auditorÍa en la informÁticaa...técnicas y herramientas tecnológicas para auditar los sistemas...
TRANSCRIPT
AUDITORÍA EN LA INFORMÁTICA Aplicando ISO 9001 / ISO 22301
MILTON GUAMAN GUANOPATIN PATRICIO GUAMAN GUANOPATIN
Quito, Junio del 2017
PRIMERA EDICION
2
DATOS DEL AUTOR
Ing. Milton Efraín Guamán Msc. MBA
Profesión: Ingeniero Informático
Matemático (egresado)
Magister en Finanzas y Gestión de Riesgos
Magister en Dirección de Empresas
Docencia: Universidad Central del Ecuador
Universidad Politécnica Salesiana
Universidad Internacional del Ecuador
Instituto de Altos Estudios Nacionales – IAEN
Fundación Tecnológicas de Latinoamérica – FATLA
Correo: [email protected]
Ing. Edison Patricio Guamán Mgt
Profesión: Ingeniero en Sistemas e Informática
Magister en evaluación y Auditoría de Sistemas Tecnológicos
Docencia: Universidad Internacional del Ecuador
Correo: [email protected]
3
INTRODUCCIÓN
El país posee una infinidad de empresas que se dedican a brindar
servicios y realizar operaciones comerciales de todo tipo, por tal
razón, para lograr el cumplimiento de los objetivos establecidos por
estas empresas, deben contar con un sistema computacional que
les permita controlar y optimizar el uso y costo de los recursos
humanos, materiales, económicos y sus operaciones financieras.
De la misma forma los sistemas computacionales deben asegurar el
correcto ingreso de sus datos, el procesamiento adecuado de la
información y la emisión oportuna de sus resultados.
La importancia de esta asignatura, radica en que su análisis y
estudio permite fomentar en el estudiante la capacidad de
desarrollar y utilizar metodologías, técnicas y herramientas
tecnológicas para auditar los sistemas computacionales y a la
gestión Informática.
4
IMPORTANCIA
La importancia de esta asignatura, radica en que su análisis y estudio permite
fomentar en el estudiante la capacidad de desarrollar y utilizar metodologías,
técnicas y herramientas tecnológicas para auditar los sistemas
computacionales y a la gestión Informática.
Es importante que planifiques tu tiempo correctamente para la ejecución de las
actividades, recomendándose para el estudio de la presente guía, de por lo
menos dos horas diarias de dedicación.
Es importante que tenga un lugar específico de estudio dotado de las
comodidades necesarias para el desarrollo de sus actividades
5
INDICE DE CONTENIDOS
CAPÍTULO I ............................................................................................................................ 7
1. LAS TICS Y LA AUDITORIA INFORMÁTICA ............................................................. 7
1.1. CONCEPTOS TICS – RELACIONADOS CON LA AUDITORIA
INFORMATICA ............................................................................................................... 7
1.2. NORMAS ETICO MORALES QUE REGULAN LA ACTUACION DEL
AUDITOR ...................................................................................................................... 50
1.3. DEFINICION DE AUDITORIA INFORMATICA .............................................. 58
1.4. DELITOS INFORMATICOS ............................................................................. 60
1.5. BASE LEGAL .................................................................................................... 61
1.6. CODIGO INGENIOS ......................................................................................... 68
CAPÍTULO II ......................................................................................................................... 73
2. LOS RIESGOS Y EL CONTROL INTERNO.............................................................. 73
2.1. CONTROL INTERNO INFORMATICO COSO Y NIAA ................................. 73
2.2. DETERMINACION DE METODOLOGIA ........................................................ 77
2.3. CONCEPTOS BASICOS DE COBIT ............................................................... 89
2.4. CONCEPTOS BASICOS DE ITIL .................................................................. 106
CAPÍTULO III ...................................................................................................................... 110
3. EL PROCESO DE LA AUDITORIA INFORMATICA ............................................... 110
3.1. EL PROCESO DE LA AUDITORIA INFORMATICA .................................... 110
3.2. EJECUCION DE LA AUDITORIA INFORMATICA EN NORMAS,
HARDWARE, SOFTWARE, SISTEMAS OPERATIVOS, SOFTWARE BASE,
SISTEMAS DE INFORMACIÓN, BASES DE DATOS, SEGURIDAD FISICA Y
LÓGICA ....................................................................................................................... 111
3.3. PAPELES DE TRABAJO................................................................................ 130
3.4. ELABORACIÓN DEL INFORME ................................................................... 133
3.5. COMUNICACIÓN DE RESULTADOS .......................................................... 136
3.6. SEGUIMIENTO DE RECOMENDACIONES ................................................ 136
3.7. HERRAMIENTAS ASISTIDAS POR COMPUTADOR PARA ANALISIS DE
RIESGOS Y AUDITORIAS INFORMATICAS .......................................................... 137
BIBLIOGRAFÍA Y NETGRAFÍA ........................................................................................ 140
BIBLIOGRAFIA ............................................................................................................... 140
NETGRAFIA ................................................................................................................... 140
6
ANEXOS ............................................................................................................................. 141
APENDICE 1 MATRIZ DE GESTION DE RIESGOS ............................................... 141
APENDICE 2 CAR - ROOT CAUSAL ANALYSIS – ANÁLISIS DE CAUSA RAIZ 143
APENDICE 3 MANUAL DE PROCEDIMIENTOS .................................................... 148
7
CAPÍTULO I
1. LAS TICS Y LA AUDITORIA INFORMÁTICA
1.1. CONCEPTOS TICS – RELACIONADOS CON LA AUDITORIA
INFORMATICA
La tecnología de información (IT), según lo definido por la asociación de la tecnología de
información de América (ITAA) es ―el estudio, diseño, desarrollo, implementación, soporte o
dirección de los sistemas de información computarizados, en particular de software de
aplicación y hardware de computadoras.‖ Se ocupa del uso de las computadoras y su software
para convertir, almacenar, proteger, procesar, transmitir y recuperar la información. Hoy en día,
el término ―tecnología de información‖ se suele mezclar con muchos aspectos de la
computación y la tecnología y el término es más reconocible que antes. La tecnología de la
información puede ser bastante amplia, cubriendo muchos campos. Los profesionales TI
realizan una variedad de tareas que van desde instalar aplicaciones a diseñar complejas redes
de computación y bases de datos. Algunas de las tareas de los profesionales TI incluyen,
administración de datos, redes, ingeniería de hardware, diseño de programas y bases de datos,
así como la administración y dirección de los sistemas completos. Cuando las tecnologías de
computación y comunicación se combinan, el resultado es la tecnología de la información o
―infotech‖. La Tecnología de la Información (IT) es un término general que describe cualquier
tecnología que ayuda a producir, manipular, almacenar, comunicar, y/o esparcir información.
Qué es la Información?
La información puede ser definida como los datos que han sido recogidos, procesados,
almacenados y recuperados con el propósito de tomar decisiones financieras y económicas o
para el soporte de una producción y distribución eficientes de bienes y servicios.
La información tiene que ser considerada como un recurso básico en una organización, junto a
los talentos humanos, el capital, las materias primas y demás equipos.
Es clave para la organización tanto para su supervivencia como para mejorar su
posicionamiento en los negocios.
HARDWARE (Estructura lógica y física avances tecnológicos)
La palabra hardware se refiere a todas las partes físicas de un sistema informático; sus
componentes son: eléctricos, electrónicos, electromecánicos y mecánicos.1 Son cables,
8
gabinetes o cajas, periféricos de todo tipo y cualquier otro elemento físico involucrado;
contrariamente, el soporte lógico es intangible y es llamado software.
Si la empresa tiene aspectos predefinidos para la evaluación del hardware, se tomarán en
cuenta esos lineamientos.
Su finalidad es buscar la evaluación de la seguridad en la operación del hardware donde se
identifica las principales vulnerabilidades del hardware, las cuales son:
• Inapropiada operación
• Fallas de mantenimiento
• Inadecuada seguridad física
• Desastres naturales
Que se busca evaluar
• Distribución del hardware (ubicación física).
• Registro del hardware instalado, dado de baja, proceso de adquisición, etc.
• Uso del mismo: desarrollo, operación, mantenimiento, monitoreo y toma de decisiones.
• Acceso al hardware (llaves de seguridad).
• Bitácoras de uso (quién, cuando, para qué, entre otros puntos).
SOFTWARE (Sistemas Operativos, Sistemas de Información, Bases de Datos)
Conjunto de programas y rutinas que permiten a la computadora realizar determinadas tareas.
Se debe considerar los Sistemas Operativos considerados conocidos también como Software
Base, Los procedimientos de auditoría de software son importantes para evaluar las
aplicaciones y los programas que utiliza una empresa u organización, la validez de esos
programas y el resguardo de las aplicaciones en un ambiente controlado y centralizado. La
falta de controles en el manejo de software puede dar lugar a inspecciones, multas y demandas
de organizaciones como la Business Software Alliance. Un buen programa de procedimiento de
auditoría de software eliminará las discrepancias respecto al uso del software de la
organización.
Los objetivos de la auditoria del entorno software son:
9
• Revisar la seguridad del lógica sobre ficheros de datos y programas.
• Revisar las librerías utilizadas por los programadores.
• Examinar que los programas realizan lo que realmente se espera de ellos.
• Revisar el inventario de software.
• Comprobar la seguridad de datos y software.
• Examinar los controles sobre los datos.
• Revisar los procedimientos de entrada y salida.
• Verificar las previsiones y procedimientos de back-up.
• Revisar los procedimientos de planificación, adecuación y mantenimiento del software
del sistema.
• Revisar la documentación sobre software de base.
• Revisar los controles sobre programas producto (paquetes externos).
• Examinar la utilización de estos paquetes.
• Verificar periódicamente el contenido de los ficheros de usuario.
• Determinar que el proceso para usuarios está sujeto a los controles adecuados.
• Examinar los cálculos críticos.
• Supervisar el uso de las herramientas potentes al servicio de los usuarios.
• Comprobar la seguridad e integridad de las bases de datos.
El papel actual de los Sistemas de Información en los negocios
Los negocios ya no son los mismos en Estados Unidos ni en el resto de la economía global. En
2010, las empresas estadounidenses invirtieron cerca de $562 miles de millones en hardware,
software y equipo de telecomunicaciones para los sistemas de información y tenían planeado
invertir otros $800 miles de millones en consultoría y servicios de negocios y administración: lo
cual implica el rediseño de las transacciones de las empresas para sacar provecho de estas
nuevas tecnologías. La figura 1-1 muestra que entre 1980 y 2009, la inversión de negocios
privados en la tecnología de la información consistente en hardware, software y equipo de
comunicaciones aumentó del 32 al 52 por ciento de todo el capital invertido.
Cómo los Sistemas de Información transforman los negocios
10
Podemos ver los resultados de estos gastos masivos a nuestro alrededor si observamos cómo
es que las personas realizan negocios. En 2009 se abrieron más cuentas de teléfonos
celulares (móviles) que líneas alámbricas (fijas) instaladas. Los teléfonos celulares, las
BlackBerrys, los iPhones, el correo electrónico y las conferencias en línea a través de Internet
se han convertido en herramientas esenciales de negocios. Ochenta y nueve millones de
personas en Estados Unidos accedieron a Internet mediante dispositivos móviles en 2010, casi
la mitad de la población total de usuarios de Internet
Figura 1. Inversión de capital en tecnología de información
La inversión de capital en tecnología de información, definida como hardware, software y
equipo de comunicaciones, creció de 34% a 50% durante el periodo 1980 – 2000.
En el 2006, las empresas US. Invirtieron 1.8 billones en hardware, software y equipo de
telecomunicaciones para los SI, 1.7 billones en consultoría.
La mayoría de los Gerentes utilizan los SI y realiza grandes inversiones en TI, el Gerente
tendrá que saber cómo invertir este dinero de manera acertada. Si elige atinadamente, su
empresa puede superar a sus competidores, caso contrario desperdiciaran un capital valioso.
Durante 2005. FedEx traslado cerca de 100 millones de paquetes de US. y UPS (United Porcel
Service) traslado mas de 380 millones de paquetes - la mayoría durante la noche.
En US. mas de 24 millones entre gerentes y trabajadores se apoyan en los SI para realizar
negocios. Finalmente los SI han apoyado a las empresas a lograr sus objetivos de negocio.
11
Figura 2. Empresas que lograron sus objetivos de negocio
Conectividad (Intranet, Internet, Redes LAN, MAN, WAN, WLAN, WMAN, WWAN)
Intranet
Es un conjunto descentralizado de redes de comunicación interconectadas que utilizan la
familia de protocolos TCP/IP, lo cual garantiza que las redes físicas heterogéneas que la
componen como una red lógica única de alcance mundial. Uno de los servicios que más éxito
ha tenido en internet ha sido la World Wide Web (WWW o la Web), hasta tal punto que es
habitual la confusión entre ambos términos.
Las intranet son simplemente sitios Web internos de una compañía en donde sólo los
empleados pueden acceder a éstos. El término ―intranet‖ se refiere al hecho de que es una red
interna.
Caso: SIX FLAGS, Opera 29 parques de diversiones en Norteamérica, mantiene una intranet
para sus 25,000 empleados que pueden observar noticias relacionadas con la empresa,
precios, información sobre las operaciones diarias, pronósticos del clima, procesos y
procedimientos internos, itinerarios de desempeño, etc.
Internet
12
Es una red informática que utiliza la tecnología del Protocolo de Internet para compartir
información, sistemas operativos o servicios de computación dentro de una organización. El
objetivo es organizar el escritorio de cada individuo con mínimo costo, tiempo y esfuerzo para
ser más productivo, rentable, oportuno, seguro y competitivo.
Sus orígenes se remontan a la década de 1960 con un proyecto de la Marina de U.S., Internet
es un conjunto descentralizado de redes de comunicación interconectadas que utilizan la
familia de protocolos TCP/IP (utiliza una IP – internet protocol - única de 0-255 separadas por
puntos).
Ejemplo V4: 100.100.100.1;100.100.100.2; etc
Ejemplo V6: 100.100.100.100.100.1;100.100.100.100.100.2; etc
Uno de los servicios que más éxito ha sido la World Wide Web (WWW). Otras extensiones:
.com=organizaciones, .edu=instituciones educativas, .gob=gobierno, .org=fundaciones no
lucrativas.
Existen servicios de internet como el envío de correo electrónico (SMTP), la transmisión de
archivos (FTP), las conversaciones en línea (IRC), la mensajería instantánea (MSN), la
telefonía (VoIP), televisión (IPTV).
Redes LAN
Red de área local. Es un grupo de equipos que pertenecen a la misma organización y están
conectados dentro de un área geográfica pequeña a través de una red, generalmente con la
misma tecnología (la más utilizada es Ethernet).
Una red de área local es una red en su versión más simple. La velocidad de transferencia de
datos en una red de área local puede alcanzar hasta 10 Mbps (por ejemplo, en una red
Ethernet) y 1 Gbps (por ejemplo, en FDDI o Gigabit Ethernet). Una red de área local puede
contener 100, o incluso 1000, usuarios.
Al extender la definición de una LAN con los servicios que proporciona, se pueden definir dos
modos operativos diferentes:
• En una red "de igual a igual" (abreviada P2P), la comunicación se lleva a cabo de un
equipo a otro sin un equipo central y cada equipo tiene la misma función.
• En un entorno "cliente/servidor", un equipo central le brinda servicios de red a los
usuarios.
13
Figura 3. Entorno "cliente/servidor"
Redes MAN
Una red de área de metropolitana (MAN, siglas del inglés Metropolitan Area Network) es una
red de alta velocidad (banda ancha) que da cobertura en un área geográfica extensa,
proporcionando capacidad de integración de múltiples servicios mediante la transmisión de
datos, voz y vídeo, sobre medios de transmisión tales como fibra óptica y par trenzado (MAN
BUCLE).
Entre los usos de las redes MAN, puede mencionarse la interconexión de oficinas dispersas en
una ciudad pero pertenecientes a una misma corporación, el desarrollo de un sistema de video
vigilancia municipal y el despliegue de servicios de VoIP.
La sigla VoIP se puede leer de varias maneras, como ser ―voz sobre Protocolo de Internet‖,
―voz sobre IP‖ o ―voz IP‖ y se trata de un conjunto de recursos que posibilitan el envío de la
señal de voz a por medio de Internet haciendo uso de un IP. En otras palabras, si se utiliza una
red MAN para brindar servicios de VoIP, se hace posible una comunicación similar a la
telefónica pero enviando la información en paquetes digitales de datos, en lugar de utilizar las
redes analógicas de telefonía.
Redes WAN (Wide Area Network)
La llamada Red de Área Amplia, o WAN como también se la conoce es básicamente una o
más redes LAN interconectadas entre sí para poder abarcar mucho más territorio, a veces
incluso, hasta continentes.
Redes WLAN (Wireless Local Network)
14
Una Red de Área Local Inalámbrica, más conocida como WLAN, es básicamente un sistema
de transferencia y comunicaciones de datos el cual no requiere que las computadoras que la
componen tengan que estar cableadas entre sí, ya que todo el tráfico de datos entre las
mismas se realiza a través de ondas de radio. A pesar de que son menos seguras que su
contrapartida cableada, ofrecen una amplia variedad de ventajas, y es por ello que su
implementación crece día a día en todos los ámbitos.
Redes WMAN (Wireless Metropolitan Network):
La WMAN o Red Metropolitana Inalámbrica por su traducción al español, es una versión
inalámbrica de MAN, la cual puede llegar a tener un rango de alcance de decenas de
kilómetros. Esta tecnología utiliza técnicas basadas en el estándar de comunicaciones WiMAX
(Worldwide Interoperability for Microwave Access).
Redes WWAN: (Wireless Wide Área Network)
Wireless WAN o Red Inalámbrica de Area Amplia es una red que es capaz de brindar cobertura
inalámbrica en un área geográfica relativamente grande. Básicamente, una WWAN difiere de
una Wireless Local Area Network o WLAN en que la primera de ellas utiliza tecnologías de red
celular de comunicaciones móviles como WiMAX, UMTS, GPRS, EDGE, CDMA2000, GSM,
CDPD, Mobitex, HSPA y 5G para realizar la transferencia de los datos entre los nodos que
componen la red. También puede ser que nos encontremos con la posibilidad de utilizar LMDS
y Wi-Fi autónoma para acceder a internet.
Tecnología de información (TIC)
Concepto: Consiste en todo el hardware, software y comunicaciones que una empresa requiere
para alcanzar sus objetivos de negocios.
Información vs. Datos
Información, concepto: Se entienden los datos que se han moldeado en una forma significativa
y útil para los seres humanos.
Datos, concepto: Son secuencia de hechos en bruto que representa eventos antes de ser
organizados y ordenados en una forma que las personas puedan entender y utilizar de manera
efectiva.
15
Figura 4. Información vs. Datos
Los datos en bruto de la caja registradora de un marker se procesan y organizan para obtener
información significativa, como la cantidad de unidades totales vendidas de detergente para
trastes o los ingresos totales por la venta de detergente para trastes de una tienda.
Seguridades en las TICS
Seguridad en las TICS, es una rama de la tecnología conocida como seguridad de la
información aplicada para los ordenadores y redes.
El objetivo del equipo de seguridad incluye la protección de la información y la propiedad contra
el robo, la corrupción, o los desastres naturales.
Debe considerarse también la CRIPTOGRAFIA.
Los sistemas TIC que tratan información clasificada son sometidos a un exigente proceso que
debe acreditar que estos cumplen con todos los requisitos de seguridad necesarios para su
puesta en producción. Este proceso de acreditación engloba cinco grupos de actividades:
documentación de seguridad; seguridad del entorno de operación; seguridad de las
emanaciones electromagnéticas, seguridad criptológica y seguridad de las TIC.
La documentación de seguridad es el requisito necesario para iniciar el proceso de
acreditación de cualquier sistema TIC. Ésta engloba un concepto de operación que expresa el
objeto para el cual se implanta el sistema, indicando el nivel máximo de clasificación de la
información que podrá tratar así como sus condiciones de explotación y las principales
amenazas a las que éste estará sometido ; un análisis formal de riesgos asociados al sistema
TIC, cuyo objetivo es estimar la magnitud del riesgo al que está sometido el sistema; una
declaración de requisitos de seguridad en el que se expongan los principios de seguridad de la
información que aplican al sistema así como los requisitos de seguridad que deberán ser
implantados; y los procedimientos operativos de seguridad que, entre otros, describe de
16
manera precisa el modo en el que se debe manejar la información clasificada, las
responsabilidades de los usuarios y administradores, así como los pasos que deben seguirse
en caso de incidencia o contingencia.
La seguridad del entorno de operación debe garantizar la seguridad física de las áreas
donde se aloje la infraestructura TIC del sistema, así como de aquellas áreas en las que se
maneja información clasificada, bien sea en formato papel o electrónico. La seguridad del
personal es uno de los elementos clave ya que para el manejo de la información clasificada es
necesario que éste disponga de una habilitación personal de seguridad (HPS) y además tenga
la necesidad de conocer (Need-to-Know). Por otro lado, la seguridad de los documentos– bien
sean en formato papel o electrónicos – deben estar correctamente securizados para evitar
fugas de información intencionadas o accidentales. Para ello es necesario disponer, entre
otros, de procedimientos de control de la documentación clasificada o medidas técnicas como
sistemas de impresión segura, desmagnetizadores homologados para el borrado seguro de
datos, trituradoras de papel o armarios blindados.
La seguridad de las emanaciones electromagnéticas lleva consigo la aplicación de técnicas
que eviten la emanación de señales de radiofrecuencia que pudieran transmitir información
sensible a través de ondas electromagnéticas. Éstas pueden ser generadas
intencionadamente, por dispositivos de escuchas, o de manera accidental, a través de sistemas
Wifi u otros dispositivos radioeléctricos.
La seguridad criptológica establece la obligatoriedad de uso de aquellos productos
certificados por la autoridad nacional de acreditación de sistemas clasificados en cualquiera de
sus disciplinas: criptografía, criptoanálisis, esteganografía y esteganoanálisis.
Figura 5. Seguridad criptológica
ORGANIZACIÓN DEL DEPARTAMENTO DE INFORMATICA
17
Como no todas las industrias ni todas las empresas son iguales, y al interior de una misma
industria tampoco tienen por qué ser iguales ni compartir la misma estrategia de
implementación de un departamento TI. Lo que se debe tener claro cuál es el ROL de un
departamento de TI al interior de una empresa. Cuál es el real valor para el negocio que aporta,
cuáles son las funciones, etc. Recordemos que para muchas empresas el principal activo es la
información y para otras, su principal negocio está soportado por las Tecnologías de
Información.
Hay una serie de preguntas que el gerente debiera hacerse y responderse. (Acá, dependiendo
de cuán autónomo pueda ser, dado que muchos departamentos de informática dependen de
otras áreas por ejemplo de finanzas). Unos ejemplos:
1) Evaluar qué tan alineadas están las TI con el negocio
2) Se están aprovechando los recursos de manera óptima?
3) Entiende la organización el rol de las TI como aporte al valor del negocio?
4) Existe la gestión de riesgos? como se mitigan?
5) Los sistemas son apropiados para el negocio?
6) Qué existe al interior y qué tengo externalizado?
7) Cuento con el presupuesto para llevar a cabo la planificación, puedo conseguir recursos?
Luego, el paso natural, una vez que se tiene claro lo anterior es empezar a desarrollar el plan
estratégico de TI. Algunos de los proyectos que podrían resultar de la planificación estratégica
son:
• Definición de la Arquitectura de Información, implementación de estándares de calidad,
lograr certificaciones, definir políticas, normas y procedimientos.
• Definición de la Organización y de las Relaciones de TI (Organigrama e interacción con
otras áreas)
• Distribución de la Inversión en Tecnología de Información.
• Administración de proyectos, administrar personal, administrar riesgos y administrar
requerimientos.
18
Hay varias formas de abordar el diseño de un nuevo modelo organizativo, una es por ‖Análisis
de funciones‖ y otra basada en ―Análisis por Procesos‖, las cuales se describen a
continuación y que se complementan:
Análisis de funciones: Lo primero es saber qué funciones se hacen en el departamento de TI
y qué área o grupo las ejecuta. Esto se puede abordar desde cero o bien en base a algún tipo
de lista previa que contenga las funciones más comunes y ampliarla adaptándola a las
singularidades de TI. Una vez que se dispone de la relación de funciones, se van asignando a
cada área/grupo de TI que las realiza, utilizando para ello el organigrama en vigor. Cuando se
dispone de estos datos, ya se detecta qué funciones están duplicadas, segmentadas o no se
hacen. Con esa información se pueden abordar cambios organizativos que hagan más eficaz la
actividad de los recursos que componen TI. Es un modo de mejorar la actividad de TI sin
aumentar los recursos humanos y por tanto sin incurrir en mayores costes.
Análisis por procesos: Otra línea de actuación es organizar las funciones de TI en base a
procesos. Cuando se aborda el análisis y mejora de los procesos, se tiene que entrar en la
estructura organizativa de TI ya que para cada proceso deben estar asignadas las
responsabilidades para todas las actividades que se realizan. Esto supone analizar cuáles son
los flujos de cada proceso y quienes son los implicados. A medida que se van detallando las
matrices de responsabilidad de cada proceso de TI, se van identificando las inconsistencias y
van aflorando las duplicidades, las ambigüedades y demás situaciones que ralentizan la
realización de cada proceso e incluso que los hacen poco eficientes. Ello permite tomar
medidas organizativas encaminadas a solventar dichas ineficiencias. En este sentido, guías de
buenas prácticas como ITIL, Cobit o las normas ISO, son de gran ayuda ya que proponen una
estructura de procesos frente a los que compararse y que representan el correcto
funcionamiento del departamento de TI, incluso ofrecen detalle de las actividades a realizar y
los roles que deben existir.
A manera de ejemplo, podríamos indicar el siguiente organigrama de una organización TI (es
un ejemplo pequeño, pero instructivo).
19
Organigrama estructural
Organigrama Funcional
PROCESOS NEGOCIO Y SISTEMAS DE INFORMACIÓN
Que es un “Procesos de Negocio”?
(1) Es la manera en que se organiza, coordina y enfoca el trabajo para producir un producto o
servicio.
(2) Son flujos de trabajo de materiales, información y conocimiento, ed., es un conjunto de
actividades.
(3) Los procesos de negocios se refiere a las formas únicas en coordinar el trabajo, la
información y el conocimiento.
20
E.g. La función de ventas y marketing podría ser la encargada de identificar clientes. La función
de rrhh podría estar a cargo de la contratación de empleados.
Ejemplos de procesos de negocios funcionales
Figura 6. Procesos de negocios comunes de cada una de las áreas funcionales
Ejemplo de proceso de negocio tecnológico: Incident Management
Figura 7. Incident Management
21
Ejemplo de proceso de negocio tecnológico: Problem Management
Figura 8. Problem Management
El Proceso de negocio: cumplimiento de pedidos
Figura 9. Cumplimiento de pedidos
22
e.g. Para cumplir el pedido de un Cliente se requiere un conjunto complejo de pasos que
exigen la estrecha coordinación de las funciones de ventas, contabilidad y manufactura. El
departamento de ventas recibirá un pedido, este pasara por contabilidad para asegurar que el
Cliente tenga la capacidad de pago, luego producción toma el producto del inventario o lo
produce.
¿Exactamente cómo mejoran los SI los procesos de negocios?
(1) Incrementando la eficiencia de los procesos existentes y (2) posibilitando procesos nuevos
capaces de transformar la empresa. Los SI automatizan muchos de los pasos en los procesos
de negocios que antes se realizaban en forma manual.
e.g. Descargar un libro electrónico Kindle de Amazon, comprar una computadora en línea en
Best Buy y bajar una pista musical de iTunes son procesos nuevos de negocios que se basan
en modelos recientes, que serían inconcebibles sin la tecnología actual de la información.
Tipos de sistemas de información
Una organización de negocios tiene sistemas que dan soporte a los procesos de cada una de
las principales funciones de negocios: sistemas para ventas y marketing, manufactura y
producción, finanzas y contabilidad, y recursos humanos, entonces un negocio puede contar
con decenas de "procesos de negocio" y por ello se requiere decenas o centenas de
programas de computo (aplicaciones).
Figura 10. Tipos de sistemas de información
Desde una perspectiva funcional
• Sistemas de ventas y marketing
23
• Sistemas de manufactura y producción
• Sistemas financieros y contables
• Sistemas de recursos humanos
Sistemas de ventas y marketing
A marketing le corresponde identificar los Clientes, planear, anunciar y promover los productos
o servicios de la empresa. A ventas le corresponde contactar a los Clientes, vender sus
productos o servicios, tomar pedidos y llevar el registro de ventas
e.g. Las Jefaturas vigilan las tendencias de ventas de los nuevos productos, apoyan a la
planeación de nuevos productos o servicios, investigación de mercados y análisis de las
campañas publicitarias, fijación de precios y desempeño de ventas.
24
Figura 11. SI de información de ventas
e.g. El sistema captura los datos de ventas en el momento que se realiza la venta para ayudar
a la empresa a monitorear las trxs de ventas y ofrecer información que ayude a los Gerentes
analizar las tendencias de ventas y la efectividad de las campañas de MK.
Sistemas de manufactura y producción
Los sistemas de manufactura y producción están relacionados con la planeación, el desarrollo
y el mantenimiento de las instalaciones de producción; el establecimiento de las metas de
producción; la adquisición, almacenamiento y disponibilidad de los materiales de producción,
así como la programación de equipo, instalaciones, materiales y mano de obra requeridos para
obtener productos terminados.
e.g. Las Jefaturas vigilan las metas de manufactura a largo plazo, como/donde instalar nuevas
plantas, invertir en nueva tecnología. Analizan y vigilan los costos y recursos de manufactura.
25
Figura 12. Esquema de un sistema de inventario
e.g. Este sistema proporciona información sobre la cantidad de artículos disponibles en
inventario para apoyar las actividades de manufactura y producción.
Sistemas de financieros y contables
La función de finanzas es administrar los activos financieros de la empresa como el efectivo,
las acciones, los bonos y otras inversiones, con el fin de maximizar su rendimiento. La función
de contabilidad es mantener y administrar los registros financieros de la empresa, los ingresos,
desembolsos, depreciación, nomina.
E.g. Las Jefaturas utilizan estos sistemas para establecer objetivos de inversión a largo plazo
para la empresa y para proporcionar pronósticos de desempeño a largo plazo.
26
Figura 13. Sistema de cuentas por cobrar
e.g. Un sistema de cuentas por cobrar da seguimiento y almacena datos importantes sobre los
clientes, como su historial de pagos, capacidad crediticia e historial de facturación.
Sistemas de recursos humanos
La función de rrhh es atraer, desarrollar y mantener la fuerza de trabajo de la empresa. Los
sistemas apoyan a identificar empleados potenciales, llevar registros completos de los
empleados existentes y crear programas para desarrollar las aptitudes y habilidades de los
empleados.
e.g. Las Jefaturas utilizan para identificar los requerimientos de rrhh (habilidades, nivel
educativo, tipos de puestos) para cumplir los planes de negocio a largo plazo de la empresa.
27
Figura 14. Sistema de registros de empleados
e.g. El sistema mantiene datos de los empleados de la empresa para apoyar la función de
RRHH.
Desde una perspectiva de los usuarios
• Sistemas de procesamientos de transacciones (TPS)
• Sistemas de información gerencial (MIS)
• Sistema de apoyo a la toma de decisiones (DSS)
• Sistemas de apoyo a ejecutivos (ESS)
Sistemas de procesamientos de transacciones (TPS)
Los gerentes operacionales necesitan sistemas que lleven el registro de las actividades y
transacciones elementales de la organización, como ventas, recibos, depósitos en efectivo,
nóminas, pagos a créditos, flujo de materiales en una fábrica entre otros.
28
Figura 15. Sistema de cuentas por cobrar
e.g. Las jefaturas necesitan los TPS para supervisar el estado de las operaciones internas, son
productores de información para los demás Sistemas. El sistema de cuentas por cobrar junto
con el de contabilidad, provee de datos al sistema mayor de la empresa
Sistemas de información gerencial (MIS)
Los gerentes operacionales necesitan sistemas que le ayuden con las actividades de
supervisión, control, toma de decisiones y administración. Los MIS resumen e informan sobre
las operaciones básicas de la empresa utilizando los datos aportados por los sistemas de
procesamiento de transacciones; muchos de estos informes se entregan el línea, datos
semanales, mensuales, anuales, por día o por hora.
Figura 16. De qué forma los SIG obtienen sus datos de los TPS de la organización
29
E.g. En el sistema que ilustra el diagrama, tres TPS aportan datos resumidos de transacciones,
al final del periodo, al sistema de elaboración de informes de los MIS.
Figura 17. Ventas por producto y región de ventas
e.g. MarketStar, utiliza el sistema Concur Expense Service para automatizar sus procesos de
elaboración de informes, auditoria y análisis de gastos y entretenimiento, con el sistema es
capaz de validar si sus objetivos de ventas planeadas se cumplieron.
Sistemas de apoyo a la toma de decisiones (DSS)
Brindan apoyo a la toma de decisiones que no es rutinaria. Se enfocan en problemas que son
únicos y cambian con rapidez. Tratan de responder a preguntas: ¿Cuál sería el impacto en la
producción no tengo capacidad de atender las ventas en el mes de diciembre? ¿Qué ocurriría
con nuestro rendimiento sobre la inversión si se retrasara la entrega del producto de una
fábrica por seis meses?.
Figura 18. Sistema de apoyo a la toma de decisiones para estimar viajes
30
Son sistemas para inteligencia de negocios (BI) & Data Werehousing (DWH), Balanced
ScoreCard. La inteligencia de negocios se refiere a los datos y herramientas de software para
organizar, analizar y proveer acceso a la información para ayudar a los gerentes y demás
usuarios empresariales a tomar decisiones más documentadas.
Sistemas de apoyo a ejecutivos (ESS)
Apoyan a las Jefaturas a tomar decisiones no rutinarias que requieren juicio, evaluación y
comprensión porque no hay un procedimiento convenido para llegar a una solución.
Figura 19. Modelo de un sistema de apoyo a ejecutivos
e.g. el director de Leiner Health, fabricante de vitaminas y suplementos alimenticios, cuenta con
un ESS que envía un panorama minuto a minuto del desempeño financiero, mediciones del
capital de trabajo, cuentas por cobrar y pagar, flujo de efectivo, e inventarios
31
Figura 20. Aplicaciones Empresariales
e.g. Las Aplicaciones Empresariales integran información para toma de decisiones.
Aplicaciones Empresariales
• Sistemas empresariales (ERP)
• Sistemas de administración de la cadena de suministro (SCM)
• Sistemas administración de las relaciones con el cliente (CRM)
• Sistemas de administración del conocimiento (KMS)
Sistemas empresariales (ERP), Sistemas de administración de la cadena de suministro (SCM),
Sistemas administración de las relaciones con el cliente (CRM), Sistemas de administración del
conocimiento (KMS)
32
Figura 21. Aplicaciones Empresariales
Sistemas empresariales (ERP)
Los sistemas empresariales integran los procesos de negocios clave de toda una empresa en
un solo sistema de software que permita un flujo transparente de la información a través de la
organización. Estos sistemas se enfocan principalmente a procesos internos operativos.
Dan a las empresas la flexibilidad para responder rápidamente a las solicitudes de los Clientes
y al mismo tiempo producir y almacenar el inventario únicamente para surtir los pedidos.
Caso: Alcoa.- productor de aluminio, con operaciones en 41 países y 500 localidades, c/u de
las cuales poseía su propio SIG, todos redundantes e ineficientes. Los costos de Alcoa para
ejecutar procesos de pago y financieros eran mucho mas altos que otras empresas de su
industria, el problema que la Compañía no podía funcionar como una sola.
ERP de Alcoa.- después de implementar suite de Oracle, Alcoa elimino muchos procesos y
sistemas redundantes. Ayudo el sistema a reducir los procesos de pago, fue capaz de
centralizar sus actividades financieras ahorrando cerca del 20% de sus costos a nivel mundial.
Su ERP muestra las correlaciones entre la rentabilidad y la capacitación de empleados, mide
los costos en métodos ABC, mide la efectividad del reclutamiento, remuneración variable entre
otros.
33
Sistemas de administración de la cadena de suministro (SCM)
El objetivo primordial es conseguir la cantidad correcta de sus productos desde su origen al
punto de consumo en la menor cantidad y al costo más bajo. Si una empresa y su red de
suministro ni cuentan con información exacta, lo más probable es que tendrán inventarios
excedidos, planes de manufactura imprecisos y calendarios de producción erróneos.
Caso: Alcan Packaging.- tenía problemas para surtir los pedidos de materiales de empaque
para alimentos, productos farmacéuticos y cosméticos.
No contaba con información para tomar decisiones sobre cuanto producir, como asignar su
personal o como cumplir sus fechas de compromisos. Un mes trabajaba su personal horas
extras y al siguiente recortaba personal.
SCM de Alcan Packaging.- después de implementar SAP, incremento la rentabilidad
reduciendo los costos de desplazamiento hasta 7.5% y permite a los Gerentes a tomar
decisiones sobre cómo organizar y programar la contratación, la producción y la distribución
Sistemas administración de las relaciones con el cliente (CRM)
Aportan información para coordinar todos los procesos de negocio relacionados con el Cliente
en las áreas de ventas, marketing y servicio al Cliente, para optimizar los ingresos, al igual
que la satisfacción y la retención del Cliente.
Caso: SAAB USA.- importa y distribuye los vehículos Saab a los concesionarios de U.S, tenia
fragmentada la información de sus Clientes, de acuerdo a sus 3 canales: su red de
distribuidores, un centro de asistencia a Clientes, y un centro Administración de contactos, c/u
con un sistema diferente.
CRM de Saab.- después de implementar SIEBEL SYSTEM, logro integrar los sistemas con
Clientes y consolidar información proveniente por: teléfono, correo, dispositivos inalámbricos,
establecimientos comerciales o web, la satisfacción del Cliente se elevo del 69% al 75%.
34
Sistemas de administración del conocimiento (KMS)
Permiten a las organizaciones administrar mejor los procesos para capturar y aplicar el
conocimiento y la experiencia.
Estos sistemas recolectan todo el conocimiento y experiencia relevantes en la empresa, para
hacerlos disponibles en cualquier parte y cada vez que se requieran para mejorar los procesos
de negocios y las decisiones gerenciales. También enlazan a la empresa con fuentes externas
de conocimiento.
Caso: BARRICK.- líder mundial en producción de oro, usa las herramientas de OPEN TEXT
LIVELINK ENTERPRISE con el fin de administrar las cantidades masivas de información
requerida para construir minas.
El sistema de administración de contenido electrónico de Barrick reduce la cantidad de tiempo
requerido para buscar documentos, mejorar la calidad de las decisiones y minimizar el
retrabajo.
Un problema clave en la administración del conocimiento es la creación de un esquema de
clasificación apropiado, o taxonomía, para organizar la información en categorías. Una vez que
se logro "etiquetar― cada objeto de conocimiento, Los empleados podrán recuperar con
facilidad los documentos.
Arquitectura de las aplicaciones Empresariales
Figura 22. Aplicaciones que abarcan la empresa en forma integral
35
Que son los Sistemas de Información?
Se puede definir desde el punto de vista técnico como el conjunto de componentes
interrelacionados que recolectan, procesan, almacenan y distribuyen información para que el
proceso este CONTROLADO y que el mismo apoye a la toma de decisiones en una
organización. Ayuda a los Gerentes y miembros de equipo a analizar problemas, visualizar
asuntos complejos, crear nuevos productos y mejorar los existentes.
7 Objetivos estratégicos de negocios – Michael Porter
• excelencia operativa
• nuevos productos
• servicios y modelos de negocio
• buenas relaciones con Cliente y Proveedores
• toma de decisiones mejorada
• ventaja competitiva
• supervivencia
Figura 23. Michael Porter: Nació en 1947 Michigan - reside en Brookline
36
Excelencia Operativa
Mejorar la eficiencia en sus operaciones para lograr una rentabilidad más alta.
Los sistemas y las TIs son herramientas disponibles de las gerencias.
e.g. Wal-Mart, el minorista más grande del planeta, ejemplifica el poder de los SI atados a
prácticas de negocios muy inteligentes y una administración eficiente para conseguir una
eficiencia operativa. 2005, alcanzo 258 millones en ventas, el 10% de las ventas al retail en US.
Gran parte gracias a su sistema RetailLink, tan pronto como un cliente compra un artículo, el
proveedor sabe que tiene que enviar uno de reemplazo.
Nuevos productos
Servicios y Modelos de Negocio
Business model: describe la manera en que una empresa produce, distribuye, vende un
producto o servicio para crear riqueza.
e.g. Apple Inc. Transformo su viejo modelo de negocios de distribución de música en discos,
cintas, Cds en un nuevo modelo legal de distribución en su propia plataforma de su iPod,
iTunes
e.g. Netflix transformo el negocio de renta de videos en un nuevo modelo de negocios por
Internet que pone alrededor de 60,000 títulos en DVD por medio del correo postal en 24 horas.
En la actualizad Netflix dio un giro al negocio con suscripciones anuales por internet.
Buenas relaciones con Cliente y Proveedores
Cuando una empresa como a sus Customers y los atienden bien, los clientes regresan, esto
incrementa los ingresos y utilidades.
37
e.g. Mandarín Oriental Hotel de Manhattan y otros hoteles usan sistemas y TI para guardar
preferencias del Cliente, cuando el Cliente se hospeda en un hotel de la Cadena la habitación
se configura a su gusto
Cuanto más ocupa una empresa a sus suppliers estos ofrecen sus inputs – insumos a mejor
costo y con mejores condiciones.
e.g. J.C.Penney, cada vez que un Cliente realiza un pedido de camisas, el requerimiento se
registra en el sistema de su proveedor (Apparel) en Hong Kong, su SI fabrica las camisas por
demanda, evitando el inventario y almacenamiento en J.C.Penney (casi cero)
Toma de decisiones mejorada
En la actualidad, los Gerentes usan forecasts para tomar sus decisiones.
En no usarlas conduce a sobreproducción o una producción insuficiente de bienes y servicios.
Mala asignación de recursos, tiempos de respuesta pobres, perder customers.
Los SI proporcional datos en real-time para toma de decisiones.
E.g. Verizon Comporation, regional de Bell, utiliza un dashboard de métricas, la información
está en el Web, la información proporciona a sus Gerentes información precisa y real de las
quejas del Cliente, desempeño de la red telefónica, interrupciones de servicios o líneas
dañadas por las tormentas.
Ventaja Competitiva
Lograr más ventas y beneficios mediante el uso de SI a través de:
* Hacer mejor las cosas que sus competidores
* cobrar menos por mejores productos y responder a clientes y proveedores en tiempo real.
* El uso de Internet es una ventaja competitiva
38
e.g. Dell, en una época que los precios han caído, ellos han mostrado una rentabilidad
consistente durante sus 25 años de vida. La ―personalización masiva‖ en la Web que pueda
ensamblar y personalizar su PC ha sido una ventaja.
Supervivencia
La información tecnológica es necesaria para hacer negocios. Cambios en la industria requiere
de ―elementos necesarios‖.
e.g. CitiBank introdujo los primeros cajeros automáticos – ATMs en New York en 1977 para
atraer a sus Clientes, en la actualidad casi todos los Bancos tienen cajeros en cada región, con
redes Nacionales e Internacionales, como CIRRUS.
Interdependencia entre las Organizaciones y la Tecnología de la Información
Existe una creciente interdependencia entre los SI de una empresa y sus capacidades
empresariales, los cambios de estrategia, las reglas y los procesos de negocios requieren cada
vez más cambios en hardware, software, BDD y telecomunicaciones. Con frecuencia, lo que la
Organización quiere lograr va a depender de lo que sus sistemas le permitan hacer.
Figura 24. Interdependencia entre las Organizaciones y la TI
39
Fuerzas competitivas de Porter
El modelo de fuerzas competitivas de Michael Porter proporciona una visión general de la
empresa. En este modelo hay cinco fuerzas competitivas que dan forma al destino de la
empresa:
• Competidores tradicionales
• Nuevos participantes en el mercado
• Productos y servicios sustitutos
• Clientes
• Proveedores
Figura 25. Fuerzas competitivas de Porter
La posición estratégica de la empresa y sus tácticas se determinan no sólo mediante la
competencia, sino también mediante otras fuerzas en el entorno de la industria: nuevos
participantes en el mercado, productos sustitutos, clientes y proveedores
Competidores tradicionales
Todas las empresas comparten espacio de mercado con otros competidores que están ideando
en forma continua nuevas maneras más eficientes de producir, mediante la introducción de
nuevos productos y servicios, además de que intentan atraer a los clientes mediante el
desarrollo de sus marcas y costos.
40
Nuevos participantes en el mercado
En una economía libre con mano de obra móvil y recursos financieros, siempre hay nuevas
compañías que entran al mercado. En algunas industrias, las barreras para entrar son muy
bajas, mientras que en otras el acceso es muy difícil.
E.g. es bastante fácil empezar un negocio de pizza o casi cualquier comercio pequeño de
ventas al detalle, pero es mucho más costoso y difícil entrar al negocio de los chips de
computadora.
Productos y servicios sustitutos
En cualquier industria existen sustitutos que sus clientes podrían usar si sus precios aumentan
demasiado. Las recientes tecnologías crean nuevos sustitutos todo el tiempo. Para el caso del
petróleo: el etanol puede suplir a la gasolina; el aceite vegetal al diesel; la energía de viento,
solar, de carbón e hidráulica a la electricidad; el servicio telefónico de Internet al servicio
telefónico tradicional y las líneas telefónicas de fibra óptica en el hogar a las líneas de TV por
cable; un servicio de música por Internet puede remplazar a las tiendas de música basadas en
CD.
Entre más productos y servicios suplentes existan en su industria, menor será el control que
pueda ejercer sobre los precios y menores serán sus márgenes de ganancia.
Clientes
Una compañía rentable depende en gran medida de su habilidad para atraer y retener a sus
clientes, y de cobrar precios altos.
El poder de los clientes aumenta si pueden cambiar - sustituir los productos y servicios a un
competidor y además si tiene el poder de compra que le obligue a bajar sus precios.
e.g. Corporación la Favorita, tiene el poder de negociación con las tarjetas de crédito como
Diners Club, capaz de hacer negociaciones de compre hoy y pague desde Enero.
41
Proveedores
Los proveedores pueden tener un impacto considerable sobre las ganancias de una empresa.
Cuanto más abastecedores diferentes tenga una empresa, mayor será el control que pueda
ejercer sobre ellos en términos de precio, calidad y entrega.
Los fabricantes de computadoras laptop casi siempre cuentan con varios proveedores
contrincantes de material clave, como teclados, discos duros y pantallas.
Estrategias genéricas de Porter
Hay cuatro estrategias genéricas, cada una de las cuales se habilita a menudo mediante el uso
de tecnología y SI:
• Liderazgo de bajo costo
• Diferenciación del producto
• Enfoque en un nicho de mercado
• Fortalecimiento de la intimidad con los clientes y proveedores
Liderazgo en costos bajos
Al mantener precios bajos y estantes bien surtidos a través de un sistema de reabastecimiento
de inventarios, Wal-Mart se convirtió en la empresa líder en ventas al retail en U.S. El sistema
envía órdenes a sus proveedores tan pronto los consumidores pagan sus compras en las
cajas, es un ejemplo de respuesta eficiente a clientes.
Su competidor Sears, dedica 24.9% de sus ventas a costos fijos, mientras que Wal-Mart el
16.6%.
Un sistema de respuesta eficiente a sus clientes enlaza directamente el comportamiento del
consumidor con la distribución, producción y cadenas de suministros.
42
Diferenciación del producto
Los fabricantes están utilizando SI para crear productos o servicios personalizados que se
ajustan a clientes individuales.
Dell Computer Corporation vende directamente a sus clientes a través de una estrategia de
ensamblaje sobre pedido online.
Los clientes de Land‘s End, pueden utilizar su sitio web para pedir jeans, chaquetas y camisas
de acuerdo a sus propias especificaciones.
Esta capacidad de ofrecer productos o servicios a la medida de manera individual, con los
mismos recursos de producción, se denomina personalización masiva.
Figura 26. Nuevos productos y servicios habilitados mediante SI dan ventajas competitivas
Enfoque en un nicho de mercado
Los SI soportan esta estrategia al producir y analizar datos para ventas y técnicas de marketing
ajustadas con precisión. Permiten analizar los patrones de compra de sus clientes, sus gustos
y preferencias de una manera tan estrecha que pueden dirigir campañas de publicidad y
marketing focalizada. Las sofisticadas herramientas de software (BI) buscan patrones en BDD
e infieren reglas para guiar la toma de decisiones.
43
El sistema OnQ de Hilton Hotels analiza los datos detallados que se recolectan sobre sus
clientes, para determinar las preferencias, Hilton usa esta información para dar a sus
huéspedes privilegios adicionales.
Fortalecimiento de la intimidad con los clientes y proveedores
Los SI se usan para estrechar los lazos con los proveedores y desarrollar intimidad con los
clientes.
Chrysler Corporation utiliza SI para facilitar el acceso directo de los proveedores a los
itinerarios de producción, e incluso permite a los proveedores decidir cómo y cuándo enviar
provisiones a sus fábricas.
Amazon.com mantiene el registro de las preferencias de compras de sus usuarios y puede
recomendar a sus usuarios comprar sus artículos por comentarios de otros compradores.
Los lazos fuertes con los clientes y proveedores mejoran sus costos y lealtad para su empresa.
Figura 27. Estrategias genéricas de las fuerzas de Porter
44
Cadena de Valor
La perspectiva del proceso interno está relacionada con la cadena de valor por cuanto se han
de identificar los Procesos de Gobierno, Procesos Principales y Procesos de Soporte.
Pregunta: cuál debe ser el camino a seguir para alcanzar la propuesta de valor definida para el
cliente y cómo mantener satisfechos a mis accionistas?
Respuesta: Debemos conocerse perfectamente la CADENA DE VALOR de la empresa, sólo
así se podrán detectar necesidades y problemas.
Michael Porter: en su libro "Estrategia Competitiva", consideró ampliamente dicho
cuestionamiento, incidiendo en las ideas de liderazgo en costes y diferenciación, ya que
estaban enormemente influenciadas por las actividades consideradas por la organización para
llevar a cabo su actividad.
Figura 28. La cadena de valor
La cadena de valor está integrada por todas las actividades empresariales que generan valor
agregado y por los márgenes que cada una de ellas aportan. Se destaca tres partes:
Procesos de Gobierno
Procesos Principales
Procesos de Soporte
45
Figura 29. La cadena de valor
Sistemas de administración de base de datos (DBMS)
Base de Datos: es la colección de datos organizados para dar servicio a muchas aplicaciones
de manera eficiente, el objetivo centralizar los datos y controlar los que son redundantes.
El Sistema de Administración de Bases de Datos (DBMS) es un software que permite a una
organización centralizar los datos, administrarlos en forma eficiente y proveer acceso a los
datos almacenados mediante programas de aplicación
Figura 30. Sistemas de administración de base de datos
El Sistema de Administración de Bases de Datos (DBMS), es un grupo de programas que se
usan como una interfaz entre una base de datos y programas de aplicaciones, o entre una
base de datos y el usuario
e.g. Access (Microsoft); DB2 (IBM); Oracle; Sybase; Infomix
46
Figura 31. Esquema general de un DBMS
Que es la Inteligencia de negocios (BI)?
Las herramientas que permiten a los usuarios consolidar, analizar y dar acceso a grandes
cantidades de datos para ayudar a los ejecutivos a tomar mejores decisiones de negocios, se
denominan inteligencia de negocios (BI). Las herramientas incluyen software para consultas e
informes de bdd, herramientas de procesamiento analítico en línea (OLAP) y minería de datos.
E.g. Harrah‘s Entertainment, empresa de apuestas, analiza continuamente los datos sobre sus
clientes que juegan en sus maquinas tragamonedas o cuando acude a sus casinos. Los
resultados orienta a decisiones administrativas de cautivar a sus clientes más rentables, para
animarlos a gastar más.
47
Figura 32. Inteligencia de negocios (BI)
Una serie de herramientas analíticas trabajan con la información almacenada en las bdd para
encontrar patrones y conocimientos profundos para ayudar a los gerentes y empleados a tomar
mejores decisiones para una mejora en el desempeño de la organización
Procesamiento analítico en línea (OLAP)
Suponga que su compañía vende 4 productos distintos: tuercas, pernos, arandelas y tornillos
en la región: Este, Oeste y Central. El Gerente necesita conocer: cuántas arandelas se
vendieron durante el trimestre pasado?, fácilmente validamos en la bdd de ventas. Pero, si
quisiera saber cuántas arandelas se vendieron en cada una de sus regiones de ventas el
trimestre pasado, para comparar los resultados actuales con las ventas proyectadas? Para
obtener la respuesta, necesitaría el Procesamiento Analítico en Línea (OLAP); soporta el
análisis de datos multidimensional, el cual permite a los usuarios ver los mismos datos de
distintas formas mediante el uso de varias dimensiones.
48
Figura 33. Procesamiento analítico en línea (OLAP)
+ La vista que se muestra es la de PRODUCTO contra REGIÓN. Si gira el cubo 90 grados, la
cara mostrará la vista de producto contra las ventas actuales y proyectadas, si lo gira 90 grados
otra vez, verá la vista de región contra ventas actuales y proyectadas. Es posible obtener otras
vistas
Minería de Datos
Es la capacidad de seleccionar, explorar y modelar gran cantidad de datos para descubrir
relaciones entre ellos, generar patrones y obtener información; utilizando software
especializado de manejo de grandes cantidades de datos.
e.g. En mercadotecnia se analizan patrones de compra, segmentos de mercado, deserción de
clientes, detección de fraude, análisis de tendencias, etc.
En la banca se utiliza para encontrar clientes productivos, patrones de fraude, perfiles de
clientes, comportamientos temporales, etc.
La minería de datos está orientada al descubrimiento de patrones en los datos de los
consumidores para las campañas de marketing de uno a uno, o para identificar los clientes
rentables, para predecir el comportamiento a futuro.
Los tipos de información que se pueden obtener de la minería de datos son: asociaciones,
secuencias, clasificaciones, agrupamientos y pronósticos.
Las asociaciones son ocurrencias vinculadas a un solo evento.
49
e.g. Un estudio revelar que, cuando se compran frituras de maíz, el 65% compra un refresco de
cola. Esta información ayuda a los gerentes a tomar mejores decisiones y de realizar
promociones con el refresco que se desea vender.
Las secuencias, son eventos que se vinculan en el transcurso del tiempo.
e.g. Si se compra una casa, el 65% compra un nuevo refrigerador dentro de las siguientes 2
semanas, y el 45% compra un horno dentro del mes posterior a la compra de la casa
La clasificación, reconoce los patrones que describen el grupo al que pertenece un elemento,
para lo cual se examinan los elementos existentes que hayan sido clasificados y se infiere un
conjunto de reglas.
e.g. Las compañías de tarjetas de crédito o las telefónicas se preocupan por la pérdida de
clientes. La clasificación ayuda a descubrir las características de los clientes con
probabilidades de dejar de serlo y puede proveer un modelo para ayudar a los Gerentes idear
campañas especiales para retenerlos
El agrupamiento, funciona de una manera similar a la clasificación.
e.g. Una herramienta de minería de datos puede descubrir distintas agrupaciones dentro de los
datos
El pronóstico utiliza las predicciones de una manera distinta. Se basa en una serie de valores
existentes para pronosticar cuáles serán los otros valores.
e.g. el pronóstico podría encontrar patrones en los datos para ayudar a los gerentes a estimar
el futuro valor de variables continuas, como las cifras de ventas.
Existen aplicaciones de minería de datos para todas las áreas funcionales de negocios, y
también para el trabajo gubernamental y científico.
El análisis predictivo utiliza las técnicas de minería de datos, los datos históricos y las
suposiciones sobre las condiciones futuras para predecir eventos, como la probabilidad de que
un cliente responda a una oferta o compre un producto.
50
E.g. The Body Shop International, utilizó el análisis predictivo de su bdd de clientes de
catálogo, Web y tiendas minoristas; para identificar a los clientes que tenían mayores
probabilidades de realizar compras por catálogo. Esa información ayudó a la compañía a crear
una lista más precisa y dirigida, con lo cual se pudo mejorar la tasa de respuesta en cuanto al
envío de catálogos por correo y los ingresos por ventas.
E-business, E-comerce, E-government (A18)
e-business (negocio electrónico)
El e-business, se refiere al uso de la tecnología digital e Internet para ejecutar los principales
procesos de negocios en la empresa. El e-business
incluye las actividades para la administración interna de la empresa y para la coordinación con
los proveedores o partners
e-comerce (comercio electrónico)
El e-commerce es la parte del e-business que trata sobre la compra y venta de bienes y
servicios a través de Internet. Abarca las actividades que dan soporte a esas transacciones en
el mercado, como publicidad, marketing, soporte al cliente, seguridad, entrega y pago.
e-government (gobierno electrónico)
e-government, se refiere a la aplicación de las tecnologías de Internet y de redes para habilitar
de manera digital las relaciones del gobierno y las agencias del sector público con los
ciudadanos. Pagos como impuestos, anexos transaccionales, etc.
1.2. NORMAS ETICO MORALES QUE REGULAN LA ACTUACION DEL
AUDITOR
Ética y Moral
La ética es una ciencia que reflexiona sobre los actos consientes, libres y voluntarios que se
remiten a normas con la base del valor; la moral es una serie de juicios que dan como
51
resultado normas de comportamiento adquiridas por cada individuo que los delimita a los actos
morales e inmorales, lo bueno y lo malo.
La ética se refiere a los principios del bien y del mal que los individuos, y la moral, a guiar sus
comportamientos.
Figura 34. La ética en una sociedad de información
Ejemplos recientes de juicios éticos fallidos de los gerentes de nivel superior, como gerente o
empleado usted tendrá que decidir por su cuenta qué es lo que constituye una conducta legal y
ética apropiada
Responsabilidad, rendición de cuentas y responsabilidad legal
La responsabilidad, es un elemento clave de la acción ética; significa que usted acepta los
costos, deberes y obligaciones por las decisiones que toma.
La rendición de cuentas, es una característica de los sistemas e instituciones: significa que hay
mecanismos para determinar quién tomó una acción responsable, y quién está a cargo.
La responsabilidad legal, extiende el concepto de responsabilidad hasta el área de la ley. El
debido proceso es una característica relacionada de las sociedades gobernadas por leyes y es
un proceso en el que las normas se conocen y comprenden, además de que existe la habilidad
de apelar a las autoridades para asegurar que se apliquen las leyes correctamente.
Análisis ético
Cuando existen situaciones que implican aspectos éticos, existe un proceso de cinco etapas:
52
1. Identificar y describir los hechos con claridad
2. Definir el conflicto e identificar los valores de mayor orden involucrados
3. Identificar a los participantes
4. Identificar las opciones que se pueden tomar de manera razonable.
5. Identificar las consecuencias potenciales de sus opciones.
Principios éticos propuestos
Cuando se completó sus análisis éticos, existen principios o reglas éticas debe usar para tomar
una decisión:
1. Trate a los demás, como quisiera que lo trataran a usted (regla de oro).
2. Si una acción no es correcta para todos, no es correcta para nadie (imperativo categórico de
Emmanuel Kant)
3. Si una acción no se puede repetir, entonces nunca se debe efectuar (regla del cambio de
Descartes).
Códigos profesionales de conducta
Los códigos de ética son promesas de profesionales en pro del interés general de una
Sociedad. Por ejemplo, evitar dañar a otros, honrar los derechos de propiedad, honrar la
propiedad intelectual, respetar la privacidad, honestidad en los actos.
Dilemas éticos del mundo real
Los sistemas de información han creado nuevos dilemas éticos en los que un conjunto de
intereses se compara con otro. Muchas compañías supervisan lo que hacen sus empleados en
Internet para evitar que desperdicien recursos de la compañía en actividades que no estén
relacionadas con la empresa.
53
Figura 35. SurfControl, ofrece herramientas para dar seguimiento a la actividad de correo electrónico
SurfControl, ofrece herramientas para dar seguimiento a la actividad de correo electrónico y la
web, tratando de respetar la privacidad del empleado.
Principios y valores del auditor informático
• Honestidad: actuar con veracidad, sinceridad, franqueza, honradez e imparcialidad
• Integridad: principios sólidos, actúa en forma honorable y recta
• Cumplimiento: - Confianza - lleva a cabo sus compromisos
• Lealtad: fidelidad que guarda para sus auditados, no utilizando ni revelando
información
• Imparcialidad: actuar de forma equitativa en el cumplimiento del trabajo, justo, honesto
y razonable evitando tomar partido en la actividad que realiza
• Respeto a los demás: consideración y estima por la dignidad, intimidad
• Ciudadano Responsable: Respetar y hacer cumplir las leyes, normas y reglamentos
• Ver por los demás: Ayuda a sus semejantes, debe tener trato amable, cortés y justo,
ubicarse en el puesto de los otros
• Búsqueda de la Excelencia: Realizar el trabajo de forma eficiente y eficaz
• Responsabilidad: El auditor con la actividad que realiza debe aceptar plenamente las
consecuencias de su actuación personal.
• Confiabilidad: Su actuación debe estar apegada a las normas y criterios
• Veracidad: Utilizar herramientas, métodos que permiten obtener datos apegados a la
realidad, emitiendo juicios confiables
54
Responsabilidades del Auditor Informático
• Civiles: Por delitos e infracciones debido a negligencia, impericia, abuso de confianza
o dolo
• Penales: por delito de fraude, robo, abuso de confianza, encubrimiento, revelación del
secreto y responsabilidad profesional por parte del auditado y del auditor
Normas Profesionales del Auditor
• Emitir una opinión responsable y profesional respaldada en evidencias comprobadas
• Mantener una disciplina profesional
• Guardar el secreto profesional
• Tener independencia mental
• Contar con responsabilidad profesional
• Capacitación y adiestramiento permanentes
• Hacer una planeación de la auditoría y de los programas de evaluación
• Hacer la presentación del dictamen por escrito y aclarar las diferencias
Dimensiones morales de los SI
Relación entre aspectos éticos, sociales y políticos en sociedad de información
La introducción de la TI tiene un efecto de onda, el cual genera aspectos éticos, sociales y
políticos con los que debe lidiar en los niveles individual, social y político. Estos aspectos tienen
55
cinco dimensiones morales: derechos y obligaciones de información, derechos y obligaciones
de propiedad, calidad del sistema, calidad de vida y rendición de cuentas y control.
Figura 36. Dimensiones morales de los SI
Dimensiones morales de los Sistemas de Información
La introducción de la TI tiene un efecto de onda, el cual genera aspectos éticos, sociales y
políticos con los que debe lidiar en los niveles individual, social y político. Estos aspectos tienen
5 dimensiones morales:
• derechos y obligaciones de información
• derechos y obligaciones de propiedad
• calidad del sistema
• calidad de vida
• rendición de cuentas y control
Derechos y obligaciones de información: privacidad y libertad
La privacidad es el derecho de los individuos a no ser molestados, que no estén bajo vigilancia
ni interferencia por parte de otros individuos u organizaciones, incluyendo el estado. Algunas
prácticas honestas
56
Derechos y obligaciones de propiedad
La propiedad intelectual, es una propiedad intangible creada por individuos o corporaciones. La
TI ha dificultado la protección a la propiedad intelectual debido a que la información
computarizada se puede copiar o distribuir fácilmente en la redes, está sujeta a tres prácticas
legales:
• leyes sobres secretos comerciales
• leyes de derechos de autor
• leyes de patentes
Calidad del sistema: calidad de datos y errores de sistema
En qué punto deben decir los gerentes de sistemas: ―Dejen de probar, ya hicimos todo lo que
pudimos para perfeccionar este software‖. ¡Embárquenlo!?
Las compañías de software tratan de depurar sus productos antes de liberarlos al mercado.
Las tres principales fuentes de un mal desempeño del sistema son (1) bugs y errores de
software, (2) fallas de hardware o de las instalaciones provocadas por causas naturales (3)
mala calidad de los datos de entrada. De acuerdo a la tecnología, actualmente existen límites
de aceptación antes de ser liberado.
Calidad de vida: equidad, acceso y límites
Algunas consecuencias sociales negativas del uso de los sistemas:
• equilibrio de poder: el centro comparado con la periferia.
• celeridad del cambio: tiempo de respuesta reducido para competir.
• mantenimiento de los límites: familia, trabajo y esparcimiento.
• dependencia y vulnerabilidad.
57
• delito y abuso informático.
• empleo: pérdida de puestos por tecnología y la reingeniería
• equidad y acceso: incremento de las diferencias raciales y las clases sociales.
• riesgos para la salud: daño por estrés repetitivo (RSI), síndrome de visión de
computadora (CVS).
Rendición de cuentas y responsabilidad legal control
Además de las leyes de privacidad y de propiedad, las nuevas TI desafían las leyes de
responsabilidad legal existentes así como las prácticas sociales de rendición de cuentas de los
individuos y las instituciones.
Si una persona se lesiona debido a una máquina controlada por software, quién debe rendir
cuentas de ello, quien se hace responsable en el sentido legal?.
Problemas de responsabilidad legal relacionados con las computadoras
CASO1. La última semana de sep 2009, miles de clientes de TD Bank, uno de los bancos más
grandes en Norteamérica, buscaban con desesperación sus cheques de nómina, cheques del
seguro social y los saldos de las cuentas de ahorros y de cheques. Los 6.5 millones de clientes
del banco se quedaron sin fondos de manera temporal, debido a una falla de computadora. Los
problemas fueron provocados por un fallido intento de integrar los sistemas de TD Bank y
Commerce Bank. Un vocero de TD Bank dijo que ―mientras la integración general de los
sistemas salió bien, hubo algunos incidentes en etapas finales‖ (Vijayan, 2009). Quién es el
responsable legal de cualquier daño económico ocasionado a los individuos o empresas que
no pudieron acceder a los saldos completos de sus cuentas en este periodo?
CASO2. Es posible responsabilizar a las organizaciones por el contenido ofensivo en sus sitios
Web, y los servicios en línea tales como América Online podrían ser responsables legales de lo
que publiquen sus usuarios?
Es muy difícil responsabilizar de manera legal a los productores de software. A lo largo de la
historia, jamás se ha responsabilizado a los productores de software.
58
1.3. DEFINICION DE AUDITORIA INFORMATICA
Según la Real Academia: ―Es el conjunto de conocimientos científicos y técnicas que hacen
posible el tratamiento automático de la información por medio Conjunto de procedimientos y
técnicas para evaluar‖.
Es una disciplina incluida en el campo de la auditoría que se refiere al análisis de las
condiciones de una instalación informática por un auditor externo e independiente que realiza
un dictamen sobre diferentes aspectos.
Conjunto de procedimientos y técnicas para evaluar y controlar, total o parcialmente, un
sistema informático, con el fin de proteger sus activos y recursos, verificar si sus actividades se
desarrollan eficientemente y de acuerdo con la normativa informática y general existentes en
cada empresa y para conseguir la eficacia exigida en el marco de la organización
correspondiente.
Objetivos de la Auditoría Informática
• Describir la función y la metodología de la Revisión.
• Reconocer las normas de auditoria interna que rigen la práctica profesional.
• Identificar los tipos de riesgo
• Comprender los conceptos de control interno y los tipos y clasificaciones.
• Distinguir entre procesos y controles
• Reconocer los conceptos claves y las mejores prácticas para la revisión.
Auditoría de Gestión Informática
Es un proceso llevado a cabo por profesionales capacitados para el efecto, permite detectar de
forma sistemática el cumplimiento de la Gestión de Calidad, el uso de los recursos y los flujos
de información dentro de una Organización y determinar qué información/proceso es crítica
para el cumplimiento de su visión y objetivos, identificando necesidades, duplicidades, costes,
valor y barreras, que obstaculizan flujos de información eficientes.
59
Los objetivos de la auditoría son:
• El análisis de la eficiencia de los Sistemas de Gestión y Sistemas Informáticos
• La verificación del cumplimiento de la Normativa en este ámbito
Sus beneficios son:
• Mejora la imagen de la Organización
• Optimiza las relaciones internas y del clima de trabajo
• Disminuye los costos por la mala calidad (reprocesos, rechazos, reclamos, etc).
• Realiza un control de la inversión en un entorno de TI, a menudo impredecible.
La auditoría informática sirve para mejorar ciertas características de desempeño en la
empresa como:
• Fiabilidad
• Rentabilidad
• Seguridad
• Privacidad
Gobierno Corporativo:
• Administración del Ciclo de vida de los sistemas
• Servicios de Entrega y Soporte
• Protección y Seguridad
• Planes de continuidad y Recuperación de desastres
La auditoría informática ha creado la necesidad de contar con lineamientos y herramientas
estándar para el ejercicio de la auditoría de Sistemas Informáticos, ha promovido la creación y
desarrollo de mejores prácticas de Metodologías como: COSO, ITIL y COBIT.
60
La certificación de ISACA[1] para ser CISA Certified Information Systems Auditor es una de las
más reconocidas y avaladas por los estándares internacionales ya que el proceso de selección
consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado
acumulando horas/puntos para no perder la certificación.
[1] ISACA, es el acrónimo de Information Systems Audit and Control Association (Asociación de
Auditoría y Control de Sistemas de Información), una asociación internacional que apoya y
patrocina el desarrollo de metodologías y certificaciones para la realización de actividades
auditoría y control en sistemas de información.
1.4. DELITOS INFORMATICOS
Un delito informático o ciberdelito es toda aquella acción antijurídica y culpable, que se da por
vías informáticas o que tiene como objetivo destruir y dañar ordenadores, medios electrónicos y
redes de Internet.
Debido a que la informática se mueve más rápido que la legislación, existen conductas
criminales por vías informáticas que no pueden considerarse como delito, según la "Teoría del
delito", por lo cual se definen como abusos informáticos (los tipos penales tradicionales resultan
en muchos países inadecuados para encuadrar las nuevas formas delictivas1 ), y parte de la
criminalidad informática. La criminalidad informática consiste en la realización de un tipo de
actividades que, reuniendo los requisitos que delimitan el concepto de delito, sean llevados a
cabo utilizando un elemento informático.
En el COIP (Código Integral Penal) se sancionan los delitos informáticos, cuyos actos se
comenten con el uso de tecnología para violentar la confidencialidad y la disponibilidad de
datos personales. Estos actos que se registran a través de la Internet son: fraude, robo,
falsificaciones, suplantación de identidad, espionaje, clonación de tarjetas de crédito, entre
otros.
El COIP considera los siguientes tipos de delitos:
• Delitos contra la Integridad sexual y reproductiva
o Contacto con finalidad sexual con menores de dieciocho años por medios
electrónicos Art. 173 y Art. 174
• Delitos contra el derecho a la intimidad y privacidad personal y familiar
o Violación a la Intimidad: Art. 178
61
• Delitos contra el derecho a la propiedad
o Apropiación fraudulenta por medios electrónicos – Art. 190
o Reprogramación o modificación de información de terminales móviles - Art.
191
o Intercambio, comercialización o compra de información de equipos terminales
móviles – Art. 192
o Reemplazo de identificación de terminales móviles – Art. 193
o Comercialización ilícita de terminales móviles – Art. 194
o Modificación de terminales móviles – Art. 195
• Delitos contra la seguridad de los activos de los sistemas de información y
comunicación
o Revelación ilegal de bases de datos – Art. 229
o Interceptación ilegal de datos – Art. 230
o Transferencia electrónica de activo patrimonial – Art. 231
o Ataque a la integridad de sistemas informáticos – Art. 232
o Delitos contra la información pública reservada legalmente – Art. 233
o Acceso no consentido a un sistema informático – Art. 234
• Otros delitos que tienen frecuencia evidencia digital
o Discriminación – Art. 176
o Calumnia – Art. 182
1.5. BASE LEGAL
Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos
Título Preliminar
Art. 1.- Objeto de la Ley.- Esta Ley regula los mensajes de datos, la firma electrónica, los
servicios de certificación, la contratación electrónica y telemática, la prestación de servicios
electrónicos, a través de redes de información, incluido el comercio electrónico y la protección a
los usuarios de estos sistemas.
62
Art. 2.- Reconocimiento jurídico de los mensajes de datos.- Los mensajes de datos tendrán
igual valor jurídico que los documentos escritos. Su eficacia, valoración y efectos se someterá
al cumplimiento de lo establecido en esta Ley y su reglamento.
Art. 3.- Incorporación por remisión.- Se reconoce validez jurídica a la información no
contenida directamente en un mensaje de datos, siempre que figure en el mismo, en forma de
remisión o de anexo accesible mediante un enlace electrónico directo y su contenido sea
conocido y aceptado expresamente por las partes.
Art. 4.- Propiedad Intelectual.- Los mensajes de datos estarán sometidos a las leyes,
reglamentos y acuerdos internacionales relativos a la propiedad intelectual.
Art. 5.- Confidencialidad y reserva.- Se establecen los principios de confidencialidad y
reserva para los mensajes de datos, cualquiera sea su forma, medio o intención. Toda violación
a estos principios, principalmente aquellas referidas a la intrusión electrónica, transferencia
ilegal de mensajes de datos o violación del secreto profesional, será sancionada conforme a lo
dispuesto en esta Ley y demás normas que rigen la materia.
Art. 8.- Conservación de los mensajes de datos.- Toda información sometida a esta Ley,
podrá ser conservada; éste requisito quedará cumplido mediante el archivo del mensaje de
datos, siempre que se reúnan las siguientes condiciones: a. Que la información que contenga
sea accesible para su posterior consulta; b. Que sea conservado con el formato en el que se
haya generado, enviado o recibido, o con algún formato que sea demostrable que reproduce
con exactitud la información generada, enviada o recibida; c. Que se conserve todo dato que
permita determinar el origen, el destino del mensaje, la fecha y hora en que fue creado,
generado, procesado, enviado, recibido y archivado; y, d. Que se garantice su integridad por el
tiempo que se establezca en el reglamento a esta ley. Toda persona podrá cumplir con la
conservación de mensajes de datos, usando los servicios de terceros, siempre que se cumplan
las condiciones mencionadas en este artículo.
La información que tenga por única finalidad facilitar el envío o recepción del mensaje de datos,
no será obligatorio el cumplimiento de lo establecido en los literales anteriores.
Art. 9.- Protección de datos.- Para la elaboración, transferencia o utilización de bases de
datos, obtenidas directa o indirectamente del uso o transmisión de mensajes de datos, se
requerirá el consentimiento expreso del titular de éstos, quien podrá seleccionar la información
a compartirse con terceros. La recopilación y uso de datos personales responderá a los
derechos de privacidad, intimidad y confidencialidad garantizados por la Constitución Política
de la República y esta ley, los cuales podrán ser utilizados o transferidos únicamente con
autorización del titular u orden de autoridad competente. No será preciso el consentimiento
para recopilar datos personales de fuentes accesibles al público, cuando se recojan para el
ejercicio de las funciones propias de la administración pública, en el ámbito de su competencia,
y cuando se refieran a personas vinculadas por una relación de negocios, laboral,
63
administrativa o contractual y sean necesarios para el mantenimiento de las relaciones o para
el cumplimiento del contrato. El consentimiento a que se refiere este artículo podrá ser
revocado a criterio del titular de los datos; la revocatoria no tendrá en ningún caso efecto
retroactivo.
Art. 13.- Firma electrónica.- Son los datos en forma electrónica consignados en un mensaje
de datos, adjuntados o lógicamente asociados al mismo, y que puedan ser utilizados para
identificar al titular de la firma en relación con 6 el mensaje de datos, e indicar que el titular de
la firma aprueba y reconoce la información contenida en el mensaje de datos.
Art. 14.- Efectos de la firma electrónica.- La firma electrónica tendrá igual validez y se le
reconocerán los mismos efectos jurídicos que a una firma manuscrita en relación con los datos
consignados en documentos escritos, y será admitida como prueba en juicio.
Art. 15.- Requisitos de la firma electrónica.- Para su validez, la firma electrónica reunirá los
siguientes requisitos, sin perjuicio de los que puedan establecerse por acuerdo entre las partes:
a) Ser individual y estar vinculada exclusivamente a su titular;
b) Que permita verificar inequívocamente la autoría e identidad del signatario, mediante
dispositivos técnicos de comprobación establecidos por esta Ley y sus reglamentos;
c) Que su método de creación y verificación sea confiable, seguro e inalterable para el
propósito para el cual el mensaje fue generado o comunicado.
d) Que al momento de creación de la firma electrónica, los datos con los que se creare se
hallen bajo control exclusivo del signatario; y,
e) Que la firma sea controlada por la persona a quien pertenece.
Ley de Propiedad Intelectual
Objeto del derecho de autor
Art. 8. La protección del derecho de autor recae sobre todas las obras del ingenio, en el ámbito
literario o artístico, cualquiera que sea su género, forma de expresión, mérito o finalidad. Los
derechos reconocidos por el presente Título son independientes de la propiedad del objeto
material en el cual está incorporada la obra y su goce o ejercicio no están supeditados al
requisito del registro o al cumplimiento de cualquier otra formalidad.
Las obras protegidas comprenden, entre otras, las siguientes, en el literal k:
k) Programas de ordenador; y,
64
Cuando se lleva a cabo una Auditoría Informática es necesaria la revisión de las licencias de
software que se utilizan, en el caso de que sea software desarrollado por la organización se
debe verificar que se encuentre patentado en el Instituto de Propiedad Intelectual (IEPI).
Normas de Control Interno 410 CGE
Las Normas de Control Interno para las entidades, organismos del sector público y de las
personas jurídicas de derecho privado que dispongan de recursos públicos.
Estructura del Código
El código de las Normas de Control Interno tendrá cinco caracteres numéricos:
Los tres primeros, conforman el primer campo y representan el grupo y subgrupo, así
―410 TECNOLOGIA DE LA INFORMACIÓN‖
Los dos últimos caracteres, constituyen el segundo campo y señalan el título de la norma:
―410-01 Organización Informática‖
410 TECNOLOGÍA DE LA INFORMACIÓN
410-01 Organización informática
Las entidades y organismos del sector público deben estar acopladas en un marco de trabajo
para procesos de tecnología de información que aseguren la transparencia y el control, así
como el involucramiento de la alta dirección, por lo que las actividades y procesos de
tecnología de información de la organización deben estar bajo la responsabilidad de una
unidad que se encargue de regular y estandarizar los temas tecnológicos a nivel institucional.
La unidad de tecnología de información, estará posicionada dentro de la estructura
organizacional de la entidad en un nivel que le permita efectuar las actividades de asesoría y
apoyo a la alta dirección y unidades usuarias; así como participar en la toma de decisiones de
la organización y generar cambios de mejora tecnológica. Además debe garantizar su
independencia respecto de las áreas usuarias y asegurar la cobertura de servicios a todas las
unidades de la entidad u organismo.
65
410-02 Segregación de funciones
Las funciones y responsabilidades del personal de tecnología de información y de los usuarios
de los sistemas de información serán claramente definidas y formalmente comunicadas para
permitir que los roles y responsabilidades asignados se ejerzan con suficiente autoridad y
respaldo.
410–03 Plan informático estratégico de tecnología
La unidad de tecnología de la información elaborará e implementará un plan informático
estratégico para administrar y dirigir todos los recursos tecnológicos, el mismo que estará
alineado con el plan estratégico institucional y éste con el Plan Nacional de Desarrollo y las
políticas públicas de gobierno.
410-04 Políticas y procedimientos
La máxima autoridad de la entidad aprobará las políticas y procedimientos que permitan
organizar apropiadamente el área de tecnología de información y asignar el talento humano
calificado e infraestructura tecnológica necesaria.
410-05 Modelo de información organizacional
La unidad de tecnología de información definirá el modelo de información de la organización a
fin de que se facilite la creación, uso y compartición de la misma; y se garantice su
disponibilidad, integridad, exactitud y seguridad sobre la base de la definición e implantación de
los procesos y procedimientos correspondientes.
410-06 Administración de proyectos tecnológicos
La unidad de tecnología de información definirá mecanismos que faciliten la administración de
todos los proyectos informáticos que ejecuten las diferentes áreas que conformen dicha unidad.
410-07 Desarrollo y adquisición de software aplicativo
La unidad de tecnología de información regulará los procesos de desarrollo y adquisición de
software aplicativo con lineamientos, metodologías y procedimientos.
66
La adquisición de software o soluciones tecnológicas se realizarán sobre la base del portafolio
de proyectos y servicios priorizados en los planes estratégico y operativo previamente
aprobados considerando las políticas públicas establecidas por el Estado, caso contrario serán
autorizadas por la máxima autoridad previa justificación técnica documentada.
410-08 Adquisiciones de infraestructura tecnológica
La unidad de tecnología de información definirá, justificará, implantará y actualizará la
infraestructura tecnológica de la organización.
410-09 Mantenimiento y control de la infraestructura tecnológica
La unidad de tecnología de información de cada organización definirá y regulará los
procedimientos que garanticen el mantenimiento y uso adecuado de la infraestructura
tecnológica de las entidades.
410-10 Seguridad de tecnología de información
La unidad de tecnología de información, establecerá mecanismos que protejan y salvaguarden
contra pérdidas y fugas los medios físicos y la información que se procesa mediante sistemas
informáticos.
410-11 Plan de contingencias
Corresponde a la unidad de tecnología de información la definición, aprobación e
implementación de un plan de contingencias que describa las acciones a tomar en caso de una
emergencia o suspensión en el procesamiento de la información por problemas en los equipos,
programas o personal relacionado.
410-12 Administración de soporte de tecnología de información
La unidad de tecnología de información definirá, aprobará y difundirá procedimientos de
operación que faciliten una adecuada administración del soporte tecnológico y garanticen la
seguridad, integridad, confiabilidad y disponibilidad de los recursos y datos, tanto como la
oportunidad de los servicios tecnológicos que se ofrecen.
67
410-13 Monitoreo y evaluación de los procesos y servicios
Es necesario establecer un marco de trabajo de monitoreo y definir el alcance, la metodología y
el proceso a seguir para monitorear la contribución y el impacto de tecnología de información
en la entidad.
410-14 Sitio web, servicios de internet e intranet
Es responsabilidad de la unidad de tecnología de información elaborar las normas,
procedimientos e instructivos de instalación, configuración y utilización de los servicios de
internet, intranet, correo electrónico y sitio WEB de la entidad, a base de las disposiciones
legales y normativas y los requerimientos de los usuarios externos e internos.
410-15 Capacitación informática
Las necesidades de capacitación serán identificadas tanto para el personal de tecnología de
información como para los usuarios que utilizan los servicios de información, las cuales
constarán en un plan de capacitación informático, formulado conjuntamente con la unidad de
talento humano. El plan estará orientado a los puestos de trabajo y a las necesidades de
conocimiento específicas determinadas en la evaluación de desempeño e institucionales.
410-16 Comité informático
Para la creación de un comité informático institucional, se considerarán los siguientes aspectos:
El tamaño y complejidad de la entidad y su interrelación con entidades adscritas. La definición
clara de los objetivos que persigue la creación de un comité de informática, como un órgano de
decisión, consultivo y de gestión que tiene como propósito fundamental definir, conducir y
evaluar las políticas internas para el crecimiento ordenado y progresivo de la tecnología de la
información y la calidad de los servicios informáticos, así como apoyar en esta materia a las
unidades administrativas que conforman la entidad.
La conformación y funciones del comité, su reglamentación, la creación de grupos de trabajo, la
definición de las atribuciones y responsabilidades de los miembros del comité, entre otros
aspectos.
410-17 Firmas electrónicas
68
Las entidades, organismos y dependencias del sector público, así como las personas jurídicas
que actúen en virtud de una potestad estatal, ajustarán sus procedimientos y operaciones e
incorporarán los medios técnicos necesarios, para permitir el uso de la firma electrónica de
conformidad con la Ley de Comercio Electrónico, Firmas y Mensajes de Datos y su
Reglamento.
1.6. CODIGO INGENIOS
Este 11 de octubre del 2016 la Asamblea Nacional aprobó el proyecto de Ley de Código
Orgánico de la Economía Social del Conocimiento, denominado Código Ingenios.
«El principio fundamental es que el conocimiento es universal, es patrimonio de la humanidad.
No puede ni debe ser privatizado.» Rafael Correa Delgado
La propuesta base del Código INGENIOS busca llevar a nivel de norma las directrices
establecidas en la Constitución de la República y el Plan Nacional para el Buen Vivir, los que
llaman a la construcción de un sistema económico social y solidario; y, a la transición desde
una matriz productiva excluyente y monopólica, basada en la extracción de recursos finitos, a
una incluyente y democrática, basada en el uso intensivo de recursos infinitos – los
conocimientos, la creatividad y la innovación –.
CÓDIGO ORGÁNICO DE LA ECONOMÍA SOCIAL DE LOS CONOCIMIENTOS,
CREATIVIDAD E INNOVACIÓN
Segunda Versión
Título preliminar
• De las disposiciones comunes V2
Libros
• LIBRO I Del Sistema Nacional de Ciencia, Tecnología, Innovación y Saberes
Ancestrales
• LIBRO II De la Investigación Responsable y la Innovación Social
69
• LIBRO III De la Gestión de los Conocimientos V2
• LIBRO IV Del Financiamiento e Incentivos a los Actores del Sistema Nacional de
Ciencia, Tecnología, Innovación y Saberes Ancestrales
De las disposiciones comunes V2
Artículo 1.- Objeto.- El presente Código tiene por objeto normar el Sistema Nacional de
Ciencia, Tecnología, Innovación y Saberes Ancestrales, y su articulación principalmente con el
Sistema Nacional de Educación, el Sistema de Educación Superior y el Sistema Nacional de
Cultura, con el fin de generar un marco legal en el que se estructure la economía social de los
conocimientos, la creatividad y la innovación.
Artículo 2.- Ámbito.- Se rigen por el presente Código todas las personas naturales, jurídicas y
demás formas asociativas que desarrollen actividades relacionadas a la economía social de los
conocimientos, la creatividad y la innovación.
Artículo 3.- Fines.- El presente Código tiene, como principales, los siguientes fines:
1. Generar instrumentos para promover un modelo económico que democratice la producción,
transmisión y apropiación del conocimiento como bien de interés público, garantizando así
la acumulación y redistribución de la riqueza de modo justo, sostenible y en armonía con la
naturaleza;
2. Promover el desarrollo de la ciencia, la tecnología, la innovación y la creatividad para
satisfacer necesidades y efectivizar el ejercicio de derechos de las personas, de los
pueblos y de la naturaleza;
3. Incentivar la producción del conocimiento de una manera democrática colaborativa y
solidaria;
4. Incentivar la circulación y transferencia nacional y regional de los conocimientos y
tecnologías disponibles, a través de la conformación de redes de innovación social, para
acrecentarlos desde la práctica de la complementariedad y solidaridad;
5. Generar una visión pluralista e inclusiva en el aprovechamiento de los conocimientos,
dándole supremacía al valor de uso sobre el valor de cambio;
6. Desarrollar las formas de propiedad de los conocimientos compatibles con el buen vivir,
siendo estas: pública, privada, comunitaria, estatal, asociativa y mixta;
70
7. Incentivar la desagregación y transferencia tecnológica a través de mecanismos que
permitan la generación de investigación, desarrollo de tecnología e innovación con un alto
grado de componente nacional;
8. Promover la distribución justa y equitativa de los beneficios derivados de las actividades
vinculadas a la generación, transmisión, gestión, uso y aprovechamiento de los
conocimientos, la tecnología, la innovación y los conocimientos tradicionales, así como el
uso eficiente de los factores sociales de la producción para incrementar el acervo de
conocimiento e innovación;
9. Establecer las fuentes de financiamiento y los incentivos para el desarrollo de las
actividades de la economía social de los conocimientos, la creatividad y la innovación;
10. Fomentar el desarrollo de la sociedad del conocimiento y de la información como principio
fundamental para el aumento de productividad en los factores de producción y actividades
laborales intensivas en conocimiento; y,
11. Fomentar la protección de la biodiversidad como patrimonio del Estado, a través de las
reglas que garanticen su aprovechamiento soberano y sustentable, precautelar los
derechos de las comunidades, pueblos y nacionalidades sobre sus conocimientos
tradicionales relacionados a la biodiversidad; y evitar la apropiación indebida de la
biodiversidad y los conocimientos tradicionales asociados a esta.
Artículo 4.- Principios.- Para la aplicación de las disposiciones contenidas en el presente
Código, se observarán los siguientes principios:
1. El conocimiento constituye un bien de interés público, su acceso será libre y no tendrá más
restricciones que las establecidas en este Código, la Constitución, los tratados e
instrumentos internacionales y la Ley y, su distribución se realizará de manera justa,
equitativa y democrática;
2. Los derechos intelectuales son una herramienta para la adecuada gestión de los
conocimientos. La adquisición y ejercicio de los derechos de propiedad intelectual
asegurarán un equilibrio entre titulares y usuarios. Además de las limitaciones y
excepciones previstas en este Código, el Estado podrá adoptar las medidas necesarias
para garantizar la salud, nutrición, educación, cultura, el desarrollo científico y tecnológico,
la innovación y la transferencia y difusión tecnológica como sectores de importancia vital
para el desarrollo socioeconómico y tecnológico del país. Nada de lo previsto en este
Código podrá interpretarse de forma contraria a los principios, derechos y obligaciones
establecidos en el Acuerdo sobre los Aspectos de los Derechos de Propiedad Intelectual
relacionados con el Comercio –ADPIC-, como parte integrante de nuestro ordenamiento
jurídico;
71
3. La formación del talento humano es el factor primordial de una economía social basada en
los conocimientos, la creatividad y la innovación, razón por la cual debe ser de excelencia y
distribuida democráticamente;
4. El conocimiento se desarrollará de manera colaborativa y corresponsable;
5. La generación, transmisión, gestión, uso y aprovechamiento de los conocimientos, la
creatividad, la tecnología, la innovación y los conocimientos tradicionales se orientarán
hacia la realización del buen vivir, buscando la satisfacción de las necesidades de la
población, el efectivo ejercicio de los derechos y el aprovechamiento biofísicamente
sustentable de los recursos del país, en el marco de la garantía de la reproducción de la
vida;
6. La soberanía sobre los conocimientos es objetivo estratégico del Estado para garantizar a
las personas la generación, transmisión, gestión, uso y aprovechamiento de los
conocimientos, tecnología y la innovación y así materializar el buen vivir;
7. La formación académica y la investigación científica deben contribuir a la realización de los
objetivos del Plan Nacional de Desarrollo;
8. La generación, transmisión, gestión, uso y aprovechamiento de los conocimientos, la
tecnología, la innovación y los conocimientos tradicionales deberán primordialmente
promover la cohesión e inclusión social de todos los ciudadanos;
9. Las actividades vinculadas a la economía social de los conocimientos, la creatividad y la
innovación, se desarrollarán en un marco de igualdad de oportunidades, coordinación,
transparencia, calidad, evaluación de resultados y rendición de cuentas;
10. En el funcionamiento de la economía social de los conocimientos, la creatividad y la
innovación, se establecerán los mecanismos de descentralización y desconcentración
pertinentes, que permitan una gestión eficiente y cercana al territorio;
11. La ética en la ciencia, tecnología, innovación deberá estar orientada a la satisfacción de
necesidades y a la preservación de la dignidad humana y sus aplicaciones deberán ser
racionales, pluralistas y justas;
12. Los procesos investigativos y generadores de tecnología e innovación, deberán precautelar
la integridad física y psicológica de las personas que intervengan en ellos. Cualquier riesgo
o afectación sobre los derechos de las personas o la naturaleza, deberá ser legítima,
proporcional y necesaria. En los casos pertinentes, se deberá contar con el consentimiento
libre, previo e informado de los posibles afectados;
13. Se garantiza la libertad de investigación y desarrollo tecnológico en el marco de la
regulación y limitaciones que por razones de seguridad, salud, ética o de cualquier otra de
interés público, determine la Ley;
72
14. La creatividad es consustancial a las personas y representa un elemento trascendental
para la economía social de los conocimientos, la creatividad y la innovación. El Estado
deberá reconocer, proteger e incentivar la creatividad como mecanismo fundamental de
solución de problemas, satisfacción de necesidades de la sociedad y la realización
individual en interrelación con la investigación responsable, la innovación social y los
conocimientos tradicionales;
15. El Estado propiciará el entorno favorable para la expansión y fortalecimiento de las
actividades artísticas y culturales, incentivando, principalmente, la libre creación; la
investigación en el arte y la cultura, con enfoque de igualdad de género y no discriminación;
así como, la interacción de éstas con las otras actividades de la economía social basada en
los conocimientos, la creatividad y la innovación;
16. La biodiversidad y su patrimonio genético son propiedad inalienable, imprescriptible e
inembargable del Estado; no pueden ser privatizado y, su acceso, uso y aprovechamiento
se realizará de forma estratégica procurando la generación de los conocimientos
endógenos y el desarrollo tecnológico nacional;
17. El espacio público deberá contribuir a la generación y difusión del conocimiento, en
particular tratándose de creaciones culturales y artísticas. El Estado deberá otorgar todas
las facilidades para que el espacio público sea utilizado en beneficio de creadores y
usuarios;
18. Se reconoce el diálogo de saberes como el proceso de generación, transmisión e
intercambio de conocimientos científicos y conocimientos tradicionales, para la concreción
del Estado Plurinacional e Intercultural; y,
19. Por su magnitud e impacto económico, social y político, el Estado impulsará de manera
prioritaria las actividades de investigación y desarrollo tecnológico en sectores económicos
denominados como industrias básicas.
73
CAPÍTULO II
2. LOS RIESGOS Y EL CONTROL INTERNO
2.1. CONTROL INTERNO INFORMATICO COSO Y NIAA
Control Interno: Es diseñado e implementado por la administración para tratar de que la
empresa en lo posible elimine riesgos y fraude identificados que se puedan presentar y
amenazan el logro de los objetivos establecidos.
Figura 37. Componentes del Control Interno
COSO (Committee of Sponsoring Organizations)
La metodología COSO mejora de Control Interno [1] dentro de las organizaciones. COSO es un
informe/documento que contiene las principales directivas para la implantación, gestión y
control de un sistema de control. Su publicación fue en 1992, el informe COSO se ha
convertido en el estándar de referencia.
74
Existen en la actualidad dos versiones del informe. La versión del 1992 relacionado a COSO I y
la versión del 2004 relacionado a COSO II, que incorpora las exigencias de Ley Sarbanes
Oxley [2] a su modelo. Es una cadena de acciones extendida a todas las actividades inherentes
a la gestión e integradas a todos los procesos organizacionales: Planificación, Ejecución y
Supervisión.
[1] Control Interno, se define como un proceso efectuado por la dirección y el resto del
personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad en
cuanto a la consecución de los objetivos dentro de las siguientes categorías:
Eficacia, eficiencia de las operaciones & confiabilidad de la información
Cumplimiento de las leyes, reglamentos y normas (que sean aplicables)
[2] Ley Sarbanes Oxley, nace en Estados Unidos (30 de julio de 2002) con el fin de monitorear
a las empresas que cotizan en bolsa de valores, evitando que las acciones sean alteradas de
manera dudosa. Su finalidad es evitar fraudes y riesgo de bancarrota, protegiendo al inversor.
También es llamada SOx, SarbOx o SOA
COSO I
De acuerdo a COSO I, el control interno consta de cinco componentes relacionados entre sí;
éstos derivarán de la manera en que la Coordinación dirija el Área/Unidad y estarán integrados
en el proceso de dirección. Los componentes serán los mismos para todas las organizaciones
(públicas o privadas) y dependerá del tamaño. Los componentes son:
• Ambiente de Control
• Evaluación de Riesgos
• Actividades de Control
• Información y Comunicación
• Supervisión y Monitoreo
Ambiente de Control
El ambiente o entorno de control es la base de la pirámide de Control Interno, aportando
disciplina a la estructura. En él se apoyarán los restantes componentes. Los factores a
considerar dentro del entorno de control serán: La integridad & los valores éicos, la capacidad
de los funcionarios de la Unidad, el estilo de la Gestión, la asignación de autoridad &
Responsabilidad, la estructura organizacional y las Políticas & Prácticas de personal.
Evaluación de Riesgos
75
Cada Área/Unidad se enfrenta a diversos riesgos internos y externos que deben ser evaluados.
La evaluación de riesgos consiste en: La identificación y la gestión de los riesgos.
Actividades de Control
Son las políticas, procedimientos, técnicas, prácticas y mecanismos que permiten a la
Coordinación gestionar (mitigar) los riesgos identificados durante el proceso de Evaluación de
Riesgos.
Las actividades de Control se ejecutan en todos los niveles del Área/Unidad y en cada una de
las etapas de la gestión, partiendo de la elaboración de un Mapa de Riesgos. La exposición al
riesgo es igual a la Probabilidad por el Impacto.
Información y Comunicación
Se debe identificar, recopilar y propagar la información pertinente en tiempo y forma que
permitan cumplir a cada asociado con sus responsabilidades a cargo. Debe existir una
comunicación eficaz -en un sentido amplio- que fluya en todas direcciones a través de todos los
ámbitos del Área/Unidad, de forma descendente como ascendente.
Supervisión y Monitoreo
Los Sistemas de Control Interno requieren principalmente de Supervisión, es decir, un proceso
que verifique la vigencia del Sistema de Control a lo largo del tiempo. Esto se logra mediante
actividades de supervisión continua, evaluaciones periódicas o una combinación de ambas.
COSO II
En Septiembre 2004, como respuesta a una serie de escándalos, e irregularidades que
provocaron pérdidas importante a inversionistas, empleados y otros grupos de interés. El
Committee of Sponsoring Organizations, publicó el estudio ERM (Enterprice Risk Management)
como una ampliación de COSO I, de acuerdo a las conclusiones y recomendaciones de firma
Pricewaterhouse que se integro al Comité, además incorpora las exigencias de Ley Sarbanes
Oxley.
COSO II, amplía el concepto de control interno, proporcionando un foco más robusto y extenso
sobre la identificación, evaluación y gestión del riesgo. Para COSO, el Control Interno debe
estar integrado con el negocio, de tal manera que ayude a conseguir los resultados esperados
en materia de rentabilidad y rendimiento. Recomienda trasmitir el concepto de que el esfuerzo
involucra a toda la organización desde la Alta Dirección hasta el último empleado.
[2] Ley Sarbanes Oxley, nace en Estados Unidos (30 de julio de 2002) con el fin de monitorear
a las empresas que cotizan en bolsa de valores, evitando que las acciones sean alteradas de
manera dudosa. Su finalidad es evitar fraudes y riesgo de bancarrota, protegiendo al inversor.
También es llamada SOx, SarbOx o SOA
76
Ventajas de implementación:
• Permite a la Coordinación de la empresa poseer una visión global del riesgo y accionar
los planes para su gestión.
• Posibilita la priorización de los objetivos y gestionar los riesgos clave del negocio & de
los controles implantados.
• Alinea los objetivos del grupo con los objetivos de las diferentes Aéreas/Unidades de
negocio, así como los riesgos asumidos y los controles implementados.
• Permite dar soporte a las actividades de planificación estratégica y control interno.
• Permite cumplir con los nuevos marcos regulatorios y demanda de nuevas prácticas de
gobierno corporativo.
• Fomenta que la gestión de riesgos pase a formar parte de la cultura del grupo.
• Comprendiendo la Metodología: Los componentes interactúan entre si y están
integradas al proceso de Coordinación.
• El sistema de control debe incorporarse de manera armónica con las actividades
operativas de la Organización.
• La integración ayuda a que se fomente la calidad de la delegación de poderes, se
eviten pérdidas y exista una respuesta rápida entre los cambios.
Figura 38. Componentes que interactúan entre si y están integradas al proceso de Coordinación
NIAA (NORMAS INTERNAIONALES DE AUDITORIA Y ASEGURAMIENTO)
Las NIAA son un conjunto de principios, reglas o procedimientos que obligatoriamente debe
seguir o aplicar el profesional Contador Público que se dedique a labores de auditoría de
estados financieros, con la finalidad de evaluar de una manera razonable y confiable la
situación financiera de la empresa o ente por él auditados, y a base de aquello le permita emitir
su opinión en forma independiente con criterio y juicio profesionales acertados.
Estas normativas tienen un rango superior al haberse introducido el acápite del Aseguramiento,
con el fin de proporcionar un alto nivel de seguridad por cuanto el Contador Público debe
evaluar adecuadamente el riesgo de auditoría, que da inicio desde los aspectos previos a la
contratación, siguiendo con la Planeación hasta concluir con el Informe, proporcionado de esta
77
manera un alto índice de confianza a los diferentes usuarios de los estados financieros, y por
consiguiente la correspondiente credibilidad de sus contenidos.
2.2. DETERMINACION DE METODOLOGIA
2.2.1 ANALISIS DE RIESGOS
Basilea (A11)
Basilea, es una ciudad suiza ubicada en la frontera con Francia y Alemania, según datos del
2013 - cuenta con 172,662 habitantes. Basilea tiene la sede del Banco de Pagos
Internacionales y la Federación Internacional de Bancos.
El Banco UBS AG tiene su sede central en Basilea, dando a las finanzas un rol destacado en la
economía local. El sector bancario comenzó a adquirir importancia a partir de la apertura de la
sede del Bank for International Settlements en 1930.
Figura 39. Localización de Basilea en Suiza
La innovante industria financiera de Basilea comprende instituciones como el Comité de
Basilea, responsable del cumplimiento de los Acuerdos de Basilea I y de Basilea II.
Basilea I
El acuerdo establecía una definición de "capital regulatorio" compuesto por elementos que se
agrupan en dos categorías (TIERS) si cumplen ciertos requisitos de permanencia, de
capacidad de absorción de pérdidas y de protección ante quiebra. Este capital debe ser
78
suficiente para hacer frente a los riesgos de crédito, mercado y tipo de cambio. Cada uno de
estos riesgos se medía con unos criterios aproximados y sencillos.
Este acuerdo era una recomendación: cada uno de los países signatarios, así como cualquier
otro país, quedaba libre de incorporarlo en su ordenamiento regulatorio con las modificaciones
que considerase oportunas. Entró en vigor en más de cien países.
Basilea II
Es el segundo de los acuerdos de Basilea. Dichos acuerdos consisten en recomendaciones
sobre la legislación y regulación bancaria y son emitidos por el Comité de supervisión bancaria
de Basilea. El propósito de Basilea II, publicado inicialmente en Junio de 2004, es la creación
de un estándar internacional que sirva de referencia a los reguladores bancarios, con objeto de
establecer los requerimientos de capital necesarios, para asegurar la protección de las
entidades frente a los riesgos financieros y operativos.
Figura 40. 2004 Nuevo Acuerdo Basilea II
Estas se apoyan en los siguientes tres pilares:
Pilar I: Requisitos mínimos de capital
Pilar II: Proceso de supervisión de la gestión de los fondos propios
Pilar III: Disciplina de mercado
79
Figura 41. Tres pilares de acuerdo a Basilea II
Gestión del Riesgo (A12)
Es un enfoque estructurado para manejar la incertidumbre relativa a una amenaza, a través de
una secuencia de actividades humanas que incluyen evaluación de riesgo, estrategias de
desarrollo para manejarlo y mitigación del riesgo utilizando recursos gerenciales.
De acuerdo a Basilea II (2014). Al Pilar 1 referente ―cálculo de los requisitos mínimos de
capital‖, la protección de las entidades frente a los riesgos financieros y operativos son
clasificadas en:
• Riesgo de Crédito
• Riesgo de Liquidez
• Riesgo de Mercado
• Riesgo Operativo
Las estrategias de la Gestión del Riesgo incluyen:
• Identificar los riesgos
• Analizar los riesgos
• Planificar la respuesta del riesgo
• Generar controles & Monitorear el riesgo
Que es el riesgo?
Definición1: Riesgo es cualquier cosa que le impida alcanzar sus objetivos.
80
Definición2: Cualquier incertidumbre, evento interno/externo, que disminuya la capacidad de
una organización para alcanzar sus objetivos.
Definición3: Medido en términos del impacto y la probabilidad de que este evento se
materialice.
La Gestión al Riesgo, permitirá que el riesgo pueda ser:
• Mitigado
• Aceptado
• Eliminado
• Transferido
Si no existe Gestión del Riesgo se convertirá en un problema
Gestión del Riesgo - Si no existe Gestión del Riesgo se convertirá en problema
Riesgo Operativo
Es el riesgo que, las deficiencias en sistemas de información o controles internos, darán lugar a
pérdidas inesperadas. El riesgo se asocia a errores en los procesos, errores humanos, fallos de
los sistemas, procedimientos o controles inadecuados, por eventos externos y temas legales.
81
Figura 42. Riesgo se asocia a errores
Los eventos de riesgo operativo se da a través del fraude interno, fraude externo, empleo &
seguridad y daños de activos.
Figura 43. Eventos de riesgo operativo
La magnitud de impacto del Riesgo Operativo es ALTO (rojo); MEDIO (amarillo) y BAJO
(verde).
82
Figura 44. Magnitud de impacto del Riesgo Operativo
La exposición al riesgo es igual a la Probabilidad de Ocurrencia por el impacto
Exposición = Probability * Impact
Figura 45. Exposición = Probability * Impact
Los Riesgos identificados deben ser registrados y gestionados. Se requiere los campos:
No: secuencial del riesgo
Fecha Registro (dd/mm/yyyy): fecha que se registró el riesgo
Persona Registro: persona que identifico el riesgo
Descripción del Riesgo: detalle del riesgo identificado
Fuente Riesgo: PROCESOS, PERSONAS, TECNOLOGIA, LEGAL
Probabilidad de Ocurrencia (P): probabilidad (0.1 – 1)
83
Impacto (I): impacto (1 – 5)
Exposición al Riesgo: RE= P *I
Nivel del Riesgo: ALTO, MEDIO, BAJO
Plan de Mitigación: actividades realizadas para disminuir la exposición al riesgo
Gestión del Riesgo: MITIGADO, ACEPTADO, ELIMINADO, TRANSFERIDO
Comentarios: algún comentario adicional
Descripción del Riesgo: Si partimos del concepto "Riesgo es cualquier cosa que le impida
alcanzar sus objetivos", el riesgo se debe registrar como algo "improvisto" que puede ocurrir
durante el proyecto
Matriz de Registro de Riesgos
Figura 46. Matriz de Registro de Riesgos
Plan de Continuidad del Negocio
La continuidad del negocio es parte de la gestión general del riesgo en una Empresa y tiene
áreas superpuestas con la gestión de seguridad y tecnología de la información.
Tener un Plan de continuidad da la capacidad de recuperarse exitosamente de los efectos de
un desastre o percance que inhabilite uno o todos sus servicios dentro de un período
predeterminado de tiempo, permitiendo la continuidad del negocio y que se logren los objetivos
de control establecidos.
84
Actividades del la continuidad del Negocio:
• Determinan si el proyectos es o no de misión crítica
• Generar documentos llamados ―Plan de Continuidad de Negocio‖ y aprobarlos
• Generar un calendario de ejercicios de prueba para sus proyectos
• Generar informes de los ejercicios de prueba
• Registrar mejores prácticas / lecciones aprendidas)
• Determinar las fases de una Crisis
Plan de Continuidad del Negocio (Fases de una Crisis)
Figura 47. Plan de Continuidad del Negocio (Fases de una Crisis)
2.2.2 CONTROL INTERNO
Control Interno es una herramienta surgida de la imperiosa necesidad de accionar
proactivamente a los efectos de suprimir y/o disminuir significativamente la multitud de riesgos
a las cuales se hayan afectadas los distintos tipos de organizaciones.
Las numerosas normas y reglamentos, sean éstas de carácter impositivas, laborales,
ecológicas, de consumidores, contables, bancarias, societarias, bursátiles entre otras,
provenientes de organismos de control, obligan a las administraciones de las organizaciones a
mantenerse muy alerta ante los riesgos que podrían afectar a sus patrimonios. Los riesgos a
los cuales están expuestas las empresas son muchos y los mismos deben ponerse bajo
control.
Una empresa está expuesta a errores internos de buena fe, a acciones que de manera
accidental. Una entidad bancaria se encuentra expuesta al accionar de mala fe de su personal,
de sus clientes & proveedores, la posibilidad de cometer incumplimientos de normativas
85
legales, el accionar de estafadores o ladrones, la falta de previsiones en materia de seguridad
interna (incendios, pérdidas de archivos, daños tecnológicos). Cualquiera de estos sucesos
originan a Corporación pérdidas económicas. Pérdidas que en muchos casos pueden poner en
riesgo la continuidad de la empresa.
Pocas empresas tienen políticas, planes y metodologías sistemáticamente conformadas para
evitar los riesgos. Generalmente los riesgos se accionan por experiencia, intuición o planifican
de manera parcializada.
Una de las falencias de las auditorías está en no controlar y evaluar apropiadamente los
controles internos, como así tampoco evaluar desde un punto de vista sistémico a las
empresas auditadas.
El control interno es también de gran utilidad para las auditorías
Control interno es una forma de pensar, de planificar, de delegar, de adoptar decisiones y
resolver problemas, y de ver la organización en su totalidad.
Permite analizar la interrelación de los diversos productos, servicios y áreas de la empresa con
las disposiciones normativas externas e internas y principios de control interno y seguridad,
tanto a los funcionarios, a los auditores y a las gerencias de las diversas áreas.
Cuantas veces las organizaciones son sancionadas por incumplimiento de controles formales,
por el hecho de no haber realizado las indagaciones o de no tener planificados los controles y
las respectivas acciones.
Como un sistema matricial hace uso de puntajes de eficacia, los aspectos o áreas de mayores
riesgos. Los riesgos con puntajes más altos, son aquellos en los cuales se han de priorizar los
ajustes y correcciones en los procesos.
Control Interno – matriz de control interno
Una Matriz de control interno tiene columnas se registran las Normativas Externas e Internas y
los Principios y Políticas Empresariales. En las filas tenemos los Productos, Servicios,
Áreas/Unidades/Procesos de la Empresa. Una vez colocados los títulos de las columnas y filas,
corresponde interrelacionar los mismos
Figura 48. Control Interno – matriz de control interno
86
Ejemplo: Ventas vs. Impuestos Nacionales "Punto 1.1") en función de las normativas que
deben dar cumplimiento las áreas, actividades y productos. En caso de no existir interrelación
entre la fila vs. columna dicho espacio se anula y se sombrea (ejemplo, la Inv. y Desarrollo no
tiene norma de aplicación del Banco Central ―Punto 4.5‖).
Los puntajes de las COLUMNAS están dados en valores de peso (10-50) y los puntajes en las
FILAS están dados por el peso (1-5), el método utilizado para asignar el peso es ―juicio de
experto‖. celda = pesoFILA * pesoCOLUMNA
Control Interno - conclusiones
La Gerencia o la Coordinación puede verificar por medio de la Matriz de Control que se esté
dando cumplimiento a todos los controles, se pondrá mayor atención a los items con puntajes
más altos (rojos), por ejemplo cuando fue la última vez que actualizaron los controles y con que
frecuencia.
Los encargados de Áreas, y los responsables del control, sean auditores pueden verificar y
razonar sobre la base de la matriz (razonamiento matricial) el cumplimiento de las distintas
disposiciones.
La Matriz de Control le da tanta importancia al cumplimiento de las disposiciones fiscales, como
al control para evitar fraudes, o resguardar la calidad de los productos y servicios y proteger los
recursos humanos. La rápida visión de la Matriz, impresa o por monitor, permite a los Directivos
saber las áreas que comprometen a la empresa, y proceder a analizar las causas o motivos,
para luego aplicar las correspondientes medidas de ajuste.
Como dicen los norteamericanos: "los partidos de basketball comienzan ganándose con una
buena defensa". Poco servirá trabajar y generar utilidades, si buena parte de está son
absorbidas por pérdidas ocasionadas en descuidos, despilfarros y carencias de controles
internos.
87
2.2.3 AUDITORIA INFORMATICA
El primer paso para realizar una auditoría de sistemas es la planeación de cómo se va a
ejecutar la auditoria, donde se debe identificar de forma clara las razones por las que se va a
realizar la auditoria, la determinación del objetivo de la misma, el diseño de métodos, técnicas y
procedimientos necesarios para llevarla a cabo y para la solicitud de documentos que servirán
de apoyo para la ejecución, terminando con la elaboración de la documentación de los planes,
programas y presupuestos para llevarla a cabo.
Identificar el origen de la auditoria: Este es el primer paso para iniciar la planeación de la
auditoria, en esta se debe determinar por qué surge la necesidad o inquietud de realizar una
auditoría. Las preguntas que se deben contestar ¿de dónde?, ¿por qué?, ¿Quién? o ¿para
qué? Se quiere hacer la evaluación de algún aspecto de los sistemas de la empresa.
Visita Preliminar al Área informática: Este es el segundo paso en la planeación de la
auditoria y consiste en realizar una visita preliminar al área de informática que será auditada,
luego de conocer el origen de la petición de realizar la auditoria y antes de iniciarla
formalmente; el propósito es el de tener un primer contacto con el personal asignado a dicha
área, conocer la distribución de los sistemas y donde se localizan los servidores y equipos
terminales en el centro de cómputo, sus características, las medidas de seguridad y otros
aspectos sobre que problemáticas que se presentan en el área auditada.
Aquí se deben tener en cuenta aspectos tales como:
• La visita inicial para el arranque de la auditoria cuya finalidad es saber ¿Cómo se
encuentran distribuidos los equipos en el área?, ¿Cuántos, cuáles, cómo y de que tipo son los
servidores y terminales que existen en el área?, ¿Qué características generales de los
sistemas que serán auditados?, ¿Qué tipo de instalaciones y conexiones físicas existen en el
área?, ¿Cuál es la reacción del personal frente al auditor?, ¿Cuáles son las medidas de
seguridad física existentes en el área?, y ¿Qué limitaciones se observan para realizar la
auditoria?. Con esta información el auditor podrá diseñar las medidas necesarias para una
adecuada planeación de la auditoria y establecer algunas acciones concretas que le ayuden al
desarrollo de la evaluación.
Establecer los Objetivos de la Auditoria: Los objetivos de la planeación de la auditoria son:
88
• El objetivo general que es el fin global de lo que se pretende alcanzar con el desarrollo
de la auditoría informática y de sistemas, en el se plantean todos los aspectos que se pretende
evaluar.
• Los objetivos específicos que son los fines individuales que se pretenden para el logro
del objetivo general, donde se señala específicamente los sistemas, componentes o elementos
concretos que deben ser evaluados.
Determinar los Puntos que serán evaluados: Una vez determinados los objetivos de la
auditoria se debe relacionar los aspectos que serán evaluados, y para esto se debe
considerar aspectos específicos del área informática y de los sistemas computacionales tales
como: la gestión administrativa del área informática y el centro de cómputo, el cumplimiento de
las funciones del personal informático y usuarios de los sistemas, los sistemas en desarrollo, la
operación de los sistemas en producción, los programas de capacitación para el personal del
área y usuarios de los sistemas, protección de las bases de datos, datos confidenciales y
accesos a las mismas, protección de las copias de seguridad y la restauración de la
información, entre otros aspectos.
Elaborar Planes, programas y Presupuestos para Realizar la auditoria: Para realizar la
planeación formal de la auditoria informática y de sistemas, en la cual se concretan los planes,
programas y presupuestos para llevarla a cabo se debe elaborar los documentos formales para
el desarrollo de la auditoria, donde se delimiten las etapas, eventos y actividades y los tiempos
de ejecución para el cumplimiento del objetivo, anexando el presupuesto con los costos de los
recursos que se utilizarán para llevarla a cabo.
Algunos de los aspectos a tener en cuenta serán: Las actividades que se van a realizar, los
responsables de realizarlas, los recursos materiales y los tiempos; El flujo de eventos que
sirven de guía; la estimación de los recursos humanos, materiales e informáticos que serán
utilizados; los tiempos estimados para las actividades y para la auditoria; los auditores
responsables y participantes de las actividades; Otras especificaciones del programa de
auditoría.
Identificar y seleccionar los Métodos, herramientas, Instrumentos y Procedimientos
necesarios para la Auditoria: En este se determina la documentación y medios necesarios
para llevar a cabo la revisión y evaluación en la empresa, seleccionando o diseñando los
métodos, procedimientos, herramientas, e instrumentos necesarios de acuerdo a los planes,
presupuestos y programas establecidos anteriormente para la auditoria. Para ello se debe
considerar los siguientes puntos: establecer la guía de ponderación de cada uno de los puntos
89
que se debe evaluar; Elaborar una guía de la auditoria; elaborar el documento formal de la guía
de auditoría; determinar las herramientas, métodos y procedimientos para la auditoria de
sistemas; Diseñar los sistemas, programas y métodos de pruebas para la auditoria.
Asignar los Recursos y Sistemas computacionales para la auditoria: Finalmente se debe
asignar los recursos que serán utilizados para realizar la auditoria. Con la asignación de estos
recursos humanos, informáticos, tecnológicos y de cualquier otro tipo se llevará a cabo la
auditoria.
2.3. CONCEPTOS BASICOS DE COBIT
COBIT Control Objectives by Information and Technology
La metodología COBIT, Control Objectives by Information and Technology u Objetivos de
Control para Tecnología de la Información Relaciona, es un modelo creado por ISACA[1] en
1996, para la Gestión de tecnología de la información (TI) y Gobierno de TI .
Es un marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa.
Permite el desarrollo de las políticas y buenas prácticas para el control de las tecnologías en
toda la organización.
Enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a
través de las TI, y permite su alineamiento con los objetivos del negocio.
Información disponible en: www.isaca.org/cobit
[1] ISACA, es el acrónimo de Information Systems Audit and Control Association (Asociación de
Auditoría y Control de Sistemas de Información), una asociación internacional que apoya y
patrocina el desarrollo de metodologías y certificaciones para la realización de actividades
auditoría y control en sistemas de información.
COBIT - su evolución
90
Figura 49. COBIT - su evolución
COBIT 4
Algunas características de la metodología COBIT son:
• Dispone de las mejores prácticas aceptadas internacionalmente
• Orientado al gerenciamiento de las tecnologías, complementado con herramientas y
capacitación
• Gratuito
• Respaldado por una comunidad de expertos y en evolución permanente
• Mantenido por una organización sin fines de lucro, con reconocimiento internacional
• Mapeado con otros estándares y orientado a Procesos, sobre la base de dominios de
responsabilidad
Tiene 34 procesos que cubren 215 objetivos de control clasificados en cuatro dominios: El
planear & organizar; Adquiere & pone en práctica; Entrega & apoya y Supervisa & evalúa.
Para cada uno de los 34 procesos, se definen:
• Descripción del proceso
• Indicadores de información y domino
• Objetivos de TI
91
Objetivos del Proceso
Prácticas Clave
Métricas
• Gobierno y recursos de TI
Figura 50. Ejemplo de descripción del proceso
COBIT 5
COBIT 5, es resultado de la mejora estratégica de ISACA impulsando en la generación de
documentos/guías sobre el Gobierno y la Administración de la información y los Activos
tecnológicos de las Organizaciones
Construido sobre más de 15 años de aplicación práctica, ISACA desarrolló COBIT 5 para cubrir
las necesidades de los interesados, y alinearse a las actuales tendencias sobre técnicas de
gobierno y administración relacionadas con la TI. La iniciativa del Consejo de Dirección de
92
ISACA ha sido ―unir y reforzar todos los activos intelectuales – su base de conocimiento – en
COBIT‖.
El COBIT 5 Task Force:
• Incluye expertos de los distintos grupos profesionales y comités que componen ISACA
• Esta co-dirigida por John Lainhart (Ex Presidente Internacional) y Derek Oliver (Ex
Director del Comité de Desarrollo del BMIS)
• Reporta al Comité de marcos referenciales y luego al Consejo sobre ―Base de
Conocimientos‖
COBIT 5 – Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa
La familia de productos de COBIT 5 incluye los siguientes productos:
Guías de catalizadores de COBIT 5, en las que se discuten en detalle los catalizadores para el
gobierno y gestión, estas incluyen:
– COBIT 5: Procesos Catalizadores
– Información posibilitadora
– Otras guías de catalizadores (visitar www.isaca.org/cobit)
Guías profesionales de COBIT 5, incluyendo:
– Implementación de COBIT 5
– COBIT 5 para Seguridad de la Información
– COBIT 5 para Aseguramiento
– COBIT 5 para Riesgos
– Otras guías profesionales (visitar www.isaca.org/cobit)
Un entorno colaborativo online, que estará disponible para dar soporte al uso de COBIT 5
93
COBIT 5 - Familia de Productos
Figura 51. COBIT 5 - Familia de Productos
COBIT 5 permite a las TI ser gobernadas y gestionadas de un modo holístico para toda la
empresa, abarcando al negocio completo de principio a fin y las áreas funcionales de
responsabilidad de TI, considerando los intereses relacionados con TI de las partes interesadas
internas y externas.
COBIT 5 es genérico y útil para empresas de todos los tamaños, tanto comerciales, como sin
ánimo de lucro o del sector público.
COBIT 5 - Sus principios
COBIT 5 se basa en cinco principios claves para el gobierno y la gestión de las TI
empresariales:
Principio 1. Satisfacer las Necesidades de las Partes Interesadas — Las empresas existen
para crear valor para sus partes interesadas manteniendo el equilibrio entre la realización de
beneficios y la optimización de los riesgos y el uso de recursos.
COBIT 5 provee todos los procesos necesarios para permitir la creación de valor del negocio
mediante el uso de TI.
Principio 2: Cubrir la Empresa Extremo-a-Extremo — COBIT 5 integra el gobierno y la
gestión de TI en el gobierno corporativo:
– Cubre todas las funciones y procesos dentro de la empresa; COBIT 5 no se enfoca sólo en la
―función de TI‖, sino que trata la información y las tecnologías
– Considera que los catalizadores relacionados con TI para el gobierno y la gestión deben ser a
nivel de toda la empresa y de principio a fin, es decir, incluyendo a todo y todos – internos y
94
externos – los que sean relevantes para el gobierno y la gestión de la información de la
empresa y TI relacionadas.
Principio 3: Aplicar un Marco de Referencia único integrado — Hay muchos estándares y
buenas prácticas relativos a TI. COBIT 5 se alinea a alto nivel con otros estándares y marcos
de trabajo relevantes, y de este modo puede hacer la función de marco de trabajo principal
para el gobierno y la gestión de las TI de la empresa.
Principio 4: Hacer Posible un Enfoque Holístico — COBIT 5 define un conjunto de
catalizadores (enablers) para apoyar la implementación de un sistema de gobierno y gestión
global para las TI de la empresa. Los catalizadores se definen en líneas generales como
cualquier cosa que puede ayudar a conseguir las metas de la empresa. El marco de trabajo
COBIT 5 define siete categorías de catalizadores:
– Principios, Políticas y Marcos de Trabajo
– Procesos
– Estructuras Organizativas
– Cultura, Ética y Comportamiento
– Información
– Servicios, Infraestructuras y Aplicaciones
– Personas, Habilidades y Competencias
Principio 5: Separar el Gobierno de la Gestión — El marco de trabajo COBIT 5 establece
una clara distinción entre gobierno y gestión. La visión de COBIT 5 en esta distinción clave
entre gobierno y gestión es:
– Gobierno
– Gestión
Figura 52. COBIT 5 - Sus principios
95
Estos cinco principios habilitan a la empresa a construir un marco de gestión de gobierno y
gestión efectivo que optimiza la inversión y el uso de información y tecnología para el beneficio
de las partes interesadas:
Principio 1. Satisfacer las Necesidades de las Partes Interesadas
Principio 2: Cubrir la Empresa Extremo-a-Extremo
Principio 3: Aplicar un Marco de Referencia único integrado
Principio 4: Hacer Posible un Enfoque Holístico
Principio 5: Separar el Gobierno de la Gestión
Principio 1. Satisfacer las Necesidades de las Partes Interesadas
Figura 53. Objetivo de Gobierno: Creación de Valor
Las empresas existen para crear valor para sus accionistas. En consecuencia, cualquier
empresa, comercial o no, tendrá la creación de valor como un objetivo de Gobierno. Creación
de valor significa conseguir beneficios a un coste óptimo de los recursos mientras se optimiza
el riesgo. Los beneficios pueden tomar muchas formas, e.g., financieros para las empresas
comerciales o de servicio público para entidades gubernamentales.
Las actividades de gobierno tratan sobre negociar y decidir entre los diferentes intereses en el
valor de las partes interesadas. El sistema de gobierno debe considerar a todas las partes
interesadas al tomar decisiones sobre beneficios, evaluación de riesgos y recursos. Para cada
decisión, las siguientes preguntas pueden y deben hacerse: ¿Para quién son los beneficios?
¿Quién asume el riesgo? ¿Qué recursos se requieren?
Cascada de Metas de COBIT 5
96
Cada empresa opera en un contexto determinado por factores externos (el mercado, la
industria, geopolítica, etc.) y factores internos (la cultura, organización, umbral de riesgo, etc.) y
requiere un sistema de gobierno y gestión personalizado.
La cascada de metas de COBIT 5:
Paso 1. Los Motivos de las Partes Interesadas Influyen en las Necesidades de las Partes
Interesadas: Están influenciadas por cambios de estrategia, un negocio y entorno regulatorio
cambiantes y las nuevas tecnologías.
Paso 2. Las Necesidades de las Partes Interesadas Desencadenan Metas Empresariales:
Estas metas corporativas han sido desarrolladas utilizando las dimensiones del cuadro de
mando integral (BSC - CMI)
COBIT 5 define 17 objetivos genéricos:
• La dimensión del CMI en la que encaja la meta corporativa
• Las metas corporativas
• La relación con los tres objetivos principales de gobierno - realización de beneficios,
optimización de riesgos y optimización de recursos (‗P‘ indica una relación primaria y ‗S‘ una
relación secundaria).
Paso 3. Cascada de Metas de Empresa a Metas Relacionadas con las TI: COBIT 5 define
17 metas relacionadas con las TI.
Paso 4. Cascada de Metas Relacionadas con las TI Hacia Metas Catalizadoras: Los
catalizadores incluyen procesos, estructuras organizativas e información, y para cada
catalizador puede definirse un conjunto de metas relevantes en apoyo de las metas
relacionadas con la TI.
97
Figura 54. Cascada de Metas de COBIT 5
COBIT 5 define 17 objetivos genéricos
Figura 55. COBIT 5 define 17 objetivos genéricos
98
COBIT 5 define 17 metas relacionadas con las TI
Figura 56. COBIT 5 define 17 metas relacionadas con las TI
Principio 2: Cubrir la Empresa Extremo-a-Extremo
COBIT 5 contempla el gobierno y la gestión de la información y la tecnología relacionada desde
una perspectiva extremo a-extremo y para toda la empresa. Esto significa que COBIT 5:
• Integra el gobierno de la empresa TI en el gobierno corporativo. Es decir, el sistema de
gobierno para la empresa TI propuesto por COBIT 5 se integra sin problemas en cualquier
sistema de gobierno.
• Cubre todas las funciones y procesos necesarios para gobernar y gestionar la información
corporativa y las tecnologías relacionadas donde quiera que esa información pueda ser
procesada
Enfoque de Gobierno
El enfoque de gobierno extremo-a-extremo que es la base de COBIT 5, mostrando los
componentes clave de un sistema de gobierno. Además del objetivo de gobierno, los otros
elementos principales del enfoque de gobierno incluye catalizadores, alcance y roles,
actividades y relaciones.
99
Catalizadores de Gobierno: Los catalizadores también incluyen los recursos corporativos –
por ejemplo, capacidades de servicios (infraestructura TI, aplicaciones, etc.), personas e
información. Una falta de recursos o catalizadores puede afectar a la capacidad de la empresa
de crear valor.
Alcance de Gobierno: El alcance de COBIT 5 es la empresa – pero en esencia, COBIT 5
puede tratar con cualquiera de las diferentes vistas.
Roles, Actividades y Relaciones: Definen quién está involucrado en el gobierno, como se
involucran, lo que hacen y cómo interactúan, dentro del alcance de cualquier sistema de
gobierno.
Enfoque de Gobierno
COBIT 5 proporciona una visión integral y sistémica del gobierno y la gestión de la empresa TI,
basada en varios catalizadores. Los catalizadores son para toda la empresa y extremo-a-
extremo, es decir, incluyendo todo y a todos, internos y externos, que sean relevantes para el
gobierno y la gestión de la información de la empresa y TI relacionada, incluyendo las
actividades y responsabilidades tanto de las funciones TI como de las funciones de negocio.
Figura 57. Enfoque de Gobierno
Principio 3: Aplicar un Marco de Referencia único integrado
COBIT 5 es un marco de referencia único e integrado porque:
• Se alinea con otros estándares y marcos de referencia relevantes y, por tanto, permite a la
empresa usar COBIT 5 como el marco integrador general de gestión y gobierno.
• Es completo en cuanto a la cobertura de la empresa, proporcionando una base para integrar
de manera efectiva otros marcos, estándares y prácticas utilizadas. Un marco general único
100
sirve como una fuente consistente e integrada de guía en un lenguaje común, no-técnico y
tecnológicamente agnóstico.
• Proporciona una arquitectura simple para estructurar los materiales de guía y producir un
conjunto consistente.
• Integra todo el conocimiento disperso previamente en los diferentes marcos de ISACA. ISACA
ha investigado las áreas clave del gobierno corporativo durante muchos años y ha desarrollado
marcos tales como COBIT, Val IT, Risk IT, BMIS, la publicación Información sobre Gobierno de
TI para la Dirección (Board Briefing on IT Governance) e ITAF para proporcionar guía y
asistencia a las empresas. COBIT 5 integra todo este conocimiento.
Marco Integrador de COBIT 5
Figura 58. Marco Integrador de COBIT 5
Principio 3: Aplicar un Marco de Referencia único integrado
El marco de referencia COBIT 5 proporciona a sus grupos de interés la guía más completa y
actualizada sobre el gobierno y la gestión de la empresa TI mediante:
• La investigación y utilización de un conjunto de fuentes que han impulsado el nuevo
contenido:
– La unión de todas las guías existentes de ISACA (COBIT4.1, Val IT 2.0, Risk IT, BMIS) en
este único marco.
– Completar este contenido con áreas que necesitaban más elaboración y actualización.
– El alineamiento a otros estándares y marcos relevantes, tales como ITIL, TOGAF y
estándares ISO.
101
• Definiendo un conjunto de catalizadores de gobierno y gestión que proporcionan una
estructura para todos los materiales de guía.
• Poblando una base de conocimiento COBIT 5 que contiene todas las guías y contenido
producido hasta ahora y que proporcionará una estructura para contenidos futuros adicionales.
• Proporcionando una referencia base de buenas prácticas exhaustiva y sólida.
Figura 59. Familia de Productos COBIT 5
Principio 4: Hacer Posible un Enfoque Holístico
Catalizadores COBIT 5
El marco de referencia COBIT 5 describe siete categorías de catalizadores:
• Principios, políticas y marcos de referencia son el vehículo para traducir el comportamiento
deseado en guías prácticas para la gestión del día a día.
• Los procesos describen un conjunto organizado de prácticas y actividades para alcanzar
ciertos objetivos y producir un conjunto de resultados que soporten las metas generales
relacionadas con TI.
• Las estructuras organizativas son las entidades de toma de decisiones clave en una
organización.
• La cultura, ética y comportamiento de los individuos y de la empresa son muy a menudo
subestimados como factor de éxito en las actividades de gobierno y gestión.
• La información impregna toda la organización e incluye toda la información producida y
utilizada por la empresa. La información es necesaria para mantener la organización
102
funcionando y bien gobernada, pero a nivel operativo, la información es muy a menudo el
producto clave de la empresa en sí misma.
• Los servicios, infraestructuras y aplicaciones incluyen la infraestructura, tecnología y
aplicaciones que proporcionan a la empresa, servicios y tecnologías de procesamiento de la
información.
• Las personas, habilidades y competencias están relacionadas con las personas y son
necesarias para poder completar de manera satisfactoria todas las actividades y para la
correcta toma de decisiones y de acciones correctivas.
Figura 60. Catalizadores COBIT 5
Algunos de los catalizadores definidos previamente son también recursos corporativos que
también necesitan ser gestionados y gobernados. Esto aplica a:
• La información, que necesita ser gestionada como un recurso. Alguna información, tal como
informes de gestión y de inteligencia de negocio son importantes catalizadores para el gobierno
y la gestión de la empresa.
• Servicios, infraestructura y aplicaciones.
• Personas, habilidades y competencias.
Dimensiones de los Catalizadores de COBIT 5
103
Figura 61. Dimensiones de los Catalizadores de COBIT 5
Todos los catalizadores tienen un conjunto de dimensiones comunes. Este conjunto de
dimensiones comunes:
• Proporciona una manera común, simple y estructurada de tratar con los catalizadores
• Permite a una entidad manejar sus complejas interacciones
• Facilita resultados exitosos de los catalizadores
Principio 5: Separar el Gobierno de la Gestión
Gobierno y Gestión
El marco de COBIT 5 realiza una clara distinción entre gobierno y gestión:
Gobierno: El Gobierno asegura que se evalúan las necesidades, condiciones y opciones de las
partes interesadas para determinar que se alcanzan las metas corporativas equilibradas y
acordadas; estableciendo la dirección a través de la priorización y la toma de decisiones; y
midiendo el rendimiento y el cumplimiento respecto a la dirección y metas acordadas.
Gestión: La gestión planifica, construye, ejecuta y controla actividades alineadas con la
dirección establecida por el cuerpo de gobierno para alcanzar las metas empresariales.
Interacciones entre Gobierno y Gestión
Partiendo de las definiciones entre gobierno y gestión, sin embargo, se requiere un conjunto de
interacciones entre gobierno y gestión para obtener un sistema de gobierno eficiente y eficaz.
104
Estas interacciones, empleando una estructura de catalizadores: Procesos, Información;
Estructuras organizativas; Principios, políticas y marcos; Cultura, ética y comportamientos;
Personas, habilidades y competencias; Servicios, infraestructura y aplicaciones.
Interacciones entre Gobierno y Gestión
Figura 62. Interacciones entre Gobierno y Gestión
Modelo de Referencia de Procesos de COBIT 5
El modelo de referencia de procesos de COBIT 5 divide los procesos de gobierno y de gestión
de la TI empresarial en dos dominios principales de procesos:
• Gobierno —Contiene cinco procesos de gobierno; dentro de cada proceso se definen
prácticas de evaluación, orientación y supervisión (EDM).
• Gestión —Contiene cuatro dominios, en consonancia con las áreas de responsabilidad de
planificar, construir, ejecutar y supervisar (Plan, Build, Run and Monitor - PBRM), y proporciona
cobertura extremo a extremo de las TI. Estos dominios son una evolución de la estructura de
procesos y dominios de COBIT 4.1. Los nombres de estos dominios han sido elegidos de
acuerdo a estas designaciones de áreas principales, pero contienen más verbos para
describirlos:
– Alinear, Planificar y Organizar (Align, Plan,Organise, APO)
– Construir, Adquirir e Implementar (Build, Acquire and Implement, BAI)
105
– Entregar, dar Servicio y Soporte (Deliver, Service and Support, DSS)
– Supervisar, Evaluar y Valorar (Monitor, Evaluate and Assess, MEA)
Figura 63. Modelo de Referencia de Procesos de COBIT 5
El modelo de referencia de procesos de COBIT 5 es el sucesor del modelo de procesos de
COBIT 4.1 e integra también los modelos de procesos de Risk IT y Val IT.
La figura siguiente muestra el conjunto completo de los 37 procesos de gobierno y gestión de
COBIT 5. Los detalles de todos los procesos, de acuerdo con el modelo de proceso
anteriormente descrito, están recogidos en la guía COBIT 5: Procesos Catalizadores.
Figura 64. Modelo de referencia de procesos de COBIT 5
106
2.4. CONCEPTOS BASICOS DE ITIL
ITIL (Information Technology Infrastructure Library)
La metodología ITIL, Information Technology Infrastructure Library o Librería de Infraestructura
de Tecnologías de Información, fue desarrollada a finales de los 80‘s por iniciativa del gobierno
del Reino Unido, por la Oficina Gubernamental de Comercio Británica (Office of Goverment
Comerce).
Esta metodología, mundialmente es la más aceptada para la gestión sistemas Informáticos, es
una recopilación de las mejores prácticas tanto del sector público y privado, basadas en toda la
experiencia adquirida con el tiempo en determinada actividad, y soporta bajo esquemas
organizacionales, y que se apoyan en herramientas de evaluación e implementación.
ITIL como metodología propone el establecimiento de estándares que nos ayuden en el control,
operación y administración de los recursos (ya sean propios o de Clientes).
Figura 65. El ciclo de vida de los servicios
IITL, Es una colección de documentos públicos que contienen las mejores prácticas de la
industria basadas en procesos y un modelo de referencia que facilita la Administración de
Servicios de TI en una organización con calidad y a un costo adecuado.
ITIL, Es independiente de la infraestructura tecnología utilizada, sector del negocio y la
estructura organizacional. El ciclo de vida de los servicios están descritos en 5 publicaciones:
Estrategia, Diseño de Servicios, Transición de Servicios, Operación de Servicios, Mejora
Continua del Servicio
107
Figura 66. El ciclo de vida de los servicios
Propone para cada actividad desarrollar documentación pertinente, ya que esta puede ser de
gran utilidad para otros miembros del Área/Unidad.
La documentación tiene registrada la fecha de creación, la fecha de los cambios, una breve
descripción de los cambios que se hicieron, quien fue la persona que hizo el cambio, quien
autorizo el cambio. Esto es un método con el que se puede establecer cierto control en el
sistema de cambios, y siempre va a haber un responsable del cambio efectuado.
Operación de Servicios
• Gestión de Incidentes (Incident Management)
• Gestión de Problemas (Problem Management)
• Gestión de Configuraciones (Configuration Management)
• Gestión de Cambios (Change Management)
• Gestión de Entregas (Release Management)
Figura 67. Operación de Servicios
108
Gestión de Incidentes
Su objetivo primordial es restablecer el servicio lo más rápido posible para evitar que el
Cliente/Usuario se vea afectado, con la finalidad de que se minimicen los efectos de la
operación. El Cliente/Usuario no debe percibir todas aquellas pequeñas o grandes fallas que se
presenten en los sistemas Informáticos.
El incidente es detectado, es gestionado y documentado en una base de datos llamada base
de datos del conocimiento o Knowledge Error Data Base (KEDB), para que al momento de
volverse a presentar el incidente ya va a estar documentado y esto hace que sea más fácil,
rápida y eficiente su resolución.
Gestión de Problemas
El objetivo de este proceso es prevenir y reducir al máximo los incidentes, nos ayuda a
proporcionar soluciones rápidas y efectivas para asegurar el uso estructurado de recursos
Se identificar el problema, la investigación y diagnostico del problema, con el diagnóstico
tenemos que hacer una Solicitud de Cambio o Change Request For Change (CR). El CR
implica que se va a tener que implementar una solución tecnológica, posterior se realiza una
evaluación para validar que el problema se resolvió de raíz.
Gestión de Configuraciones
Su objetivo es proveer información real y actualizada de lo que se tiene configurado e instalado
en cada Sistema Informático.
El nivel de complejidad de este modelo es alto, ya que influyen muchas variables y muchas de
ellas son dinámicas, al cambiar una o varias variables se podrían afectar al sistema en general,
lo que hace que sea muy difícil de manipular. Aunque es lo más parecido a la realidad, porque
nuestro entorno es dinámico y las decisiones de unos afectan a otros.
Gestión de Cambios
El objetivo de este proceso es reducir los riesgos tanto técnicos, económicos y de tiempo al
momento de la realización de los cambios.
Este diagrama al parecer es muy fácil de seguir, pero en realidad no lo es, entre etapa y etapa
se da una fase de monitoreo para validar que el cambio no haya sufrido desviaciones, si el
rendimiento es satisfactorio se da la aprobación del cambio, en caso de que el rendimiento sea
malo se pasa a la fase de reingeniería, con el cambio se hacen las pruebas para observar las
capacidades del sistema, se autoriza la implementación; una vez implementado se valida que
no existan desviaciones, esta validación se denomina post-implementación.
Gestión de Entregas
Su objetivo es planear y controlar exitosamente la instalación de Software y Hardware bajo tres
ambientes: ambiente de desarrollo, ambiente de pruebas controladas y ambiente de
producción.
109
Este proceso es en el que más cuidado debemos de poner, ya que en caso de haber fallas en
producción, el primero en detectarlas o en percibirlas es el Cliente/Usuario, y eso nos genera
que el Cliente este insatisfecho o molesto.
ITIL - El ciclo de vida
El ciclo de Vida de ITIL:
• -Estrategia de Servicios
• -Diseño de Servicios
• -Transición de Servicios
• -Operación de Servicios
• -Mejora Continua del Servicio
Figura 68. ITIL - El ciclo de vida
110
CAPÍTULO III
3. EL PROCESO DE LA AUDITORIA INFORMATICA
3.1. EL PROCESO DE LA AUDITORIA INFORMATICA
Para hacer una adecuada planeación de la auditoria en informática, hay que seguir una serie
de pasos previos que permitirán dimensionar el tamaño y características de área dentro del
organismo a auditar, sus sistemas, organización y equipo.
En el caso de la auditoria en informática, la planeación es fundamental, pues habrá que hacerla
desde el punto de vista de los dos objetivos:
• Evaluación de los sistemas y procedimientos.
• Evaluación de los equipos de cómputo.
METODOLOGIA DE TRABAJO DE AUDITORIA INFORMATICA
Figura 69. Metodología de Trabajo de Auditoria Informática
111
El proceso de la auditoria informatica:
1.Identificar el origen de la auditoria
2.Visita preliminar al area que sea evaluada
3. Establecer los objetivos de la auditoria
4.Determinar los puntos que seran evaluados
5.Elaborar planes, programas y presupuestos para realizar la auditoria
6.Seleccionar los metodos, herramientas y procedimientos necesarios
7.Asignarlos recursos y sistemas computacionales para la auditoria
Figura 70. Proceso general de la planeacion de auditoria informatica
3.2. EJECUCION DE LA AUDITORIA INFORMATICA EN NORMAS,
HARDWARE, SOFTWARE, SISTEMAS OPERATIVOS, SOFTWARE BASE,
SISTEMAS DE INFORMACIÓN, BASES DE DATOS, SEGURIDAD FISICA Y
LÓGICA
Consiste en el desarrollo de los procedimientos contenidos en los programas de auditoría, a
través de las técnicas de auditoría.
112
Se realiza para:
• Salvaguardar activos
• Mantener integridad de datos
• Proveer información relevante y confiable
• Alcanzar objetivos y controlar recursos eficientemente
• Establecer controles internos para controlar la operación con el fin de minimizar errores
que sean detectados a tiempo.
Técnicas
• Revisar las estructuras organizacionales
• Revisar las políticas, procedimientos y estándares
• Revisar documentación
• Entrevistar al personal apropiado
• Observar el desempeño de los procesos y de los empleados
Procedimientos generales de auditoría
• Entendimiento del área u objeto a auditar
• Valoración de riesgos y plan general de auditoría
• Planeación detallada de la auditoría
• Revisión preliminar del área u objeto a auditar
• Evaluación del área u objeto a auditar
• Pruebas de cumplimiento
• Pruebas sustantivas
• Reporte (comunicación de resultados)
• Seguimiento
La ejecución de la auditoria va a depender básicamente del objeto a auditar, la misma que se
debió haber definido en la etapa de planeación, en el alcance se deberá determinar la
metodología a utilizar, la misma que se debe seguir en la ejecución de la auditoría, por ejemplo
si el objetivo es auditar el departamento de tecnología y saber la situación real del mismo, es
necesario auditar hardware, software base, software de aplicación, seguridades entre otros
aspectos.
113
Beneficios de una Auditoria
• Examinar parámetros vitales que aseguran la salud general del proyecto.
• Identificar riesgos que el proyecto debe impedir
• Como cualquier examen, la cooperación del auditados es necesaria
• Identificar acciones que deben ser tomadas en cuenta para mejorar la salud del
proyecto
Proceso de Auditoria de acuerdo a ISO 9001:2008 - ETVX
Que es un proceso? Un proceso es un conjunto de actividades o eventos (coordinados u
organizados) que se realizan bajo ciertas circunstancias con un fin determinado.
Criterio de Entrada (entry): Lista de condiciones que se debe cumplir antes de iniciar la
actividad
Tareas (task): Conjunto de tareas que se debe realizar
Validación (validation): Verificar la calidad de los items de trabajo
Salidas (exit): Condiciones que se debe cumplir antes de entregar la actividad
PROPOSITO
• Garantizar que los proyectos y/o actividades se ejecuten según sus planes de proyecto
ENTRADAS
• Planes de proyecto
• Auditoria del proyecto.
• Auditoria de otros registros del proyecto.
TAREAS / VALIDACIONES
• Auditado: Elaborar la presentación de global de su proyecto. Enviar la presentación un
día antes de la reunión de auditoría.
• Auditor/Auditado: generan la entrevista de acuerdo a calendario
• Auditor: genera informe de auditoría con hallazgos o no-conformidades NCRs
114
• Auditado: Gestionar el cierre de las NCRs.
• Auditor: Genera seguimiento de cierre de NCRs.
SALIDAS
1. Presentación global de su proyecto
2. Realización de la entrevista de auditoria
3. Reporte de auditoria
NOTA: La Auditoria se realiza de acuerdo a periodos: cada tres meses (Quarter) para
aéreas que manejan procesos principales y cada seis meses (Half Year) para grupos
de soporte.
Auditoría: Verificar si la información financiera, operacional, administrativa y tecnológica que
se presenta es confiable, veraz y oportuna. Es revisar que los hechos, fenómenos y
operaciones se den en la forma como fueron planeados y que las políticas y lineamientos
establecidos por la Corporación hayan sido respetados.
Auditoría de Sistemas Informáticos y de Calidad: Actividad que se realiza para comprobar,
mediante el examen y la evaluación de evidencias objetivas, que el Sistema de Calidad es
adecuado y haya sido desarrollado, documentado y efectivamente implantado de acuerdo con
los requisitos especificados.
Auditor: Persona calificada para manejar y realizar auditorías, encargada de validar la
evidencia entregada por el auditado.
Auditado: Persona o grupos de personas que muestran evidencias objetivas del cumplimiento
de políticas y lineamientos establecidos por la Corporación
Definición de Calidad
CONCEPTO 1:
• Sin defectos
• satisfacción del cliente
• Optimización de recursos
• Necesidades satisfechas
115
CONCEPTO 2:
Grado en el cual un conjunto de características inherentes satisfacen los requisitos‖ (ISO
9001:2008)
CONCEPTO 3:
―Hacer las cosas bien desde la primera vez, en lugar de cometer errores y después corregirlos‖.
(Philip Crosby)
Figura 71. Definiciones de Calidad
Certificaciones ISO
La Organización Internacional para la Estandarización (ISO) es una federación de alcance
mundial integrada por cuerpos de estandarización nacionales de 153 países, La ISO es una
organización no gubernamental establecida en 1947.
Su misión es promover el desarrollo de la estandarización de actividades con la mira en facilitar
el intercambio de servicios y productos.
―ISO‖ es una palabra, que deriva del Griego ―isos‖, que significa ―igual‖ o ―estándar‖, es decir
realizar actividades iguales o estándares en la Empresa. Las ISO existentes son:
ISO 9001:2008: Gestión de Calidad (Quality Management)
ISO 27001:2005: Seguridad de la Información (Information Policy)
ISO 20000:2005: Gestión Servicios Tecnológicos (Information Technology Management)
ISO 14001 - Gestión Medioambiental (Enviromet Management)
116
ISO 22301:2012: Gestión de Riesgos y Plan de Continuidad (Risk Management & Business
Continuity Plan)
Beneficios de la implementación de un sistema de Gestión de Calidad
Sistemas enfocados en Gestión:
• Objetivos a largo plazo vinculados con la visión de la organización
Toma de decisiones basadas en información:
• Medida de indicadores clave
• Acciones proactivas
Mejoramiento contínuo:
• En alcanzar metas
• En excelencia de negocios
Enfoque de procesos:
• Control efectivo sobre procesos individuales
• Énfasis en la efectividad de los procesos y mejoramiento continuo
Mejor flexibilidad:
• En términos de documentación (disponibilidad)
Satisfacción del cliente:
• Mejoramiento en la satisfacción al cliente como gestor clave
• Acciones correctivas y preventivas con responsables y fechas
117
Figura 72. Necesidad del Cliente vs. Como entendió el técnico..!
Definición de Año Fiscal (fiscal year – FY)
• El año fiscal inicia en Enero y termina en Diciembre
• El año fiscal está compuesto por cuatro trimestres (cuatro Quarter)
• El año fiscal está compuesto por dos semestres (dos Half Year)
Año Fiscal (Fiscal Year – FY) -> para el año 2017 seria FY2017
Figura 73. Año Fiscal (Fiscal Year – FY) -> para el año 2017 seria FY2017
Periodicidad de las auditorias
La Auditoría se realiza de acuerdo a periodos: cada tres meses (Quarter) para aéreas que
manejan procesos principales y cada seis meses (Half Year) para grupos que manejan
procesos de soporte.
Auditorias cada tres meses (cada Quarter)
Procesos Principales
• Gestión de Marketing
• Gestión de Ventas
• Gestión de Productos y Servicios
• Gestión de Servicio al Cliente
118
Auditorias cada seis meses (cada Half Year)
Procesos de Soporte
• Administración de las Finanzas
• Administración de los recursos humanos
• Provisión de materiales y servicios
• Desarrollo y mantenimiento de sistemas y tecnología
• Manejo de servicios e infraestructura corporativa
• Manejo de aspectos ambientales
• Planificación y administración
• Administración de los servicios legales
Proceso de Auditoria – no-conformidad/observaciones/recomendaciones
En el informe de auditoría se debe registrar los hallazgos encontrados, el auditor deberá indicar
al auditado que los hallazgos son "oportunidad de mejora", en el informe debe existir: no-
conformidades, no-conformidades escalables, observaciones y recomendaciones.
NO CONFORMIDADES (NCR)
El auditor encuentra insatisfacción a las exigencias especificadas o con los requisitos
preestablecidos.
Ejemplos:
• Ausencia de un contrato firmado
• No existe un cronograma de capacitaciones o cronograma de vacaciones
• Incumplimiento de una actividad dentro de un proceso
NO CONFORMIDADES ESCALABLES (NCRE)
Si auditor observa un incumplimiento con las exigencias especificadas o con los requisitos
preestablecidos, pero pertenece a otra área diferente a la auditada.
Ejemplos:
• No muestra el plan de carrera (este tema es de RRHH)
• No muestra la utilidad $$ de su Unidad (este tema es del Financiero)
119
OBSERVACIONES
Cuando el auditor observa una situación específica que no implica desviación ni incumplimiento
de requisitos, pero que constituye una oportunidad de mejora.
Ejemplos:
• Mejora o aumento de la memoria RAM de los equipos de computo
• Simplificación de la documentación
• Mejora de manuales de usuario o manuales de procesos
RECOMENDACIONES
Sugerencia que el Auditor puede realizar a los auditados.
Las recomendaciones son más constructivas cuando se encaminan a atacar las causas de los
problemas observados, se refieren a acciones específicas y van dirigidas a quienes deben
emprender esas acciones
Proceso de Auditoria – ejecución de la reunión de auditoria
Durante la entrevista
• Responda al auditor de manera cordial y resalte los aspectos positivos de su trabajo y
de la organización
• Demuestre interés por las necesidades y expectativas del Auditor y colabórele en lo
que esté a su alcance
• Responda únicamente a lo que el Auditor le pregunta y presente la evidencia
estrictamente necesaria para demostrar lo que Usted está afirmando.
• En lo posible resuelva a la mayor brevedad las no-conformidades que sean
encontradas durante el transcurso de la Auditoría
FEEDBACK DEL AUDITOR AL AUDITADO
El auditor debe crear un ambiente favorable para el desarrollo de la Auditoria
El auditor debe establecer una relación fructífera entre el Auditor y el Auditado
No debe generar conflictos entre el Auditor y el Auditado
El Auditor debe comunicar todos los hallazgos/no-conformidades que se van encontrando y
comunicar la forma de cierre de estos hallazgos/no-conformidades.
El auditor debe compartir las mejores prácticas con el auditado
120
El Auditado debe saber responder su proceso/actividad que realiza para cumplir con las
normas ISO/COSO/ITIL/COBIT.
FEEDBACK AL AUDITOR – INFRAESTRUCTURA
Caso: El proyecto ha solicitado un software especial XYZ hace unos 3 meses, sin embargo la
solicitud aún sigue abierta, razón por la cual el cronograma del proyecto se encuentra afectado.
• Identificación/provisión/mantenimiento de la infraestructura tecnológica necesaria
• Esto puede ser una no-conformidad para el grupo de Infraestructura tecnológica,
debido a que no se han cumplido las fechas del cronograma.
• El auditor debe también validar el cumplimiento de las actividades:
Gestión de Incidentes (Incident Management)
Gestión de Problemas (Problem Management)
Gestión de Configuraciones (Configuration Management)
Gestión de Cambios (Change Management)
Gestión de Entregas (Release Management)
ISO 9001:2008 - GESTIÓN DE CALIDAD (A12)
ISO 9001:2008
Elaborada por la Organización Internacional para la Estandarización (ISO). La ISO 9001:2008
es la base del Sistema de Gestión de la Calidad (SGC) ya que es una norma internacional y se
centra en todos los elementos de administración de calidad con los que una empresa debe
contar para tener un sistema efectivo que le permita administrar y mejorar la calidad de sus
productos o servicios.
Pueden utilizarse para su aplicación interna por las organizaciones, sin importar si el producto o
servicio lo brinda una organización pública o empresa privada, cualquiera que sea su tamaño,
para su certificación o con fines contractuales.
Los clientes se inclinan por los proveedores que cuentan con esta acreditación porque de este
modo se aseguran de que la empresa seleccionada disponga de un buen Sistema de Gestión
de Calidad (SGC).
La estructura de Sistema de Gestión de Calidad debe contener:
121
• Manuales Calidad
• Manuales de Procesos (Handbooks)
• Manuales de Procedimientos
• Estándares y Guías
ISO 22301:2012 GESTIÓN DE RIESGOS Y PLAN DE CONTINUIDAD
ISO 22301:2012
Esta norma fue redactada por los principales especialistas en el tema y proporciona el mejor
marco de referencia para gestionar la continuidad del negocio en una organización.
Aplica el estándar internacional para Gestión de Riesgos (risk management) y Plan de
Continuidad (Business Continuity Plan)
Gestión del Riesgo
Es un enfoque estructurado para manejar la incertidumbre relativa a una amenaza, a través de
una secuencia de actividades humanas que incluyen evaluación de riesgo, estrategias de
desarrollo para manejarlo y mitigación del riesgo utilizando recursos gerenciales.
Procesos Comunes
ISO 9001:2008-Gestión de Calidad (Quality Management) ISO 22301:2012-Gestión de
Riesgos y Plan de Continuidad (Risk Management & Business Continuity Plan)
De acuerdo a la ISO 9001:2008-Gestión de Calidad y la ISO 22301:2012-Gestión de Riesgos y
Plan de Continuidad existen 31 procesos comunes.
122
123
124
ISO 20000: 2005 ISO GESTIÓN DE SERVICIOS TECNOLÓGICOS
ISO 20000
Elaborada por la Organización Internacional para la Estandarización (ISO). La ISO 20000 trata
con IT Service Management (ITSM: Gestión de Servicios de Información Tecnológica). Es un
conjunto de requisitos ―mínimos‖ con los cuales una organización puede ser evaluada por
procesos vigentes del ITSM. Basado en el marco ITIL sobre las mejores prácticas
demostradas.
125
La certificación ISO 20000 significa una prueba de despliegue de las prácticas de ITIL, la ISO
20000.
• Provee un nivel de procesos rigurosos (calidad) específicos para los procesos ITSM
• La calidad está integrada como parte del mejoramiento continuo del servicio
ISO 20000:2005
ISO 20000 llamada también ISO/IEC20000, las condiciones internacionales del IT Service
Management, publicadas en diciembre del 2005 reemplazan las condiciones Británicas
BS150000 (la BS15000 fue removida), La ISO 20000 es totalmente compatible con la ITIL (IT
Infrastructure Library). La diferencia es que el ITIL no es medible y puede ser implantado de
muchas maneras, mientras que en la ISO 20000, las organizaciones deben ser auditadas y
medidas frente a un conjunto de requisitos.
El estándar se compone de 5 partes:
Parte 1: ISO/IEC 20000-1:2011 - Requisitos de los sistemas de gestión de servicios
Parte 2: ISO/IEC 20000-2:2012 - Guía de implementación de los sistemas de gestión de
servicios
Parte 3: ISO/IEC 20000-3:2009 - Guía en la definición del alcance y la aplicabilidad (informe
técnico)
Parte 4: ISO/IEC 20000-4:2010 - Modelo de referencia de procesos (informe técnico)
Parte 5: ISO/IEC 20000-5:2010 - Ejemplo de implementación (informe técnico)
ISO 20000 - Diagrama Modelo
Figura 74. ISO 20000 - Diagrama Modelo
126
ISO 20000 - PDCA manejo de servicios
Figura 75. ISO 20000 - PDCA manejo de servicios
ISO 20000 - Requisitos
Requisitos son descritos en la parte 1 y la parte 2
Parte 1: ISO/IEC 20000-1:2011 - Requisitos de los sistemas de gestión de servicios
• Es una especificación
• Define lo que es requerido
• Base de intervención de un tercer grupo independiente
Parte 2: ISO/IEC 20000-2:2012 - Guía de implementación de los sistemas de gestión de
servicios
• Es un código de práctica
• Explica los requisitos del ISO 20000-1
• No forma parte de los requisitos
Auditor requiere evidencia de que todos los requisitos del ISO sean cumplidos
127
ISO 27001:2015 ISO GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
Seguridad de la Información
La seguridad de la información es el conjunto de medidas preventivas y reactivas de las
organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la
información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.
Su objetivo es:
Proteger la información de activos de amenazas internas o externas
Riesgo de tasación y riesgo de manejo de la información de los activos.
Despliegue de controles de seguridad para asegurar la CIA (confidentility, integrity, availability)
de la información de los bienes.
Confidencialidad (C): garantiza que solamente las personas autorizadas pueden acceder a la
información.
Integridad (I): salvaguarda la precisión y totalidad de la información y método de
procesamiento.
Disponibilidad (A): garantizar que los usuarios autorizados tengan acceso a la información y
bienes asociados cuando sea requerido.
ISO 27001:2015
Elaborada por la Organización Internacional para la Estandarización (ISO). La ISO 27001 es un
estándar para la seguridad de la información (Information technology - Security techniques -
Information security management systems - Requirements) .
Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema
de gestión de la seguridad de la información (SGSI) según el conocido como ―Ciclo de
Deming‖: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar).
La certificación ISO 20000 significa una prueba de despliegue de las prácticas de ITIL, la ISO
20000.
• Provee un nivel de procesos rigurosos (calidad) específicos para los procesos ITSM
128
• La calidad está integrada como parte del mejoramiento continuo del servicio
Procesos Tecnológicos (INFRAESTRUCTURA: HW/SW)
ISO 20000:2005: Gestión de Servicios Tecnológicos (IT Service Management)
ISO27001:2005: Gestión de Seguridad de la Información (IT Security Information
Management)
ISO 22301:2012-Gestión de Riesgos y Plan de Continuidad (Business Continuity Plan)
ITIL (Information Technology Infrastructure Library)
Los principales procesos de Gestión de Tecnológica (Infraestructura: Hardware y Software) son
36 procesos.
129
130
3.3. PAPELES DE TRABAJO
131
Se conocen como papeles de trabajo los registros de los diferentes tipos de evidencia
acumulada por el auditor. Cualquiera que sea la forma de la evidencia y cualesquiera que sean
los métodos utilizados para obtenerla, se debe hacer y mantener algún tipo de registro en los
papeles de trabajo.
Los papeles de trabajo son registros que mantiene el auditor de los procedimientos aplicados
como pruebas desarrolladas, información obtenida y conclusiones pertinentes a que
se llegó en el trabajo. Algunos ejemplos de papeles de trabajo son los programas de
auditoría, los análisis, los memorando, las cartas de confirmación y declaración,
resúmenes de documentos de la entidad y papeles preparados u obtenidos por el
auditor. Los papeles de trabajo también pueden obtener la forma de información almacenada
en cintas películas u otros medios.
El formato exacto de los papeles de trabajo varía con el tamaño, complejidad y
circunstancias de cada compromiso de auditoría. Además, cada auditor, o Unidad de Dirección
de Auditoría, tiene por lo general ciertas preferencias por la manera exacta como se deben
preparar los papeles de trabajo. El auditor que comienza recibe instrucciones en
sesiones formales de entrenamiento o del supervisor en el trabajo.
Este Documento se refiere sobre todo a los aspectos generales de los papeles de trabajo, y se
debe contemplar como guía para el trabajo, en el cual podemos consultar y adaptar a las
condiciones y características de cada trabajo ordenado y no necesariamente como
un modelo que se debe adoptar. Los papeles de trabajo (formato papel, audiovisual o digital)
constituyen el vínculo entre el trabajo de planeamiento y ejecución y el informe que se elabore.
Por tanto deben contener la evidencia necesaria para fundamentar los hallazgos,
conclusiones y recomendaciones que se presentan en el informe.
Propósitos de los papeles de trabajo
Como una acumulación de toda la evidencia obtenida durante el desarrollo de la
auditoría, los papeles de trabajo tienen varias funciones. Los propósitos principales de estos
son:
• Ayudar a organizar y coordinar las muchas fases de la revisión de auditoría.
• Proporcionar información que será incluida en el informe de auditoría.
• Servir como respaldo de la opinión del auditor.
Los papeles de trabajo también sirven como evidencia en caso de demandas legales, fuente
de información para futuras declaraciones y otros informes especializados,
solicitados por otros órganos de competencia y como guía para exámenes de auditoría
posteriores
Propiedad de los papeles de trabajo
132
Los papeles de trabajo que preparan los auditores son de su propiedad y por lo general se
considera confidencial la información que contienen. Usualmente antes de entregar información
que aparece en los papeles de trabajo el auditor obtiene el consentimiento del auditado. Si
recibe una citación o un requerimiento judicial en el que le pidan información de los papeles
de trabajo, el auditor tiene que entregarla. También el auditor puede verse en la necesidad de
revelar alguna información incluso contra los deseos del cliente a fin de cumplir con normas de
auditoría, como sucede en los casos en que subsecuentemente se descubren hechos que
existían a la fecha del informe del auditor.
Es difícil establecer el tiempo que un auditor debe conservar los papeles de trabajo. Debe
conservarlos en tanto son importantes para auditorías subsecuentes y para cumplir
cualquier requisito legal. Debe cumplir con las normativas que al efecto existan.
Hoja de Identificación
Figura 76. Hoja de Identificacion
Índice del contenido
Se pagina el contenido total de los papeles de trabajo con el propósito de identificar
rápidamente la página donde se encuentran cada una de las partes que integran el legajo de
papeles.
133
3.4. ELABORACIÓN DEL INFORME
Informe de auditoría (puntos clave y ejemplo)
Luego de la ejecución de la reunión de auditoría, el auditor deberá presentar en los próximos 5
días el INFORME DE AUDITORIA, que debe contener:
• fecha de la auditoría,
• nombre del auditor,
• nombre del auditado,
• nombre del proceso (ver dentro de la cadena de valor proceso principal/soporte);
• y además cumplir la siguiente estructura:
1. ARTEFACTOS AUDITADOS:
2. OBJETIVO:
3. ALCANCE:
4. ANTECEDENTES:
5. INFORME DE AUDITORIA:
6. NO CONFORMIDADES (NCR) / OBSERVACIONES / RECOMENDACIONES
• FORMA DE CIERRE
7. FIRMA AUDITOR AUDITADO
Estructura del Informe Final
• Título o Identificación del Informe
• Distinguirlo de otros informes
• Fecha de Comienzo
• Miembros del Equipo Auditor
• Entidad auditada
• Identificación de destinatarios
• Finaliza con
• Nombre, Dirección y Datos Registrales del Auditor
• Firma del Auditor
• Fecha de emisión del informe
• Objetivos y Alcance de la Auditoría
134
• Estándares, especificaciones, prácticas y procedimientos utilizados
• Excepciones aplicadas
• Materias consideradas en la auditoría
• Situación actual
• Hechos importantes
• Hechos consolidados
• Tendencias, de situación futura
• Puntos débiles y amenazas (hecho = debilidad)
• Hecho encontrado
• Consecuencias del hecho
• Repercusión del hecho (influencias sobre otros aspectos)
• Conclusión del hecho
• Recomendaciones
• Redacción de la Carta de Presentación
Tipos de Informes
Existen 4 tipos de informes, respecto a los objetivos de la auditoría
Informe sin salvedades: implica una auditoría limpia en la que no se hallan problemas
materiales o declaraciones erróneas. Esta opinión normalmente dice que los estados contables
de la organización auditada están de acuerdo con principios de contabilidad generalmente
aceptados. Sin limitaciones de alcance y sin incertidumbre, debe estar de acuerdo con la
normativa legal y profesional.
Informe con salvedades: los auditores externos utilizan un informe con salvedades para
indicar que la información contable de la organización auditada cumple con las normas de
auditoría generalmente aceptadas, salvo que por una excepción de condiciones o situaciones
mencionadas expresamente. Estas excepciones no tienen que tener una importancia que
afecte materialmente la situación patrimonial de la organización.
Desfavorable
• Identificación de irregularidades
• Incumplimiento de la normativa legal y profesional que afecte a significativamente a los
objetivos estipulados
Denegada
• Limitaciones al alcance
135
• Incertidumbres significativas
• Irregularidades
• Incumplimiento de normativa legal y profesional
Opinión adversa:los auditores externos emiten una opinión adversa cuando consideran que
los estados contables de la organización auditada están mal expuestos o significativamente no
cumplen con los principios contables generalmente aceptados.
Renuncia de opinión: se emite tal tipo de informe cuando los auditores externos consideran
que la situación financiera de la organización auditada es muy precaria y puede conllevar con
la disolución de la misma.
Pautas del Lenguaje y Redacción del Informe
• Títulos: expresivos y breves
• Párrafos
• Un solo asunto por párrafo
• 8 ó 10 líneas por párrafo
• Frases
• Una sola idea por frase
• No más de 3 líneas
• Otros consejos
• Lenguaje sobrio y normal
• Voz activa, nunca pasiva
• Omitir palabras innecesarias (con referencia a, consecuentemente con, etc.)
• Evitar redundancias
• No utilizar adverbios y adjetivos simultáneamente
ADVERBIOS
Los adverbios son palabras que modifican a un verbo, un adjetivo o a otro adverbio. En
la oración funcionan como circunstanciales o formando parte de modificadores. Son
invariables, ya que no tienen género ni número.
136
3.5. COMUNICACIÓN DE RESULTADOS
Técnicas de exposición
A menudo se le solicita al auditor de sistemas que exponga los resultados de las tareas de
auditoría a diversos niveles gerenciales. Las técnicas de exposición incluyen:
• Resumen ejecutivo: es un informe de fácil lectura, gramaticalmente correcto y breve
que presenta los hallazgos a la gerencia en forma comprensible. Los anexos pueden ser de
naturaleza técnica ya que la gerencia operativa necesitará los detalles para corregir las
situaciones informadas
• Presentaciones visuales: pueden incluir transparencias, diapositivas o gráficos
3.6. SEGUIMIENTO DE RECOMENDACIONES
Las Recomendaciones son acciones correctivas y / o preventivas que se pueden presentar en
los Informes de Auditoría Informática o en Informes Especiales de carácter preventivo, como
producto de las deficiencias o incumplimientos resultantes del proceso de fiscalización y son
dirigidas a las autoridades competentes que tienen la responsabilidad de llevarlas a cabo, una
vez que son comunicadas son de obligatoria implementación bajo la vigilancia del Auditor
Interno. Es requisito de toda Recomendación, el hecho de ser discutida y comentada
ampliamente con los funcionarios encargados de su ejecución al momento de la conferencia de
cierre o final.
La Recomendación que ha sido discutida debe calzar en documento aparte la firma junto con el
cargo del funcionario que la discutió y quien además es el encargado responsable de
ejecutarla.
137
Es importante destacar que toda Recomendación debe ser realizable dentro del plazo señalado
en el Plan de Acción presentado por la entidad respectiva y aceptada.
Tipos de Recomendaciones
• Cumplimiento Legal,
• Control Interno,
• Administrativas,
• Financieras,
• Gestión y
• Preventivas.
El seguimiento a las recomendaciones realizadas en una Auditoría externa deben ser
realizadas por el equipo de Auditoria Interna de la organización, el auditor informático externo
debe estar de soporte en el caso de que así se requiera.
El auditor deberá entregar periódicamente:
• Informes del seguimiento
• Evaluación de los controles implantados
3.7. HERRAMIENTAS ASISTIDAS POR COMPUTADOR PARA ANALISIS
DE RIESGOS Y AUDITORIAS INFORMATICAS
Las técnicas de auditoría asistidas por computador se conocen con el nombre de TAAC‘S.
Las TAAC´S son un conjunto de técnicas y herramientas utilizados en el desarrollo de las
auditorías informáticas con el fin de mejorar la eficiencia, alcance y confiabilidad de los análisis
efectuados por el auditor a los sistemas y los datos de la entidad auditada.
El auditor dispone de una clasificación estandarizada respecto a las principales TAAC´S
aplicadas por auditores de todo el mundo:
• Técnicas Administrativas: Permiten al auditor establecer el alcance de la revisión,
definir las áreas de interés y la metodología a seguir para la ejecución del examen.
• Técnicas para evaluar los controles de Aplicaciones en Producción: Se orientan
básicamente a verificar cálculos en aplicaciones complejas, comprobar la exactitud del
procesamiento en forma global y específica y verificar el cumplimiento de los controles
preestablecidos.
• Técnicas para análisis de transacciones: Tienen como objetivo la selección y
análisis de transacciones significativas de forma permanente utilizando procedimientos
analíticos y técnicas de muestreo.
138
• Técnicas para análisis de datos: Están orientadas hacia el uso de programas
informáticos especializados que le permiten al auditor, de forma eficiente y flexible, examinar la
información que ha sido procesada electrónicamente a través de los sistemas de información,
aplicativos o programas utilitarios.
• Técnicas para análisis de aplicaciones: Poseen un grado mayor de complejidad
respecto a su aplicación y grado de conocimiento técnico que debe poseer el auditor, pues se
orientan hacia la evaluación del funcionamiento interno de las aplicaciones en producción y la
forma en que estos procesan la información
Tipos de Herramientas CAAT
• IDEA: Con esta herramienta se puede visualizar, analizar y manipular datos, llevar a
cabo muestreos y extraer archivos de datos desde cualquier origen de ordenadores centrales a
PC, incluso reportes impresos.
• ACL: Es una herramienta enfocada al acceso de datos, análisis y reportes para
auditores y profesionales financieros, tiene una gran cantidad de reportes integrados.
• AUTO - AUDIT: Es un sistema completo para la automatización de la función de
auditoria, soportando todo el proceso y flujo de trabajo, desde la fase de planificación, pasando
por el trabajo de campo, hasta la preparación del informe final, además de los documentos y
papeles de trabajo en forma electrónica.
• AUDITCONTROL APL- AUDISIS: Es una herramienta para asistir en la construcción de
sistemas de gestión de riesgos y controles internos en los procesos de la cadena de valor y los
sistemas de información de las empresas.
139
• AUDIMASTER: Es una solución de supervisión de transacciones a nivel de bases de
datos, su objetivo es capturar las operaciones que realizan las bases de datos y escribirlas en
un archivo de registro.
• DELOS: Es un sistema experto que posee conocimientos específicos en materia de
auditoría, seguridad y control en tecnología de información, este conocimiento se encuentra
estructurado y almacenado en una base de conocimiento.
140
BIBLIOGRAFÍA Y NETGRAFÍA
BIBLIOGRAFIA
1. Matemáticas Financieras, Grupo Alfaomega, Tercera edición 2010, MORA ZAMBRANO,
Armando
2. Matemáticas Financieras, McGraw Hill, Cuarta edición 2006, DÍAZ MATA, Alfredo.
3. Matemáticas Financieras Teoría y 500 problemas resueltos, McGraw-Hill, 2003 AYRES,
Frank Jr.
NETGRAFIA
1. Cliente-servidor. Fundación Wikimedia, Inc.
https://es.wikipedia.org/wiki/Cliente-servidor
2. Computación en la nube. Fundación Wikimedia, Inc.
https://es.wikipedia.org/wiki/Computaci%C3%B3n_en_la_nube
3. Banco Central del Ecuador. (s.f.). Banco Central del Ecuador.
http://contenido.bce.fin.ec/documentos/Estadisticas/SectorReal/Previsiones/IndCoyuntura/Cifra
sEconomicas/cie201412.pdf
141
ANEXOS
APENDICE 1 MATRIZ DE GESTION DE RIESGOS
La exposición al riesgo es igual a la Probabilidad de Ocurrencia por el impacto
Exposición = Probability * Impact
Figura 77. Exposición = Probability * Impact
Los Riesgos identificados deben ser registrados y gestionados. Se requiere los campos:
No: secuencial del riesgo
Fecha Registro (dd/mm/yyyy): fecha que se registró el riesgo
Persona Registro: persona que identifico el riesgo
Descripción del Riesgo: detalle del riesgo identificado
Fuente Riesgo: PROCESOS, PERSONAS, TECNOLOGIA, LEGAL
Probabilidad de Ocurrencia (P): probabilidad (0.1 – 1)
Impacto (I): impacto (1 – 5)
Exposición al Riesgo: RE= P *I
Nivel del Riesgo: ALTO, MEDIO, BAJO
Plan de Mitigación: actividades realizadas para disminuir la exposición al riesgo
Gestión del Riesgo: MITIGADO, ACEPTADO, ELIMINADO, TRANSFERIDO
142
Comentarios: algún comentario adicional
Descripción del Riesgo: Si partimos del concepto "Riesgo es cualquier cosa que le impida
alcanzar sus objetivos", el riesgo se debe registrar como algo "improvisto" que puede ocurrir
durante el proyecto
Matriz de Registro de Riesgos
Figura 78. Matriz de Registro de Riesgos
143
APENDICE 2 CAR - ROOT CAUSAL ANALYSIS – ANÁLISIS DE
CAUSA RAIZ
Prevención de defectos
Qué es la Prevención de Defectos?
Aprender lecciones del pasado y tomar medidas preventivas para el futuro
Identificar el motivo de los defectos y evitar su recurrencia
Qué es el Análisis Causal?
El análisis causal es un método para encontrar las causas de fondo de un defecto o problema
Al saber las causas primordiales podemos elaborar un plan para evitar que vuelvan a ocurrir
Herramientas de calidad - Técnicas de análisis de causa raiz
Paso 1 : Conteo de defectos, ordenar de MAYOR a menor.
Paso 2 : Gráficas de Pareto
Paso 3: Diagrama causa efecto
Paso 4: Técnica de Grupo Nominal (TGN)
Paso 5: Acciones Correctivas / Acciones preventivas con responsables y fechas
144
Figura 79. Herramientas de calidad - Técnicas de análisis causal
145
Herramientas de calidad – caso práctico: “Gourmet Food”
La empresa ―Gourmet Food‖, realiza un análisis causal a sus encuestas de satisfacción, debido
que su índice de encuesta es 79% que es menor del target Corporativo que es 85%.
Se aplica la lista verificación de defectos , es decir el conteo de defectos, ordenar de MAYOR a
menor y se determina la frecuencia de las oportunidades de mejora.
Con los tipos de defectos ordenados se observa en el Pareto los defectos que están debajo del
80% en frecuencia acumulada.
146
A las causas de la espina de pescado se les escribe en la TGN y se le asigna un peso (1-5), el
método utilizado para asignar un peso es ―juicio de experto‖.
147
Se determina acciones correctivas y acciones preventivas, con responsables y fechas. En las
reuniones se realiza seguimiento al cumplimiento.
148
APENDICE 3 MANUAL DE PROCEDIMIENTOS
Manual de Procedimiento – Definición
Procedimiento: Es una sucesión cronológica y secuencial de un conjunto de labores
concatenadas que constituyen la manera de efectuar un trabajo dentro de un ámbito
predeterminado de aplicación.
Todo procedimiento implica, además de las actividades y las tareas del personal, la
determinación del tiempo de realización, el uso de recursos materiales, tecnológicos y
financieros, la aplicación de métodos de trabajo y de control para lograr un eficiente y eficaz
desarrollo en las diferentes operaciones de una empresa.
Manual de Procedimiento: Es un instrumento administrativo que apoya el quehacer cotidiano
de las diferentes áreas de una empresa.
En los manuales de procedimiento son consignados, metódicamente tanto las acciones como
las operaciones que deben seguirse para llevar a cabo las funciones generales de la empresa
Manual de Procedimiento – Ventajas
Las ventajas de contar con manuales de procedimiento son:
Auxilian en el adiestramiento y capacitación del personal.
Auxilian en la inducción al puesto.
Describen en forma detallada las actividades de cada puesto.
Facilitan la interacción de las distintas áreas de la empresa.
Indican las interrelaciones con otras áreas de trabajo.
Permiten que el personal operativo conozca los diversos pasos que se siguen para el
desarrollo de las actividades de rutina.
Permiten una adecuada coordinación de actividades a través de un flujo eficiente de la
información.
Proporcionan la descripción de cada una de sus funciones al personal.
Proporcionan una visión integral de la empresa al personal.
Se establecen como referencia documental para precisar las fallas, omisiones y
desempeños de los empleados involucrados en un determinado procedimiento.
149
Son guías del trabajo a ejecutar.
Un sistema está basado en varios procedimientos interdependientes.
Manual de Procedimiento – Elaboración
En la elaboración del manual de procedimientos deben seguir al menos los siguientes puntos
mínimos:
1.NOMBRE DEL PROCESO
2.DESCRIPCIÓN ALTO NIVEL DEL PROCESO
2.1.Objetivo
2.2.Alcance
2.3.Participantes
2.4.Política General
2.5.Fuera de Alcance (si aplica)
3.GRAFICAS DEL PROCESO
3.1.Diagrama de Flujo
3.2.Descripción del Proceso.
3.3.Matriz RASCI
3.4.Tiempos de Resolución
3.5.Controles internos en el flujo (si aplica)
4.GLOSARIO DE TÉRMINOS
5.ANEXOS
150
Manual de Procedimiento – fuentes de información
Las fuentes de información más comunes son:
Archivos de la empresa.
Directivos, ejecutivos asesores y empleados.
Los métodos para compilar la información son:
Encuestas
Investigación documental
Observación directa
Manual de Procedimiento – revisión, aprobación, distribución e implantación
Una vez concluido el documento tiene que ser revisado para verificar que la información esté
completa, que sea veraz y no tenga contradicciones.
El responsable de cada área de la empresa debe aprobar el contenido para su impresión,
difusión y distribución con los ejecutivos y empleados que deben tenerlo.
Para implantar el manual se requiere capacitar al personal encargado de realizar las
actividades.
Es necesario mantener los manuales permanentemente actualizados, mediante revisiones
periódicas, a fin de tenerlos apegados a la realidad de la operación.
Manual de Procedimiento – matriz RASCI
La matriz de la asignación de responsabilidades (RASCI por las iníciales de los tipos de
responsabilidad), se utiliza generalmente en la gestión de proyectos para relacionar actividades
con recursos (individuos o equipos de trabajo).
151
En la matriz RASCI, se registran las responsabilidades:
R= Responsable: Responsable, es el Rol a quien le pertenece la responsabilidad
A= Accountable: Jefe, es a quien "R" debe rendir cuentas. Debe firmar o aprobar el trabajo
antes de proceder
S= Supportive: Soporte, puede servir de apoyo. Puede proporcionar los recursos o tener un
papel de soporte en la implementación
C= Consulted: Debe ser consultado, tiene la información y/o capacidad necesaria para realizar
el trabajo.
I= Informed: debe ser informado. Se le debe informar de los resultados, pero no se le necesita
consultar
Manual de Procedimiento – puntos clave y ejemplo
A continuación se presenta un ejemplo del manual de procedimiento donde se deberá tomar en
cuenta algunos puntos claves como: NOMBRE DEL PROCESO, DESCRIPCIÓN ALTO NIVEL
DEL PROCESO, GRAFICAS DEL PROCESO, GLOSARIO DE TÉRMINOS, ANEXOS
152
153
154