados por falta de desempeño

o de capacidad.

5. La infraestructura de TI y la demanda del negocio están sujetas a revisiones

regulares para asegurar que se logre una capacidad óptima con el menor costo

posible.

RECOMENDACIONES


Establecer métricas de desempeño y evaluación de la capacidad

Realizar revisiones de forma periódica.


En el Corto Plazo:

Realizar pronósticos de la capacidad y el desempeño futuros de los recursos

de TI en intervalos regulares.

En el Largo Plazo:

Realizar un monitoreo continuo del desempeño y la capacidad de los

recursos de TI.

96

Tabla 33 Continuidad de servicios


DS4: Garantizar la continuidad del servicio

NIVEL DE


0 No hay comprensión de los riesgos, vulnerabilidades y amenazas a las operaciones de TI.

GRADO DE MADUREZ El proceso de Garantizar la Continuidad del Servicio está en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS

Mantener un plan de servicios.

Integrar los procesos de servicios para mejores prácticas externas

1

Las responsabilidades sobre la continuidad de los servicios son informales y la autoridad para ejecutar responsabilidades es limitada.


NO CUMPLE

2. Los reportes sobre la disponibilidad son esporádicos, pueden estar incompletos

y no toman en cuenta el impacto en el negocio.

3. Las responsabilidades de la planeación y de las pruebas de la continuidad de

los servicios están claramente asignadas y definidas

4. Se asigna la responsabilidad de mantener un plan de continuidad de servicios.

5. Los procesos integrados de servicio continuo toman en cuenta referencias de

la industria y las mejores prácticas externas.

RECOMENDACIONES


Desarrollar y tomar muy en cuenta planes de continuidad.

Realizar un marco de trabajo de continuidad.

97


En el Corto Plazo:

Realizar pruebas regulares del plan de continuidad, de esta forma se

asegura que los sistemas de TI sean recuperados de forma efectiva

Tabla 34 Garantizar la Seguridad de los Sistemas


DS5: Garantizar la Seguridad de los Sistemas

NIVEL DE


0

Las medidas adoptadas para la

administración de la seguridad de TI no están implementadas. No hay reportes de

seguridad de TI ni un proceso de respuesta

para resolver brechas de seguridad de TI.

GRADO DE MADUREZ El proceso de Garantizar la Seguridad de los Sistemas está en el nivel de madurez 1.


Concientizar el valor de la seguridad de la

información.

Elaborar un plan de seguridad de TI.

1

La seguridad de TI se lleva a cabo de forma

reactiva. No se mide la seguridad de TI. Las

brechas de seguridad de TI ocasionan respuestas con acusaciones personales,

debido a que las responsabilidades no son

claras. Las respuestas a las brechas de

seguridad de TI son impredecibles.


NO CUMPLE

2. La conciencia sobre la necesidad de la seguridad esta fraccionada y limitada.

Aunque los sistemas producen información relevante respecto a la seguridad,

ésta no se analiza.

3. Las responsabilidades de la seguridad de TI están asignadas y entendidas,

pero no continuamente implementadas. Existe un plan de seguridad de TI y

existen soluciones de seguridad motivadas por un análisis de riesgo.

98

4. El contacto con métodos para promover la conciencia de la seguridad es

obligatorio. La identificación, autenticación y autorización de los usuarios está

estandarizada.

5. Los usuarios y los clientes se responsabilizan cada vez más de

6. definir requerimientos de seguridad, y las funciones de seguridad están

integradas con las aplicaciones en la fase de diseño.

RECOMENDACIONES


Se debe administrar la seguridad TI.

Realizar un plan de seguridad de TI.


En el Corto Plazo:

Implementar seguridad en la red como por ejemplo firewalls, dispositivos de

seguridad, detección de intrusos, etc.)

En el Largo Plazo:

Realizar pruebas a la implementación de la seguridad, de igual forma

monitorear esta.

99

Tabla 35 Monitorear y Evaluar el Desempeño de TI


ME1: Monitorear y Evaluar el Desempeño de TI

NIVEL DE


0

La TI no lleva a cabo monitoreo de proyectos o procesos de forma independiente. No se cuenta con reportes útiles, oportunos y precisos. La necesidad de entender de forma clara los objetivos de los procesos no se reconoce.

GRADO DE MADUREZ El proceso de Monitorear y Evaluar el Desempeño de TI está en el nivel de madurez 0. OBJETIVOS NO CUMPLIDOS

Poder identificar los procesos estándares de evaluación.

Integrar todos los procesos y proyectos de TI.


NO CUMPLE

1. La interpretación de los resultados del monitoreo se basa en la experiencia de

individuos clave

2. Las mediciones de la contribución de la función de servicios de información al

desempeño de la organización se han definido, usando criterios financieros y

operativos tradicionales.

3. Hay una integración de métricas a lo largo de todos los proyectos y procesos

de TI. Los sistemas de reporte de la administración de TI están formalizados.

4. Las métricas impulsadas por el negocio se usan de forma rutinaria para medir

el desempeño, y están integradas en los marcos de trabajo estratégicos, tales

como el Balanced Scorecard.

RECOMENDACIONES

Para el proceso ME1 de COBIT estable los siguientes objetivos de control:

100

Definir un método de monitoreo como Balance Scorecard.

Evaluar el desempeño comparándolo periódicamente con las metas.


En el Corto Plazo:

Realizar una marco de trabajo de monitoreo general garantizado por la

gerencia.

En el Largo Plazo:

Identificar e iniciar medidas correctivas sobre el desempeño de TI.

Tabla 36 Monitorear y Evaluar el Control Interno


ME2: Monitorear y Evaluar el Control Interno

NIVEL DE


0

Los métodos de reporte de control interno no existen. Existe una falta generalizada de conciencia sobre la seguridad operativa y el aseguramiento del control interno de TI.

GRADO DE MADUREZ El proceso de Monitorear y Evaluar el Control Interno está en el nivel de madurez 0. OBJETIVOS NO CUMPLIDOS

Establecer los procesos para la evaluación y aseguramiento del control interno.

Utilizar herramientas integradas para la detección del control interno de TI.


NO CUMPLE

1. La gerencia de TI no ha asignado de manera formal las responsabilidades para

monitorear la efectividad de los controles internos.

101

2. La oficina de servicios de información realiza monitoreo periódico sobre la

efectividad de lo que considera controles internos críticos. Se están empezando

a usar metodologías y herramientas para monitorear los controles internos,

aunque no se basan en un plan.

3. Se ha definido un programa de educación y entrenamiento para el monitoreo

del control interno. Se ha definido también un proceso para auto evaluaciones

y revisiones de aseguramiento del control interno, con roles definidos para los

responsables de la administración y de TI

4. Se han implantado herramientas para estandarizar evaluaciones y para

detectar de forma automática las excepciones de control. Se ha establecido una

función formal para el control interno de TI, con profesionales especializados y

certificados que utilizan un marco de trabajo de control formal avalado por la

alta dirección.

5. La organización utiliza herramientas integradas y actualizadas, donde es

apropiado, que permiten una evaluación efectiva de los controles críticos de TI

y una detección rápida de incidentes de control de TI.

RECOMENDACIONES


Monitorear el marco de trabajo de control interno de forma continua.

Mediante las revisiones de auditoría reportar la efectividad de los controles

internos sobre las TI.


En el Corto Plazo:

Realizar una auto-evaluación del control interno de la administración de

procesos, políticas y contratos de TI.

102

En el Largo Plazo:

Identificar e iniciar medidas correctivas sobre el desempeño de TI.

Tabla 37 Cumplimiento regulatorio


ME3: Garantizar el Cumplimiento Regulatorio

NIVEL DE


0

Existe poca conciencia respecto a los requerimientos externos que afectan a TI, sin procesos referentes al cumplimiento de requisitos regulatorios, legales y contractuales.

GRADO DE MADUREZ El proceso de Garantizar el Cumplimiento Regulatorio está en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS

Brindar capacitación sobre requisitos legales y regulatorios externos.

Conocer los requerimientos aplicables, como la solución de nuevas necesidades.

1

Se siguen procesos informales para mantener el cumplimiento, pero solo si la necesidad surge en nuevos proyectos o como respuesta a auditorías o revisiones


NO CUMPLE

2. No existe, sin embargo, un enfoque estándar. Hay mucha confianza en el

conocimiento y responsabilidad de los individuos, y los errores son posibles.

3. Se brinda entrenamiento sobre requisitos legales y regulatorios externos que

afectan a la institución y se instruye respecto a los procesos de cumplimiento

definidos.

4. Las responsabilidades son claras y el empoderamiento de los procesos es

entendido. El proceso incluye una revisión del entorno para identificar

requerimientos externos y cambios recurrentes.

5. Hay un amplio conocimiento de los requerimientos externos aplicables,

incluyendo sus tendencias futuras y cambios anticipados, así como la

necesidad de nuevas soluciones.

103

RECOMENDACIONES


Integrar los reporte de TI sobre el cumplimiento regulatorio.

Garantizar la identificación de requerimientos locales e internacionales

legales, contractuales de políticas, y regulatorios.


En el Corto Plazo:

Tener muy en cuenta las leyes y reglamentos de privacidad, flujo de datos,

reporte financieros, propiedad intelectual, etc.

En el Largo Plazo:

Evaluar el cumplimiento de las políticas, estándares y procedimientos de TI.

Tabla 38 Proporcionar Gobierno de TI


ME4: Proporcionar Gobierno de TI

NIVEL DE


0

Existe una carencia completa de cualquier proceso reconocible de gobierno de TI. La organización ni siquiera ha reconocido que existe un problema a resolver; por lo tanto, no existe comunicación respecto al tema.

GRADO DE MADUREZ El proceso de Proporcionar Gobierno de TI está en el nivel de madurez 0. OBJETIVOS NO CUMPLIDOS

Comunicar por parte de la Gerencia los procedimientos estandarizados.


104

NO CUMPLE

1. El enfoque de la gerencia es reactivo y solamente existe una comunicación

esporádica e inconsistente sobre los temas y los enfoques para resolverlos.

2. La gerencia ha identificado mediciones básicas para el gobierno de TI, así como

métodos de evaluación y técnicas; sin embargo, el proceso no ha sido adoptado

a lo largo de la institución.

3. Las autoridades ha comunicado los procedimientos estandarizados y el

entrenamiento está establecido. Se han identificado herramientas para apoyar

a la supervisión del gobierno de TI.

4. Los procesos de TI y el gobierno de TI están alineados e integrados con la

estrategia corporativa de TI. La mejora de los procesos de TI se basa

principalmente en un entendimiento cuantitativo y es posible monitorear y medir

el cumplimiento con procedimientos y métricas de procesos.

5. La implantación de las políticas de TI ha resultado en una organización,

personas y procesos que se adaptan rápidamente, y que dan soporte completo

a los requisitos de gobierno de TI. Todos los problemas y desviaciones se

analizan por medio de la técnica de causa raíz y se identifican e implementan

medidas eficientes de forma rápida.

RECOMENDACIONES


Administrar los riesgos de forma eficiente.

Garantizar la optimización de la inversión, uso y asignación de los activos de

TI mediante evaluaciones periódicas.

105


En el Corto Plazo:

Establecer un marco de trabajo de gobierno de TI, incluyendo liderazgo,

procesos, roles y responsabilidades.

En el Largo Plazo:

Conformar un comité de auditoría para asegurar el cumplimiento de TI.

RESUMEN DEL GRADO DE MADUREZ

Tabla 39 Grado de madurez

DOMINIO PROCESO

NIV

EL D

E

MA

DU

RE

Z

PLANIFICAR Y

ORGANIZAR

PO1

PO2

PO3

PO4

PO5

Definir el Plan Estratégico de la Información

Definir la Arquitectura de la Información

Determinar la Dirección Tecnológica

Definir los Procesos, la Organización y las Relaciones de TI

Administrar la inversión de TI.

1

1

1

2

4

ADQUIRIR E

IMPLEMENTAR

AI1

AI2

AI3

AI4

AI5

Identificar Soluciones Automatizadas

Adquirir y Mantener Software Aplicativo

Adquirir y Mantener Infraestructura Tecnológica

Facilitar la Operación y el uso

Adquirir Recursos de TI

1

2

1

1

4

ENTREGAR Y DAR

SOPORTE

DS1

DS2

DS3

DS4

DS5

Definir y Administrar los Niveles de Servicio

Administrar los Servicios de Tercero

Administrar el Desempeño y la Capacidad

Garantizar la Continuidad del Servicio

Garantizar la Seguridad de los Sistemas

1

3

1

1

1

MONITOREAR Y

EVALUAR

ME1

ME2

ME3

ME4

Monitorear y Evaluar el Desempeño y la Capacidad

Monitorear y Evaluar el Control Interno

Garantizar el Cumplimiento Regulatorio

Proporcionar Gobierno de TI

0

0

1

0


106

El análisis de cada uno de los dominios es el siguiente:

DOMINIO: PLANEAR Y ORGANIZAR (PO)

Las estrategias de TI no se encuentran a la par con las de la Institución, esto

significa que la Municipalidad de la Concordia no ha alcanzado el uso óptimo de los

recursos ya no han sido aprovechados al máximo o a lo mejor no se cuenta con los

recursos necesarios para la realización de ciertas tareas, no todo el personal

entiende los objetivos de TI, son pocos los usuarios que comprenden la importancia

de estos, para el cumplimiento de la institución.

DOMINIO: ADQUIRIR E IMPLEMENTAR (AI)

Para que se cumplan la estrategia de TI, se debe identificar, desarrollar o adquirir

las soluciones de TI, así como la implementación e integración en los procesos de

la Institución.

DOMINIO: ENTREGA Y DAR SOPORTE (DS)

Los servicios de TI son medianamente entregados de acuerdo a las prioridades de

la institución, Los costos de TI no se encuentran totalmente optimizados, puesto

que no existe un plan de continuidad no es implementada la disponibilidad de forma

completa de los sistemas de TI, de igual forma la integridad y la confidencialidad no

se encuentran implementadas de forma óptima.

DOMINIO: MONITOREAR Y EVALUAR (ME)

Las autoridades no monitorea ni evalúa el control interno en la Municipalidad de la

Concordia, existe una poca vinculación en el desempeño de TI con las metas de la

Institución, no existe una medición óptima de riesgos y el reporte de estos, así como

el cumplimiento, desempeño y control.

107

RESUMEN DE PROCESOS Y CRITERIO POR IMPACTO

Tabla 40 Grado de Madurez, Resumen de procesos y criterio de Impacto

PROCESOS

CRITERIOS DE INFORMACIÓN

RECURSOS TI

Niv

el d

e M

adu

rez

Efe

ctiv

idad

Efic

ien

cia

Co

nfi

de

nci

alid

ad

Inte

grid

ad

Dis

po

nib

ilid

ad

Cu

mp

limie

nto

Co

nfi

abil

idad

Re

curs

os

Hu

man

os

Sist

emas

de

Ap

lica

ció

n

Tecn

olo

gía

Inst

alac

ion

es

Dat

os

PLA

NIF

ICA

R Y

OR

GA

NIZ

AR

PO1 Definir el Plan Estratégico de Tecnologías de la Información 0,86 0,63

x x x

Total real (impacto*Nivel real) 0,86 0,63 0,00 0,00 0,00 0,00 0,00 1

Total ideal (impacto*Nivel ideal) 4,30 3,15 0,00 0,00 0,00 0,00 0,00 5

PO2 Definir la arquitectura de la Información 0,63 0,86 0,63 x x x



PO3 Determinar la Dirección Tecnológica 0,86 0,86 x x x x



PO4 Definir los Procesos, la Organización y las Relaciones de TI 1,72 1,72 x x



PO5 Administrar la inversión de TI 3,44 3,44 2,52 x x x



108

AD

QU

IRIR

E IM

PLE

MEN

TA

R

AI1 Identificar Soluciones Automatizadas 0,86 0,63 0,63 x x x x



AI2 Adquirir y Mantener Software Aplicativo 1,72 1,72 1,26 1,26 x x x



AI3 Adquirir y Mantener Infraestructura Tecnológica 0,63 0,86 0,63 0,63 x x x

Total real (impacto*Nivel real) 0,63 086 0,00 0,63 0,63 0,00 0,00 1


AI4 Facilitar la Operación y el Uso 0,86 0,86 0,63 0,63 0,63 x x x x



AI5 Adquirir Recursos de TI 2,52 3,44 2,52 x x x x



ENTR

EGA

R Y

DA

R S

OP

OR

TE

DS1 Definir y Administrar los Niveles de Servicio 0,86 0,86 0,63 0,63 0,63 0,63 x x x x



DS2 Administrar los Servicios de Terceros 2,58 2,58 1,89 1,89 1,89 1,89 1,89 x x x x



DS3 Administrar el Desempeño y la Capacidad 0,86 0,86 0,63 x x x



109

DS4 Garantizar la Continuidad del Servicio 0,86 0,63 0,86 x x x

Total ideal (impacto*Nivel real) 0,86 0,63 0,00 0,00 0,86 0,00 0,00 1


DS5 Garantizar la Seguridad de los Sistemas 0,86 0,86 0,63 0,63 0,63 x x x



MO

NIT

OR

EA

R Y

EV

ALU

AR

ME1 Monitorear y Evaluar el Desempeño de TI x x x x



ME2 Monitorear y Evaluar el Desempeño de TI x x x x



ME3 Garantizar el Cumplimiento Regulatorio 0,86 0,63 x x



ME4 Proporcionar Gobierno TI x x x



110

RESULTADOS FINALES DEL IMPACTO SOBRE LOS CRITERIOS DE INFORMACIÓN

Total real (impacto * Nivel Real) 45,72 49,19 7,79 10,94 9,05 19,13 20,16

Total ideal (impacto * Nivel ideal) 97,35 98,65 20,05 29,50 26,35 38,95 37,80

Porcentaje Alcanzado 46,96 49,86 38,85 37,08 34,35 49,11 53,33 444,22


111

GRAFICA REPRESENTATIVA DEL IMPACTO DE LOS CRITERIOS DE

INFORMACIÓN

Ilustración 23 Impacto sobre criterios de la información Elaborado por: Andrea Mejía

EL INFORME DE AUDITORÍA

Una vez analizado los procesos, se detalla los resultados de la evaluación de cada

uno de ellos divididos en sus respectivos dominios (Planear y organizar, adquirir e

implementar, entregar y dar soporte, monitorear y evaluar.), lo cual se basa en los

niveles de madurez los cuales van desde el grado 0 (no existente) al grado máximo

5 (administrado).

46,96

49,86

38,85

37,08

34,35

49,11

53,33

IMPACTO SOBRE LOS CRITERIOS DE LA INFORMACIÓN

Efectividad

Eficiencia

Confidencialidad

Integridad

Disponibilidad

Cumplimiento

Confiabilidad

112

Tabla 41

Informe de Auditoria

DOMINIO PROCESO CONCLUSIÓN RECOMENDACIONES COBIT P

LAN

EAR

Y O

RG

AN

IZA

R

PO1 DEFINIR UN PLAN ESTRATÉGICO

Este proceso se encuentra en el nivel de madurez 1 ya que no cuenta con un plan estratégico definido.

• Lograr alinear las TI con la institución, instruir a los jefes de departamento sobre las capacidades tecnológicas actuales y el futuro de estas, así como las oportunidades que prestan las TI, para el mejor desempeño de las labores diarias.

• Elaborar planes tácticos de TI, que se resulten del plan estratégico de TI, los cuales servirán para describir las iniciativas y los requerimientos de recursos que son requeridos por TI, estos planes deben ser bien detallados para poder realizar la definición de planes proyectados.

PO2

DEFINIR LA ARQUITECTURA DE LA INFORMACIÓN

Este proceso se encuentra en el nivel de madurez 1, debido a que se reconoce no tener una arquitectura de información, pero a pesar de reconocer su importancia no se la elabora

• Establecer un diseño de clasificación de datos que aplique a toda la gestión tecnológica, basado en la información crítica y sensible.

• Definir e implementar procedimientos para brindar integridad y consistencia de todos los datos que se encuentran almacenado en formato electrónico, como bases de datos, almacenamiento de datos y archivos.

PO3 DETERMINAR LA DIRECCIÓN TECNOLÓGICA

Este proceso se encuentra en el nivel de madurez 1, debido a que el desarrollo de componentes tecnológicos y la implantación de tecnologías emergentes son ad hoc y aisladas.

• Planear la dirección tecnológica, es decir analizar las tecnologías existentes y emergentes, para tomar en cuenta cual dirección tecnológica es apropiada para lograr cumplir con las estrategias de TI, y la arquitectura de sistemas de la institución

• Crear y mantener un plan de infraestructura tecnológica que este a la par con los planes estratégicos y tácticos de TI.

113

PO4

DEFINIR LOS PROCESOS LA ORGANIZACIÓN Y LAS RELACIONES DE TI

Este proceso se encuentra en el nivel de madurez 2 debido a que las necesidades de los usuarios y relaciones con proveedores se responden de forma táctica aunque inconsistentemente.

• Definir un marco de trabajo para el proceso de TI para la ejecución del plan estratégico de TI, incluyendo la estructura y relaciones de procesos de TI.

• Establecer un comité estratégico de TI a nivel del jefe departamental, para garantizar que el gobierno de TI se maneje de forma efectiva.

PO5 ADMINISTRAR LA INVERSIÓN DE TI

Las responsabilidades y rendición de cuentas para la selección de presupuestos de inversiones son asignadas en específico al Jefe del departamento informático y el jefe del departamento financiero.

• Optimizar de forma continua la administración de inversiones en base a las lecciones aprendidas del análisis del desempeño real de las inversiones.

• Incluir un análisis de costos y beneficios a largo plazo del ciclo total de vida en la toma de decisiones de inversiones.

AD

QU

IRIR

E IM

PLE

MEN

TAR

AI1 IDENTIFICAR SOLUCIONES AUTOMATIZADAS

Este proceso se encuentra en el nivel de madurez 1 puesto que existe la conciencia de la necesidad de definir requerimientos y de identificar soluciones tecnológicas, las necesidades son analizadas de manera informal y por ciertos individuos.

Destacar, priorizar, especificar los requerimientos funcionales y técnicos del departamento de informática, priorizando el desempeño, el costo, la confiabilidad, la compatibilidad, la auditoría, la seguridad, la disponibilidad, y continuidad, la ergonomía, funcionalidad y la legislación de la Institución.

• Identificar, documentar y analizar los riesgos relacionados con los procesos del negocio para el desarrollo de los requerimientos.

114

AI2

ADQUIRIR Y MANTENER SOFTWARE APLICATIVO

Este proceso se encuentra en el nivel de madurez 2 por cuanto existen procesos de adquisición y mantenimiento de software aplicativo en base a la experiencia de TI, el mantenimiento a menudo es problemático.

Ejecutar un diseño detallado, y los requerimientos técnicos del software.

Avalar integridad de la información, control de acceso, respaldo y pistas de auditoría.

AI3

ADQUIRIR Y MANTENER LA INFRAESTRUCTURA TECNOLÓGICA

Este proceso se encuentra en el nivel de madurez 1, ya que no se cuenta con un plan de adquisición de tecnología, por lo tanto no se controlan los procesos de adquirir, implantar y actualizar infraestructura tecnológica.

Salvaguardar la infraestructura tecnológica mediante medidas de control interno, seguridad y auditabilidad durante la configuración, integración y mantenimiento de hardware y software de la infraestructura tecnológica.

Desarrollar un plan de mantenimiento de la infraestructura y garantizar el control de cambios de esta.

AI4 FACILITAR LA OPERACIÓN Y EL USO

Este proceso se encuentra en el nivel de madurez 1, puesto que no existe una generación de documentación, ni políticas de generación de manuales, pero se tiene la conciencia de que esto es necesario, la mayor parte de la documentación y procedimientos ya se encuentran caducados o desactualizados.

• Efectuar una transferencia de conocimiento a la parte de las autoridades lo cual permitirá que estos tomen posesión del sistema y los datos.

• Mediante la transferencia de conocimientos a los usuarios finales se logrará que estos usen los sistemas con efectividad y eficiencia para el apoyo a los procesos del departamento de informática.

115

AI5 ADQUIRIR RECURSOS DE TI

Este proceso se encuentra en el nivel de madurez 4 ya que la adquisición de TI se integra totalmente con los sistemas generales del gobierno, ya que se sigue el proceso de compras públicas en la adquisición de algún recurso de TI.

Establecer buenas relaciones con la mayoría de proveedores.

Cumplir y hacer cumplir los derechos y obligaciones de ambas partes en los términos contractuales.

EN

TREG

AR

Y D

AR

SO

PO

RTE

DS1

DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO

Este proceso se encuentra en el nivel de madurez 1 ya que no se administra los niveles de servicio, la rendición de cuentas no se encuentra definido realmente.

Se debe definir un marco de trabajo para la administración de los niveles de servicio.

Realizar un monitoreo y reporte del cumplimiento de los niveles de servicio, estos reporte deben mantener un formato entendible por parte de los interesados.

DS2 ADMINISTRAR LOS SERVICIOS DE TERCEROS

Este proceso se encuentra en el nivel de madurez 3 por cuanto existen procedimientos documentados para controlar los servicios de terceros, los procesos son claros para realizar la negociación con los proveedores.

Establecer criterios formales y estandarizados para realizar la definición de los términos del acuerdo.

Asignar responsables para la administración del contrato y del proveedor.

DS3 ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD

Este proceso se encuentra en el nivel de madurez 1, puesto que los usuarios regularmente tienen que resolver los inconvenientes que se presenten para pacificar las limitaciones de desempeño y capacidad.

Implantar métricas de desempeño y evaluación de la capacidad.

Efectuar un monitoreo continuo del desempeño y la capacidad de los recursos de TI.

116

DS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIO

Este proceso se encuentra en el nivel de madurez ,1 por cuanto no se cuenta con un plan de continuidad de servicios.

Efectuar pruebas regulares del plan de continuidad, de esta forma se asegura que los sistemas de TI sean recuperados de forma efectiva.

Una vez realizada la reanudación exitosa de las funciones de TI, determinar la efectividad del plan de continuidad y realiza actualizaciones a este según amerite.

DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS

Este proceso se encuentra en el nivel de madurez 1 ya que la seguridad de los sistemas se encuentra a cargo de un solo individuo el cual es el Jefe del departamento Informático, no existen responsabilidades claras.

• Efectuar pruebas a la implementación de la seguridad, de igual forma monitorearla.

• Garantizar que las características de posibles incidentes de seguridad sean definidas y comunicadas de forma clara y oportuna.

MO

NIT

OR

EAR

Y E

VA

LUA

R

ME1

MONITOREAR Y EVALUAR EL DESEMPEÑO DE TI

Este proceso se encuentra en el nivel de madurez 0, por cuanto no se cuenta con un proceso implementado de monitoreo, así como con reporte útiles, oportunos y precisos sobre el desempeño.

• Definir y recoger los datos del monitoreo mediante un conjunto de objetivos, mediciones, metas y comparaciones de desempeño.

• Valorar el desempeño comparándolo periódicamente con las metas.

ME2

MONITOREAR Y EVALUAR CONTROL INTERNO

Este proceso se encuentra en el nivel de madurez 0, por cuanto, No se tiene procedimientos para monitorear la efectividad de los controles internos.

• Realizar una auto-evaluación del control interno de la administración de procesos, políticas y contratos de TI.

• Si es necesario, mediante revisiones de terceros asegurar la que se cumplan y efectivicen los controles internos.

• Verificar que los proveedores externos cumplan con los requerimientos legales y regulatorios y con las obligaciones contractuales.

117

ME3 GARANTIZAR EL CUMPLIMIENTO REGULATORIO

Este proceso se encuentra en el nivel de madurez 1 por cuanto, se siguen procesos informales para mantener el cumplimiento regulatorio.

• Tener muy en cuenta las leyes y reglamentos de la privacidad de la información, flujo de datos, reporte financieros, propiedad intelectual, etc.

• Evaluar el cumplimiento de las políticas, estándares y procedimientos de TI.

ME4 PROPORCIONAR GOBIERNO DE TI

Este proceso se encuentra en el nivel de madurez 0 por cuanto no existen procesos de gobierno de TI.

• Asistir al entendimiento de las autoridades sobre temas estratégicos de TI tales como el rol de TI.

• Certificar la optimización de la inversión, uso y asignación de los activos de TI mediante evaluaciones periódicas.


118

INFORME EJECUTIVO

En el Informe Ejecutivo se detalla los resultados de la evaluación a cada uno de los

procesos que recomienda COBIT siendo evaluado en la Gestión Tecnológica de la

Municipalidad de la Concordia.

Dichos criterios de información se encuentran expresados en los siguientes gráficos.

Ilustración 24: Criterio efectividad Elaborado por: Andrea Mejía

La efectividad consiste en que la información relevante sea entregada de forma

oportuna, correcta, consistente y utilizable, este criterio tiene un promedio del

46,96%.

Ilustración 25 Criterio eficiencia


46,96%53,04%

Criterio: Efectividad

Efectividad

Déficit

49,86%50,14%

Criterio: Eficiencia

Eficiencia

Déficit

119

La eficiencia consiste en que la información debe ser generada optimizando los

recursos, este criterio tiene un promedio del 49,86%.

Ilustración 26 Criterio confidencialidad Elaborado por: Andrea Mejía

La confidencialidad consiste en que la información vital sea protegida contra la

revelación no autorizada, este criterio tiene un promedio del 38,85%.

Ilustración 27 Criterio integridad Elaborado por: Andrea Mejía

La integridad consiste en que la información debe ser precisa, completa y valida,

este criterio tiene un promedio del 37,08%.

38,85%

61,15%

Criterio: Confidencialidad

Confidencialidad

Déficit

37,08%

62,92%

Criterio: Integridad

Integridad

Déficit

120

Ilustración 28 Criterio disponibilidad Elaborado por: Andrea Mejía

La disponibilidad consiste en que la información esté disponible cuando ésta sea

requerida por parte de las áreas de la institución en cualquier momento, este criterio

tiene un promedio del 34,35%.

Ilustración 29: Criterio cumplimiento Elaborado por: Andrea Mejía

El cumplimiento consiste en que se debe respetar las leyes, reglamentos y

acuerdos contractuales a los que está sujeta el proceso de la institución, como

políticas internas, este criterio tiene un promedio del 49,11%.

34,35%

65,65%

Criterio: Disponibilidad

Disponibilidad

Déficit

49,11%50,89%

Criterio: Cumplimiento

Cumplimiento

Déficit

121

Ilustración 30 Criterio Confiabilidad Elaborado por: Andrea Mejía

La confiabilidad consiste en que se debe respetar proporcionar la información

apropiada, con el fin de que las Autoridades administre la entidad, este criterio tiene

un promedio del 53,33%.

PRESUPUESTO DE LA AUDITORÍA

Tabla 42 Presupuesto de la auditoría

ACTIVIDAD RECURSOS PERSONAL VALOR

VISITA PRELIMINAR Elaboración de

los cuestionarios.

Recopilación de la información organizacional

DESARROLLO DE LA AUDITORIA Aplicación de

encuestas, empleados y autoridades.

Entrevistas a autoridades

Papeles Lápices Plumas Cámara Grabadora Filmadora Lápiz Pluma Formularios Computador Impresora

Auditor Informático 3 ayudantes Auditor Informático 6 ayudantes

$1.550,00

$5.500,00

53,33%46,67%

Criterio: Confiabilidad

Confidencialidad

Déficit

122

Evaluación de los equipos informáticos

Evaluación de seguridad de los datos, control de operación, seguridad física y procedimientos de respaldos.

REVISION Y PRE-INFORME Revisión de los

papeles de trabajo.

Determinación del Diagnostico e Implicancias.

Elaboración del Borrador.

INFORME Elaboración y

presentación del Informe.

Cámara Lápiz Pluma Papeles Computador Proyector Computador

Auditor Informático 2 ayudantes Auditor Informático Digitador

$800,00

$550,00

TOTAL GENERAL $8.400,00


123


Una vez realizada y analizada la auditoria se puede concluir lo siguiente:

Existe una vista general equivocada de los equipos informáticos con que

cuenta la institución, es decir una cosa es lo que se tiene en inventario como

equipo en buen estado, y otra es la realidad que se pudo palpar en las visitas

que se realizaron a las diferentes facultades.

El COBIT es una herramienta muy importante para la realización, ejecución y

análisis de la auditoria informática apoyándose en los 4 dominios y

clasificados cada uno de ellos en sus procesos, los cuales están claramente

clasificados y se apegan a la realidad de cada organización.

Hubieron contratiempos en la recolección de la información ya que los

funcionarios en ciertas instancias no colaboraron con la entrega de la misma,

es por eso que se tuvo que recurrir a ciertas observaciones y entrevistas a los

funcionarios, y en algunos casos no se la obtuvo, pero se pudo concluir con

el trabajo de buena manera.

Todos los síntomas planteados en el inicio del trabajo, fueron comprobados

de que se tenían esas falencias, aunque para los funcionarios de la unidad

informática todo estaba correcto y los procesos iban sobre ruedas.

Se logró detectar aunque no estaba dentro de los síntomas que no se contaba

con un plan estratégico, que todo se manejaba bajos ciertos parámetros de

la unidad de informática, es decir solo por experiencia.

La protección física de los equipos corresponde a quienes en un principio se

les asigna, y corresponde notificar los movimientos en caso de que existan, a

las autoridades correspondientes (departamento de Cómputo, departamento

de Inventario y otros de competencia).

124

No existen detectores de humo en las instalaciones donde se encuentren los

equipos informáticos.

Hacer uso de software libre, en toda la Institución, y utilizar software aplicativo

con licenciamiento.

El área de la unidad de cómputo es muy limitado y sin las seguridades fiscas

pertinentes.

No se tienen extintores de bióxido de carbono especiales para este tipo de

departamentos.

CONCLUSIONES Y RECOMENDACIONES

CONCLUSIONES

La Unidad de Informática está adscrita a la Alcaldía, lo que hasta cierto punto

limita su accionar, además dicha unidad no cuenta con reglamentos claros,

documentación de los sistemas que realiza, ni del control de mantenimiento,

y desconoce donde exactamente están ubicados los equipos informáticos, ni

al custodio, así como no poseer un inventario de software.

La unidad de informática está en un sitio muy pequeño y desorganizado,

como lo demuestra la foto incluida en el anexo, lo que es un inconveniente

para su accionar.

Este trabajo ha dado un conjunto de directrices las cuales pueden ayudar a

organizar las TI con la institución, en otras palabras identificar riesgos,

gestionar recursos y medir el desempeño, así como el nivel de madurez de

cada uno de los procesos de la Gestión Tecnológica.

Las autoridades y usuarios son los beneficiados con el desarrollo de la

metodología COBIT, ya que este marco de referencia ayuda a entender sus

sistemas de TI, de igual forma decidir el nivel de seguridad y control para

125

proteger los activos (información, hardware, software, etc.) de la Institución

mediante un modelo de desarrollo de gobernación de TI.

Gracias al marco de referencia COBIT, se ha logrado evaluar y diagnosticar

los procesos de TI en la Institución. También se ha diagnosticado cada uno

de los criterios de la información, los cuales son efectividad, eficiencia,

confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.

126

RECOMENDACIONES

Tener muy presente los procesos que se encuentran con el nivel de madurez

de 0 y 1, que son los de factor crítico.

Todo el equipo de cómputo (computadoras, estaciones de trabajo, servidores,

y equipo accesorio), que esté o sea conectado a la red de la Institución, o

aquel que en forma autónoma se tenga y que sea propiedad de la misma debe

de sujetarse a las normas y procedimientos de instalación que emite la unidad

de cómputo.

Realizar evaluaciones periódicas con el fin de medir el avance de cada uno

de los procesos estudiados en este trabajo.

El equipo de la institución que sea de propósito específico y tenga una misión

crítica asignada, requiere estar ubicado en un área que cumpla con los

requerimientos de: seguridad física, las condiciones ambientales, la

Alimentación eléctrica y la normatividad para el acceso de equipos que el

Centro de Cómputo implante.

Los funcionarios de la Unidad de Cómputo debe dar cabal cumplimiento con

las normas de instalación, y notificaciones correspondientes de actualización,

reubicación, reasignación, y todo aquello que implique movimientos en su

ubicación, de adjudicación, sistema y misión.

BIBLIOGRAFÍA

BERNAL, C. (2010). METODOLOGÍA DE LA INVESTIGACIÓN (3ra Ed. ed.).

Colombia: Pearson Educación.

CAMPO, R. (2012). Manual práctico de auditoria interna. Buenos Aires:

Consejo profesional de Ciencias Económicas de la Ciudad Autónoma de

Buenos Aires.

CARRIÓN Toro Mayra del Cisne, CORONADO Cabezas Luz Margarita,

“Auditoría de la Gestión de las TIC’S para La empresa DIPAC utilizando

COBIT”, (208), Escuela Politécnica Nacional, Quito – Ecuador.

CASTELLO Ricardo J., (2006), “Auditoría en entornos informáticos”,

Segunda Edición

CORONEL Castro Karolay Michell, (2012), “Auditoría Informática orientada

a los procesos críticos de crédito generados en la Cooperativa de Ahorro y

Crédito ‘Fortuna’ aplicando el marco de trabajo COBIT”, Universidad Técnica

Particular de Loja, Loja – Ecuador

DEL CID, A. (2011). Investigación fundamentos y metodología. México:

Pearson Educación

ECHENIQUE García José Antonio (2011), “Auditoría en Informática”

GÓMEZ, Á. (2013). Auditoría de seguridad informática (Primera Edición ed.).

Bogotá, Colombia: Ediciones de la U.

GOMEZ, C. (2012). La investigación Científica en Preguntas y Respuestas.

Ambato: Empresdane. González, M., & Cordero, M. (2007). Diseño de

Páginas Web. España: MC Graw Gill, primera edición.

GRANADOS Pemberty Elizabeth, (2012), “Auditoría Informática: Conceptos

Básicos”

GUEVARA Plaza y PEÑA Ramos Eloy, “Auditoría Informática: Normas y

Documentación”

HORACIO Quinn Eduardo, (2008), “La Auditoria informática dentro de las

etapas de Análisis de Sistemas Administrativos”,

http://www.monografias.com/trabajos5/audi/audi.shtml#inter.

Ingeniería en Informática, Universidad de Alicante, (2010), “Auditoría y

Evaluación de Sistemas”

INSTITUTO MEXICANO DE CONTADORES PÚBLICOS. (2013). Modelos

de dictámenes y otras opiniones e informes del auditor. México: INSTITUTO

MEXICANO DE CONTADORES PUBLICOS.

MELO Cazar, Mónica Elizabeth, (2005), “Auditoría Informática realizada a la

Compañía Autotrack Cía. Ltda.”, pág. 11.

MERINO, C. (2014). AUDITORIA DE SISTEMAS DE GESTIÓN DE

SEGURIDAD DE LA INFORMACIÓN. Madrid: FC Editorial

MUNCH, L. y. (2009). Métodos y Técnicas de Investigación. México: Trillas.

MUÑOZ, C. (2002). Auditoría en sistemas computacionales. México:

Pearson.

NARANJO, A. (2006). AUDITORÍA DE SISTEMAS. Obtenido de

www.monografias.com, Guayaquil - Ecuador

PARDO, C. (2008). Los sistemas y las auditorías de gestión Integral. Bogotá:

UNIVERSIDAD DE LA SALLE.

PELAZAS, M. (2015). Planificación de la Auditoría. Madrid: Paraninfo.

PIATTINI, M. (2008). Auditoría de Tecnologías y sistemas de Información.

Madrid: Ra-Ma

QUEZADA, N. (2010). Metodología de la Investigación. Lima: Macro

RAMÍREZ Huamán, ANGELLO Luis, “Proyecto de Auditoría Informática en

la Organización DATA CENTER E.I.R.L aplicando la Metodología COBIT

4.1”, Universidad Nacional ‘Santiago Antúnez de Mayolo’”, (2011), Escuela

Profesional de Ingeniería de Sistemas e Informática”, Huaraz – Ancash -

Perú

RAMÍREZ R., Guadalupe y ÁLVAREZ D., Ezzard, “Auditoría a la Gestión de

las Tecnologías y Sistemas de Información”

RODRIGUEZ, J. (02 de 2005). GestioPolis. Obtenido de Comercio

Electronico.Aspecto clave:

http://www.gestiopolis.com/Canales4/ger/comelectro.htm

SALAZAR, H. (22 de 10 de 2010). SlideShare. Recuperado el 09 de 10 de

2014, de SlideShare: http:slideshare.net/HernanSalazar/investigacin-

bibliografica-2463165

SEVILLA, J. (2012). AUDITORIA DE LOS SISTEMAS INTEGRADOS DE

GESTIÓN. MADRID: FC EDITORIAL.

Silberschatz, A., Korth, H., & Sudarshan. (2006). Fundamentos de Bases de

Datos. Espana: Mc Graw Hill, cuarta edición.

SOBRINOS Sánchez, Roberto, (2000), “Planificación y Gestión de Sistemas

de Información”, Escuela Superior de Informática de Ciudad Real

Universidad de Castilla – La Mancha

Universidad Autónoma del Estado de Hidalgo, (2011), “Auditoría

Informática”, México

Universidad Regional Autónoma de los Andes UNIANDES. (2012). Manual

de Investigación (Primera Edición ed.). Ambato: Mendieta.

VALLABHANENI, R.S. (2007): Information Systems Audit Process. Tercera

Edición

http://www.iue.edu.co/documents/emp/entorTecnologicos.pdf, “Estrategias

Gerenciales: Gerencia para el emprendimiento, y gestión de Resultados,

Gestión tecnológica”

http://es.scribd.com/doc/13735708/Gestion-Tecnologica-, República

Bolivariana de Venezuela Ministerio de Educación Superior Universidad

Nacional Experimental “Simón Rodríguez”, Cátedra: Gestión de Tecnología.

http://www.iue.edu.co/documents/emp/entorTecnologicos.pdf

http://es.scribd.com/doc/13735708/Gestion-Tecnologica-

ANEXOS

.

Anexo 1: Encuesta realizada a los empleados Municipales:

Encuesta realizada a los empleados Municipales

Pregunta No 1. ¿Se conoce perfectamente el estado, la ubicación y el responsable

de cada equipo informático de la Municipalidad?

Si…… NO…… Parcialmente……


hardware y su funcionamiento?

Semestralmente… Anualmente…… Rara vez…… Nunca…


software y su funcionamiento?

Semestralmente… Anualmente…… Rara vez…… Nunca……

Pregunta No 4. ¿Cree usted que se hace un adecuado control del funcionamiento

de las tecnologías de información que apoyan el proceso operativo de la

Institución?

No se hace……. Si se hace……. Se hace parcialmente………….

Pregunta No 5. ¿Considera importante la realización de auditorías informáticas

para mejorar el control del funcionamiento de las tecnologías de información que

apoyan el proceso operativo de la Institución?

Muy importante…. Poco importante……. Nada importante……..

Pregunta No 6. ¿Está usted dispuesto a colaborar proveyendo información durante

la realización de estas auditorías?

Si…… No……. Parcialmente……..

Anexo 2: Encuesta realizada a los usuarios Municipales:

Encuesta realizada a los usuarios Municipales

Pregunta No 1. ¿Considera usted que el Municipio está fuertemente apoyado por

las tecnologías en su atención al usuario?

Si…. No…… Parcialmente……..

Pregunta No 2. ¿Durante sus visitas al Municipio, ha sufrido demoras en su

atención debido a daños en los equipos informáticos?

Nunca…. Rara vez…. A veces…. Frecuentemente…….

Pregunta No 3. ¿Cree usted que deben mejorase los equipos informáticos?


Pregunta No 4. ¿Se han incorporado nuevos servicios apoyados por la tecnología?

Algunos……. Muy pocos…….. Ninguno……..

Pregunta No 5. ¿Cree usted que el personal está plenamente capacitado para el

manejo de los equipos informáticos?


Pregunta No 6. ¿Cree usted que se debe mejorar toda la plataforma tecnológica

que dispone el Municipio para la atención a los usuarios?


Anexo 3: Carta de aprobación de Perfil

Anexo 4: Aprobación de Perfil de Tesis

Anexo 5: SOFTWARE PARA AUDITORIA INFORMATICA

SOFTWARE DE SEGUIMIENTO DE PROGRAMAS

VULNERABILIDAD DEL SITIO WEB

SEGURIDAD

AUDITORIA DE HARDWARE Y SOFTWARE

AUDITORIA DE HARDWARE Y SOFTWARE