Proyecto auditoria JM-RA

INSTITUTO POLITECNICO SANTIAGO MARIÑO.

EXTENSION PORLAMAR

ESCUELA: INGENIERIA DE SISTEMAS

CATEDRA: AUDITORIA Y EVALUACION DE SISTEMAS

AUDITORIA

Autores:

Juan Carlos Martínez

Rosmary Astudillo

Porlamar, 26 de enero de 2013

INTRODUCCIÓN

Hoy en día la calidad de vida del ser humano está estrechamente relacionada

con la calidad del agua que consume; por lo que la necesidad de consumir agua

potable existe en todas partes del mundo. En áreas afectadas por la contaminación o

desabastecimiento de la misma, muchas industrias y comercios la requieren en

grandes cantidades; convirtiéndose en un elemento vital para el ser humano, desde lo

concerniente a la higiene hasta las más esenciales necesidades humanas.

Navica es un agente autorizado de agua divina, que dispone de un servicio de

venta y transporte de carga de agua y bebidas refrescantes a nivel insular y regional,

buscando satisfacer las exigencias de quienes la consumen.

Tomando en cuenta la dependencia de las empresas modernas, sobre las

tecnologías de información y comunicación para obtener ventajas competitivas y

llevar a cabo sus actividades de administración diarias se propone realizar una

auditoría informática en la empresa Navica con el objetivo de exponer las fortalezas y

debilidades de su sistema de administración informática, utilizando como modelo de

referencia COBIT 4.1, en sus cuatro dominios (planear y organizar, adquirir e

implementar, entregar y dar soporte, y monitorear y evaluar).

El objetivo de este trabajo es buscar el aprovechamiento máximo de los

recursos tecnológicos con los que cuenta la empresa y el equipo humano que lo

emplean en sus tareas diarias.

CAPÍTULO I

PLANTEAMIENTO DEL PROBLEMA

Características de la Empresa

Naturaleza de la Empresa

NAVI C.A. es una empresa venezolana que presta sus servicios a nivel insular y

regional en áreas que requieren la venta y distribución de agua potable y bebidas

refrescantes. Se considera un distribuidor autorizado de AGUADIVINA, con un

capital 100% venezolano, que cuenta con una amplia experiencia en el ramo de

manejo y distribución de carga, además, de una larga trayectoria y una excelente

cartera de clientes en la Isla de Margarita, Venezuela.

Nace a medianos del 2006 para brindar un servicio de calidad con atención

personalizada e inmediata a sus clientes, con despacho personalizado y a domicilio de

botellones de agua y bebidas refrescante en las siguientes presentaciones:

Botellón retornable de plástico de 19 litros. Ideal para hogares y empresas.

Botella desechable desde 355 ml hasta 5 lts para todo uso.

Adicionalmente, ofrece la posibilidad de mover cargas de mercancía, víveres,

equipos u otros, a lo largo y ancho del territorio nacional a través de una moderna

flota de carga.

Ubicación Geográfica

La oficina de NAVI C.A. se encuentra ubicada en la Urb. Paraíso II, Av. San

Martín, Edf. Juan Andrés, piso 1, oficina 4. Pampatar, Isla de Margarita - Estado

Nueva Esparta – Venezuela

Ubicación aproximada, captada a través del mapa del buscado web de

google.com: (Ver imagen 1)

Imagen 1: Autor: Mapa Google.com. Fuente:

http://maps.google.co.ve/maps?hl=es&tab=wl

Misión

Según www.sedapal.com.pe, página electrónica: La Misión define a qué se

dedica la empresa u organización, las necesidades que cubre con sus servicios, el

mercado en el cual se desarrolla y a quien sirve con su funcionamiento.

“Ofrecer un excelente servicio de venta y distribución de agua potable en la isla

de Margarita-Venezuela, y en el mercado de transporte terrestre de carga en el

territorio nacional.”

Visión

Continuando con las definiciones de www.sedapal.com.pe, la Visión es la

idealización del futuro de la empresa. Define y describe la situación futura que desea

tener la organización. El propósito de la visión es guiar y alentar a la organización en

su conjunto para alcanzar el estado deseable de la misma.

“Consolidarse como empresa líder en el mercado de transporte terrestre en el

servicio de agua potables y otros, brindando un mejor servicio cada día, con una

amplia flota de vehículos y personal capacitado para brindar atención personalizada e

inmediata a todos los clientes y aliados comerciales a lo largo y ancho del territorio

nacional e insular”.

Objetivos Estratégicos

Desarrollar estrategias para ampliar el número de clientes.

Realizar actividades con el grupo de trabajo de la empresa para mejorar el

nivel de servicio.

Planear ofertas.

Aprovechar el buen clima para realizar las actividades de transporte terrestre.

Adquirir equipo tecnológico para manejar las actividades de facturación,

llenado de libros contables, pago de nomina, entre otros.

Análisis FODA (Fortalezas, Oportunidades, Debilidades y Amenazas)

Según milagrosazzi.aprenderapensar.net, documento en línea: El Análisis

FODA es una metodología de estudio de la situación competitiva de una empresa en

su mercado (situación externa) y de las características internas (situación interna) de

la misma, a efectos de determinar sus Fortalezas, Oportunidades, Debilidades y

Amenazas. (Ver Cuadro 1)

ANÁLISIS INTERNO

FORTALEZAS DEBILIDADES

Negocio rentable.

Alto nivel de compromiso y

predisposición para brindar sus

servicios.

Ingresos económicos altos que

Falta de estrategias claras de venta.

No se realice una adecuada

planificación de las rutas de venta de

agua potable a cubrir.

permiten contratar personal con

salarios superiores.

Tratamiento personalizado, con

personal capacitado.

Continuamente se presentan ofertas

a los clientes.

Complicaciones con el proveedor.

No se realice seguimiento a los

inventarios de mercancía y equipo

de trabajo.

ANÁLISIS EXTERNO

OPORTUNIDADES AMENAZAS

Costos operativos cada vez menores

por la aplicación de tecnologías de

información.

Fidelidad de los clientes para con la

empresa.

Aumento de la demanda.

Ofertas de productos a menor precio

por parte de la competencia.

Cambios repentinos del precio de

agua.

Aumento de la competencia.

Altos costos en los permisos.

Cuadro 1: Análisis FODA. Fuente: Elaboración Propia.

Metas Organizacionales

Corto plazo

Satisfacer la demanda de los clientes y empresas asociados.

Mediano plazo

Ampliar la cartelera de productos a la venta y rutas de transporte a cubrir.

Largo plazo

Incrementar la cobertura del servicio de agua potable y transporte de carga,

mejorando las operaciones actuales.

Organigrama de la Empresa

A continuación se presenta la organización jerárquica de la organización en la

imagen 2: (Ver Imagen 2)

Imagen 2. Organigrama de la Empresa. Fuente: NAVI C.A.

Descripción de los Procesos y Funciones

Presidente

El presidente personal con mayor jerarquía en la empresa, vela por el correcto

funcionamiento de todas las areas de la empresa, participando activamente en las

actividades de la junta directiva, dirigiendo la toma de decisiones, aceptando y

rechazando actualizaciones en los registros, procesos y TI. Además de recibir a

cualquier empleado el cual deba señalar cualquier actividad irregular y este no desee

hacerlo a su superior inmediato, en tal caso el gerente de dicho departamento.

Junta Directiva

La Junta Directiva es la encargada de dirigir el entorno de toda la organización

desarrollando planes de acción, ejecutando constantes controles internos en cada area

de la organización, tomando decisiones en fallas esperadas e inesperadas producto de

los planes de operación empresarial. Por otro lado, esta alta gerencia se encarga de

recibir los informes provenientes de los análisis de auditoria y los de registros

contables, para que en los puntos que se hayan identificado fallas sean analizados en

conjunto de la presidencia para darle la solución adecuada.

Por otro lado, la junta directiva es la encargada de servir como ejemplo a cada

departamento y empleado de cómo actual de una manera eficaz y eficiente, para

alcanzar de esta manera los objetivos colectivos e individuales definidos en cada

etapa nueva de trabajo. Además, se deben establecer los tiempos y momentos

adecuados para que todos los empleados sean llevados a cursos y talleres para

aumentar sus conocimientos y presten un mejor servicio en sus puestos de trabajo en

la empresa.

Firmas Externas (Contadores-Auditores)

Las Firmas Externas, se encargan de realizar labores de revisión y control de las

operaciones internas en cada área de la empresa (Auditores) para corregir posibles

filtros de información que puedan afectar a futuro la operatividad de la empresa. Por

otro lado, las actividades de registro contable (Contable) una vez analizadas son

presentadas a través de libros contables y su correspondiente informe de ganancias y

pérdidas lucrativas a junta directiva y presidencia. Ambas firmas una vez presentados

los informes, dan a conocer sus recomendaciones a la alta gerencia para evitar que se

produzcan los errores identificados en las operaciones de la empresa.

Computación

El departamento de computación, es el encargado de generar los planes de

recuperación de desastres avalados por la junta directiva en caso de que se produzcan

dalos graves al sistema de información. Además, se identifica que así como se tienen

plantes de recuperación, se encuentran también planes para evitar daños a la IT.

Además, de realizar la instalación y mantenimiento de la red con la que cuenta la

empresa-

Por otro lado, el departamento de computación, es el encargado del correcto

funcionamiento del sistema contable sin realizar modificaciones al código fuente ya

que dicho sistema pertenece a la firma contable.

En cuanto al funcionamiento del sistema de información de la empresa, este es

dirigido en conjunto del departamento de computación y el departamento de

administración, donde el administrador identifica los módulos del sistema que hay

que actualizar, crear o eliminar y el gerente computacional se encarga realizar dichos

ajustes.

Administración

El departamento de administración, se encarga de la correcta ejecución de los

planes de acción diseñados por la alta gerencia, así como de generar los reportes de

aprobación de recursos que se necesiten para el funcionamiento de los demás

departamento que conforman la organización. Por otro lado, el administrador además

de dirigir los planes de acción, participa activamente en el departamento de

computación, específicamente en la TI utilizada por cada empleado en la empresa.

El administrador tiene contacto directo con la junta directiva, esto no quiere

decir que pertenezca a la misma, ya que en las normas de la empresa no se permite

que ningún gerente pertenezca a la alta gerencia, lo cual pueda prestarse para alterar

resultados y conclusiones de los controles internos y auditorias.

RHH

Departamento encargado del bienestar del empleados y la correcta operatividad

de los mismos en la organización, señalando que es un intermediario para asignar

bonificaciones, asensos, sanciones, despidos, entre otros.

Marketing

Departamento encargado de realizar las ventas bajos los planes administrativos

diseñados por la alta gerencia, además de controlar y dirigir todas las actividades y

puntos asignados a los vendedores teniéndolos bajos comunicación constante sobre

las ventas y operaciones finiquitadas día a día.

Modelo de Madurez

Una necesidad básica de toda empresa es entender el estado de sus propios

sistemas de TI y decidir qué nivel de administración y control debe proporcionar.

Para decidir el nivel correcto, la gerencia debe preguntarse: ¿Hasta dónde debemos

ir?, y ¿está el costo justificado por el beneficio?. La obtención de una visión objetiva

del nivel de desempeño propio de una empresa no es sencilla, por ello COBIT atiende

estos temas a través de:

Modelos de madurez.

Metas y mediciones de desempeño para los procesos de TI.

Metas de actividades para facilitar el desempeño efectivo de los procesos.

Los modelos de madurez, facilitan la evaluación por medio de benchmarking y

a identificación de las mejoras necesarias en la capacidad. En cuanto a la gerencia,

constantemente está buscando herramientas de evaluación para benchmarking y

herramientas de auto-evaluación como respuesta a la necesidad de saber qué hacer de

manera eficiente. Este modelo de control se puede evaluar de un nivel no existente (0)

hasta un nivel optimizado; este modelo es derivado del Software Engineering

Institute definió para la madurez de la capacidad del desarrollo de un software.

Este modelo de COBIT no busca medir los niveles de forma precisa o probar a

certificar que un nivel se ha conseguido; lo cual resultara en un perfil donde las

condiciones relevantes de los niveles de madurez se han conseguido, tal como se

muestra en el siguiente ejemplo: (Ver Imagen 3)

Imagen 3. Niveles de Modelos de Madurez de COBIT. Fuente: Augusto Martin

Estas escalas pueden variar según las necesidades del auditor, sin embargo,

deben ser claras, precisas y fáciles de entender para lograr un consenso amplio y que

motiven la mejorar de TI. Estos niveles, en el modelo genérico de COBIT se

describen a continuación:

1 No Existe

Carencia completa de cualquier proceso reconocible. La empresa ni ha

reconocido siquiera que existe un problema a resolver.

2 Inicial

Existe evidencia que la empresa ha reconocido que los problemas existen y

requieren ser resueltos. Sin embargo, no existen procesos estándar en su lugar existen

enfoques que tienden a ser aplicados de forma individual o caso por caso. El enfoque

general hacia la administración es desorganizado. Existe un alto grado de confianza

en el conocimiento de los individuos y, por lo tanto, los errores son muy probables.

3 Definido

Los procedimientos se han estandarizado y documentado, y se han difundido a

través de entrenamiento. Sin embargo, se dejan que el individuo decida utilizar estos

procesos, y es poco probable que se detecten desviaciones. Los procedimientos en si

no son sofisticados pero formalizan las prácticas existentes.

4 Administrado

Es posible monitorear y medir el cumplimiento de los procedimientos y tomar

medidas cuando los procesos no estén trabajando de forma efectiva. Los procesos

están bajo constante mejora y proporcionan buenas prácticas. Se usa la

automatización y herramientas de una manera limitada o fragmentada.

5 Optimizado

Los procesos se han refinado hasta un nivel de mejor práctica, se basan en los

resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se

usa de forma integrada para automatizar el flujo de trabajo, brindado herramientas

para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera

rápida.

Auditoria de TIC`s con COBIT

Área a Auditar

La auditoría realizada por Rosmary Astudillo y Juan Martínez será en el

“Departamento de Computación”, debido que de allí es que se controla, dirige y

administra la TI de la empresa NAVI C.A.

Reclutamiento de la Información

Primeramente se aplico la observación directa para luego utilizar guía de

entrevista con el personal de la junta directiva y el gerente del “Departamento de

Computación” de NAVI C.A y de esta manera poseer mayor conocimiento sobre la

TI utilizada en la empresa. Por otro lado, el gerente de computación proporciono al

azar informes entregados por auditores sobre el departamento en cuestión y la TI;

estos informes fueron una herramienta de importancia para la ejecución de la presente

auditoria.

Documentos de Gestión del Departamento de Computación

NAVI C.A en su “Departamento de Computación”, se encuentran los registros

producto de:

Controles internos.

Auditorias.

Reload de software.

Reload de las TI.

Reload de las TIC`s.

Presupuestos solicitados a administración para el reemplazo de equipos.

Informes detallados de información actualizada, removida y borradas

aprobadas por presidencia avaladas con la firma del director.

Registros de información semanal (memorias externas).

Registros de información mensual y trimestral relevante, confidencia e

importante para el funcionamiento operacional de la organización, como respaldo a

posibles riesgos tanto naturales como a riesgos de accesos no permitidos.

Seguridad de Datos y Equipo de Computo

Para el plan del desarrollo de la auditoria, se cuenta con la asistencia del gerente

del “Departamento de Computación” y los empleados que laboran en dicha área. Las

actividades que se llevaran a cabo se describen en el cuadro 2: (Ver Cuadro 2)

Cuadro 2. Actividades a Ejecutar en el Desarrollo de la Auditoria.

Herramientas y Técnicas

Herramientas

Las herramientas a utilizar para la recolección de información son:

Sistema Operativo Windows 7.

Microsoft Office 2007.

Block de Notas.

Lapiceros.

Hojas Blancas.

Técnicas

Las técnicas a utilizar para la recolección de información son:

Observación Directa.

Guía de Entrevista.

Motivo o Necesidad de una Auditoria Informática

Certificar los informes presentados de auditorías anteriores y los

correspondientes controles internos dictaminados por la Junta Directiva.

Búsqueda brechas de seguridad no identificadas en auditorias y controles

internos efectuados con anterioridad.

Modelo de Madurez a Nivel Cualitativo (COSO)

A continuación se representa en el cuadro 3 (Anexo 1) el impacto de los

objetivos de control de COBIT4.1 sobre los criterios y recursos de TI. La

nomenclatura utilizada en los criterios de información para esta tabla es la siguiente

(P), cuando el objetivo de control tiene un impacto directo al requerimiento, (S),

cuando el objetivo de control tiene un impacto indirecto es decir no completo sobre el

requerimiento, y finalmente () vacío, cuando el objetivo de control no ejerce ningún

impacto sobre el requerimiento, en cambio cuando se encuentra con (X) significa que

los objetivos de control tienen impacto en los recursos, y cuando se encuentra en

blanco (), es que los objetivos de control no tienen ningún impacto con los recursos.

(Ver Cuadro 3, Anexo 1).

Por otro lado, se organizaran los criterios de de la información, asignando un

porcentaje a los distintos valores de impacto identificados en el cuadro 3. Este

porcentaje se establecerá en base a la propuesta metodológica para el manejo de

riesgos COSO (Sponsoring Organizations of the Treadway), como se muestra en el

cuadro 4: (Ver Cuadro 4)

Cuadro 4. Promedio de Impactos. Fuente COBIT 4.1

IMPACTO PROMEDIO

41% 41% ALTO 75

42% 55% ALTO 67

49% 35% MEDIO 60

96% 3% MEDIO 62

CALIFICACION

CAPITULO II

EJECUCION DE LA AUDITORIA

Departamento de Computación

Situación Actual del Departamento

El Departamento de Computación, es un área fundamental para la organización

debido que allí es donde se administra la TI, las redes, los respaldos de información,

entre otras actividades, las cuales concentran gran cantidad de información

confidencial y de uso general para cada Área Funcional de la empresa en estudio.

Cargos Funcionales y Operativos

Los trabajadores con los que cuenta el Departamento de Computación son:

1 Gerente: director del departamento, el cual debe dirigir las operaciones de su

oficina y velar por el correcto uso de los equipos por los demás empleados a través de

charlas e inducción si es que realizan instalaciones o reemplazos con equipos y

programas nuevos. Además, supervisa las actividades llevadas a cabo por su grupo de

técnicos especializados en distintas áreas informáticas.

Por otro lado, debe permanecer en constante comunicación con el departamento

de administración notificando irregularidades y actualizando o creando módulos en la

TI solicitados por el administrador previo análisis y estudio.

3 Técnicos Especializados: empleados, especializados en áreas de redes,

computación y electrónica, los cuales ejecutan las operaciones dictaminadas por el

gerente del departamento.

Objetivos del Departamento

Los objetivos asignados al departamento por la Junta Directiva son:

Diseñar, mantener y dirigir el plan estratégico de la TI y del sistema contable.

Mantener el personal actualizado en cuanto a los avances tecnológicos

documentándolos a través de investigaciones, cursos, charlas, entre otros.

Proporcionar informe a la Junta Directiva, donde se recomiendo la

adquisición, reemplazo o actualización de hardware y software tanto para el

departamento como para las demás áreas de la empresa.

Realizar el análisis de datos, correspondiente a los sistemas informáticos,

facilitando su posterior estudio en la Junta Directiva y futuras Auditorias.

Mantener en correcto funcionamiento de la red con la que trabaja NAVI C.A,

además de solucionar cualquier eventualidad en la red, topología, direccionamiento,

entre otros, que pudiese detener la operatividad de la empresa.

Mantener actualizado los registros computarizados, la TI y los respaldos de

información en unidades externas semanales y mensuales.

Almacenar digitalmente los informes contables, de los controles internos, de

las auditorias y otros documentos legales.

Asimismo, como se plantean los objetivos de la Junta Directiva anteriormente

citados, el departamento define sus objetivos individuales como departamento y los

objetivos personales de cada empleado que lo conforma. En este aspecto, se señala

que los objetivos pueden variar en cuanto a la aplicabilidad, pero siempre en busca de

alcanzar el bienestar y crecimiento operacional de la empresa.

Organigrama del Departamento

En la imagen 4 se muestra la organización jerárquica y operacional que

persigue el departamento de computación en la empresa NAVI C.A:

Imagen 4. Organigrama Departamental. Fuente: NAVI C.A

Seguridad del Departamento

Seguridad Física

Entre las medidas de seguridad física con las que cuenta el departamento de

computación se encuentran:

Sistema de alarmas de detección de incendio.

Puntos clave tanto en el departamento como en toda la oficina con extintores

avaluados por el cuerpo de bomberos del estado Nueva Esparta.

Todos los puntos de corriente fueron instalados con un UPS interno para

evitar la pérdida de información y daños en los equipos por altibajos eléctricos.

El servidor, computadores, impresoras y demás equipos electrónicos cuentan

con los espacios adecuados, con correcto posicionamiento del cableado.

Seguridad Legal

Entre las medidas de seguridad legal con las que cuenta el departamento de


El gerente hace uso de estándares de seguridad de datos y calidad de la

información.

La empresa cuenta con licencias legales para el uso del sistema operativo

Windows.

Las auditorias, se dejan asentadas por escrito en documentos legales para

asegurar su valides.

Todos los equipos electrónicos, dispositivos, comunicadores, entre otros, al

llegar a la oficina de NAVI C.A son almacenadas las facturas tanto en físico como

digitalmente.

Seguridad de Datos

Entre las medidas de seguridad de datos aplicadas en el departamento de


Respaldo Semana de las operaciones de TI y actividades contables.

Respaldo relevante de datos en unidades de almacenamiento externo.

La TI, sistemas contable y de información cuenta con niveles de acceso para

los usuarios para evitar la pérdida, daño o robo de datos en la organización.

Seguridad de Personas

Entre las medidas de seguridad del personal en el departamento de computación

se encuentran:

Revisión en el transcurso del año de los equipos y alarmas contra incendios.

Adiestramiento al personal de salidas de emergencia y protección en caso de

desastres naturales.

Entre otros.

Caracterización de las Tecnologías de Información y Comunicación

La caracterización de las TI y canales de comunicación son:

Recursos Humanos

Área Laboral Cargo / Trabajador Titulo Tiempo/Servicio

Departamento

Computación

Gerente Ingeniero en

Computación

3 años.

Departamento

Computación

Técnico Electrónica Ingeniero

Electrónico.

3 años.

Departamento

Computación

Técnico Computación Ingeniero de

Sistemas.

1 año.

Departamento

Computación

Técnico de Red. Técnico

Informático.

1 año.

Departamento

Administración

Gerente Licenciado en

Administración.

5 años.

Departamento

de Marketing

Gerente Licenciado en

Administración.

3 años.

Departamento

de Marketing

Secretaria Bachiller. 2 años.

Departamento

RHH

Gerente Ingeniero de

Procesos.

5 años.

Departamento

RHH

Secretaria Licenciada en

Informática

1 año.

Cuadro 5. Recursos Humanos relacionados con el Departamento de

Computación. Fuente: NAVI C.A

b- Hardware

Nombre

del Equipo

Características Utilidad

PC0

Procesador Intel Core Duo 2.0GHz

Servidor Memoria RAM 2 GB

HDD 1 TB

PC1, PC2,

PC3, PC4,

PC5, PC6,

PC7, PC8,

PC9

Procesador Intel Core Duo 2.0GHz PC para

administrar sistema

de información en

cada área

relacionada con el

departamento de

computación.

Memoria RAM 1.5 GB

HDD 512 GB

Monitor Samsung SncMaster 2033

Impresora impresora Lexmark

Multifuncional X646

Cuadro 6. Hardware de PC y Servidores en la Red. Fuente: NAVI C.A

Software

Nombre del Equipo Sistema Operativo

PC0 Linux Centos Versión 5.2

PC1, PC2, PC3,

PC4, PC5, PC6,

PC7, PC8, PC9

Microsoft Windows Seven

Ultimate

Cuadro 7. Software de PC y Servidores en la Red. Fuente: NAVI C.A

Topología de la Empresa

La empresa con el servicio de internet ABA de la empresa Cantv, donde la

topología de red aplicada es la de tipo estrella, tal como se muestra en la imagen 4:

(Ver Imagen 4)

Imagen 5. Topología de Red Estrella Aplicada en la Organización. Fuente NAVI

C.A

Caracterización de la Carga

La empresa cuenta con un servidor el cual asigna las direcciones IP, Mascara y

Gateway correspondiente a cada computador de las distintas áreas. Es de hacer notar

que aunque los equipos se encuentran en oficinas diferentes los diferentes gerentes

pueden acceder a sus módulos departamentales desde otras oficinas ya que cada

usuario posee un nivel de acceso correspondiente a su jerarquía y departamento al

cual pertenezca.

Determinación de Hipótesis

En la búsqueda de datos se evidencio un departamento sumamente seguro tanto

a nivel físico como en la confidencialidad de los datos; además los registros de

auditorías y controles internos han arrojando excelente resultados en cuanto a la

correcta ejecución del plan estratégico definida por la junta directiva.

Sin embargo, se identificaran posibles fugas de información debido a técnicas

aplicada en la TI que debieran ser corregidas y tenerlas presentar para un posterior

análisis.

Realización de la Auditoria

Modelo de Madurez de los Procesos

A continuación se mostrar el análisis de los diferentes objetivos de COBIT 4.1,

en los siguientes cuadros:

Cuadro 8. PO1 de COBIT 4.1





Cuadro 13. AI1 de COBIT 4.1




Cuadro 19. DS1 de COBIT 4.1



Cuadro 24. ME1 de COBIT 4.1




Reporte General de Grados de Madurez

Los grados de madurez en los diferentes objetivos de COBIT 4.1 aplicados en

la empresa, se presentan a continuación en el cuadro 28: (Ver Cuadro 28)

Cuadro 28.Reporte General de Grados de Madures de la empresa NAVI C.A.

Resumen de Análisis por Dominio

Dominio: Planear y Organizar (PO)

NAVI C.A a alcanzado en el dominio PO, un alto nivel en su planes

estratégicos, sin embargo existen áreas que todavía faltan impulsar hacer mayor

seguimiento para equiparar con las demás que se encuentran en su punto optimo.

Dominio: Adquirir e Implementar (AI)

En este dominio, la empresa NAVI C.A se encuentran con una buena dirección

operacional basándose estrictamente en la adquisición e implantación de herramientas

en base a las necesidades de los planes estratégicos definidos por la Junta Directiva;

sin embargo, se recomida ampliar la visión mas allá de las necesidades de estos

planes para identificar si herramientas más avanzadas o nueva puedan alcanzar un

objetivo más optimo u otros puntos de interés de la empresa.

Dominio: Entrega y Dar Soporte (DS)

En este aspecto NAVI C.A, se encuentra en un nivel casi óptimo donde se

evidencia el interés de la Alta Gerencia por la satisfacción a clientes y el crecimiento

interno para prestar cada periodo un mejor servicio.

Dominio: Monitorear y Evaluar (ME)

A través de la auditoría realizada a la empresa NAVI C.A, se evidencio la

importancia asignada por la alta gerencia al monitoreo y evaluación de la correcta

ejecución del gobierno que se planifica bajo estrictos niveles de importancia; otro

punto a señalar, es que la Junta Directiva afirma que un buen gobierno da como

productos un buen resultado, por ello la insistencia de la organización en revisiones,

controles y auditorias constantemente.

Análisis de los Criterios de Información

A continuación se presentara el análisis correspondiente a los criterios de

información:

Efectividad

La efectividad tuvo un criterio del 84,83%, por lo que se puede afirmar que los

procesos y planes diseñados por la alta gerencia de NAVI C.A es sumamente efectiva

la cual se encuentra en la última escala de operatividad; cabe destacar que todavía

existen fases en las cuales hay que hacer correcciones para alcanzar mayor

productividad.

Eficiencia

La eficiencia de la TI y los procesos de control y monitoreo se evidencia con un

87,26%, dando a entender que al ser dirigidos y gobernados eficientemente los

sistemas como los empleados los objetivos de la empresa se han alcanzado y

superado periodo tras periodo.

Confidencialidad

La confidencialidad de la información y procesos es un aspecto sumamente a la

empresa, por lo tanto para el acceso a la misma se han diseñado niveles de acceso a la

misma y esto se respalda tras una evidencia de control con valor de 86,25%, donde el

pequeño rango faltante para llegar al punto optimo es la falta de inversión en

herramientas y técnicas mas avanzadas que las que se identifican como necesarias

para la ejecución del plan estratégico, por lo tanto al cubrir esta falla, debería alcanzar

un nivel optimo dicho criterio.

Integridad

La integridad de la información y la TI, es casi optima, dicho resultado se

respalda tras las evidencias recolectadas las cuales alcanzaron un 85,29%, donde se

podría tener un mayor rango si se implantaran herramientas más avanzadas que las

actuales.

Disponibilidad

La disponibilidad de la información a través de la TI, se encuentra en un

porcentaje de 76,25 aunque se encuentran en un nivel excelente, este promedio podría

mejorar al actualizar los sistemas, ya que habría que modificar ciertas condiciones y

reemplazar equipos actuales por unos más sofisticados, sin embargo se identifica la

operatividad de este criterio como aceptable para la auditoria.

Cumplimiento

El cumplimiento del plan estratégico y los objetivos para el departamento de

computación (directamente a la TI), se encuentra en el ultimo nivel con un 83% de

correcta ejecución. Este resultado se evidencia debido a los constantes controles

internos y la correcta ejecución de auditorías en los tiempos establecidos por la alta

gerencia, donde los resultados son analizados y tomados en cuenta para ser aplicado a

corto plazo, si se llegasen a identificar como necesarios por la junta directiva.

Confiabilidad

Este criterio es uno de los mas importantes y además uno con el mayor rango en

evidencia operacional eficiente con un 90,20%, ya que tanto el departamento de

computación como la junta directiva, tienen planes tanto de operación diaria como

planes de emergencia al presentarse alguna falla y de esta manera asegurar la

continuidad operacional. Cabe destacar que la confiabilidad no es solo operacional

sino estratégica y de los datos almacenados.

Grafica de Impactos de Criterios de Información

A continuación se mostrara en la imagen 6, donde se representan los impactos

de los criterios de información analizados: (Ver Imagen 6)

Imagen 6. Impactos de los Criterios COBIT 4.1. Fuente: NAVI C.A

65

70

75

80

85

90

95

84,83 87,26 86,25 85,29 76,27 83 90,2

Impactos (Efectividad, Eficiencia, Confidencialidad, Integridad,

Disponibilidad, Cumplimiento y Confiabilidad)

Impactos (Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento y Confiabilidad)

CAPITULO III

ANALISIS DE LOS RESULTADOS

Informe Técnico

Alcance

El objeto de la presente auditoria es evaluar la situación actual del departamento

de computación de la empresa NAVI C.A, donde se entregaran las conclusiones y

recomendaciones a la empresa, la cuales será el resultado final de la investigación.

Objetivos

Objetivo General

Desarrollar auditoria a la TI utilizada en la empresa “NAVI C.A”, Porlamar,

estado Nueva Esparta, haciendo uso referencial del modelo COBIT 4.1

Objetivos Específicos

Identificar fallas operacionales y de control en el departamento de

computación de NAVI CA.

Analizar las fallas localizadas en el departamento de computación de NAVI

C.A

Exponer informe técnico y ejecutivo de las evidencias de auditoría.

Resultados de Evaluación haciendo uso del Modelo COBIT 4.1

Definir un plan estratégico de TI

El proceso de definir el plan estratégico de TI a alcanzando el nivel de madurez

5.

Conclusiones

Los planes estratégicos son desarrollados con efectividad constantemente donde

se determinar las características y fallas posibles proporcionando las posibles

soluciones beneficios y complicaciones que podría trae dicho plan, por lo tanto se

puede decir que la junta directiva, tiene un grupo bien desarrollado y organización

para diseñar propuestas en base a la realidad y recursos de la empresa.

Definir la arquitectura de la información

La organización ha identificado la importancia de definir una arquitectura para

el uso de la información, lo cual a alcanzado una madurez de nivel 5.

Conclusiones

La empresa cuenta con un personal con conocimientos necesarios para definir

la arquitectura necesaria para el correcto funcionamiento de la TI, donde se puede

concluir que dicha arquitectura es renovada periódicamente según las necesidades y

estudios realizados.

Determinar la dirección de la tecnológica de la empresa

La madurez de la dirección de la tecnología se encuentra en el nivel 4, ya que el

personal de computación posee la experiencia para el desarrollo de planes de

dirección.

Conclusiones

La madurez de dicha dirección se encuentra casi en el nivel óptimo; donde para

culminar y alcanzar un objetivo mayor la empresa debe ceder mayor liberta en las

decisiones de este rango al departamento de computación.

Definición de procesos, organización y la relación de la TI

El actividad de definir los procesos, organización y relación de la TI se

encuentran en el nivel de madure 5.

Conclusiones

Dicha organización dirige los procesos y relaciones de la TI con madurez y

realismo, donde han identificado la importancia del control para alcanzar los

resultados deseados.

Administración de la información de TI

El proceso de administrar la inversión de TI se encuentra en el nivel de madurez

3.

Conclusiones

Si la empresa desea superar el nivel de la TI deberá hacer investigación de TI

mas avanzadas para que sean implantadas así sobre pasen los requerimientos del plan

estratégico y de esa manera aseguro la operatividad optima de la misma.

Identificación de soluciones automatizadas

El proceso de identificación soluciones automatizas se encuentra en el nivel de

madurez 5.

Conclusiones

Seguir efectuando sus operaciones tan como la dirigen actualmente, donde se

toman en cuenta los resultados de auditorías y controles internos para la mejora de la

calidad de la TI.

Adquisición y administración de software aplicativo

El proceso de adquisición y administración de software se encuentra en el nivel

de madures 3. Se identifica la claridad en la necesidad en la adquisición de software

basado en el plan estratégico para el departamento de computación.

Conclusión

A pesar de que la empresa adquiero el software necesario para operar

correctamente en los planes estratégicos, la junta directiva debe tomar mayor interés

en los informes de solitud de los mismos por parte del departamento de computación

debido a que son los que poseen los conocimientos en esta área.

Facilitación de la operación y el uso

Dicho criterio, se encuentra en el nivel de madurez 5.

Conclusión

La operación y ejecución de este criterio se encuentra en un nivel óptimo, y se

recomienda mantenerlo en el mismo.

Adquisición de recursos de TI

El proceso de esta adquisición se encuentra en el nivel de madurez 4.

Conclusiones

Los estándares de adquisición de recursos para la operatividad de la TI se

encuentran en un nivel aceptable, el cual solo se debe ajustar solo en ciertos aspectos

poco relevantes.

Definición y administración de los niveles de servicio

Dicho proceso se encuentran en el nivel de madurez 5. Para NAVI C.A la

satisfacción del cliente es lo principal por ello se realizan monitoreos y mejoras

continuas en los servicios, por lo tanto, tanto equipos como los procesos y software

constantemente deben funcionar eficientemente.

Conclusiones

La mejoras de la empresa en cuanto a los servicios se evidencia correctamente

operativa.

Garantía de la continuidad del servicio

El proceso de garantizar la continuidad del servicio se encuentre en el nivel de

madurez 4.

Conclusiones

La asignación de responsabilidades es un tema que debe ser estudiado como

posible solución a situaciones en particular, sin dejar atrás que el delegar no quiere

decir olvidar el control y monitoreo.

Garantizar la seguridad de los sistemas

Dichos procesos se encuentran en el nivel de madurez 4.

Conclusiones

Se identifica una correcta operatividad y control en la seguridad de la

información de la empresa debido a los mencionados niveles de acceso. Sin embargo

las interfaces de acceso deben ser configuradas para que los accesos sean exclusivos a

los departamentos correspondientes.

Monitoreo y evaluar el desempeño de TI

El monitoreo de la TI se encuentra en el nivel de madurez 5. La misma es

identificada tanto en registros como en la observación directa realizada en el

departamento de computación. El balance que se busca constantemente, se alcanza

gracias al análisis de las métricas y operatividad de las TI.

Conclusiones

El monitoreo y control de la métricas se llevan eficientemente, lo que se

recomienda es la actualización de las misma regularmente.

Monitorear y evaluar el control interno

Dicho monitoreo se encuentra en el nivel de madurez 4.

Conclusiones

Se debe actualizar a largo plazo la evaluación estricta y automatiza de las TI

para asegurar el mejoramiento de las operaciones de monitoreo.

Garantizar el cumplimiento regulatorio

El nivel de esta garantía se encuentra en el nivel de madurez 5. La madurez de

esta fase se evidencia por el interés asignado por la empresa para el cumplimiento de

los planes regulares de los planes estratégicos.

Conclusiones

El interés por la correcta garantía regulatoria es evidenciado como óptimo en

operación.

Proporcionar Gobierno de TI

Dicho gobierno se encuentra en el nivel de madurez 5.

Conclusiones

El alto rendimiento y resultados óptimos de la empresa resultan del correcto

gobierno que dirige la empresa y por la importancia que esta le da al control interno y

externo de sus operaciones y servicios.

Informe Ejecutivo

En el presente informe ejecutivo se detallaran los resultados totales de los datos

recolectados en unidades de porcentajes, tomando como tope 100%. A continuación

dichos resultados se explican por medio de gráficos:

Imagen7. Grado de Efectividad en la TI de NAVI C.A.

La efectividad es la capacidad de alcanzar o recibir la información esperada, en

este aspecto NAVI C.A lo realiza a un 84,83%.

Imagen8. Grado de Eficiencia en la TI de NAVI C.A.

La eficiencia hace referencia a los recursos empleados y los resultados

obtenidos, en este ámbito NAVI C.A se encuentra con un porcentaje de 87,26% de

eficiencia operacional.

Grado de Efectividad

Efectividad

Deficit

Grado de Eficiencia

Eficiencia

Deficit

Imagen 9. Grado de confidencialidad en la TI de NAVI C.A.

Confidencialidad es la propiedad de la información, por la que se garantiza que

está accesible únicamente a personal autorizado, este aspecto es sumamente

importante para NAVI C.A, donde se evidencio una confiabilidad en la información

de la TI de 86,25%.

Imagen 9. Grado de en la TI de NAVI C.A.

Confidencialidad

Confidencialidad

Deficit

Integridad

Integridad

Deficit

La integridad se refiere a la originalidad de los datos y la TI la cual no sea

alterada por personal no autorizado, sin embargo este no es el caso de NAVI C.A, ya

que su nivel de integridad de de la información es de 85,29%.

Imagen 11. Grado de Disponibilidad en la TI de NAVI C.A.

La disponibilidad de la información y la TI en NAVI CA, es aceptable aunque

no posee los rangos de las demás disposiciones, esta se encuentra un 76,25% donde

se presentan pocas fallas en la TI al necesitarlas.

Imagen 12. Grado de Cumplimiento en la TI de NAVI C.A.

Disponibilidad

Disponibilidad

Deficit

cumplimiento

cumplimiento

Deficit

El cumplimiento de los planes estratégicos en la empresa NAVI C.A, es una de

las fortalezas más notables de la empresa, la cual se evidencio con un resultados de

83%, lo cual es un alto índice de correcto cumplimiento para ser una empresa tan

grande.

Imagen 13. Grado de Confiabilidad en la TI de NAVI C.A.

La empresa NAVI C.A, es sumamente confiable a nivel de controles internos,

operatividad y monitoreo para cumplir con el correcto funcionamiento de la TI, las

cuales es una herramienta fundamental para prestar el excelente servicio a sus

clientes; esta confiabilidad fue el criterio con mayor índice, el cual alcanzo un

90,20%.

Confiabilidad

Confiabilidad

Confiabilidad

Conclusiones

La auditoria permitió reconocer y revalidar los registros encontradas en la

primera fase de investigación, donde la empresa aparentemente contaba con sus

operaciones en niveles óptimos o eficientes.

Al hacer uso del modelo COBIT 4.1, todos los criterios confirmaron la correcta

operatividad tanto de los planes estratégicos en el departamento de computación

como en el uso, mantenimiento, monitoreo y uso de las TI.

Por otro lado, las fallas identificadas principalmente fueron la falta adquisición

de herramientas y tecnologías mas avanzadas o estudios relevante ya que la

organización se centra en la adquisición de las misma en base a las necesidades del

plan estratégico, siendo esto una debilidad potente ya que toda TI con herramientas

avanzadas opera con mayor efectividad.

Además, la falta de sesión de responsabilidad al departamento de computación

por parte de la Junta Directa, en cuanto al área de tecnologías de información

alcanzando con esto, una visión ampliada de las tecnologías que deben ser adquiridas

para soportar la operatividad del departamento.

Finalizando, se afirma que la organización se encuentra en un nivel elevado de

organización y planifican, el cual debe solventar o corregir ciertas variantes para

alcanzan un nivel optimo absoluta.

ANEXOS

[ANEXO 1]

Cuadro 3. Modelo de Madurez a Nivel Cualitativo (COSO).

PO1 Definir un plan estrategico de IT P P P S S X X X X

PO2 Definir la arquitectura de la informacion P S P P P X X X X

PO3 Definir la direccion de la Informacion S P P S P X X

PO4 Definir los procesos organización y relaciones de la TI P P P P P S P X X X

PO5 Administrar la inversion de TI P P S S S S P X X X

PO6 Comunicar las metas y la direccion de la gerencia P P S S S P S X X X

PO7 Administrar los recursos humanos de TI P S S X X

PO8 Administrar la calidad P P S S S S S X X X

PO9 Evaluar y Administrar los negocios de TI P S S S S X X

PO10 Administrar los proyectos P P S S S P S X X X

AI1 Identificar soluciones automatizadas P P P P S S X X X

AI2 Adquirir y software aplicativo S P P P S S P X X X X

AI3 Adquirir y mantener la infraestructura tecnologica S P P P S S P X X X X

AI4 Facilitar la operación y el uso P P S S S P S X X X

AI5 Procurar recursos de TI S S S S S S S X X X

AI6 Administrar los cambios S S S P S S P X X X X

AI7 Instalar y acreditar soluciones y cambios. S S P P P S P X X X

DS1 Definir y administrar los niveles de servicio. P P S S S X X

DS2 Administrar los servicios de terceros. S S X X X

DS3 Administrar el desempeño y capacidad P P P P X X X

DS4 Asegurar el servicio continuo. P P S P P P P X X X X

DS5 Garantizar la seguridad de los sistemas. P P P P P P P X X X X

DS6 Identificar y asignar costos S S S S S X X

DS7 Educar y entrenar a los usuarios P P S S S P P X X

DS8 Administrar la mesa de servicio y los incidentes S S S P P S X X

DS9 Administrar la configuración. P P P P P P X X X X

DS10 Administrar los problemas P P P P S S P X X X X

DS11 Administrar los datos P S P P P P S X X X X

DS12 Administrar el ambiente físico S P S S S S S X X X X

DS13 Administrar las operaciones S P P P S S S X X X

ME1 Monitorear y evaluar el desempeño de TI. P P P P P P P X X X X

ME2 Monitorear y evaluar el control interno. P P P P S P P X X X X

ME3 Garantizar el cumplimiento regulatorio P P P P P P P X X X X

ME4 Proporcionar gobierno de TI. P P P P P P P X X X X

Entregar y dar Soporte

MONITOREAR Y EVALUAR

Objetivos de Control de COBIT

INF

OR

MA

CIO

N

AP

LIC

AC

IÓN

INF

RA

ES

TR

UC

TU

RA

PLANEAR Y ORGANIZAR

CU

MP

LIM

IEN

TO

CO

NF

IAB

ILID

AD

PE

RS

ON

AS

ADQUIRIR E IMPLEMENTARE

FE

CT

IVID

AD

EF

ICIE

NC

IA

CO

NF

IDE

NC

IAL

IDA

D

INT

EG

RID

AD

DIS

PO

NIB

ILID

AD

Technology

Proyecto auditoria JM-RA