Download - Proyecto auditoria JM-RA
INSTITUTO POLITECNICO SANTIAGO MARIÑO.
EXTENSION PORLAMAR
ESCUELA: INGENIERIA DE SISTEMAS
CATEDRA: AUDITORIA Y EVALUACION DE SISTEMAS
AUDITORIA
Autores:
Juan Carlos Martínez
Rosmary Astudillo
Porlamar, 26 de enero de 2013
INTRODUCCIÓN
Hoy en día la calidad de vida del ser humano está estrechamente relacionada
con la calidad del agua que consume; por lo que la necesidad de consumir agua
potable existe en todas partes del mundo. En áreas afectadas por la contaminación o
desabastecimiento de la misma, muchas industrias y comercios la requieren en
grandes cantidades; convirtiéndose en un elemento vital para el ser humano, desde lo
concerniente a la higiene hasta las más esenciales necesidades humanas.
Navica es un agente autorizado de agua divina, que dispone de un servicio de
venta y transporte de carga de agua y bebidas refrescantes a nivel insular y regional,
buscando satisfacer las exigencias de quienes la consumen.
Tomando en cuenta la dependencia de las empresas modernas, sobre las
tecnologías de información y comunicación para obtener ventajas competitivas y
llevar a cabo sus actividades de administración diarias se propone realizar una
auditoría informática en la empresa Navica con el objetivo de exponer las fortalezas y
debilidades de su sistema de administración informática, utilizando como modelo de
referencia COBIT 4.1, en sus cuatro dominios (planear y organizar, adquirir e
implementar, entregar y dar soporte, y monitorear y evaluar).
El objetivo de este trabajo es buscar el aprovechamiento máximo de los
recursos tecnológicos con los que cuenta la empresa y el equipo humano que lo
emplean en sus tareas diarias.
CAPÍTULO I
PLANTEAMIENTO DEL PROBLEMA
Características de la Empresa
Naturaleza de la Empresa
NAVI C.A. es una empresa venezolana que presta sus servicios a nivel insular y
regional en áreas que requieren la venta y distribución de agua potable y bebidas
refrescantes. Se considera un distribuidor autorizado de AGUADIVINA, con un
capital 100% venezolano, que cuenta con una amplia experiencia en el ramo de
manejo y distribución de carga, además, de una larga trayectoria y una excelente
cartera de clientes en la Isla de Margarita, Venezuela.
Nace a medianos del 2006 para brindar un servicio de calidad con atención
personalizada e inmediata a sus clientes, con despacho personalizado y a domicilio de
botellones de agua y bebidas refrescante en las siguientes presentaciones:
Botellón retornable de plástico de 19 litros. Ideal para hogares y empresas.
Botella desechable desde 355 ml hasta 5 lts para todo uso.
Adicionalmente, ofrece la posibilidad de mover cargas de mercancía, víveres,
equipos u otros, a lo largo y ancho del territorio nacional a través de una moderna
flota de carga.
Ubicación Geográfica
La oficina de NAVI C.A. se encuentra ubicada en la Urb. Paraíso II, Av. San
Martín, Edf. Juan Andrés, piso 1, oficina 4. Pampatar, Isla de Margarita - Estado
Nueva Esparta – Venezuela
Ubicación aproximada, captada a través del mapa del buscado web de
google.com: (Ver imagen 1)
Imagen 1: Autor: Mapa Google.com. Fuente:
http://maps.google.co.ve/maps?hl=es&tab=wl
Misión
Según www.sedapal.com.pe, página electrónica: La Misión define a qué se
dedica la empresa u organización, las necesidades que cubre con sus servicios, el
mercado en el cual se desarrolla y a quien sirve con su funcionamiento.
“Ofrecer un excelente servicio de venta y distribución de agua potable en la isla
de Margarita-Venezuela, y en el mercado de transporte terrestre de carga en el
territorio nacional.”
Visión
Continuando con las definiciones de www.sedapal.com.pe, la Visión es la
idealización del futuro de la empresa. Define y describe la situación futura que desea
tener la organización. El propósito de la visión es guiar y alentar a la organización en
su conjunto para alcanzar el estado deseable de la misma.
“Consolidarse como empresa líder en el mercado de transporte terrestre en el
servicio de agua potables y otros, brindando un mejor servicio cada día, con una
amplia flota de vehículos y personal capacitado para brindar atención personalizada e
inmediata a todos los clientes y aliados comerciales a lo largo y ancho del territorio
nacional e insular”.
Objetivos Estratégicos
Desarrollar estrategias para ampliar el número de clientes.
Realizar actividades con el grupo de trabajo de la empresa para mejorar el
nivel de servicio.
Planear ofertas.
Aprovechar el buen clima para realizar las actividades de transporte terrestre.
Adquirir equipo tecnológico para manejar las actividades de facturación,
llenado de libros contables, pago de nomina, entre otros.
Análisis FODA (Fortalezas, Oportunidades, Debilidades y Amenazas)
Según milagrosazzi.aprenderapensar.net, documento en línea: El Análisis
FODA es una metodología de estudio de la situación competitiva de una empresa en
su mercado (situación externa) y de las características internas (situación interna) de
la misma, a efectos de determinar sus Fortalezas, Oportunidades, Debilidades y
Amenazas. (Ver Cuadro 1)
ANÁLISIS INTERNO
FORTALEZAS DEBILIDADES
Negocio rentable.
Alto nivel de compromiso y
predisposición para brindar sus
servicios.
Ingresos económicos altos que
Falta de estrategias claras de venta.
No se realice una adecuada
planificación de las rutas de venta de
agua potable a cubrir.
permiten contratar personal con
salarios superiores.
Tratamiento personalizado, con
personal capacitado.
Continuamente se presentan ofertas
a los clientes.
Complicaciones con el proveedor.
No se realice seguimiento a los
inventarios de mercancía y equipo
de trabajo.
ANÁLISIS EXTERNO
OPORTUNIDADES AMENAZAS
Costos operativos cada vez menores
por la aplicación de tecnologías de
información.
Fidelidad de los clientes para con la
empresa.
Aumento de la demanda.
Ofertas de productos a menor precio
por parte de la competencia.
Cambios repentinos del precio de
agua.
Aumento de la competencia.
Altos costos en los permisos.
Cuadro 1: Análisis FODA. Fuente: Elaboración Propia.
Metas Organizacionales
Corto plazo
Satisfacer la demanda de los clientes y empresas asociados.
Mediano plazo
Ampliar la cartelera de productos a la venta y rutas de transporte a cubrir.
Largo plazo
Incrementar la cobertura del servicio de agua potable y transporte de carga,
mejorando las operaciones actuales.
Organigrama de la Empresa
A continuación se presenta la organización jerárquica de la organización en la
imagen 2: (Ver Imagen 2)
Imagen 2. Organigrama de la Empresa. Fuente: NAVI C.A.
Descripción de los Procesos y Funciones
Presidente
El presidente personal con mayor jerarquía en la empresa, vela por el correcto
funcionamiento de todas las areas de la empresa, participando activamente en las
actividades de la junta directiva, dirigiendo la toma de decisiones, aceptando y
rechazando actualizaciones en los registros, procesos y TI. Además de recibir a
cualquier empleado el cual deba señalar cualquier actividad irregular y este no desee
hacerlo a su superior inmediato, en tal caso el gerente de dicho departamento.
Junta Directiva
La Junta Directiva es la encargada de dirigir el entorno de toda la organización
desarrollando planes de acción, ejecutando constantes controles internos en cada area
de la organización, tomando decisiones en fallas esperadas e inesperadas producto de
los planes de operación empresarial. Por otro lado, esta alta gerencia se encarga de
recibir los informes provenientes de los análisis de auditoria y los de registros
contables, para que en los puntos que se hayan identificado fallas sean analizados en
conjunto de la presidencia para darle la solución adecuada.
Por otro lado, la junta directiva es la encargada de servir como ejemplo a cada
departamento y empleado de cómo actual de una manera eficaz y eficiente, para
alcanzar de esta manera los objetivos colectivos e individuales definidos en cada
etapa nueva de trabajo. Además, se deben establecer los tiempos y momentos
adecuados para que todos los empleados sean llevados a cursos y talleres para
aumentar sus conocimientos y presten un mejor servicio en sus puestos de trabajo en
la empresa.
Firmas Externas (Contadores-Auditores)
Las Firmas Externas, se encargan de realizar labores de revisión y control de las
operaciones internas en cada área de la empresa (Auditores) para corregir posibles
filtros de información que puedan afectar a futuro la operatividad de la empresa. Por
otro lado, las actividades de registro contable (Contable) una vez analizadas son
presentadas a través de libros contables y su correspondiente informe de ganancias y
pérdidas lucrativas a junta directiva y presidencia. Ambas firmas una vez presentados
los informes, dan a conocer sus recomendaciones a la alta gerencia para evitar que se
produzcan los errores identificados en las operaciones de la empresa.
Computación
El departamento de computación, es el encargado de generar los planes de
recuperación de desastres avalados por la junta directiva en caso de que se produzcan
dalos graves al sistema de información. Además, se identifica que así como se tienen
plantes de recuperación, se encuentran también planes para evitar daños a la IT.
Además, de realizar la instalación y mantenimiento de la red con la que cuenta la
empresa-
Por otro lado, el departamento de computación, es el encargado del correcto
funcionamiento del sistema contable sin realizar modificaciones al código fuente ya
que dicho sistema pertenece a la firma contable.
En cuanto al funcionamiento del sistema de información de la empresa, este es
dirigido en conjunto del departamento de computación y el departamento de
administración, donde el administrador identifica los módulos del sistema que hay
que actualizar, crear o eliminar y el gerente computacional se encarga realizar dichos
ajustes.
Administración
El departamento de administración, se encarga de la correcta ejecución de los
planes de acción diseñados por la alta gerencia, así como de generar los reportes de
aprobación de recursos que se necesiten para el funcionamiento de los demás
departamento que conforman la organización. Por otro lado, el administrador además
de dirigir los planes de acción, participa activamente en el departamento de
computación, específicamente en la TI utilizada por cada empleado en la empresa.
El administrador tiene contacto directo con la junta directiva, esto no quiere
decir que pertenezca a la misma, ya que en las normas de la empresa no se permite
que ningún gerente pertenezca a la alta gerencia, lo cual pueda prestarse para alterar
resultados y conclusiones de los controles internos y auditorias.
RHH
Departamento encargado del bienestar del empleados y la correcta operatividad
de los mismos en la organización, señalando que es un intermediario para asignar
bonificaciones, asensos, sanciones, despidos, entre otros.
Marketing
Departamento encargado de realizar las ventas bajos los planes administrativos
diseñados por la alta gerencia, además de controlar y dirigir todas las actividades y
puntos asignados a los vendedores teniéndolos bajos comunicación constante sobre
las ventas y operaciones finiquitadas día a día.
Modelo de Madurez
Una necesidad básica de toda empresa es entender el estado de sus propios
sistemas de TI y decidir qué nivel de administración y control debe proporcionar.
Para decidir el nivel correcto, la gerencia debe preguntarse: ¿Hasta dónde debemos
ir?, y ¿está el costo justificado por el beneficio?. La obtención de una visión objetiva
del nivel de desempeño propio de una empresa no es sencilla, por ello COBIT atiende
estos temas a través de:
Modelos de madurez.
Metas y mediciones de desempeño para los procesos de TI.
Metas de actividades para facilitar el desempeño efectivo de los procesos.
Los modelos de madurez, facilitan la evaluación por medio de benchmarking y
a identificación de las mejoras necesarias en la capacidad. En cuanto a la gerencia,
constantemente está buscando herramientas de evaluación para benchmarking y
herramientas de auto-evaluación como respuesta a la necesidad de saber qué hacer de
manera eficiente. Este modelo de control se puede evaluar de un nivel no existente (0)
hasta un nivel optimizado; este modelo es derivado del Software Engineering
Institute definió para la madurez de la capacidad del desarrollo de un software.
Este modelo de COBIT no busca medir los niveles de forma precisa o probar a
certificar que un nivel se ha conseguido; lo cual resultara en un perfil donde las
condiciones relevantes de los niveles de madurez se han conseguido, tal como se
muestra en el siguiente ejemplo: (Ver Imagen 3)
Imagen 3. Niveles de Modelos de Madurez de COBIT. Fuente: Augusto Martin
Estas escalas pueden variar según las necesidades del auditor, sin embargo,
deben ser claras, precisas y fáciles de entender para lograr un consenso amplio y que
motiven la mejorar de TI. Estos niveles, en el modelo genérico de COBIT se
describen a continuación:
1 No Existe
Carencia completa de cualquier proceso reconocible. La empresa ni ha
reconocido siquiera que existe un problema a resolver.
2 Inicial
Existe evidencia que la empresa ha reconocido que los problemas existen y
requieren ser resueltos. Sin embargo, no existen procesos estándar en su lugar existen
enfoques que tienden a ser aplicados de forma individual o caso por caso. El enfoque
general hacia la administración es desorganizado. Existe un alto grado de confianza
en el conocimiento de los individuos y, por lo tanto, los errores son muy probables.
3 Definido
Los procedimientos se han estandarizado y documentado, y se han difundido a
través de entrenamiento. Sin embargo, se dejan que el individuo decida utilizar estos
procesos, y es poco probable que se detecten desviaciones. Los procedimientos en si
no son sofisticados pero formalizan las prácticas existentes.
4 Administrado
Es posible monitorear y medir el cumplimiento de los procedimientos y tomar
medidas cuando los procesos no estén trabajando de forma efectiva. Los procesos
están bajo constante mejora y proporcionan buenas prácticas. Se usa la
automatización y herramientas de una manera limitada o fragmentada.
5 Optimizado
Los procesos se han refinado hasta un nivel de mejor práctica, se basan en los
resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se
usa de forma integrada para automatizar el flujo de trabajo, brindado herramientas
para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera
rápida.
Auditoria de TIC`s con COBIT
Área a Auditar
La auditoría realizada por Rosmary Astudillo y Juan Martínez será en el
“Departamento de Computación”, debido que de allí es que se controla, dirige y
administra la TI de la empresa NAVI C.A.
Reclutamiento de la Información
Primeramente se aplico la observación directa para luego utilizar guía de
entrevista con el personal de la junta directiva y el gerente del “Departamento de
Computación” de NAVI C.A y de esta manera poseer mayor conocimiento sobre la
TI utilizada en la empresa. Por otro lado, el gerente de computación proporciono al
azar informes entregados por auditores sobre el departamento en cuestión y la TI;
estos informes fueron una herramienta de importancia para la ejecución de la presente
auditoria.
Documentos de Gestión del Departamento de Computación
NAVI C.A en su “Departamento de Computación”, se encuentran los registros
producto de:
Controles internos.
Auditorias.
Reload de software.
Reload de las TI.
Reload de las TIC`s.
Presupuestos solicitados a administración para el reemplazo de equipos.
Informes detallados de información actualizada, removida y borradas
aprobadas por presidencia avaladas con la firma del director.
Registros de información semanal (memorias externas).
Registros de información mensual y trimestral relevante, confidencia e
importante para el funcionamiento operacional de la organización, como respaldo a
posibles riesgos tanto naturales como a riesgos de accesos no permitidos.
Seguridad de Datos y Equipo de Computo
Para el plan del desarrollo de la auditoria, se cuenta con la asistencia del gerente
del “Departamento de Computación” y los empleados que laboran en dicha área. Las
actividades que se llevaran a cabo se describen en el cuadro 2: (Ver Cuadro 2)
Cuadro 2. Actividades a Ejecutar en el Desarrollo de la Auditoria.
Herramientas y Técnicas
Herramientas
Las herramientas a utilizar para la recolección de información son:
Sistema Operativo Windows 7.
Microsoft Office 2007.
Block de Notas.
Lapiceros.
Hojas Blancas.
Técnicas
Las técnicas a utilizar para la recolección de información son:
Observación Directa.
Guía de Entrevista.
Motivo o Necesidad de una Auditoria Informática
Certificar los informes presentados de auditorías anteriores y los
correspondientes controles internos dictaminados por la Junta Directiva.
Búsqueda brechas de seguridad no identificadas en auditorias y controles
internos efectuados con anterioridad.
Modelo de Madurez a Nivel Cualitativo (COSO)
A continuación se representa en el cuadro 3 (Anexo 1) el impacto de los
objetivos de control de COBIT4.1 sobre los criterios y recursos de TI. La
nomenclatura utilizada en los criterios de información para esta tabla es la siguiente
(P), cuando el objetivo de control tiene un impacto directo al requerimiento, (S),
cuando el objetivo de control tiene un impacto indirecto es decir no completo sobre el
requerimiento, y finalmente () vacío, cuando el objetivo de control no ejerce ningún
impacto sobre el requerimiento, en cambio cuando se encuentra con (X) significa que
los objetivos de control tienen impacto en los recursos, y cuando se encuentra en
blanco (), es que los objetivos de control no tienen ningún impacto con los recursos.
(Ver Cuadro 3, Anexo 1).
Por otro lado, se organizaran los criterios de de la información, asignando un
porcentaje a los distintos valores de impacto identificados en el cuadro 3. Este
porcentaje se establecerá en base a la propuesta metodológica para el manejo de
riesgos COSO (Sponsoring Organizations of the Treadway), como se muestra en el
cuadro 4: (Ver Cuadro 4)
Cuadro 4. Promedio de Impactos. Fuente COBIT 4.1
IMPACTO PROMEDIO
41% 41% ALTO 75
42% 55% ALTO 67
49% 35% MEDIO 60
96% 3% MEDIO 62
CALIFICACION
CAPITULO II
EJECUCION DE LA AUDITORIA
Departamento de Computación
Situación Actual del Departamento
El Departamento de Computación, es un área fundamental para la organización
debido que allí es donde se administra la TI, las redes, los respaldos de información,
entre otras actividades, las cuales concentran gran cantidad de información
confidencial y de uso general para cada Área Funcional de la empresa en estudio.
Cargos Funcionales y Operativos
Los trabajadores con los que cuenta el Departamento de Computación son:
1 Gerente: director del departamento, el cual debe dirigir las operaciones de su
oficina y velar por el correcto uso de los equipos por los demás empleados a través de
charlas e inducción si es que realizan instalaciones o reemplazos con equipos y
programas nuevos. Además, supervisa las actividades llevadas a cabo por su grupo de
técnicos especializados en distintas áreas informáticas.
Por otro lado, debe permanecer en constante comunicación con el departamento
de administración notificando irregularidades y actualizando o creando módulos en la
TI solicitados por el administrador previo análisis y estudio.
3 Técnicos Especializados: empleados, especializados en áreas de redes,
computación y electrónica, los cuales ejecutan las operaciones dictaminadas por el
gerente del departamento.
Objetivos del Departamento
Los objetivos asignados al departamento por la Junta Directiva son:
Diseñar, mantener y dirigir el plan estratégico de la TI y del sistema contable.
Mantener el personal actualizado en cuanto a los avances tecnológicos
documentándolos a través de investigaciones, cursos, charlas, entre otros.
Proporcionar informe a la Junta Directiva, donde se recomiendo la
adquisición, reemplazo o actualización de hardware y software tanto para el
departamento como para las demás áreas de la empresa.
Realizar el análisis de datos, correspondiente a los sistemas informáticos,
facilitando su posterior estudio en la Junta Directiva y futuras Auditorias.
Mantener en correcto funcionamiento de la red con la que trabaja NAVI C.A,
además de solucionar cualquier eventualidad en la red, topología, direccionamiento,
entre otros, que pudiese detener la operatividad de la empresa.
Mantener actualizado los registros computarizados, la TI y los respaldos de
información en unidades externas semanales y mensuales.
Almacenar digitalmente los informes contables, de los controles internos, de
las auditorias y otros documentos legales.
Asimismo, como se plantean los objetivos de la Junta Directiva anteriormente
citados, el departamento define sus objetivos individuales como departamento y los
objetivos personales de cada empleado que lo conforma. En este aspecto, se señala
que los objetivos pueden variar en cuanto a la aplicabilidad, pero siempre en busca de
alcanzar el bienestar y crecimiento operacional de la empresa.
Organigrama del Departamento
En la imagen 4 se muestra la organización jerárquica y operacional que
persigue el departamento de computación en la empresa NAVI C.A:
Imagen 4. Organigrama Departamental. Fuente: NAVI C.A
Seguridad del Departamento
Seguridad Física
Entre las medidas de seguridad física con las que cuenta el departamento de
computación se encuentran:
Sistema de alarmas de detección de incendio.
Puntos clave tanto en el departamento como en toda la oficina con extintores
avaluados por el cuerpo de bomberos del estado Nueva Esparta.
Todos los puntos de corriente fueron instalados con un UPS interno para
evitar la pérdida de información y daños en los equipos por altibajos eléctricos.
El servidor, computadores, impresoras y demás equipos electrónicos cuentan
con los espacios adecuados, con correcto posicionamiento del cableado.
Seguridad Legal
Entre las medidas de seguridad legal con las que cuenta el departamento de
computación se encuentran:
El gerente hace uso de estándares de seguridad de datos y calidad de la
información.
La empresa cuenta con licencias legales para el uso del sistema operativo
Windows.
Las auditorias, se dejan asentadas por escrito en documentos legales para
asegurar su valides.
Todos los equipos electrónicos, dispositivos, comunicadores, entre otros, al
llegar a la oficina de NAVI C.A son almacenadas las facturas tanto en físico como
digitalmente.
Seguridad de Datos
Entre las medidas de seguridad de datos aplicadas en el departamento de
computación se encuentran:
Respaldo Semana de las operaciones de TI y actividades contables.
Respaldo relevante de datos en unidades de almacenamiento externo.
La TI, sistemas contable y de información cuenta con niveles de acceso para
los usuarios para evitar la pérdida, daño o robo de datos en la organización.
Seguridad de Personas
Entre las medidas de seguridad del personal en el departamento de computación
se encuentran:
Revisión en el transcurso del año de los equipos y alarmas contra incendios.
Adiestramiento al personal de salidas de emergencia y protección en caso de
desastres naturales.
Entre otros.
Caracterización de las Tecnologías de Información y Comunicación
La caracterización de las TI y canales de comunicación son:
Recursos Humanos
Área Laboral Cargo / Trabajador Titulo Tiempo/Servicio
Departamento
Computación
Gerente Ingeniero en
Computación
3 años.
Departamento
Computación
Técnico Electrónica Ingeniero
Electrónico.
3 años.
Departamento
Computación
Técnico Computación Ingeniero de
Sistemas.
1 año.
Departamento
Computación
Técnico de Red. Técnico
Informático.
1 año.
Departamento
Administración
Gerente Licenciado en
Administración.
5 años.
Departamento
de Marketing
Gerente Licenciado en
Administración.
3 años.
Departamento
de Marketing
Secretaria Bachiller. 2 años.
Departamento
RHH
Gerente Ingeniero de
Procesos.
5 años.
Departamento
RHH
Secretaria Licenciada en
Informática
1 año.
Cuadro 5. Recursos Humanos relacionados con el Departamento de
Computación. Fuente: NAVI C.A
b- Hardware
Nombre
del Equipo
Características Utilidad
PC0
Procesador Intel Core Duo 2.0GHz
Servidor Memoria RAM 2 GB
HDD 1 TB
PC1, PC2,
PC3, PC4,
PC5, PC6,
PC7, PC8,
PC9
Procesador Intel Core Duo 2.0GHz PC para
administrar sistema
de información en
cada área
relacionada con el
departamento de
computación.
Memoria RAM 1.5 GB
HDD 512 GB
Monitor Samsung SncMaster 2033
Impresora impresora Lexmark
Multifuncional X646
Cuadro 6. Hardware de PC y Servidores en la Red. Fuente: NAVI C.A
Software
Nombre del Equipo Sistema Operativo
PC0 Linux Centos Versión 5.2
PC1, PC2, PC3,
PC4, PC5, PC6,
PC7, PC8, PC9
Microsoft Windows Seven
Ultimate
Cuadro 7. Software de PC y Servidores en la Red. Fuente: NAVI C.A
Topología de la Empresa
La empresa con el servicio de internet ABA de la empresa Cantv, donde la
topología de red aplicada es la de tipo estrella, tal como se muestra en la imagen 4:
(Ver Imagen 4)
Imagen 5. Topología de Red Estrella Aplicada en la Organización. Fuente NAVI
C.A
Caracterización de la Carga
La empresa cuenta con un servidor el cual asigna las direcciones IP, Mascara y
Gateway correspondiente a cada computador de las distintas áreas. Es de hacer notar
que aunque los equipos se encuentran en oficinas diferentes los diferentes gerentes
pueden acceder a sus módulos departamentales desde otras oficinas ya que cada
usuario posee un nivel de acceso correspondiente a su jerarquía y departamento al
cual pertenezca.
Determinación de Hipótesis
En la búsqueda de datos se evidencio un departamento sumamente seguro tanto
a nivel físico como en la confidencialidad de los datos; además los registros de
auditorías y controles internos han arrojando excelente resultados en cuanto a la
correcta ejecución del plan estratégico definida por la junta directiva.
Sin embargo, se identificaran posibles fugas de información debido a técnicas
aplicada en la TI que debieran ser corregidas y tenerlas presentar para un posterior
análisis.
Realización de la Auditoria
Modelo de Madurez de los Procesos
A continuación se mostrar el análisis de los diferentes objetivos de COBIT 4.1,
en los siguientes cuadros:
Cuadro 8. PO1 de COBIT 4.1
Cuadro 9. PO2 de COBIT 4.1
Cuadro 10. PO3 de COBIT 4.1
Cuadro 11. PO4 de COBIT 4.1
Cuadro 12. PO5 de COBIT 4.1
Cuadro 13. AI1 de COBIT 4.1
Cuadro 14. AI2 de COBIT 4.1
Cuadro 17. AI4 de COBIT 4.1
Cuadro 18. AI5 de COBIT 4.1
Cuadro 19. DS1 de COBIT 4.1
Cuadro 22. DS4 de COBIT 4.1
Cuadro 23. DS5 de COBIT 4.1
Cuadro 24. ME1 de COBIT 4.1
Cuadro 25. ME2 de COBIT 4.1
Cuadro 26. ME3 de COBIT 4.1
Cuadro 27. ME4 de COBIT 4.1
Reporte General de Grados de Madurez
Los grados de madurez en los diferentes objetivos de COBIT 4.1 aplicados en
la empresa, se presentan a continuación en el cuadro 28: (Ver Cuadro 28)
Cuadro 28.Reporte General de Grados de Madures de la empresa NAVI C.A.
Resumen de Análisis por Dominio
Dominio: Planear y Organizar (PO)
NAVI C.A a alcanzado en el dominio PO, un alto nivel en su planes
estratégicos, sin embargo existen áreas que todavía faltan impulsar hacer mayor
seguimiento para equiparar con las demás que se encuentran en su punto optimo.
Dominio: Adquirir e Implementar (AI)
En este dominio, la empresa NAVI C.A se encuentran con una buena dirección
operacional basándose estrictamente en la adquisición e implantación de herramientas
en base a las necesidades de los planes estratégicos definidos por la Junta Directiva;
sin embargo, se recomida ampliar la visión mas allá de las necesidades de estos
planes para identificar si herramientas más avanzadas o nueva puedan alcanzar un
objetivo más optimo u otros puntos de interés de la empresa.
Dominio: Entrega y Dar Soporte (DS)
En este aspecto NAVI C.A, se encuentra en un nivel casi óptimo donde se
evidencia el interés de la Alta Gerencia por la satisfacción a clientes y el crecimiento
interno para prestar cada periodo un mejor servicio.
Dominio: Monitorear y Evaluar (ME)
A través de la auditoría realizada a la empresa NAVI C.A, se evidencio la
importancia asignada por la alta gerencia al monitoreo y evaluación de la correcta
ejecución del gobierno que se planifica bajo estrictos niveles de importancia; otro
punto a señalar, es que la Junta Directiva afirma que un buen gobierno da como
productos un buen resultado, por ello la insistencia de la organización en revisiones,
controles y auditorias constantemente.
Análisis de los Criterios de Información
A continuación se presentara el análisis correspondiente a los criterios de
información:
Efectividad
La efectividad tuvo un criterio del 84,83%, por lo que se puede afirmar que los
procesos y planes diseñados por la alta gerencia de NAVI C.A es sumamente efectiva
la cual se encuentra en la última escala de operatividad; cabe destacar que todavía
existen fases en las cuales hay que hacer correcciones para alcanzar mayor
productividad.
Eficiencia
La eficiencia de la TI y los procesos de control y monitoreo se evidencia con un
87,26%, dando a entender que al ser dirigidos y gobernados eficientemente los
sistemas como los empleados los objetivos de la empresa se han alcanzado y
superado periodo tras periodo.
Confidencialidad
La confidencialidad de la información y procesos es un aspecto sumamente a la
empresa, por lo tanto para el acceso a la misma se han diseñado niveles de acceso a la
misma y esto se respalda tras una evidencia de control con valor de 86,25%, donde el
pequeño rango faltante para llegar al punto optimo es la falta de inversión en
herramientas y técnicas mas avanzadas que las que se identifican como necesarias
para la ejecución del plan estratégico, por lo tanto al cubrir esta falla, debería alcanzar
un nivel optimo dicho criterio.
Integridad
La integridad de la información y la TI, es casi optima, dicho resultado se
respalda tras las evidencias recolectadas las cuales alcanzaron un 85,29%, donde se
podría tener un mayor rango si se implantaran herramientas más avanzadas que las
actuales.
Disponibilidad
La disponibilidad de la información a través de la TI, se encuentra en un
porcentaje de 76,25 aunque se encuentran en un nivel excelente, este promedio podría
mejorar al actualizar los sistemas, ya que habría que modificar ciertas condiciones y
reemplazar equipos actuales por unos más sofisticados, sin embargo se identifica la
operatividad de este criterio como aceptable para la auditoria.
Cumplimiento
El cumplimiento del plan estratégico y los objetivos para el departamento de
computación (directamente a la TI), se encuentra en el ultimo nivel con un 83% de
correcta ejecución. Este resultado se evidencia debido a los constantes controles
internos y la correcta ejecución de auditorías en los tiempos establecidos por la alta
gerencia, donde los resultados son analizados y tomados en cuenta para ser aplicado a
corto plazo, si se llegasen a identificar como necesarios por la junta directiva.
Confiabilidad
Este criterio es uno de los mas importantes y además uno con el mayor rango en
evidencia operacional eficiente con un 90,20%, ya que tanto el departamento de
computación como la junta directiva, tienen planes tanto de operación diaria como
planes de emergencia al presentarse alguna falla y de esta manera asegurar la
continuidad operacional. Cabe destacar que la confiabilidad no es solo operacional
sino estratégica y de los datos almacenados.
Grafica de Impactos de Criterios de Información
A continuación se mostrara en la imagen 6, donde se representan los impactos
de los criterios de información analizados: (Ver Imagen 6)
Imagen 6. Impactos de los Criterios COBIT 4.1. Fuente: NAVI C.A
65
70
75
80
85
90
95
84,83 87,26 86,25 85,29 76,27 83 90,2
Impactos (Efectividad, Eficiencia, Confidencialidad, Integridad,
Disponibilidad, Cumplimiento y Confiabilidad)
Impactos (Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento y Confiabilidad)
CAPITULO III
ANALISIS DE LOS RESULTADOS
Informe Técnico
Alcance
El objeto de la presente auditoria es evaluar la situación actual del departamento
de computación de la empresa NAVI C.A, donde se entregaran las conclusiones y
recomendaciones a la empresa, la cuales será el resultado final de la investigación.
Objetivos
Objetivo General
Desarrollar auditoria a la TI utilizada en la empresa “NAVI C.A”, Porlamar,
estado Nueva Esparta, haciendo uso referencial del modelo COBIT 4.1
Objetivos Específicos
Identificar fallas operacionales y de control en el departamento de
computación de NAVI CA.
Analizar las fallas localizadas en el departamento de computación de NAVI
C.A
Exponer informe técnico y ejecutivo de las evidencias de auditoría.
Resultados de Evaluación haciendo uso del Modelo COBIT 4.1
Definir un plan estratégico de TI
El proceso de definir el plan estratégico de TI a alcanzando el nivel de madurez
5.
Conclusiones
Los planes estratégicos son desarrollados con efectividad constantemente donde
se determinar las características y fallas posibles proporcionando las posibles
soluciones beneficios y complicaciones que podría trae dicho plan, por lo tanto se
puede decir que la junta directiva, tiene un grupo bien desarrollado y organización
para diseñar propuestas en base a la realidad y recursos de la empresa.
Definir la arquitectura de la información
La organización ha identificado la importancia de definir una arquitectura para
el uso de la información, lo cual a alcanzado una madurez de nivel 5.
Conclusiones
La empresa cuenta con un personal con conocimientos necesarios para definir
la arquitectura necesaria para el correcto funcionamiento de la TI, donde se puede
concluir que dicha arquitectura es renovada periódicamente según las necesidades y
estudios realizados.
Determinar la dirección de la tecnológica de la empresa
La madurez de la dirección de la tecnología se encuentra en el nivel 4, ya que el
personal de computación posee la experiencia para el desarrollo de planes de
dirección.
Conclusiones
La madurez de dicha dirección se encuentra casi en el nivel óptimo; donde para
culminar y alcanzar un objetivo mayor la empresa debe ceder mayor liberta en las
decisiones de este rango al departamento de computación.
Definición de procesos, organización y la relación de la TI
El actividad de definir los procesos, organización y relación de la TI se
encuentran en el nivel de madure 5.
Conclusiones
Dicha organización dirige los procesos y relaciones de la TI con madurez y
realismo, donde han identificado la importancia del control para alcanzar los
resultados deseados.
Administración de la información de TI
El proceso de administrar la inversión de TI se encuentra en el nivel de madurez
3.
Conclusiones
Si la empresa desea superar el nivel de la TI deberá hacer investigación de TI
mas avanzadas para que sean implantadas así sobre pasen los requerimientos del plan
estratégico y de esa manera aseguro la operatividad optima de la misma.
Identificación de soluciones automatizadas
El proceso de identificación soluciones automatizas se encuentra en el nivel de
madurez 5.
Conclusiones
Seguir efectuando sus operaciones tan como la dirigen actualmente, donde se
toman en cuenta los resultados de auditorías y controles internos para la mejora de la
calidad de la TI.
Adquisición y administración de software aplicativo
El proceso de adquisición y administración de software se encuentra en el nivel
de madures 3. Se identifica la claridad en la necesidad en la adquisición de software
basado en el plan estratégico para el departamento de computación.
Conclusión
A pesar de que la empresa adquiero el software necesario para operar
correctamente en los planes estratégicos, la junta directiva debe tomar mayor interés
en los informes de solitud de los mismos por parte del departamento de computación
debido a que son los que poseen los conocimientos en esta área.
Facilitación de la operación y el uso
Dicho criterio, se encuentra en el nivel de madurez 5.
Conclusión
La operación y ejecución de este criterio se encuentra en un nivel óptimo, y se
recomienda mantenerlo en el mismo.
Adquisición de recursos de TI
El proceso de esta adquisición se encuentra en el nivel de madurez 4.
Conclusiones
Los estándares de adquisición de recursos para la operatividad de la TI se
encuentran en un nivel aceptable, el cual solo se debe ajustar solo en ciertos aspectos
poco relevantes.
Definición y administración de los niveles de servicio
Dicho proceso se encuentran en el nivel de madurez 5. Para NAVI C.A la
satisfacción del cliente es lo principal por ello se realizan monitoreos y mejoras
continuas en los servicios, por lo tanto, tanto equipos como los procesos y software
constantemente deben funcionar eficientemente.
Conclusiones
La mejoras de la empresa en cuanto a los servicios se evidencia correctamente
operativa.
Garantía de la continuidad del servicio
El proceso de garantizar la continuidad del servicio se encuentre en el nivel de
madurez 4.
Conclusiones
La asignación de responsabilidades es un tema que debe ser estudiado como
posible solución a situaciones en particular, sin dejar atrás que el delegar no quiere
decir olvidar el control y monitoreo.
Garantizar la seguridad de los sistemas
Dichos procesos se encuentran en el nivel de madurez 4.
Conclusiones
Se identifica una correcta operatividad y control en la seguridad de la
información de la empresa debido a los mencionados niveles de acceso. Sin embargo
las interfaces de acceso deben ser configuradas para que los accesos sean exclusivos a
los departamentos correspondientes.
Monitoreo y evaluar el desempeño de TI
El monitoreo de la TI se encuentra en el nivel de madurez 5. La misma es
identificada tanto en registros como en la observación directa realizada en el
departamento de computación. El balance que se busca constantemente, se alcanza
gracias al análisis de las métricas y operatividad de las TI.
Conclusiones
El monitoreo y control de la métricas se llevan eficientemente, lo que se
recomienda es la actualización de las misma regularmente.
Monitorear y evaluar el control interno
Dicho monitoreo se encuentra en el nivel de madurez 4.
Conclusiones
Se debe actualizar a largo plazo la evaluación estricta y automatiza de las TI
para asegurar el mejoramiento de las operaciones de monitoreo.
Garantizar el cumplimiento regulatorio
El nivel de esta garantía se encuentra en el nivel de madurez 5. La madurez de
esta fase se evidencia por el interés asignado por la empresa para el cumplimiento de
los planes regulares de los planes estratégicos.
Conclusiones
El interés por la correcta garantía regulatoria es evidenciado como óptimo en
operación.
Proporcionar Gobierno de TI
Dicho gobierno se encuentra en el nivel de madurez 5.
Conclusiones
El alto rendimiento y resultados óptimos de la empresa resultan del correcto
gobierno que dirige la empresa y por la importancia que esta le da al control interno y
externo de sus operaciones y servicios.
Informe Ejecutivo
En el presente informe ejecutivo se detallaran los resultados totales de los datos
recolectados en unidades de porcentajes, tomando como tope 100%. A continuación
dichos resultados se explican por medio de gráficos:
Imagen7. Grado de Efectividad en la TI de NAVI C.A.
La efectividad es la capacidad de alcanzar o recibir la información esperada, en
este aspecto NAVI C.A lo realiza a un 84,83%.
Imagen8. Grado de Eficiencia en la TI de NAVI C.A.
La eficiencia hace referencia a los recursos empleados y los resultados
obtenidos, en este ámbito NAVI C.A se encuentra con un porcentaje de 87,26% de
eficiencia operacional.
Grado de Efectividad
Efectividad
Deficit
Grado de Eficiencia
Eficiencia
Deficit
Imagen 9. Grado de confidencialidad en la TI de NAVI C.A.
Confidencialidad es la propiedad de la información, por la que se garantiza que
está accesible únicamente a personal autorizado, este aspecto es sumamente
importante para NAVI C.A, donde se evidencio una confiabilidad en la información
de la TI de 86,25%.
Imagen 9. Grado de en la TI de NAVI C.A.
Confidencialidad
Confidencialidad
Deficit
Integridad
Integridad
Deficit
La integridad se refiere a la originalidad de los datos y la TI la cual no sea
alterada por personal no autorizado, sin embargo este no es el caso de NAVI C.A, ya
que su nivel de integridad de de la información es de 85,29%.
Imagen 11. Grado de Disponibilidad en la TI de NAVI C.A.
La disponibilidad de la información y la TI en NAVI CA, es aceptable aunque
no posee los rangos de las demás disposiciones, esta se encuentra un 76,25% donde
se presentan pocas fallas en la TI al necesitarlas.
Imagen 12. Grado de Cumplimiento en la TI de NAVI C.A.
Disponibilidad
Disponibilidad
Deficit
cumplimiento
cumplimiento
Deficit
El cumplimiento de los planes estratégicos en la empresa NAVI C.A, es una de
las fortalezas más notables de la empresa, la cual se evidencio con un resultados de
83%, lo cual es un alto índice de correcto cumplimiento para ser una empresa tan
grande.
Imagen 13. Grado de Confiabilidad en la TI de NAVI C.A.
La empresa NAVI C.A, es sumamente confiable a nivel de controles internos,
operatividad y monitoreo para cumplir con el correcto funcionamiento de la TI, las
cuales es una herramienta fundamental para prestar el excelente servicio a sus
clientes; esta confiabilidad fue el criterio con mayor índice, el cual alcanzo un
90,20%.
Confiabilidad
Confiabilidad
Confiabilidad
Conclusiones
La auditoria permitió reconocer y revalidar los registros encontradas en la
primera fase de investigación, donde la empresa aparentemente contaba con sus
operaciones en niveles óptimos o eficientes.
Al hacer uso del modelo COBIT 4.1, todos los criterios confirmaron la correcta
operatividad tanto de los planes estratégicos en el departamento de computación
como en el uso, mantenimiento, monitoreo y uso de las TI.
Por otro lado, las fallas identificadas principalmente fueron la falta adquisición
de herramientas y tecnologías mas avanzadas o estudios relevante ya que la
organización se centra en la adquisición de las misma en base a las necesidades del
plan estratégico, siendo esto una debilidad potente ya que toda TI con herramientas
avanzadas opera con mayor efectividad.
Además, la falta de sesión de responsabilidad al departamento de computación
por parte de la Junta Directa, en cuanto al área de tecnologías de información
alcanzando con esto, una visión ampliada de las tecnologías que deben ser adquiridas
para soportar la operatividad del departamento.
Finalizando, se afirma que la organización se encuentra en un nivel elevado de
organización y planifican, el cual debe solventar o corregir ciertas variantes para
alcanzan un nivel optimo absoluta.
ANEXOS
[ANEXO 1]
Cuadro 3. Modelo de Madurez a Nivel Cualitativo (COSO).
PO1 Definir un plan estrategico de IT P P P S S X X X X
PO2 Definir la arquitectura de la informacion P S P P P X X X X
PO3 Definir la direccion de la Informacion S P P S P X X
PO4 Definir los procesos organización y relaciones de la TI P P P P P S P X X X
PO5 Administrar la inversion de TI P P S S S S P X X X
PO6 Comunicar las metas y la direccion de la gerencia P P S S S P S X X X
PO7 Administrar los recursos humanos de TI P S S X X
PO8 Administrar la calidad P P S S S S S X X X
PO9 Evaluar y Administrar los negocios de TI P S S S S X X
PO10 Administrar los proyectos P P S S S P S X X X
AI1 Identificar soluciones automatizadas P P P P S S X X X
AI2 Adquirir y software aplicativo S P P P S S P X X X X
AI3 Adquirir y mantener la infraestructura tecnologica S P P P S S P X X X X
AI4 Facilitar la operación y el uso P P S S S P S X X X
AI5 Procurar recursos de TI S S S S S S S X X X
AI6 Administrar los cambios S S S P S S P X X X X
AI7 Instalar y acreditar soluciones y cambios. S S P P P S P X X X
DS1 Definir y administrar los niveles de servicio. P P S S S X X
DS2 Administrar los servicios de terceros. S S X X X
DS3 Administrar el desempeño y capacidad P P P P X X X
DS4 Asegurar el servicio continuo. P P S P P P P X X X X
DS5 Garantizar la seguridad de los sistemas. P P P P P P P X X X X
DS6 Identificar y asignar costos S S S S S X X
DS7 Educar y entrenar a los usuarios P P S S S P P X X
DS8 Administrar la mesa de servicio y los incidentes S S S P P S X X
DS9 Administrar la configuración. P P P P P P X X X X
DS10 Administrar los problemas P P P P S S P X X X X
DS11 Administrar los datos P S P P P P S X X X X
DS12 Administrar el ambiente físico S P S S S S S X X X X
DS13 Administrar las operaciones S P P P S S S X X X
ME1 Monitorear y evaluar el desempeño de TI. P P P P P P P X X X X
ME2 Monitorear y evaluar el control interno. P P P P S P P X X X X
ME3 Garantizar el cumplimiento regulatorio P P P P P P P X X X X
ME4 Proporcionar gobierno de TI. P P P P P P P X X X X
Entregar y dar Soporte
MONITOREAR Y EVALUAR
Objetivos de Control de COBIT
INF
OR
MA
CIO
N
AP
LIC
AC
IÓN
INF
RA
ES
TR
UC
TU
RA
PLANEAR Y ORGANIZAR
CU
MP
LIM
IEN
TO
CO
NF
IAB
ILID
AD
PE
RS
ON
AS
ADQUIRIR E IMPLEMENTARE
FE
CT
IVID
AD
EF
ICIE
NC
IA
CO
NF
IDE
NC
IAL
IDA
D
INT
EG
RID
AD
DIS
PO
NIB
ILID
AD