Este documento presenta un resumen de 3 oraciones o menos: El documento describe la aplicación de una auditoría COBIT al departamento de informática de la empresa Rattan Hypermarket C.A. Se presentan las generalidades de la empresa incluyendo su visión, misión, objetivos y estructura organizativa. Luego se detalla la metodología COBIT y cómo se llevará a cabo la auditoría evaluando los procesos del área de informática usando este marco. Finalmente, se analizarán los resultados para mejorar la gestión de las tecnologías de

1. REPÚBLICA BOLIVARIANA DE VENEZUELA
INSTITUTO UNIVERSITARIO POLITÉCNICO
“SANTIAGO MARIÑO”
EXTENSIÓN PORLAMAR
APLICACIÓN DE AUDITORÍA COBIT AL DEPARTAMENTO DE
INFORMÁTICA DE LA EMPRESA RATTAN HYPERMARKET, C.A.
Autor: Br. Jesús Sotillo
C.I.: 23.868.277
Porlamar, Marzo 2017

2. ÍNDICE GENERAL
pp.
INTRODUCCIÓN............................................................................................... 1
CAPITULO
I. GENERALIDADES DE LA EMPRESA……….………………… 2
1.1. CARACTERIZACION DE LA EMPRESA…….………….. 2
1.1.1. Naturaleza de la Empresa……………………………….. 2
1.1.2. Ubicación Geográfica...…………………………………. 2
1.1.3. Visión…………………………………………………… 3
1.1.4. Misión…………………………………………………… 3
1.1.5. Objetivos Estratégicos…………………………………... 4
1.1.5.1. Análisis FODA……………………………………… 4
1.1.5.2. Metas Organizacionales…………………………….. 4
1.1.6. Estructura Organizativa…………………………………. 5
1.1.6.1. Descripción de los Procesos y Funciones…………… 6
1.2. Metodología COBIT………………………………………… 8
1.2.1. Modelo de Madurez…………………………………….... 10
1.2.2. Auditoria de TICS Aplicando COBIT…………………… 11
1.2.2.1. Área a Auditar………………………………………. 11
1.2.2.2. Proceso de recolección de la información…………... 12
1.2.2.3. Documentos de gestión en el área de informática…... 12
1.2.2.4. Plan de auditoria en el área de informática…………. 12
1.2.2.5. Herramientas y Técnicas……………………………. 13
1.2.2.6. Motivos o Necesidades de la Auditoria………..…… 13
1.2.2.7. Modelos de Madurez a Nivel Cualitativo (coso)……. 14
II. EJECUCIÓN DE LA AUDITORÍA……………………………… 18
2.1. Situación actual del área de sistemas……………………….. 18
2.1.1. Objetivos del departamento…………………………...... 19
2.1.2. Organigrama del departamento…………………………. 20
2.1.3. Seguridad del departamento…………………………….. 20
2.1.4. Características de la plataforma tecnológica……………. 21
2.1.5. Determinación de los problemas y planteamiento de
hipótesis………………………………………………………………………….
25
2.1.5.1. Posibles problemas………………………………... 25
2.1.5.2. Formulación de hipótesis……………..…………... 25
2.2. Aplicación de la auditoria…………………..……………… 25
2.2.1. Modelo de madurez de los procesos………….………. 25
2.2.2. Reporte general de los grados de madurez…………….. 27

3. III. ANÁLISIS DE LOS RESULTADOS 31
3.1. Informe técnico……………………………………………... 31
3.2. Informe ejecutivo……………................................................. 35
IV. CONCLUSIONES Y RECOMENDACIONES 39
4.1. Conclusiones………………………………………………..... 39
4.2. Recomendaciones…………………..……………….............. 40
GLOSARIO…………………………………………………………………….. 41
REFERENCIAS......................…………………………………………………. 43
Bibliográficas..................………………………………………………….. 43
Electrónicas......................………………………………………………… 43

4. 1
INTRODUCCIÓN
En el mundo actual, la tecnología de la información juega un papel de alta relevancia
para las empresas y organizaciones en el desarrollo de sus procesos, por lo que puede
decirse que la tecnología es imprescindible, al hacer uso de ella es posible realizar o
ejecutar diversos procesos de alta complejidad de forma automática, llevando controles,
registros y reduciendo notablemente los tiempos de trabajo.
De acuerdo con lo anteriormente expuesto, es necesario revisar, monitorear y controlar
el uso aplicado a las tecnologías de la información, de tal forma que pueda aprovecharse al
máximo los beneficios que otorga. Para cumplir con esta tarea, existen dentro de las
empresas CTI o Departamentos de Informática, ellos son los encargados de administrar los
recursos tecnológicos y buscar utilizarlos de la manera más idónea para optimizar los
procesos.
Por otra parte, una tarea que debe realizarse de forma periódica es la auditoría, la cual en
el área informática es una actividad que permite recoger, agrupar y evaluar evidencias para
determinar si los sistemas de información y la tecnología utilizada, mantienen la integridad
de los datos y promueven elcumplimiento eficaz de los fines de la organización.
En el caso de la investigación realizada, se propone la aplicación de una auditoría
COBIT al Departamento de Informática de la empresa RATTAN HYPERMARKET, C.A
con el objeto de determinar amenazas y fortalezas en los procesos que ejecuta, a fin de
determinar los posibles factores que atenten contra el desarrollo regular y eficiente de las
actividades.

5. 2
CAPITULO I
GENERALIDADES DE LA EMPRESA
1.1. CARACTERIZACION DE LA EMPRESA
1.1.1. Naturaleza de la Empresa
El camino se inicia con dos tiendas textiles, que le dan paso a Rattan C.A. en el año de
1978 ubicada en la Av. 4 de Mayo en un local propio de aproximadamente 1000 m2, su
objetivo principal comercializar mercancía bajo el Régimen de Puerto Libre de Margarita.
Los principales rubros que ofrecía en venta eran artículos del hogar, ferretería, mueblería y
alfombras. En el año 2005 se constituye Rattan Hypermarket C.A. Iniciándose un vital
crecimiento y expansión hacia otros municipios dentro de la Isla. De acuerdo a las
exigencias del mercado Cash&Carry cambia su concepto y pasa a ser un nuevo
hipermercado “RATTAN HYPERPLAZA”. El año 2009, culmina abriendo una de sus más
modernas tiendas con lo último en mobiliario, equipo y tecnología, Rattan Paraguaná
ubicada dentro de las instalaciones del Sambil Ciudad Turística Punto Fijo – Falcón
Rattan Hypermarket C.A., realiza sus operaciones enmarcadas en la actividad
netamente económica que ofrece el Puerto Libre de Margarita y la Zona Libre de Paraguaná
ofreciendo la más completa variedad en la venta de artículos para el hogar, supermercado,
ferretería, jardinería, bodegón, juguetería, lencería, cristalería, electrodomésticos entre
otros, tanto nacionales como importados
1.1.2. Ubicación Geográfica
La empresa Rattan Hypermarket, C.A. se encuentra ubicada en la zona este de la isla de
Margarita, en el siguiente mapa extraído de Google Maps puede verse la localización de la
organización:

6. 3
Figura 1. Localización de Rattan Hypermarket, C.A. Tomado de: Google Maps (2017)
La ubicación de la organización no es simplemente una casualidad, fue ideada
estratégicamente, pensando en el hecho de que la parte este de la isla posee gran potencial a
nivel comercial, en las zonas cercanas existen diferentes tipos de locales que atraen gran
cantidad de clientes al concentrar todo en un mismo lugar (Centros comerciales,
restaurantes, clínicas, establecimientos policiales, entes bancarios, entre otros), la zona se
encuentra en una vía principal, bien comunicada y con facilidades de acceso. Todo lo antes
mencionado, ubica a la organización en un punto ventajoso frente a sus competidores ya
que los usuarios siempre se inclinan por la comodidad.
1.1.3. Visión
Rattan Hypermarket, C.A. tiene como visión, ser la tienda líder, por departamento
garantizando el mejor servicio a sus clientes, así como la mayor variedad y calidad en sus
productos nacionales e importados.
1.1.4. Misión
Rattan Hypermarket, C.A. tiene como misión, ser líderes en cadenas de tiendas por
departamento diferenciados por la innovación, la calidad de servicio, la variedad y calidad

7. 4
de los productos ofrecidos con el fin de satisfacer en forma óptima las necesidades de
nuestros clientes y obtener una rentabilidad adecuada, contando para ello con un personal
altamente comprometido con la organización.
1.1.5. Objetivos Estratégicos
1.1.5.1. Análisis FODA
Análisis Interno
Fortalezas
✓ Variedad de herramientas en el
área ferretera.
✓ Servicio de gran calidad y
especializado en el área.
✓ Gran cantidad de departamentos.
Debilidades
✓ Dependencias en soportes externos.
✓ Manejo de 2 sistemas de
información en paralelo.
✓ Control de procesos deposito –
tienda.
Análisis Externo
Oportunidades
✓ Ubicación Céntrica y de fácil
acceso.
✓ Línea de descuentos a productos
con poca rotación.
✓ Mejora y utilización de las TIC’s
como herramientas.
Amenazas
✓ Oferta de productos con menor
precio por parte de la competencia.
✓ Incrementación de la competencia.
✓ Captación de un solo tipo de clase
social.
1.1.5.2. Metas Organizacionales
Metas a Corto Plazo
Abastecimiento de los productos disponibles para la venta, con el fin de brindar
variedad y calidad a los clientes.

8. 5
Metas a Largo Plazo
Dar mejor servicio en cadenas de tiendas por departamento de la región brindando,
confort, estabilidad, variedad a los clientes que visitan la tienda.
1.1.6. Estructura Organizativa
En la siguiente figura es posible apreciar como está estructurada la organización:
Figura 2. Estructura Organizativa de Rattan Hypermarket, C.A.Elaboración propia (2017)
Directiva
Gerente
General
Gerente
Administrativo
Jefe de
Inormática
Soporte
Técnico
Jefe de Caja
Supervisoras
de Caja
Cajeras
Atencion al
ClienteJefe de
Recursos
Humanos
Recepción
Gerente de
Compras
Compras
Nacionales
Compras
Internacionales
Entrada de
Mercancia
Gerente de
Operaciones
Supervisores
de Piso de
Venta
Vendedores
Jefe de
Deposito
Depositarios

9. 6
1.1.6.1. Descripción de los Procesos y Funciones
Gerencia General
Es la gerencia principal dentro de la empresa, encargada de regular y vigilar las
actividades y los procesos de los demás departamentos, este personal en la empresa se
dirige directamente al gerente de administración, gerente de compras y gerente de
operaciones respectivamente.
Gerencia Administrativa
Es el jefe principal de los departamentos de: informática, finanzas, caja principal, caja
operativa y recursos humanos, es el administrador principal y sus funciones radican en el
flujo de procesos de efectivo, caja e información.
Departamento de informática
Este departamento se encuentra conformado por un jefe de informática y por soporte
técnico, son los encargados de regular y resguardar la información dentro de los sistemas
informáticas, además de brinda soporte a todos los departamentos dentro de la empresa, con
el fin de mantener el funcionamiento óptimo de todos los equipos tecnológicos.
Departamento de Recursos Humanos
Este departamento se encuentra conformado por un jefe y una asistente de recursos
humanos, quienes se encarga del control de nómina, ingreso y egresos, además del control
de asistencias y toda la información relevante de los empleados, leyes y normativas.
Departamento de Finanzas
Es el departamento encargado de la contabilidad de la empresa, además del control de
flujo de caja y pagos realizados a los distintos proveedores o servicios.

10. 7
Departamento de Caja principal
Es el departamento encargado del cuadre de cajas efectuados por el departamento de
caja operativa, son los encargado del conteo y resguardo del efectivo de la empresa.
Caja Operativa
Este departamento se encuentra conformado por supervisoras de caja y las cajeras,
quienes son la cara al público al momento de concretar una transacción de compra o
devolución, ellas son las encargadas de recibir los pagos de los clientes.
Gerencia de Operaciones
La gerencia de operaciones es la encargada de evaluar y planificar la optimización de
las ventas en el área de piso de venta, además de vigilar los procesos de trasferencia de
mercancía realizadas desde el depósito a la tienda. Esta gerencia controla los departamentos
de: depósito, atención al cliente y vendedores.
Departamento de Depósito
Este departamento realiza el proceso de recepción, entrada y transferencia de la
mercancía a la tienda, es un departamento de alto nivel de confianza ya que son quieren
reciben y depositan los productos que se encuentran en la empresa.
Departamento de Atención al Cliente
Es el departamento encargado de efectuar la revisión de los productos vendidos por la
tiendas, además de la recepción de las quejas e inquietudes de los clientes. Este
departamento emite las garantías de los productos.
Departamento de Ventas
Es el departamento encargado de la atención de los clientes en cuanto a los
departamento de ventas, este departamento se subdivide en supervisores y vendedores,
donde los supervisores realizan evaluaciones y planificaciones estratégicas de la ubicación

11. 8
de la mercancía para su mejor venta y los vendedores se encargan de guiar al cliente en su
compra y de coordinar la organización de la mercancía con su debida identificación y
precio.
Gerencia de Compras
Es el personal encargado de efectuar las compras nacionales e internacionales
correspondientes a los productos de venta en la tienda, a su vez posee un grupo de trabajo
de compradoras que agilizan este tipo de transacciones y un departamento de entrada de
mercancía que ayuda a mantener un filtro de los productos que entran a la tienda y validar
características como por ejemplo: el código de barra, código modelo o descripción del
producto.
Departamento de Compras
Este departamento es el encargado de realizar los sugeridos de compras a través de
órdenes de compras tanto a nivel nacional como internacional, además de ello, son las
encargadas de velar que las facturas de los proveedores lleguen a tiempo.
Departamento de Entrada de Mercancía
Este departamento es el encargado de velar por la integridad de la data en los sistemas
maestro de artículos correspondiente a los productos que son comprados, además de
encargarse de validar las cantidades recibidas sean las mismas que las solicitadas y por
ende cumplir con las notificaciones por posibles notas de crédito.
1.2. Metodología COBIT
COBIT es un acrónimo para Control Objectives for Information and related
Technology (Objetivos de Control para tecnología de la información y relacionada);
desarrollada por la Information Systems Audit and Control Association (ISACA) y el IT
GovernanceInstitute (ITGI).

12. 9
COBIT es una metodología aceptada mundialmente para el adecuado control de
proyectos de tecnología, los flujos de información y los riesgos que éstas implican. La
metodología COBIT se utiliza para planear, implementar, controlar y evaluar el gobierno
sobre TIC; incorporando objetivos de control, directivas de auditoría, medidas de
rendimiento y resultados, factores críticos de éxito y modelos de madurez.
Figura 3. Marco de Trabajo de Metodología COBIT. Elaboración propia (2017).

13. 10
1.2.1. Modelo de Madurez
El enfoque de los Modelos de Madurez para el control sobre los procesos de TI
consiste en desarrollar un método de asignación de puntos para que una organización pueda
calificarse desde Inexistente hasta Optimizada (de 0 a 5).
Este planteamiento se basa en el Modelo de Madurez que el Software
EngineeringInstitute definió para la madurez de la capacidad de desarrollo de software.
Cualquiera sea el modelo, las escalas no deben estar demasiado simplificadas, lo que haría
que el sistema fuera difícil de usar y sugeriría una precisión que no es justificable.
Modelo Genérico de Madurez
0 Inexistente: Total falta de un proceso reconocible. La organización ni siquiera ha
reconocido que hay un problema que resolver.
1 Inicial: Hay evidencia de que la organización ha reconocido que los problemas
existen y que necesitan ser resueltos. Sin embargo, no hay procesos estandarizados pero en
cambio hay métodos ad hoc que tienden a ser aplicados en forma individual o caso por
caso. El método general de la administración es desorganizado.
2 Repetible: Los procesos se han desarrollado hasta el punto en que diferentes personas
siguen procedimientos similares emprendiendo la misma tarea. No hay capacitación o
comunicación formal de procedimientos estándar y la responsabilidad se deja a la persona.
Hay un alto grado de confianza en los conocimientos de las personas y por lo tanto es
probable que haya errores.
3 Definida: Los procedimientos han sido estandarizados y documentados, y
comunicados a través de capacitación. Sin embargo se ha dejado en manos de la persona el
seguimiento de estos procesos, y es improbable que se detecten desviaciones. Los

14. 11
procedimientos mismos no son sofisticados sino que son la formalización de las prácticas
existentes.
4 Administrada: Es posible monitorear y medir el cumplimiento de los procedimientos
y emprender acción donde los procesos parecen no estar funcionando efectivamente. Los
procesos están bajo constante mejoramiento y proveen buena práctica. Se usan la
automatización y las herramientas en una forma limitada o fragmentada.
5 Optimizada. Los procesos han sido refinados hasta un nivel de la mejor práctica,
basados en los resultados de mejoramiento continuo y diseño de la madurez con otras
organizaciones. TI se usa en una forma integrada para automatizar el flujo de trabajo,
suministrando herramientas para mejorar la calidad y la efectividad, haciendo que la
empresa se adapte con rapidez.
Las escalas del Modelo de Madurez ayudarán a la gerencia de usuarios a explicar a los
administradores dónde existen deficiencias en la administración de TI y a fijarse objetivos
para donde necesitan estar comparando las prácticas de control de su organización con los
ejemplos de la mejor práctica. El nivel correcto de madurez estará influenciado por los
objetivos de negocio y el entorno operativo de la empresa. Específicamente, el nivel de
madurez de control dependerá de la dependencia de TI que tenga la empresa, de la
sofisticación de la tecnología y, lo que es más importante, del valor de su información.
1.2.2. Auditoria de TICS Aplicando Cobit
1.2.2.1. Área a Auditar
La auditoría se realizara en el departamento de informática de la empresa, ya que es el
lugar donde se maneja gran parte de la información de la empresa como el manejo de los
equipos tecnológicos.

15. 12
1.2.2.2. Proceso de recolección de la información
A través de observación directa y una guía de entrevista estructurada realizada al jefe
del departamento de informática y posterior al gerente general, se pudieron determinar las
fallas presentadas en el departamento y poder obtener mayor cantidad de evidencias.
1.2.2.3. Documentos de gestión en el área de informática
Actualmente los documentos utilizados por el departamento de informática son:
✓ Manual de respaldo de equipos
✓ Manual de uso de sistemas de información
✓ Manual de contingencias
✓ Manual de procedimientos administrativos
A pesar de ello, no existen manuales de procedimientos para mantenimiento de equipos
o normativas de uso para los equipos tecnológicos de la empresa.
1.2.2.4. Plan de auditoria en el área de informática
Para el plan de auditoria en el área de informática que han evaluado ciertos
procedimientos para el mejor alcance y precisión de la auditoria y la recolección de
evidencias.
N ACTIVIDADES
1 Entrevista Con el Jefe del departamento de informática y Gerente General
2 Observación directa en los procesos del departamento
3 Análisis de los manuales que contiene el departamento
4 Revisión de Carpetas de historiales de equipos

16. 13
5 Evaluar las tecnologías de información (TI), tanto en hardware como el software
6 Evaluar la seguridad de la información y de los equipos tecnologías de la empresa
Cuadro 1. Actividades a efectuar. Elaboración propia (2017)
1.2.2.5. Herramientas y Técnicas
Herramientas Técnicas
✓ Cuaderno de Apuntas
✓ Sistema Microsoft Office
✓ Lápices
✓ Aplicación Everest
✓ Hojas de papel
✓ Otros
✓ Observación Directa
✓ Entrevista Estructurada
Cuadro 2. Herramientas y Tecnicas. Elaboración propia (2017)
1.2.2.6. Motivos o Necesidades de la Auditoria
✓ Síntomas de inseguridad en el mantenimiento de la información.
✓ Quejas de los usuarios que manejan los sistemas de información.
✓ Búsqueda de una nueva opinión acerca de los procesos informáticos dentro de la
organización
✓ Síntomas de fallas en integridad de la información.

17. 14
1.2.2.7. Modelos de Madurez a Nivel Cualitativo (coso)
OBJETIVOS DE CONTROL DE COBIT
CRITERIOS DE
INFORMACIÓN DE
COBIT
RECURSOS DE
TI DE COBIT
EFECTIVIDAD
EFICIENCIA
CONFIABILIDAD
INTEGRIDAD
DISPONIBILIDAD
CUMPLIMIENTO
CONFIABILIDAD
PERSONAS
INFORMACION
APLICACIÓN
INFRAESTRUCTURA
PLANEAR Y ORGANIZAR
PO1
Definir un plan estrategia
de TI
P S X X X X
PO2
Definir la arquitectura
dela información
P S S P X X
PO3
Definir la dirección
tecnológica
P P X X
PO4
Definir los procesos,
organización y relaciones
de TI
P P X
PO5
Administrar la inversión
en TI
P P S X X X
PO6
Comunicar las metas y la
dirección de la gerencia
P S X X
PO7
Administrar los recursos
humanos de TI
P P X
PO8 Administrar la calidad P P S X X X X
PO9
Evaluar y administrar los
riesgos TI
S S P P P S S X X X X
PO10
Administrar los
proyectos
P P X X X

18. 15
ADQUIRIR E
IMPLEMETAR
AI1
Identificar las soluciones
automatizadas
P S X X
AI2
Adquirir y mantener
software aplicativo
P P S S X
AI3
Adquirir y mantener la
infraestructura
tecnológica
S P S S X
AI4
Facilitar la operación y el
uso
P P S S S S X X X
AI5 Procurar recursos de TI S P S X X X X
AI6 Administrar los cambios P P P P S X X X X
AI7
Instalar y acreditar
soluciones y cambios
P S S S X X X X
ENTREGAR Y
DAR SOPORTE
DS1
Definir y administra los
niveles de servicio
P P S S S X X X X
DS2
Administrar los servicios
de terceros
P P X X X X
DS3
Administrar el
desempeño y capacidad
P S X X
DS4
Asegurar el servicio
continuo
P P X X X X
DS5
Garantizar la seguridad
de los sistemas
P S X X X X
DS6
Identificar y asignar
costos
P P X X X X
DS7
Educar y entrenar a los
usuarios
P S X

19. 16
Cuadro 3. Cuadro de Madurez. Elaboración propia (2017)
Mediante el estudio de la anterior tabla se pueden obtener los siguientes resultados:
Clasificación Impacto Porcentaje
15% - 40% BAJO 28
41% - 80% MEDIO 67
81% - 95% ALTO 86
Cuadro 4. Clasificación de impacto. Elaboración propia (2017)
DS8
Administrar la mesa de
servicio y los incidentes
P P X X
DS9
Administrar la
configuración
P S S S X X X
DS10
Administrar los
problemas
S X X X X
DS11 Administrar los datos P P X
DS12
Administrar el ambiente
físico
P P X
DS13
Administrar las
operaciones
P P S S X X X X
MONITOREO Y
EVALUACION
ME1
Monitoreo y evaluar el
desempeño de TI
P P S S S S S X X X X
ME2
Monitorear y evaluar el
control interno
P P S S S S S X X X X
ME3
Garantizar el
cumplimiento regulatorio
P S X X X X
ME4
Proporcionar gobierno de
TI
P P S S S S S X X X X

20. 17
Teniendo en cuenta la anterior tabla se puede decir que el departamento trabaja bajo un
rango de impacto alto sobre la organización y que de sus actividades pueden influir en la
dirección y la coordinación de las TI.

21. 18
CAPITULO II
EJECUCIÓN DE LA AUDITORÍA
2.1. Situación actual del área de sistemas
a. Ubicación: el departamento de informática se ubica en el primer piso del local,
específicamente en el área de oficinas, tiene como responsabilidad mantener la integridad
de la data que se maneja dentro de la organización. De igual forma, es este departamento
quien gestiona y administra la adquisición y uso del software y hardware que utiliza la
empresa para el desarrollo de sus actividades operacionales; así mismo, se encarga de
mantener a la empresa a la vanguardia en lo que respecta a la plataforma tecnológica.
Figura 4. Ubicación Física del departamento de Informática.Elaboración propia (2017).

22. 19
b. Cargos Funcionales y Operativos:
Cuadro 5. Cargos y Funciones. Elaboración propia (2017)
2.1.1. Objetivos del departamento
• Constituir planes de acción estratégicos ligados a la tecnología, en concordancia con
los requerimientos de la directiva y gerencia de la empresa.
• Proponer la adquisición de nuevos recursos tecnológicos para la organización,
siempre y cuando se considere necesario y se demuestre que así sea.
• Resguardar la integridad de la data que se maneja dentro de la empresa,
estableciendo mecanismos de control y seguridad para alcanzar tal fin.
• Brindar soporte técnico al personal de las diferentes áreas de la empresa.
• Planificar tareas de respaldo (Plan backup) para cada uno de los equipos, haciéndolo
de forma periódica y almacenando esa información en dispositivos de
almacenamiento masivo externo.
• Mantener la red de trabajo operativa (Comunicación y sistemas de información).
• Realizar jornadas de adiestramiento, capacitación y nivelación a los actuales y
futuros usuarios de los recursos tecnológicos.
• Establecer planes de mantenimiento en relación al hardware y software, hacer
levantamiento de información de las incidencias relacionadas a ellos, para luego
analizarlas y corregir fallas.

23. 20
2.1.2. Organigrama del departamento
Figura 5. Organigrama del departamento de Informática.Elaboración propia (2017).
2.1.3. Seguridad del departamento
a. Seguridad física:
• Proteger el área del data center frente a posibles inundaciones.
• Contar con las instalaciones eléctricas adecuadas para resguardar la
integridad de los equipos.
• Un lugar adecuado y fresco que mantenga los servidores trabajando a
temperaturas ideales.
b. Seguridad legal:
• Aplicación de estándares y metodologías de calidad (IEEE, ISO, TIER,
entreotros) de manera tal que se garantice la ejecución de procesos blindados
y seguros.
• Adquirir las licencias de los sistemas operativos (Microsoft) en uso, de igual
forma con antivirus u otro software; esto para no incurrir en faltas legales.
Departamento
de Informática
Soporte Técnico
Software Hardware
Redes
Microsoft
Procedimientos
Estandarización
(Normas y
manuales)
Formación y
capacitación
Optimización

24. 21
• Contar con las licencias de los sistemas SAP B1 y sistemas RetailPro R4.
c. Seguridad de datos:
• Ejecutar las tareas de respaldo según la planificación.
• Establecer niveles de acceso acordes a la realidad tanto para los sistemas de
información como la los servidores, para impedir acceso y manipulación no
autorizada a la información.
d. Seguridad de personas:
• Instituir políticas de seguridad física y mental para el personal.
• Dotar al departamento con las herramientas de protección necesarias para
garantizar la seguridad de los empleados.
• Instruir a los empleados de como actuar ante situaciones de desastre
(incendios, inundaciones, sismos, entre otros).
2.1.4. Características de la plataforma tecnológica
a. Hardware
Equipos Server
Nombre del Equipo Características Utilidad
Server 1 CPU Intel Xeon 1.8Ghz Servidor
de
sistema
SAP B1
Memoria
RAM
14 Gb
Disco duro 500 Gb
Monitor Samsung 17"
Server 2 CPU Intel Xeon 2.7 Ghz Servidor
de
sistema
RetailPro
Memoria
RAM
4 Gb
Disco duro 500 Gb
Monitor Samsung 17"

25. 22
Server 3 CPU Corel 2 duo 2.4 Ghz Servidor
de
Dominio
Memoria
RAM
500 Gb
Disco duro 2 Gb
Monitor Samsung 17"
Cuadro 6. Hardware Server. Elaboración propia (2017)
Equipos PC
Nombre del Equipo Características Utilidad
PC 1 CPU Corel 2 duo 2.4 Ghz Pc Jefe
informáticaMemoria
RAM
2 Gb
Disco duro 320 Gb
Monitor Samsung 22"
PC 2 CPU Corel 2 duo 1.8 Ghz Pc Analista
de sistemaMemoria
RAM
2 Gb
Disco duro 150 Gb
Monitor Samsung 19"
PC 3 CPU Corel 2 duo 1.8 Ghz Pc Analista
de sistemaMemoria
RAM
320Gb
Disco duro 2 Gb
Monitor Samsung 19"
Cuadro 7. Hardware PC. Elaboración propia (2017)
b. Software

26. 23
Equipos Server
Nombre del Equipo Sistema Operativo Aplicaciones
Server 1 Windows Server 2008 R2 64 bit SAP B1
MySQL
server
Microsoft
office
Server 2 Windows Server 2003 SP2 32 Bit RetailPro R4
Oracle 11
Microsoft
office
Server 3 Windows Server 2003 SP2 32 Bit Central TLF
Microsoft
office
Cuadro 8. Software Server. Elaboración propia (2017)
Equipos PC
Nombre del Equipo Sistema Operativo
PC 1 Windows 7 profesional 32 bit SAP B1
RetailPro
Microsoft
Office
PC 2 Windows 7 profesional 32 bit SAP B2
RetailPro
Microsoft

27. 24
Office
PC 3 Windows 7 profesional 32 bit SAP B3
RetailPro
Microsoft
Office
Cuadro 9. Software PC. Elaboración propia (2017)
Topología de la empresa
Internet
Switch
Router Atención al Cliente
Router EKIPA
Switch 24 Port
Switch 16 Port
Switch 24 Port
Equipos de GerenciaEquipos de Oficina
Servidor de Dominio
Servidor de SAP/RetailPro
Servidor de RRHH/Central
Switch 16 Port
Equipo de Deposito
Equipo RRHH
Equipo de Atencion al Cliente
Equipo de Ventas
Xerox Print Server
Modem
Biométrico
Verificadores de Precio
Equipo de Caja
Equipo de Caja
Equipo de Caja
Equipo de Caja
Equipo de Supervisores de seguridad
Monitores
Jefe de Seguridad
Figura 6. Topología de Red de la empresa. Elaboración propia (2017).
La empresa cuenta con una topología de tipo estrella, con una conexión de internet
basada en ABA de CANTV con una conexión de 2MB, el cableado de red está marcado en
cable coaxial categoría 6 y un router que brinda señal wifi.

28. 25
2.1.5. Determinación de los problemas y planteamiento de hipótesis
• No se cuenta con servidores de reposición en canso de alguna contingencia
• Falta de acondicionamiento al área de servidores
• Falta de capacitación a los personal de informática que brinda soporte a los usuarios
en los sistemas SAP B1 y RetailPro 9
2.1.5.1. Posibles problemas
• Incumplimiento de planes de mantenimiento.
• Falta de organización en la ejecución de los procesos.
• Inexperiencia en el uso de los sistemas de información de la empresa.
• Fallas de comunicación entre las diferentes dependencias administrativas.
• No se lleva un registro de las actividades realizadas, lo que dificulta su control y
monitoreo.
2.1.5.2. Formulación de hipótesis
No se ha logrado establecer un enlace de comunicación fuerte dentro del
departamento, al no fluir correctamente la información el desarrollo de los procesos es
ineficiente. Así mismo, existen muchos procesos a la deriva, es decir, no se han
determinado responsabilidades y funciones; no se ha tomado importancia a temas referentes
a la seguridad en general.
2.2. Aplicación de la auditoria
2.2.1. Modelo de madurez de los procesos
Nivel 0 Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5 Nivel 6
Definir un plan estrategia de TI X
Definir la arquitectura de la
información
X
Definir la dirección tecnológica X

29. 26
Definir los procesos, organización
y relaciones de TI
X
Administrar la inversión en TI X
Comunicar las metas y la dirección
de la gerencia
X
Administrar los recursos humanos
de TI
X
Administrar la calidad X
Evaluar y administrar los riesgos TI X
Administrar los proyectos X
Identificar las soluciones
automatizadas
X
Adquirir y mantener software
aplicativo
X
Adquirir y mantener la
infraestructura tecnológica
X
Facilitar la operación y el uso X
Procurar recursos de TI X
Administrar los cambios X
Instalar y acreditar soluciones y
cambios
X
Definir y administra los niveles de
servicio
X
Administrar los servicios de
terceros
X
Administrar el desempeño y
capacidad
X
Asegurar el servicio continuo
Garantizar la seguridad de los
sistemas
X
Identificar y asignar costos X
Educar y entrenar a los usuarios X

30. 27
Administrar la mesa de servicio y
los incidentes
X
Administrar la configuración X
Administrar los problemas X
Administrar los datos X
Administrar el ambiente físico X
Administrar las operaciones X
Monitoreo y evaluar el desempeño
de TI
X
Monitorear y evaluar el control
interno
X
Garantizar el cumplimiento
regulatorio
X
Proporcionar gobierno de TI X
Cuadro 12. Modelo de Madurez. Elaboración propia (2017)
Como se muestra en el cuadro anterior existe varias actividades que presentan fallas en
los modelos de madurez, además que en el departamento no cuenta con el persona
completo para cumplir con la gran mayoría de las actividades, a continuación se muestra
una tabla con los resultados:
Nivel 0 Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5 Nivel 6
Cantidad 4 6 5 8 5 5 0
Cuadro 13. Modelo de Madurez por tabla. Elaboración propia (2017)
En la escala de nivel de madurez de puede decir que el departamento cuenta con un
alto nivel 3 de actividades.
2.2.2. Reporte general de los grados de madurez
Dominio Procesos Nivel de Madurez

31. 28
PlaneaciónyOrganización
Definir un plan estrategia de TI 0
Definir la arquitectura dela información 3
Definir la dirección tecnológica 1
Administrar la inversión en TI 4
Administrar los recursos humanos de TI 5
Administrar la calidad 4
Administrar los proyectos 1
Adquirire
implementar
Adquirir y mantener software aplicativo 4
Adquirir y mantener la infraestructura tecnológica 4
Administrar los cambios 2
Entregarydarsoporte
Instalar y acreditar soluciones y cambios 1
Administrar los servicios de terceros 5
Administrar el desempeño y capacidad 2
Asegurar el servicio continuo 3
Garantizar la seguridad de los sistemas 1
Educar y entrenar a los usuarios 4
Administrar la mesa de servicio y los incidentes 5
Administrar la configuración 0
Administrar los problemas 2
Administrar los datos 3
Administrar las operaciones 1
Monitoreary
evaluar
Monitoreo y evaluar el desempeño de TI 3
Garantizar el cumplimiento regulatorio 4
Proporcionar gobierno de TI 5
Cuadro 14. Reporte general de los grados de madurez. Elaboración propia (2017)
2.2.2.1 Análisis por dominio:

32. 29
Planeación y organización
• No se le están dando el uso correcto a las planificaciones y organizaciones
dentro del departamento, esto trae como consecuencia que la organización no
aproveche al máximo las TI.
Adquirir e implementar
• A pesar que la organización cuenta con los recursos monetarios y la motivación
para optimizar los procesos tecnologías dentro de la empresa, el departamento
no cuenta con todo el personal capaz de manejar los distintos niveles de
tecnologías alojadas en la misma.
Entregar y dar soporte
• Existe gran motivación en los usuarios por aprender acerca de los sistemas de
información utilizados en la organización, y el departamento cuenta con un
personal capacitado para brindar soluciones efectivas a los usuarios ante los
problemas que se puedan presentar.
Monitorear y evaluar
• A pesar que existen manuales de monitoreo y evaluación, además, de llevar
algunos controles de accesos a las áreas de informática de la empresa, no se
cumple con cabalidad todas las medidas de seguridad sugeridas para mantener
en orden las actividades rutinarias del departamento.

33. 30

34. 31
CAPÍTULO III
ANÁLISIS DE LOS RESULTADOS
3.1. Informe técnico
Alcance
Mediante esta auditoría se pretende evaluar el estado actual del Departamento
Informático de la empresa “Rattan Hypermarket, C.A.”, mediante este proceso se podrá
brindar al “Rattan Hypermarket, C.A.” sus respectivas conclusiones y recomendaciones
para cada uno de los procesos evaluados en cada dominio según la metodología COBIT 4.1.
Objetivo General
Realizar la auditoría de las tecnologías de la información en el departamento de
informática dentro de la empresa “Rattan Hypermarket, C.A.”, utilizando como modelo de
referencia la metodología COBIT 4.1.
Objetivos Específicos
• Identificar posibles problemas técnicos en las TI y dar soluciones viables.
• Definir controles que permitan disminuir riesgos dentro del departamento de
informática.
A continuación se detalla los resultados de las evaluaciones en cada uno de los
dominios, basándonos en los niveles de madurez los cuales van desde el rango 0 hasta
el rango máximo 5.

35. 32
Dominio de Planear y Organizar
El departamento cuenta con manuales y planificaciones bien estructuradas, en cuento a
los mantenimientos de los equipos, respaldos de la información y revisión la calidad e
integridad de la información.
A pesar que no se posee un manual general de dicho proceso, se puede decir que el
departamento cuenta con la motivación y los conocimientos necesarios para realizar el
mismo.
Recomendaciones COBIT:
• Crear un plan general estratégico y un script de procesos de cómo se deben
efectuar las actividades a nivel general.
• Aumentar el rango de los planes estratégicos incluyendo revisiones de
inventario de equipos tecnológicos, aumento de la revisión de la seguridad de la
información y mejoramiento de los manuales actualmente existentes.
Dominio de Adquirir e implementar
El departamento cuenta con el apoyo de la gerencia general en cuanto a la adquisición
de nuevas tecnológicas y el refuerzo de las TI dentro de la organización, esto cuenta con un
punto favorable ya que se enmarca el interés por parte de la directiva del mejoramiento de
las tecnologías.
Por otro lado, el departamento no cuenta con una normativa de requerimiento de
equipos, además, de un manual de implementación de los sistemas de información los
cuales son atendidos por un soporte externo, esto dificultando el mejoramiento del mismo.

36. 33
El personal del departamento no cuenta con la capacitación necesaria para mejorar e
implementar nuevas herramientas dentro de los sistemas de información, así como, creando
así la dependencia de los entes externos.
Recomendaciones COBIT:
• Crear normativas de requerimientos basado en las tecnologías actuales dentro
de la organización.
• Fomentar la capacitación del personal para así garantizar el mejoramiento de
las herramientas utilizadas dentro de los sistemas de información y así
disminuir el nivel de dependencia de los entes externos.
Dominio Estratega y dar soporte
El departamento cuenta con el personal para el soporte a los usuarios que utilizan las
tecnologías así como los sistemas de información, además, cuenta con la motivación de
aprender día a día a utilizarlos y mejorarlos creando reglas y normas útil para el
mantenimiento de las mismas.
Por otro lado, faltan planes de capacitación a los usuarios para el uso de las
tecnológicas.
Recomendaciones COBIT:
• Crear y diseñar planeas de capacitación a los usuarios para el uso de los las
tecnologías y los sistemas de información.

37. 34
Dominio Monitoreo y Evaluación
El departamento cuenta con actividades y procesos de monitoreo continuo en los
sistemas de información, además de controles de seguridad para mantener la integridad de
la data en los sistema de base de datos.
Cuenta con scripts de actividades para el seguimiento de este monitoreo y un libro de
bitácoras para la revisión por parte de la auditoria de las actividades realizadas en los
servidores.
Por otro lado, no llevan un historial de acceso al área de servidores así como un control
de visitas por parte de entes externos para revisiones o mantenimientos.
Recomendaciones COBIT:
• Diseñar un plan de seguimiento para el control de accesos a las distintas aéreas
dentro del departamento de informática.
• Mejorar con manuales las actividades de monitoreo de los sistemas de
información así como de las tecnologías utilizadas dentro de la organización.

38. 35
3.2. Informe ejecutivo
En este informe de detalla los resultados de la evaluación en cada uno de los dominios
y las recomendaciones que ofrece la metodología COBIT 4.1 evaluando el departamento de
informática dentro de la organización “Rattan Hypermarket, C.A.”.
La efectividad consiste en que la información relevante sea entregada de forma,
correcta, consistente y utilizable, este criterio tiene un porcentaje de 52%.
La eficiencia consiste en que la información debe ser generada optimizando los
recursos, este criterio tiene un promedio de 69%.
52%48%
Efectividad
Efectividad
Deficit
69%
31%
Eficiencia
Efectividad
Deficit

39. 36
La confidencialidad consiste en que la información vital sea protegida contra la
revelación no autorizada, este criterio tiene un porcentaje de 42%.
La integridad consiste en que la información debe se precisa, completa y valida, este
criterio tiene un promedio de 78%.
42%
58%
Cofidencialidad
Efectividad
Deficit
78%
22%
Integridad
Efectividad
Deficit

40. 37
La disponibilidad consiste en que la información esté disponible cuando esta sea
requería por parte de las aéreas de la organización en cualquier momento, este criterio tiene
un porcentaje de 85%.
El cumplimiento consiste en que se debe respetar las leyes, reglamentos y acuerdos
contractuales a los que está sujeta el proceso de la organización con políticas interna, este
criterio tiene un porcentaje de 55%.
85%
15%
Disponibilidad
Efectividad
Deficit
55%45%
Cumplimiento
Efectividad
Deficit

41. 38
La confiabilidad consiste en que se debe respetar y proporcionar la información
apropiada, con el fin de que la gerencia general administre la entidad, este criterio tiene un
porcentaje del 80%.
80%
20%
Confiablidad
Efectividad
Deficit

42. 39
CAPITULO IV
CONCLUSIONES Y RECOMENDACIONES
4.1. CONCLUSIONES
Las auditorías permiten conocer de manera concreta el estado de las actividades
desarrolladas, evaluando los niveles de desempeño y productividad en las diferentes
dependencias, es una herramienta o técnica de gran apoyo a nivel gerencial.
Por su parte, el trabajo de auditoría aplicado a la empresa Rattan Hypermarket, C.A.,
específicamente en el área de informática, aporta resultados relevantes para la organización,
ya que define de forma puntual los aspectos a mejorar y a desarrollar dentro del área de
estudio para optimizar las actividades que desempeña. Como fue planteado en anteriores
oportunidades, el departamento de informática dentro de una organización es de vital
importancia, porque actualmente todos los procesos son manejados bajo un ambiente
tecnológico.
Por otro lado, es importante mantener canales de comunicación efectivos a nivel interno
del departamento e interdepartamentales, debido a que esta área especializada de trabajo
interactúa e interviene en los procesos de las demás áreas especializadas de la empresa, De
igual forma se determinó que existe falta de organización, registro y control de las
actividades del departamento, el estudio aplicado se considera beneficioso porque en él se
plasma una especie de mapa o base que servirá de vía en la aplicación de medidas
correctivas y el establecimiento de nuevos planes de trabajo, para optimizar los procesos y
hacer uso adecuado y provechoso de los recursos de TI.

43. 40
4.2. RECOMENDACIONES
• Llevar a cabo las sugerencias planteadas en la auditoría COBIT, en la fase de
resultados.
• Capacitar a los usuarios de los sistemas de información en el uso de estos, de tal
manera que puedan aprovechar al máximo las ventajas que estos ofrecen.
• Aplicar tareas de auditoría cada 6 meses.
• Cumplir con los planes de mantenimiento.
• Renovar la plataforma tecnológica a medida que se necesite.
• Llevar registros de las actividades realizadas, hacer levantamiento de información
de las incidencias, elaboración de manuales para apoyo a usuarios y a futuro
integrantes del área de informática.
• Mantener informadas a las diferentes gerencias de las actividades a realizar, de tal
manera, que exista un estado de alineación en la información y todos se mantengan
al mismo nivel de conocimiento.

44. 41
GLOSARIO
Administración: es el proceso de estructurar y utilizar conjuntos de recursos orientados
hacia el logro de metas, para llevar a cabo las tareas en un entorno organizacional. (Hitt,
2006).
Auditoría: evaluación donde se miden los niveles de desempeño y se verifica que los
procedimientos ejecutados son correctos y que cumplen con las normativas o políticas
existentes, permite dar a conocer el estatus actual de la empresa en cuanto a sus
operaciones. (Definición operacional).
Comercialización: acción de dar a un producto condiciones y vías de distribución para su
venta. (Diccionario de la Real Academia Española, 2001).
Control: es una función administrativa: es la fase del proceso administrativo que mide y
evalúa el desempeño y toma la acción correctiva cuando se necesita. (Chiavenato, 2007).
Dirección: Proceso para dirigir e influir en las actividades de los miembros de un grupo o
una organización entera, con respecto a una tarea. (Stoner y Freeman, 1997).
Eficacia: capacidad para lograr el efecto que se desea o se espera tras la realización de una
acción. (Fernández y Otros, 1997).
Eficiencia: capacidad de reducir al mínimo los recursos usados para alcanzar los objetivos
de la organización. (Chiavenato, 2007).
Empresa: organización destinada a la producción o comercialización de bienes o servicios.
(Chiavenato, 2007).
Estrategia: En un proceso regulable, conjunto de las reglas que aseguran una decisión
óptima en cada momento. (Diccionario de la Real Academia Española, 2001).
Estructura organizacional: es la capacidad de una organización de dividir el trabajo y
asignar funciones y responsabilidades a personas o grupos de la organización. (Lusthaus,
2002).
Flujo de información: Desplazamiento de información dentro de una organización o entre
la organización y su entorno. (Definición operacional).

45. 42
Gerencia: son los gerentes responsables de la administración general de la organización;
establecen políticas operativas y guían la interactuación de la organización y su entorno.
(Chiavenato, 2007).
Metas: fin de aprender alcanzar la organización; con una frecuencia, las organizaciones
tienen más de una meta; las metas son elementos fundamentales de las organizaciones.
(Stoner y Freeman, 1997).
Objetivos: son los resultados y fines esperados por personas o instituciones. (Definición
Operacional).
Organigrama: es un diagrama que ilustra las líneas de reporte entre unidades y personas
dentro de la organización, usando el término unidades para referirnos a equipos, grupos,
departamentos o divisiones. (Hellriegel, 2006).
Organización: es el proceso de gestión que combina los recursos materiales y humanos
con objetos de estableces una estructura formal de tareas y actividades. (Chiavenato, 2007).
Optimización: Buscar la mejor manera de realizar una actividad. (Diccionario de la Real
Academia Española, 2001).
Planeación: trazar un plan. (Diccionario de la Real Academia Española, 2001).
Planificador: que Hacer plan o proyecto de una acción. (Diccionario de la Real Academia
Española, 2001).
Proceso: Conjunto de las fases sucesivas de un fenómeno natural o de una operación
artificial. (Diccionario de la Real Academia Española, 2001).
Servicio: acción de repartir o suministrar algún producto a un cliente. (Diccionario de la
Real Academia Española, 2001).
Toma de Decisiones: es un proceso de pensamiento que ocupa toda la actividad, que tiene
por fin solucionar un problema. (Latorre, 1996).

46. 43
REFERENCIAS
Referencias Bibliográficas
Fernández, M. y Sánchez, J. (1997). Eficacia Organizacional. Concepto, desarrollo y
evaluación. Madrid, España: Editorial Díaz de Santos, S.A.
Hellriegel, D. (2006). Administración. Enfoque basado en competencia (10ed.). Madrid,
España: CengageLearning Editores.
Hitt, P. (2006). Administración (9ed.). México D. F., México: Pearson educación
Lusthaus, C. (2002). Evaluación Organizacional: marco para mejorar el desempeño.
Ottawa, Canadá: Centro Internacional de Investigaciones.
Stoner, J.y Freeman, E. (1997). Administración (6ed.). México D. F., México: McGraw-
Hill.
Referencias Electrónicas
Diccionario de la Real Academia Española (2001). Comercialización [online]. Disponible
en: http://lema.rae.es/drae/?val=comercializaci%C3%B3n [Consulta: 2017, Marzo 12]
Diccionario de la Real Academia Española (2001). Estrategia [online]. Disponible en:
http://lema.rae.es/drae/?val=estrategia [Consulta: 2017, Marzo 12]
Diccionario de la Real Academia Española (2001). Optimización [online]. Disponible en:
http://lema.rae.es/drae/?val=optimizacion [Consulta: 2017, Marzo 12]
Diccionario de la Real Academia Española (2001). Planeación [online]. Disponible en:
http://lema.rae.es/drae/?val=planeacion [Consulta: 2017, Marzo 12]
Diccionario de la Real Academia Española (2001). Planificador [online]. Disponible en:
http://lema.rae.es/drae/?val=planificador [Consulta: 2017, Marzo 12]
Diccionario de la Real Academia Española (2001). Proceso [online]. Disponible en:
http://lema.rae.es/drae/?val=proceso [Consulta: 2017, Marzo 12]
Diccionario de la Real Academia Española (2001). Producto [online]. Disponible en:
http://lema.rae.es/drae/?val=producto [Consulta: 2017, Marzo 12]

47. 44
Diccionario de la Real Academia Española (2001). Servicio [online]. Disponible en:
http://lema.rae.es/drae/?val=servicio [Consulta: 2017, Marzo 12]