Академический Документы
Профессиональный Документы
Культура Документы
Auditoria
Autor(a):
Br. Hussien Castillo, Mardam
C.I. 18.550.928
ferretera,
jardinera,
electrodomsticos,
bodegn,
entreotros,
tanto
juguetera,
nacionales
lencera,
como
1.1.3 VISIN
Ser la tienda lder, por departamento garantizando el mejor servicio a
sus clientes, as como la mayor variedad y calidad en sus productos
nacionales e importados.
1.1.4 MISIN
Ser lderes en cadenas de tiendas por departamento diferenciados por
la innovacin, la calidad de servicio, la variedad y calidad de los productos
ofrecidos con el fin de satisfacer en forma ptima las necesidades de
nuestros clientes y obtener una rentabilidad adecuada, contando para ello
con un personal altamente comprometido con la organizacin.
FORTALEZAS
Excelente calidad de los
servicios.
Variedad de productos.
Precios accesibles.
Buenas relaciones humanas
con
los
clientes
y
consumidores.
DEBILIDADES
Presupuesto
limitado.
publicitario
Deficiencia en la publicidad
de exteriores y material
POP.
Poca publicidad en medios
de comunicacin masiva
(televisin, radio).
Innovadores.
Apoyo a la comercializacin
de productos nacionales.
OPORTUNIDADES
Ampliacin del mercado.
Apertura de nuevas
sucursales a nivel regional.
Captar nuevos segmentos
de mercado.
Rpido crecimiento.
Conseguir mejor
posicionamiento en el
mercado.
Creacin de nuevos
mercados.
AMENAZAS
Crecimiento de los
competidores.
Aumento de los precios en la
canasta familiar.
La crisis econmica actual.
Incremento en nmero de
competidores.
La inflacin.
Corto
Plazo:
Mantenerse
abastecido
para
satisfacer
las
Departamento
de
Administracin:
Comprende
todas
las
Funciones:
Departamento
de
Informtica:Abarca
todas
las
funciones
Prevenir
solucionar
fallas
en
equipos
utilizados
para
destacar
que
el
departamento
de
informtica
OBJETIVOS DE
CONTROL DE COBIT
CRITERIOS DE
INFORMACIN DE
COBIT
RECURSOS DE
TI DE COBIT
AI2
AI3
Identificar soluciones
automatizadas
Adquirir y mantener el
software aplicativo
Adquirir y mantener la
infraestructura
tecnolgica
X
X
X
S
S
X
X
X
S
Adquirir e implementar
AI1
Personal
Instalaciones
Tecnologa
Aplicaciones
Datos
Disponibilidad
Integridad
Confidencialidad
Cumplimiento
Confiabilidad
Eficiencia
Efectividad
PLANEAR Y ORGANIZAR
Definir el Pan
PO1
Estratgico TI
Definir la arquitectura
PO2
de la informacin
Determinar la direccin
PO3
tecnolgica
Definir procesos,
PO4
organizacin y
relaciones de TI
Administrar la
PO5
inversin en TI
Comunicar las
aspiraciones y la
PO6
direccin de la
gerencia
Administrar recursos
PO7
humanos de TI
PO8
Administrar calidad
Evaluar y administrar
PO9
riesgo de TI
PO10 Administrar proyectos
Administracin de
PO11
calidad
S
S
AI4
AI5
AI6
Facilitar la operacin y
el uso
Adquirir recursos de TI
Administrar cambios
S
P
P
P
X
X
X
X
X
X
X
X
X
X
Monitorear y evaluar
ME1
ME2
ME3
ME4
Monitorear y evaluar el
desempeo de TI
Monitorear y evaluar el
control interno
Garantizar el
cumplimiento
regulatorio
Proporcionar gobierno
de TI
`
P
`
p
Prestacin y soporte
DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
Definir y administrar
niveles de servicio
Administrar servicios
de terceros
Administrar
desempeo y
capacidad
Garantizar la
continuidad del
servicio
Garantizar la
seguridad de los
sistemas
Identificar y asignar
costos
Educar y entrenar a
los usuarios
Administrar la mesa de
servicio y los
incidentes
Administrar la
configuracin
Administrar los
S
P
P
X
X
S
DS11
DS12
DS13
problemas
Administrar los datos
Administrar el
ambiente fsico
Administrar las
operaciones
X
X
Las variables definidas dentro del control para los objetivos de control
COBIT son: dentro de los criterios de informacin de cobit, (p) cuando el
objetivo tiene impacto directo al requerimiento; (s), cuando el objetivo de
control tiene impacto indirecto es decir no completo sobre el requerimiento, y
finalmente ( ) vaco, cuando el objetivo de control no ejerce ningn impacto
sobre el requerimiento, en cambio cuando se encuentra con (x) significa que
los objetivos de control tienen impacto en los recursos, y cuando se
encuentra en blanco ( ), es que los objetivos de control no tienen ningn
impacto con los recursos.
instalacin
de
hardware
software
para
el
respaldos peridicos.
Diseo y mantenimiento la pgina web de la empresa para
proporcionar y un medio de difusin masivo.
Proveer herramientas que brinden seguridad ante distintas amenazas
informticas
Mantener el funcionamiento ptimo de las redes internas y sus
componentes.
2.1.2. Organigrama del departamento.
2.1.3.
Seguridad
del departamento.
a.- Seguridad Fsica:
Cantidad
Utilidad
Sistemas de
Caractersticas
CPU
Informacin
Soporte Tcnico
Servidor Proxy
Memoria RAM
2 Gb
Disco Duro
S-ATA 7200 1 Tb
Monitor
ADC 17``
Tarjeta de red
PCI-IEEE 802.11b/g
CPU
Memoria RAM
2 Gb
Disco Duro
S-ATA 7200 1 Tb
Monitor
ADC 17``
Tarjeta de red
PCI-IEEE 802.11b/g
CPU
Memoria RAM
4 Gb
Disco Duro
S-ATA 7200 1 Tb
Software:
Cantidad
Sistema Operativo
Nivel
1
Nivel
2
Nivel
3
Nivel
4
Nivel
5
La planeacin estrategia de TI se
discute en forma ocasional en las
reuniones de la gerencia
No cumple
Cumple
Nivel de Madurez
Observaciones
GRADO DE MADUREZ:
El proceso de definir el plan
estratgico de la tecnologa de
informacin est en el nivel de
madurez 2.
OBJETIVOS NO CUMPLIDOS:
La planeacin estratgica
no sigue un enfoque
estructurado.
No se realizan planes a
largo plazo.
RECOMENDACIONES:
Plantear planes a largo plazo.
Plantear ideas que ayuden directamente a la toma de decisiones de la empresa.
Nivel
1
No cumple
Nivel de Madurez
Cumple
Observaciones
GRADO DE MADUREZ:
V
El proceso de definir la
arquitectura de la informacin
est en el nivel de madurez 2.
OBJETIVOS NO CUMPLIDOS:
Nivel
2
Nivel
3
Nivel
4
Nivel
5
El proceso de definicin de la
arquitectura de informacin es
proactivo y se enfoca en resolver
necesidades futuras del negocio.
RECOMENDACIONES:
Desarrollar una slida arquitectura de la informacin.
Brindar experiencia sobre el manejo de una estructura de datos.
Nivel
1
No cumple
Nivel de Madurez
Cumple
Observaciones
GRADO DE MADUREZ:
El proceso de Determinar la
Direccin Tecnologa est en el
nivel de madurez 2.
OBJETIVOS NO CUMPLIDOS:
Nivel
2
Nivel
3
Nivel
4
Nivel
5
V
La direccin del plan de infraestructura
tecnolgica est impulsada por los
estndares y avances industriales e
internacionales, en lugar de estar
orientada por los proveedores de
tecnologa.
No se establece un
rumbo tecnolgico el
cual pueda ser ms
eficiente la labor.
No se cuenta con la
experiencia para crear
planes que ayuden a los
adelantos tecnolgicos.
RECOMENDACIONES:
Analizar las tecnologas actuales en el mercado adems de las emergentes para
crear estrategias.
Crear planes estratgicos completos.
Nivel
1
Nivel
2
Nivel
3
Nivel
4
Nivel
5
No cumple
Nivel de Madurez
Cumple
Observaciones
GRADO DE MADUREZ:
V
El proceso de definir los
Procesos, la Organizacin y las
Relaciones de TI est en el nivel
de madurez 1.
La organizacin de TI responde de
forma proactiva al cambio e incluye
todos los roles necesarios para
satisfacer los requerimientos del
negocio.
La estructura organizacional de TI es
flexible y adaptable.
OBJETIVOS NO CUMPLIDOS:
Contar con una estructura
organizada donde TI
incluye todos los roles.
Se cumple parcialmente
con sus objetivos.
RECOMENDACIONES:
Que el departamento se adapte a la estructura organizacional de TI.
Permitir la integracin de todos los roles con el fin de crear una organizacin ms
slida.
Nivel
1
Nivel
2
Nivel
3
La
organizacin
reconoce
la
necesidad de administrar la inversin
de TI, aunque esta necesidad se
comunica de manera inconsistente.
Nivel
4
No cumple
Nivel de Madurez
Cumple
GRADO DE MADUREZ:
El proceso de Administrar la
Inversin de TI est en el nivel
de madurez 2.
OBJETIVOS NO CUMPLIDOS:
V
La responsabilidad y la rendicin de
cuentas
por
la
seleccin
y
presupuestos de inversiones se
asignan a un individuo especfico. Las
diferencias en el presupuesto se
identifican y se resuelven.
Observaciones
No s presupuesta la
inversin para manejar
mrgenes.
Falta de anlisis de
costos para conocer la
inversin posible.
Nivel
5
RECOMENDACIONES:
Realizar estudios que permitan conocer las diferencias de costos a la hora de invertir
podra estimarse presupuesto para tal fin.
Nivel
1
Nivel
2
Nivel
3
Observaciones
GRADO DE MADUREZ:
V
El
proceso
de
Identificar
Soluciones Automatizadas est
en el nivel de madurez 3.
OBJETIVOS NO CUMPLIDOS:
V
V
El proceso para determinar las
soluciones de TI se aplica para
algunos proyectos con base en
factores tales como las decisiones
tomadas por el personal involucrado,
la cantidad de tiempo administrativo
dedicado, y el tamao y prioridad del
requerimiento de negocio original.
No cumple
Nivel de Madurez
Cumple
Fallas
en
la
documentacin de los
proyectos.
Inexistencia
de
referencias solidas que
respalden la toma de
decisiones.
Nivel
4
Nivel
5
RECOMENDACIONES:
Realizar anlisis y estudios y sumarlas a la experiencia en el mbito para facilitar el
proceso de toma de decisiones.
Nivel
1
Nivel
2
Existen
procesos
de
adquisicin
y
mantenimiento
de
aplicaciones,
con
diferencias pero similares, en base a la
experiencia dentro de la operacin de TI.
Nivel
3
No cumple
Nivel de Madurez
Cumple
GRADO DE MADUREZ:
El proceso de Adquirir y
Mantener
Software
Aplicativo est en el nivel
de madurez 2.
OBJETIVOS NO
CUMPLIDOS:
V
V
Existe un proceso claro, definido y de
comprensin general para la adquisicin y
mantenimiento de software aplicativo. Este
Observaciones
No se cumplen un
proceso de
estudio previo a
la adquisicin de
software.
El software no son
Nivel
4
Nivel
5
flexibles ni
adaptables a
cambios.
RECOMENDACIONES:
Platean estudios ms profundos a la hora de la adquisicin de software.
Garantizar la integridad accesibilidad y respaldo de la informacin.
Nivel
1
Se
realizan
cambios
a
la
infraestructura para cada nueva
aplicacin, sin ningn plan en
conjunto.
La
actividad
de
mantenimiento
reacciona
a
necesidades de corto plazo.
Nivel
2
Observaciones
GRADO DE MADUREZ:
V
V
La adquisicin y mantenimiento de la
infraestructura de TI no se basa en
una estrategia definida y no considera
las necesidades de las aplicaciones
del negocio que se deben respaldar.
No cumple
Nivel de Madurez
Cumple
El proceso de Adquirir y
Mantener
Infraestructura
Tecnolgica est en el nivel de
madurez 4.
OBJETIVOS NO CUMPLIDOS:
Definir una estrategia de
adquisicin
y
mantenimiento de la
infraestructura..
Nivel
3
Nivel
4
Nivel
5
La infraestructura de TI soporta
adecuadamente las aplicaciones del
negocio. El proceso est bien
organizado y es preventivo.
El
proceso
de
adquisicin
y
mantenimiento de la infraestructura de
tecnologa es preventivo y est
estrechamente en lnea con las
aplicaciones crticas del negocio y con
la arquitectura de la tecnologa.
RECOMENDACIONES:
Garantizar la disponibilidad de la infraestructura y mantener planes alternativos.
Nivel
1
Nivel
2
No cumple
Nivel de Madurez
Cumple
Observaciones
GRADO DE MADUREZ:
V
El proceso de Facilitar la
Operacin y el Uso est en el
nivel de madurez 1.
V
OBJETIVOS NO CUMPLIDOS:
Los materiales de apoyo
Nivel
3
Nivel
4
Nivel
5
no
brindan
son
anticuados y en muchos
casos inexistentes.
No existe un estndar de
cmo
realizar
los
procesos.
RECOMENDACIONES:
Creacin de instructivos que permitan la transferencia de conocimiento.
Documentar los aspectos tcnicos y los niveles de servicios requeridos.
Nivel
1
No cumple
Nivel de Madurez
Cumple
Observaciones
V
Los contratos para la adquisicin de
recursos de TI son elaborados y
administrados
por
gerentes
de
proyectos y otras personas que
ejercen un juicio profesional ms que
seguir resultados de procedimientos y
polticas formales.
GRADO DE MADUREZ:
El proceso de Adquirir Recursos
de TI est en el nivel de
madurez 2.
OBJETIVOS NO CUMPLIDOS:
Nivel
2
Nivel
3
Nivel
4
Nivel
5
Se determinan responsabilidades y
rendicin de cuentas para la
administracin de adquisicin y
contrato de TI segn la experiencia
particular del gerente de contrato.
No existen estndares
para la adquisicin de
recursos.
Falta
de
relaciones
estratgicas
con
posibles proveedores.
RECOMENDACIONES:
Implementar estrategias que permitan conocer los recursos ms necesarios para
estandarizar la obtencin de recursos.
Nivel
1
No cumple
Nivel de Madurez
Cumple
Observaciones
V
La responsabilidad y la rendicin de
cuentas sobre para la definicin y la
administracin de servicios no est
definida.
GRADO DE MADUREZ:
El proceso de definir y
Administrar los Niveles de
Servicio est en el nivel de
madurez 1.
Nivel
2
Nivel
3
Nivel
4
Nivel
5
OBJETIVOS NO CUMPLIDOS:
El proceso de desarrollo
de los niveles de
servicios
no
estn
definidos.
No se realizan planes a
largo plazo.
RECOMENDACIONES:
Definir claramente los niveles de servicios y repartir las labores segn el nivel de
conocimiento de quienes los desarrollan.
Nivel
1
No cumple
Nivel de Madurez
Cumple
Observaciones
v
Los responsables de los procesos del
negocio valoran poco la necesidades
GRADO DE MADUREZ:
El proceso de Administrar el
Nivel
2
Nivel
3
Nivel
4
Nivel
5
Hay
informacin
actualizada
disponible. Brindando estadsticas de
desempeo
estandarizadas
y
alertando sobre incidentes causados
por falta de desempeo o de
capacidad.
La infraestructura de Ti y la demanda
del negocio estn sujetas a revisiones
regulares para asegurar que se logre
una capacidad ptima con el menor
costo posible.
OBJETIVOS NO CUMPLIDOS:
Establecer mtodos de
desempeo
y
evaluacin.
La infraestructura TI no
est sujeta a regulaciones
que
permitan
un
desempeo ptimo.
RECOMENDACIONES:
Evaluar y monitorear la capacidad y el desempeo de quienes laboran.
No cumple
Nivel de Madurez
Cumple
Observaciones
Nivel
1
Nivel
2
Nivel
3
Nivel
4
Nivel
5
GRADO DE MADUREZ:
V
El proceso de Garantizar la
Continuidad del Servicio est en
el nivel de madurez 2.
Las
responsabilidades
de
la
planeacin y de las pruebas de la
continuidad
de
servicios
estn
claramente asignadas y definidas.
Se asigna la responsabilidad de
mantener un plan de continuidad de
servicios.
OBJETIVOS NO CUMPLIDOS:
Mantener
planes
servicios continuos.
RECOMENDACIONES:
Desarrollar planes de continuidad para as prever posibles fallas repetidas.
de
Nivel
1
No cumple
Cumple
Nivel de Madurez
Observaciones
GRADO DE MADUREZ:
El proceso de Garantizar
la Seguridad de los
Sistemas est en el nivel
de madurez 3.
OBJETIVOS NO
CUMPLIDOS:
Nivel
2
Nivel
3
Nivel
4
Nivel
5
Elaborar planes de
seguridad.
Ofrecer
instrucciones a los
usuarios sobre el
uso correcto de los
sistemas.
Los
usuarios
y
los
clientes
se
responsabilizan cada vez ms de definir
requerimientos de seguridad, y las funciones
de seguridad estn integradas con las
aplicaciones en la fase de diseo.
RECOMENDACIONES:
Realizar y mantener planes de seguridad.
Revisar peridicamente los sistemas de seguridad fsicos y lgicos.
Nivel
1
No cumple
Nivel de Madurez
Cumple
Observaciones
GRADO DE MADUREZ:
El proceso de Monitorear y
Evaluar el Desempeo TI est
en el nivel de madurez 1.
OBJETIVOS NO
CUMPLIDOS:
Nivel
2
Nivel
3
Nivel
4
Nivel
5
RECOMENDACIONES:
Definir los estndares de evaluacin y una vez echo eso evaluar el desempeo del
mismo peridicamente
Nivel
1
Nivel
2
Nivel
3
Nivel
4
La gerencia de TI no ha asignado de
manera formal las responsabilidades
para monitorear la efectividad de los
controles internos.
La gerencia de servicios de informacin
realiza monitoreo peridicos sobre la
efectividad de lo que considera
controles internos crticos. Se estn
empezando a usar metodologas y
herramientas para monitorear los
controles internos.
Se ha definido un programa de
educacin y entrenamiento para el
monitoreo de control interno. Se ha
definido tambin un proceso para auto
evaluaciones y revisiones de seguro del
control interno, con los roles definidos
para
los
responsables
de
la
administracin del negocio y de TI.
Se han implantado herramientas para
estandarizar evaluaciones y para
detectar de forma automtica las
excepciones de control. Se ha
establecido una funcin formal para el
control interno de TI, con profesionales
especializados y certificados que utilizan
un marco de trabajo de control formal
avalado por la alta direccin.
Nivel
5
No cumple
Nivel de Madurez
Cumple
GRADO DE MADUREZ:
V
El proceso de Monitorear y
Evaluar el Control Interno est
en el nivel de madurez 2.
V
La organizacin utiliza herramientas
integradas y actualizadas, que permiten
Observaciones
OBJETIVOS NO
CUMPLIDOS:
Establecer monitoreo
peridicos.
Realizar programas de
entrenamiento para el
monitoreo del control
interno.
Utilizar las herramientas
necesarias para el
control interno
Nivel
1
Nivel
2
Nivel
3
Nivel
4
El proceso de Garantizar el
Cumplimiento Regulatorio est
en el nivel de madurez 1.
OBJETIVOS NO
CUMPLIDOS:
V
Se
brinda
entrenamiento
sobre
requisitos
legales
y
regulatorios
externos que afectan a la organizacin y
se instruye respecto a los procesos de
cumplimiento definidos.
V
Hay un amplio conocimiento de los
requerimientos externos aplicables,
Observaciones
GRADO DE MADUREZ:
Nivel
5
No cumple
Nivel de Madurez
Cumple
Capacitar
al
personal
sobre las regulaciones.
Solucionar las necesidades
aplicando las regulaciones.
RECOMENDACIONES:
Proceso
Madurez Nivel de
PO1
PO2
PO3
PO4
PO5
AI1
AI2
AI3
AI4
AI5
DS1
DS3
DS4
DS5
ME1
ME2
ME3
Evaluar
de los sistemas
Monitorear y Evaluar: Este dominio muestra niveles extremadamente
bajos en el desarrollo y evaluacin del control interno.
PO2
0.83
0.83
0.5
1.5
3
2.49
5
2.49
5
1.5
3
DATOS
0.5
INSTALACIONES
1.5
3
TECNOLOGA
2.49
5
APLICACIN
0.5
INTEGRIDAD
0.83
PERSONA
CONFIABILIODAD
CUMPLIMIENTO
DISPONIBILIDAD
CONFIDENCIALIDAD
EFICIENCIA
PROCESOS
RECURSOS TI
EFECTIVIDAD
PLANIFICAR Y
DOMINIO
CRITERIOS DE INFORMACIN
NIVEL DE MADUREZ
x
2
5
ADQUIRIR E IMPLEMENTAR
ORGANIZAR
PO3
0.83
0.83
2.49
5
2.49
5
0.83
0.83
2.49
5
2.49
5
PO5
0.83
0.83
0.5
2.49
5
2.49
5
1
3
AI1
0.83
0.5
3.32
5
2
3
AI2
0.83
0.83
0.5
2.49
5
2.49
5
1.5
3
0.5
0.83
0.5
0.5
2.5
3
4.15
5
2.5
3
2.5
3
AI4
0.83
0.83
0.5
0.5
0.5
0.5
1.66
5
1.66
5
1
3
1
3
1
3
1
3
AI5
0.5
0.83
0.5
1.5
2.49
1.5
x
2
5
x
1
5
x
x
2
5
x
3
5
x
2
5
x
4
5
x
1
5
x
2
0.83
0.83
0.5
0.5
0.5
0.5
0.5
1.66
5
1.66
5
1
3
1
3
1
3
1
3
1
3
0.83
0.83
0.5
1.66
5
1.66
5
1
3
DS4
0.83
0.5
0.83
2.49
5
1.5
3
2.49
5
DS3
niveles
de
MONITOREAR Y EVALUAR
0.83
0.83
0.5
0.5
0.5
3.32
5
3.32
5
2
3
2
3
2
3
0.5
0.5
0.5
1.66
5
1.66
5
1
3
1
3
1
3
1
3
1
3
ME2
0.83
0.83
0.5
0.5
0.5
0.5
0.5
2.49
5
2.49
5
1.5
3
1.5
3
1.5
3
1.5
3
1.5
3
0.83
0.5
1.66
5
1
3
x
2
5
0.5
1
5
0.5
ME3
1
5
0.83
0.83
x
3
5
x
1
5
x
2
5
x
1
5
32.89
69
47.66
33.22
69
48.14
8.48
19
44.63
11.32
23
49.21
13.49
29
46.51
10.49
23
45.60
9.5
21
45.23
Rattan
Hypermarket,
C.A,
cumplir
con
sus
Efectividad
Defcit
Eficiencia
Defcit
Confidencialidad
Defcit
Integridad
49,21%
Defcit
Disponibilidad
Defcit
Cumplimiento
Defcit
un promedio del
45,6%.
Confiabilidad
Defcit