La auditoría realizada al departamento de informática de la empresa PALAP C.A. aplicando la metodología COBIT evaluó los procesos y niveles de madurez. Los resultados mostraron debilidades en seguridad y controles. Se formularon recomendaciones como mejorar los objetivos del departamento, reforzar la seguridad y actualizar la plataforma tecnológica. El informe técnico detalló los hallazgos y el informe ejecutivo resumió los resultados para la gerencia.
La Guía tiene por objetivo poner a disposición un documento técnico que sirva de marco de referencia para uniformizar los conceptos, criterios y terminología para la aplicación de las técnicas de auditoría, así como, difundir las técnicas de auditarla que permitan obtener evidencia suficiente y apropiada para sustentar la opinión del auditor gubernamental.
La Guía tiene por objetivo poner a disposición un documento técnico que sirva de marco de referencia para uniformizar los conceptos, criterios y terminología para la aplicación de las técnicas de auditoría, así como, difundir las técnicas de auditarla que permitan obtener evidencia suficiente y apropiada para sustentar la opinión del auditor gubernamental.
La auditoría financiera posee características que son bastante específicas en correspondencia con la índole especial de las actividades que la conforman; especialmente las relacionadas a la recolección de evidencias y al registro de hallazgos
NORMA INTERNACIONAL DE AUDITORÍA 315IDENTIFICACIÓN Y VALORACIÓN DE LOS RIESGOS DE INCORRECCIÓN MATERIAL MEDIANTE EL CONOCIMIENTO DE LA ENTIDAD Y DE SU ENTORNO
Contiene las partes mas importantes que un Memorandum de Auditoria debe tener. Considerando que segun la necesidad y tipo de empresas este puede cambiar.
La auditoría financiera posee características que son bastante específicas en correspondencia con la índole especial de las actividades que la conforman; especialmente las relacionadas a la recolección de evidencias y al registro de hallazgos
NORMA INTERNACIONAL DE AUDITORÍA 315IDENTIFICACIÓN Y VALORACIÓN DE LOS RIESGOS DE INCORRECCIÓN MATERIAL MEDIANTE EL CONOCIMIENTO DE LA ENTIDAD Y DE SU ENTORNO
Contiene las partes mas importantes que un Memorandum de Auditoria debe tener. Considerando que segun la necesidad y tipo de empresas este puede cambiar.
Hoy las organizaciones se ven expuestas a una mayor presión sobre el cumplimiento de aspectos: normativos, legales, operacionales, etc y por ende ante un potencial riesgo de incumplimiento regulatorio, lo cual puede afectarlas a nivel financiero, operacional y reputacional. Es por esa razón que los programas de cumplimiento corporativo Corporate Compliance se han convertido en parte estructural de las organizaciones a nivel internacional, con incidencia en los consejos de dirección y la alta gerencia; siendo una función de prevención integrada a la estrategia. El Corporate Compliance es un conjunto de buenas prácticas políticas y procedimientos, que adoptan voluntariamente las organizaciones para determinar y clasificar los riesgos operativos y legales a los que se enfrentan y establecer medios de prevención, gestión, control y reacción frente a los mismos.
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Telefónica
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0xWord escrito por Ibón Reinoso ( https://mypublicinbox.com/IBhone ) con Prólogo de Chema Alonso ( https://mypublicinbox.com/ChemaAlonso ). Puedes comprarlo aquí: https://0xword.com/es/libros/233-big-data-tecnologias-para-arquitecturas-data-centric.html
3Redu: Responsabilidad, Resiliencia y Respetocdraco
¡Hola! Somos 3Redu, conformados por Juan Camilo y Cristian. Entendemos las dificultades que enfrentan muchos estudiantes al tratar de comprender conceptos matemáticos. Nuestro objetivo es brindar una solución inclusiva y accesible para todos.
En este documento analizamos ciertos conceptos relacionados con la ficha 1 y 2. Y concluimos, dando el porque es importante desarrollar nuestras habilidades de pensamiento.
Sara Sofia Bedoya Montezuma.
9-1.
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...espinozaernesto427
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta intensidad son un tipo de lámpara eléctrica de descarga de gas que produce luz por medio de un arco eléctrico entre electrodos de tungsteno alojados dentro de un tubo de alúmina o cuarzo moldeado translúcido o transparente.
lámparas más eficientes del mercado, debido a su menor consumo y por la cantidad de luz que emiten. Adquieren una vida útil de hasta 50.000 horas y no generan calor alguna. Si quieres cambiar la iluminación de tu hogar para hacerla mucho más eficiente, ¡esta es tu mejor opción!
Las nuevas lámparas de descarga de alta intensidad producen más luz visible por unidad de energía eléctrica consumida que las lámparas fluorescentes e incandescentes, ya que una mayor proporción de su radiación es luz visible, en contraste con la infrarroja. Sin embargo, la salida de lúmenes de la iluminación HID puede deteriorarse hasta en un 70% durante 10,000 horas de funcionamiento.
Muchos vehículos modernos usan bombillas HID para los principales sistemas de iluminación, aunque algunas aplicaciones ahora están pasando de bombillas HID a tecnología LED y láser.1 Modelos de lámparas van desde las típicas lámparas de 35 a 100 W de los autos, a las de más de 15 kW que se utilizan en los proyectores de cines IMAX.
Esta tecnología HID no es nueva y fue demostrada por primera vez por Francis Hauksbee en 1705. Lámpara de Nernst.
Lámpara incandescente.
Lámpara de descarga. Lámpara fluorescente. Lámpara fluorescente compacta. Lámpara de haluro metálico. Lámpara de vapor de sodio. Lámpara de vapor de mercurio. Lámpara de neón. Lámpara de deuterio. Lámpara xenón.
Lámpara LED.
Lámpara de plasma.
Flash (fotografía) Las lámparas de descarga de alta intensidad (HID) son un tipo de lámparas de descarga de gas muy utilizadas en la industria de la iluminación. Estas lámparas producen luz creando un arco eléctrico entre dos electrodos a través de un gas ionizado. Las lámparas HID son conocidas por su gran eficacia a la hora de convertir la electricidad en luz y por su larga vida útil.
A diferencia de las luces fluorescentes, que necesitan un recubrimiento de fósforo para emitir luz visible, las lámparas HID no necesitan ningún recubrimiento en el interior de sus tubos. El propio arco eléctrico emite luz visible. Sin embargo, algunas lámparas de halogenuros metálicos y muchas lámparas de vapor de mercurio tienen un recubrimiento de fósforo en el interior de la bombilla para mejorar el espectro luminoso y reproducción cromática. Las lámparas HID están disponibles en varias potencias, que van desde los 25 vatios de las lámparas de halogenuros metálicos autobalastradas y los 35 vatios de las lámparas de vapor de sodio de alta intensidad hasta los 1.000 vatios de las lámparas de vapor de mercurio y vapor de sodio de alta intensidad, e incluso hasta los 1.500 vatios de las lámparas de halogenuros metálicos.
Las lámparas HID requieren un equipo de control especial llamado balasto para funcionar
Es un diagrama para La asistencia técnica o apoyo técnico es brindada por las compañías para que sus clientes puedan hacer uso de sus productos o servicios de la manera en que fueron puestos a la venta.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Actualmente, y debido al desarrollo tecnológico de campos como la informática y la electrónica, la mayoría de las bases de datos están en formato digital, siendo este un componente electrónico, por tanto se ha desarrollado y se ofrece un amplio rango de soluciones al problema del almacenamiento de datos.
1. INSTITUTO UNIVERSITARIO POLITÉCNICO
“SANTIAGO MARIÑO”
EXTENSIÓN PORLAMAR
ESCUELA DE INGENIERÍA DE SISTEMAS
AUDITORÍA Y EVALUACIÓN DE SISTEMAS
AUDITORÍA AL DEPARTAMENTO DE INFORMÁTICA DE LA
EMPRESA PALAP C.A.
Autores:
Ruby Vergara C.I 20.516.087
Charlenys Hernández C.I 20.537.703
Jose Leblanc C.I
Sección: Saia.
Prof. Lcdo. Eliecer Boadas
Porlamar, Enero de 2014
1
2. INDICE GENERAL
pp.
INTRODUCCIÓN
I.
GERALIDADES DE LA EMPRESA
Naturaleza de la Empresa
6
Ubicación
7
Misión
7
Visión
7
Análisis Foda
9
Organigrama de la Empresa
10
Descripción de los Procesos y Funciones
10
Metodología Cobit
13
Modelo de Madurez
13
Auditoria de tics Aplicando Cobit
16
Área a Auditar
16
Reclutamiento de la Información.
16
Documentos de Gestión en el Área Informática
16
Herramientas y Técnicas
18
Motivo o Necesidad de la Auditoria.
18
Modelos de Madurez a Nivel Cualitativo (coso)
18
II. EJECUCIÓN DE LA AUDITORIA
Situación Actual del Área de Sistemas
20
Objetivos del Departamento
21
2
3. Seguridad del Departamento
22
Características de la plataforma Tecnológica
23
Determinación de los Problemas y Planteamiento de Hipótesis
25
Formulación de Hipótesis
25
Aplicación de la Auditoria
25
Modelo de Madurez de los Procesos
25
Reporte General de los Grados de Madurez
42
Resumen de Procesos y Criterios de Información por Impacto
43
Resultados Finales del Impacto Sobre los Criterios de Información
44
III. ANALISIS DE LOS RESULTADOS
Informe Técnico.
47
Informe Ejecutivo
54
IV. CONCLUSIONES Y RECOMENDACIONES
Recomendaciones
58
Conclusiones
60
GLOSARIO
61
REFERENCIAS BIBLIOGRAFICAS
63
ANEXOS
65
3
4. INTRODUCCION
La auditoria es una importante actividad que permite a las
organizaciones mejorar sus funciones en forma continua. Esta se basa en
una búsqueda para localizar los problemas o posibles desviaciones en los
procesos que se realizan dentro de la entidad abarca una revisión de los
objetivos, de los planes, los programas, y su estructura organizacional y
funciones; sus sistemas, procedimientos y controles, también al personal y
las instalaciones de la organización y el medio en que se desarrolla las
actividades organización. Esta técnica es muy fundamental para el desarrollo
y crecimiento de cualquier organización, dado que le otorgará interesantes
posibilidades de cambio y perfeccionamiento.
El COBIT es
precisamente
un modelo para
auditar
la gestión y control de los sistemas de información y tecnología, orientado a
todos los sectores de una organización, es decir, administradores IT,
usuarios y por supuesto, los auditores involucrados en el proceso. Se aplica
a
los sistemas de información de
toda la
empresa,
incluyendo
los
computadores personales y las redes. Está basado en la filosofía de que
los recursos TI
necesitan
ser
administrados
por
un
conjunto
de procesos naturalmente agrupados para proveer la información pertinente
y confiable que requiere una organización para lograr sus objetivos.
En las Auditorias existen corrientes de pensamiento como procesos y
aspectos para evaluar el campo administrativo que pueden ser aplicados en
una empresa general o en un área específica , De igual manera todas las
empresas u organización que deciden aplicar auditorías a sus sistemas, en
sus procesos y procedimientos para lograr la efectividad en sus objetivos y
4
5. ser organizaciones eficientes; se rigen y se guían por medio de su
normatividad interna, de lo contrario las empresas declinarían hasta
desaparecer. Esta evalúa el grado de eficiencia y eficacia con que se
desarrollan las tareas administrativas y el grado de cumplimiento de los
planes y orientación de la gerencia, puede evaluar por ejemplo: los estados
financieros en su conjunto o una parte de ellos, el correcto uso de los
recursos humanos, el uso de materiales, equipo y su distribución,
contribuyendo con la gerencia para una adecuada toma de decisiones. Las
auditorias en las organizaciones son muy importantes, por cuanto la gerencia
sin la práctica de una auditoria no tiene plena seguridad de que los datos
económicos registrados realmente son verdaderos y confiables.
5
6. CAPÍTULO I
PLANTEAMIENTO DEL PROBLEMA
1.1 Características de la Empresa
1.1.1Naturaleza de la Empresa
PALAP C.A es una empresa venezolana que presta sus servicios a
nivel regional y nacional en el área de seguridad laboral y tiene como
finalidad, culturizar en materia de salud y seguridad laboral a empresas, con
lo cual se desarrollan programas sistemáticos de adiestramiento, estudios en
materia de higiene y salud ocupacional con la finalidad de minimizar los
riesgos y evitar accidentes laborales que vayan en prejuicio de la compañía,
patrono y trabajadores.
La misma le presta servicios a organizaciones tales como Aluminios
del Occidente, C.A., Mitsubishi Motors Company, S.A., Petroquímica de
Venezuela, S.A., Petrocedeño, S.A, Restaurante El Remo, C.A. Frigorífico
Los Tavares, C.A, Mangueras Industriales Mayor, C.A., Metanol de Oriente,
C.A, Promotora Guaica, C.A, Distribuidora POPA, C.A. entre otros.
Actualmente esta empresa sigue consolidando su cartera de clientes
para lograr que desarrollen las mejores condiciones de higiene, seguridad y
salud laboral apegados a las exigencias de Ley.
PALAP C.A fue fundada el 11 de Octubre del 2006 por la Ing. Ruby
Morales y el Ing. Emilio Delgado.
6
7. 1.1.2 Ubicación Geográfica
La oficina principal de la empresa PALAP C.A se encuentra ubicada
en la Av. Rómulo Betancourt, Centro Empresarial El Viejo Aeropuerto,
Mezzanina, Oficina # 5, Porlamar, Municipio Mariño, Estado Nueva Esparta.
Imagen1: Autor:
MapsGoogle.com.Fuente:http://maps.google.co.ve/maps
1.1.3 Misión
Brindarle asesoría técnica - legal especializada a las empresas, en la
prevención de los accidentes laborales
para
minimizar los
riesgos
de
ocurrencia de los mismos.
1.1.4 Visión
Ser líderes en el Oriente del País en todo lo referente al área de la
seguridad y salud en el trabajo y Alcanzar para nuestros clientes estadísticas
7
8. mínimas
de
ocurrencias
de
accidentes
laborales
y
enfermedades
profesionales.
1.1.5 Objetivos Estratégicos
Contar con un equipo multidisciplinario de profesionales altamente
calificados con amplia trayectoria en el área.
Lograr el mayor cumplimiento de los distintos regímenes de las Leyes
Venezolanas como la Ley Orgánica de Prevención, Condiciones y Medio
Ambiente de Trabajo (LOPCYMAT) y su Reglamento Parcial, el
Reglamento de la Condiciones de Higiene en materia de Salud e Higiene
Ocupacional, las Normas Técnicas Internacionales que regulan la materia
y las Normas COVENIN.
Ejercer un liderazgo que impulse a la Organización hacia la nueva Visión,
comprometiéndola y motivándola en todos sus niveles.
Fomentar el trabajo en equipo y la ejemplaridad, reconociendo y valorando
la iniciativa y las contribución de cada persona
Proveer conductas proactivas de aportación y cooperación en todos los
niveles de la empresa.
Orientar los resultados hacia una gestión más flexible, ágil y con procesos
eficientes.
Mejorar continuamente la competitividad y calidad de sus servicios,
anticipándose a las necesidades con rapidez y agilidad.
Mantener un
comportamiento intachable, alineado con rectitud
honestidad.
Difundir información adecuada y fiel de lo que se hace.
8
y
9. 1.1.5.1 Análisis FODA (Fortalezas, Oportunidades, Debilidades y
Amenazas)
Según milagrosazzi.aprenderapensar.net, documento en línea: El
Análisis FODA es una metodología de estudio de la situación competitiva de
una empresa en su mercado (situación externa) y de las características
internas (situación interna) de la misma, a efectos de determinar sus
Fortalezas, Oportunidades, Debilidades y Amenazas. (Ver Cuadro 1)
Análisis Interno
Fortalezas
Debilidades
Negocio rentable.
Poco personal
Alto nivel de compromiso y
Empresa de nivel nacional
predisposición para brindar
pero ubicada en margarita.
sus servicios.
Ingresos económicos altos.
Personal capacitado.
Análisis Externo
Oportunidades
Amenazas
Costos operativos bajos
Cambios repentinos del precio
debido a la utilización de
de los talleres, cursos y
tecnología de información.
eventos.
Fidelidad de los clientes con la
Aumento de la competencia.
empresa.
Cuadro 1: Análisis FODA. Fuente: Elaboración Propia.
1.1.5.2 Metas Organizacionales
Corto plazo
Satisfacer la demanda de los clientes y empresas asociadas.
9
10. Mediano plazo
Ampliar la cartera de clientes.
Largo plazo
Incrementar los eventos y cursos de adiestramientos.
1.1.6 Organigrama de la Empresa
A continuación se presenta la organización jerárquica de la
organización en la imagen 2: (Ver Imagen 2)
Imagen 2. Organigrama de la Empresa. Fuente: PALAP C.A
1.1.6.1 Descripción de los Procesos y Funciones
Presidente
El presidente personal con mayor jerarquía en la empresa, vela por el
correcto funcionamiento de todas las áreas de la empresa, participando
activamente en las actividades de la junta directiva, dirigiendo la toma de
decisiones,
aceptando
y rechazando actualizaciones en
los
registros,
procesos y TI. Además de recibir a cualquier empleado el cual deba
señalar cualquier actividad irregular y este no desee hacerlo a su superior
inmediato, en tal caso el gerente de dicho departamento.
10
11. Junta Directiva
La Junta Directiva es la encargada de dirigir el entorno de toda la
organización desarrollando planes de acción, ejecutando constantes
controles internos en cada área de la organización, tomando decisiones en
fallas esperadas e inesperadas producto de los planes de operación
empresarial. Por otro lado, esta alta gerencia se encarga de recibir
informes provenientes de los análisis de auditoría
los
y los de registros
contables, para que en los puntos que se haya identificadas fallas sean
analizados en conjunto de la presidencia para darle la solución adecuada.
Por otro lado, la junta directiva es la encargada de servir como ejemplo a
cada departamento y empleado de cómo actual de una manera eficaz y
eficiente,
para alcanzar
de esta manera los
objetivos colectivos
e
individuales definidos en cada etapa nueva de trabajo. Además, se deben
establecer
empleados
los
tiempos
sean
y momentos adecuados
llevados
a cursos
y talleres
para que todos los
para aumentar sus
conocimientos y presten un mejor servicio en sus puestos de trabajo en la
empresa.
Firmas Externas (Contadores-Auditores)
Las Firmas Externas, se encargan de realizar labores de revisión y
control de las operaciones internas en cada área de la empresa (Auditores)
para corregir posibles filtros de información que puedan afectar a futuro la
operatividad de la empresa. Por otro
lado,
las actividades
de registro
contable (Contable) una vez analizadas son presentadas a través de libros
contables y su correspondiente informe de ganancias y pérdidas lucrativas a
junta directiva y presidencia. Ambas firmas una vez presentados los
informes, dan a conocer sus recomendaciones a la alta gerencia para evitar
que se produzcan los errores identificados en las operaciones de la empresa.
11
12. Informática
El departamento de informática, es el encargado de generar los
planes de recuperación de desastres avalados por la junta directiva en caso
de que se produzcan daños graves al sistema de información. Además, se
identifica que así como se tienen plantes de recuperación, se encuentran
también planes para evitar daños a la IT.
Además, de realizar la instalación y mantenimiento de la red con
la que cuenta la Empresa. Por otro lado, el departamento de informática,
es
el
encargado
del correcto funcionamiento del sistema contable sin
realizar modificaciones al código fuente ya que dicho sistema pertenece a la
firma contable.
En cuanto al funcionamiento del sistema de información de la
empresa, este es dirigido en conjunto del departamento de informática y
el departamento de administración, donde el administrador identifica los
módulos del sistema que hay que actualizar, crear o eliminar y el gerente
del área de informática se encarga realizar dichos ajustes.
Administración
El departamento de administración, se encarga de la correcta
ejecución de los planes de acción diseñados por la alta gerencia, así como
de generar los reportes de aprobación de recursos que se necesiten para el
funcionamiento de los demás departamento que conforman la organización.
Por otro lado, el administrador además de dirigir los planes de acción,
participa activamente en el departamento de informática, específicamente
en la TI utilizada por cada empleado en la empresa.
El administrador tiene contacto directo con la junta directiva, esto
no quiere decir que pertenezca a la misma, ya que en las normas de la
empresa no se permite que ningún gerente pertenezca a la alta gerencia, lo
12
13. cual pueda prestarse para alterar resultados y conclusiones de los controles
internos y auditorias.
RHH
Departamento encargado del bienestar de los empleados y la correcta
operatividad de los mismos en la organización, señalando que es un
intermediario
para asignar bonificaciones, asensos, sanciones, despidos,
entre otros.
1.2 METODOLOGIA COBIT
1.2.1 Modelo de Madurez
Una necesidad básica de toda empresa es entender el estado de
sus propios sistemas de TI y decidir qué nivel de administración y control
debe proporcionar. Para decidir el nivel correcto, la gerencia debe
preguntarse: ¿Hasta dónde debemos ir?, y ¿está el costo justificado por el
beneficio?. La obtención de una visión objetiva del nivel de desempeño
propio de una empresa no es sencilla, por ello COBIT atiende estos temas a
través de:
Modelos de madurez.
Metas y mediciones de desempeño para los procesos de TI.
Metas de actividades para facilitar el desempeño efectivo de los
procesos.
Los modelos de madurez, facilitan la evaluación por medio de
benchmarking y la identificación de las mejoras necesarias en la capacidad.
En cuanto a la gerencia, constantemente está buscando herramientas de
evaluación
para benchmarking y herramientas de auto-evaluación como
respuesta a la necesidad de saber qué hacer de manera eficiente. Este
modelo de control se puede evaluar de un nivel no existente (0) hasta un
13
14. nivel optimizado; este modelo es derivado del Software Engineering
Institute definió para la madurez de la capacidad del desarrollo de un
software.
Este modelo de COBIT no busca medir los niveles de forma precisa o
probar a certificar que un nivel se ha conseguido; lo cual resultara en un
perfil donde las condiciones relevantes de los niveles de madurez se han
conseguido, tal como se muestra en el siguiente ejemplo: (Ver Imagen 3)
Imagen 3. Niveles de Modelos de Madurez de COBIT. Fuente: Augusto
Martin
Estas escalas pueden variar según las necesidades del auditor,
sin embargo, deben ser claras, precisas y fáciles de entender para lograr un
consenso amplio y que motiven la mejorar de TI.
Estos niveles, en el modelo
genérico
continuación:
14
de COBIT se describen a
15. 1 No Existe
Carencia completa de cualquier proceso reconocible. La empresa
ni ha reconocido siquiera que existe un problema a resolver.
2 Inicial
Existe evidencia que la empresa ha reconocido que los problemas
existen
y requieren ser resueltos. Sin embargo, no existen procesos
estándar en su lugar existen enfoques que tienden a ser aplicados de forma
individual o caso por caso. El enfoque general hacia la administración es
desorganizado. Existe un alto grado de confianza en el conocimiento de los
individuos y, por lo tanto, los errores son muy probables.
3 Definido
Los procedimientos se han estandarizado y documentado, y se han
difundido a través de entrenamiento. Sin embargo, se dejan que el individuo
decida utilizar estos procesos, y es poco probable que se detecten
desviaciones. Los procedimientos en sino son sofisticados pero formalizan
las prácticas existentes.
4 Administrado
Es posible monitorear y medir el cumplimiento de los procedimientos y
tomar medidas cuando los
efectiva.
Los
procesos no estén
procesos están
bajo
constante
trabajando
de forma
mejora y proporcionan
buenas prácticas. Se usa la automatización y herramientas de una manera
limitada o fragmentada.
15
16. 5 Optimizado
Los procesos se han refinado hasta un nivel de mejor práctica, se
basan en los resultados de mejoras continuas y en un modelo de madurez
con otras empresas. TI se usa de forma integrada para automatizar el flujo
de trabajo, brindado herramientas para mejorar la calidad y la efectividad,
haciendo que la empresa se adapte de manera rápida.
1.2.2 Auditoria de TIC`s con COBIT
1.2.2.1 Área a Auditar
La auditoría realizada por
Charlenys Coromoto Hernández, Ruby
Vergara y José Leblanc será en el departamento de informática la cual es el
que administra la TI de la empresa PALAP C.A.
1.2.2.2 Reclutamiento de la Información
Previamente se aplico la observación directa para luego utilizar la
guía de entrevista de la TI utilizada en la empresa. Por otro lado, el gerente
de computación proporciono al azar informes entregados por auditores
sobre el departamento en cuestión y la TI; estos informes fueron una
herramienta de importancia para la ejecución de la presente auditoria.
1.2.2.3 Documentos de Gestión del Departamento de Informática
Controles internos.
Auditorias.
Reload de software.
Reload de las TI.
Reload de las TIC`s.
Presupuestos solicitados a administración para el reemplazo de
equipos.
16
17. Informes
detallados
de información
actualizada,
removida y
borradas aprobadas por presidencia avaladas con la firma del director.
Registros de información semanal (memorias externas).
Registros
de información
mensual
y trimestral
relevante,
confidencial e importante para el funcionamiento operacional de la
organización, como respaldo a posibles riesgos tanto naturales como
a riesgos de accesos no permitidos.
1.2.2.4 Seguridad de Datos y Equipo de Computo
Para el plan del desarrollo de la auditoria, se cuenta con la asistencia
del gerente y las actividades que se llevaran a cabo se describen en el
cuadro 2: (Ver Cuadro 2)
No
ACTIVIDADES
1
Análisis y observación general en el área de informática
2
Realizar entrevista con el jefe del dpto. informática
3
Verificar si los equipos con que se cuentan existen o concuerdan en el
inventario.
4
Analizar los documentos de gestión y técnicos con que se cuentan.
5
Evaluar las claves de acceso, control, seguridad, confiabilidad y
respaldo.
6
Valorar las tecnologías de información tanto en hardware y software.
7
Evaluación de la seguridad física, lógica y de redes.
Cuadro 2. Actividades a Ejecutar en el Desarrollo de la Auditoria.
17
18. 1.2.2.5 Herramientas y Técnicas
Herramientas
Las herramientas a utilizar para la recolección de información son:
Sistema Operativo Windows 7.
Microsoft Office 2007.
Block de Notas.
Lapiceros.
Hojas Blancas.
Técnicas
Las técnicas a utilizar para la recolección de información son:
Observación Directa.
Guía de Entrevista.
1.2.2.6 Motivo o Necesidad de una Auditoria Informática
Certificar los informes presentados de auditorías anteriores y los
correspondientes controles internos dictaminados por la Junta
Directiva.
Búsqueda de brechas de seguridad no identificadas en auditorias
y controles internos efectuados con anterioridad.
1.2.2.7 Modelo de Madurez a Nivel Cualitativo (COSO)
A continuación se representa en el cuadro 3 (Anexo 1) el impacto
de los objetivos de control de COBIT4.1 sobre los criterios y recursos de TI.
La nomenclatura utilizada en los criterios de información para esta tabla es la
siguiente (P), cuando el objetivo de control tiene un impacto directo al
18
19. requerimiento, (S), cuando el objetivo de control tiene un impacto indirecto es
decir no completo sobre el requerimiento, y finalmente () vacío, cuando el
objetivo de control no ejerce ningún impacto sobre el requerimiento, en
cambio cuando se encuentra con (X) significa que los objetivos de control
tienen impacto en los recursos, y cuando se encuentra en blanco (), es
que los objetivos de control no tienen ningún impacto con los recursos.
Por otro lado, se organizaran los criterios de de la información,
asignando un porcentaje a los distintos valores de impacto identificados en
el
cuadro
3.
Este porcentaje se establecerá en base a la propuesta
metodológica para el manejo de riesgos COSO (Sponsoring Organizations
of the Treadway), como se muestra en el cuadro 4: (Ver Cuadro 4)
CALIFICACIÓN
IMPACTO
PROMEDIO
41%
41%
Alto
75
42%
55%
Alto
67
49%
35%
Medio
60
96%
3%
Medio
62
Cuadro 4. Promedio de Impactos. Fuente COBIT 4.1
19
20. CAPITULO II
EJECUCION DE LA AUDITORIA
Departamento de Informática
2.1 Situación Actual del Departamento
El Departamento de Informática, es un área fundamental para la
organización debido a que allí es donde se administra la TI, las redes, los
respaldos de información, entre otras actividades, las cuales concentran
gran cantidad de información confidencial y de uso general para cada Área
Funcional de la empresa en estudio.
Cargos Funcionales y Operativos
Los trabajadores con los que cuenta el Departamento de Computación
son:
1 Jefe de departamento: el cual debe dirigir las operaciones de su
oficina y velar por el correcto uso de los equipos por los demás
empleados a través de charlas
instalaciones
o
reemplazos
e inducción
con
si
es
que realizan
equipos y programas nuevos.
Además, supervisa las actividades llevadas a cabo por su grupo de
técnicos especializados en distintas áreas informáticas. Por otro lado,
debe permanecer en constante comunicación con el departamento de
administración notificando irregularidades y actualizando o creando
módulos en la TI solicitados por el administrador previo análisis y
estudio.
2 Técnicos Especializados: empleados especializados en áreas
de redes y computación, los
cuales ejecutan las
dictaminadas por el jefe del departamento.
20
operaciones
21. 2.1.1 Objetivos del Departamento
Los objetivos asignados al departamento por la Junta Directiva son:
Diseñar, mantener y dirigir el plan estratégico de la TI y del sistema
contable.
Mantener
el
personal
actualizado
en
cuanto
a los
avances
tecnológicos documentándolos a través de investigaciones, cursos,
charlas, entre otros.
Proporcionar informe a la Junta Directiva, donde se recomienda la
adquisición, reemplazo o actualización de hardware y software tanto
para el departamento como para las demás áreas de la empresa.
Realizar
el
análisis de datos,
correspondiente
a los
sistemas
informáticos, facilitando su posterior estudio en la Junta Directiva y
futuras Auditorias.
Mantener en correcto funcionamiento de la red con la que trabaja
PALAP C.A, además de solucionar cualquier eventualidad en la red,
topología, direccionamiento, entre otros, que pudiese detener la
operatividad de la empresa.
Mantener actualizado
los
registros computarizados,
la TI y los
respaldos de información en unidades externas semanales y
mensuales.
Almacenar digitalmente los informes contables, de los controles
internos, de las auditorias y otros documentos legales. Asimismo,
como se plantean los objetivos de la Junta Directiva anteriormente
citados, el departamento define sus objetivos individuales como
departamento y los objetivos personales de cada empleado que lo
conforma. En este aspecto, se señala que los objetivos pueden variar
en cuanto a la aplicabilidad, pero siempre en busca de alcanzar el
bienestar y crecimiento operacional de la empresa.
21
22. 2.1.2 Seguridad del Departamento
Seguridad Física
Entre las medidas de seguridad física con las que cuenta el
departamento de computación se encuentran:
Sistema de alarmas de detección de incendio.
Puntos clave tanto en el departamento como en toda la oficina con
extintores avaluados por el cuerpo de bomberos del estado Nueva
Esparta.
Todos los puntos de corriente fueron instalados con un UPS
interno para evitar la pérdida de información y daños en los equipos
por altibajos eléctricos.
Temperatura adecuada para los equipos electrónicos.
El servidor, computadores, impresoras y demás equipos electrónicos
cuentan con los espacios adecuados, con correcto posicionamiento
del cableado.
Seguridad Legal
Entre las
medidas de seguridad
legal con
las
que cuenta
el
departamento de computación se encuentran:
El jefe de departamento hace uso de estándares de seguridad de
datos y calidad de la información.
La empresa cuenta con licencias legales para el uso del sistema
operativo Windows.
Las auditorias, se dejan asentadas por escrito en documentos
legales para asegurar su valides.
Todos los equipos electrónicos, dispositivos, comunicadores, entre
otros,
al llegar a la oficina de PALAP C.A son almacenadas las
facturas tanto en físico como digitalmente.
22
23. Seguridad de Datos
Entre las
medidas
de seguridad
de datos
aplicadas
en el
departamento de computación se encuentran:
Respaldo Semana de las operaciones de TI y actividades contables.
Respaldo relevante de datos en unidades de almacenamiento externo.
La TI, sistemas contable y de información cuenta con niveles de
acceso para los usuarios para evitar la pérdida, daño o robo de datos
en la organización.
Seguridad de Personas
Entre las medidas de seguridad del personal en el departamento de
computación se encuentran:
Revisión en el transcurso del año de los equipos y alarmas contra
incendios.
Adiestramiento al personal de salidas de emergencia y protección en
caso de desastres naturales.
Entre otros.
2.1.3 Características De La Plataforma Tecnológica
A- Hardware
Nombre
Características
Utilidad
del
Equipo
Pc
Pc1
Intel Core Duo 2.0GHz
HDD
512 Gb
Ram
server
Procesador
2 Gb
HDD
512 Gb
Servidor
PC para administrar sistema
23
24. Pc2
Ram
2 Gb
de información en cada
Pc3
Monitor
Dell 17 E176fp
Área relacionada con el
Pc4
departamento de
Pc5
Impresora
Multifuncional
HP Informática.
5200
Cuadro 6. Hardware de PC y Servidores en la Red. Fuente: PALAP
C.A
b- Software
Nombre del
Sistema Operativo
Equipo
Pc server, Pc1,
Pc2,
Pc3,
Microsoft Windows
Pc4,
Seven Ultimate
Pc5.
Cuadro 7. Software de PC y Servidores en la Red. Fuente: PALAP C.A
Topología de
la Empresa
La
empresa con
el servicio de
internet ABA
de la
empresa
Cantv, donde
la topología de
red aplicada
es la de tipo
estrella, tal
como se
muestra en la
imagen 4: (Ver
Imagen 4)
24
25. Imagen 4. Topología de Red Estrella Aplicada en la Organización. Fuente
PALAP C.A
Caracterización de la Carga
La empresa cuenta con un servidor el cual asigna las direcciones IP,
Mascara y Gateway correspondiente a cada computador de las distintas
áreas. Es de hacer notar que aunque los equipos se encuentran en oficinas
distintas
los diferentes operadores pueden
acceder
a sus
módulos
departamentales desde otras oficinas ya que cada usuario posee un nivel
de acceso
correspondiente a su
jerarquía y departamento al cual
pertenezca.
2.1.5 Determinación de Hipótesis
En la búsqueda de datos se evidencio un departamento sumamente
seguro tanto a nivel físico como en la confidencialidad de los datos;
además los registros de auditorías y controles internos han arrojando
excelente resultados en cuanto a la correcta ejecución del plan estratégico
definida por la junta directiva. Sin embargo, se identificaran posibles fugas de
información debido a técnicas aplicada en la TI que debieran ser corregidas y
presentarlas para un posterior análisis.
2.2 Aplicación de la Auditoria
2.2.1 Modelo de Madurez de los Procesos
A continuación se mostrara el análisis de los diferentes objetivos de
COBIT 4.1, en los siguientes cuadros:
25
42. 2.2.2 Reporte General de Grados de Madurez
Los grados de madurez en los diferentes objetivos de COBIT 4.1
aplicados en la empresa, se presentan a continuación en el cuadro 28: (Ver
Cuadro 28)
Cuadro 28.Reporte General de Grados de Madures de la empresa PALAP
C.A.
42
43. 2.2.3 Resumen de procesos y criterios de información por
impacto:
Dominio: Planear y Organizar (PO)
PALAP C.A a logrado en el dominio PO, un alto nivel en su
procedimientos estratégicos, sin embargo existen espacios que aún le faltan
promover y realizar mayor seguimiento para comparar con las demás que se
encuentran en su punto optimo.
Dominio: Adquirir e Implementar (AI)
En este dominio, la empresa PALAP C.A se encuentran con una
buena dirección operacional basándose estrictamente en la adquisición e
implantación de herramientas en base a las necesidades de los planes
estratégicos definidos por la Junta Directiva; sin embargo, se recomida
ampliar la visión más allá de las necesidades de estos planes para identificar
si herramientas más avanzadas o nueva puedan alcanzar un objetivo más
optimo u otros puntos de interés de la empresa.
Dominio: Entrega y Dar Soporte (DS)
En este aspecto PALAP C.A, se encuentra en un nivel casi óptimo
donde se evidencia el interés de la Alta Gerencia por la satisfacción a
clientes y el crecimiento interno para prestar cada periodo un mejor servicio.
Dominio: Monitorear y Evaluar (ME)
A través de la auditoría realizada a la empresa PALAP C.A, se
evidencio la importancia asignada por la alta gerencia al monitoreo y
evaluación de la correcta ejecución del gobierno que se planifica bajo
estrictos niveles de importancia.
43
44. 2.2.4 Resultados finales del impacto sobre los criterios de
Información
A continuación se presentara el análisis correspondiente a los criterios de
información:
Efectividad
La efectividad tuvo un criterio del 80%, por lo que se puede afirmar
que los procesos y planes diseñados por la alta gerencia de PALAP C.A es
sumamente efectiva la cual se encuentra en la última escala de operatividad;
cabe destacar que todavía existen fases en las cuales hay que hacer
correcciones para alcanzar mayor productividad.
Eficiencia
La eficiencia de la TI y los procesos de control y monitoreo se
evidencia con un 85%, dando a entender que al ser dirigidos y gobernados
eficientemente los sistemas como los empleados los objetivos de la empresa
se han alcanzado y superado periodo tras periodo.
Confidencialidad
La confidencialidad de la información y procesos es un aspecto
sumamente a la empresa, por lo tanto para el acceso a la misma se han
diseñado niveles de acceso a la misma y esto se respalda tras una evidencia
de control con valor de 90%, donde el pequeño rango faltante para llegar al
punto optimo es la falta de inversión en herramientas y técnicas más
avanzadas que las que se identifican como necesarias para la ejecución del
plan estratégico, por lo tanto al cubrir esta falla, debería alcanzar un nivel
optimo dicho criterio.
44
45. Integridad
La integridad de la información y la TI, es casi óptima, dicho resultado
se respalda tras las evidencias recolectadas las cuales alcanzaron un 80%,
donde se podría tener un mayor rango si se implantaran herramientas más
avanzadas que las actuales.
Disponibilidad
La disponibilidad de la información a través de la TI, se encuentra en
un porcentaje de 90% aunque se encuentran en un nivel excelente, este
promedio podría mejorar al actualizar los sistemas, ya que habría que
modificar ciertas condiciones y reemplazar equipos actuales por unos más
sofisticados, sin embargo se identifica la operatividad de este criterio como
aceptable para la auditoria.
Cumplimiento
El cumplimiento del plan estratégico y los objetivos para el
departamento de computación (directamente a la TI), se encuentra en el
ultimo nivel con un 70% de correcta ejecución. Este resultado se evidencia
debido a los constantes controles internos y la correcta ejecución de
auditorías en los tiempos establecidos por la alta gerencia, donde los
resultados son analizados y tomados en cuenta para ser aplicado a corto
plazo, si se llegasen a identificar como necesarios por la junta directiva.
Confiabilidad
Este criterio es uno de los más importantes y además uno con el
mayor rango en evidencia operacional eficiente con un 70%, ya que tanto el
departamento de computación como la junta directiva, tienen planes tanto de
operación diaria como planes de emergencia al presentarse alguna falla y de
esta manera asegurar la continuidad operacional. Cabe destacar que la
45
46. confiabilidad no es solo operacional sino estratégica y de los datos
almacenados.
46
47. CAPITULO III: ANALISIS DE LOS RESULTADOS
3.1. INFORME TÉCNICO
Alcance
La auditoría pretende evaluar el departamento de informática de la
empresa PALAP C.A mediante el proceso el auditor proporcionará
conclusiones y recomendaciones a las actividades que son realizadas en
dicha organización empleando la metodología COBIT 4.1.
Objetivos
Objetivo General
Realizar auditoria al departamento de informática PALAP C.A
mediante el uso de la metodología COBIT 4.1.
Objetivos Específicos
Identificar los problemas técnicos en el departamento de
Informática de Palap C.A y sus posibles soluciones.
Elaborar Informes de auditoría en los que se establezca hechos
relevantes.
Evaluar la seguridad en el área informática.
Resultados de la Evaluación de cada proceso:
Dominio Planear y Organizar
PO1. Definir un plan estratégico.
Conclusión.- el proceso se encuentra en el nivel de madurez debido a
47
48. que no cuenta con un plan estratégico establecido.
Recomendación Cobit: Alinear el departamento de sistema con el negocio,
e instruir a los encargados del área sobre las capacidades tecnológicas de la
actualidad y el futuro.
PO2. Definir la Arquitectura de la Información.
Conclusión.- el proceso se encuentra en el nivel de madurez 1, a pesar de
su importancia no se elabora.
Recomendación Cobit: Definir e implementar procedimientos para brindar
integridad y consistencia de los datos o información crítica y sensible que se
encuentran almacenados en el departamento de informática de Palap C.A.
PO3. Determinar la Dirección Tecnológica.
Conclusión.- el proceso se encuentra en el nivel de madurez 1, puesto que
el desarrollo de componentes tecnológicos e implantación de tecnologías
emergentes son aisladas.
Recomendación Cobit: Crear y mantener un plan de conferencias
tecnológica que se empareje con los planes estratégicos.
PO4. Definir los Procesos la Organización y las Relaciones del Departamento
de Sistemas.
Conclusión.- el proceso se encuentra en el nivel de madurez 2 puesto que
las necesidades de los usuarios y relaciones con las personas que desean recibir
conferencias y se responden de forma táctica aunque inconsistentemente.
Recomendación Cobit: Definir un marco de trabajo para el proceso del
departamento de infraestructura para ejecución del plan estratégico, incluyendo la
estructura y relaciones de procesos.
PO5. Administrar la Inversión del Departamento de Infraestructura.
Conclusión.- la responsabilidad y rendición de cuenta para la selección de
presupuestos de inversiones son asignadas en específico al Jefe del
48
49. departamento de sistemas y el jefe del departamento financiero.
Recomendación Cobit: Incluir un análisis de costo y beneficio a largo plazo
del ciclo total de vida en la toma de decisiones de inversiones.
Dominio Adquirir e Implementar.
AI1. Identificar Soluciones Automatizadas.
Conclusión.- el proceso se encuentra en el nivel de madurez 1 puesto que
existe la conciencia de la necesidad de definir requerimientos y de identificar
soluciones tecnológicas, las necesidades son analizadas de manera informal y por
ciertos individuos.
Recomendación Cobit: Resaltar, priorizar, especificar los requerimientos
funcionales y técnicos del departamento de sistemas de Palap C.A. priorizando el
desempeño, el costo, la confiabilidad, la compatibilidad, la auditoría, la seguridad,
la disponibilidad, y continuidad, la funcionalidad y la legislación.
AI2. Adquirir y Mantener Software Aplicativo.
Conclusión- el proceso se encuentra en el nivel de madurez 2 por cuanto
existen procesos de adquisición y mantenimiento de software aplicativo en base a
la experiencia.
Recomendación Cobit: Realizar un diseño detallado, y los requerimientos
técnicos del software y garantizar integridad de la información.
AI3. Adquirir y Mantener la Infraestructura Tecnológica.
Conclusión.- el proceso se encuentra en el nivel de madurez 1, ya que no se
cuenta con un plan de adquisición de tecnología, por Io tanto no se controlan los
procesos de adquirir, implantar y actualizar infraestructura tecnológica.
Recomendación Cobit: Proteger la infraestructura tecnológica mediante
medidas de control interno, seguridad durante la configuración, integración y
mantenimiento de hardware y software de la infraestructura tecnológica.
49
50. AI4. Facilitar la Operación y el Uso.
Conclusión.- el proceso se encuentra en el nivel de madurez 1, puesto que
no existe una generación de documentación, pero se tiene la conciencia de que es
necesario.
Recomendación Cobit: Realizar transferencia de conocimientos a la parte
gerencial Io cual permitirá que tomen posesión del sistema y los datos.
AI5. Adquirir Recursos de Tecnología de Información.
Conclusión- el proceso se encuentra en el nivel de madurez 4, ya que la
adquisición se integra totalmente con los sistemas generales del gobierno, sigue el
proceso de compras públicas en de algún recurso de tecnología de información.
Recomendación Cobit: Establecer buenas relaciones con la mayoría de
Especialistas y socios y hacer cumplir los derechos y obligaciones de ambas
partes en los términos contractuales.
Dominio Entregar Y Dar Soporte
DS1. Definir y Administrar los Niveles de Servicio.
Conclusión.- el proceso se encuentra en el nivel de madurez 1, ya que no se
administra los niveles de servicio, la rendición de cuentas no se encuentra definido
realmente.
Recomendación Cobit: Se debe definir un marco de trabajo para la
administración de los niveles de servicio y realizar un monitoreo y reporte del
cumplimiento.
DS2. Administrar los Servicios de Terceros.
Conclusión.- el proceso se encuentra en el nivel de madurez 3 por cuanto
existen procedimientos documentados para controlar los servicios de terceros, los
procesos son claros para realizar la negociación con los proveedores.
Recomendación Cobit: Establecer criterios formales y estandarizados para
realizar la definición de los términos del acuerdo y asignar responsables para la
50
51. administración del contrato y del proveedor.
DS3. Administrar el Desempeño y la Capacidad.
Conclusión- el proceso se encuentra en el nivel de madurez 1, puesto que
los usuarios regularmente tienen que resolver los inconvenientes que se presenten
para aplacar las limitaciones de desempeño y capacidad.
Recomendación Cobit: Establecer métricas de desempeño y evaluación de
la capacidad y realizar un monitoreo continuo del desempeño y la capacidad de
los recursos.
DS4. Garantizar la Continuidad del Servicio.
Conclusión.- el proceso se encuentra en el nivel de madurez ,1 por cuanto
no se cuenta con un plan de continuidad de servicios.
Recomendación Cobit: Realizar pruebas regulares del plan de continuidad,
de forma que asegure que los sistemas sean recuperados de forma efectiva.
DS5. Garantizar la Seguridad de los Sistemas.
Conclusión.- el proceso se encuentra en el nivel de madurez 1, ya que la
seguridad de los sistemas se encuentra a cargo de un solo individuo el cual es el
Jefe del departamento de sistemas, no existen responsabilidades claras.
Recomendación Cobit: Realizar pruebas a la implementación de la
seguridad, de igual forma monitorearla, para garantizar que las características de
posibles incidentes de seguridad sean definidas y comunicadas de forma clara y
oportuna.
Dominio Monitorear y Evaluar.
ME1. Monitorear y Evaluar el Desempeño del Departamento de Informatica.
Conclusión- el proceso se encuentra en el nivel de madurez 0, por cuanto
no se cuenta con un proceso implementado de monitoreo, así como con reporte
útiles, oportunos y precisos sobre el desempeño.
Recomendación Cobit: Definir y recolectar los datos del monitoreo
51
52. mediante un conjunto de objetivos, mediciones, metas y comparaciones de
desempeño, comparándolo periódicamente con las metas.
ME2. Monitorear y Evaluar el control Interno.
Conclusión.- el proceso se encuentra en el nivel de madurez 0, por cuanto,
No se tiene procedimientos para monitorear la efectividad de los controles
internos.
Recomendación Cobit: Realizar una auto-evaluación del control interno de
la administración de procesos, políticas y contratos, mediante revisiones de
terceros asegurar la completitud y efectividad de los controles internos.
ME3. Garantizar El Cumplimiento Regulatorio.
Conclusión.- el proceso se encuentra en el nivel de madurez 1 por cuanto,
se siguen procesos informales para mantener el cumplimiento regulatorio.
Recomendación Cobit: Tener muy en cuenta las leyes y reglamentos del
comercio electrónico, privacidad, flujo de datos, reporte financieros, propiedad
intelectual, etc.
M4. Proporcionar Gobierno De Tecnología de Información.
Conclusión.- el proceso se encuentra en el nivel de madurez 0 por cuanto
no existe procesos de gobierno.
Recomendación Cobit: Contribuir al entendimiento del consejo directivo y
de los ejecutivos sobre temas estratégicos y garantizar la optimización de la
inversión, uso y asignación de los activos de mediante evaluaciones periódicas.
52
53. Impacto Sobre los Criterios de Información
Criterios de la Información Porcentajes
Observaciones
El objetivo es alcanzar el 100%, para
Efectividad
80%
esto la información en Palap C.A
debe ser entregada de forma
oportuna, correcta, consistente y
utilizable.
El objetivo es alcanzar el 100%, para
Eficiencia
85%
esto la información debe ser
generada optimizando los recursos.
El objetivo es alcanzar el 100%, para
Confidencialidad
90%
esto la información vital sea
protegida contra la revelación no
autorizada.
El objetivo es alcanzar el 100%, para
Integridad
80%
esto la información debe ser precisa,
completa y valida.
El objetivo es alcanzar el 100%, para
Disponibilidad
90%
esto la información esté disponible
cuando esta sea requerida por parte
de las áreas del negocio en
cualquier momento.
El objetivo es alcanzar el 100%, para
70%
esto las leyes, reglamentos y
Cumplimiento
acuerdos contractuales a los que
está sujeta el proceso del negocio,
como políticas internas.
El objetivo es alcanzar el 100%, para
Confiabilidad
70%
esto se debe respetar y proporcionar
la información apropiada con el fin
de que la Gerencia General
administre la entidad.
53
54. 3.2. INFORME EJECUTIVO
A continuación se detallaran los resultados de la evaluación de procesos que
recomienda COBIT 4.1, siendo evaluado en el departamento de informática de la
empresa Palap C.A, los criterios de información, encontrando el siguiente
porcentaje, todos sobre el 100 %.
Efectividad
20%
Efectividad
2º trim.
3er trim.
80%
Deficit
La efectividad consiste en que la información relevante sea entregada de
forma oportuna, correcta, consistente y utilizable, el criterio tiene un promedio del
80%.
Criterio de Información:
Eficiencia
15%
85%
Eficiencia
Déficit
3er trim.
4º trim.
La eficiencia consiste en que la información debe ser generada optimizando
los recursos, el criterio tiene un promedio del 85%.
54
55. Criterio de Información:
Confidencialidad
10%
Confidencialidad
90%
Déficit
3er trim.
4º trim.
La confiabilidad consiste en que la información vital sea protegida contra la
revelación no autorizada, el criterio tiene un promedio del 90%.
Criterio de Información:
Integridad
80%
20%
Déficit
Integridad
3er trim.
4º trim.
La integridad consiste en que la información debe ser precisa, completa y
valida, el criterio tiene un promedio del 70%.
55
56. Criterio de Información:
Disponibilidad
10%
90%
Disponibilidad
Déficit
3er trim.
4º trim.
La disponibilidad consiste en que la información esté disponible cuando sea
requerida por parte de las áreas del negocio en cualquier momento, el criterio
tiene un promedio del 90%.
Criterio de Información:
Cumplimiento
30%
70%
Cumplimiento
Déficit
3er trim.
4º trim.
El cumplimiento consiste en que se debe respetar las leyes, reglamentos y
acuerdos contractuales a los que está sujeta el proceso de la empresa, como
políticas internas, el criterio tiene un promedio del 70%.
56
57. Criterio de Información:
Confiablidad
30%
70%
Déficit
3er trim.
4º trim.
La Confiabilidad consiste en que se debe respetar y proporcionar la
información apropiada con el fin de que la Gerencia General administre la entidad,
el criterio tiene un promedio del 70%.
57
58. CAPITULO IV:
CONCLUSIONES Y RECOMENDACIONES
4.1 CONCLUSIONES
La auditoría de sistemas, es muy importante realizarlas en cierto tiempo
ya que permite a través de una revisión independiente, la evaluación de
actividades, funciones específicas, resultados u operaciones de una
organización.
El auditor es responsable de revisar e informar a la Dirección de la
Organización sobre el diseño y el funcionamiento de los controles
implantados y sobre la fiabilidad de la información suministrada.
La realización, de la auditoria que se aplico en la empresa Palap C.A
fue muy satisfactoria y mostró resultados positivos para la empresa de
prevención de accidentes laborales y adiestramiento profesional ya que se
determinaron los impactos sobre sus criterios y su eficiencia.
En algunos casos los resultados obtenidos fueron las mejoras en los
controles en los sistemas de aplicación, mayor confianza y satisfacción del
usuario, mejor Asesoría en la conformación del Comité de Salud y Seguridad
Laboral y mejores servicios y satisfacción de sus clientes, Control de
perdidas, por concepto de costos enfermedades, médicos, compensación,
legales, materiales, equipos, entre otros.
Con la aplicación de la auditoria se buscaba como resultado certificar
los informes presentados de auditorías anteriores y los correspondientes
controles
internos
dictaminados por
la
Junta
Directiva,
evaluar
el
departamento de sistemas de la empresa Palap C.A, buscar brechas de
seguridad no identificadas en auditorias y controles internos efectuados
con anterioridad mediante el proceso.
58
59. El auditor proporciono conclusiones y recomendaciones a mediano
plazo a las actividades que se realizan en dicha organización empleando la
metodología COBIT.
El desarrollo e implementación de la auditoria aporto grandes beneficios
y opciones para el mejoramiento de la empresa y así la posibilidad de poder
funcionar con mas satisfacción y organización, cada grafico cumpliendo su
función en dar ideas claras para el buen funcionamiento.
59
60. 4.2 RECOMENDACIONES
El desarrollo de la auditoría interna propuesta para la empresa PALAP C.A,
se realizo con la finalidad de obtener los mejores niveles de rendimiento y así
búsqueda de brechas de seguridad no identificadas en auditorias y
controles internos efectuados con anterioridad. Por tal motivo, se
recomienda:
Realizar auditorías cada seis (6) meses.
Establecer procedimientos de respaldo para brindar integridad y
consistencia de los datos o información crítica y sensible que se
encuentran almacenados.
Realizar mantenimiento correctivo, preventivo de los equipos de
cómputo.
Realizar respaldos a toda la información que manejan los servidores.
Realizar mantenimiento a sistemas cada tres (3) o seis (6) meses.
Administrar de forma correcta los datos en el programa.
Mantener actualizado los datos o información sobre la empresa Palap
C.A.
60
61. GLOSARIO
Auditoria: Tiene como finalidad evaluar y mejorar la eficacia y eficiencia de
una organización, al examinar su gestión.
Administración: Valida las operaciones de recaudación, realiza la
facturación y cobranza y ejecuciones presupuestarias, compras y servicios,
recursos humanos y generación y entrega de indicadores de gestión.
Base de datos: es una colección de información organizada de forma que
un programa de ordenador pueda seleccionar rápidamente los fragmentos de
datos que necesite. Una base de datos es un sistema de archivos electrónico
Cobit: Es un marco de trabajo y un conjunto de herramientas de Gobierno de
Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha
entre los requerimientos de control, aspectos técnicos y riesgos de negocios.
Informática: es una ciencia que estudia métodos, procesos, técnicas, con el
fin de almacenar, procesar y transmitir información y datos en formato digital.
La informática se ha desarrollado rápidamente a partir de la segunda mitad
del siglo XX, con la aparición de tecnologías tales como el circuito
integrado, Internet y el teléfono móvil.
Registro y Análisis: Cuya función corresponde a la auditoría interna de los
procesos y administración del archivo físico.
RRHH:
En
la administración
de
empresas,
se
denomina recursos
humanos (RRHH) al trabajo que aporta el conjunto de los empleados o
colaboradores de una organización. Pero lo más frecuente es llamar así a
la función o gestión que se ocupa de seleccionar, contratar, formar, emplear
y retener a los colaboradores de la organización. Estas tareas las puede
desempeñar una persona o departamento en concreto junto a los directivos
61
62. de la organización.
Sistematización: Proceso constante y aditivo de elaboración de
conocimiento luego de la experiencia en una realidad específica. Consiste en
el primer nivel de teorización de la práctica.
Sistematización de información: Ordenamiento y clasificación bajo
determinados criterios, relaciones y categorías de todo tipo de datos, ejemplo
la creación de una base de datos
Sistematización de experiencias: Las experiencias son vistas como
procesos desarrollados por diferentes actores en un período determinado de
tiempo, envueltas en un contexto económico y social, en una institución
determinada.
62
63. REFERENCIAS ELECTRONICAS
Fuente: http://www.tecnologiadiaria.com/2010/07/diagramas-gantt-excel.html
[Fecha de consulta: Enero del 2014]
Fuente: http://www.tecnologiadiaria.com/2010/07/diagramas-gantt-excel.html
[Fecha de consulta: Enero del 2014]
Fuente:http://www.mty.itesm.mx/die/ddre/transferencia/Transferencia47/eli04.htm [Fecha de consulta: Enero del 2014]
Fuente:http://revisoriaenvigadobeatriz.wikispaces.com/DEFINICION+DE+CO
BIT+E+ITIL [Fecha de consulta: Enero del 2014]
Fuente:http://www.ucla.edu.ve/dac/Departamentos/coordinaciones/informatic
ai/documentos/Resumen%20tema2.pdf [Fecha de consulta: Enero del 2014]
Fuente: [Fecha de consulta:
http://www.campus.co.cr/educoop/docs/md/caec/caec_ii_unidad_06.pdfEnero
del 2014]
Fuente: http://www.palap.com.ve/proximo-evento.html [Fecha de consulta:
Enero del 2014]
63
64. Fuente: http://es.thefreedictionary.com/auditor%C3%ADa [Fecha de consulta:
Enero del 2014]
Fuente: http://informatica.uv.es/iiguia/2000/IPI/material/tema9.pdf [Fecha de
consulta: Enero del 2014]
Fuente: http://www.isacacr.org/archivos/Control_Audit_Proy_TI.pdf [Fecha
de consulta: Enero del 2014]
Fuente: http://ve.linkedin.com/pub/palap-c-a/2a/283/1a4 [Fecha de consulta:
Enero del 2014]
Fuente: http://www.promonegocios.net/organigramas/tipos-deorganigramas.html [Fecha de consulta: Enero del 2014]
Fuente:
http://bloquemetodologicodelainvestigacionudo2010.wordpress.com/tecnicase-instrumentos-de-recoleccion-de-datos/ [Fecha de consulta: Enero del 2014]
Fuente: http://www.palap.com.ve/ [Fecha de consulta: Enero del 2014]
64
66. CUESTIONARIO DE AUDITORIA CORRESPONDIENTE AL
FUNCIONAMIENTO DEL ÁREA DE INFORMÁTICA Y LA SEGURIDAD
FISICA DE LA EMPRESA PALAP C.A
1. ¿Se tiene restringida la entrada a los usuarios al sistema?
________________________________________________________
2. ¿La empresa Palap cuenta con extintores de fuego?
________________________________________________________
3. ¿Existe en la empresa salida de emergencia?
________________________________________________________
4. ¿Existe plan de infraestructura de red?
5. ¿Existe algún control para proteger el acceso a las conexiones y
servicios de red?
__________________________________________________________
6. ¿Existen protocolos de comunicación establecida?
_________________________________________________________
66