Download - Proyecto Final 14-11-15
-
7/24/2019 Proyecto Final 14-11-15
1/106
-
7/24/2019 Proyecto Final 14-11-15
2/106
Universidad Mariano Glvez de GuatemalaIng. Crecencio Chang
Auditoria de SistemasIngeniera en Sistemas de informacinSeccin A
Proyecto de Auditoria de sistemas
Alumno No. De Carn Email TelfonoAllan Federico Gonzlez Barrueto 0900-10-1 [email protected] 55719640Mario Roberto Hernndez Monterroso 0900-08-3602 [email protected] 54891387Juan Carlos Monterroso Hernndez 0900-10-11326 [email protected] 59180559Erick Gonzlez 0900-10-105 [email protected] 55178828Francklin Funez 0900-09-560 [email protected] 40062743Joshua Figueroa 0900-11-1483 [email protected] 55231380
AUDITORIA
mailto:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected] -
7/24/2019 Proyecto Final 14-11-15
3/106
ndice
Introduccin ............................................................................................................... 1
Justificacin ............................................................................................................... 2
Planteamiento del problema ..................................................................................... 3
Definicin del problema ............................................................................................ 3
El Control Interno: .................................................................................................... 3
Efectividad y Eficiencia de las Operaciones: ......................................................... 3
Suficiencia y Confiabilidad de la Informacin financiera: ...................................... 3
Cumplimiento de la Regulacin: ........................................................................... 3
Riesgo: ..................................................................................................................... 4
Gobierno de Tecnologa de la informacin: .............................................................. 4
Objetivos de Control para Informacin y Tecnologa Relacionada (COBIT) ............ 4
Objetivos de la investigacin: .................................................................................. 6
Generales ................................................................................................................. 6
Mtodos y tcnicas a utilizar: ................................................................................... 6
Mtodos ................................................................................................................... 6
Marco de Trabajo ....................................................................................................... 6
Razones para utilizarlo ............................................................................................. 7
Beneficios a Usuarios ............................................................................................... 7
Orientado a Procesos ............................................................................................... 8
Procesos del dominio Construir, Adquirir e Implementar: ........................................ 8
Modelo de capacidad de los procesos ..................................................................... 8
0Proceso incompleto: ........................................................................................ 9
1Proceso ejecutado: ......................................................................................... 9
2Proceso gestionado: ....................................................................................... 9
3Proceso establecido: ....................................................................................... 9
4Proceso predecible: ........................................................................................ 9
-
7/24/2019 Proyecto Final 14-11-15
4/106
5Proceso optimizado: ........................................................................................ 9
Mtodo de determinacin del nivel de capacidad..................................................... 9
Caso practico ........................................................................................................... 11
EVALUACIN DE CONTROLES PARA LA ADQUISICIN Y MANTENIMIENTO DE
APLICACIONES INFORMTICAS DE UNA EMPRESA ASEGURADORA, SEGNMODELO DE OBJETIVOS DE CONTROL PARA TECNOLOGA DE INFORMACINY TECNOLOGAS RELACIONADAS (COBIT) ...................................................... 11
Antecedentes del caso prctico .......................................................................... 11
Desarrollo del Caso Prctico ............................................................................... 12
Contenido del Caso Prctico .................................................................................. 13
Papeles de trabajo del caso prctico ...................................................................... 14
CARTA DE NOTIFICACIN DE LA REALIZACIN DE LA EVALUACIN DEL
CONTROL INTERNO INFORMTICO EN LA ADQUISICIN EIMPLEMENTACIN DE SOLUCIONES INFORMTICAS EN ELDEPARTAMENTO DE INFORMTICA ............................................................... 14
NOMBRAMIENTO PARA REALIZAR LA EVALUACIN DEL CONTROL INTERNOEN LOS PROCESOS DE ADQUIRIR E IMPLEMENTAR SOLUCIONESINFORMTICAS EN EL DEPARTAMENTO DE INFORMTICA........................... 15
PROGRAMA DE AUDITORA INTERNA PARA LA EVALUACIN DEL CONTROLINTERNO INFORMTICO DE LOS PROCESOS DE ADQUISICIN EIMPLEMENTACIN DE SOLUCIONES INFORMTICAS SEGN EL MODELO
COBIT DE CONTROL INTERNO. .......................................................................... 17
INTRODUCCIN ................................................................................................ 17
OBJETIVO .......................................................................................................... 17
ALCANCE ........................................................................................................... 17
PROCEDIMIENTO .............................................................................................. 18
EVALUACION DEL CONTROL INTERNO INFORMTICO ............................... 18
INFORME ............................................................................................................... 22
Elaboracin del informe. ..................................................................................... 22
Normativa. ........................................................................................................... 22
Cronograma. ....................................................................................................... 22
Presentacin del informe: ................................................................................... 22
Distribucin del informe: ...................................................................................... 23
Evaluacin del proceso de Gestionar los Programas y Proyectos (BAI01) ............ 24
-
7/24/2019 Proyecto Final 14-11-15
5/106
CONCLUSIN: ................................................................................................... 26
Evaluacin del proceso de Gestionar la Definicin de Requisitos (BAI02) ............. 38
CONCLUSIN: ................................................................................................... 40
Evaluacin del proceso de Adquirir e Implementar Infraestructura Tecnolgica
(BAI03). .................................................................................................................. 50
CONCLUSIN: ................................................................................................... 52
Evaluacin del proceso Facilitar la ejecucin y el uso (BAI04). ............................. 59
CONCLUSIN: ................................................................................................... 60
Evaluacin del proceso Gestionar la Introduccin de Cambios Organizativos (BAI05)............................................................................................................................... 66
CONCLUSIN: ................................................................................................... 68
Evaluacin del proceso de Administracin de Cambios (BAI06). ........................... 77
CONCLUSIN: ................................................................................................... 80
Evaluacin del proceso de Gestionar la Aceptacin del Cambio y de la Transicin(BAI07) ................................................................................................................... 93
CONCLUSIN: ................................................................................................... 94
Informe de la evaluacin de los controles ............................................................ 98
Objetivo: ................................................................................................................. 98
Alcance: ................................................................................................................. 98
Resultados por Proceso: ........................................................................................ 99
Conclusiones Generales:...................................................................................... 101
-
7/24/2019 Proyecto Final 14-11-15
6/106
Definicin de Proyecto
1
IntroduccinLa auditora se tiene como una forma de hacer una corroboracin sobre distintos
procesos, presupuestos, costos, entre otros, al nivel que se estar refiriendo es a nivel
de auditoria de sistemas, en los diferentes procesos, tambin se tiene como una forma
de aclarar una sospecha sobre un posible ilcito que pueda estar sucediendo dentro
de una organizacin, para poder aclarar alguna situacin que pueda estar dando una
inquietud, en el mbito de auditoria en sistemas, se puede desarrollar sobre los
diferentes procesos que se estn realizando dentro de un sistema en una organizacin.
Otra utilidad para lo que se utiliza una auditoria en sistemas es para hacer una
verificacin sobre los distintos procesos y mejoras que se puedan realizar a una
sistema en especfico, verificando cuales son los puntos dbiles del mismo, apoyado
en la documentacin respectiva para tener una mejora continua, se tiene que tomar en
cuenta que una auditoria de este tipo no se puede estar realizando con mucha
periodicidad, y se tiene que realizar de una forma correcta, eficaz y eficiente, con datos
reales para que pueda tenerlos beneficios a largo plazo de esta actividad.
-
7/24/2019 Proyecto Final 14-11-15
7/106
Definicin de Proyecto
2
JustificacinLa evaluacin de los controles en una empresa aseguradora en sus distintos procesos
donde se involucra la tecnologa de informacin, son puntos importantes para su buen
funcionamiento, el estar un una situacin de cambio constante para la mejora es una
buena prctica volviendo a la empresa con procesos dinmicos anuentes a estar
madurando constantemente, de esta forma ir amalgamando los distintos modelos para
llegar a estndares de calidad deseados.Uno de los modelos que se puede tomar en cuenta es el de COBIT, ya que es uno de
los ms utilizados en el medio para poder auditar la gestin y control de los sistemas
de informacin IT, orientados bastante a todos los sectores de una organizacin,
administradores, usuarios y los mismos auditores.
Teniendo como objetivo principal la implementacin mediante un modelo COBIT en la
organizacin, dando una herramienta automatizada para la evolucin del cumplimiento
de los distintos procesos y recursos de informacin y tecnologa.
-
7/24/2019 Proyecto Final 14-11-15
8/106
Definicin de Proyecto
3
Planteamiento del problemaDefinicin del problema
Al no implementarse una metodologa adecuada surge el involucramiento de algunas
variables considerables: La incorrecta evaluacin de controles para la adquisicin y mantenimiento de
aplicaciones informticas
Cules son las consecuencias de la incorrecta evaluacin de los controles para la
adquisicin y mantenimiento de aplicaciones informticas?
El Control Interno:El sistema de control interno es un proceso realizado por el consejo de administracin
(junta directiva o junta de directores), los administradores y dems personal de unaentidad, diseado para proporcionar seguridad razonable en la bsqueda del
cumplimiento de los siguientes objetivos:
Efectividad y Eficiencia de las Operaciones:Es decir, en cuanto al cumplimiento de los objetivos estratgicos de la organizacin y
la salvaguarda o proteccin de sus recursos y los bienes de terceros que se encuentran
en su poder de la entidad.
Suficiencia y Confiabilidad de la Informacin financiera:Y la que se produce para uso interno, as como de la preparacin de los estados
financieros con destino a terceros.
Cumplimiento de la Regulacin:En general las disposiciones que afectan el desarrollo institucional, tales como las
leyes, normas del gobierno, los estatutos, los reglamentos, las circulares o
instrucciones internas.
-
7/24/2019 Proyecto Final 14-11-15
9/106
Definicin de Proyecto
4
Riesgo:Es la incertidumbre de que ocurra un acontecimiento que pudiera pueda afectar el
logro de los objetivos. Tambin se define como la posibilidad de que suceda algo que
tendr impacto en los objetivos. Se mide en trminos de consecuencia y posibilidad de
ocurrencia.
Gobierno de Tecnologa de la informacin:Es una estructura de relaciones y procesos para dirigir y controlar con el objeto de
alcanzar los objetivos de la empresa y aadir valor mientras se equilibran los riesgos
y el retorno sobre Tecnologa de la informacin y sus procesos.
El ncleo de Tecnologa de la informacin consta de dos responsabilidadesprincipales, la entrega de valor al negocio y mitigar los riesgos relacionados con TI.
Objetivos de Control para Informacin y Tecnologa Relacionada (COBIT)Las organizaciones deben cumplir con requerimientos de calidad, fiduciarios y de
seguridad, tanto para su informacin, como para sus activos. La gerencia deber
adems optimizar el empleo de sus recursos disponibles, los cuales incluyen: personal,
instalaciones, tecnologa, sistemas de aplicacin y datos. Para cumplir con esta
responsabilidad, as como para alcanzar sus objetivos, la gerencia debe entender el
estado de sus propios sistemas de Tecnologa de la informacin y decidir el nivel de
seguridad y control que deben proveer estos sistemas.
Provee buenas prcticas y presenta actividades en una estructura manejable y lgica.
Las Buenas prcticas de COBIT rene el consenso de expertos quienes ayudarn a
optimizar la inversin de la informacin y proporcionarn un mecanismo de medicin
que permitir juzgar cuando las actividades van por el camino equivocado. La gerenciadebe asegurar que los sistemas de control interno o el marco referencial estn
funcionando y soportan los procesos del negocio, y debe de ser consciente de cmo
-
7/24/2019 Proyecto Final 14-11-15
10/106
Definicin de Proyecto
5
cada actividad individual de control satisface los requerimientos de informacin e
impacta los recursos de TI.
La gerencia, mediante este gobierno corporativo, debe asegurar que todos los
individuos involucrados en la administracin, uso, diseo, desarrollo, mantenimiento uoperacin de sistemas de informacin acten con la debida diligencia. Est diseado
no slo para ser utilizado por usuarios y auditores, sino que, lo ms importante, est
diseado para ser utilizado por los propietarios de los procesos de negocio como una
gua clara y entendible.
-
7/24/2019 Proyecto Final 14-11-15
11/106
Definicin de Proyecto
6
Objetivos de la investigacin:Generales
Determinar la importancia de aplicar en el pas una metodologa adecuada para
la evaluacin de adquisiciones informticas. Determinar el impacto sobre una empresa debido al adecuado manejo de los
recursos informticos.
Mtodos y tcnicas a utilizar:Mtodos
Mtodo cientfico:
o En sus fases:
Indagatoria: al momento de efectuar la investigacin documental
y de campo.
Demostrativa: cuando se demuestre que los datos recopilados
sean vlidos.
Expositiva: se efectuar cuando la investigacin quede plasmada
en l informe final.
Mtodo deductivo:
o Parte de lo general a lo particular.
Marco de TrabajoEl marco de trabajo relaciona los requerimientos de informacin y de gobierno TI a losobjetivos de la funcin de servicios de TI. El modelo de procesos de COBIT permiteque las actividades de TI y los recursos que los soportan sean administrados y
controlados basados en los objetivos de control de COBIT, y alineados y monitoreadosusando las metas y mtricas establecidas por la metodologa.
-
7/24/2019 Proyecto Final 14-11-15
12/106
Definicin de Proyecto
7
Razones para utilizarlo
El marco de referencia COBIT otorga especial importancia a los requerimientos de
negocios en cuanto a efectividad, eficiencia, confidencialidad, integridad,disponibilidad, cumplimiento y confiabilidad que deben ser satisfechos. El desarrollode este marco de referencia ha sido limitado a objetivos de control de alto nivel enforma de necesidades de negocio dentro de un proceso de tecnologa informticaparticular, cuyo logro es posible a travs del establecimiento de controles, para el cualdeben considerarse controles aplicables potenciales.
La misin de COBIT es Investigar, desarrollar, hacer pblico y promover un marco decontrol de gobierno de TI autorizado, actualizado, aceptado internacionalmente parala adopcin por parte de las empresas y el uso diario por parte de gerentes de negocio,
profesionales de TI y profesionales de aseguramiento (COBIR 4.1 2007, p.9).
Un Objetivo de Control, es una definicin del resultado o propsito que se deseaalcanzar implementando procedimientos de control especficos dentro de una actividadde tecnologa informtica. COBIT identifica un conjunto de 34 Objetivos de alto nivel,uno para cada uno de los procesos de tecnologa informtica, agrupados en cuatrodominios:
Planeacin y organizacin
Adquisicin e implementacin Entrega de servicio
Monitoreo
Beneficios a UsuariosCOBIT proporciona ventajas a gerentes, usuarios, e interventores. Los gerentes sebenefician de COBIT por que les provee un fundamento sobre el cual basar lasdecisiones de una forma eficaz, ayuda a la definicin de un plan de TI estratgico, ladefinicin de la arquitectura de la informacin, la adquisicin del hardware necesario yel software para ejecutar una estrategia, la aseguracin del servicio continuo, la
supervisin del funcionamiento del sistema TI. Los usuarios por otro lado se beneficiandebido al aseguramiento proporcionado a ellos en el tratamiento de la informacin.Finalmente los auditores o interventores se ven beneficiados ya que permite identificar
-
7/24/2019 Proyecto Final 14-11-15
13/106
Definicin de Proyecto
8
cuestiones de control de TI dentro de la infraestructura de una institucin y a corroborarsus conclusiones de auditoria.
Orientado a Procesos
Incluye un modelo de referencia de procesos que define y describe en detalle variosprocesos de gobierno y de gestin. Dicho modelo representa todos los procesos quenormalmente se encuentran en una empresa, relacionados con las actividades de TI
Los dominios principales son: Gobierno
o Contiene 5 procesos de gobierno, dentro de cada proceso se definenprcticas de evaluacin, orientacin y supervisin.
Gestino Contiene 4 dominios de acuerdo a las reas de responsabilidad de
planificar, construir, ejecutar y supervisar.
Alinear, Planificar y Organizar Construir, Adquirir e Implementar Entregar, dar Servicio y Soporte Supervisar, Evaluar y Valorar
Procesos del dominio Construir, Adquirir e Implementar: BAI01 Gestionar los Programas y Proyectos, BAI02 Gestionar la Definicin de Requisitos,
BAI03 Gestionar la Identificacin y la Construccin de Soluciones, BAI04 Gestionar la Disponibilidad y la Capacidad, BAI05 Gestionar la Introduccin de Cambios Organizativos, BAI06 Gestionar los Cambios, BAI07 Gestionar la Aceptacin del Cambio y de la Transaccin, BAI08 Gestionar el Conocimiento, BAI09 Gestionar los Activos, BAI10 Gestionar la Configuracin.
Modelo de capacidad de los procesos
Este modelo se utiliza para medir la madurez actual o el estado en que se encuentranlos procesos relacionados con las TI de la empresa, determinar la brecha entre ellos yla forma de mejorarlos.
Existen seis niveles de capacidad que se pueden alcanzar por un proceso.
-
7/24/2019 Proyecto Final 14-11-15
14/106
Definicin de Proyecto
9
0 Proceso incompleto:El proceso no est implementado o no alcanza su propsito. A este nivel, hay muypoca o ninguna evidencia de ningn logro sistemtico del propsito del proceso.
1 Proceso ejecutado:El proceso implementado alcanza su propsito.
2 Proceso gestionado:El proceso ejecutado descrito anteriormente esta ya implementado de formagestionada (planificado, supervisado y ajustado) y los resultados de su ejecucin estnestablecidos, controlados y mantenidos apropiadamente.
3 Proceso establecido:El proceso gestionado descrito anteriormente esta ahora implementado usando unproceso definido que es capaz de alcanzar sus resultados de proceso.
4 Proceso predecible:El proceso establecido descrito anteriormente ahora se ejecuta dentro de lmitesdefinidos para alcanzar sus resultados de proceso.
5 Proceso optimizado:El proceso predecible descrito anteriormente es mejorado de forma continua paracumplir con las metas empresariales presentes y futuras.
Mtodo de determinacin del nivel de capacidad
El mtodo de determinacin de la capacidad por proceso en la que se encuentra laempresa es asignando un valor nominal, iniciando en no alcanzado (0) hastacompletamente alcanzado (5).
Los resultados del modelo de capacidad son obtenidos en base a COBIT 5. El auditadodeber analizar y manifestar el nivel de alcance con cada declaracin dentro de cuatroposibles respuestas que a su vez representan valores:
No alcanzado = 0 Parcialmente Alcanzado = 0.33
Ampliamente Alcanzado = 0.66 Completamente Alcanzado = 1.00
Para obtener valores sobre cada una de las respuestas a las declaraciones de COBIT,se necesita multiplicar Peso y Respuesta, a travs de la siguiente formula:
-
7/24/2019 Proyecto Final 14-11-15
15/106
Definicin de Proyecto
10
V = P * R
Donde V es el valor de puntuacin de la declaracin de capacidad, P es el peso decada declaracin de capacidad, el cual se obtiene al sumar los valores de cada nivel yluego dividirlos dentro del peso total para cada nivel.
C = V / P
Donde C es cumplimiento, V es el valor de las respuestas para cada declaracin decapacidad, y P es el peso de cada declaracin.
El paso siguiente es la Normalizacin, la cual se puede obtener mediante dividir elvalor de cumplimiento de cada nivel dentro del valor de cumplimiento de todos losniveles de cada proceso de TI
N = C / C
Donde N es el valor normalizado y C el valor de cumplimiento de cada nivel.
La contribucin se determina con la multiplicacin del Nivel (0 5) por el valornormalizado de cada nivel. Con la contribucin total para todos los niveles de unproceso de tecnologa informtica, el auditor obtendr la puntuacin del nivel demadurez de la empresa.
Co = Nv x N
Donde Co es la contribucin, Nv es el nivel de madurez y N es el valor normalizado delas respuestas a las declaraciones.
El nivel de capacidad se obtiene sumando los valores de contribucin del proceso detecnologa informtica evaluado.
NM = Co
Donde NM es el nivel de capacidad y Co es la contribucin para cada declaracin delnivel de capacidad.
-
7/24/2019 Proyecto Final 14-11-15
16/106
Definicin de Proyecto
11
Caso practicoEVALUACIN DE CONTROLES PARA LA ADQUISICIN Y MANTENIMIENTODE APLICACIONES INFORMTICAS DE UNA EMPRESA ASEGURADORA,SEGN MODELO DE OBJETIVOS DE CONTROL PARA TECNOLOGA DE
INFORMACIN Y TECNOLOGAS RELACIONADAS (COBIT)
Los sistemas de informacin cada da tomas ms relevancia en la toma de decisionesde la empresa, por lo que los controles de estos, deben ser especializados y deacuerdo a los niveles de capacidad que proponen los objetivos de control parainformacin y tecnologa relacionada (COBIT, por sus siglas en ingles), se presentanlos aspectos que debe considerar el auditor de sistemas:
Antecedentes del caso prctico
La evaluacin se realiz a la empresa El Mejor Seguro S.A. que inici sus operaciones
en el ao de 1960, ubicada en la zona 4 de la ciudad capital de Guatemala, siendo laempresa aseguradora ms grande de Centroamrica segn la AsociacinGuatemalteca de Industria del Seguro (AGIS), cuenta con ms de 350 mil clientes, unacertificacin en calidad ISO 9001 y una amplia gama de servicios electrnicos parasus intermediarios y clientes finales.
La empresa en su ms alto nivel est organizada de la siguiente manera: Consejo de Administracin
o Gerencia General Gerencia de Alineamiento Estratgico Gerencia de Lneas Personales Gerencia Corporativa Gerencia de Operaciones Gerencia de Riesgos (Auditoria Interna)
El departamento de informtica se conforma de la siguiente manera: Gerencia de Operaciones
o Direccin de Tecnologa Jefatura de Plataforma Tecnolgica
Administradores de Proyectoso Programadores Senioro Programadores Junior
Jefatura de Servicios Tecnolgicos Administradores de Proyectos
o Programadores Senioro Programadores Junior
Coordinacin de Inteligencia de Negocios
-
7/24/2019 Proyecto Final 14-11-15
17/106
Definicin de Proyecto
12
o Programadores Senior Jefatura de Infraestructura
Administradores de Sistemas Escritorio de Ayuda
o
Tcnicos Senioro Tcnicos Junior
Desarrollo del Caso PrcticoLa empresa El Mejor Seguro ha incrementado sus transacciones mediante lautilizacin de sistemas de informacin, tales como cotizadores en lnea, emisores deplizas en lnea, pagos con tarjeta de crdito en lnea, entre otros, por lo que laadministracin de la empresa demuestra su preocupacin por la adecuada evaluacinde los sistemas de informacin, y ha solicitado a la Gerencia de Riesgos (Auditoria
Interna), que evalu los procesos de adquisicin, implementacin y mantenimiento detecnologa informtica, con el objetivo de conocer de forma oportuna la forma en quelas inversiones en tecnologa estn siendo gestionadas por el departamento deInformtica.
Para dar soporte a la opinin de los auditores internos sobre los controles informticos,el trabajo de auditora deber basarse en los Objetivos de Control para Informacin yTecnologa Relacionada (COBIT) por ser considerados como las mejores prcticas decontrol y gobierno de tecnologa de informacin a nivel mundial. Los Objetivos deControl para Informacin y Tecnologa Relacionada, de aqu adelante COBIT, permitenevaluar los controles desde tres perspectivas diferentes como lo son los recursos detecnologa informtica, los criterios de informacin y los procesos de tecnologainformtica.
Por lo expuesto anteriormente la Gerencia de Riesgos ha decidido realizar laevaluacin desde el punto de vista de los procesos de tecnologa informtica, tomandocomo base los criterios establecidos en uno de los cuatro dominios que conforman lametodologa COBIT, denominado Adquisicin e Implementacin de SolucionesInformticas (AI).
-
7/24/2019 Proyecto Final 14-11-15
18/106
Definicin de Proyecto
13
Contenido del Caso Prctico
Descripcin PT No.
Fase de Planeacin
Carta de notificacin para la iniciacin de la Auditora MM01Nombramiento del auditor que realizar la auditora MM02
Programa de Auditora para realizar la evaluacin de controles de acuerdo al modelo decapacidad de COBIT
MM03
Fase de Ejecucin
Evaluacin del proceso de Gestionar los Programas y Proyectos (BAI01) MM04
Cuestionarios a Funcin: Direccin del Departamento MM04-01
Cuestionarios a Funcin: Jefatura de Servicios Tecnolgicos MM04-02
Cuestionarios a Funcin: Jefatura de Plataforma Tecnolgica MM04-03
Evaluacin del proceso de Gestionar la Definicin de Requisitos (BAI02) MM05
Cuestionarios a Funcin: Direccin del Departamento MM05-01
Cuestionarios a Funcin: Jefatura de Servicios Tecnolgicos MM05-02Cuestionarios a Funcin: Jefatura de Plataforma Tecnolgica MM05-03
Evaluacin del proceso de Adquirir e implementar Infraestructura tecnolgica (BAI03) MM06
Cuestionarios a Funcin: Direccin del Departamento MM06-01
Cuestionarios a Funcin: Jefatura de Infraestructura MM06-02
Evaluacin del proceso de Gestionar la Disponibilidad y la Capacidad (BAI04) MM07
Cuestionarios a Funcin: Direccin del Departamento MM07-01
Evaluacin del proceso de Gestionar la Introduccin de Cambios Organizativos (BAI05) MM08
Cuestionarios a Funcin: Direccin del Departamento MM08-01
Cuestionarios a Funcin: Jefatura de Infraestructura MM08-02
Evaluacin del proceso de Gestionar los Cambios (BAI06) MM09Cuestionarios a Funcin: Direccin del Departamento MM09-01
Cuestionarios a Funcin: Jefatura de Plataforma Tecnolgica MM09-02
Cuestionarios a Funcin: Jefatura de Servicios Tecnolgicos MM09-03
Cuestionarios a Funcin: Jefatura de Infraestructura MM09-04
Evaluacin del proceso de Gestionar la Aceptacin del Cambio y de la Transicin (BAI07) MM10
Cuestionarios a Funcin: Direccin del Departamento MM10-01
Resumen de niveles de capacidad MM11
Fase de Informe
Informe de Auditora
-
7/24/2019 Proyecto Final 14-11-15
19/106
Definicin de Proyecto
14
Papeles de trabajo del caso prctico
SEGURITAS S.A.Gerencia de Riesgos
CARTA DE NOTIFICACIN DE LA REALIZACIN DE LA EVALUACIN DEL CONTROLINTERNO INFORMTICO EN LA ADQUISICIN E IMPLEMENTACIN DE SOLUCIONESINFORMTICAS EN EL DEPARTAMENTO DE INFORMTICA
Ing. Encargado ITDirector del Departamento de InformticaPresente
Respetable Ingeniero
Por este medio se le comunica que conforme a nuestro plan de trabajo, se iniciar larevisin del control interno sobre los procesos de adquisicin e implementacin desoluciones informticas que se realiz en la direccin a su cargo durante el segundosemestre del ao. La actividad ha sido asignada al Sr. Prez, asistente de auditoriainterna y supervisada por su servidor.
Al final de la evaluacin se determinar el de nivel capacidad con que cuentan loscontroles actuales aplicando la metodologa segn COBIT, y se le estarn enviandolos resultados detallando los hallazgos y recomendaciones.
Atentamente,
Lic. DonaldoGerente de Riesgos
Papel de Trabajo MM01
HECHO POR: TEAM_AD
REVISADO POR: LIDER T.
FECHA DE INCIO:
FECHA FIN:
-
7/24/2019 Proyecto Final 14-11-15
20/106
Definicin de Proyecto
15
SEGURITAS S.A.Gerencia de Riesgos
NOMBRAMIENTO PARA REALIZAR LA EVALUACIN DEL CONTROLINTERNO EN LOS PROCESOS DE ADQUIRIR E IMPLEMENTAR SOLUCIONESINFORMTICAS EN EL DEPARTAMENTO DE INFORMTICA.
Sr. PrezAsistente de Auditoria
Gerencia de RiesgosPresente
Estimado Sr. Prez
Se le comunica que ha sido nombrado para realizar la revisin del control internoinformtico en los procesos de adquisicin e implementacin de solucionesinformticas en el departamento de informtica de la empresa. Para llevar a cabo estaevaluacin deber basarse en el correspondiente dominio contenido en el modelo delos Objetivos de Control para Informacin y Tecnologas Relacionada (COBIT).
Los procesos a evaluar de acuerdo a la metodologa se describen a continuacin:
BAI01Gestionar los Programas y Proyectos BAI02Gestionar la Definicin de Requisitos BAI03Adquirir e Implementar Infraestructura Tecnolgica BAI04Facilitar la ejecucin y el uso
Papel de Trabajo MM02 1/2
HECHO POR: TEAM_ADREVISADO POR: LIDER T.
FECHA DE INCIO:
FECHA FIN:
-
7/24/2019 Proyecto Final 14-11-15
21/106
Definicin de Proyecto
16
SEGURITAS S.A.Gerencia de Riesgos
BAI05Gestionar la Introduccin de Cambios Organizativos BAI06Administracin de Cambios BAI07Gestionar la Aceptacin del Cambio y de la Transicin
El tiempo asignado para esta actividad es de 15 das.
Atentamente,
Lic. Donaldo
Gerente de Riesgos
Papel de Trabajo MM02 2/2
HECHO POR: TEAM_AD
REVISADO POR: LIDER T.
FECHA DE INCIO:
FECHA FIN:
-
7/24/2019 Proyecto Final 14-11-15
22/106
Definicin de Proyecto
17
SEGURITAS S.A.Gerencia de Riesgos
PROGRAMA DE AUDITORA INTERNA PARA LA EVALUACIN DEL CONTROLINTERNO INFORMTICO DE LOS PROCESOS DE ADQUISICIN EIMPLEMENTACIN DE SOLUCIONES INFORMTICAS SEGN EL MODELOCOBIT DE CONTROL INTERNO.
INTRODUCCIN
Para poder lograr que los objetivos de la Direccin de Tecnologa estn alineados conlos de la empresa, es necesario que las soluciones informticas, desarrolladas oadquiridas, y en ambos casos implementadas e integradas al proceso de negocio,puedan ser controladas adecuadamente garantizando as la satisfaccin del negocio.
OBJETIVO
Evaluar el nivel de capacidad de los controles informticos en la administracin de losprocesos de adquisicin e implementacin de soluciones informticas establecida porla direccin de informtica de la empresa El Mejor Seguro S.A.
ALCANCE
La auditora deber dar una opinin soportada en el nivel de capacidad de laadministracin de controles informticos para los procesos incluidos en el dominioCOBIT de Adquisicin e Implementacin (AI), mediante las siguientes tcnicas deevaluacin:
Papel de Trabajo MM03 1/6
HECHO POR: TEAM_AD
REVISADO POR: LIDER T.
FECHA DE INCIO:
FECHA FIN:
-
7/24/2019 Proyecto Final 14-11-15
23/106
Definicin de Proyecto
18
SEGURITAS S.A.Gerencia de Riesgos
Cuestionarios elaborados en base a las declaraciones de los niveles decapacidad para cada proceso de COBIT.
Verificacin fsica de documentacin requerida por el modelo. Informe de resultados. Resumen de resultados.
PROCEDIMIENTO
Para la evaluacin del control interno en los procesos de adquisicin e implementacin
de soluciones informticas en base al modelo COBIT, se aplicara lo siguiente:
EVALUACION DEL CONTROL INTERNO INFORMTICO
Se aplicaran cuestionarios elaborados en base a las declaraciones de los niveles decapacidad de COBIT, as como tambin se revisara la documentacin necesaria paradeterminar el nivel capacidad de cada proceso.
Los procesos y actividades a evaluar son los siguientes:
Papel de Trabajo MM03 2/6
HECHO POR: TEAM_AD
REVISADO POR: LIDER T.
FECHA DE INCIO:
FECHA FIN:
-
7/24/2019 Proyecto Final 14-11-15
24/106
Definicin de Proyecto
19
SEGURITAS S.A.Gerencia de Riesgos
Proceso Actividades
(BAI01) Gestionar los Programasy Proyectos
Definicin y mantenimiento de losrequerimientos tcnicos y funcionales delnegocio.Reporte de anlisis de riesgos.Estudio de factibilidad y formulacin decursos alternativos de accin.Requerimientos, decisin de factibilidad yaprobacin.
(BAI02) Gestionar la Definicin
de Requisitos Diseo de alto nivel.Diseo detallado.Control y auditabilidad de aplicaciones.Seguridad y disponibilidad deaplicaciones.Configuracin e implantacin de softwareaplicativo adquirido.
Actualizaciones importantes en sistemasexistentes.Desarrollo de software aplicativo.
Administracin de los requerimientos de
aplicaciones.Mantenimiento de software aplicativo.
(BAI03)
Gestionar laIdentificacin y laConstruccin deSoluciones
Plan de adquisicin de infraestructuratecnolgica.Proteccin y disponibilidad del recurso deinfraestructura.Mantenimiento de infraestructura.
Ambiente de prueba de factibilidad.
(BAI04) Gestionar laDisponibilidad y laCapacidad Plan para soluciones de operacin.
Transferencia de conocimiento a lagerencia del negocio.
Papel de Trabajo MM03 3/6
HECHO POR: TEAM_AD
REVISADO POR: LIDER T.
FECHA DE INCIO:
FECHA FIN:
-
7/24/2019 Proyecto Final 14-11-15
25/106
Definicin de Proyecto
20
Transferencia de conocimiento a losusuarios finales.Transferencia de conocimiento alpersonal de operaciones y soporte.
-
7/24/2019 Proyecto Final 14-11-15
26/106
Definicin de Proyecto
21
SEGURITAS S.A.Gerencia de Riesgos
Proceso Actividades
(BAI05)Gestionar la Introduccinde CambiosOrganizativos Control de adquisicin.
Administracin de contratos conproveedores.Seleccin de proveedores.
Adquisicin de software.
Adquisicin de recursos de desarrolloAdquisicin de infraestructura,instalaciones y servicios relacionados.
(BAI06)Gestionar los Cambios
Estndares y procedimientos paracambios.Evaluacin de impacto, priorizacin yautorizacin.Cambios de emergencia.Seguimiento y reporte del estatus decambio.Cierre y documentacin del cambio.
(BAI07)Gestionar la Aceptacindel Cambio y de laTransicin Entrenamiento.
Plan de prueba.Plan de implantacin.
Ambiente de prueba.Conversin de sistema y datos.Prueba de cambios.Prueba final y aceptacin.Transferencia a produccin.
Liberacin de software.Distribucin del sistema.Registro y rastreo de cambios.Revisin posterior a la implantacin
Papel de Trabajo MM03 4/6
HECHO POR: TEAM_AD
REVISADO POR: LIDER T.
FECHA DE INCIO:FECHA FIN:
-
7/24/2019 Proyecto Final 14-11-15
27/106
Definicin de Proyecto
22
SEGURITAS S.A.Gerencia de Riesgos
INFORME
Elaboracin del informe.
Se elaborara un informe describiendo los procesos incluidos en el dominio de COBITque fueron objeto de evaluacin, indicando los resultados y comparando contra el nivelde control deseado por la administracin.
Normativa.
Objetivos de control para informacin y tecnologa relacionada versin 5.0 (COBIT 5.0,por sus siglas en ingls).
Cronograma.
Para realizar esta revisin se planifican 15 das para la recoleccin de informacin,cuestionarios y presentacin del informe.
Presentacin del informe:
Los resultados del trabajo realizado debern presentarse por medio de un informegerencial sobre la capacidad de los procesos incluidos en el dominio de COBIT que seevala. El informe en borrador deber presentarse previamente al gerente deldepartamento de informtica conteniendo los aspectos considerados como relevantespara el
Papel de Trabajo MM03 5/6
HECHO POR: TEAM_ADREVISADO POR: LIDER T.
FECHA DE INCIO:
FECHA FIN:
-
7/24/2019 Proyecto Final 14-11-15
28/106
Definicin de Proyecto
23
SEGURITAS S.A.Gerencia de Riesgos
Mejoramiento y fortalecimiento del entorno de control de esa unidad administrativa,mediante lo cual se deber obtener el compromiso para la implementacin de lasrecomendaciones.
Distribucin del informe:
Despus de la entrega definitiva de los resultados se deber enviar una copia delinforme al director del departamento de informtica. Se deber tambin distribuir una
copia a la Gerencia General.
Papel de Trabajo MM03 6/6
HECHO POR: TEAM_AD
REVISADO POR: LIDER T.
FECHA DE INCIO:
FECHA FIN:
-
7/24/2019 Proyecto Final 14-11-15
29/106
Definicin de Proyecto
24
SEGURITAS S.A.Gerencia de Riesgos
Evaluacin del proceso de Gestionar los Programas y Proyectos (BAI01)
Cuadro para tabulacin de resultados de los cuestionarios aplicado s a lasfunciones indicadas, agrupadas segn el nivel de capacidad y el peso de larespuesta obtenida sobre cada declaracin. Las columnas (D), (E) Y (F) se calculansegn formula indicada. (F) = Nivel de Madurez del Proceso.
PROCESO: BAI01 Gestionar los Programas y Proyectos
COMPUTO DE LOS VALORES DE CUMPLIMIENTO DEL NIVEL DE CAPACIDAD
FUINCION: Direccin de Tecnologa(A) (B) ( C) (D) (E ) (F)NIVEL DECAPACIDAD
SUMA DEVALORES DECUMPLIMIENTO
NUMERO DEDECLARACIONES
VALOR DECUMPLIMIENTO(B/C)
NORMALIZACIONDEL VECTOR DECUMPLIMIENTO(D/ D)
NIVEL DECAPACIDAD(A * E)
0 0.00 2 0.000 0.000 0.000
1 1.66 3 0.553 0.191 0.191
2 0.33 4 0.083 0.028 0.057
3 4.00 4 1.000 0.345 1.034
4 3.96 6 0.660 0.227 0.9105 3.64 6 0.607 0.209 1.045
TOTAL 13.59 25.00 2.90 1.000 3.236
PRUEBA 64.71%
NIVEL ACTUAL
FUNCION: Jefatura de Servicios Tecnolgicos
0 0.00 2 0.000 0.000 0.000
1 1.33 3 0.443 0.162 0.162
2 0.33 4 0.083 0.030 0.060
3 4.00 4 1.000 0.365 1.095
4 4.30 6 0.717 0.262 1.047
5 2.98 6 0.497 0.181 0.907
TOTAL 12.94 25.00 2.74 1.000 3.270
PRUEBA 65.41%
Papel de Trabajo MM04 1/2
HECHO POR: TEAM_AD
REVISADO POR: LIDER T.
FECHA DE INCIO:
FECHA FIN:
-
7/24/2019 Proyecto Final 14-11-15
30/106
Definicin de Proyecto
25
NIVEL ACTUAL
FUNCION: Jefatura de Plataforma Tecnolgica
0 0.00 2 0.000 0.000 0.000
1 1.00 3 0.333 0.128 0.128
2 0.00 4 0.000 0.000 0.000
-
7/24/2019 Proyecto Final 14-11-15
31/106
Definicin de Proyecto
26
SEGURITAS S.A.Gerencia de Riesgos
PROCESO: BAI01 Gestionar los Programas y Proyectos
COMPUTO DE LOS VALORES DE CUMPLIMIENTO DEL NIVEL DE CAPACIDAD
FUINCION: Direccin de Tecnologa
(A) (B) ( C) (D) (E ) (F)NIVEL DECAPACIDAD
SUMA DEVALORES DECUMPLIMIENTO
NUMERO DEDECLARACIONES
VALOR DECUMPLIMIENTO(B/C)
NORMALIZACIONDEL VECTOR DE
CUMPLIMIENTO(D/ D)
NIVEL DECAPACIDAD(A * E)
3 4.00 4 1.000 0.384 1.152
4 4.64 6 0.773 0.297 1.188
5 2.98 6 0.497 0.191 0.954
TOTAL 12.62 25.00 2.60 1.000 3.423
PRUEBA 12.62 25.00 68.45%
NIVEL ACTUAL
FUNCION: Consolidacin de resultados
0 0.00 2 0.000 0.000 0.000
1 3.99 3 1.330 0.161 0.161
2 0.66 4 0.165 0.020 0.040
3 12.00 4 3.000 0.364 1.092
4 12.90 6 2.150 0.261 1.043
5 9.60 6 1.600 0.194 0.970
TOTAL 39.15 25.00 8.25 1.000 3.306
PRUEBA 39.15 25.00 66.12%
NIVEL ACTUAL
CONCLUSIN:Se determin que en la direccin de informtica se administran los controlessobre el proceso evaluado de forma Definida, mostrando un nivel 3.306 decapacidad y un 66.12% de confiabilidad en los objetivos de control informtico.
Papel de Trabajo MM04 2/2
HECHO POR: TEAM_AD
REVISADO POR: LIDER T.
FECHA DE INCIO:FECHA FIN:
-
7/24/2019 Proyecto Final 14-11-15
32/106
Definicin de Proyecto
27
SEGURITAS S.A.Gerencia de Riesgos
PROCESO: BAI01 l Gestionar los Programas y ProyectosQu tanto se haalcanzado?
Funcin: Direccin del Departamento Fecha:
NV No. DECLARACION Noalcanzado
Parcialmente
Ampliamente
Completamente
Valor de
cumplimiento
0 1
La organizacin no requiere la identificacin de requerimientosfuncionales y operativos para el desarrollo, implementacin omodificacin de soluciones, como por ejemplo soluciones desistema, de servicio, de infraestructura, de software y de datos. X 0.00
0 2
La organizacin no mantiene una conciencia sobre lassoluciones tecnolgicas disponibles que son potencialmenterelevantes para su negocio. X 0.00
1 3Hay conciencia de la necesidad de definir requerimientos y deidentificar soluciones tecnolgicas. X 1.00
1 4
Los grupos individuales tienden a reunirse para discutir
necesidades de manera informal y los requerimientos por logeneral no estn documentados. X 0.33
1 5
Las soluciones son identificadas por persona basadas en unaconciencia limitada del mercado, o en respuesta a ofertas deproveedores. Hay poco o ningn anlisis estructurado oinvestigacin acerca de la tecnologa disponible. X 0.33
2 6Hay algunos enfoques intuitivos para identificar las solucionesde TI y los mismos varan en todo el negocio. X 0.33
2 7
Las soluciones son identificadas de manera informal sobre labase de la experiencia interna y de los conocimientos de lafuncin de TI. El xito de cada proyecto depende de laexperiencia de unas pocas personas claves de TI. X 0.00
2 8
La calidad de la documentacin y de la toma de decisiones
vara considerablemente. X 0.00
2 9Se emplean enfoques sin estructura para definir losrequerimientos e identificar las soluciones de tecnologa. X 0.00
3 10Se usan mtodos claros y estructurados para determinar lassoluciones de TI. X 1.00
Papel de Trabajo MM04-01 1/2
HECHO POR: TEAM_AD
REVISADO POR: LIDER T.
FECHA DE INCIO:
FECHA FIN:
-
7/24/2019 Proyecto Final 14-11-15
33/106
Definicin de Proyecto
28
3 11
El mtodo para la determinacin de soluciones de TI requierela consideracin de alternativas evaluadas contra losrequerimientos del usuario o del negocio, las oportunidadestecnolgicas, la factibilidad econmica, los anlisis de riesgosy otros factores. X 1.00
-
7/24/2019 Proyecto Final 14-11-15
34/106
Definicin de Proyecto
29
SEGURITAS S.A.Gerencia de Riesgos
NV No. DECLARACION Noalcanzado
Parcialmente
Ampliamente
Completamente
Valor decumplimiento
3 12
El proceso para la determinacin de soluciones de TI seaplica a algunos proyectos basndose en factores comolas decisiones hechas por el personal involucrado, lacantidad de tiempo de administracin dedicado y el
tamao y la prioridad del requerimiento original delnegocio. X 1.00
3 13Se emplea mtodos estructurados para definir losrequerimientos e identificar las soluciones de TI. X 1.00
4 14
Existe una metodologa establecida para la identificacin yevaluacin de soluciones de TI y la misma se emplea parala mayora de proyectos. X 0.66
4 15La documentacin de proyectos es de buena calidad ycada etapa es debidamente aprobada. X 0.66
4 16Los requerimientos son bien articulados y estn enconformidad con estructuras predefinidas. X 0.66
4 17Se consideran soluciones alternativas, incluyendo unanlisis de costos y ganancias. X 0.66
4 18La metodologa es clara, definida, generalmentecomprendida y medible. X 0.66
4 19
Hay una interfaz claramente definida entre la gerencia deTI y de negocios respecto a la identificacin y evaluacinde soluciones de TI. X 0.66
5 20La metodologa para la identificacin y evaluacin desoluciones de Ti se mejora continuamente. X 0.66
5 21
La metodologa de adquisicin e implementacin es losuficientemente flexible para acomodar proyectos depequea y gran escala. X 0.66
5 22
La metodologa es apoyada por bases de datos deconocimientos internas y externas que contienenmateriales de referencia sobre soluciones tecnolgicas. X 0.33
5 23La metodologa misma produce documentacin con unaestructura predefinida que hace muy eficientes laproduccin y el mantenimiento. X 0.33
Papel de Trabajo MM04-01 2/2
HECHO POR: TEAM_AD
REVISADO POR: LIDER T.
FECHA DE INCIO:FECHA FIN:
-
7/24/2019 Proyecto Final 14-11-15
35/106
Definicin de Proyecto
30
5 24
La organizacin puede a menudo identificar nuevasoportunidades para utilizar la tecnologa para ganarventaja competitiva, influir en el proceso de reingenieradel negocio y mejorar la eficiencia general. X 1.00
5 25
La gerencia detecta y acta en consecuencia si lassoluciones de TI son aprobadas sin considerar tecnologas
alternativas o requerimientos funcionales de negocio. X 0.66
TOTAL DEL NIVEL 13.59
-
7/24/2019 Proyecto Final 14-11-15
36/106
Definicin de Proyecto
31
SEGURITAS S.A.Gerencia de Riesgos
PROCESO: BAI01 Gestionar los Programas y ProyectosQu tanto se haalcanzado?
Funcin: Jefatura de Servicios Tecnolgicos Fecha:
NV No. DECLARACION Noalcanzado
Parcialmente
Ampl
iamente
Comp
letamente
Valor decumplimiento
0 1
La organizacin no requiere la identificacin de requerimientosfuncionales y operativos para el desarrollo, implementacin omodificacin de soluciones, como por ejemplo soluciones desistema, de servicio, de infraestructura, de software y de datos. X 0.00
0 2
La organizacin no mantiene una conciencia sobre lassoluciones tecnolgicas disponibles que son potencialmenterelevantes para su negocio. X 0.00
1 3Hay conciencia de la necesidad de definir requerimientos y deidentificar soluciones tecnolgicas. X 1.00
1 4
Los grupos individuales tienden a reunirse para discutir
necesidades de manera informal y los requerimientos por logeneral no estn documentados. X 0.00
1 5
Las soluciones son identificadas por persona basadas en unaconciencia limitada del mercado, o en respuesta a ofertas deproveedores. Hay poco o ningn anlisis estructurado oinvestigacin acerca de la tecnologa disponible. X 0.33
2 6Hay algunos enfoques intuitivos para identificar las solucionesde TI y los mismos varan en todo el negocio. X 0.33
2 7
Las soluciones son identificadas de manera informal sobre labase de la experiencia interna y de los conocimientos de lafuncin de TI. El xito de cada proyecto depende de laexperiencia de unas pocas personas claves de TI. X 0.00
2 8La calidad de la documentacin y de la toma de decisionesvara considerablemente. X 0.00
2 9 Se emplean enfoques sin estructura para definir losrequerimientos e identificar las soluciones de tecnologa. X 0.00
3 10Se usan mtodos claros y estructurados para determinar lassoluciones de TI. X 1.00
Papel de Trabajo MM04-02 1/2
HECHO POR: TEAM_AD
REVISADO POR: LIDER T.
FECHA DE INCIO:
FECHA FIN:
-
7/24/2019 Proyecto Final 14-11-15
37/106
Definicin de Proyecto
32
3 11
El mtodo para la determinacin de soluciones de TI requierela consideracin de alternativas evaluadas contra losrequerimientos del usuario o del negocio, las oportunidadestecnolgicas, la factibilidad econmica, los anlisis de riesgosy otros factores. X 1.00
-
7/24/2019 Proyecto Final 14-11-15
38/106
Definicin de Proyecto
33
SEGURITAS S.A.Gerencia de Riesgos
Funcin: Jefatura de Servicios Tecnolgicos Fecha:
NV No. DECLARACIN Noalcanzado
Parcialmente
Ampliamente
Completamente
Valor decumplimiento
3 12
El proceso para la determinacin de soluciones de TI seaplica a algunos proyectos basndose en factores como lasdecisiones hechas por el personal involucrado, la cantidadde tiempo de administracin dedicado y el tamao y laprioridad del requerimiento original del negocio. X 1.00
3 13Se emplea mtodos estructurados para definir losrequerimientos e identificar las soluciones de TI. X 1.00
4 14
Existe una metodologa establecida para la identificacin yevaluacin de soluciones de TI y la misma se emplea parala mayora de proyectos. X 0.66
4 15La documentacin de proyectos es de buena calidad y cadaetapa es debidamente aprobada. X 0.66
4 16Los requerimientos son bien articulados y estn enconformidad con estructuras predefinidas. X 0.66
4 17Se consideran soluciones alternativas, incluyendo unanlisis de costos y ganancias. X 0.66
4 18La metodologa es clara, definida, generalmentecomprendida y medible. X 1.00
4 19
Hay una interfaz claramente definida entre la gerencia de TIy de negocios respecto a la identificacin y evaluacin desoluciones de TI. X 0.66
5 20La metodologa para la identificacin y evaluacin desoluciones de Ti se mejora continuamente. X 0.66
5 21
La metodologa de adquisicin e implementacin es losuficientemente flexible para acomodar proyectos depequea y gran escala. X 0.66
5 22
La metodologa es apoyada por bases de datos deconocimientos internas y externas que contienen materialesde referencia sobre soluciones tecnolgicas. X 0.00
5 23
La metodologa misma produce documentacin con unaestructura predefinida que hace muy eficientes laproduccin y el mantenimiento. X 0.33
5 24
La organizacin puede a menudo identificar nuevasoportunidades para utilizar la tecnologa para ganar ventajacompetitiva, influir en el proceso de reingeniera del negocioy mejorar la eficiencia general. X 1.00
5 25
La gerencia detecta y acta en consecuencia si lassoluciones de TI son aprobadas sin considerar tecnologasalternativas o requerimientos funcionales de negocio. X 0.33
Papel de Trabajo MM04-02 2/2
HECHO POR: TEAM_AD
REVISADO POR: LIDER T.
FECHA DE INCIO:
FECHA FIN:
-
7/24/2019 Proyecto Final 14-11-15
39/106
Definicin de Proyecto
34
TOTAL DEL NIVEL 12.94
-
7/24/2019 Proyecto Final 14-11-15
40/106
Definicin de Proyecto
35
SEGURITAS S.A.Gerencia de Riesgos
PROCESO: BAI01 Gestionar los Programas y ProyectosQu tanto se haalcanzado?
Funcin: Jefatura de Plataforma Tecnolgica Fecha:
NV No. DECLARACION Noalcan
zado
Parcialm
ente
Ampliam
ente
Completamente
Valor decumplimiento
0 1
La organizacin no requiere la identificacin de requerimientosfuncionales y operativos para el desarrollo, implementacin omodificacin de soluciones, como por ejemplo soluciones desistema, de servicio, de infraestructura, de software y de datos. X 0.00
0 2
La organizacin no mantiene una conciencia sobre lassoluciones tecnolgicas disponibles que son potencialmenterelevantes para su negocio. X 0.00
1 3Hay conciencia de la necesidad de definir requerimientos y deidentificar soluciones tecnolgicas. X 1.00
1 4
Los grupos individuales tienden a reunirse para discutirnecesidades de manera informal y los requerimientos por logeneral no estn documentados. X 0.00
1 5
Las soluciones son identificadas por persona basadas en unaconciencia limitada del mercado, o en respuesta a ofertas deproveedores. Hay poco o ningn anlisis estructurado oinvestigacin acerca de la tecnologa disponible. X 0.00
2 6Hay algunos enfoques intuitivos para identificar las solucionesde TI y los mismos varan en todo el negocio. X 0.00
2 7
Las soluciones son identificadas de manera informal sobre labase de la experiencia interna y de los conocimientos de lafuncin de TI. El xito de cada proyecto depende de laexperiencia de unas pocas personas claves de TI. X 0.00
2 8
La calidad de la documentacin y de la toma de decisiones
vara considerablemente. X 0.00
2 9Se emplean enfoques sin estructura para definir losrequerimientos e identificar las soluciones de tecnologa. X 0.00
3 10Se usan mtodos claros y estructurados para determinar lassoluciones de TI. X 1.00
Papel de Trabajo MM04-03 1/2
HECHO POR: TEAM_AD
REVISADO POR: LIDER T.
FECHA DE INCIO:FECHA FIN:
-
7/24/2019 Proyecto Final 14-11-15
41/106
Definicin de Proyecto
36
3 11
El mtodo para la determinacin de soluciones de TI requierela consideracin de alternativas evaluadas contra losrequerimientos del usuario o del negocio, las oportunidadestecnolgicas, la factibilidad econmica, los anlisis de riesgosy otros factores. X 1.00
-
7/24/2019 Proyecto Final 14-11-15
42/106
Definicin de Proyecto
37
SEGURITAS S.A.Gerencia de Riesgos
NV No. DECLARACION Noalcanzado
Parcialmente
Ampliamente
Completamente
Valor decumplimiento
3 12
El proceso para la determinacin de soluciones de TI seaplica a algunos proyectos basndose en factores como lasdecisiones hechas por el personal involucrado, la cantidad detiempo de administracin dedicado y el tamao y la prioridaddel requerimiento original del negocio. X 1.00
3 13Se emplea mtodos estructurados para definir losrequerimientos e identificar las soluciones de TI. X 1.00
4 14
Existe una metodologa establecida para la identificacin yevaluacin de soluciones de TI y la misma se emplea para lamayora de proyectos. X 1.00
4 15La documentacin de proyectos es de buena calidad y cadaetapa es debidamente aprobada. X 0.66
4 16Los requerimientos son bien articulados y estn enconformidad con estructuras predefinidas. X 0.66
4 17Se consideran soluciones alternativas, incluyendo un anlisisde costos y ganancias. X 0.66
4 18La metodologa es clara, definida, generalmentecomprendida y medible. X 1.00
4 19
Hay una interfaz claramente definida entre la gerencia de TIy de negocios respecto a la identificacin y evaluacin de
soluciones de TI. X 0.66
5 20La metodologa para la identificacin y evaluacin desoluciones de Ti se mejora continuamente. X 0.66
5 21
La metodologa de adquisicin e implementacin es losuficientemente flexible para acomodar proyectos depequea y gran escala. X 0.66
5 22
La metodologa es apoyada por bases de datos deconocimientos internas y externas que contienen materialesde referencia sobre soluciones tecnolgicas. X 0.00
5 23
La metodologa misma produce documentacin con unaestructura predefinida que hace muy eficientes la producciny el mantenimiento. X 0.33
5 24
La organizacin puede a menudo identificar nuevasoportunidades para utilizar la tecnologa para ganar ventajacompetitiva, influir en el proceso de reingeniera del negocioy mejorar la eficiencia general. X 1.00
5 25
La gerencia detecta y acta en consecuencia si lassoluciones de TI son aprobadas sin considerar tecnologasalternativas o requerimientos funcionales de negocio. X 0.33
TOTAL DELNIVEL 12.62
Papel de Trabajo MM04-03 2/2
HECHO POR: TEAM_AD
REVISADO POR: LIDER T.
FECHA DE INCIO:
FECHA FIN:
-
7/24/2019 Proyecto Final 14-11-15
43/106
Definicin de Proyecto
38
SEGURITAS S.A.Gerencia de Riesgos
Evaluacin del proceso de Gestionar la Definicin de Requisitos (BAI02)
Cuadro para tabulacin de resultados de los cuestionarios aplicado s a lasfunciones indicadas, agrupadas segn el nivel de capacidad y el peso de larespuesta obtenida sobre cada declaracin. Las columnas (D), (E) Y (F) se calculansegn formula indicada. (F) = Nivel de Madurez del Proceso.
PROCESO: BAI02 Gestionar la Definicin de Requisitos
COMPUTO DE LOS VALORES DE CUMPLIMIENTO DEL NIVEL DE CAPACIDAD
FUINCION: Direccin de Tecnologa
(A) (B) ( C) (D) (E ) (F)NIVEL DECAPACIDAD
SUMA DEVALORES DECUMPLIMIENTO
NUMERO DEDECLARACIONES
VALOR DECUMPLIMIENTO(B/C)
NORMALIZACION DELVECTOR DECUMPLIMIENTO(D/ D)
NIVEL DECAPACIDAD(A * E)
0 0.00 2 0.000 0.000 0.000
1 1.66 4 0.415 0.117 0.117
2 1.33 4 0.333 0.094 0.187
3 4.00 5 0.800 0.226 0.677
4 3.00 3 1.000 0.282 1.128
5 5.00 5 1.000 0.282 1.409
TOTAL 14.99 23.00 3.55 1.000 3.518
PRUEBA 70.36%
NIVEL ACTUAL
FUNCION: Jefatura de Servicios Tecnolgicos
0 0.00 2 0.000 0.000 0.000
1 0.99 4 0.248 0.075 0.075
2 1.00 4 0.250 0.076 0.152
3 4.00 5 0.800 0.243 0.728
Papel de Trabajo MM05 1/2
HECHO POR: TEAM_AD
REVISADO POR: LIDER T.
FECHA DE INCIO:
FECHA FIN:
-
7/24/2019 Proyecto Final 14-11-15
44/106
Definicin de Proyecto
39
4 3.00 3 1.000 0.303 1.213
5 5.00 5 1.000 0.303 1.516
TOTAL 13.99 23.00 3.30 1.000 3.684
PRUEBA 73.68%
-
7/24/2019 Proyecto Final 14-11-15
45/106
Definicin de Proyecto
40
SEGURITAS S.A.Gerencia de Riesgos
NIVEL ACTUAL
FUNCION: Jefatura de Plataforma Tecnolgica
0 0.00 2 0.000 0.000 0.000
1 0.99 4 0.248 0.079 0.079
2 1.00 4 0.250 0.080 0.160
3 4.00 5 0.800 0.257 0.770
4 2.66 3 0.887 0.285 1.138
5 4.66 5 0.932 0.299 1.495
TOTAL 13.31 23.00 3.12 1.000 3.644
PRUEBA 13.31 23.00 72.87%
NIVEL ACTUAL
FUNCION: Consolidacin de resultados
0 0.00 2 0.000 0.000 0.000
1 3.64 4 0.910 0.091 0.091
2 3.33 4 0.833 0.084 0.167
3 12.00 5 2.400 0.241 0.723
4 8.66 3 2.887 0.290 1.159
5 14.66 5 2.932 0.294 1.472
TOTAL 42.29 23.00 9.96 1.000 3.612
PRUEBA 42.29 23.00 72.24%
NIVEL ACTUAL
CONCLUSIN:
Se determin que en la direccin de informtica se administran los controles
sobre este proceso de forma Definida, mostrando un nivel 3.612 de capacidad yun 72.24% de confiabilidad en los objetivos de control informtico.
Papel de Trabajo MM05 2/2
HECHO POR: TEAM_AD
REVISADO POR: LIDER T.
FECHA DE INCIO:FECHA FIN:
-
7/24/2019 Proyecto Final 14-11-15
46/106
Definicin de Proyecto
41
SEGURITAS S.A.Gerencia de Riesgos
PROCESO: BAI02 Gestionar la Definicin de RequisitosQu tanto se haalcanzado?
Funcin: Gerencia del Departamento Fecha:
NV No. DECLARACION Noalcanzado
Parcialmente
Ampliamente
Completamente
Valor decumplimiento
0 1 No existe un diseo y especificacin de aplicaciones. X 0.00
0 2
Generalmente las aplicaciones se obtienen con base enofertas de proveedores, en el reconocimiento de la marca o enla familiaridad del personal de TI con productos especficos,considerando poco o nada los requerimientos actuales X 0.00
1 3Existe conciencia de la necesidad de contar con un procesode adquisicin y mantenimiento de aplicaciones. X 1.00
1 4Los enfoques para adquisicin y mantenimiento de softwareaplicativo varan de un proyecto a otro. X 0.66
1 5
Es probable que se hayan adquirido en forma independienteuna variedad de soluciones individuales para requerimientosparticulares del negocio, teniendo como resultado ineficienciasen el mantenimiento y soporte. X 0.00
1 6
Se tiene poca consideracin hacia la seguridad ydisponibilidad de la aplicacin en el diseo y adquisicin desoftware aplicativo. X 0.00
2 7
Hay procesos diferentes pero similares para adquirir ymantener aplicaciones basados en la experiencia dentro de lafuncin y soporte TI. X 0.00
2 8
La tasa de xito de las aplicaciones depende en gran medidade las habilidades internas y de los niveles de experiencia dela TI. X 1.00
2 9El mantenimiento es usualmente problemtico y sufre cuandose perdieron conocimientos internos de la organizacin. X 0.33
2 10
Al disear o adquirir el software de aplicacin se presta pocao ninguna consideracin a la seguridad y disponibilidad de laaplicacin. X 0.00
3 11
Hay un proceso claro, definido y generalmente comprendidopara la adquisicin e implementacin de software deaplicacin. X 1.00
3 12Este proceso est en concordancia con la estrategia de TI y ladel negocio. X 1.00
3 13
Se intentan aplicar coherentemente los procesosdocumentados en todos los proyectos y aplicacionesdiferentes. X 1.00
Papel de Trabajo MM05-01 1/2
HECHO POR: TEAM_AD
REVISADO POR: LIDER T.
FECHA DE INCIO:
FECHA FIN:
-
7/24/2019 Proyecto Final 14-11-15
47/106
Definicin de Proyecto
42
3 14
Las metodologas son generalmente inflexibles y difciles deaplicar a todos los casos, de modo que los pasos sonfrecuentemente omitidos. X 0.00
3 15Las actividades de mantenimiento son planificadas,programadas y coordinadas. X 1.00
-
7/24/2019 Proyecto Final 14-11-15
48/106
Definicin de Proyecto
43
SEGURITAS S.A.Gerencia de Riesgos
NV No. DECLARACION Noalcanzado
Parcialmente
Ampliamente
Completamente
Valor decumplimiento
4 16
Hay una metodologa formal, clara y bien atendida queincluye un proceso de diseo y especificacin, criterios parala adquisicin de software de aplicacin, un proceso para
realizar pruebas y requerimientos para la documentacin. X 1.00
4 17
Existen mecanismos de aprobacin documentados yacordados para asegurar que se sigan todos los pasos y quese autoricen las excepciones. X 1.00
4 18
Las prcticas y procedimientos evolucionaron y se adecuana la organizacin, son usados por todo el personal, y seaplican a la mayora de los requerimientos de aplicacin. X 1.00
5 19Las prcticas de adquisicin y mantenimiento de software deaplicacin estn alineadas con los procesos definidos. X 1.00
5 20
El mtodo est basado en componentes, con aplicacionespredefinidas y estandarizadas adaptadas a las necesidadesdel negocio. Este mtodo se aplica a nivel de toda laorganizacin. X 1.00
5 21
La metodologa de adquisicin y mantenimiento esavanzada, posibilita una rpida implementacin y permiteuna alta capacidad de respuesta y flexibilidad. X 1.00
5 22
La metodologa de adquisicin e implementacin de softwarede aplicacin est sujeta a una mejora continua y esrespaldada por bases de datos de conocimientos internas yexternas que contienen materiales de referencia y buenasprcticas. X 1.00
5 23
La metodologa genera documentacin con una estructurapredefinida que hace muy eficientes la produccin y elmantenimiento. X 1.00
TOTAL DEL NIVEL 14.99
Papel de Trabajo MM05-01 2/2
HECHO POR: TEAM_AD
REVISADO POR: LIDER T.
FECHA DE INCIO:
FECHA FIN:
-
7/24/2019 Proyecto Final 14-11-15
49/106
Definicin de Proyecto
44
SEGURITAS S.A.Gerencia de Riesgos
PROCESO: BAI02 Gestionar la Definicin de RequisitosQu tanto se haalcanzado?
Funcin: Jefatura de Servicios Tecnolgicos Fecha:
NV No. DECLARACION No
alcanzado
Pa
rcialmente
Am
pliamente
Co
mpletamente
Valor de
cumplimiento0 1 No existe un diseo y especificacin de aplicaciones. X 0.00
0 2
Generalmente las aplicaciones se obtienen con base enofertas de proveedores, en el reconocimiento de la marca o enla familiaridad del personal de TI con productos especficos,considerando poco o nada los requerimientos actuales X 0.00
1 3Existe conciencia de la necesidad de contar con un procesode adquisicin y mantenimiento de aplicaciones. X 0.66
1 4Los enfoques para adquisicin y mantenimiento de softwareaplicativo varan de un proyecto a otro. X 0.33
1 5
Es probable que se hayan adquirido en forma independiente
una variedad de soluciones individuales para requerimientosparticulares del negocio, teniendo como resultado ineficienciasen el mantenimiento y soporte. X 0.00
1 6
Se tiene poca consideracin hacia la seguridad ydisponibilidad de la aplicacin en el diseo y adquisicin desoftware aplicativo. X 0.00
2 7
Hay procesos diferentes pero similares para adquirir ymantener aplicaciones basados en la experiencia dentro de lafuncin y soporte TI. X 0.00
2 8
La tasa de xito de las aplicaciones depende en gran medidade las habilidades internas y de los niveles de experiencia dela TI. X 1.00
2 9El mantenimiento es usualmente problemtico y sufre cuandose perdieron conocimientos internos de la organizacin. X 0.00
2 10
Al disear o adquirir el software de aplicacin se presta pocao ninguna consideracin a la seguridad y disponibilidad de laaplicacin. X 0.00
3 11
Hay un proceso claro, definido y generalmente comprendidopara la adquisicin e implementacin de software deaplicacin. X 1.00
Papel de Trabajo MM05-02 1/2
HECHO POR: TEAM_AD
REVISADO POR: LIDER T.
FECHA DE INCIO:
FECHA FIN:
-
7/24/2019 Proyecto Final 14-11-15
50/106
Definicin de Proyecto
45
3 12Este proceso est en concordancia con la estrategia de TI y ladel negocio. X 1.00
3 13
Se intentan aplicar coherentemente los procesosdocumentados en todos los proyectos y aplicacionesdiferentes. X 1.00
-
7/24/2019 Proyecto Final 14-11-15
51/106
Definicin de Proyecto
46
SEGURITAS S.A.Gerencia de Riesgos
NV No. DECLARACION Noalcanzado
Parcialmente
Ampliamente
Completamente
Valor decumplimiento
3 14
Las metodologas son generalmente inflexibles y difciles deaplicar a todos los casos, de modo que los pasos son
frecuentemente omitidos. X 0.003 15
Las actividades de mantenimiento son planificadas,programadas y coordinadas. X 1.00
4 16
Hay una metodologa formal, clara y bien atendida queincluye un proceso de diseo y especificacin, criterios parala adquisicin de software de aplicacin, un proceso pararealizar pruebas y requerimientos para la documentacin. X 1.00
4 17
Existen mecanismos de aprobacin documentados yacordados para asegurar que se sigan todos los pasos y quese autoricen las excepciones. X 1.00
4 18
Las prcticas y procedimientos evolucionaron y se adecuana la organizacin, son usados por todo el personal, y seaplican a la mayora de los requerimientos de aplicacin. X 1.00
5 19Las prcticas de adquisicin y mantenimiento de software deaplicacin estn alineadas con los procesos definidos. X 1.00
5 20
El mtodo est basado en componentes, con aplicacionespredefinidas y estandarizadas adaptadas a las necesidadesdel negocio. Este mtodo se aplica a nivel de toda laorganizacin. X 1.00
5 21
La metodologa de adquisicin y mantenimiento esavanzada, posibilita una rpida implementacin y permiteuna alta capacidad de respuesta y flexibilidad. X 1.00
5 22
La metodologa de adquisicin e implementacin de softwarede aplicacin est sujeta a una mejora continua y esrespaldada por bases de datos de conocimientos internas yexternas que contienen materiales de referencia y buenasprcticas. X 1.00
5 23
La metodologa genera documentacin con una estructurapredefinida que hace muy eficientes la produccin y elmantenimiento. X 1.00
TOTAL DEL NIVEL 13.99
Papel de Trabajo MM05-02 2/2
HECHO POR: TEAM_AD
REVISADO POR: LIDER T.
FECHA DE INCIO:FECHA FIN:
-
7/24/2019 Proyecto Final 14-11-15
52/106
Definicin de Proyecto
47
SEGURITAS S.A.Gerencia de Riesgos
PROCESO: BAI02 Gestionar la Definicin de RequisitosQu tanto se haalcanzado?
Funcin: Jefatura de Plataforma Tecnolgica Fecha:
NV No. DECLARACION Noalcanz
ado
Parcialme
nte
Ampliame
nte
Completamente
Valor decumplimiento
0 1 No existe un diseo y especificacin de aplicaciones. X 0.00
0 2
Generalmente las aplicaciones se obtienen con base enofertas de proveedores, en el reconocimiento de la marca o enla familiaridad del personal de TI con productos especficos,considerando poco o nada los requerimientos actuales X 0.00
1 3Existe conciencia de la necesidad de contar con un procesode adquisicin y mantenimiento de aplicaciones. X 0.66
1 4Los enfoques para adquisicin y mantenimiento de softwareaplicativo varan de un proyecto a otro. X 0.33
1 5
Es probable que se hayan adquirido en forma independienteuna variedad de soluciones individuales para requerimientosparticulares del negocio, teniendo como resultado ineficienciasen el mantenimiento y soporte. X 0.00
1 6
Se tiene poca consideracin hacia la seguridad ydisponibilidad de la aplicacin en el diseo y adquisicin desoftware aplicativo. X 0.00
2 7
Hay procesos diferentes pero similares para adquirir ymantener aplicaciones basados en la experiencia dentro de lafuncin y soporte TI. X 0.00
2 8
La tasa de xito de las aplicaciones depende en gran medidade las habilidades internas y de los niveles de experiencia dela TI. X 1.00
2 9El mantenimiento es usualmente problemtico y sufre cuandose perdieron conocimientos internos de la organizacin. X 0.00
2 10
Al disear o adquirir el software de aplicacin se presta pocao ninguna consideracin a la seguridad y disponibilidad de laaplicacin. X 0.00
Papel de Trabajo MM05-03 1/2
HECHO POR: TEAM_AD
REVISADO POR: LIDER T.FECHA DE INCIO:
FECHA FIN:
-
7/24/2019 Proyecto Final 14-11-15
53/106
Definicin de Proyecto
48
3 11
Hay un proceso claro, definido y generalmente comprendidopara la adquisicin e implementacin de software deaplicacin. X 1.00
3 12Este proceso est en concordancia con la estrategia de TI y ladel negocio. X 1.00
3 13
Se intentan aplicar coherentemente los procesos
documentados en todos los proyectos y aplicacionesdiferentes. X 1.00
-
7/24/2019 Proyecto Final 14-11-15
54/106
Definicin de Proyecto
49
SEGURITAS S.A.Gerencia de Riesgos
NV No. DECLARACION Noalcanzado
Parcialmente
Ampliamente
Completamente
Valor decumplimiento
3 14
Las metodologas son generalmente inflexibles y difcilesde aplicar a todos los casos, de modo que los pasos sonfrecuentemente omitidos. X 0.00
3 15Las actividades de mantenimiento son planificadas,programadas y coordinadas. X 1.00
4 16
Hay una metodologa formal, clara y bien atendida queincluye un proceso de diseo y especificacin, criteriospara la adquisicin de software de aplicacin, un procesopara realizar pruebas y requerimientos para ladocumentacin. X 0.66
4 17
Existen mecanismos de aprobacin documentados yacordados para asegurar que se sigan todos los pasos yque se autoricen las excepciones. X 1.00
4 18
Las prcticas y procedimientos evolucionaron y seadecuan a la organizacin, son usados por todo elpersonal, y se aplican a la mayora de los requerimientosde aplicacin. X 1.00
5 19
Las prcticas de adquisicin y mantenimiento de software
de aplicacin estn alineadas con los procesos definidos. X 1.00
5 20
El mtodo est basado en componentes, con aplicacionespredefinidas y estandarizadas adaptadas a lasnecesidades del negocio. Este mtodo se aplica a nivel detoda la organizacin. X 0.66
5 21
La metodologa de adquisicin y mantenimiento esavanzada, posibilita una rpida implementacin y permiteuna alta capacidad de respuesta y flexibilidad. X 1.00
5 22
La metodologa de adquisicin e implementacin desoftware de aplicacin est sujeta a una mejora continuay es respaldada por bases de datos de conocimientosinternas y externas que contienen materiales dereferencia y buenas prcticas. X 1.00
5 23
La metodologa genera documentacin con una estructura
predefinida que hace muy eficientes la produccin y elmantenimiento. X 1.00
TOTAL DEL NIVEL 13.31
Papel de Trabajo MM05-03 1/2
HECHO POR: TEAM_AD
REVISADO POR: LIDER T.
FECHA DE INCIO:FECHA FIN:
-
7/24/2019 Proyecto Final 14-11-15
55/106
Definicin de Proyecto
50
SEGURITAS S.A.Gerencia de Riesgos
Evaluacin del proceso de Adquirir e Implementar Infraestructura Tecnolgica (BAI03).
Cuadro para tabulacin de resultados de los cuestionarios aplicado s a lasfunciones indicadas, agrupadas segn el nivel de capacidad y el peso de larespuesta obtenida sobre cada declaracin. Las columnas (D), (E) Y (F) se calculansegn formula indicada. (F) = Nivel de Madurez del Proceso.
PROCESO: BAI03 Adquirir e Implementar Infraestructura Tecnolgica
COMPUTO DE LOS VALORES DE CUMPLIMIENTO DEL NIVEL DE CAPACIDAD
FUINCION: Direccin de Tecnologa
(A) (B) ( C) (D) (E ) (F)NIVEL DECAPACIDAD
SUMA DEVALORES DECUMPLIMIENTO
NUMERO DEDECLARACIONES
VALOR DECUMPLIMIENTO(B/C)
NORMALIZACIONDEL VECTOR DECUMPLIMIENTO(D/ D)
NIVEL DECAPACIDAD(A * E)
0 0.00 1 0.000 0.000 0.000
1 0.33 3 0.110 0.032 0.032
2 1.99 5 0.398 0.116 0.231
3 4.00 4 1.000 0.291 0.872
4 4.00 4 1.000 0.291 1.163
5 4.66 5 0.932 0.271 1.355
TOTAL 14.98 22.00 3.44 1.000 3.653
PRUEBA 73.06%
NIVEL ACTUAL
FUNCION: Jefatura de Infraestructura0 0.00 1 0.000 0.000 0.000
1 0.33 3 0.110 0.031 0.031
2 2.33 5 0.466 0.130 0.261
Papel de Trabajo MM06 1/2
HECHO POR: TEAM_AD
REVISADO POR: LIDER T.
FECHA DE INCIO:
FECHA FIN:
-
7/24/2019 Proyecto Final 14-11-15
56/106
Definicin de Proyecto
51
3 4.00 4 1.000 0.280 0.839
4 4.00 4 1.000 0.280 1.119
5 5.00 5 1.000 0.280 1.398
TOTAL 15.66 22.00 3.58 1.000 3.647
PRUEBA 72.94%
NIVEL ACTUAL
-
7/24/2019 Proyecto Final 14-11-15
57/106
Definicin de Proyecto
52
SEGURITAS S.A.Gerencia de Riesgos
FUNCION: Consolidacin de resultados
0 0.00 1 0.000 0.000 0.000
1 0.66 3 0.220 0.031 0.031
2 4.32 5 0.864 0.123 0.246
3 8.00 4 2.000 0.285 0.855
4 8.00 4 2.000 0.285 1.140
5 9.66 5 1.932 0.275 1.377
TOTAL 30.64 22.00 7.02 1.000 3.650
PRUEBA 30.64 22.00 73.00%
NIVEL ACTUAL
CONCLUSIN:
Se determin que en la direccin de informtica se administran los controlessobre este proceso de forma Definida, mostrando un nivel 3.65 de capacidady un 73% de confiabilidad en los objetivos de control informtico.
Papel de Trabajo MM06 2/2
HECHO POR: TEAM_AD
REVISADO POR: LIDER T.
FECHA DE INCIO:
FECHA FIN:
-
7/24/2019 Proyecto Final 14-11-15
58/106
Definicin de Proyecto
53
SEGURITAS S.A.Gerencia de Riesgos
PROCESO:BAI03 Adquirir e implementar infraestructuratecnolgica
Qu tanto se haalcanzado?
Funcin: Direccin de Tecnologia Fecha:
NV No. DECLARACIN Noalcanzado
P
arcialmente
A
mpliamente
C
ompletamente
Valor de
cumplimiento
0 1La arquitectura de la tecnologa no es considerada un temalo suficientemente importante como para ser tratado. X 0.00
1 2Se hacen cambios a la infraestructura para cada nuevaaplicacin sin un plan general. X 0.00
1 3A pesar de que hay conciencia de que la infraestructura deTI es importante, no hay un mtodo general coherente. X 0.00
1 4
Las actividades de mantenimiento reaccionan a lasnecesidades a corto plazo. El entorno de produccin es elentorno de pruebas. X 0.33
2 5
Hay coherencia entre los mtodos tcticos, cuando se
adquiere y se mantiene la infraestructura de TI. X 0.66
2 6
La adquisicin y el mantenimiento de la infraestructura de TIno se basa en una estrategia definida y no considera lasnecesidades de las aplicaciones del negocio que deben serapoyadas. X 0.00
2 7
Hay una comprensin de que la infraestructura de TI esimportante, y dicha comprensin es apoyada por algunasprcticas formales. X 1.00
2 8Se programa algn mantenimiento, pero el mismo no esprogramado y coordinado completamente. X 0.00
2 9Para algunos entornos existe un entorno de pruebasseparado. X 0.33
3 10
Existe un proceso claro, definido y generalmente entendido
para adquirir y mantener la infraestructura de TI. X 1.00
3 11
El proceso apoya las necesidades de las aplicaciones crticasdel negocio y est alineado con la estrategia de TI y delnegocio aunque no se aplique de forma coherente. X 1.00
Papel de Trabajo MM06-01 1/2
HECHO POR: TEAM_AD
REVISADO POR: LIDER T.
FECHA DE INCIO:
FECHA FIN:
-
7/24/2019 Proyecto Final 14-11-15
59/106
Definicin de Proyecto
54
3 12Las actividades de mantenimiento son planificadas,programadas y coordinadas. X 1.00
3 13 Existen entornos separados para pruebas y produccin. X 1.00
-
7/24/2019 Proyecto Final 14-11-15
60/106
Definicin de Proyecto
55
SEGURITAS S.A.Gerencia de Riesgos
NV No. DECLARACIN Noalcanzado
Parcialmente
Ampliamente
Completamente
Valor decumplimiento
4 14
El proceso de adquisicin y mantenimiento para lainfraestructura tecnolgica se ha desarrollado hasta elpunto que funciona bien para la mayora de las situaciones,es seguido coherentemente y se concentra en lareutilizacin. X 1.00
4 15 La infraestructura de TI soporta de manera adecuada lasaplicaciones de negocio. X 1.00
4 16
El proceso de adquisicin y mantenimiento para lainfraestructura tecnologa est bien organizado y esproactivo. X 1.00
4 17
El costo y el tiempo para alcanzar el nivel esperado deescalabilidad, flexibilidad e integracin estn parcialmenteoptimizado. X 1.00
5 18
El proceso de adquisicin y mantenimiento para lainfraestructura tecnolgica es proactivo y estestrechamente alineado con aplicaciones crticas delnegocio y con la arquitectura de la tecnologa. X 1.00
5 19
Se siguen las mejores prcticas respecto a soluciones detecnologa y la organizacin est al tanto de los ltimos
desarrollos en plataformas y herramientas deadministracin. X 1.00
5 20
Los costos son reducidos racionalizando y estandarizandolos componentes de la infraestructura y usando laautomatizacin. X 1.00
5 21
El alto nivel de conocimientos tcnicos puede identificar lasmejores formas de mejorar proactivamente el desempeo,incluyendo la consideracin de opciones de tercerizacin. X 1.00
5 22La infraestructura de TI es vista como el posibilitador clavepara aprovechar el uso de la TI. X 0.66
TOTAL DELNIVEL 14.98
Papel de Trabajo MM06-01 2/2
HECHO POR: TEAM_AD
REVISADO POR: LIDER T.
FECHA DE INCIO:
FECHA FIN:
-
7/24/2019 Proyecto Final 14-11-15
61/106
Definicin de Proyecto
56
SEGURITAS S.A.Gerencia de Riesgos
PROCESO: BAI03 Adquirir e implementar infraestructuratecnolgica
Qu tanto se haalcanzado?
Funcin: Jefatura de Infraestructura Fecha:
NV No. DECLARACION Noalcanzado
Parcialmente
Amplia
mente
Completamente
Valor decumplimiento
0 1La arquitectura de la tecnologa no es considerada un temalo suficientemente importante como para ser tratado. X 0.00
1 2Se hacen cambios a la infraestructura para cada nuevaaplicacin sin un plan general. X 0.00
1 3A pesar de que hay conciencia de que la infraestructura deTI es importante, no hay un mtodo general coherente. X 0.00
1 4
Las actividades de mantenimiento reaccionan a lasnecesidades a corto plazo. El entorno de produccin es elentorno de pruebas. X 0.33
2 5Hay coherencia entre los mtodos tcticos, cuando seadquiere y se mantiene la infraestructura de TI. X 1.00
2 6
La adquisicin y el mantenimiento de la infraestructura de TIno se basan en una estrategia definida y no considera lasnecesidades de las aplicaciones del negocio que deben serapoyadas. X 0.00
2 7
Hay una comprensin de que la infraestructura de TI esimportante, y dicha comprensin es apoyada por algunasprcticas formales. X 1.00
2 8Se programa algn mantenimiento, pero el mismo no esprogramado y coordinado completamente. X 0.00
2 9Para algunos entornos existe un entorno de pruebasseparado. X 0.33
3 10Existe un proceso claro, definido y generalmente entendidopara adquirir y mantener la infraestructura de TI. X 1.00
Papel de Trabajo MM06-02 1/2
HECHO POR: TEAM_AD
REVISADO POR: LIDER T.
FECHA DE INCIO:FECHA FIN:
-
7/24/2019 Proyecto Final 14-11-15
62/106
Definicin de Proyecto
57
3 11
El proceso apoya las necesidades de las aplicaciones crticasdel negocio y est alineado con la estrategia de TI y delnegocio aunque no se aplique de forma coherente. X 1.00
3 12Las actividades de mantenimiento son planificadas,programadas y coordinadas. X 1.00
3 13 Existen entornos separados para pruebas y produccin. X 1.00
-
7/24/2019 Proyecto Final 14-11-15
63/106
Definicin de Proyecto
58
SEGURITAS S.A.Gerencia de Riesgos
NV No. DECLARACIN Noalcanzado
Parcialmente
Ampliamente
Completamente
Valor decumplimiento
4 14
El proceso de adquisicin y mantenimiento para lainfraestructura tecnolgica se ha desarrollado hasta elpunto que funciona bien para la mayora de las situaciones,es seguido coherentemente y se concentra en lareutilizacin. X 1.00
4 15La infraestructura de TI soporta de manera adecuada lasaplicaciones de negocio. X 1.00
4 16
El proceso de adquisicin y mantenimiento para lainfraestructura tecnologa est bien organizado y esproactivo. X 1.00
4 17
El costo y el tiempo para alcanzar el nivel esperado deescalabilidad, flexibilidad e integracin estn parcialmenteoptimizado. X 1.00
5 18
El proceso de adquisicin y mantenimiento para lainfraestructura tecnolgica es proactivo y estestrechamente alineado con aplicaciones crticas delnegocio y con la arquitectura de la tecnologa. X 1.00
5 19
Se siguen las mejores prcticas respecto a soluciones detecnologa y la organizacin est al tanto de los ltimosdesarrollos en plataformas y herramientas deadministracin. X 1.00
5 20
Los costos son reducidos racionalizando y estandarizandolos componentes de la infraestructura y usando laautomatizacin. X 1.00
5 21
El alto nivel de conocimientos tcnicos puede identificar lasmejores formas de mejorar proactivamente el desempeo,incluyendo la consideracin de opciones de tercerizacin. X 1.00
5 22La infraestructura de TI es vista como el posibilitador clavepara aprovechar el uso de la TI. X 1.00
TOTAL DELNIVEL 15.66
Papel de Trabajo MM06-02 2/2
HECHO POR: TEAM_AD
REVISADO POR: LIDER T.
FECHA DE INCIO:
FECHA FIN:
-
7/24/2019 Proyecto Final 14-11-15
64/106
Definicin de Proyecto
59
SEGURITAS S.A.Gerencia de Riesgos
Evaluacin del proceso Facilitar la ejecucin y el uso (BAI04).
Cuadro para tabulacin de resultados de los cuestionarios aplicado s a lasfunciones indicadas, agrupadas segn el nivel de capacidad y el peso de larespuesta obtenida sobre cada declaracin. Las columnas (D), (E) Y (F) se calculansegn formula indicada. (F) = Nivel de Madurez del Proceso.
PROCESO: BAI04 Facilitar la ejecucin y el uso
COMPUTO DE LOS VALORES DE CUMPLIMIENTO DEL NIVEL DE CAPACIDAD
FUINCION: Direccin de Tecnologa
(A) (B) ( C) (D) (E ) (F)NIVEL DECAPACIDAD
SUMA DEVALORES DECUMPLIMIENTO
NUMERO DEDECLARACIONES
VALOR DECUMPLIMIENTO(B/C)
NORMALIZACIONDEL VECTOR DECUMPLIMIENTO(D/ D)
NIVEL DECAPACIDAD(A * E)
0 0.99 2 0.495 0.178 0.000
1 1.65 6 0.275 0.099 0.099
2 1.33 5 0.266 0.096 0.192
3 6.28 9 0.698 0.252 0.755
4 6.28 10 0.628 0.226 0.905
5 1.65 4 0.413 0.149 0.743
TOTAL 18.18 36.00 2.77 1.000 2.694
PRUEBA 53.89%
NIVEL ACTUAL
FUNCION: Consolidacin de resultados
0 0.99 2 0.495 0.178 0.000
1 1.65 6 0.275 0.099 0.099
2 1.33 5 0.266 0.096 0.1923 6.28 9 0.698 0.252 0.755
4 6.28 10 0.628 0.226 0.905
5 1.65 4 0.413 0.149 0.743
Papel de Trabajo MM07 1/2
HECHO POR: TEAM_AD
REVISADO POR: LIDER T.
FECHA DE INCIO:
FECHA FIN:
-
7/24/2019 Proyecto Final 14-11-15
65/106
Definicin de Proyecto
60
TOTAL 18.18 36.00 2.77 1.000 2.694
PRUEBA 18.18 36.00 53.89%
NIVEL ACTUAL
SEGURITAS S.A.Gerencia de Riesgos
CONCLUSIN:
Se determin que en la direccin de informtica se administran los controlessobre este proceso de forma Repetible pero Intuitivo, mostrando un nivel 2.694 decapacidad y un 53.89% de confiabilidad en los objetivos de control informtico.
Papel de Trabajo MM07 2/2
HECHO POR: TEAM_AD
R