Auditoria catalano

53
REPÚBLICA BOLIVARIANA DE VENEZUELA INSTITUTO UNIVERSITARIO POLITÉCNICO “SANTIAGO MARIÑO” EXTENSIÓN PORLAMAR APLICACIÓN DE AUDITORÍA COBIT AL DEPARTAMENTO DE INFORMÁTICA DE LA EMPRESA CATALANO HOME CENTER C.A. Autores: Br. Rodríguez Jairo Br. Fermín Ester Br. Nathaly Marval Profesor:Ing. Alejandra Torres

Transcript of Auditoria catalano

Page 1: Auditoria catalano

REPÚBLICA BOLIVARIANA DE VENEZUELAINSTITUTO UNIVERSITARIO POLITÉCNICO

“SANTIAGO MARIÑO”EXTENSIÓN PORLAMAR

APLICACIÓN DE AUDITORÍA COBIT AL DEPARTAMENTO DE INFORMÁTICA DE LA EMPRESA CATALANO HOME CENTER C.A.

Autores: Br. Rodríguez Jairo

Br. Fermín Ester

Br. Nathaly Marval

Profesor:Ing. Alejandra Torres

Porlamar, marzo 2017

Page 2: Auditoria catalano

ÍNDICE GENERALÍndice

pp.INTRODUCCIÓN....................................................................................... 2

CAPITULO I.

GENERALIDADES DE LA EMPRESA……….………………… 4

CARACTERIZACION DE LA EMPRESA…….………….….. 4Naturaleza de la Empresa……………………………………. 4Ubicación Geográfica...………………………………………. 5Visión…………………………………………………………… 6Misión…………………………………………………………... 6Objetivos Estratégicos………………………………….......... 6Análisis FODA………………………………………………… 6Metas Organizacionales……………………………………… 7Estructura Organizativa………………………………………. 7Descripción de los Procesos y Funciones………………….. 7

Metodología COBIT…………………………………………… 10Modelo de Madurez……………………………………........... 11Auditoria de TICS Aplicando COBIT………………………… 12Área a Auditar………………………………………………….. 13Proceso de recolección de la información…………............. 13Documentos de gestión en el área de informática…........... 13Herramientas y Técnicas……………………………………… 14Motivos o Necesidades de la Auditoria………..……………. 15

II. EJECUCIÓN DE LA AUDITORÍA………………………………. 16Situación actual del área de sistemas…………………….... 16

Objetivos del departamento…………………………............. 17Seguridad del departamento…………………………………. 18Características de la plataforma tecnológica………………. 19Determinación de los problemas y planteamiento de

hipótesis………………………………………………………………………….

20

Posibles problemas……………………………….............. 20 Formulación de hipótesis……………..………….............. 21

Aplicación de la auditoria…………………..……………… 21 Modelo de madurez de los procesos………….………… 21 Reporte general de los grados de madurez…………….. 24

Page 3: Auditoria catalano

III. ANÁLISIS DE LOS RESULTADOS 25Informe técnico……………………………………………….…... 27Informe ejecutivo……………..................................................... 30

IV. CONCLUSIONES Y RECOMENDACIONES 35 Conclusiones……………………………………………….......... 35

Recomendaciones…………………..……………….................................... 36

REFERENCIAS......................……………………………………………….. 37Bibliográficas..................……………………………………………….. 37

Electrónicas......................………………………………………………. 37

Page 4: Auditoria catalano

INTRODUCCIÓN

En el mundo actual las nuevas tecnologías, relacionadas con nuestro

entorno, están agilizando, optimizando y perfeccionando algunas actividades

que se realizan en el día a día la tecnología de la información juega un papel

de alta relevancia para las empresas y organizaciones en el desarrollo de

sus procesos, por lo que puede decirse que la tecnología es imprescindible,

pues lo que hoy se considera como lo máximo en adelanto tecnológico

mañana se convierte en algo pasado de moda (obsoleto), al hacer uso de la

tecnología es posible realizar o elaborar diversos procesos de alta

complejidad de forma automática, llevando controles, registros y reduciendo

notablemente los tiempos de trabajo.

De acuerdo con lo anteriormente expuesto, es necesario revisar,

monitorear y controlar, especialmente en el área de la tecnología de

información, existen herramientas que pueden ser usadas comouna

importante guía para establecer un sistema de control adecuado con el

cual manejarsu uso y aplicación, de tal forma que pueda aprovecharse al

máximo los beneficios que otorga, existente dentro de las empresas CTI o

Departamentos de Informática, ellos son los encargados de administrar los

recursos tecnológicos y buscar utilizarlos de la manera más idónea para

optimizar los procesos.

Por otra parte, una tarea que debe realizarse de forma periódica es la

auditoría, la cual en el área informática es una herramienta que determina la

eficacia de las acciones establecidas para alcanzar los objetivos, evaluando

si es necesario introducir mejoras en las operaciones, manteniendo la

integridad de los datos y promueven el cumplimiento eficaz de los fines de la

organización.

En el caso de la investigación realizada, se propone la aplicación de una

auditoría COBIT,que es un sistema diseñado con el fin de lograr que las

organizaciones lleven a cabo la aplicación de manera exitosa de un modelo

2

Page 5: Auditoria catalano

que les permita establecer sus requerimientos en cuanto a su tecnología y

la información que manejan en su que hacer diario al Departamento de

Informática de la empresa CATALANO HOME CENTER, C.A con el objeto de

determinar amenazas y fortalezas en los procesos que ejecuta, a fin de

determinar los posibles factores que atenten contra el desarrollo regular y

eficiente de las actividades.

3

Page 6: Auditoria catalano

CAPITULO I

GENERALIDADES DE LA EMPRESA

CARACTERIZACION DE LA EMPRESA

Naturaleza de la Empresa

Catalano Home Center C.A, fue construida el 22 de marzo de 1999.

Siendo una empresa familiar, fundada por el Sr. Giovanni Catalano.

Inicialmente esta empresa se denominó “Comercial Catalano”, S.A,

construida en el año 1967, dedicada a la venta de materiales de

construcción, gases, ferretería y herramientas a baja escala.

Esta misma empresa fue cerrada en el año de 1996 y posteriormente se

crea la empresa “Aprosica”(Abastecedora De Productos Siderúrgicos

Compañía Anónima), dedicada al mismo ramo que la anterior, pero con mas

ahincó en la venta del hierro (cabillas, cerchas, barras, laminas entre otras),

esta funcionaba en un pequeño local, el cual no era lo suficientemente

amplio y cómodo para satisfacer las exigencias de la numerosa clientela que

con el pasar de los años había crecido gracias a las numerosas ofertas que

se ofrecían en materiales de construcción.

Considerando esta situación, los dueños decidieron arrancar la

construcción de un local más amplio y cómodo que llenara las expectativas

de los actuales consumidores y ofrecerles más variedad de productos, es así

como se da cierre de Aprosica en el año 1999. Luego de un corto periodo

preoperatorio desde la fecha de construcción de lo que hoy en día se conoce

como Catalano Home Center C.A.

4

Page 7: Auditoria catalano

Ubicación Geográfica

La empresa Catalano Home Center C.A.se encuentra ubicada en (Av 31

de Julio, Sector Guatamare, Vía La Asunción, cerca de la Coca-Cola), la

zona se encuentra en una vía principal, bien comunicada y con facilidades de

acceso, en el siguiente mapa extraído de Google Maps puede verse la

localización de la organización:

Figura 1. Localización de Catalano Home Center C.A. Tomado de:Google Maps

(2017)

La ubicación de la empresa no es simplemente una casualidad, fue

ideada estratégicamente, la zona se encuentra en una vía principal, bien

comunicada y con facilidades de acceso. Todo lo antes mencionado, ubica a

la organización en un punto ventajoso frente a sus competidores ya que los

usuarios siempre se inclinan por la comodidad.

Visión

5

Page 8: Auditoria catalano

Catalano Home Center C.A. Tiene como visión, ser una organización

reconocida, con minas de expansión por todo el territorio, tanto a nivel

regional como nacional.

Misión

Catalano Home Center C.A. Tiene una misión brindar un servicio de

calidad en la compra y venta de productos en el ramo ferretero y de

construcción, ofreciéndoles una excelente atención a nuestros clientes a

través de la capacitación del talento humano con el que contamos que

satisfaga cualquier inquietud que amerite, ofertando las mayores

diversidades de productos a los precios competitivos del mercado.

Objetivos Estratégicos Análisis FODA

Análisis InternoFortalezas

Variedad de herramientas en el área ferretera y de construcción.

Buen servicio para la atención del cliente.

Relación beneficiosa con sus proveedores.

Escaso nivel de ausencia de los empleados en la empresa.

Debilidades No cuenta con una eficiente

comisión al delegar las funciones. Inexistencia de mecanismos que

midan el desempeño del personal. Ausencia de procedimientos que

permita medir el cumplimento de los objetivos.

Análisis ExternoOportunidades

Ubicación geográfica favorable.

Innovación tecnológica en maquinarias y/o equipos.

Aumento de la clientela a causa de la necesidad del transporte de materiales.

Amenazas Alto índice inflacionario en el país Incrementación de la

competencia. Ventaja de empresas

competidoras en relación a la disposición de equipos de última generación.

Metas Organizacionales

6

Page 9: Auditoria catalano

Metas a Corto Plazo

Abastecimiento de los productos disponibles para la venta, con el fin de

brindar variedad de servicio de calidad en la compra y venta.

Metas a Largo Plazo

Dar mejor servicio en empresa ferretera y de construcción de la región

brindando servicios varios, suministrar, distribuir, producir sin que ello

implique limitación alguna a materiales de construcción.

Estructura Organizativa

En la siguiente figura es posible apreciar como está estructurada la

organización:

Figura 2. Estructura Organizativa de Catalano Home Center C.A.

7

PresidenciaGerente GeneralGerencia de RRHHGerencia de administraciónDpto. de contabilidadSec. Cuentas por CobrarSec. Cuentas por PagarSec. de TesoreriaDpto. de ComprasDpto. de importanciónGerencia de OperacionesDpto. TiendaUnidad de FacturaciónUnidad Operación CCTVDpto. de PatioUnidad de DepositoDpto. InformáticoUnidad. Soporte Técnico

Page 10: Auditoria catalano

Descripción de los Procesos y Funciones

Gerencia General

Es la gerencia principal dentro de la empresa, encargada de regular y

vigilar las actividades y los procesos de los demás departamentos, este

personal en la empresa se dirige directamente al gerente de administración,

gerente de compras y gerente de operaciones respectivamente.

Gerencia de Recursos Humanos

Este departamento se encuentra conformado por un jefe y una asistente

de recursos humanos, quienes se encarga del control de nómina, ingreso y

egresos, además del control de asistencias y toda la información relevante

de los empleados, leyes y normativas. Gerencia de Administración

Es el jefe principal de los departamentos de: contabilidad, compras,

importación es el administrador principal y sus funciones radican en el flujo

de procesos de efectivo, caja e información.

Departamento de Contabilidad

Es el departamento encargado de la contabilidad de la empresa, además

del control de flujo de caja y pagos realizados a los distintos proveedores o

servicios es el jefe principal de las secciones de: cuentas por cobrar, cuentas

por pagar y tesorería.

Departamento de Compras

Es el departamento encargado es el encargado de realizar las

adquisiciones necesarias en el momento debido, con la cantidad y calidad

requerida y a un precio adecuado.

8

Page 11: Auditoria catalano

Departamento de Importación

Es el departamento encargado su trabajo consiste en organizar el

transporte y garantizar que los artículos sean enviados por los métodos más

convenientes y rentables.

Gerencia de Operaciones

La gerencia de operaciones es el jefe principal de los departamentos de:

patio, tienda e informático es la encargada de evaluar y planificar la

optimización sus funciones radican de vigilar los procesos de trasferencia de

mercancía realizadas en el flujo de procesos de efectivo, caja e información.

Departamento de Tienda

Es el departamento encargado donde el cliente puede elegir y recoger

personalmente las mercancías que desea adquirir, a diferencia de las tiendas

departamentales este se subdivide a la unidad de facturación y unidad de

depósito CCTV.

Departamento de Patio

Este departamento realiza el proceso de recepción, entrada y

transferencia de la mercancía a la tienda,se encargan del cuidado de los

productos comprados y guardados para ser utilizados en la empresa.

Departamento de informática

Este departamento se encuentra conformado por un jefe de informática y

por soporte técnico, son los responsables de atender las necesidades de

cómputo desarrollar y proponer la implementación de nuevas tecnologías y

9

Page 12: Auditoria catalano

sistemas informáticos elaborar planes de mantenimiento preventivo y brindar

soporte técnico solicitado por las distintas unidades.

Metodología COBIT

El COBIT es precisamente un modelo para auditar la gestión y control de

los sistemas de información y tecnología, orientado a todos los sectores de

una organización, es decir, administradores IT, usuarios y por supuesto, los

auditores involucrados en el proceso. El COBIT es un modelo de evaluación

y monitoreo que enfatiza en el control de negocios y la seguridad IT y que

abarca controles específicos de IT desde una perspectiva de negocios.

Las siglas COBIT significan Objetivos de Control para Tecnología de

Información y Tecnologías relacionadas (Control Objectives for Information

Systems and related Technology). El modelo es el resultado de una

investigación con expertos de varios países, desarrollado por ISACA

(Information Systems Audit and Control Association).

Figura 2.Estructura COBIT.

10

Page 13: Auditoria catalano

Modelo de Madurez

Toda organización que pretenda optimizar sus recursos tecnológicos, y

por lo tanto, ser más competitiva, requiere comprender el estado de los

Procesos que Gestionan sus Sistemas de Tecnología de Información y

Comunicaciones (TIC), con la finalidad de establecer el nivel de

administración y control adecuado que debe proporcionar a sus Sistemas.

Para decidir el nivel adecuado, la Gerencia TIC debe realizar un estudio

detallado donde se indique la realidad de su Gestión actual, y su posición

frente a la competencia, con esto como base podrá plantear a la Alta

Gerencia las prioridades de atención, para que estos últimos puedan alinear

estas necesidades con la estrategia de la empresa, y conjuntamente con la

Gerencia TIC, establecer un Plan de Acción que garantice beneficios para la

organización.

El enfoque de los Modelos de Madurez para el control sobre los procesos

de TI consiste en desarrollar un método de asignación de puntos para que

una organización pueda calificarse desde Inexistente hasta Optimizada (de 0

a 5).

Este planteamiento se basa en el Modelo de Madurez que el Software

Engineering Institute definió para la madurez de la capacidad de desarrollo

de software. Cualquiera sea el modelo, las escalas no deben estar

demasiado simplificadas, lo que haría que el sistema fuera difícil de usar y

sugeriría una precisión que no es justificable.

11

Page 14: Auditoria catalano

Modelo Genérico de Madurez

Figura3.ModeloGenérico de Madurez. http://gesegtic.blogspot.com/2014/09/analisis-

de-madurez-y-capacidad-de.html

Las escalas del Modelo de Madurez ayudarán a la gerencia de usuarios a

explicar a los administradores dónde existen deficiencias en la administración

de TI y a fijarse objetivos para donde necesitan estar comparando las

prácticas de control de su organización con los ejemplos de la mejor práctica.

El nivel correcto de madurez estará influenciado por los objetivos de negocio

y el entorno operativo de la empresa.

Auditoria de TICS Aplicando Cobit

La Auditoria de TECNOLOGIAS DE INFORMACION (T.I.), como se le

conoce actualmente, (Auditoria informática o Auditoria de sistemas en

nuestro medio), se ha consolidado en el mundo entero como cuerpo de

conocimientos cierto y consistente, respondiendo a la acelerada evolución

de la tecnología informática de los últimos 10 años. En algunos países

altamente desarrollados es catalogada como una actividad de apoyo vital

12

Page 15: Auditoria catalano

para el mantenimiento de la infraestructura crítica de una nación, tanto en el

sector público como privado, en la medida en que la Información es

considerada un activo tan o más importante que cualquier otro en una

organización.

Existe pues, un cuerpo de conocimientos, normas, técnicas y buenas

prácticas dedicadas a la evaluación y aseguramiento de la calidad,

seguridad, razonabilidad, y disponibilidad de la Información tratada y

almacenada a través del computador y equipos afines, así como de la

eficiencia, eficacia y economía con que la administración de un ente están

manejando dicha Información y todos los recursos físicos y humanos

asociados para su adquisición, captura, procesamiento, transmisión,

distribución, uso y almacenamiento.

Área a Auditar

La auditoría se realizara en el departamento de informática de la

empresa, ya que es el lugar donde se maneja gran parte de la información de

la empresa como el manejo de los equipos tecnológicos.

Proceso de recolección de la información

A través de observación directa y una guía de entrevista estructurada

realizada al jefe del departamento de informática y posterior al gerente

general, se pudieron determinar las fallas presentadas en el departamento y

poder obtener mayor cantidad de evidencias.

Documentos de gestión en el área de informática

Actualmente los documentos utilizados por el departamento de informática

son:

13

Page 16: Auditoria catalano

Manual de respaldo de equipos

Manual de uso de sistemas de información

Manual de contingencias

Manual de procedimientos administrativos

A pesar de ello, no existen manuales de procedimientos para

mantenimiento de equipos o normativas de uso para los equipos

tecnológicos de la empresa.

1. Entrevista Con el Jefe del departamento de informática y Gerente

General

2. Observación directa en los procesos del departamento

3. Análisis de los manuales que contiene el departamento

4. Revisión de Carpetas de historiales de equipos

5. Evaluar las tecnologías de información (TI), tanto en hardware

como el software

6. Evaluar la seguridad de la información y de los equipos

tecnologías de la empresa

14

Page 17: Auditoria catalano

Motivos

o

Necesidades

de la Auditoria

Síntomas de inseguridad en el mantenimiento de la información.

Quejas de los usuarios que manejan los sistemas de información.

Búsqueda de una nueva opinión acerca de los procesos informáticos

dentro de la organización

Síntomas de fallas en integridad de la información.

15

Herramientas

Cuaderno de Apuntas Sistema Microsoft Office Lápices Aplicación Everest

Hojas de papel Otros

Técnicas

Entrevista Estructurada

Observación Directa

Page 18: Auditoria catalano

CAPITULO II

Situación actual del área de sistemas

Ubicación:

El departamento de sistemas e informática se ubica en el primer piso del

local, específicamente en el área de oficinas, tiene como responsabilidad

mantener la integridad de la data que se maneja dentro de la organización.

De igual forma, es este departamento quien gestiona y administra la

adquisición y uso del software y hardware que utiliza la empresa para el

desarrollo de sus actividades operacionales; así mismo, se encarga de

mantener a la empresa a la vanguardia en lo que respecta a la plataforma

tecnológica.

Cargos Funcionales y Operativos:

NOMBRES Cargos del departamento ACTIVIDADEslava Zambrano Jefe de sistemas Se encarga de administrar

los recursos de la empresa además de dirigir el personal

del departamentoEddy Heredia Analista técnico de redes y

sistemasConsiste en analizar las

posibles modificaciones a los sistemas de operativos y

optimizarlosJohan Narváez Analista técnico de redes y

sistemasHenry Pérez Asistente técnico Presentar apoyo a las

actividades que se efectúan en el departamento

Cuadro 1. Cargos y Funciones.

16

Page 19: Auditoria catalano

Objetivos del departamento

Constituir planes de acción estratégicos ligados a la tecnología, en

concordancia con los requerimientos de la directiva y gerencia de la

empresa.

Proponer la adquisición de nuevos recursos tecnológicos para la

organización, siempre y cuando se considere necesario y se

demuestre que así sea.

Resguardar la integridad de la data que se maneja dentro de la

empresa, estableciendo mecanismos de control y seguridad para

alcanzar tal fin.

Brindar soporte técnico al personal de las diferentes áreas de la

empresa.

Planificar tareas de respaldo (Plan backup) para cada uno de los

equipos, haciéndolo de forma periódica y almacenando esa

información en dispositivos de almacenamiento masivo externo.

Mantener la red de trabajo operativa (Comunicación y sistemas de

información).

Realizar jornadas de adiestramiento, capacitación y nivelación a los

actuales y futuros usuarios de los recursos tecnológicos.

Establecer planes de mantenimiento en relación al hardware y

software, hacer levantamiento de información de las incidencias

relacionadas a ellos, para luego analizarlas y corregir fallas.

Seguridad del departamento

17

Page 20: Auditoria catalano

a. Seguridad física:

Proteger el área del data center frente a posibles inundaciones.

Contar con las instalaciones eléctricas adecuadas para

resguardar la integridad de los equipos.

Un lugar adecuado y fresco que mantenga los servidores

trabajando a temperaturas ideales.

b. Seguridad legal:

Aplicación de estándares y metodologías de calidad (IEEE,

ISO, TIER, entreotros) de manera tal que se garantice la

ejecución de procesos blindados y seguros.

Adquirir las licencias de los sistemas operativos (Microsoft) en

uso, de igual forma con antivirus u otro software; esto para no

incurrir en faltas legales.

c. Seguridad de datos:

Ejecutar las tareas de respaldo según la planificación.

Establecer niveles de acceso acordes a la realidad tanto para

los sistemas de información como la los servidores, para

impedir acceso y manipulación no autorizada a la información.

d. Seguridad de personas:

Instituir políticas de seguridad física y mental para el personal.

Dotar al departamento con las herramientas de protección

necesarias para garantizar la seguridad de los empleados.

Instruir a los empleados de cómo actuar ante situaciones de

desastre (incendios, inundaciones, sismos, entre otros).

Determinación de los problemas y planteamiento de hipótesis

No se cuenta con servidores de reposición en canso de alguna

contingencia

Falta de acondicionamiento al área de servidores

18

Page 21: Auditoria catalano

Falta de capacitación a los personal de informática que brinda soporte

a los usuarios en los sistemas.

Posibles problemas

Incumplimiento de planes de mantenimiento.

Falta de organización en la ejecución de los procesos.

Inexperiencia en el uso de los sistemas de información de la empresa.

Fallas de comunicación entre las diferentes dependencias

administrativas.

No se lleva un registro de las actividades realizadas, lo que dificulta su

control y monitoreo.

Formulación de hipótesis

No se ha logrado establecer un enlace de comunicación fuerte dentro del

departamento, al no fluir correctamente la información el desarrollo de los

procesos es ineficiente. Así mismo, existen muchos procesos a la deriva, es

decir, no se han determinado responsabilidades y funciones; no se ha

tomado importancia a temas referentes a la seguridad en general.

Características de la plataforma tecnológica

Equipo dedicado exclusivamente a brindar un servicio (correo, Internet,

página web, entre otros):

Plataforma: Windows

Sistema operativo: Windows server 2003

Procesador: Intel Core duo.

Tarjeta de video: convencional

Disco duro Acorde a la aplicacion que brindará el servicio.

19

Page 22: Auditoria catalano

Ram: Acorde a la aplicación que brindará el servicio.

Es el que se dedica a actividades con el Office y software que utiliza poca

memoria:

Plataforma: Windows

Sistema Operativo: Windows XP

Procesador: PENTIUM IV, AMD (1.5 GHz).

Tarjeta de video: convencional

Disco duro: 160 Gb

RAM: 2Gb.

Determinación de los problemas y planteamiento de hipótesis

No se cuenta con servidores de reposición en canso de alguna

contingencia

Falta de acondicionamiento al área de servidores

Falta de capacitación al personal de informática que brinda soporte a

los usuarios en los sistemas.

Posibles problemas

Incumplimiento de planes de mantenimiento.

Falta de organización en la ejecución de los procesos.

Inexperiencia en el uso de los sistemas de información de la empresa.

Fallas de comunicación entre las diferentes dependencias

administrativas.

20

Page 23: Auditoria catalano

No se lleva un registro de las actividades realizadas, lo que dificulta su

control y monitoreo.

Formulación de hipótesis

No se ha logrado establecer un enlace de comunicación fuerte dentro del

departamento, al no fluir correctamente la información el desarrollo de los

procesos es ineficiente. Así mismo, existen muchos procesos a la deriva, es

decir, no se han determinado responsabilidades y funciones; no se ha

tomado importancia a temas referentes a la seguridad en general.

Aplicación de la auditoria

Modelo de madurez de los procesos

Nivel 0 Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5 Nivel 6Definir un plan estrategia de TI

X

Definir la arquitectura de la información

X

Definir la dirección tecnológica

X

Definir los procesos, organización y relaciones de TI

X

Administrar la inversión en TI

X

21

Page 24: Auditoria catalano

Comunicar las metas y la dirección de la gerencia

X

Administrar los recursos humanos de TI

X

Administrar la calidad

X

Evaluar y administrar los riesgos TI

X

Administrar los proyectos

X

Identificar las soluciones automatizadas

X

Adquirir y mantener software aplicativo

X

Adquirir y mantener la infraestructura tecnológica

X

Facilitar la operación y el uso

X

Procurar recursos de TI

X

Administrar los cambios

X

Instalar y acreditar soluciones y cambios

X

Definir y X

22

Page 25: Auditoria catalano

administra los niveles de servicio

Administrar los servicios de terceros

X

Administrar el desempeño y capacidad

X

Asegurar el servicio continuo

Garantizar la seguridad de los sistemas

X

Identificar y asignar costos

X

Educar y entrenar a los usuarios

X

Administrar la mesa de servicio y los incidentes

X

Administrar la configuración

X

Administrar los problemas

X

Administrar los datos

X

Administrar el ambiente físico

X

Administrar las operaciones

X

Monitoreo y evaluar el desempeño de TI

X

Monitorear y X

23

Page 26: Auditoria catalano

evaluar el control interno

Garantizar el cumplimiento regulatorio

X

Proporcionar gobierno de TI

X

Cuadro 2 . Modelo de Madurez.

Como se muestra en el cuadro anterior existe varias actividades que

presentan fallas en los modelos de madurez, además que en el

departamento no cuenta con el persona completo para cumplir con la gran

mayoría de las actividades, a continuación se muestra una tabla con los

resultados:

Nivel 0 Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5 Nivel 6

Cantidad 4 6 5 8 5 5 0

Cuadro 3. Modelo de Madurez por tabla.

En la escala de nivel de madurez de puede decir que el departamento

cuenta con un alto nivel 3 de actividades.

Reporte general de los grados de madurez

Dominio

Procesos Nivel de Madurez

Plan

eaci

ón y

O

rgan

izac

ión

Definir un plan estrategia de TI 0

Definir la arquitectura de la información 3

Definir la dirección tecnológica 1

Administrar la inversión en TI 4

Administrar los recursos humanos de TI 5

24

Page 27: Auditoria catalano

Administrar la calidad 4

Administrar los proyectos 1

Adq

uirir

e

impl

emen

tar

Adquirir y mantener software aplicativo 4

Adquirir y mantener la infraestructura tecnológica 4

Administrar los cambios 2

Entr

egar

y d

ar s

opor

te

Instalar y acreditar soluciones y cambios 1

Administrar los servicios de terceros 5

Administrar el desempeño y capacidad 2

Asegurar el servicio continuo 3

Garantizar la seguridad de los sistemas 1

Educar y entrenar a los usuarios 4

Administrar la mesa de servicio y los incidentes 5

Administrar la configuración 0

Administrar los problemas 2

Administrar los datos 3

Administrar las operaciones 1

Mon

itore

ar y

ev

alua

r Monitoreo y evaluar el desempeño de TI 3

Garantizar el cumplimiento regulatorio 4

Proporcionar gobierno de TI 5

Cuadro 4. Reporte general de los grados de madurez.

Análisis por dominio:

Planeación y organización

25

Page 28: Auditoria catalano

No se le están dando el uso correcto a las planificaciones y

organizaciones dentro del departamento, esto trae como

consecuencia que la organización no aproveche al máximo las TI.

Adquirir e implementar

A pesar que la organización cuenta con los recursos monetarios y

la motivación para optimizar los procesos tecnologías dentro de la

empresa, el departamento no cuenta con todo el personal capaz

de manejar los distintos niveles de tecnologías alojadas en la

misma.

Entregar y dar soporte

Existe gran motivación en los usuarios por aprender acerca de los

sistemas de información utilizados en la organización, y el

departamento cuenta con un personal capacitado para brindar

soluciones efectivas a los usuarios ante los problemas que se

puedan presentar.

Monitorear y evaluar

A pesar que existen manuales de monitoreo y evaluación, además, de llevar

algunos controles de accesos a las áreas de informática de la empresa, no

se cumple con cabalidad todas las medidas de seguridad sugeridas para

mantener en orden las actividades rutinarias del departamento.

26

Page 29: Auditoria catalano

CAPÍTULO III

ANÁLISIS DE LOS RESULTADOS

Informe técnico

Alcance

Mediante esta auditoría se pretende evaluar el estado actual del

Departamento Informático de la empresa “Catalano Home Center , C.A.”,

mediante este proceso se podrá brindar a la empresa sus respectivas

conclusiones y recomendaciones para cada uno de los procesos evaluados

en cada dominio según la metodología COBIT 4.1.

Objetivo General

Realizar la auditoría de las tecnologías de la información en el

departamento de informática dentro de la empresa “Catalano Home Center,

C.A.”, utilizando como modelo de referencia la metodología COBIT 4.1.

Objetivos Específicos

Identificar posibles problemas técnicos en las TI y dar soluciones

viables.

Definir controles que permitan disminuir riesgos dentro del

departamento de informática.

27

Page 30: Auditoria catalano

A continuación se detalla los resultados de las evaluaciones en

cada uno de los dominios, basándonos en los niveles de madurez los

cuales van desde el rango 0 hasta el rango máximo 5.

Dominio de Planear y Organizar

El departamento cuenta con manuales y planificaciones bien

estructuradas, en cuento a los mantenimientos de los equipos, respaldos de

la información y revisión la calidad e integridad de la información.

A pesar que no se posee un manual general de dicho proceso, se puede

decir que el departamento cuenta con la motivación y los conocimientos

necesarios para realizar el mismo.

Recomendaciones COBIT:

Crear un plan general estratégico y un script de procesos de cómo

se deben efectuar las actividades a nivel general.

Aumentar el rango de los planes estratégicos incluyendo

revisiones de inventario de equipos tecnológicos, aumento de la

revisión de la seguridad de la información y mejoramiento de los

manuales actualmente existentes.

Dominio de Adquirir e implementar

El departamento cuenta con el apoyo de la gerencia general en cuanto a

la adquisición de nuevas tecnológicas y el refuerzo de las TI dentro de la

organización, esto cuenta con un punto favorable ya que se enmarca el

interés por parte de la directiva del mejoramiento de las tecnologías.

28

Page 31: Auditoria catalano

Por otro lado, el departamento no cuenta con una normativa de

requerimiento de equipos, además, de un manual de implementación de los

sistemas de información los cuales son atendidos por un soporte externo,

esto dificultando el mejoramiento del mismo.

El personal del departamento no cuenta con la capacitación necesaria

para mejorar e implementar nuevas herramientas dentro de los sistemas de

información, así como, creando así la dependencia de los entes externos.

Recomendaciones COBIT:

Crear normativas de requerimientos basado en las tecnologías

actuales dentro de la organización.

Fomentar la capacitación del personal para así garantizar el

mejoramiento de las herramientas utilizadas dentro de los

sistemas de información y así disminuir el nivel de dependencia de

los entes externos.

Dominio Estratega y dar soporte

El departamento cuenta con el personal para el soporte a los usuarios

que utilizan las tecnologías así como los sistemas de información, además,

cuenta con la motivación de aprender día a día a utilizarlos y mejorarlos

creando reglas y normas útil para el mantenimiento de las mismas.

Por otro lado, faltan planes de capacitación a los usuarios para el uso de

las tecnológicas.

Recomendaciones COBIT:

29

Page 32: Auditoria catalano

Crear y diseñar planeas de capacitación a los usuarios para el uso

de los las tecnologías y los sistemas de información.

Dominio Monitoreo y Evaluación

El departamento cuenta con actividades y procesos de monitoreo

continuo en los sistemas de información, además de controles de seguridad

para mantener la integridad de la data en los sistema de base de datos.

Cuenta con scripts de actividades para el seguimiento de este monitoreo

y un libro de bitácoras para la revisión por parte de la auditoria de las

actividades realizadas en los servidores.

Por otro lado, no llevan un historial de acceso al área de servidores así

como un control de visitas por parte de entes externos para revisiones o

mantenimientos.

Recomendaciones COBIT:

Diseñar un plan de seguimiento para el control de accesos a las

distintas aéreas dentro del departamento de informática.

Mejorar con manuales las actividades de monitoreo de los

sistemas de información así como de las tecnologías utilizadas

dentro de la organización.

Informe ejecutivo

En este informe de detalla los resultados de la evaluación en cada uno

de los dominios y las recomendaciones que ofrece la metodología COBIT 4.1

30

Page 33: Auditoria catalano

evaluando el departamento de informática dentro de la organización

“Catalano Home Center, C.A.”.

56%40%

Efectividad

EfectividadDeficit

La efectividad consiste en que la información relevante sea entregada de

forma, correcta, consistente y utilizable, este criterio tiene un porcentaje de

56%.

70%

29%

Eficiencia

EfectividadDeficit

La eficiencia consiste en que la información debe ser generada

optimizando los recursos, este criterio tiene un promedio de 70%.

31

Page 34: Auditoria catalano

47%

60%

Cofidencialidad

EfectividadDeficit

La confidencialidad consiste en que la información vital sea protegida

contra la revelación no autorizada, este criterio tiene un porcentaje de 47%.

80%

23%

Integridad

EfectividadDeficit

La integridad consiste en que la información debe se precisa, completa y

valida, este criterio tiene un promedio de 80%.

32

Page 35: Auditoria catalano

87%

12%

Disponibilidad

EfectividadDeficit

La disponibilidad consiste en que la información esté disponible cuando

esta sea requería por parte de las aéreas de la organización en cualquier

momento, este criterio tiene un porcentaje de 87%.

59%

42%

Cumplimiento

EfectividadDeficit

El cumplimiento consiste en que se debe respetar las leyes, reglamentos

y acuerdos contractuales a los que está sujeta el proceso de la organización

con políticas interna, este criterio tiene un porcentaje de 59%.

33

Page 36: Auditoria catalano

80%

20%

Confiablidad

EfectividadDeficit

La confiabilidad consiste en que se debe respetar y proporcionar la

información apropiada, con el fin de que la gerencia general administre la

entidad, este criterio tiene un porcentaje del 80%.

34

Page 37: Auditoria catalano

CAPITULO IV

CONCLUSIONES Y RECOMENDACIONES

CONCLUSIONES

La Auditoría identifica, enumera y posteriormente describe las diversas

vulnerabilidades que pudieran presentarse en una revisión exhaustiva de los

sistemas, luego se establecen medidas preventivas y se pretende aprender de

los errores.

Por su parte, el trabajo de auditoría aplicado a la empresa Catalano Home

Center, C.A, específicamente en el área de informática, ayudó a esta

empresa a precisar su nivel de desempeño y presentarles oportunidades de

mejora aporta resultados relevantes para la organización.

Todo esto se hizo con el fin de proporcionar a la empresa

recomendaciones de alternativas de solución, las cuales se espera que sean

de gran utilidad para la empresa Catalano Home Center C.A.

35

Page 38: Auditoria catalano

Recomendaciones Adecuar los procedimientos y resultados de gestión de información y

atención a usuarios a un modelo de trabajo basado en normas de

calidad COBIT.

Aplicar tareas de auditoría cada 8 meses.

Utilizar los resultados de las evaluaciones periódicas de la calidad en

el servicio como oportunidades de mejora, a, tanto para los procesos

de servicio de la organización, como para los procesos de utilización

del sistema de memoria organizacional.

Cumplir con los planes de mantenimiento.

Renovar la plataforma tecnológica a medida que se necesite.

Mantener comunicación a las diferentes gerencias de las actividades a

realizar, así todos se mantengan al mismo nivel de conocimiento.

36

Page 39: Auditoria catalano

REFERENCIAS

Referencias Bibliográficas

Fernández, M. y Sánchez, J. (1997). Eficacia Organizacional.

Concepto, desarrollo y evaluación. Madrid, España: Editorial Díaz de Santos,

S.A.

Hellriegel, D. (2006). Administración. Enfoque basado en competencia

(10ed.). Madrid, España: CengageLearning Editores.

Hitt, P. (2006). Administración (9ed.). México D. F., México: Pearson

educación

Lusthaus, C. (2002). Evaluación Organizacional: marco para mejorar

el desempeño. Ottawa, Canadá: Centro Internacional de Investigaciones.

Stoner, J.y Freeman, E. (1997). Administración (6ed.). México D. F.,

México: McGraw-Hill.

Referencias Electrónicas

Diccionario de la Real Academia Española (2001). Comercialización

[online]. Disponible en: http://lema.rae.es/drae/?val=comercializaci%C3%B3n

[Consulta: 2012, Noviembre 12]

Diccionario de la Real Academia Española (2001). Estrategia [online].

Disponible en: http://lema.rae.es/drae/?val=estrategia [Consulta: 2012,

Noviembre 12]

Diccionario de la Real Academia Española (2001). Optimización

[online]. Disponible en: http://lema.rae.es/drae/?val=optimizacion [Consulta:

2012, Noviembre 12]

Diccionario de la Real Academia Española (2001). Planeación [online].

Disponible en: http://lema.rae.es/drae/?val=planeacion [Consulta: 2012,

Noviembre 12]

37

Page 40: Auditoria catalano

Diccionario de la Real Academia Española (2001). Planificador

[online]. Disponible en: http://lema.rae.es/drae/?val=planificador [Consulta:

2012, Noviembre 12]

Diccionario de la Real Academia Española (2001). Proceso [online].

Disponible en: http://lema.rae.es/drae/?val=proceso [Consulta: 2012,

Noviembre 12]

Diccionario de la Real Academia Española (2001). Producto [online].

Disponible en: http://lema.rae.es/drae/?val=producto [Consulta: 2012,

Noviembre 12]

Diccionario de la Real Academia Española (2001). Servicio [online].

Disponible en: http://lema.rae.es/drae/?val=servicio [Consulta: 2012,

Noviembre 12]

38