SlideShare una empresa de Scribd logo
1 de 38
Descargar para leer sin conexión
REPÚBLICA BOLIVARIANA DE VENEZUELA
INSTITUTO UNIVERSITARIO POLITÉCNICO
“SANTIAGO MARIÑO”
EXTENSIÓN PORLAMAR
APLICACIÓN DE AUDITORÍA COBIT AL DEPARTAMENTO DE SISTEMAS DE
LA EMPRESA SOFTMEDIA VE C.A.
Autores:
Br. Quintero, Luisanny C.I.: 24.905.763
Profa.: Ing. Alejandra Torres
Porlamar, Marzo 2016
2
ÍNDICE GENERAL
pp.
INTRODUCCIÓN............................................................................................... 2
CAPITULO
I. GENERALIDADES DE LA EMPRESA……….………………… 3
1.1. CARACTERIZACION DE LA EMPRESA…….………….. 3
1.1.1. Naturaleza de la Empresa……………………………….. 3
1.1.2. Ubicación Geográfica...…………………………………. 4
1.1.3. Visión…………………………………………………… 5
1.1.4. Misión…………………………………………………… 5
1.1.5. Objetivos Estratégicos…………………………………... 5
1.1.5.1. Análisis FODA……………………………………… 5
1.1.5.2. Metas Organizacionales…………………………….. 6
1.1.6. Estructura Organizativa…………………………………. 7
1.1.6.1. Descripción de los Procesos y Funciones…………… 7
1.2. Metodología COBIT………………………………………… 10
1.2.1. Modelo de Madurez…………………………………….... 12
1.2.2. Auditoria de TICS Aplicando COBIT…………………… 13
1.2.2.1. Área a Auditar………………………………………. 13
1.2.2.2. Proceso de recolección de la información…………... 14
1.2.2.3. Documentos de gestión en el área de informática…... 14
1.2.2.4. Plan de auditoria en el área de informática…………. 14
1.2.2.5. Herramientas y Técnicas……………………………. 15
1.2.2.6. Motivos o Necesidades de la Auditoria………..…… 15
1.2.2.7. Modelos de Madurez a Nivel Cualitativo (coso)……. 16
II. EJECUCIÓN DE LA AUDITORÍA……………………………… 20
2.1. Situación actual del área de sistemas……………………….. 20
2.1.1. Objetivos del departamento…………………………...... 21
2.1.2. Organigrama del departamento…………………………. 22
2.1.3. Seguridad del departamento…………………………….. 22
2.1.4. Características de la plataforma tecnológica……………. 23
2.1.5. Determinación de los problemas y planteamiento de
hipótesis………………………………………………………………………….
27
2.1.5.1. Posibles problemas………………………………... 27
2.1.5.2. Formulación de hipótesis……………..…………... 27
2.2. Aplicación de la auditoria…………………..……………… 28
2.2.1. Modelo de madurez de los procesos………….………. 28
2.2.2. Reporte general de los grados de madurez…………….. 30
3
III. ANÁLISIS DE LOS RESULTADOS 33
3.1. Informe técnico……………………………………………... 33
3.2. Informe ejecutivo……………................................................. 37
IV. CONCLUSIONES Y RECOMENDACIONES 41
4.1. Conclusiones………………………………………………..... 41
4.2. Recomendaciones…………………..……………….............. 42
GLOSARIO…………………………………………………………………….. 43
REFERENCIAS......................…………………………………………………. 45
Bibliográficas..................………………………………………………….. 45
Electrónicas......................………………………………………………… 45
4
INTRODUCCIÓN
La información es un recurso clave para todas las empresas y desde el momento en que
la información se crea hasta que es destruida, la tecnología juega un papel importante. La
tecnología de la información está avanzando cada vez más y se ha generalizado en las
empresas, en entornos sociales, públicos, y de negocios.
Por lo tanto se conoce como auditoria informática el proceso de recoger, agrupar y
evaluar evidencias para determinar si un sistema de información salvaguarda el activo
empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la
organización y utiliza eficientemente los recursos, pues el progreso de la tecnología de la
computación y la informática, está mejorando día a día, esto a la vez está causando los
problemas de las oportunidades a cometer errores.
Por otra parte, la auditoria informática es una tarea que debe realizarse periódicamente,
porque permite recoger, agrupar y evaluar evidencias para determinar si los sistemas de
información y la tecnología utilizada, mantienen la integridad de los datos y promueven el
cumplimiento eficaz de los fines de la organización.
En el caso de la investigación realizada, se propone la aplicación de una auditoría
COBIT al Departamento de desarrollo de sistemas de la empresa Softmedia ve, c.a. con el
objeto de determinar amenazas y fortalezas en los procesos que ejecuta, a fin de determinar
los posibles factores que atenten contra el desarrollo regular y eficiente de las actividades.
5
CAPITULO I
GENERALIDADES DE LA EMPRESA
1.1. CARACTERIZACION DE LA EMPRESA
1.1.1. Naturaleza de la Empresa
SoftMedia VE, C.A., es una compañía que desarrolla las iniciativas de sus clientes
mediante servicios integrales de ingeniería y diseño informático. El equipo de profesionales
cuenta con amplia experiencia en desarrollo e implementación de software especializado.
Se encuentra en capacidad de ejecutar 50.000 horas/año de ingeniería informática con
posibilidades de expansión ágil y coordinada. Presta servicios acorde con el Estado del Arte
de la Tecnología Mundial adaptándolos a los recursos y necesidades particulares de sus
clientes.
1.1.2. Ubicación Geográfica
Sus instalaciones se encuentran ubicadas en el estado Nueva Esparta, Municipio Mariño,
Porlamar, Calle Cedeño, Centro empresarial Bolívar, Oficina A1.
Figura 1. Ubicación Sofmedia VE, C.A. Fuente: Google Maps. (2016).
6
1.1.3. Visión
SoftMedia posee una planta de personal altamente especializado y con amplia
experiencia en cada una de las áreas.
Capacidad de Expansión
El conocimiento del desarrollo informático y tecnológico del país le permite a
SoftMedia ampliar de manera ágil y efectiva su planta de personal para asumir picos de
trabajos.
La experiencia y el conocimiento en el desarrollo de software especializado y tecnología
de punta, permite a SoftMedia entregar resultados con los más altos estándares de calidad.
Precios Competitivos
SoftMedia mantiene una estructura organizacional que optimiza los recursos técnicos -
administrativos y le permite ofrecer precios altamente competitivos.
Alianzas Estratégicas
El conocimiento del mercado mundial le facilita a SoftMedia la identificación, selección
y estructuración de alianzas para la solución de problemas tecnológicos específicos.
1.1.4. Misión
Softmedia provee infraestructura orientado al cumplimiento de objetivos estratégicos y
para ello selecciona las tecnologías de punta necesarias de acuerdo a cada situación.
Ya sea si su objetivo es incrementar su gestión, ampliar su presencia, mejorar la
eficiencia de sus procesos internos o expandir la misión de su institución, le ofrecemos
soluciones reales, efectivas y desarrolladas dentro del tiempo y los costos planeados.
Diseñamos y construimos soluciones completas de software. El diseño de la interfaz
usuario, el diseño estructural, el modelo de datos, el código fuente, la ayuda en línea y la
documentación de nuestras aplicaciones están pensadas para sostener una arquitectura de
información que sea relevante, confiable y contingente.
Nuestro conocimiento en las Tecnologías de la Información nos permite escribir código
eficiente y estable. Ya sea en Oracle,SQL, Delphi, Visual Basic, C++, ASP, PHP o HTML,
7
nuestro código es flexible, fácil de mantener y escalable, de manera que sus sistemas de
información puedan crecer al ritmo de sus necesidades.
1.1.5. Objetivos Estratégicos
1.1.5.1. Análisis FODA
Análisis Interno
Fortalezas
 Profesionales calificados en su
área
 Proyectos de software definidos
Debilidades
 Ninguna metodología definida de
desarrollo de software
 Falta de utilización de
estandarización de código
 Mala administración de plazos de
entrega.
Análisis Externo
Oportunidades
 Ubicación Céntrica y de fácil
acceso.
 Buenos equipos de computo
Amenazas
 Pérdida de recursos por mala
administración del tiempo
 Código no sustentable ni sostenible
ni reutilizable.
Cuadro 1. Análisis FODA. Elaboración propia (2016).
1.1.5.2. Metas Organizacionales
Metas a Corto Plazo
Implementación del sistema de información institucional en su versión web para todas
las instituciones afiliadas a la empresa.
8
Metas a Largo Plazo
Ser el sistema líder para la administración y gestión de todos los procesos
institucionales en la mayoría de las instituciones a nivel nacional de Colombia.
1.1.6. Estructura Organizativa
En la siguiente figura es posible apreciar como está estructurada la organización:
Figura 2. Organigrama. Elaboración propia (2016).
1.1.6.1. Descripción de los Procesos y Funciones
Presidente
Es el fundador y dueño de la empresa, el encargado de gestionar los proyectos y los
presupuestos.
Presidente
Vicepresidente
Coordinador
Dpto. Recursos
Humanos
Dpto. De
Desarrollo
Dpto. de
Soporte
9
Vicepresidente
Es el encargado de supervisar y gestionar todo el trabajo pertinente a las inversiones de los
recursos asignados por el presidente para los proyectos, y apoyar las actividades de
desarrollo de la empresa.
Coordinador
Es el profesional asignado para supervisar y liderar al departamento de desarrollo de
software.
Dpto. de recursos humanos
Es este departamento Trabajan profesionales dedicados a cumplir con los todas las
tareas pertinentes a la administración de los recursos y gestiones humanas.
Dpto. de desarrollo
En él se encuentran todos los profesionales asignados para el desarrollo de software,
contando con un personal humano entre ingenieros de sistemas e informáticos de 10
personas, entre presenciales y trabajadores a distancia.
Dpto. de soporte.
Este es el departamento encargado del soporte técnico de los sistemas.
1.2. Metodología COBIT
COBIT es un acrónimo para Control Objectives for Information and related
Technology (Objetivos de Control para tecnología de la información y relacionada);
desarrollada por la Information Systems Audit and Control Association (ISACA) y el IT
GovernanceInstitute (ITGI).
COBIT es una metodología aceptada mundialmente para el adecuado control de
proyectos de tecnología, los flujos de información y los riesgos que éstas implican. La
metodología COBIT se utiliza para planear, implementar, controlar y evaluar el gobierno
sobre TIC; incorporando objetivos de control, directivas de auditoría, medidas de
rendimiento y resultados, factores críticos de éxito y modelos de madurez.
10
Figura 3. Marco de Trabajo de Metodología COBIT. Fuente:
http://computationeinformaticx.blogspot.com/2014/11/metodologia-cobit.html.
Consultada el 20 de Marzo del 2017.
1.2.1. Modelo de Madurez
El enfoque de los Modelos de Madurez para el control sobre los procesos de TI
consiste en desarrollar un método de asignación de puntos para que una organización pueda
calificarse desde Inexistente hasta Optimizada (de 0 a 5).
11
Este planteamiento se basa en el Modelo de Madurez que el Software Engineering
Institute definió para la madurez de la capacidad de desarrollo de software. Cualquiera sea
el modelo, las escalas no deben estar demasiado simplificadas, lo que haría que el sistema
fuera difícil de usar y sugeriría una precisión que no es justificable.
Modelo Genérico de Madurez
0 Inexistente: Total falta de un proceso reconocible. La organización ni siquiera ha
reconocido que hay un problema que resolver.
1 Inicial: Hay evidencia de que la organización ha reconocido que los problemas
existen y que necesitan ser resueltos. Sin embargo, no hay procesos estandarizados pero en
cambio hay métodos ad hoc que tienden a ser aplicados en forma individual o caso por
caso. El método general de la administración es desorganizado.
2 Repetible: Los procesos se han desarrollado hasta el punto en que diferentes
personas siguen procedimientos similares emprendiendo la misma tarea. No hay
capacitación o comunicación formal de procedimientos estándar y la responsabilidad se
deja a la persona. Hay un alto grado de confianza en los conocimientos de las personas y
por lo tanto es probable que haya errores.
3 Definida: Los procedimientos han sido estandarizados y documentados, y
comunicados a través de capacitación. Sin embargo se ha dejado en manos de la persona el
seguimiento de estos procesos, y es improbable que se detecten desviaciones. Los
procedimientos mismos no son sofisticados sino que son la formalización de las prácticas
existentes.
4 Administrada: Es posible monitorear y medir el cumplimiento de los
procedimientos y emprender acción donde los procesos parecen no estar funcionando
12
efectivamente. Los procesos están bajo constante mejoramiento y proveen buena práctica.
Se usan la automatización y las herramientas en una forma limitada o fragmentada.
5 Optimizada. Los procesos han sido refinados hasta un nivel de la mejor práctica,
basados en los resultados de mejoramiento continuo y diseño de la madurez con otras
organizaciones. TI se usa en una forma integrada para automatizar el flujo de trabajo,
suministrando herramientas para mejorar la calidad y la efectividad, haciendo que la
empresa se adapte con rapidez.
Las escalas del Modelo de Madurez ayudarán a la gerencia de usuarios a explicar a los
administradores dónde existen deficiencias en la administración de TI y a fijarse objetivos
para donde necesitan estar comparando las prácticas de control de su organización con los
ejemplos de la mejor práctica. El nivel correcto de madurez estará influenciado por los
objetivos de negocio y el entorno operativo de la empresa. Específicamente, el nivel de
madurez de control dependerá de la dependencia de TI que tenga la empresa, de la
sofisticación de la tecnología y, lo que es más importante, del valor de su información.
1.2.2. Auditoria de TICS Aplicando Cobit
1.2.2.1. Área a Auditar
La auditoría se realizara en el departamento de desarrollo de software de la empresa, ya
que es donde se centran las actividades principales de la empresa y donde se utilizan las
tecnologías de información y equipos informáticos.
1.2.2.2. Proceso de recolección de la información
A través de observación directa y una guía de entrevista estructurada realizada al
coordinador del depto. de desarrollo y posterior al equipo de desarrollo, se pudieron
determinar las fallas presentadas en el departamento y poder obtener mayor cantidad de
evidencias.
13
1.2.2.3. Documentos de gestión en el área de informática
No existen manuales de procedimientos para el desarrollo y documentación de código
de los sistemas de información, como tampoco manuales de convivencia, o uso de los
equipos de cómputo.
1.2.2.4. Plan de auditoria en el área de informática
Para el plan de auditoria en el área de informática que han evaluado ciertos
procedimientos para el mejor alcance y precisión de la auditoria y la recolección de
evidencias.
N° ACTIVIDADES
1 Observación directa de los procesos de desarrollo del depto.
2 Entrevista con el coordinador y los desarrolladores de software
3 Análisis de los manuales que contiene el departamento
4 Revisión de las metodologías de desarrollo de sistemas
5 Evaluar la seguridad de la información y de los equipos tecnologías de la empresa
Cuadro 2. Actividades a efectuar. Elaboración propia (2016).
1.2.2.5. Herramientas y Técnicas
Herramientas Técnicas
 Libreta para anotaciones
 Lápices
 Otros
 Observación Directa
 Entrevista No estructurada
Cuadro 3. Herramientas y Técnicas. Elaboración propia (2016).
14
1.2.2.6. Motivos o Necesidades de la Auditoria
 Mala productividad en los procesos.
 Desorganización en el desarrollo y plazos de tiempo de los proyectos.
 Búsqueda de una mejor gestión en el desarrollo de sistemas.
 Síntomas de fallas en integridad de la información.

1.2.2.7. Modelos de Madurez a Nivel Cualitativo (coso)
EL informe COSO, emitido por el Committee of Sponsoring Organization of Treadway
Commission (Comité de la Organización de Patrocinio de la comisión de Marcas) sobre
Control Interno, presenta la siguiente definición:
El control interno es un proceso, efectuado por el consejo de administración, la
dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un
grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las
siguientes categorías:
• Eficacia y eficiencia de las operaciones
• Fiabilidad de la información financiera
• Cumplimiento de las leyes y normas aplicables
COMPONENTES DEL CONTROL INTERNO
Los componentes del sistema de Control Interno pueden considerarse como un
conjunto de normas que son utilizados para evaluar el control interno y determinar su
efectividad; la estructura de control interno en el sector gubernamental tiene los siguientes
componentes:
a) Ambiente de control
b) Evaluación de riesgos
c) Actividades de control
d) Información y comunicación
e) Supervisión y seguimiento
15
CAPITULO II
EJECUCIÓN DE LA AUDITORÍA
2.1. Situación actual del área de sistemas
El departamento de desarrollo de sistemas se encuentra ubicado en un área independiente
la cual dispone de los puestos de trabajo de cada programador, con sus equipos de cómputo.
Figura 4. Ubicación Física del departamento de Informática. Elaboración propia (2016).
16
Cargos Funcionales y Operativos:
Nombres personas del
departamento
Cargos operativos Cargos funcionales
Lic. Nelson Bracho Coordinador Su función es coordinar las
actividades y el desarrollo
de los sistemas de la
empresa
T.s.u. Kevin Hernández Desarrollador de sistemas Encargado de desarrollo de
software de la empresa.
Ing. Alejandra Cruz Desarrollador de sistemas Encargado de desarrollo de
software de la empresa.
Ing. José Mata Desarrollador de sistemas Encargado de desarrollo de
software de la empresa.
Ing. Jose Hernandez Desarrollador de sistemas Encargado de desarrollo de
software de la empresa.
Lic. Francisco Rojas Desarrollador de sistemas Encargado de desarrollo de
software de la empresa.
Ing. Carlos Salazar Desarrollador de sistemas Encargado de desarrollo de
software de la empresa.
Lic. Rasec Casanova Desarrollador de sistemas Encargado de desarrollo de
software de la empresa.
Ing. Josue Vera Desarrollador de sistemas Encargado de desarrollo de
software de la empresa.
Ing. Marco Perez Desarrollador de sistemas Encargado de desarrollo de
software de la empresa.
Cuadro 4. Cargos y Funciones. Elaboración propia (2016)
17
2.1.1. Objetivos del departamento
 Establecer una metodología de trabajo y desarrollo de software
 Optimizar el rendimiento y productividad del departamento.
 Estudiar las tecnologías necesarias para el desarrollo de los sistemas propuestas por
la gerencia de la empresa.
 Analizar, y desarrollar los requerimientos para la programación de los módulos de
los sistemas propuestos.
 Mantener la red de trabajo operativa (Comunicación y sistemas de información).
 Realizar jornadas de adiestramiento, capacitación y nivelación a los actuales y
futuros usuarios de los recursos tecnológicos.
 Establecer planes de mantenimiento en relación al hardware y software, hacer
levantamiento de información de las incidencias relacionadas a ellos, para luego
analizarlas y corregir fallas.
2.1.2. Organigrama del departamento
Figura 5. Organigrama del departamento de Informática. Elaboración propia (2016).
Coordinador
general
Equipo de
desarrollo
18
2.1.3. Seguridad del departamento
a. Seguridad física:
 Contar con las instalaciones eléctricas adecuadas para resguardar la
integridad de los equipos.
b. Seguridad legal:
 Aplicación de estándares y metodologías de calidad (IEEE, ISO, TIER, entre
otros) de manera tal que se garantice la ejecución de procesos blindados y
seguros.
 Adquirir las licencias de los sistemas operativos (Microsoft) en uso, de igual
forma con antivirus u otro software; esto para no incurrir en faltas legales.
c. Seguridad de datos:
 Ejecutar las tareas de respaldo según la planificación.
 Establecer niveles de acceso acordes a la realidad tanto para los sistemas de
información como la los servidores, para impedir acceso y manipulación no
autorizada a la información.
d. Seguridad de personas:
 Instituir políticas de seguridad física y mental para el personal.
 Dotar al departamento con las herramientas de protección necesarias para
garantizar la seguridad de los empleados.
 Instruir a los empleados de cómo actuar ante situaciones de desastre
(incendios, inundaciones, sismos, entre otros).
19
2.1.4. Características de la plataforma tecnológica
Nombre de
equipo
Características Software Funcionalidad
Coordinador Laptop Lenovo, 4gb de RAM, 1000Gb
de disco duro, tarjeta gráfica nvida
2gb, Procesador Intel i7
 Sistema operativo
Windows 10.
 Servidor local
Xamp.
 Gestor de base de
datos.
 Firebird y Mysql.
 Editor de código
Sublime Text.
Equipo del
coordinador
Equipo1 Laptop Lenovo, 4gb de RAM, 500Gb
de disco duro, Procesador Intel i5.
 Sistema operativo
Windows 10.
 Servidor local
Xamp.
 Gestor de base de
datos.
 Firebird y Mysql.
Editor de código Sublime
Text.
Equipo de
desarrollador
Equipo2 Laptop Lenovo, 4gb de RAM, 500Gb
de disco duro, Procesador Intel i5.
 Sistema operativo
Windows 10.
 Servidor local
Xamp.
 Gestor de base de
datos.
 Firebird y Mysql.
Editor de código Sublime
Text.
Equipo de
desarrollador
Equipo3 Laptop Lenovo, 4gb de RAM, 500Gb
de disco duro, Procesador Intel i5.
 Sistema operativo
Windows 10.
 Servidor local
Xamp.
Equipo de
desarrollador
20
 Gestor de base de
datos.
 Firebird y Mysql.
Editor de código Sublime
Text.
Equipo4 Laptop Lenovo, 4gb de RAM, 500Gb
de disco duro, Procesador Intel i5.
 Sistema operativo
Windows 10.
 Servidor local
Xamp.
 Gestor de base de
datos.
 Firebird y Mysql.
Editor de código Sublime
Text.
Equipo de
desarrollador
Equipo 5 Laptop Lenovo, 4gb de RAM, 500Gb
de disco duro, Procesador Intel i5.
 Sistema operativo
Windows 10.
 Servidor local
Xamp.
 Gestor de base de
datos.
 Firebird y Mysql.
Editor de código Sublime
Text.
Equipo de
desarrollador
Equipo 6 Laptop Lenovo, 4gb de RAM, 500Gb
de disco duro, Procesador Intel i5.
 Sistema operativo
Windows 10.
 Servidor local
Xamp.
 Gestor de base de
datos.
 Firebird y Mysql.
Editor de código Sublime
Text.
Equipo de
desarrollador
Equipo 7 Laptop Lenovo, 4gb de RAM, 500Gb
de disco duro, Procesador Intel i5.
 Sistema operativo
Windows 10.
 Servidor local
Equipo de
desarrollador
21
Xamp.
 Gestor de base de
datos.
 Firebird y Mysql.
Editor de código Sublime
Text.
Equipo 8 Laptop Lenovo, 4gb de RAM, 500Gb
de disco duro, Procesador Intel i5.
 Sistema operativo
Windows 10.
 Servidor local
Xamp.
 Gestor de base de
datos.
 Firebird y Mysql.
Editor de código Sublime
Text.
Equipo de
desarrollador
Equipo 9 Laptop Lenovo, 4gb de RAM, 500Gb
de disco duro, Procesador Intel i5.
 Sistema operativo
Windows 10.
 Servidor local
Xamp.
 Gestor de base de
datos.
 Firebird y Mysql.
Editor de código Sublime
Text.
Equipo de
desarrollador
Cuadro 4. Hardware PC. Elaboración propia (2016).
2.1.5.1. Posibles problemas
 Falta de una metodología para el desarrollo de los sistemas
 Falta de manuales de procedimientos para documentación de código y desarrollo del
mismo.
 Falta de organización en la ejecución de los procesos.
 Fallas de comunicación entre las diferentes dependencias administrativas.
22
 No se lleva un registro de las actividades realizadas, lo que dificulta su control y
monitoreo.
2.1.5.2. Formulación de hipótesis
No se ha logrado establecer un enlace de comunicación fuerte dentro del
departamento, al no fluir correctamente la información el desarrollo de los procesos es
ineficiente. Así mismo, existen muchos procesos a la deriva, es decir, no se han
determinado responsabilidades y funciones; no se ha tomado importancia a temas referentes
a la seguridad de los datos ni a la metodología de trabajo, a la sustentabilidad y
mantenimiento del software desarrollado.
2.2. Aplicación de la auditoria
2.2.1. Modelo de madurez de los procesos
Nivel 0 Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5 Nivel 6
Definir un plan
estrategia de TI
X
Definir la
arquitectura de la
información
X
Definir la dirección
tecnológica
X
Definir los procesos,
organización y
relaciones de TI
X
Administrar la
inversión en TI
X
23
Comunicar las metas
y la dirección de la
gerencia
X
Administrar los
recursos humanos de
TI
X
Administrar la
calidad
X
Evaluar y administrar
los riesgos TI
X
Administrar los
proyectos
X
Identificar las
soluciones
automatizadas
X
Adquirir y mantener
software aplicativo
X
Adquirir y mantener
la infraestructura
tecnológica
X
Facilitar la operación
y el uso
X
Procurar recursos de
TI
X
Administrar los
cambios
X
Instalar y acreditar
soluciones y cambios
X
Definir y administra X
24
los niveles de servicio
Administrar los
servicios de terceros
X
Administrar el
desempeño y
capacidad
X
Asegurar el servicio
continuo
X
Garantizar la
seguridad de los
sistemas
X
Identificar y asignar
costos
X
Educar y entrenar a
los usuarios
X
Administrar la mesa
de servicio y los
incidentes
X
Administrar la
configuración
X
Administrar los
problemas
X
Administrar los datos X
Administrar el
ambiente físico
X
Administrar las
operaciones
X
Monitoreo y evaluar el
desempeño de TI
X
25
Monitorear y evaluar
el control interno
X
Garantizar el
cumplimiento
regulatorio
X
Proporcionar
gobierno de TI
X
Cuadro 5. Modelo de Madurez. Elaboración propia (2016)
Existen varias actividades que presentan fallas en los modelos de madurez, además que en
el departamento no cuenta con el personal completo y calificado para el desempeño de
todas las actividades de desarrollo y gestión de proyectos, a continuación se muestra una
tabla con los resultados:
Nivel 0 Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5 Nivel 6
Cantidad 1 5 4 6 7 7 2
Cuadro 6. Modelo de Madurez por tabla. Elaboración propia (2016)
En la escala de nivel de madurez de puede decir que el departamento cuenta con un
alto nivel 4 y nivel 5 de actividades.
2.2.2. Reporte general de los grados de madurez
Dominio Procesos Nivel de Madurez
Planeacióny
Organización
Definir un plan estrategia de TI 3
Definir la arquitectura dela información 3
Definir la dirección tecnológica 1
Administrar la inversión en TI 4
Administrar los recursos humanos de TI 5
26
Administrar la calidad 6
Administrar los proyectos 4
Adquirire
implementar
Adquirir y mantener software aplicativo 6
Adquirir y mantener la infraestructura tecnológica 5
Administrar los cambios 2
Entregarydarsoporte
Instalar y acreditar soluciones y cambios 1
Administrar los servicios de terceros 5
Administrar el desempeño y capacidad 5
Asegurar el servicio continuo 1
Garantizar la seguridad de los sistemas 4
Educar y entrenar a los usuarios 4
Administrar la mesa de servicio y los incidentes 5
Administrar la configuración 0
Administrar los problemas 2
Administrar los datos 3
Administrar las operaciones 1
Monitoreary
evaluar
Monitoreo y evaluar el desempeño de TI 3
Garantizar el cumplimiento regulatorio 4
Proporcionar gobierno de TI 5
Cuadro 7. Reporte general de los grados de madurez. Elaboración propia (2016)
27
2.2.2.1 Análisis por dominio:
Planeación y organización
 No se le están dando el uso correcto a las planificaciones y organizaciones
dentro del departamento, esto trae como consecuencia que la organización no
aproveche al máximo las TI.
Adquirir e implementar
 A pesar que la organización cuenta con los recursos monetarios y la motivación
para optimizar los procesos tecnologías dentro de la empresa, el departamento
no cuenta con todo el personal capaz de manejar los distintos niveles de
tecnologías alojadas en la misma.
Entregar y dar soporte
 Existe gran motivación en los usuarios por aprender acerca de los sistemas de
información utilizados en la organización, y el departamento cuenta con un
personal capacitado para brindar soluciones efectivas a los usuarios ante los
problemas que se puedan presentar.
Monitorear y evaluar
 A pesar que existen manuales de monitoreo y evaluación, además, de llevar
algunos controles de accesos a las áreas de informática de la empresa, no se
cumple con cabalidad todas las medidas de seguridad sugeridas para mantener
en orden las actividades rutinarias del departamento.
28
CAPÍTULO III
ANÁLISIS DE LOS RESULTADOS
3.1. Informe técnico
Alcance
Mediante esta auditoría se pretende evaluar el estado actual del Departamento de
desarrollo de Sistemas de la empresa “Softmedia ve, C.A.”, conclusiones y
recomendaciones para cada uno de los procesos evaluados en cada dominio según la
metodología COBIT 5.
Objetivo General
Realizar la auditoría de las tecnologías de la información en el departamento de
desarrollo de Sistemas de la empresa “Softmedia ve, C.A.”, utilizando como modelo de
referencia la metodología COBIT 5.
Objetivos Específicos
 Identificar posibles problemas técnicos en las TI y dar soluciones viables.
 Definir controles que permitan disminuir la pérdida de recursos y tiempos de
desarrollo en el departamento de desarrollo de sistemas.
A continuación se detalla los resultados de las evaluaciones en cada uno de los
dominios, basándonos en los niveles de madurez los cuales van desde el rango 0 hasta
el rango máximo 6.
29
Dominio de Planear y Organizar
El departamento no cuenta con manuales y planificaciones bien estructuradas, en
cuento a los mantenimientos de los equipos, respaldos de la información y revisión la
calidad e integridad de la información de los sistemas
A pesar que no se posee este tipo de planificación, se puede decir que el departamento
cuenta con la motivación y los conocimientos necesarios para realizar el mismo.
Recomendaciones COBIT:
 Crear un plan general estratégico de procesos de cómo se deben efectuar las
actividades a nivel general.
 Aumentar el rango de los planes estratégicos incluyendo revisiones de
inventario de equipos tecnológicos, aumento de la revisión de la seguridad de la
información y creación de los manuales para la realización del desarrollo de los
sistemas.
Dominio de Adquirir e implementar
El departamento cuenta con el apoyo de la gerencia general en cuanto a la adquisición
de nuevas tecnológicas y el refuerzo de las TI dentro de la organización, esto cuenta con un
punto favorable ya que se enmarca el interés por parte de la directiva del mejoramiento de
las tecnologías.
Por otro lado, el departamento no cuenta con una normativa de requerimiento de
equipos, además, de un manual de implementación de los sistemas de información, esto
dificultando el mejoramiento del mismo.
El personal del departamento no cuenta con la capacitación necesaria para mejorar e
implementar nuevas herramientas tecnológicas dentro de los sistemas de información, ni
una coordinación adecuada para la realización y cumplimiento de las actividades.
30
Recomendaciones COBIT:
 Crear normativas de requerimientos basado en las tecnologías actuales dentro
de la organización.
 Fomentar la capacitación del personal para así garantizar el mejoramiento de
las herramientas utilizadas para el desarollo de los sistemas de información.
Dominio Estratega y dar soporte
El departamento cuenta con el personal para el soporte a los usuarios que utilizan las
tecnologías así como los sistemas de información, además, cuenta con la motivación de
aprender día a día a utilizarlos y mejorarlos creando reglas y normas útil para el
mantenimiento de las mismas.
Recomendaciones COBIT:
 Crear y diseñar una metodología de trabajo para la productividad y el desarrollo
de software.
Dominio Monitoreo y Evaluación
El departamento cuenta con actividades y procesos de monitoreo continuo en los
sistemas de información, además de controles de seguridad para mantener la integridad de
la data en los sistema de base de datos.
Cuenta con scripts de actividades para el seguimiento de este monitoreo y un libro de
bitácoras para la revisión por parte de la auditoria de las actividades realizadas en los
servidores.
Por otro lado, no llevan un historial de acceso al área de servidores así como un control
de visitas por parte de entes externos para revisiones o mantenimientos.
Recomendaciones COBIT:
 Diseñar un plan de seguimiento para el control de accesos a las distintas aéreas
dentro del departamento de informática.
31
 Mejorar con manuales las actividades de monitoreo de los sistemas de
información así como de las tecnologías utilizadas dentro de la organización.
3.2. Informe ejecutivo
En este informe de detalla los resultados de la evaluación en cada uno de los dominios
y las recomendaciones que ofrece la metodología COBIT 5 evaluando el departamento de
desarrollo de sistemas de la empresa Softmedia ve, c.a.
La efectividad consiste en que la información relevante sea entregada de forma,
correcta, consistente y utilizable, este criterio tiene un porcentaje de 60%.
40%
60%
Efectividad
Efectividad
Deficit
70%
30%
Eficiencia
Efectividad
Deficit
32
La eficiencia consiste en que la información debe ser generada optimizando los
recursos, este criterio tiene un promedio de 70%.
La confidencialidad consiste en que la información vital sea protegida contra la
revelación no autorizada, este criterio tiene un porcentaje de 45%.
La integridad consiste en que la información debe se precisa, completa y valida, este
criterio tiene un promedio de 82%.
45%
55%
Cofidencialidad
Efectividad
Deficit
82%
18%
Integridad
Efectividad
Deficit
33
La disponibilidad consiste en que la información esté disponible cuando esta sea
requería por parte de las aéreas de la organización en cualquier momento, este criterio tiene
un porcentaje de 85%.
El cumplimiento consiste en que se debe respetar las leyes, reglamentos y acuerdos
contractuales a los que está sujeta el proceso de la organización con políticas interna, este
criterio tiene un porcentaje de 60%.
85%
15%
Disponibilidad
Efectividad
Deficit
60%40%
Cumplimiento
Efectividad
Deficit
34
La confiabilidad consiste en que se debe respetar y proporcionar la información
apropiada, con el fin de que la gerencia general administre la entidad, este criterio tiene un
porcentaje del 80%.
80%
20%
Confiablidad
Efectividad
Deficit
35
CAPITULO IV
CONCLUSIONES Y RECOMENDACIONES
4.1. CONCLUSIONES
Durante la ejecución de la auditoria aplicando la metodología COBIT 5, se determinó
la problemática que presentaba el departamento de desarrollo de la empresa Softmedia ve,
c.a, Lo que conllevo a proponer soluciones para el mejoramiento de las actividades que
realiza la empresa mediante sus sistemas de información y metodología de desarrollo.
Con la propuesta, se busca mejorar las condiciones y el rendimiento de la información
de los sistemas del departamento, estos con la finalidad de obtener una mejor confiabilidad,
disponibilidad, fiabilidad y resguardo de la información que es necesaria para la empresa,
para obtener un mejor rendimiento productividad creando procesos que agilicen y
supervisen las actividades de desarrollo de la empresa.
4.2. RECOMENDACIONES
La aplicación de la auditoría interna se efectúo con el fin de obtener un mejor
rendimiento del departamento de desarrollo.
Para alcanzar los objetivos establecidos, por tal motivo, se recomienda:
 Llevar a cabo las sugerencias planteadas en la auditoría COBIT, en la fase de
resultados.
 Aplicar tareas de auditoría cada 9 meses.
 Cumplir con los planes de mantenimiento.
 Renovar la plataforma tecnológica a medida que se necesite.
 Llevar registros de las actividades realizadas
 Mantener informadas a las diferentes gerencias de las actividades a realizar.
 Creación de manuales de procedimientos y supervisar su cumplimiento
36
GLOSARIO
Administración: es el proceso de estructurar y utilizar conjuntos de recursos orientados
hacia el logro de metas, para llevar a cabo las tareas en un entorno organizacional. (Hitt,
2006).
Auditoría: evaluación donde se miden los niveles de desempeño y se verifica que los
procedimientos ejecutados son correctos y que cumplen con las normativas o políticas
existentes, permite dar a conocer el estatus actual de la empresa en cuanto a sus
operaciones. (Definición operacional).
Control: es una función administrativa: es la fase del proceso administrativo que mide y
evalúa el desempeño y toma la acción correctiva cuando se necesita. (Chiavenato, 2007).
Dirección: Proceso para dirigir e influir en las actividades de los miembros de un grupo o
una organización entera, con respecto a una tarea. (Stoner y Freeman, 1997).
Eficacia: capacidad para lograr el efecto que se desea o se espera tras la realización de una
acción. (Fernández y Otros, 1997).
Eficiencia: capacidad de reducir al mínimo los recursos usados para alcanzar los objetivos
de la organización. (Chiavenato, 2007).
Empresa: organización destinada a la producción o comercialización de bienes o servicios.
(Chiavenato, 2007).
Estrategia: En un proceso regulable, conjunto de las reglas que aseguran una decisión
óptima en cada momento. (Diccionario de la Real Academia Española, 2001).
Flujo de información: Desplazamiento de información dentro de una organización o entre
la organización y su entorno. (Definición operacional).
Gerencia: son los gerentes responsables de la administración general de la organización;
establecen políticas operativas y guían la interactuación de la organización y su entorno.
(Chiavenato, 2007).
Metas: fin de aprender alcanzar la organización; con una frecuencia, las organizaciones
tienen más de una meta; las metas son elementos fundamentales de las organizaciones.
(Stoner y Freeman, 1997).
37
Objetivos: son los resultados y fines esperados por personas o instituciones. (Definición
Operacional).
Organigrama: es un diagrama que ilustra las líneas de reporte entre unidades y personas
dentro de la organización, usando el término unidades para referirnos a equipos, grupos,
departamentos o divisiones. (Hellriegel, 2006).
Organización: es el proceso de gestión que combina los recursos materiales y humanos
con objetos de estableces una estructura formal de tareas y actividades. (Chiavenato, 2007).
Optimización: Buscar la mejor manera de realizar una actividad. (Diccionario de la Real
Academia Española, 2001).
Planeación: trazar un plan. (Diccionario de la Real Academia Española, 2001).
Planificador: que Hacer plan o proyecto de una acción. (Diccionario de la Real Academia
Española, 2001).
Proceso: Conjunto de las fases sucesivas de un fenómeno natural o de una operación
artificial. (Diccionario de la Real Academia Española, 2001).
38
REFERENCIAS
Referencias Bibliográficas
ISACA (2012). Cobit 5, USA: Editorial Isaca.
Referencias Electrónicas
Diccionario de la Real Academia Española (2001). Comercialización [online]. Disponible
en: http://lema.rae.es/drae/?val=comercializaci%C3%B3n [Consulta: 2017, Marzo 20].
Diccionario de la Real Academia Española (2001). Estrategia [online]. Disponible en:
http://lema.rae.es/drae/?val=estrategia [Consulta: 2017, Marzo 20].
Diccionario de la Real Academia Española (2001). Optimización [online]. Disponible en:
http://lema.rae.es/drae/?val=optimizacion [Consulta: 2017, Marzo 20].
Diccionario de la Real Academia Española (2001). Planeación [online]. Disponible en:
http://lema.rae.es/drae/?val=planeacion [Consulta: 2017, Marzo 20].
Diccionario de la Real Academia Española (2001). Planificador [online]. Disponible en:
http://lema.rae.es/drae/?val=planificador [Consulta: 2017, Marzo 20].
Diccionario de la Real Academia Española (2001). Proceso [online]. Disponible en:
http://lema.rae.es/drae/?val=proceso[Consulta: 2017, Marzo 20].
Diccionario de la Real Academia Española (2001). Producto [online]. Disponible en:
http://lema.rae.es/drae/?val=producto [Consulta: 2017, Marzo 20].
Diccionario de la Real Academia Española (2001). Servicio [online]. Disponible en:
http://lema.rae.es/drae/?val=servicio [Consulta: 2017, Marzo 20].
Fuzi , C. (2013).APLICACIÓN DE AUDITORÍA COBIT AL DEPARTAMENTO DE
INFORMÁTICA DE LA EMPRESA EKIPA, C.A. [online]. Disponible
enhttps://es.slideshare.net/mitcheljrn/trabajo-final-auditora [Consulta: 2017, Marzo 20].

Más contenido relacionado

La actualidad más candente

Documento de Investigacion
Documento de InvestigacionDocumento de Investigacion
Documento de InvestigacionMilena Giraldo
 
Informe de practicas Pre_Profesional_I
Informe de practicas Pre_Profesional_IInforme de practicas Pre_Profesional_I
Informe de practicas Pre_Profesional_IWilmer Vera Ostios
 
Tesis Propuesta de un sistema para la gestión de la vinculación unviersidad e...
Tesis Propuesta de un sistema para la gestión de la vinculación unviersidad e...Tesis Propuesta de un sistema para la gestión de la vinculación unviersidad e...
Tesis Propuesta de un sistema para la gestión de la vinculación unviersidad e...Ingeniería Nica
 
Ficha #2 version final
Ficha #2 version finalFicha #2 version final
Ficha #2 version finalthyago1211
 
Manual de organizacion
Manual de organizacionManual de organizacion
Manual de organizacionCecy Hernandez
 
Propuesta De Proyecto Intranets Redes Privadas
Propuesta De Proyecto   Intranets  Redes PrivadasPropuesta De Proyecto   Intranets  Redes Privadas
Propuesta De Proyecto Intranets Redes PrivadasLourdes Montero
 
Libro Herramientas Case
Libro Herramientas CaseLibro Herramientas Case
Libro Herramientas CaseFSILSCA
 
Actividad Obligatoria 6
Actividad Obligatoria 6Actividad Obligatoria 6
Actividad Obligatoria 6Gerardo Puga
 
Actividad Obligatoria 5
Actividad Obligatoria 5Actividad Obligatoria 5
Actividad Obligatoria 5Gerardo Puga
 
Practicas de Observacion
Practicas de ObservacionPracticas de Observacion
Practicas de ObservacionGabyNarvaez
 
Presentación trabajo final - Diseño de Proyectos
Presentación trabajo final - Diseño de ProyectosPresentación trabajo final - Diseño de Proyectos
Presentación trabajo final - Diseño de Proyectosliquimo
 

La actualidad más candente (19)

Documento de Investigacion
Documento de InvestigacionDocumento de Investigacion
Documento de Investigacion
 
Informe de practicas Pre_Profesional_I
Informe de practicas Pre_Profesional_IInforme de practicas Pre_Profesional_I
Informe de practicas Pre_Profesional_I
 
Tesis Propuesta de un sistema para la gestión de la vinculación unviersidad e...
Tesis Propuesta de un sistema para la gestión de la vinculación unviersidad e...Tesis Propuesta de un sistema para la gestión de la vinculación unviersidad e...
Tesis Propuesta de un sistema para la gestión de la vinculación unviersidad e...
 
Ficha #2 version final
Ficha #2 version finalFicha #2 version final
Ficha #2 version final
 
Requerimientos
RequerimientosRequerimientos
Requerimientos
 
Proyectos de tesis propuestos
Proyectos de tesis propuestosProyectos de tesis propuestos
Proyectos de tesis propuestos
 
Definicion del proyecto
Definicion del proyectoDefinicion del proyecto
Definicion del proyecto
 
Manual de organizacion
Manual de organizacionManual de organizacion
Manual de organizacion
 
Final De Auditoria
Final De AuditoriaFinal De Auditoria
Final De Auditoria
 
Alcance del Proyecto
Alcance del ProyectoAlcance del Proyecto
Alcance del Proyecto
 
Propuesta De Proyecto Intranets Redes Privadas
Propuesta De Proyecto   Intranets  Redes PrivadasPropuesta De Proyecto   Intranets  Redes Privadas
Propuesta De Proyecto Intranets Redes Privadas
 
Libro Herramientas Case
Libro Herramientas CaseLibro Herramientas Case
Libro Herramientas Case
 
Introduccion a los casos de uso
Introduccion a los casos de usoIntroduccion a los casos de uso
Introduccion a los casos de uso
 
Actividad Obligatoria 6
Actividad Obligatoria 6Actividad Obligatoria 6
Actividad Obligatoria 6
 
Actividad Obligatoria 5
Actividad Obligatoria 5Actividad Obligatoria 5
Actividad Obligatoria 5
 
Practicas de Observacion
Practicas de ObservacionPracticas de Observacion
Practicas de Observacion
 
Modelo de la_organizacion
Modelo de la_organizacionModelo de la_organizacion
Modelo de la_organizacion
 
Presentación trabajo final - Diseño de Proyectos
Presentación trabajo final - Diseño de ProyectosPresentación trabajo final - Diseño de Proyectos
Presentación trabajo final - Diseño de Proyectos
 
Lista de stakeholders
Lista de stakeholdersLista de stakeholders
Lista de stakeholders
 

Destacado

Auditoria luis cabello
Auditoria luis cabelloAuditoria luis cabello
Auditoria luis cabelloLuis Cabello
 
Metodos de optimizacion
Metodos de optimizacionMetodos de optimizacion
Metodos de optimizacionluisatero
 
Condiciones kuhn tucker y lagrange
Condiciones kuhn tucker y lagrangeCondiciones kuhn tucker y lagrange
Condiciones kuhn tucker y lagrangeAlbrtoo Vsqz
 
Proyecto de auditoría informática aplicando la metodología cobit 4.1
Proyecto de auditoría informática aplicando la metodología cobit 4.1Proyecto de auditoría informática aplicando la metodología cobit 4.1
Proyecto de auditoría informática aplicando la metodología cobit 4.1Luis Angello RH-CyberComputer
 
Auditoria del desarrollo de sistemas de información en el gobierno regional c...
Auditoria del desarrollo de sistemas de información en el gobierno regional c...Auditoria del desarrollo de sistemas de información en el gobierno regional c...
Auditoria del desarrollo de sistemas de información en el gobierno regional c...Arturo GR
 
Nia 300 PlanificacióN De Una AuditoríA De Estados Financieros En Castellano
Nia 300 PlanificacióN De Una AuditoríA De Estados Financieros  En CastellanoNia 300 PlanificacióN De Una AuditoríA De Estados Financieros  En Castellano
Nia 300 PlanificacióN De Una AuditoríA De Estados Financieros En Castellanoguest4a971d
 
Enfoque de la optimización en el campo de la ingeniería.
Enfoque de la optimización en el campo de la ingeniería.Enfoque de la optimización en el campo de la ingeniería.
Enfoque de la optimización en el campo de la ingeniería.pertuzm
 
Planes de auditoria y buenas practicas para entornos cloud computing y bring ...
Planes de auditoria y buenas practicas para entornos cloud computing y bring ...Planes de auditoria y buenas practicas para entornos cloud computing y bring ...
Planes de auditoria y buenas practicas para entornos cloud computing y bring ...Pilar Santamaria
 
Auditoria catalano
Auditoria catalanoAuditoria catalano
Auditoria catalanoestfermin
 
Proyecto final de auditoría
Proyecto final de auditoríaProyecto final de auditoría
Proyecto final de auditoríaJuan Jose Flores
 

Destacado (13)

Auditoria
Auditoria Auditoria
Auditoria
 
Auditoria luis cabello
Auditoria luis cabelloAuditoria luis cabello
Auditoria luis cabello
 
Metodos de optimizacion
Metodos de optimizacionMetodos de optimizacion
Metodos de optimizacion
 
Condiciones kuhn tucker y lagrange
Condiciones kuhn tucker y lagrangeCondiciones kuhn tucker y lagrange
Condiciones kuhn tucker y lagrange
 
Proyecto de auditoría informática aplicando la metodología cobit 4.1
Proyecto de auditoría informática aplicando la metodología cobit 4.1Proyecto de auditoría informática aplicando la metodología cobit 4.1
Proyecto de auditoría informática aplicando la metodología cobit 4.1
 
Auditoria del desarrollo de sistemas de información en el gobierno regional c...
Auditoria del desarrollo de sistemas de información en el gobierno regional c...Auditoria del desarrollo de sistemas de información en el gobierno regional c...
Auditoria del desarrollo de sistemas de información en el gobierno regional c...
 
Nia 300 PlanificacióN De Una AuditoríA De Estados Financieros En Castellano
Nia 300 PlanificacióN De Una AuditoríA De Estados Financieros  En CastellanoNia 300 PlanificacióN De Una AuditoríA De Estados Financieros  En Castellano
Nia 300 PlanificacióN De Una AuditoríA De Estados Financieros En Castellano
 
Enfoque de la optimización en el campo de la ingeniería.
Enfoque de la optimización en el campo de la ingeniería.Enfoque de la optimización en el campo de la ingeniería.
Enfoque de la optimización en el campo de la ingeniería.
 
Plan de auditoria sodimac
Plan de auditoria sodimac Plan de auditoria sodimac
Plan de auditoria sodimac
 
Planes de auditoria y buenas practicas para entornos cloud computing y bring ...
Planes de auditoria y buenas practicas para entornos cloud computing y bring ...Planes de auditoria y buenas practicas para entornos cloud computing y bring ...
Planes de auditoria y buenas practicas para entornos cloud computing y bring ...
 
Auditoria catalano
Auditoria catalanoAuditoria catalano
Auditoria catalano
 
Proyecto final de auditoría
Proyecto final de auditoríaProyecto final de auditoría
Proyecto final de auditoría
 
Ejemplos de auditoria. cedulas
Ejemplos de auditoria. cedulasEjemplos de auditoria. cedulas
Ejemplos de auditoria. cedulas
 

Similar a Aplicación de auditoría COBIT al departamento de sistemas de Softmedia VE C.A

Roles Del Ingeniero De Sistemas
Roles  Del Ingeniero De SistemasRoles  Del Ingeniero De Sistemas
Roles Del Ingeniero De Sistemasguest016332
 
Roles Del Ingeniero De Sistemas
Roles  Del Ingeniero De SistemasRoles  Del Ingeniero De Sistemas
Roles Del Ingeniero De SistemasPEDRO
 
Roles Ocupacionales del ing de sistemas(Yulis Cervantes;Hernan Saltarin)
Roles Ocupacionales del ing de sistemas(Yulis Cervantes;Hernan  Saltarin)Roles Ocupacionales del ing de sistemas(Yulis Cervantes;Hernan  Saltarin)
Roles Ocupacionales del ing de sistemas(Yulis Cervantes;Hernan Saltarin)hedasaji
 
Planeando mi campana publicitaria
Planeando mi campana publicitariaPlaneando mi campana publicitaria
Planeando mi campana publicitariaEdgarCorrea28
 
El técnico en informática
El técnico en informática El técnico en informática
El técnico en informática victorlucer0
 
Plan de compra de software
Plan de compra de softwarePlan de compra de software
Plan de compra de softwaremilcl0319
 
Mcvs ad-06 plan general del proyecto
Mcvs ad-06 plan general del proyecto Mcvs ad-06 plan general del proyecto
Mcvs ad-06 plan general del proyecto lnavarros
 
Luis caraballo 24695744 ing.sistema
Luis caraballo 24695744 ing.sistemaLuis caraballo 24695744 ing.sistema
Luis caraballo 24695744 ing.sistemaLuis Caraballo
 
Gerencia Informática
Gerencia InformáticaGerencia Informática
Gerencia InformáticaJorge Jimenez
 
Frank estaba ensayo
Frank estaba ensayoFrank estaba ensayo
Frank estaba ensayoID Z
 
Taller 3 dss grupos 5
Taller 3 dss grupos 5Taller 3 dss grupos 5
Taller 3 dss grupos 5Lore_Niita
 

Similar a Aplicación de auditoría COBIT al departamento de sistemas de Softmedia VE C.A (20)

Roles Del Ingeniero De Sistemas
Roles  Del Ingeniero De SistemasRoles  Del Ingeniero De Sistemas
Roles Del Ingeniero De Sistemas
 
Roles Del Ingeniero De Sistemas
Roles  Del Ingeniero De SistemasRoles  Del Ingeniero De Sistemas
Roles Del Ingeniero De Sistemas
 
Roles Ocupacionales del ing de sistemas(Yulis Cervantes;Hernan Saltarin)
Roles Ocupacionales del ing de sistemas(Yulis Cervantes;Hernan  Saltarin)Roles Ocupacionales del ing de sistemas(Yulis Cervantes;Hernan  Saltarin)
Roles Ocupacionales del ing de sistemas(Yulis Cervantes;Hernan Saltarin)
 
Informe final
Informe finalInforme final
Informe final
 
Yessica rodriguez ing
Yessica rodriguez ingYessica rodriguez ing
Yessica rodriguez ing
 
Informe final
Informe finalInforme final
Informe final
 
Planeando mi campana publicitaria
Planeando mi campana publicitariaPlaneando mi campana publicitaria
Planeando mi campana publicitaria
 
El técnico en informática
El técnico en informática El técnico en informática
El técnico en informática
 
Plan de compra de software
Plan de compra de softwarePlan de compra de software
Plan de compra de software
 
Mcvs ad-06 plan general del proyecto
Mcvs ad-06 plan general del proyecto Mcvs ad-06 plan general del proyecto
Mcvs ad-06 plan general del proyecto
 
Robert milt ensayo
Robert milt ensayoRobert milt ensayo
Robert milt ensayo
 
Luis caraballo 24695744 ing.sistema
Luis caraballo 24695744 ing.sistemaLuis caraballo 24695744 ing.sistema
Luis caraballo 24695744 ing.sistema
 
Roles Ocupacionales
Roles OcupacionalesRoles Ocupacionales
Roles Ocupacionales
 
Roles Ocupacionales
Roles OcupacionalesRoles Ocupacionales
Roles Ocupacionales
 
Roles Ocupacionales
Roles OcupacionalesRoles Ocupacionales
Roles Ocupacionales
 
Campus party 2013
Campus party 2013Campus party 2013
Campus party 2013
 
Gerencia Informática
Gerencia InformáticaGerencia Informática
Gerencia Informática
 
Frank estaba ensayo
Frank estaba ensayoFrank estaba ensayo
Frank estaba ensayo
 
Taller 3 dss grupos 5
Taller 3 dss grupos 5Taller 3 dss grupos 5
Taller 3 dss grupos 5
 
Ada3_salbutes_1E
Ada3_salbutes_1EAda3_salbutes_1E
Ada3_salbutes_1E
 

Más de luisatero

Etica del ingeniero
Etica del ingenieroEtica del ingeniero
Etica del ingenieroluisatero
 
Metodos de Programacion no lineal
Metodos de Programacion no linealMetodos de Programacion no lineal
Metodos de Programacion no linealluisatero
 
VIABILIDAD ALTERNA PARA EL ESTADO NUEVA ESPARTA
VIABILIDAD ALTERNA PARA EL ESTADO NUEVA ESPARTAVIABILIDAD ALTERNA PARA EL ESTADO NUEVA ESPARTA
VIABILIDAD ALTERNA PARA EL ESTADO NUEVA ESPARTAluisatero
 
Optimizacion
OptimizacionOptimizacion
Optimizacionluisatero
 
Control interno
Control internoControl interno
Control internoluisatero
 
Metodos de optimizacion
Metodos de optimizacionMetodos de optimizacion
Metodos de optimizacionluisatero
 
Control de proyectos
Control de proyectosControl de proyectos
Control de proyectosluisatero
 
Variables de estado
Variables de estadoVariables de estado
Variables de estadoluisatero
 

Más de luisatero (8)

Etica del ingeniero
Etica del ingenieroEtica del ingeniero
Etica del ingeniero
 
Metodos de Programacion no lineal
Metodos de Programacion no linealMetodos de Programacion no lineal
Metodos de Programacion no lineal
 
VIABILIDAD ALTERNA PARA EL ESTADO NUEVA ESPARTA
VIABILIDAD ALTERNA PARA EL ESTADO NUEVA ESPARTAVIABILIDAD ALTERNA PARA EL ESTADO NUEVA ESPARTA
VIABILIDAD ALTERNA PARA EL ESTADO NUEVA ESPARTA
 
Optimizacion
OptimizacionOptimizacion
Optimizacion
 
Control interno
Control internoControl interno
Control interno
 
Metodos de optimizacion
Metodos de optimizacionMetodos de optimizacion
Metodos de optimizacion
 
Control de proyectos
Control de proyectosControl de proyectos
Control de proyectos
 
Variables de estado
Variables de estadoVariables de estado
Variables de estado
 

Último

thinner-acrilico-ac-205- ficha tecnica msds
thinner-acrilico-ac-205- ficha tecnica msdsthinner-acrilico-ac-205- ficha tecnica msds
thinner-acrilico-ac-205- ficha tecnica msdsfioticona20395
 
JC Etapas del desarrollo de la industria minera.pptx
JC Etapas del desarrollo de la industria minera.pptxJC Etapas del desarrollo de la industria minera.pptx
JC Etapas del desarrollo de la industria minera.pptxJuanCorcuera3
 
S02_s2 ECUACIONES DIFERENCIALES EXACTAS.pdf
S02_s2 ECUACIONES DIFERENCIALES EXACTAS.pdfS02_s2 ECUACIONES DIFERENCIALES EXACTAS.pdf
S02_s2 ECUACIONES DIFERENCIALES EXACTAS.pdfGERSONYT1
 
NOJA-581-08 NOJA Power OSM15-27-38 Guia de Producto - es.pdf
NOJA-581-08 NOJA Power OSM15-27-38 Guia de Producto - es.pdfNOJA-581-08 NOJA Power OSM15-27-38 Guia de Producto - es.pdf
NOJA-581-08 NOJA Power OSM15-27-38 Guia de Producto - es.pdflinderlauradelacruz
 
Ecuacion Diferencial de Clairaut, Ejercicios Resueltos
Ecuacion Diferencial de Clairaut, Ejercicios ResueltosEcuacion Diferencial de Clairaut, Ejercicios Resueltos
Ecuacion Diferencial de Clairaut, Ejercicios ResueltosManuel Alejandro Vivas Riverol
 
TR-514 (3) - DOS COLUMNAS PASCUA 2024 3.4 8.4.24.pdf
TR-514 (3) - DOS COLUMNAS PASCUA 2024 3.4 8.4.24.pdfTR-514 (3) - DOS COLUMNAS PASCUA 2024 3.4 8.4.24.pdf
TR-514 (3) - DOS COLUMNAS PASCUA 2024 3.4 8.4.24.pdfFRANCISCOJUSTOSIERRA
 
IPERC INSTALACION DE EQUIPOS DE AIRE ACONDICIONADO
IPERC INSTALACION DE EQUIPOS DE AIRE ACONDICIONADOIPERC INSTALACION DE EQUIPOS DE AIRE ACONDICIONADO
IPERC INSTALACION DE EQUIPOS DE AIRE ACONDICIONADOEdisonRebattaRojas1
 
FUNDAMENTOS DE LA INTELIGENCIA ARTIFICIAL
FUNDAMENTOS DE LA INTELIGENCIA ARTIFICIALFUNDAMENTOS DE LA INTELIGENCIA ARTIFICIAL
FUNDAMENTOS DE LA INTELIGENCIA ARTIFICIALPamelaGranda5
 
Trabajos en Altura - USO DEL ARNES .ppt
Trabajos en Altura  - USO DEL ARNES .pptTrabajos en Altura  - USO DEL ARNES .ppt
Trabajos en Altura - USO DEL ARNES .pptdantechaveztarazona
 
S03 - Perfil del ingeniero industrial UTP - DIAPOS.pdf
S03 - Perfil del ingeniero industrial UTP - DIAPOS.pdfS03 - Perfil del ingeniero industrial UTP - DIAPOS.pdf
S03 - Perfil del ingeniero industrial UTP - DIAPOS.pdfroycordovabocanegra7
 
Wal-Mart batalla con RFID...............
Wal-Mart batalla con RFID...............Wal-Mart batalla con RFID...............
Wal-Mart batalla con RFID...............osoriosantiago887
 
Teoría de la contingencia en las organizaciones
Teoría de la contingencia en las organizacionesTeoría de la contingencia en las organizaciones
Teoría de la contingencia en las organizacionesCarlosRozo19
 
ESTADISTICA RESUELTO SAN JUAN SOLUCIONARIO CORRECTO.pdf
ESTADISTICA RESUELTO SAN JUAN SOLUCIONARIO CORRECTO.pdfESTADISTICA RESUELTO SAN JUAN SOLUCIONARIO CORRECTO.pdf
ESTADISTICA RESUELTO SAN JUAN SOLUCIONARIO CORRECTO.pdffredyflores58
 
182305655-Manual-Torno-Cnc-Muy-Completo.pdf
182305655-Manual-Torno-Cnc-Muy-Completo.pdf182305655-Manual-Torno-Cnc-Muy-Completo.pdf
182305655-Manual-Torno-Cnc-Muy-Completo.pdfmanualvaca7
 
Ejercicio 1 - Edificio en Galerías - Pro.
Ejercicio 1 - Edificio en Galerías - Pro.Ejercicio 1 - Edificio en Galerías - Pro.
Ejercicio 1 - Edificio en Galerías - Pro.MariaJoseLopez914893
 
Parciales y Semestral Profesor David cedeño
Parciales y Semestral Profesor David cedeñoParciales y Semestral Profesor David cedeño
Parciales y Semestral Profesor David cedeñomonicabetancur29
 
Marcas de Fuego debido a la combustión de materiales afectados por un incendi...
Marcas de Fuego debido a la combustión de materiales afectados por un incendi...Marcas de Fuego debido a la combustión de materiales afectados por un incendi...
Marcas de Fuego debido a la combustión de materiales afectados por un incendi...JeisonArango3
 
gestion y optimizacion de procesos proyecto
gestion y optimizacion de procesos proyectogestion y optimizacion de procesos proyecto
gestion y optimizacion de procesos proyectoclopez37
 
DOCUMENTO DE MODELO DISEÑO DE MEZCLA 210 KG CM2
DOCUMENTO DE MODELO DISEÑO DE MEZCLA 210 KG CM2DOCUMENTO DE MODELO DISEÑO DE MEZCLA 210 KG CM2
DOCUMENTO DE MODELO DISEÑO DE MEZCLA 210 KG CM2ErnestoContreras39
 

Último (19)

thinner-acrilico-ac-205- ficha tecnica msds
thinner-acrilico-ac-205- ficha tecnica msdsthinner-acrilico-ac-205- ficha tecnica msds
thinner-acrilico-ac-205- ficha tecnica msds
 
JC Etapas del desarrollo de la industria minera.pptx
JC Etapas del desarrollo de la industria minera.pptxJC Etapas del desarrollo de la industria minera.pptx
JC Etapas del desarrollo de la industria minera.pptx
 
S02_s2 ECUACIONES DIFERENCIALES EXACTAS.pdf
S02_s2 ECUACIONES DIFERENCIALES EXACTAS.pdfS02_s2 ECUACIONES DIFERENCIALES EXACTAS.pdf
S02_s2 ECUACIONES DIFERENCIALES EXACTAS.pdf
 
NOJA-581-08 NOJA Power OSM15-27-38 Guia de Producto - es.pdf
NOJA-581-08 NOJA Power OSM15-27-38 Guia de Producto - es.pdfNOJA-581-08 NOJA Power OSM15-27-38 Guia de Producto - es.pdf
NOJA-581-08 NOJA Power OSM15-27-38 Guia de Producto - es.pdf
 
Ecuacion Diferencial de Clairaut, Ejercicios Resueltos
Ecuacion Diferencial de Clairaut, Ejercicios ResueltosEcuacion Diferencial de Clairaut, Ejercicios Resueltos
Ecuacion Diferencial de Clairaut, Ejercicios Resueltos
 
TR-514 (3) - DOS COLUMNAS PASCUA 2024 3.4 8.4.24.pdf
TR-514 (3) - DOS COLUMNAS PASCUA 2024 3.4 8.4.24.pdfTR-514 (3) - DOS COLUMNAS PASCUA 2024 3.4 8.4.24.pdf
TR-514 (3) - DOS COLUMNAS PASCUA 2024 3.4 8.4.24.pdf
 
IPERC INSTALACION DE EQUIPOS DE AIRE ACONDICIONADO
IPERC INSTALACION DE EQUIPOS DE AIRE ACONDICIONADOIPERC INSTALACION DE EQUIPOS DE AIRE ACONDICIONADO
IPERC INSTALACION DE EQUIPOS DE AIRE ACONDICIONADO
 
FUNDAMENTOS DE LA INTELIGENCIA ARTIFICIAL
FUNDAMENTOS DE LA INTELIGENCIA ARTIFICIALFUNDAMENTOS DE LA INTELIGENCIA ARTIFICIAL
FUNDAMENTOS DE LA INTELIGENCIA ARTIFICIAL
 
Trabajos en Altura - USO DEL ARNES .ppt
Trabajos en Altura  - USO DEL ARNES .pptTrabajos en Altura  - USO DEL ARNES .ppt
Trabajos en Altura - USO DEL ARNES .ppt
 
S03 - Perfil del ingeniero industrial UTP - DIAPOS.pdf
S03 - Perfil del ingeniero industrial UTP - DIAPOS.pdfS03 - Perfil del ingeniero industrial UTP - DIAPOS.pdf
S03 - Perfil del ingeniero industrial UTP - DIAPOS.pdf
 
Wal-Mart batalla con RFID...............
Wal-Mart batalla con RFID...............Wal-Mart batalla con RFID...............
Wal-Mart batalla con RFID...............
 
Teoría de la contingencia en las organizaciones
Teoría de la contingencia en las organizacionesTeoría de la contingencia en las organizaciones
Teoría de la contingencia en las organizaciones
 
ESTADISTICA RESUELTO SAN JUAN SOLUCIONARIO CORRECTO.pdf
ESTADISTICA RESUELTO SAN JUAN SOLUCIONARIO CORRECTO.pdfESTADISTICA RESUELTO SAN JUAN SOLUCIONARIO CORRECTO.pdf
ESTADISTICA RESUELTO SAN JUAN SOLUCIONARIO CORRECTO.pdf
 
182305655-Manual-Torno-Cnc-Muy-Completo.pdf
182305655-Manual-Torno-Cnc-Muy-Completo.pdf182305655-Manual-Torno-Cnc-Muy-Completo.pdf
182305655-Manual-Torno-Cnc-Muy-Completo.pdf
 
Ejercicio 1 - Edificio en Galerías - Pro.
Ejercicio 1 - Edificio en Galerías - Pro.Ejercicio 1 - Edificio en Galerías - Pro.
Ejercicio 1 - Edificio en Galerías - Pro.
 
Parciales y Semestral Profesor David cedeño
Parciales y Semestral Profesor David cedeñoParciales y Semestral Profesor David cedeño
Parciales y Semestral Profesor David cedeño
 
Marcas de Fuego debido a la combustión de materiales afectados por un incendi...
Marcas de Fuego debido a la combustión de materiales afectados por un incendi...Marcas de Fuego debido a la combustión de materiales afectados por un incendi...
Marcas de Fuego debido a la combustión de materiales afectados por un incendi...
 
gestion y optimizacion de procesos proyecto
gestion y optimizacion de procesos proyectogestion y optimizacion de procesos proyecto
gestion y optimizacion de procesos proyecto
 
DOCUMENTO DE MODELO DISEÑO DE MEZCLA 210 KG CM2
DOCUMENTO DE MODELO DISEÑO DE MEZCLA 210 KG CM2DOCUMENTO DE MODELO DISEÑO DE MEZCLA 210 KG CM2
DOCUMENTO DE MODELO DISEÑO DE MEZCLA 210 KG CM2
 

Aplicación de auditoría COBIT al departamento de sistemas de Softmedia VE C.A

  • 1. REPÚBLICA BOLIVARIANA DE VENEZUELA INSTITUTO UNIVERSITARIO POLITÉCNICO “SANTIAGO MARIÑO” EXTENSIÓN PORLAMAR APLICACIÓN DE AUDITORÍA COBIT AL DEPARTAMENTO DE SISTEMAS DE LA EMPRESA SOFTMEDIA VE C.A. Autores: Br. Quintero, Luisanny C.I.: 24.905.763 Profa.: Ing. Alejandra Torres Porlamar, Marzo 2016
  • 2. 2 ÍNDICE GENERAL pp. INTRODUCCIÓN............................................................................................... 2 CAPITULO I. GENERALIDADES DE LA EMPRESA……….………………… 3 1.1. CARACTERIZACION DE LA EMPRESA…….………….. 3 1.1.1. Naturaleza de la Empresa……………………………….. 3 1.1.2. Ubicación Geográfica...…………………………………. 4 1.1.3. Visión…………………………………………………… 5 1.1.4. Misión…………………………………………………… 5 1.1.5. Objetivos Estratégicos…………………………………... 5 1.1.5.1. Análisis FODA……………………………………… 5 1.1.5.2. Metas Organizacionales…………………………….. 6 1.1.6. Estructura Organizativa…………………………………. 7 1.1.6.1. Descripción de los Procesos y Funciones…………… 7 1.2. Metodología COBIT………………………………………… 10 1.2.1. Modelo de Madurez…………………………………….... 12 1.2.2. Auditoria de TICS Aplicando COBIT…………………… 13 1.2.2.1. Área a Auditar………………………………………. 13 1.2.2.2. Proceso de recolección de la información…………... 14 1.2.2.3. Documentos de gestión en el área de informática…... 14 1.2.2.4. Plan de auditoria en el área de informática…………. 14 1.2.2.5. Herramientas y Técnicas……………………………. 15 1.2.2.6. Motivos o Necesidades de la Auditoria………..…… 15 1.2.2.7. Modelos de Madurez a Nivel Cualitativo (coso)……. 16 II. EJECUCIÓN DE LA AUDITORÍA……………………………… 20 2.1. Situación actual del área de sistemas……………………….. 20 2.1.1. Objetivos del departamento…………………………...... 21 2.1.2. Organigrama del departamento…………………………. 22 2.1.3. Seguridad del departamento…………………………….. 22 2.1.4. Características de la plataforma tecnológica……………. 23 2.1.5. Determinación de los problemas y planteamiento de hipótesis…………………………………………………………………………. 27 2.1.5.1. Posibles problemas………………………………... 27 2.1.5.2. Formulación de hipótesis……………..…………... 27 2.2. Aplicación de la auditoria…………………..……………… 28 2.2.1. Modelo de madurez de los procesos………….………. 28 2.2.2. Reporte general de los grados de madurez…………….. 30
  • 3. 3 III. ANÁLISIS DE LOS RESULTADOS 33 3.1. Informe técnico……………………………………………... 33 3.2. Informe ejecutivo……………................................................. 37 IV. CONCLUSIONES Y RECOMENDACIONES 41 4.1. Conclusiones………………………………………………..... 41 4.2. Recomendaciones…………………..……………….............. 42 GLOSARIO…………………………………………………………………….. 43 REFERENCIAS......................…………………………………………………. 45 Bibliográficas..................………………………………………………….. 45 Electrónicas......................………………………………………………… 45
  • 4. 4 INTRODUCCIÓN La información es un recurso clave para todas las empresas y desde el momento en que la información se crea hasta que es destruida, la tecnología juega un papel importante. La tecnología de la información está avanzando cada vez más y se ha generalizado en las empresas, en entornos sociales, públicos, y de negocios. Por lo tanto se conoce como auditoria informática el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos, pues el progreso de la tecnología de la computación y la informática, está mejorando día a día, esto a la vez está causando los problemas de las oportunidades a cometer errores. Por otra parte, la auditoria informática es una tarea que debe realizarse periódicamente, porque permite recoger, agrupar y evaluar evidencias para determinar si los sistemas de información y la tecnología utilizada, mantienen la integridad de los datos y promueven el cumplimiento eficaz de los fines de la organización. En el caso de la investigación realizada, se propone la aplicación de una auditoría COBIT al Departamento de desarrollo de sistemas de la empresa Softmedia ve, c.a. con el objeto de determinar amenazas y fortalezas en los procesos que ejecuta, a fin de determinar los posibles factores que atenten contra el desarrollo regular y eficiente de las actividades.
  • 5. 5 CAPITULO I GENERALIDADES DE LA EMPRESA 1.1. CARACTERIZACION DE LA EMPRESA 1.1.1. Naturaleza de la Empresa SoftMedia VE, C.A., es una compañía que desarrolla las iniciativas de sus clientes mediante servicios integrales de ingeniería y diseño informático. El equipo de profesionales cuenta con amplia experiencia en desarrollo e implementación de software especializado. Se encuentra en capacidad de ejecutar 50.000 horas/año de ingeniería informática con posibilidades de expansión ágil y coordinada. Presta servicios acorde con el Estado del Arte de la Tecnología Mundial adaptándolos a los recursos y necesidades particulares de sus clientes. 1.1.2. Ubicación Geográfica Sus instalaciones se encuentran ubicadas en el estado Nueva Esparta, Municipio Mariño, Porlamar, Calle Cedeño, Centro empresarial Bolívar, Oficina A1. Figura 1. Ubicación Sofmedia VE, C.A. Fuente: Google Maps. (2016).
  • 6. 6 1.1.3. Visión SoftMedia posee una planta de personal altamente especializado y con amplia experiencia en cada una de las áreas. Capacidad de Expansión El conocimiento del desarrollo informático y tecnológico del país le permite a SoftMedia ampliar de manera ágil y efectiva su planta de personal para asumir picos de trabajos. La experiencia y el conocimiento en el desarrollo de software especializado y tecnología de punta, permite a SoftMedia entregar resultados con los más altos estándares de calidad. Precios Competitivos SoftMedia mantiene una estructura organizacional que optimiza los recursos técnicos - administrativos y le permite ofrecer precios altamente competitivos. Alianzas Estratégicas El conocimiento del mercado mundial le facilita a SoftMedia la identificación, selección y estructuración de alianzas para la solución de problemas tecnológicos específicos. 1.1.4. Misión Softmedia provee infraestructura orientado al cumplimiento de objetivos estratégicos y para ello selecciona las tecnologías de punta necesarias de acuerdo a cada situación. Ya sea si su objetivo es incrementar su gestión, ampliar su presencia, mejorar la eficiencia de sus procesos internos o expandir la misión de su institución, le ofrecemos soluciones reales, efectivas y desarrolladas dentro del tiempo y los costos planeados. Diseñamos y construimos soluciones completas de software. El diseño de la interfaz usuario, el diseño estructural, el modelo de datos, el código fuente, la ayuda en línea y la documentación de nuestras aplicaciones están pensadas para sostener una arquitectura de información que sea relevante, confiable y contingente. Nuestro conocimiento en las Tecnologías de la Información nos permite escribir código eficiente y estable. Ya sea en Oracle,SQL, Delphi, Visual Basic, C++, ASP, PHP o HTML,
  • 7. 7 nuestro código es flexible, fácil de mantener y escalable, de manera que sus sistemas de información puedan crecer al ritmo de sus necesidades. 1.1.5. Objetivos Estratégicos 1.1.5.1. Análisis FODA Análisis Interno Fortalezas  Profesionales calificados en su área  Proyectos de software definidos Debilidades  Ninguna metodología definida de desarrollo de software  Falta de utilización de estandarización de código  Mala administración de plazos de entrega. Análisis Externo Oportunidades  Ubicación Céntrica y de fácil acceso.  Buenos equipos de computo Amenazas  Pérdida de recursos por mala administración del tiempo  Código no sustentable ni sostenible ni reutilizable. Cuadro 1. Análisis FODA. Elaboración propia (2016). 1.1.5.2. Metas Organizacionales Metas a Corto Plazo Implementación del sistema de información institucional en su versión web para todas las instituciones afiliadas a la empresa.
  • 8. 8 Metas a Largo Plazo Ser el sistema líder para la administración y gestión de todos los procesos institucionales en la mayoría de las instituciones a nivel nacional de Colombia. 1.1.6. Estructura Organizativa En la siguiente figura es posible apreciar como está estructurada la organización: Figura 2. Organigrama. Elaboración propia (2016). 1.1.6.1. Descripción de los Procesos y Funciones Presidente Es el fundador y dueño de la empresa, el encargado de gestionar los proyectos y los presupuestos. Presidente Vicepresidente Coordinador Dpto. Recursos Humanos Dpto. De Desarrollo Dpto. de Soporte
  • 9. 9 Vicepresidente Es el encargado de supervisar y gestionar todo el trabajo pertinente a las inversiones de los recursos asignados por el presidente para los proyectos, y apoyar las actividades de desarrollo de la empresa. Coordinador Es el profesional asignado para supervisar y liderar al departamento de desarrollo de software. Dpto. de recursos humanos Es este departamento Trabajan profesionales dedicados a cumplir con los todas las tareas pertinentes a la administración de los recursos y gestiones humanas. Dpto. de desarrollo En él se encuentran todos los profesionales asignados para el desarrollo de software, contando con un personal humano entre ingenieros de sistemas e informáticos de 10 personas, entre presenciales y trabajadores a distancia. Dpto. de soporte. Este es el departamento encargado del soporte técnico de los sistemas. 1.2. Metodología COBIT COBIT es un acrónimo para Control Objectives for Information and related Technology (Objetivos de Control para tecnología de la información y relacionada); desarrollada por la Information Systems Audit and Control Association (ISACA) y el IT GovernanceInstitute (ITGI). COBIT es una metodología aceptada mundialmente para el adecuado control de proyectos de tecnología, los flujos de información y los riesgos que éstas implican. La metodología COBIT se utiliza para planear, implementar, controlar y evaluar el gobierno sobre TIC; incorporando objetivos de control, directivas de auditoría, medidas de rendimiento y resultados, factores críticos de éxito y modelos de madurez.
  • 10. 10 Figura 3. Marco de Trabajo de Metodología COBIT. Fuente: http://computationeinformaticx.blogspot.com/2014/11/metodologia-cobit.html. Consultada el 20 de Marzo del 2017. 1.2.1. Modelo de Madurez El enfoque de los Modelos de Madurez para el control sobre los procesos de TI consiste en desarrollar un método de asignación de puntos para que una organización pueda calificarse desde Inexistente hasta Optimizada (de 0 a 5).
  • 11. 11 Este planteamiento se basa en el Modelo de Madurez que el Software Engineering Institute definió para la madurez de la capacidad de desarrollo de software. Cualquiera sea el modelo, las escalas no deben estar demasiado simplificadas, lo que haría que el sistema fuera difícil de usar y sugeriría una precisión que no es justificable. Modelo Genérico de Madurez 0 Inexistente: Total falta de un proceso reconocible. La organización ni siquiera ha reconocido que hay un problema que resolver. 1 Inicial: Hay evidencia de que la organización ha reconocido que los problemas existen y que necesitan ser resueltos. Sin embargo, no hay procesos estandarizados pero en cambio hay métodos ad hoc que tienden a ser aplicados en forma individual o caso por caso. El método general de la administración es desorganizado. 2 Repetible: Los procesos se han desarrollado hasta el punto en que diferentes personas siguen procedimientos similares emprendiendo la misma tarea. No hay capacitación o comunicación formal de procedimientos estándar y la responsabilidad se deja a la persona. Hay un alto grado de confianza en los conocimientos de las personas y por lo tanto es probable que haya errores. 3 Definida: Los procedimientos han sido estandarizados y documentados, y comunicados a través de capacitación. Sin embargo se ha dejado en manos de la persona el seguimiento de estos procesos, y es improbable que se detecten desviaciones. Los procedimientos mismos no son sofisticados sino que son la formalización de las prácticas existentes. 4 Administrada: Es posible monitorear y medir el cumplimiento de los procedimientos y emprender acción donde los procesos parecen no estar funcionando
  • 12. 12 efectivamente. Los procesos están bajo constante mejoramiento y proveen buena práctica. Se usan la automatización y las herramientas en una forma limitada o fragmentada. 5 Optimizada. Los procesos han sido refinados hasta un nivel de la mejor práctica, basados en los resultados de mejoramiento continuo y diseño de la madurez con otras organizaciones. TI se usa en una forma integrada para automatizar el flujo de trabajo, suministrando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte con rapidez. Las escalas del Modelo de Madurez ayudarán a la gerencia de usuarios a explicar a los administradores dónde existen deficiencias en la administración de TI y a fijarse objetivos para donde necesitan estar comparando las prácticas de control de su organización con los ejemplos de la mejor práctica. El nivel correcto de madurez estará influenciado por los objetivos de negocio y el entorno operativo de la empresa. Específicamente, el nivel de madurez de control dependerá de la dependencia de TI que tenga la empresa, de la sofisticación de la tecnología y, lo que es más importante, del valor de su información. 1.2.2. Auditoria de TICS Aplicando Cobit 1.2.2.1. Área a Auditar La auditoría se realizara en el departamento de desarrollo de software de la empresa, ya que es donde se centran las actividades principales de la empresa y donde se utilizan las tecnologías de información y equipos informáticos. 1.2.2.2. Proceso de recolección de la información A través de observación directa y una guía de entrevista estructurada realizada al coordinador del depto. de desarrollo y posterior al equipo de desarrollo, se pudieron determinar las fallas presentadas en el departamento y poder obtener mayor cantidad de evidencias.
  • 13. 13 1.2.2.3. Documentos de gestión en el área de informática No existen manuales de procedimientos para el desarrollo y documentación de código de los sistemas de información, como tampoco manuales de convivencia, o uso de los equipos de cómputo. 1.2.2.4. Plan de auditoria en el área de informática Para el plan de auditoria en el área de informática que han evaluado ciertos procedimientos para el mejor alcance y precisión de la auditoria y la recolección de evidencias. N° ACTIVIDADES 1 Observación directa de los procesos de desarrollo del depto. 2 Entrevista con el coordinador y los desarrolladores de software 3 Análisis de los manuales que contiene el departamento 4 Revisión de las metodologías de desarrollo de sistemas 5 Evaluar la seguridad de la información y de los equipos tecnologías de la empresa Cuadro 2. Actividades a efectuar. Elaboración propia (2016). 1.2.2.5. Herramientas y Técnicas Herramientas Técnicas  Libreta para anotaciones  Lápices  Otros  Observación Directa  Entrevista No estructurada Cuadro 3. Herramientas y Técnicas. Elaboración propia (2016).
  • 14. 14 1.2.2.6. Motivos o Necesidades de la Auditoria  Mala productividad en los procesos.  Desorganización en el desarrollo y plazos de tiempo de los proyectos.  Búsqueda de una mejor gestión en el desarrollo de sistemas.  Síntomas de fallas en integridad de la información.  1.2.2.7. Modelos de Madurez a Nivel Cualitativo (coso) EL informe COSO, emitido por el Committee of Sponsoring Organization of Treadway Commission (Comité de la Organización de Patrocinio de la comisión de Marcas) sobre Control Interno, presenta la siguiente definición: El control interno es un proceso, efectuado por el consejo de administración, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías: • Eficacia y eficiencia de las operaciones • Fiabilidad de la información financiera • Cumplimiento de las leyes y normas aplicables COMPONENTES DEL CONTROL INTERNO Los componentes del sistema de Control Interno pueden considerarse como un conjunto de normas que son utilizados para evaluar el control interno y determinar su efectividad; la estructura de control interno en el sector gubernamental tiene los siguientes componentes: a) Ambiente de control b) Evaluación de riesgos c) Actividades de control d) Información y comunicación e) Supervisión y seguimiento
  • 15. 15 CAPITULO II EJECUCIÓN DE LA AUDITORÍA 2.1. Situación actual del área de sistemas El departamento de desarrollo de sistemas se encuentra ubicado en un área independiente la cual dispone de los puestos de trabajo de cada programador, con sus equipos de cómputo. Figura 4. Ubicación Física del departamento de Informática. Elaboración propia (2016).
  • 16. 16 Cargos Funcionales y Operativos: Nombres personas del departamento Cargos operativos Cargos funcionales Lic. Nelson Bracho Coordinador Su función es coordinar las actividades y el desarrollo de los sistemas de la empresa T.s.u. Kevin Hernández Desarrollador de sistemas Encargado de desarrollo de software de la empresa. Ing. Alejandra Cruz Desarrollador de sistemas Encargado de desarrollo de software de la empresa. Ing. José Mata Desarrollador de sistemas Encargado de desarrollo de software de la empresa. Ing. Jose Hernandez Desarrollador de sistemas Encargado de desarrollo de software de la empresa. Lic. Francisco Rojas Desarrollador de sistemas Encargado de desarrollo de software de la empresa. Ing. Carlos Salazar Desarrollador de sistemas Encargado de desarrollo de software de la empresa. Lic. Rasec Casanova Desarrollador de sistemas Encargado de desarrollo de software de la empresa. Ing. Josue Vera Desarrollador de sistemas Encargado de desarrollo de software de la empresa. Ing. Marco Perez Desarrollador de sistemas Encargado de desarrollo de software de la empresa. Cuadro 4. Cargos y Funciones. Elaboración propia (2016)
  • 17. 17 2.1.1. Objetivos del departamento  Establecer una metodología de trabajo y desarrollo de software  Optimizar el rendimiento y productividad del departamento.  Estudiar las tecnologías necesarias para el desarrollo de los sistemas propuestas por la gerencia de la empresa.  Analizar, y desarrollar los requerimientos para la programación de los módulos de los sistemas propuestos.  Mantener la red de trabajo operativa (Comunicación y sistemas de información).  Realizar jornadas de adiestramiento, capacitación y nivelación a los actuales y futuros usuarios de los recursos tecnológicos.  Establecer planes de mantenimiento en relación al hardware y software, hacer levantamiento de información de las incidencias relacionadas a ellos, para luego analizarlas y corregir fallas. 2.1.2. Organigrama del departamento Figura 5. Organigrama del departamento de Informática. Elaboración propia (2016). Coordinador general Equipo de desarrollo
  • 18. 18 2.1.3. Seguridad del departamento a. Seguridad física:  Contar con las instalaciones eléctricas adecuadas para resguardar la integridad de los equipos. b. Seguridad legal:  Aplicación de estándares y metodologías de calidad (IEEE, ISO, TIER, entre otros) de manera tal que se garantice la ejecución de procesos blindados y seguros.  Adquirir las licencias de los sistemas operativos (Microsoft) en uso, de igual forma con antivirus u otro software; esto para no incurrir en faltas legales. c. Seguridad de datos:  Ejecutar las tareas de respaldo según la planificación.  Establecer niveles de acceso acordes a la realidad tanto para los sistemas de información como la los servidores, para impedir acceso y manipulación no autorizada a la información. d. Seguridad de personas:  Instituir políticas de seguridad física y mental para el personal.  Dotar al departamento con las herramientas de protección necesarias para garantizar la seguridad de los empleados.  Instruir a los empleados de cómo actuar ante situaciones de desastre (incendios, inundaciones, sismos, entre otros).
  • 19. 19 2.1.4. Características de la plataforma tecnológica Nombre de equipo Características Software Funcionalidad Coordinador Laptop Lenovo, 4gb de RAM, 1000Gb de disco duro, tarjeta gráfica nvida 2gb, Procesador Intel i7  Sistema operativo Windows 10.  Servidor local Xamp.  Gestor de base de datos.  Firebird y Mysql.  Editor de código Sublime Text. Equipo del coordinador Equipo1 Laptop Lenovo, 4gb de RAM, 500Gb de disco duro, Procesador Intel i5.  Sistema operativo Windows 10.  Servidor local Xamp.  Gestor de base de datos.  Firebird y Mysql. Editor de código Sublime Text. Equipo de desarrollador Equipo2 Laptop Lenovo, 4gb de RAM, 500Gb de disco duro, Procesador Intel i5.  Sistema operativo Windows 10.  Servidor local Xamp.  Gestor de base de datos.  Firebird y Mysql. Editor de código Sublime Text. Equipo de desarrollador Equipo3 Laptop Lenovo, 4gb de RAM, 500Gb de disco duro, Procesador Intel i5.  Sistema operativo Windows 10.  Servidor local Xamp. Equipo de desarrollador
  • 20. 20  Gestor de base de datos.  Firebird y Mysql. Editor de código Sublime Text. Equipo4 Laptop Lenovo, 4gb de RAM, 500Gb de disco duro, Procesador Intel i5.  Sistema operativo Windows 10.  Servidor local Xamp.  Gestor de base de datos.  Firebird y Mysql. Editor de código Sublime Text. Equipo de desarrollador Equipo 5 Laptop Lenovo, 4gb de RAM, 500Gb de disco duro, Procesador Intel i5.  Sistema operativo Windows 10.  Servidor local Xamp.  Gestor de base de datos.  Firebird y Mysql. Editor de código Sublime Text. Equipo de desarrollador Equipo 6 Laptop Lenovo, 4gb de RAM, 500Gb de disco duro, Procesador Intel i5.  Sistema operativo Windows 10.  Servidor local Xamp.  Gestor de base de datos.  Firebird y Mysql. Editor de código Sublime Text. Equipo de desarrollador Equipo 7 Laptop Lenovo, 4gb de RAM, 500Gb de disco duro, Procesador Intel i5.  Sistema operativo Windows 10.  Servidor local Equipo de desarrollador
  • 21. 21 Xamp.  Gestor de base de datos.  Firebird y Mysql. Editor de código Sublime Text. Equipo 8 Laptop Lenovo, 4gb de RAM, 500Gb de disco duro, Procesador Intel i5.  Sistema operativo Windows 10.  Servidor local Xamp.  Gestor de base de datos.  Firebird y Mysql. Editor de código Sublime Text. Equipo de desarrollador Equipo 9 Laptop Lenovo, 4gb de RAM, 500Gb de disco duro, Procesador Intel i5.  Sistema operativo Windows 10.  Servidor local Xamp.  Gestor de base de datos.  Firebird y Mysql. Editor de código Sublime Text. Equipo de desarrollador Cuadro 4. Hardware PC. Elaboración propia (2016). 2.1.5.1. Posibles problemas  Falta de una metodología para el desarrollo de los sistemas  Falta de manuales de procedimientos para documentación de código y desarrollo del mismo.  Falta de organización en la ejecución de los procesos.  Fallas de comunicación entre las diferentes dependencias administrativas.
  • 22. 22  No se lleva un registro de las actividades realizadas, lo que dificulta su control y monitoreo. 2.1.5.2. Formulación de hipótesis No se ha logrado establecer un enlace de comunicación fuerte dentro del departamento, al no fluir correctamente la información el desarrollo de los procesos es ineficiente. Así mismo, existen muchos procesos a la deriva, es decir, no se han determinado responsabilidades y funciones; no se ha tomado importancia a temas referentes a la seguridad de los datos ni a la metodología de trabajo, a la sustentabilidad y mantenimiento del software desarrollado. 2.2. Aplicación de la auditoria 2.2.1. Modelo de madurez de los procesos Nivel 0 Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5 Nivel 6 Definir un plan estrategia de TI X Definir la arquitectura de la información X Definir la dirección tecnológica X Definir los procesos, organización y relaciones de TI X Administrar la inversión en TI X
  • 23. 23 Comunicar las metas y la dirección de la gerencia X Administrar los recursos humanos de TI X Administrar la calidad X Evaluar y administrar los riesgos TI X Administrar los proyectos X Identificar las soluciones automatizadas X Adquirir y mantener software aplicativo X Adquirir y mantener la infraestructura tecnológica X Facilitar la operación y el uso X Procurar recursos de TI X Administrar los cambios X Instalar y acreditar soluciones y cambios X Definir y administra X
  • 24. 24 los niveles de servicio Administrar los servicios de terceros X Administrar el desempeño y capacidad X Asegurar el servicio continuo X Garantizar la seguridad de los sistemas X Identificar y asignar costos X Educar y entrenar a los usuarios X Administrar la mesa de servicio y los incidentes X Administrar la configuración X Administrar los problemas X Administrar los datos X Administrar el ambiente físico X Administrar las operaciones X Monitoreo y evaluar el desempeño de TI X
  • 25. 25 Monitorear y evaluar el control interno X Garantizar el cumplimiento regulatorio X Proporcionar gobierno de TI X Cuadro 5. Modelo de Madurez. Elaboración propia (2016) Existen varias actividades que presentan fallas en los modelos de madurez, además que en el departamento no cuenta con el personal completo y calificado para el desempeño de todas las actividades de desarrollo y gestión de proyectos, a continuación se muestra una tabla con los resultados: Nivel 0 Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5 Nivel 6 Cantidad 1 5 4 6 7 7 2 Cuadro 6. Modelo de Madurez por tabla. Elaboración propia (2016) En la escala de nivel de madurez de puede decir que el departamento cuenta con un alto nivel 4 y nivel 5 de actividades. 2.2.2. Reporte general de los grados de madurez Dominio Procesos Nivel de Madurez Planeacióny Organización Definir un plan estrategia de TI 3 Definir la arquitectura dela información 3 Definir la dirección tecnológica 1 Administrar la inversión en TI 4 Administrar los recursos humanos de TI 5
  • 26. 26 Administrar la calidad 6 Administrar los proyectos 4 Adquirire implementar Adquirir y mantener software aplicativo 6 Adquirir y mantener la infraestructura tecnológica 5 Administrar los cambios 2 Entregarydarsoporte Instalar y acreditar soluciones y cambios 1 Administrar los servicios de terceros 5 Administrar el desempeño y capacidad 5 Asegurar el servicio continuo 1 Garantizar la seguridad de los sistemas 4 Educar y entrenar a los usuarios 4 Administrar la mesa de servicio y los incidentes 5 Administrar la configuración 0 Administrar los problemas 2 Administrar los datos 3 Administrar las operaciones 1 Monitoreary evaluar Monitoreo y evaluar el desempeño de TI 3 Garantizar el cumplimiento regulatorio 4 Proporcionar gobierno de TI 5 Cuadro 7. Reporte general de los grados de madurez. Elaboración propia (2016)
  • 27. 27 2.2.2.1 Análisis por dominio: Planeación y organización  No se le están dando el uso correcto a las planificaciones y organizaciones dentro del departamento, esto trae como consecuencia que la organización no aproveche al máximo las TI. Adquirir e implementar  A pesar que la organización cuenta con los recursos monetarios y la motivación para optimizar los procesos tecnologías dentro de la empresa, el departamento no cuenta con todo el personal capaz de manejar los distintos niveles de tecnologías alojadas en la misma. Entregar y dar soporte  Existe gran motivación en los usuarios por aprender acerca de los sistemas de información utilizados en la organización, y el departamento cuenta con un personal capacitado para brindar soluciones efectivas a los usuarios ante los problemas que se puedan presentar. Monitorear y evaluar  A pesar que existen manuales de monitoreo y evaluación, además, de llevar algunos controles de accesos a las áreas de informática de la empresa, no se cumple con cabalidad todas las medidas de seguridad sugeridas para mantener en orden las actividades rutinarias del departamento.
  • 28. 28 CAPÍTULO III ANÁLISIS DE LOS RESULTADOS 3.1. Informe técnico Alcance Mediante esta auditoría se pretende evaluar el estado actual del Departamento de desarrollo de Sistemas de la empresa “Softmedia ve, C.A.”, conclusiones y recomendaciones para cada uno de los procesos evaluados en cada dominio según la metodología COBIT 5. Objetivo General Realizar la auditoría de las tecnologías de la información en el departamento de desarrollo de Sistemas de la empresa “Softmedia ve, C.A.”, utilizando como modelo de referencia la metodología COBIT 5. Objetivos Específicos  Identificar posibles problemas técnicos en las TI y dar soluciones viables.  Definir controles que permitan disminuir la pérdida de recursos y tiempos de desarrollo en el departamento de desarrollo de sistemas. A continuación se detalla los resultados de las evaluaciones en cada uno de los dominios, basándonos en los niveles de madurez los cuales van desde el rango 0 hasta el rango máximo 6.
  • 29. 29 Dominio de Planear y Organizar El departamento no cuenta con manuales y planificaciones bien estructuradas, en cuento a los mantenimientos de los equipos, respaldos de la información y revisión la calidad e integridad de la información de los sistemas A pesar que no se posee este tipo de planificación, se puede decir que el departamento cuenta con la motivación y los conocimientos necesarios para realizar el mismo. Recomendaciones COBIT:  Crear un plan general estratégico de procesos de cómo se deben efectuar las actividades a nivel general.  Aumentar el rango de los planes estratégicos incluyendo revisiones de inventario de equipos tecnológicos, aumento de la revisión de la seguridad de la información y creación de los manuales para la realización del desarrollo de los sistemas. Dominio de Adquirir e implementar El departamento cuenta con el apoyo de la gerencia general en cuanto a la adquisición de nuevas tecnológicas y el refuerzo de las TI dentro de la organización, esto cuenta con un punto favorable ya que se enmarca el interés por parte de la directiva del mejoramiento de las tecnologías. Por otro lado, el departamento no cuenta con una normativa de requerimiento de equipos, además, de un manual de implementación de los sistemas de información, esto dificultando el mejoramiento del mismo. El personal del departamento no cuenta con la capacitación necesaria para mejorar e implementar nuevas herramientas tecnológicas dentro de los sistemas de información, ni una coordinación adecuada para la realización y cumplimiento de las actividades.
  • 30. 30 Recomendaciones COBIT:  Crear normativas de requerimientos basado en las tecnologías actuales dentro de la organización.  Fomentar la capacitación del personal para así garantizar el mejoramiento de las herramientas utilizadas para el desarollo de los sistemas de información. Dominio Estratega y dar soporte El departamento cuenta con el personal para el soporte a los usuarios que utilizan las tecnologías así como los sistemas de información, además, cuenta con la motivación de aprender día a día a utilizarlos y mejorarlos creando reglas y normas útil para el mantenimiento de las mismas. Recomendaciones COBIT:  Crear y diseñar una metodología de trabajo para la productividad y el desarrollo de software. Dominio Monitoreo y Evaluación El departamento cuenta con actividades y procesos de monitoreo continuo en los sistemas de información, además de controles de seguridad para mantener la integridad de la data en los sistema de base de datos. Cuenta con scripts de actividades para el seguimiento de este monitoreo y un libro de bitácoras para la revisión por parte de la auditoria de las actividades realizadas en los servidores. Por otro lado, no llevan un historial de acceso al área de servidores así como un control de visitas por parte de entes externos para revisiones o mantenimientos. Recomendaciones COBIT:  Diseñar un plan de seguimiento para el control de accesos a las distintas aéreas dentro del departamento de informática.
  • 31. 31  Mejorar con manuales las actividades de monitoreo de los sistemas de información así como de las tecnologías utilizadas dentro de la organización. 3.2. Informe ejecutivo En este informe de detalla los resultados de la evaluación en cada uno de los dominios y las recomendaciones que ofrece la metodología COBIT 5 evaluando el departamento de desarrollo de sistemas de la empresa Softmedia ve, c.a. La efectividad consiste en que la información relevante sea entregada de forma, correcta, consistente y utilizable, este criterio tiene un porcentaje de 60%. 40% 60% Efectividad Efectividad Deficit 70% 30% Eficiencia Efectividad Deficit
  • 32. 32 La eficiencia consiste en que la información debe ser generada optimizando los recursos, este criterio tiene un promedio de 70%. La confidencialidad consiste en que la información vital sea protegida contra la revelación no autorizada, este criterio tiene un porcentaje de 45%. La integridad consiste en que la información debe se precisa, completa y valida, este criterio tiene un promedio de 82%. 45% 55% Cofidencialidad Efectividad Deficit 82% 18% Integridad Efectividad Deficit
  • 33. 33 La disponibilidad consiste en que la información esté disponible cuando esta sea requería por parte de las aéreas de la organización en cualquier momento, este criterio tiene un porcentaje de 85%. El cumplimiento consiste en que se debe respetar las leyes, reglamentos y acuerdos contractuales a los que está sujeta el proceso de la organización con políticas interna, este criterio tiene un porcentaje de 60%. 85% 15% Disponibilidad Efectividad Deficit 60%40% Cumplimiento Efectividad Deficit
  • 34. 34 La confiabilidad consiste en que se debe respetar y proporcionar la información apropiada, con el fin de que la gerencia general administre la entidad, este criterio tiene un porcentaje del 80%. 80% 20% Confiablidad Efectividad Deficit
  • 35. 35 CAPITULO IV CONCLUSIONES Y RECOMENDACIONES 4.1. CONCLUSIONES Durante la ejecución de la auditoria aplicando la metodología COBIT 5, se determinó la problemática que presentaba el departamento de desarrollo de la empresa Softmedia ve, c.a, Lo que conllevo a proponer soluciones para el mejoramiento de las actividades que realiza la empresa mediante sus sistemas de información y metodología de desarrollo. Con la propuesta, se busca mejorar las condiciones y el rendimiento de la información de los sistemas del departamento, estos con la finalidad de obtener una mejor confiabilidad, disponibilidad, fiabilidad y resguardo de la información que es necesaria para la empresa, para obtener un mejor rendimiento productividad creando procesos que agilicen y supervisen las actividades de desarrollo de la empresa. 4.2. RECOMENDACIONES La aplicación de la auditoría interna se efectúo con el fin de obtener un mejor rendimiento del departamento de desarrollo. Para alcanzar los objetivos establecidos, por tal motivo, se recomienda:  Llevar a cabo las sugerencias planteadas en la auditoría COBIT, en la fase de resultados.  Aplicar tareas de auditoría cada 9 meses.  Cumplir con los planes de mantenimiento.  Renovar la plataforma tecnológica a medida que se necesite.  Llevar registros de las actividades realizadas  Mantener informadas a las diferentes gerencias de las actividades a realizar.  Creación de manuales de procedimientos y supervisar su cumplimiento
  • 36. 36 GLOSARIO Administración: es el proceso de estructurar y utilizar conjuntos de recursos orientados hacia el logro de metas, para llevar a cabo las tareas en un entorno organizacional. (Hitt, 2006). Auditoría: evaluación donde se miden los niveles de desempeño y se verifica que los procedimientos ejecutados son correctos y que cumplen con las normativas o políticas existentes, permite dar a conocer el estatus actual de la empresa en cuanto a sus operaciones. (Definición operacional). Control: es una función administrativa: es la fase del proceso administrativo que mide y evalúa el desempeño y toma la acción correctiva cuando se necesita. (Chiavenato, 2007). Dirección: Proceso para dirigir e influir en las actividades de los miembros de un grupo o una organización entera, con respecto a una tarea. (Stoner y Freeman, 1997). Eficacia: capacidad para lograr el efecto que se desea o se espera tras la realización de una acción. (Fernández y Otros, 1997). Eficiencia: capacidad de reducir al mínimo los recursos usados para alcanzar los objetivos de la organización. (Chiavenato, 2007). Empresa: organización destinada a la producción o comercialización de bienes o servicios. (Chiavenato, 2007). Estrategia: En un proceso regulable, conjunto de las reglas que aseguran una decisión óptima en cada momento. (Diccionario de la Real Academia Española, 2001). Flujo de información: Desplazamiento de información dentro de una organización o entre la organización y su entorno. (Definición operacional). Gerencia: son los gerentes responsables de la administración general de la organización; establecen políticas operativas y guían la interactuación de la organización y su entorno. (Chiavenato, 2007). Metas: fin de aprender alcanzar la organización; con una frecuencia, las organizaciones tienen más de una meta; las metas son elementos fundamentales de las organizaciones. (Stoner y Freeman, 1997).
  • 37. 37 Objetivos: son los resultados y fines esperados por personas o instituciones. (Definición Operacional). Organigrama: es un diagrama que ilustra las líneas de reporte entre unidades y personas dentro de la organización, usando el término unidades para referirnos a equipos, grupos, departamentos o divisiones. (Hellriegel, 2006). Organización: es el proceso de gestión que combina los recursos materiales y humanos con objetos de estableces una estructura formal de tareas y actividades. (Chiavenato, 2007). Optimización: Buscar la mejor manera de realizar una actividad. (Diccionario de la Real Academia Española, 2001). Planeación: trazar un plan. (Diccionario de la Real Academia Española, 2001). Planificador: que Hacer plan o proyecto de una acción. (Diccionario de la Real Academia Española, 2001). Proceso: Conjunto de las fases sucesivas de un fenómeno natural o de una operación artificial. (Diccionario de la Real Academia Española, 2001).
  • 38. 38 REFERENCIAS Referencias Bibliográficas ISACA (2012). Cobit 5, USA: Editorial Isaca. Referencias Electrónicas Diccionario de la Real Academia Española (2001). Comercialización [online]. Disponible en: http://lema.rae.es/drae/?val=comercializaci%C3%B3n [Consulta: 2017, Marzo 20]. Diccionario de la Real Academia Española (2001). Estrategia [online]. Disponible en: http://lema.rae.es/drae/?val=estrategia [Consulta: 2017, Marzo 20]. Diccionario de la Real Academia Española (2001). Optimización [online]. Disponible en: http://lema.rae.es/drae/?val=optimizacion [Consulta: 2017, Marzo 20]. Diccionario de la Real Academia Española (2001). Planeación [online]. Disponible en: http://lema.rae.es/drae/?val=planeacion [Consulta: 2017, Marzo 20]. Diccionario de la Real Academia Española (2001). Planificador [online]. Disponible en: http://lema.rae.es/drae/?val=planificador [Consulta: 2017, Marzo 20]. Diccionario de la Real Academia Española (2001). Proceso [online]. Disponible en: http://lema.rae.es/drae/?val=proceso[Consulta: 2017, Marzo 20]. Diccionario de la Real Academia Española (2001). Producto [online]. Disponible en: http://lema.rae.es/drae/?val=producto [Consulta: 2017, Marzo 20]. Diccionario de la Real Academia Española (2001). Servicio [online]. Disponible en: http://lema.rae.es/drae/?val=servicio [Consulta: 2017, Marzo 20]. Fuzi , C. (2013).APLICACIÓN DE AUDITORÍA COBIT AL DEPARTAMENTO DE INFORMÁTICA DE LA EMPRESA EKIPA, C.A. [online]. Disponible enhttps://es.slideshare.net/mitcheljrn/trabajo-final-auditora [Consulta: 2017, Marzo 20].