proyecto de ska (auditoria)
Post on 24-Jun-2015
1.174 Views
Preview:
TRANSCRIPT
1
Proyecto de Auditoría deSistemas de InformaciónCOBITDOCENTE:
Dr. Ing. Cip. CHAVEZ MONZON CARLOS
CURSO: AUDITORIA DE SISTEMAS – VIII CICLO
INTEGRANTES:
AYRAC MORENO DICK(“dickjad_am16@hotmail.com”)
BRUNO DAMIAN AARON(“brunodamian_4@hotmail.com”)
GUZMAN RAMOS WILLIAM
(“william_gr2@hotmail.com”)
RAMIREZ CHIRA FRANK
(“Frank_d18@hotmail.com”)
2
2009CAPÍTULO I
1. Generalidades de la Empresa.1.1. Breve reseña histórica
Supermercados SKA, es una empresa moderna, competitiva,innovadora, líder en el mercado local y regional, que nace en el mes de Juliodel año 2004 como única alternativa para brindar los precios más bajos sindejar de lado la calidad, la variedad y el surtido de productos. Cuenta con unequipo humano con alto contenido ético profesional que busca satisfacer losgustos y preferencias del exigente consumidor chimbotano, pues EL CLIENTEES NUESTRA RAZON DE SER.
Con tan solo nueve meses en el mercado ha logrado la designación desu Gerente General FERNANDO CRUZ SOLIS como “EL EMPRESARIO DELAÑO” (Premio otorgado por la Cámara de Comercio del Santa).
En Supermercados SKA sus más de 30 trabajadores están dispuestos abrindar un servicio personal y amable. La amplitud del local que supera los500 m2 hace de la tienda una ventana abierta para la exhibición de los másde 5,000 productos ofertados, se cuenta con 5 cajas registradoras aptas parasatisfacer las exigencias de los clientes. El público objetivo es aquel grupo declientes que buscan los precios más bajos del mercado pero con la más altacalidad y confiabilidad. Dentro de sus instalaciones cuenta con un Área deEsparcimiento para los Hijos de sus clientes frecuentes, los que gozan de undivertido y novedoso juego de laberinto, al que acceden gratuitamente y alque se ha denominado PLAY SKA.
Las sucesivas innovaciones que se han realizado en este corto tiempocomo el uso de la “Tarjeta Kplus... acumula puntos y canjea”, paraacumulación de puntos, la “Tarjeta Crediempresa” para crédito a lostrabajadores de empresas afiliadas a nuestro sistema y la Tarjeta “ShopingCash” tienen como propósito fidelizar a nuestros clientes frecuentes. Ademásde proporcionar un buen servicio les ofrecemos:
3
- El uso de casi todas las Tarjetas de crédito existentes en el mercado.- Entrega de paquetes al auto, sin recibir propinar.- Gratuidad en las envolturas y empaques.- El uso de Cajas Rápidas- Promociones permanentes - Ofertas del día- El área de esparcimiento para niños, Play SKA- La Cafetería SKA- El uso de Códigos de Barra
Todo el grupo humano que vemos diariamente laborar enSupermercados SKA, desde su plana gerencial hasta el encargado demantenimiento, hacen la firma promesa de seguir esforzándose para servirlomás y mejor.
4
1.2. Organigrama de la Empresa.
1.3. FODA a nivel de la Empresa.
a. Fortalezas
Participación de mercado y posicionamiento con formato “Plaza Vea”.
Ofrecer promociones a los clientes.
Tienen el programa de puntos en las tarjetas que ofrecen, eso significa queal consumir el cliente está acumulando puntos y luego puede canjearlos enpremios.
GerenciaComercial
ESTRUCTURA ORGANICASUPERMERCADO SKA
Gestión deMarketing Evaluación de
Inversiones
RecursosHumanos
Contabilidad
Tesorería
Informática
PresidenciaDirectorio
GerenciaGeneral
SecretaríaGeneral
GerenciaInversiones y
Proyectos
Gerencia Administracióny Finanzas
Logística
5
Sólido equipo profesional de amplia experiencia en ventas.
Propietario de una página web
b. Oportunidades
Expansión del mercado nacional
Expansión económica que se refleja en la demanda interna.
Mayor impacto del negocio financiero en las ventas de la cadena (crédito deconsumo).
Promover y apoyar iniciativas para el desarrollo interno.
El uso masivo de internet
c. Debilidades
No maneja precios al por mayor.
Creciente dependencia del financiamiento de proveedores.
Tener a la competencia a una distancia muy corta.
El supermercado cuenta con un espacio reducido (área).
d. Amenazas
Competencia con supermercados reconocidos a nivel local
Planes de expansión agresivos de la competencia.
Negocio sensible a cambios en el entorno económico.
ESTRATEGIAS FA
Queriendo ser mejor, y traspasar barreras,captando nuevos proveedores, llegando aser mejor que la competencia.
Ganar terreno en el ámbito nacional,posicionándose de los clientes de lacompetencia.
Convertir a un cliente nuevo en cliente fiel.
ESTRATEGIAS DO
Ampliar su mercado abriendo sucursales enlugares específicos, para captar clientes yatenderlos con mayor rapidez, conproductos de buena calidad a un menorprecio.
ESTRATEGIAS DA
Captar personal eficiente para que de mejortrato a los clientes, eso mejorará la eficaciaen nuestros procesos de ampliación demercado.
1.4. Identificar principales procesos de la Empresa
6
1.4.1.Proceso: Describir procesos.
NOMBRE DEL AREA:PRESIDENCIA DEL DIRECTORIO
FUNCION BASICA:El Presidente del Directorio preside el Directorio; orienta y fiscaliza la marcha eficaz y productivade la Empresa, formula recomendaciones al Directorio en relación con dichas actividades, conmiras a asegurar el cumplimiento de la política, plan y programas establecidos y de las decisionesque tome el Directorio.
FUNCIONES ESPECÍFICAS:Compete al Presidente ejercer las atribuciones y facultades propias de su cargo, establecidas en laLey. En concordancia con las políticas y normas establecidas, el Presidente tiene como funciones:
1. Velar por el cumplimiento de la política de la Empresa, de conformidad con los planes yprogramas establecidos y con las decisiones que tome el Directorio.
2. Cuidar que el Directorio este bien informado sobre las condiciones y factores importantesque influyen en las actividades de la Empresa.
3. Proponer al Directorio los objetivos generales de la marcha de la Empresa y cuida que seformulen y desarrollen objetivos coherentes en la Empresa; así como en cada una de susáreas principales.
4. Desarrollar y recomendar al Directorio planes de acción compatibles con los objetivosgenerales y factibles dentro de las posibilidades y potencialidad del conjunto empresarial.
5. Cuidar del desarrollo de una organización empresarial competente y adecuada con planescoherentes de organización en la Empresa, así como en cada una de sus áreas principales.
6. Desarrollar otras actividades y funciones que el Directorio estime pertinente para el logrode su función básica.
NOMBRE DE AREA:SECRETARIA GENERAL
OBJETIVO:Asistir administrativa y documentadamente al Presidente y miembros del Directorio, así como alGerente General.
FUNCIONES ESPECÍFICAS:Dentro del marco de la Ley, del Estatuto Social, del Reglamento del Directorio y de las normas dela Empresa, es responsable del cumplimiento de las siguientes funciones:
7
1. Formular el proyecto de agenda de la Junta General de Accionistas y del Directorio,recibiendo instrucciones de la Gerencia General y sometiéndolo a consideración delPresidente.
2. Efectuar las citaciones a las sesiones de la Junta General de accionistas y del Directorio,convocando a los miembros por encargo del Presidente.
3. Supervisar la dotación de las facilidades y servicios requeridos para el desarrollo de lassesiones de la Junta General de Accionistas y del Directorio.
4. Efectuar gestiones externas de competencia por encargo del Presidente del Directorio.5. Redactar y despachar correspondencia, por encargo del Presidente del Directorio.6. Efectuar el seguimiento de los pedidos y acuerdos adoptados.7. Informar al Directorio y a la Gerencia General sobre el cumplimiento de la aplicación de las
medidas correctivas recomendadas.8. Verificar que la presentación de los proyectos de acuerdos, los informes y pedidos que se
presenten a la Junta General de Accionistas y del Directorio, cuenten con el respectivosustento o informes de los Gerentes de las áreas involucradas.
NOMBRE DE AREA:GERENCIA GENERAL
OBJETIVO:Compete a la Gerencia General la planeación, dirección, coordinación y control delfuncionamiento de la Empresa, cuidando que todo acto se realice dentro del marco de la Ley;cuidar que se desarrollen los planes y programas aprobados y se obtengan los resultadosprevistos, sobre la base de una organización y administración eficaces; y aconsejar y recomendaral Presidente y al Directorio en la determinación de los planes y políticas generales de la Empresa.
FUNCIONES ESPECÍFICAS:Dentro del marco de la Ley y de las políticas, normas y procedimientos de la Empresa, la GerenciaGeneral es responsable de cumplir las funciones siguientes:
1. Cumplir y hacer cumplir los acuerdos y decisiones de la Junta General de Accionistas y delDirectorio.
2. Dirigir y controlar el desarrollo de las actividades operativas y administrativas orientadas aoptimizar el manejo de los recursos humanos, materiales y económicos financieros.
3. Proponer al Directorio, el proyecto de presupuesto del ejercicio con los cuadros deasignación de personal y la escala de remuneraciones.
4. Dar cuenta en cada sesión de Directorio el estado de las operaciones de la Empresa, de losingresos y egresos, inversiones y existencia de fondos.
5. Presentar mensualmente al Directorio los estados financieros (Balance General, Estado deResultados de Pérdidas y Ganancias y otros que estime conveniente) y la informaciónnecesaria para el cierre del ejercicio.
8
6. Velar por que los activos de la empresa sean debidamente salvaguardados, estableciendoconvenios con firmas aseguradoras.
7. Aprobar y suscribir los contratos y/o convenios que requiera el funcionamiento eficientede la empresa, de acuerdo con las decisiones que al respecto adopte el Directorio.
8. Contratar personal especializado y/o de gerencia, celebrar contratos de carácter laboral
NOMBRE DEL AREA:GERENCIA COMERCIAL
OBJETIVO:Promover el mayor margen comercial para supermercado SKA, celebrando contratos desuministros de productos de primera necesidad con clientes libres y regulados que tiendan amaximizar dicho margen, optimizando las estrategias de despacho de la empresa.
FUNCIONES ESPECÍFICAS:Dentro del marco de la Ley y de las políticas, normas y procedimientos de la Empresa, la GerenciaComercial es responsable de cumplir las funciones siguientes:
1. Coordinar y dirigir la planificación y programación de la operación, así como la asignaciónde la carga en tiempo real, del sistema de generación de la empresa.
2. Efectuar estudios y dirigir acciones orientadas a garantizar la seguridad y economía de laoperación del sistema a su cargo.
3. Dirigir las investigaciones de mercado, proyecciones de la demanda y de venta deproductos.
4. Dirigir y controlar la medición y facturación de los productos a los clientes de la empresa.5. Proponer mecanismos de seguridad que permitan garantizar la confiabilidad y calidad de
la operación del sistema.
NOMBRE DEL AREA:COMERCIALIZACION
OBJETIVO:Diseñar estrategias y formular propuestas para que las decisiones comerciales propendan amaximizar el margen comercial de la empresa. Proveer a los clientes un servicio eficiente ypersonalizado, orientando los servicios comerciales de la empresa a la satisfacción de lasnecesidades del cliente, asegurándole adecuada información, buscando constantementemantener o mejorar la calidad de los servicios así como la competitividad de la Empresa.
FUNCIONES ESPECÍFICAS:Dentro del marco de la Ley y de las directrices empresariales, es responsable del adecuadocumplimiento de las funciones que se enuncian a continuación:
9
1. Formular alternativas para las propuestas de política y estrategia comercial de la Empresa.2. Identificar y evaluar clientes potenciales.3. Diseñar y proponer estrategias de precios de venta libre.4. Verificar las ventas (compras) facturas que correspondan y, en su caso, verificar y tramitar
el pago de facturas de otras generadoras.
NOMBRE DEL AREA:GERENCIA DE ADMNISTRACIÓN Y FINANZAS
OBJETIVO:Brindar a las áreas operativas apoyo en el planeamiento, organización, dirección, coordinación,ejecución, control y orientación de las políticas y programas de Recursos Humanos, Informática yContabilidad, de tal forma que ellas incrementen su eficiencia en el desarrollo de sus actividadesorientadas al cumplimiento de los objetivos de la Empresa.Administrar los recursos financieros de la empresa con criterios de oportunidad y rentabilidad,planificando, ejecutando y controlando el uso de los recursos económicos y financieros de laempresa de corto, mediano y largo plazo.
FUNCIONES ESPECÍFICAS:Dentro del marco de la Ley y de las políticas, normas y procedimientos de la Empresa, la Gerenciade Administración y Finanzas es responsable de cumplir las funciones siguientes:
1. Establecer los mecanismos para una adecuada administración y reducción de riesgos sobrelos bienes patrimoniales de la empresa y de las personas que laboran en ella, conduciendouna eficiente administración de seguros patrimoniales y personales de la empresa,efectuando su evaluación, negociación y mantenimiento de los contratos y segurosconcertados y por concertar.
2. Establecer los lineamientos de política que permitan lograr un eficiente soporte logístico,manteniendo un adecuado nivel de inventario de equipos, materiales y repuestos quegaranticen el normal desenvolvimiento de las operaciones de la empresa.
3. Planear, normar, organizar, dirigir, controlar y evaluar todas las actividades propias de laadministración de los recursos humanos en el ámbito de la Empresa, recomendado lapolítica a seguir en la aplicación correcta de los programas de administración de personal,empleo, relaciones laborales, administración de salarios, capacitación para impulsar unacultura organizacional de calidad y bienestar de los trabajadores de la Empresa.
4. Formular el plan integral de acción financiera de corto y mediano plazo, sustentando ysometiéndolo a la aprobación de la Alta Dirección.
NOMBRE DEL AREA:RECURSOS HUMANOS
OBJETIVO:
10
Asegurar el número suficiente de personal con la calificación necesaria, en los puestos adecuadosy en el momento oportuno, buscando elevar permanentemente los niveles de desempeño,motivación y satisfacción del personal, a través del mejoramiento continuo de los procesos delárea y la prestación de servicios de calidad a nuestros usuarios internos y externos.FUNCIONES ESPECÍFICAS:Dentro del marco de la Ley y de las directrices empresariales, es responsable del adecuadocumplimiento de las funciones que se enuncian a continuación:
1. Programar y aplicar las políticas de recursos humanos orientadas a una administracióneficiente y eficaz de este recurso en la empresa.
2. Efectuar el planeamiento de los recursos humanos sobre la base de los lineamientosempresariales.
3. Proponer y desarrollar los programas de capacitación y/o entrenamiento para lostrabajadores de acuerdo a las normas y procedimientos establecidos.
4. Establecer y mantener un sistema integral de información mecanizada de personal en elámbito de empresa, que ayude en la toma de decisiones al nivel de gerencias.
5. Proponer y aplicar las normas para la selección, contratación, evaluación y movimiento depersonal.
6. Difundir el Reglamento Interno de Trabajo, las normas y disposiciones laborales, así comolos convenios y conciliaciones aprobados, con la finalidad de que el personal esté enteradode sus derechos, obligaciones y rutinas dentro de la empresa.
7. Establecer el sistema administrativo y asegurar la correcta elaboración de la informaciónnecesaria para el procesamiento de las planillas de remuneraciones del personal; asegurarel pago oportuno de estas, así como el pago de beneficios del personal, leyes sociales ytributos.
NOMBRE DEL AREA:CONTABILIDAD
OBJETIVO:Mantener actualizados los registros contables y los obligados por Ley, con el fin de preparar ypresentar oportunamente los Estados Financieros, las Declaraciones Juradas y Liquidaciones depago de impuestos. Administrar eficientemente las pólizas de Seguros Patrimoniales y losinventarios de almacenes y bienes de activo fijo.
FUNCIONES ESPECÍFICAS:1. Dirigir la preparación de los registros y sistemas de información y control que permitan
proporcionar a la Gerencia, los elementos precisos y datos oportunos sobre análisisfinancieros de presupuestos, flujo de caja, costos, seguros, impuestos y otros aspectosrequeridos para conseguir una buena administración de los recursos.
11
2. Establecer y mantener los métodos y procedimientos contables para el registro de lastransacciones y operaciones económico - financieras de la empresa.
3. Establecer y mantener los sistemas, métodos y procedimientos contables para el registrode las transacciones y operaciones económica – financiera de la empresa, teniendo encuenta los postulados y principios de contabilidad vigentes y de las obligaciones tributariasa la que está afecta la empresa a fin de estructurar los estados financieros básicosconsolidados y especiales, reporte de inversiones e información estadística resultante delproceso contable.
4. Estructurar y emitir los estados financieros, así como los reportes derivados del procesocontable.
5. Velar por el oportuno cumplimiento de las obligaciones tributarias y contribucionessociales a las que está afecta la empresa.
6. Establecer y mantener las normas contables que contribuyan a la aplicación del sistema decontrol interno necesario para el resguardo de los bienes y derechos de la empresa.
7. Supervisar la ejecución de los inventarios físicos de activos fijos y de existencias enalmacenes.
8. Elaborar informes sobre las actividades desarrolladas.9. Proponer a la Gerencia de Administración y Finanzas el presupuesto, objetivos y metas
anuales de su oficina.
NOMBRE DEL AREA:LOGISTICA Y SERVICIOS
OBJETIVO:Atención oportuna, con calidad y al menor costo posible, de los bienes y servicios necesarios parael desarrollo de las actividades que realizan las diferentes áreas de la organización.Realizar los procesos de adquisición en un estricto cumplimiento de los principios que regulan lasadquisiciones y contrataciones de bienes y servicios, vale decir transparencia, libre competencia eimparcialidad.
FUNCIONES ESPECÍFICAS:1. Dentro del marco de la Ley y de las directrices empresariales, es responsabilidad del
adecuado cumplimiento de las funciones que se enuncian a continuación:2. Organizar, dirigir, controlar y evaluar el sistema logístico de la empresa.3. Cumplir con los dispositivos legales vigentes, y directivas de la empresa en el ámbito de su
competencia.4. Coordinar con los órganos de la empresa, entidades públicas y privadas en los asuntos de
su competencia.5. Formular y administrar el Plan de Adquisición anual de materiales, repuestos y bienes de
capital de la mayor calidad y a precios competitivos para el cumplir con las necesidades denuestras operaciones de acuerdo a la política de la empresa y de conformidad a lasnormas y procedimientos vigentes.
6. Atender en forma eficiente y oportuna los requerimientos de las diferentes áreas de laempresa.
12
7. Coordinar la programación y ejecución de los inventarios de los productos de almacén.8. Supervisar los trabajos que se efectúan a través de terceros cautelando los intereses de la
empresa.9. Mantener actualizado el registro de proveedores así como el catálogo de materiales.10. Mantener en funcionamiento un adecuado sistema de control de inventarios que
garantice la conservación del stock mínimo de algunos ítems en el almacén.
NOMBRE DEL AREA: “Área Escogida”INFORMATICA
OBJETIVO:Brindar soporte tecnológico a las diversas áreas de la Empresa a través de estrategias orientadashacia el usuario final para el uso eficaz y eficiente de las herramientas de tecnología deinformación en la realización de sus actividades.Asimismo, implementar y mantener una base de datos corporativo, sistema de información para latoma de decisiones (sistema de información gerencial) y medios de comunicaciones que refuercenel logro de los objetivos de la organización.
FUNCIONES ESPECÍFICAS:Dentro del marco de la Ley y de las directrices empresariales, es responsabilidad del adecuadocumplimiento de las funciones que se enuncian a continuación:
1. Dar soporte técnico y asesoría a todas las dependencias de la empresa en la identificaciónde sus necesidades de información efectuando el desarrollo, implementación, operación,mantenimiento y seguimiento del sistema informático. Estableciendo modelosmatemáticos, desarrollando y actualizando el banco de datos en concordancia con susprioridades y disponibilidades presupuestarias.
2. Proponer a la Gerencia de Administración y Finanzas la implementación, administración ymantenimiento de todos los equipos de cómputo de uso general y específico de laempresa.
3. Elaborar, ejecutar, supervisar, controlar y mantener la seguridad de la información yprotección de los equipos de cómputo de la Empresa.
4. Definir, proponer, implementar, mantener y administrar todos los equipos de cómputo deuso general y específico de la empresa.
5. Dar asesoría a todas las áreas de la empresa en el uso de la tecnología de punta, en lo querespecta al desarrollo de informática para la toma de decisiones, planeamiento, ejecución,control y evaluación de operaciones.
6. Administrar los recursos de hardware y software de acuerdo a prioridades de la empresa.7. Elaborar informes mensuales sobre las actividades desarrolladas.
13
CAPÍTULO II:
2. Marco Teórico Conceptual de Cobit.2.1. ¿Qué es COBIT?
COBIT (Control Objectives Control Objectives for Information andTechnology) es el marco aceptado internacionalmente como una buena prácticapara el control de la información, TI y los riesgos que conllevan. COBIT seutiliza para implementar el gobierno de IT y mejorar los controles de IT.Contiene objetivos de control, directivas de aseguramiento, medidas dedesempeño y resultados, factores críticos de éxito y modelos de madurez.
Para ayudar a las organizaciones a satisfacer con éxito los desafíos de losnegocios actualmente, el IT Governance Institute® (ITGI) ha publicado la versiónde COBIT® 4.1.
COBIT es un framework de Gobierno de TI y un conjunto de herramientas desoporte para el gobierno de T.I. que les permite a los gerentes cubrir labrecha entre los requerimientos de control, los aspectos técnicos y riesgos denegocio.
COBIT hace posible el desarrollo de una política clara y las buenas prácticaspara los controles de T.I. a través de las organizaciones.
COBIT enfatiza en la conformidad a regulaciones, ayuda a las organizacionesa incrementar el valor alcanzado desde la TI, permite el alineamiento ysimplifica la implementación de la estructura COBIT.
2.2. El modelo COBIT para auditoría y control de sistemas de información
La evaluación de los requerimientos del negocio, los recursos y procesos IT, sonpuntos bastante importantes para el buen funcionamiento de una compañía ypara el aseguramiento de su supervivencia en el mercado.El COBIT es precisamente un modelo para auditar la gestión y control de lossistemas de información y tecnología, orientado a todos los sectores de unaorganización, es decir, administradores IT, usuarios y por supuesto, los auditoresinvolucrados en el proceso.Las siglas COBIT significan Objetivos de Control para Tecnología de Información yTecnologías relacionadas (Control Objectives for Information Systems and relatedTechnology). El modelo es el resultado de una investigación con expertos de variospaíses, desarrollado por ISACA (Information Systems Audit and ControlAssociation).
14
2.3. La estructura del modelo COBIT:
Propone un marco de acción donde se evalúan los criterios de información, comopor ejemplo la seguridad y calidad, se auditan los recursos que comprenden latecnología de información, como por ejemplo el recurso humano, instalaciones,sistemas, entre otros, y finalmente se realiza una evaluación sobre los procesosinvolucrados en la organización.
El COBIT es un modelo de evaluación y monitoreo que enfatiza en el control denegocios y la seguridad IT y que abarca controles específicos de IT desde unaperspectiva de negocios.
COBIT se aplica a los sistemas de información de toda la empresa, incluyendo loscomputadores personales y las redes. Está basado en la filosofía de que losrecursos TI necesitan ser administrados por un conjunto de procesosnaturalmente agrupados para proveer la información pertinente y confiable querequiere una organización para lograr sus objetivos.
El conjunto de lineamientos y estándares internacionales conocidos como COBIT,define un marco de referencia que clasifica los procesos de las unidades detecnología de información de las organizaciones en cuatro “dominios” principales,a saber:
- Planificación y organización- Adquisición e implantación- Soporte y Servicios- Monitoreo
Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto losaspectos de información, como de la tecnología que la respalda. Estos dominios yobjetivos de control facilitan que la generación y procesamiento de la informacióncumplan con las características de efectividad, eficiencia, confidencialidad,integridad, disponibilidad, cumplimiento y confiabilidad.
Asimismo, se deben tomar en cuenta los recursos que proporciona la tecnologíade información, tales como: datos, aplicaciones, plataformas tecnológicas,instalaciones y recurso humano.
“Cualquier tipo de empresa puede adoptar una metodología COBIT, comparte deun proceso de reingeniería en aras de reducir los índices de incertidumbre sobrevulnerabilidades y riesgos de los recursos IT y consecuentemente, sobre la
15
posibilidad de evaluar el logro de los objetivos del negocio apalancado enprocesos tecnológicos”, finalizó el informe de ETEK.
2.4. Modelamiento de los 4 Dominios del COBIT, modelamiento de cada Dominiocon sus procesos y diagramas de actividades de cada proceso.
2.4.1. MODELOS DE PROCESOS:
E valuar c om o es ta defin ida
D 1 = 11 P roceso s D 2
D2
NewUs eCas e
NewUs eCas e2
A 1......A 6
2.4.2. NORMAS COBIT (Dominios)
16
Auditores de TI
Procesar planificación y organización delas TI (11p) (Dominio 1)
Procesar la adquision e implementacionde la TI (6p) (Dominio 2)
<<include>>
Procesar prestaciones y sorporte de TI(13p) (Dominio 3)
<<include>>
Procesar monitoreo y controlde TI (4p)(Dominio 4)
<<include>>
Departamento de RRHH (personal,todos los que trabajan)
SOn 4dominios
2.4.2.1. PROCESAR PLANIFICACIÓN Y ORGANIZACIÓN DE LAS TI
17
D1P1. Definicion de un planestrategico
D1P2. Definicion de laArquitectura de la informacion
<<include>>
D1PO3: Determinar laDireccion Tecnologica
<<include>>
D1PO4: Definicion delaOrganizacion de TI
<<include>>
D1PO5: Manejo de laInversion
<<include>>
D1PO6: Comunicacion de laDireccion y aspiraciones...
<<include>>
D1PO7: Administracion deRecursos Humanos
<<include>>
D1PO8:Asegurar elCumplimientos con ...
<<include>>
D1PO9: Evaluacion deRiesgo <<include>>
D1PO10: Administracion deProyectos
<<include>>
D1PO11: Administracion deCalidad
<<include>>
DTI
18
a) 1. DEFINICIÓN DE UN PLAN ESTRATÉGICO:
Procesar el Inventario de Soluciones y Estructura del TI
Evaluar la Automatizaciondel Negocio
Evaluar lafuncionalidad
Evaluar laEstabilidad
Evaluar LComplejidad
EvaluarCostos
EvaluarFoda
Evaluar la Automatizaciondel Negocio
Evaluar lafuncionalidad
Evaluar laEstabilidad
Evaluar LComplejidad
EvaluarCostos
EvaluarFoda
Adaptar los planes de TI a largo plazo alos cambios organizacionles
Estudio Oportuno defactibilidad de TI
Definir objetivos y necesidades de TI en funcion de los objetivos del negocio
1. Definir planes del TI Corto plazo (1 año)
Elaborar diagnosticode PETI
Elaborafr Direccionamientode PETI a CP
Definir planes de TI a largo plazo (mas de un añor hasta 5)
Elaborar diagnosticode PETI a LP
Elaborardireccionamiento
1. Definir planes del TI Corto plazo (1 año)
Elaborar diagnosticode PETI
Elaborafr Direccionamientode PETI a CP
Elaborar diagnosticode PETI
Elaborafr Direccionamientode PETI a CP
Definir planes de TI a largo plazo (mas de un añor hasta 5)
Elaborar diagnosticode PETI a LP
Elaborardireccionamiento
Elaborar diagnosticode PETI a LP
Elaborardireccionamiento
DTI
19
b) 2 DEFINICIÓN DE LA ARQITECTURA DE INFORMACIÓN
Documentacion consistente con lasnecesidades de la informacion
Procesar la ubicacion de datos en clases de informacion
Procesar diccionario de datos con actualizacion permanente enfuncion de las necesidades de la informacion
c) 3 Determinar la Dirección Tecnológica
Capacidad de adaptabilidad de la infraestructura de TI en funcion de los requerimiento del negocio
Arquitecturadel Sistema
Direcciontecnologica
Estrategiasde migracion
Arquitecturadel Sistema
Direcciontecnologica
Estrategiasde migracion
Monitoreo de DesarrollosTecnológicos
Contingencias para evaluar laingraestructura de TI
Planes deadquisición
20
d) 4 Definición de la Organización de TI
Vigilar las actividades y servicios de información
Designar alos propietarios custodiosde los datos, definir sus funciones
Supervisar las funciones yresponsabilidades
Segregaciónde funciones
Evaluacion de requerimientosregularmente
e) 5 Manejo de la Inversión
Realizar rutinas(r,p,r) de los costosasociados con las actividades
Alternativas de Financiamiento y control de desembolsos de RFinancieros
Investigar diferentesalternativas
Tomar como base elcontrol de base real
Realizar rutinas(r,p,r) de los costosasociados con las actividades
Justificar costos ybeneficios
Investigar diferentesalternativas
Tomar como base elcontrol de base real
Justificar costos ybeneficios
21
f) 6 Comunicación de la Dirección y aspiraciones de la Gerencia
Establecer y hacer cumplirestandares de control interno
Asegurar y monitorear la duracción de laimplementación de sus politicas
Definir, documentar y manteneruna filosofía de calidad
Especificar el proposito y losobjetivos dentro de la organización
Alta Gerencia
22
g) 7 Administración de Recursos Humanos
Maximizar las contribuciones del Personal a los procesos de TI
Definir técnicas solidas para laadministración del personal
Satisfacer requerimientos delnegocio
Definir técnicas solidas para laadministración del personal
Satisfacer requerimientos delnegocio
Procesar Reclutamiento y promoción
Aplicar criteriosobjetivos
Considerar factores determinates, educación,experiencia y responsabilidad
Aplicar criteriosobjetivos
Considerar factores determinates, educación,experiencia y responsabilidad
Evaluar requerimientos decalificaciones
Evaluar niveles de incrementode habilidad técnica
Constatar la frecuenciade evaluaciones
h) 8 Asegurar el Cumplimientos con los Requerimientos expertos
Definición y mantenimiento de procedimientos para requerimientos externos
Revisiciones regularesante cambios eventuales
Busqueda deasistencia legal
Seguridad y ergonomía enel ambiente de trabajo
Privacidad en flujode datos externos
Revisiciones regularesante cambios eventuales
Busqueda deasistencia legal
Seguridad y ergonomía enel ambiente de trabajo
Privacidad en flujode datos externos
23
i) 9 Evaluación de Riesgo
Identificar, definir y actualizar diferentes tipos de riesgos
Asegurar controles y medidasde seguridad económicas
Aceptación, identificación yla medición de riesgos
Definir alcances, límitesde riesgos y metodología
Actualizar la evaluaciónde riesgos
Medición de riesgoscualitativos y/o cuantitativos
Definir plan de acccióncontra riesgos
Asegurar controles y medidasde seguridad económicas
Aceptación, identificación yla medición de riesgos
Definir alcances, límitesde riesgos y metodología
Actualizar la evaluaciónde riesgos
Medición de riesgoscualitativos y/o cuantitativos
Definir plan de acccióncontra riesgos
Definir alcances, límitesde riesgos y metodología
Actualizar la evaluaciónde riesgos
Medición de riesgoscualitativos y/o cuantitativos
Definir plan de acccióncontra riesgos
Asegurar controles y medidasde seguridad económicas
Aceptación, identificación yla medición de riesgos
j) 10 ADMINISTRACIÓN DE PROYECTOS
Definir un marco de referencia general para administración de proyectos
Definir alcances, limitesy metodología
Evaluar los campos de lametodología
Evaluar implementar omodificar proyectos
Definir alcances, limitesy metodología
Evaluar los campos de lametodología
Evaluar implementar omodificar proyectos
Asignar responsabilidades yautoridades en el personal
Evaluar fases delproyecto
Implementar planes y metodologías deaseguramiento de calidad
Emplear planes de pruebas,entrenamiento y revisión
24
k) 11 Administración de Calidad
Metodologías del ciclo de vida
Documentación depruebas de sistemas
Revisiones y reportes deaseguramiento de calidad
Definir estandares y sistemas de administración de calidad
Metodologías del ciclo de vida
Documentación depruebas de sistemas
Revisiones y reportes deaseguramiento de calidad
Definición y mantenimiento de plan de calidad
Promover la filosofíade mejora continua
Realizar el aseguramiento de calidad ellos diferentes tipos de actividades
Documentación depruebas de sistemas
Revisiones y reportes deaseguramiento de calidad
Definición y mantenimiento de plan de calidad
Promover la filosofíade mejora continua
Realizar el aseguramiento de calidad ellos diferentes tipos de actividades
Promover la filosofíade mejora continua
Realizar el aseguramiento de calidad ellos diferentes tipos de actividades
2.4.2.2. PROCESAR LA ADQUISION E IMPLEMENTACION DE LA TI
D2AI1 Identificacion desoluciones Automatizadas
D2AI2 Adquisicion y Mantenimientodel Software Aplicativo
D2AI3 Adquisicion y Mantenimientode la Infraestructura Tecnologica
D2AI4 Desarrollo yMantenimiento de Procesos
D2AI5 Instalacion yAceptacion de los Sistemas
DTI
D2AI6 Administracion de losCambios
<<include>>
<<include>> <<include>>
<<include>>
<<include>>
25
a) D2AI1 Identificación De Soluciones AutomatizadasActividades de AI1: Elaboración de soluciones automatizadas
Determinar Requerimientos de Informacionpara aprobacion de un proyecto
Analizar grado de satisfaccion delos requerimientos del negocio
Arquitectura de Informacion
Modelado de datosal definir soluciones
Analizar lafactibilidad
Modelado de datosal definir soluciones
Analizar lafactibilidad
Controlar la seguridad enrelacion a costos-beneficios
Determinar mecanismos deprotecion de datos sensitivos
Contratar personal
Adquirir productosde buena calidad
Adquirir productos enexcelente estado
Adquirir productosde buena calidad
Adquirir productos enexcelente estado
Instalaciones y tecnologias
Elaborar contratocon proveedor
Acordar un plande Aceptacion
Elaborar contratocon proveedor
Acordar un plande Aceptacion
26
b) D2AI2 Adquisición y Mantenimiento del Software Aplicativo
Actividades de AI2: Adquisición y mantenimiento del software aplicativo
Requerimiento de Archivo
Verificarentrada
Procesar datosde entrada
Emitir salida
Adquirir requerimientos del usuario
Realizar correctoanalisis del usuario
Obtener softwareclaro y eficaz
Realizar correctoanalisis del usuario
Obtener softwareclaro y eficaz
Verificarentrada
Procesar datosde entrada
Emitir salida
Interfase usuario-maquina
Asegurar facil uso del software
Generar Autodocumento
Asegurar facil uso del software
Generar Autodocumento
PersonalizarPaquetes
Realizar pruebas funcionales de acuerdocon el plan de prueba del proyecto
Controlar aplicacion yrequerimientos funcionales
Documentar materiales de deconsulta y soporte para el usuario
27
c) D2AI3 Adquisición y Mantenimiento de la Infraestructura Tecnológica
Actividades de AI3: Adquisición y mantenimiento de la infraestructura tecnológica
Identificar y Evaluar tecnologia para elimpacto del nuevo hardware o software
Elaborar Mantenimientopreventivo del hardware
Elaborar medidadas de seguridadante los datos almacenados
d) D2AI4 Desarrollo y Mantenimiento de ProcesosActividades de AI4: Desarrollo y Mantenimiento de Procedimientos
Elaborar manuales de Procedimientosde usuarios y controles
Elaborar Materiales deentrenamiento
28
e) D2AI5 Instalación y Aceptación de los Sistemas
Actividades de AI5: Instalación y Aceptación de los Sistemas
Capacitar al personal de acuerdo alplan de entrenamiento
Realizar actulizacion del sistema anterior al sistema nuevo
Conversion Cargar datosConversion Cargar datos
Realizar pruebas especificas al sistema
Cambios Desempeño AceptacionFinal
OperacionalProducir Productosatisfactorio
Cambios Desempeño AceptacionFinal
OperacionalProducir Productosatisfactorio
Acreditar pruebas y niveles deseguridad para los sistemas
Realizar Revicionespost-implementacion
29
f) D2AI6 Administración de los Cambios
Actividades de AI6: Administración de los cambios
Identificar cambios
Solicitudes de cambios
Procesarcategorizacion
Procesar priorizacion yemergencia
Procesarcategorizacion
Procesar priorizacion yemergencia
Evaluar impacto queprovocaran los cambios
Autorizar cambios
Manejar liberacion de software
Regir procedimientosformales
Aseguraraprobacion
Empaque
Pruebas deregresion
Entrega
Regir procedimientosformales
Aseguraraprobacion
Empaque
Pruebas deregresion
Entrega
Manejar Distribucion de Software
Establecer medidasde control
Establecer lugarcorrecto
EstablecerTiempo
Establecer medidasde control
Establecer lugarcorrecto
EstablecerTiempo
30
2.4.2.3. PROCESAR PRESENTACIONES Y SOPORTE DE TI
D3PS12: Administración delas instalaciones
D3PS13: Administración dela operación
D3PS1: Definición deniveles de servicio
D3PS2:Administración deservicios prestados por terceros
D3PS3: Administración dedesempeño y capacidad
D3PS4: Asegurar el ServicioContinuo
D3PS5: Garantizar laseguridad de sistemas
D3PS6: Educación yentrenamiento de usuarios
D3PS7: Apoyo y asistenciaa los clientes de TI
D3PS8: Apoyo y asistenciaa los clientes de TI
D3PS9: Administración de laconfiguración
D3PS10: Administración deProblemas
D3PS11: Administración deDatos
DTI
<<include>>
<<include>>
<<include>>
<<include>><<include>>
<<include>>
<<include>>
<<include>>
<<include>>
<<include>>
<<include>>
<<include>>
31
32
A. D3PS1: Definición de niveles de servicio:(Establecer convenios de niveles de servicio que formalicen el desempeño)
33
34
B. D3PS2: Administración de servicios prestados por terceros:
Realizar contratos entre la organizacion y elproveedor de la administracion de las instalaciones
Realizar acuerdosde confidencialidad
Establecer requerimientoslegales regulatorios
Monitorear la entregade los servicios
Definir y controlar las tareas y responsabilidades de las terceras partes para satisfacer los requerimientos del negocio
Realizar contratos entre la organizacion y elproveedor de la administracion de las instalaciones
Realizar acuerdosde confidencialidad
Establecer requerimientoslegales regulatorios
Monitorear la entregade los servicios
35
C. D3PS3: Administración de desempeño y capacidad:
Controlar el manejo de capacidad para alcanzar el desempeño deseado
Verificar los requerimientosde disponibilidad
Realizar Monitoreo y reportede los recursos de TI
Utilizar herramientas demodelado apropiadas
Administrar la capacidad
Establecer procesode planeación
Realizar revision de desempeño ycapacidad de hardware
Asegurar capacidad justificableeconómicamente
Prevenir perdida dedisponiblidad
Verificar los requerimientosde disponibilidad
Realizar Monitoreo y reportede los recursos de TI
Utilizar herramientas demodelado apropiadas
Administrar la capacidad
Establecer procesode planeación
Realizar revision de desempeño ycapacidad de hardware
Asegurar capacidad justificableeconómicamente
Establecer procesode planeación
Realizar revision de desempeño ycapacidad de hardware
Asegurar capacidad justificableeconómicamente
Prevenir perdida dedisponiblidad
36
D. D3PS4: Asegurar el servicio continuo:
Establecer un plan de continuidad que esté alineado al plan y requerimientos del negocio
Realizar planificación deseveridad
Documentar todo elplaneamiento
Establecer procedimientosalternativos
Realizar respaldos yrecuperación
Realizar pruebas yentrenamiento
37
E. D3PS5: Garantizar la seguridad de sistemas:
Salvaguardar la información contra uso no autorizados
Restringir el uso de losrecursos de TI
Generar perfiles deidentificación de usuario
Administrar llavescriptográficas
Manejar, crear reporte yseguimiento de incidentes
Establecer medidas de controly prevencion de virus
Redespublicas?
Utilizarfirewalls
38
F. D3PS6: Educación y entrenamiento de usuarios:
Asegurar que los usuarios hagan uso efectivo de las TI
Identificar las necesidades deentrenamiento
Documentar las necesidadesde entrenamiento
Planeamiento de las sesiones de entrenamiento
Definir gruposobjetivo
Identificarentrenadores
Asignarentrenadores
Organizar oportunamente lassesiones
39
G. D3PS7: Identificación y asignación de costos:
Implementar Sistema de contabilidad
RegistrarCostos
Calcularcostos
Asignar niveles dedetalle requeridos
Identificar los costos atribuibles a los servicios de TI
Clasificar los elementossujetos a cargo
Establecerpoliticas de catgo
Definirtarifas
Implementar procedimientos decosteo de prestar servicios
40
H. D3PS8: Apoyo y asistencia a los clientes de TI:
Br in d a r so p o r te y a s es o r ía a los c lien te s d e T I
M o n ito r iea r la s co n su lta sd e c lien te s
R e as ig n a r a l n ive l a d e cu a dop a ra a te n d e r la
Pu e d en se rre su e lta s?
G e n e ra r re p o rte y a ná lis is d ela s te n d en c ia s
41
I. D3PS9: Administración de la configuración:
Administrar todos los activos de las TI
Registraractivos de TI
Administrar Cambios enla configuración
Buscar softwareno autorizado
Establecer un área dealmacenamiento de software
42
J. D3PS10: Administración de Problemas:
Implementar un sistema de manejo de errores
Registrar problemapresentado
Realizar seguimientode las causas
Generar reportede solución
43
K. D3PS11: Administración de Datos:
Asegurar que los datos cumplan el ciclo completo de entrada hasta la salida yalmacenamiento
Diseñar formatosde entrada
Controlar losdocumentos fuentes
Validar datos deentrada
Generar un registro fisico delas transacciones
44
L. D3PS12: Administración de las instalaciones:
45
M. D3PS13: Administración de la operación:
Asegurara las funciones importantes de las TI
Calendarizar lasactividades de soporte
Documentar lasoperaciones
Revisarperodicamente las TI
46
2.4.2.4. PROCESAR MONITOREO Y CONTROL DE TI
47
A. Monitoreo del proceso:
48
B. Evaluar lo adecuado del Control Interno:
49
C. Obtención de Aseguramiento Independiente:
Incrementar la confianza entre la organización y el cliente
Obtener certificación oacreditación
Realizar evaluacionesrutinarias
50
D. Proveer Auditoría independiente:
top related