REPBLICA BOLIVARIANA DE VENEZUELA

INSTITUTO UNIVERSITARIO POLITCNICO

SANTIAGO MARIO
EXTENSIN PORLAMAR

Auditoria

Autor(a):
Br. Hussien Castillo, Mardam
C.I. 18.550.928

Porlamar, Julio del 2013

1.1 CARACTERIZACIN DE LA EMPRESA

1.1.1 NATURALEZA DE LA EMPRESA
RattanHypermarket C. A., inicia en el ao 1978, con la apertura de una
tiendadedicada a la venta de Blue Jeans importados por sus dueos, con el
nombre deJeans ShopC. A. Actualmente, RattanHypermarket C.A., realiza
sus operacionesenmarcadas en la actividad netamente econmica que
ofrece el Puerto Libre de laIsla de Margarita y la Zona Libre de Paraguan,
ofreciendo la ms completavariedad en la venta de artculos para el hogar,
supermercado,
cristalera,

ferretera,

jardinera,

electrodomsticos,

bodegn,

entreotros,

tanto

juguetera,
nacionales

lencera,
como

importados.RattanHypermarket C. A. es una empresa dedicada a la

comercializacin deproductos nacionales e importados, prestadora de
servicios, de acuerdo a lasdisposiciones legales del pas y en especial la
regulada por el Puerto Libre de laIsla de Margarita.

1.1.2 UBICACIN GEOGRFICA

La empresa de RattanHypermarket C. A., se encuentra ubicada en la
Av. 4 de Mayo, entre la Calle Fermn y Santiago Mario; Sector Genovs.
Centro Comercial Rattan, Porlamar Isla de Margarita, Edo. Nueva Esparta
Venezuela.

1.1.3 VISIN
Ser la tienda lder, por departamento garantizando el mejor servicio a
sus clientes, as como la mayor variedad y calidad en sus productos
nacionales e importados.
1.1.4 MISIN
Ser lderes en cadenas de tiendas por departamento diferenciados por
la innovacin, la calidad de servicio, la variedad y calidad de los productos
ofrecidos con el fin de satisfacer en forma ptima las necesidades de
nuestros clientes y obtener una rentabilidad adecuada, contando para ello
con un personal altamente comprometido con la organizacin.

1.1.5 OBJETIVOS ESTRATEGICOS

1.1.5.1 ANLISIS FODA

FORTALEZAS
Excelente calidad de los
servicios.
Variedad de productos.
Precios accesibles.
Buenas relaciones humanas
con
los
clientes
y
consumidores.

DEBILIDADES
Presupuesto
limitado.

publicitario

Deficiencia en la publicidad
de exteriores y material
POP.
Poca publicidad en medios
de comunicacin masiva
(televisin, radio).

Innovadores.
Apoyo a la comercializacin
de productos nacionales.
OPORTUNIDADES
Ampliacin del mercado.
Apertura de nuevas
sucursales a nivel regional.
Captar nuevos segmentos
de mercado.
Rpido crecimiento.
Conseguir mejor
posicionamiento en el
mercado.
Creacin de nuevos
mercados.

AMENAZAS
Crecimiento de los
competidores.
Aumento de los precios en la
canasta familiar.
La crisis econmica actual.
Incremento en nmero de
competidores.
La inflacin.

1.1.5.2 METAS ORGANIZACIONALES

a.-

Corto

Plazo:

Mantenerse

abastecido

para

satisfacer

las

necesidades del cliente.

b.- Mediano Plazo: Realizar constante innovaciones en el mbito
tecnolgico y proveer ptimos adiestramientos al personal d la empresa.
c.- Largo Plazo: Alcanzar la mxima expansin demogrfica a nivel
nacional.
1.1.6 ORGANIGRAMA DE LA EMPRESA

1.1.6.1 DESCRIPCIN DE LOS PROCESOS Y FUNCIONES

a.- Gerencia General: Es la persona encargada de llevar las riendas
de la empresa y tomar las decisiones importantes que define el destino de la
misma.
Funciones:
Planeacin general.
Contratacin con terceros.
Relaciones con instituciones gubernamentales y organizaciones
privadas.
Cumplimiento del objeto social.

b.- Departamento de Planeacin y Comercial: Este departamento es

el encargado del control de productos adems de brindar apoyo en el mbito
de mercadeo y ventas apoyndose en estudios de mercado.
Funciones:
Plantear estrategias de compra y venta.
Mantener control de almacenamiento.
Buscar nuevas formas de marketing.
c.-

Departamento

de

Administracin:

Comprende

todas

las

operaciones donde se maneje dinero adems de brindar asesoras sobre las

tomas de decisiones en el mbito de inversin.

Funciones:

Informes financieros a Gerencia General.

Tenedura sistematizada de libros.
Control de inventarios.
Elaboracin de nmina.
Gestin de Cobros y pagos en mora.
Estudios de costos.
d.-

Departamento

de

Informtica:Abarca

todas

las

funciones

sistemticas y tecnolgicas que permiten el funcionamiento ptimo de la

empresa.
Funciones:

 Prevenir

solucionar

fallas

en

equipos

utilizados

para

almacenamiento de datos y comunicacin.

Mantener actualizada la pgina web para brindar informacin reciente
a los clientes.
1.2 METODOLOGA COBIT
1.2.1 MODELO DE MADUREZ
Permite que una organizacin pueda escoger el nivel o grado de
madurez al que desea llegar, es decir, despus de realizada la evaluacin a
cada proceso de tecnologa de la empresa, este puede ser ubicado en un
determinado nivel de madurez. Para la gestin de la seguridad de la
informacin se orienta a medir la madurez sin depender de procesos de
anlisis de riesgo sino enfocados en los requisitos del negocio (solo
tecnologa y controles basados en ISO/IEC 13335). Esto indica que cada
rea de proceso puede estar valorada con una madurez diferente, y no
determina un nivel de madurez de la seguridad de la informacin de forma
global para toda la organizacin. A continuacin se muestra los niveles de
madurez:

1.2.2 AUDITORIA DE TICS APLICANDO COBIT

1.2.2.1. rea a auditar
La auditora ser realizada en el Departamento de Informtica de
RattanHypermarket C.A.,debido a que maneja gran parte de la informacin
que compete a la empresa en todas sus reas.
1.2.2.2. Procesos de recoleccin de informacin

La informacin se obtuvo mediante la observacin directa a los

procesos que se realizan dentro de la empresa, as como una entrevista no
estructurada a uno de los empleados del Departamento de Informtica todo
esto con el fin de poder dar una apreciacin especifica de los problemas.
1.2.2.3. Documentos de gestin en el rea de informtica
Cabe

destacar

que

el

departamento

de

informtica

deRattanHypermarket C.A., no cuenta con los documentos necesarios que

sirvan de soporte a los procesos que all se realizan, los cuales seran:
Manual de servicio tcnico.
Manual de los equipos.
Manual de manejo de datos.
1.2.2.4. Plan de la auditoria en el rea de informtica
Para la auditora en el rea de informtica se pretende realizar los
siguientes procesos:
1.- Observacin directa de los procesos que se realizan.
2.- Entrevista no estructuradas a uno de los empleados del departamento.
3.- Analizar cada uno de los recursos con que se cuenta.
4.- Analizar los niveles de seguridad.
5.- Analizar la confiabilidad de los datos respaldados.
1.2.2.5. Herramientas y tcnicas

Para realizar la recoleccin de datos se utiliz una libreta de apuntes,

adems de lapiceros en el proceso de observacin directa; as como una
gua de entrevista no estructurada.
1.2.2.6.Motivo o necesidad de la auditora
Inseguridad de la informacin respaldada.
Muestra de descoordinacin y desorganizacin.

1.2.2.7. Modelo de madurez a nivel cualitativo (coso)

OBJETIVOS DE
CONTROL DE COBIT

CRITERIOS DE
INFORMACIN DE
COBIT

RECURSOS DE
TI DE COBIT

AI2
AI3

Identificar soluciones
automatizadas
Adquirir y mantener el
software aplicativo
Adquirir y mantener la
infraestructura
tecnolgica

X
X

X
S
S

X
X

X
S

Adquirir e implementar
AI1

Personal

Instalaciones

Tecnologa

Aplicaciones

Datos

Disponibilidad

Integridad

Confidencialidad

Cumplimiento

Confiabilidad

Eficiencia

Efectividad
PLANEAR Y ORGANIZAR
Definir el Pan
PO1
Estratgico TI
Definir la arquitectura
PO2
de la informacin
Determinar la direccin
PO3
tecnolgica
Definir procesos,
PO4
organizacin y
relaciones de TI
Administrar la
PO5
inversin en TI
Comunicar las
aspiraciones y la
PO6
direccin de la
gerencia
Administrar recursos
PO7
humanos de TI
PO8
Administrar calidad
Evaluar y administrar
PO9
riesgo de TI
PO10 Administrar proyectos
Administracin de
PO11
calidad

S
S

AI4
AI5
AI6

Facilitar la operacin y
el uso
Adquirir recursos de TI
Administrar cambios

S
P

P
P

X
X

X
X

X
X

X
X

X
X

Monitorear y evaluar
ME1
ME2
ME3
ME4

Monitorear y evaluar el
desempeo de TI
Monitorear y evaluar el
control interno
Garantizar el
cumplimiento
regulatorio
Proporcionar gobierno
de TI

`
P

`
p

Prestacin y soporte
DS1
DS2
DS3

DS4

DS5
DS6
DS7
DS8
DS9
DS10

Definir y administrar
niveles de servicio
Administrar servicios
de terceros
Administrar
desempeo y
capacidad
Garantizar la
continuidad del
servicio
Garantizar la
seguridad de los
sistemas
Identificar y asignar
costos
Educar y entrenar a
los usuarios
Administrar la mesa de
servicio y los
incidentes
Administrar la
configuracin
Administrar los

S
P
P

X
X
S

DS11
DS12
DS13

problemas
Administrar los datos
Administrar el
ambiente fsico
Administrar las
operaciones

X
X

Las variables definidas dentro del control para los objetivos de control
COBIT son: dentro de los criterios de informacin de cobit, (p) cuando el
objetivo tiene impacto directo al requerimiento; (s), cuando el objetivo de
control tiene impacto indirecto es decir no completo sobre el requerimiento, y
finalmente ( ) vaco, cuando el objetivo de control no ejerce ningn impacto
sobre el requerimiento, en cambio cuando se encuentra con (x) significa que
los objetivos de control tienen impacto en los recursos, y cuando se
encuentra en blanco ( ), es que los objetivos de control no tienen ningn
impacto con los recursos.

CAPTULO II: EJECUCIN DE LA AUDITORA

2.1. SITUACIN ACTUAL DEL REA DE SISTEMAS

2.1.1. Objetivos del departamento.
Adquisicin

instalacin

de

hardware

software

para

el

funcionamiento de los equipos de la empresa.

Mantener la seguridad en los datos almacenados realizando

respaldos peridicos.
Diseo y mantenimiento la pgina web de la empresa para
proporcionar y un medio de difusin masivo.
Proveer herramientas que brinden seguridad ante distintas amenazas
informticas
Mantener el funcionamiento ptimo de las redes internas y sus
componentes.
2.1.2. Organigrama del departamento.

2.1.3.
Seguridad
del departamento.
a.- Seguridad Fsica:

 Agentes capacitados para la seguridad las veinticuatro (24) horas del

da.

Dispositivos capases de prevenir y responder ante incidentes

(Extintores, detectores de humo, entre otros).
Cumple con las normativas propuestas para la seguridad.
b.- Seguridad de la informacin:
Restringir el acceso de usuarios a la informacin almacenada.
Realizar copias de seguridad peridicas para prevenir perdidas de
datos importantes para la empresa.
Mantener activado y actualizados los componentes que tienen como fin
repeler amenazas informticas (antivirus, firewall).
c.- Seguridad del personal:
Equipamientos de proteccin para cada una de las personas que
laboran en el departamento.
Sealizaciones que permitan la proteccin de las personas.
2.1.4. Caractersticas de la plataforma tecnolgica.
El departamento de informtica del RattanHypermarket C. A en el
mbito tecnolgico cuenta en su inventario con 5 computadoras las cuales se
encuentran en funcionamiento y cuya descripcin es la siguiente:
Hardware:

Cantidad

Utilidad

Sistemas de

Caractersticas
CPU

Inter Celeron 2.5 GHz

Informacin

Soporte Tcnico

Servidor Proxy

Memoria RAM

2 Gb

Disco Duro

S-ATA 7200 1 Tb

Monitor

ADC 17``

Tarjeta de red

PCI-IEEE 802.11b/g

CPU

Inter Celeron 2.5 GHz

Memoria RAM

2 Gb

Disco Duro

S-ATA 7200 1 Tb

Monitor

ADC 17``

Tarjeta de red

PCI-IEEE 802.11b/g

CPU

Inter Celeron 2.5 GHz

Memoria RAM

4 Gb

Disco Duro

S-ATA 7200 1 Tb

Software:

Cantidad

Sistema Operativo

Microsoft Windows 7 Ultimate, service pack 2

2.1.5 Determinacin de los problemas y planteamiento de hiptesis

2.1.5.1. Posibles problemas.

Falta de manuales que sirvan de soporte en diversos mbitos como

seguridad y mantenimiento de informacin.
Inexistencia de gua o manual de usuario que facilite el uso del
sistema de informacin a los usuarios.

Poca organizacin a la hora de definir tareas dentro del

departamento.
2.1.5.2 Formulacin de hiptesis
La falta de manuales de seguridad pueden acarrear diversos problemas
ante posibles incidentes por no tener conocimiento concreto de cmo
reaccionar ocasionando prdidas tangibles e intangibles, aunado a esto la
inexistencia de guas de soporte tcnico pueden causar malas instalaciones
o mantenimiento errneos de dispositivos destinados a comunicaciones y
almacenamiento de datos los cuales causaran retrasos a las operaciones de
la empresa.
2.2 APLICACIN DE LA AUDITORIA.
2.2.1. Modelo de madurez de los procesos.
A continuacin se realizara la relacin entre los objetivos y el modelo de
madurez para determinar el nivel de la empresa con relacin a los distintos
aspectos de la metodologa COBIT 4.1.

Dominio: Planificar y Organizar

PO1: Definir el Plan Estratgico de Tecnologa de la Informacin

Nivel
1

Nivel
2

Nivel
3

Nivel
4

Nivel
5

La planeacin estrategia de TI se
discute en forma ocasional en las
reuniones de la gerencia

Las decisiones estratgicas se toman

proyecto por proyecto, sin ser
consistente con una estrategia global
de la organizacin.

No cumple

Cumple

Nivel de Madurez

Observaciones

GRADO DE MADUREZ:
El proceso de definir el plan
estratgico de la tecnologa de
informacin est en el nivel de
madurez 2.
OBJETIVOS NO CUMPLIDOS:

La planeacin estratgica de TI sigue

un enfoque estructurado el cual se
documenta y se da a conocer a todo el
equipo. Las estrategias de recursos
humanos, tcnicos y financieros de TI
influencia cada vez ms la adquisicin
de nuevos productos y tecnologa.

Existen procesos bien definidos para

determinar el uso de recursos internos
y externos requeridos en el desarrollo
de las operaciones de los sistemas.

Se desarrolla planes realistas a largo

plazo de TI, y se actualizan de manera
constante para reflejar los cambiantes
avances tecnolgicos y el progreso
relacionado al negocio.

La planeacin estratgica
no sigue un enfoque
estructurado.
No se realizan planes a
largo plazo.

RECOMENDACIONES:
Plantear planes a largo plazo.
Plantear ideas que ayuden directamente a la toma de decisiones de la empresa.

Nivel
1

La gerencia reconoce la necesidad de

una arquitectura de informacin. El
desarrollo de algunos componentes de
una arquitectura de informacin que
ocurre de manera ad hoc.

No cumple

Nivel de Madurez

Cumple

Dominio: Planificar y Organizar

PO2: Definir la Arquitectura de la Informacin.

Observaciones

GRADO DE MADUREZ:
V

El proceso de definir la
arquitectura de la informacin
est en el nivel de madurez 2.
OBJETIVOS NO CUMPLIDOS:

Nivel
2

Nivel
3

Nivel
4

Nivel
5

Las personas obtienen sus habilidades

al construir la arquitectura de
informacin por medio de experiencia
prctica y la aplicacin repetida de
tcnicas.

Poca experiencia del

personal en el uso de
las herramientas de la
arquitectura de la
informacin.
No se realizan propuestas
para resolver
necesidades futuras.

Existe una funcin de administracin

de datos definida formalmente, que
establece estndares para toda la
organizacin, y empieza a reportar
sobre la aplicacin y uso de la
arquitectura de la informacin.

El proceso de definicin de la
arquitectura de informacin es
proactivo y se enfoca en resolver
necesidades futuras del negocio.

El personal de TI cuenta con la

experiencia y las habilidades
necesarias para desarrollar y dar
mantenimiento a una arquitectura de
informacin robusta y sensible que
refleje todos los requerimientos del
negocio.

RECOMENDACIONES:
Desarrollar una slida arquitectura de la informacin.
Brindar experiencia sobre el manejo de una estructura de datos.

Nivel
1

La gerencia reconoce la necesidad de

planear la infraestructura tecnolgica.
El
desarrollo
de
componentes
tecnolgicos y la implantacin de
tecnologas emergentes son ad hoc y
aisladas.

No cumple

Nivel de Madurez

Cumple

Dominio: Planificar y Organizar

PO3: Determinar la Direccin Tecnologa

Observaciones

GRADO DE MADUREZ:
El proceso de Determinar la
Direccin Tecnologa est en el
nivel de madurez 2.

OBJETIVOS NO CUMPLIDOS:
Nivel
2

Nivel
3

Nivel
4

La evolucin de los cambios

tecnolgicos se delega a individuos
que siguen procesos intuitivos, aunque
similares.

Existe un plan de infraestructura

tecnolgica definido, documentado y
bien difundido, aunque se aplica de
forma inconsistente.

El rea de informtica cuenta con la

experiencia
y
las
habilidades
necesarias para desarrollar un plan de
infraestructura tecnolgica.

Nivel
5

V
La direccin del plan de infraestructura
tecnolgica est impulsada por los
estndares y avances industriales e
internacionales, en lugar de estar
orientada por los proveedores de
tecnologa.

No se establece un
rumbo tecnolgico el
cual pueda ser ms
eficiente la labor.
No se cuenta con la
experiencia para crear
planes que ayuden a los
adelantos tecnolgicos.

RECOMENDACIONES:
Analizar las tecnologas actuales en el mercado adems de las emergentes para
crear estrategias.
Crear planes estratgicos completos.

Nivel
1

Nivel
2

Nivel
3

Nivel
4

Nivel
5

La funcin de TI se considera como

una funcin de soporte, sin una
perspectiva organizacional general.

No cumple

Nivel de Madurez

Cumple

Dominio: Planificar y Organizar

PO4: Definir los Procesos, la Organizacin y las Relaciones de TI.

Observaciones

GRADO DE MADUREZ:
V
El proceso de definir los
Procesos, la Organizacin y las
Relaciones de TI est en el nivel
de madurez 1.

La necesidad de contar con una

organizacin estructurada, pero las
decisiones todava depende del
conocimiento
y
habilidades
de
individuos clave.

Se formulan las relaciones con

terceros, incluyendo los comits de
direccin,
auditora
interna
y
administracin de proveedores.

La organizacin de TI responde de
forma proactiva al cambio e incluye
todos los roles necesarios para
satisfacer los requerimientos del
negocio.

La estructura organizacional de TI es
flexible y adaptable.

OBJETIVOS NO CUMPLIDOS:
Contar con una estructura
organizada donde TI
incluye todos los roles.
Se cumple parcialmente
con sus objetivos.

RECOMENDACIONES:
Que el departamento se adapte a la estructura organizacional de TI.
Permitir la integracin de todos los roles con el fin de crear una organizacin ms
slida.

Nivel
1

Nivel
2

Nivel
3

La
organizacin
reconoce
la
necesidad de administrar la inversin
de TI, aunque esta necesidad se
comunica de manera inconsistente.

Existe un entendimiento implcito de la

necesidad
de
seleccionar
y
presupuestar las inversiones de TI.

El presupuesto de TI est alineado con

los planes estratgicos de TI y con los
planes de negocio. Los procesos de
seleccin de inversiones en TI y de
presupuestos estn formalizados,
documentados y comunicados.

Nivel
4

No cumple

Nivel de Madurez

Cumple

Dominio: Planificar y Organizar

PO5: Administrar la Inversin de TI.

GRADO DE MADUREZ:
El proceso de Administrar la
Inversin de TI est en el nivel
de madurez 2.
OBJETIVOS NO CUMPLIDOS:

V
La responsabilidad y la rendicin de
cuentas
por
la
seleccin
y
presupuestos de inversiones se
asignan a un individuo especfico. Las
diferencias en el presupuesto se
identifican y se resuelven.

Observaciones

No s presupuesta la
inversin para manejar
mrgenes.
Falta de anlisis de
costos para conocer la
inversin posible.

Nivel
5

Se utilizan las mejores prcticas de la

industria para evaluar los costos por
comparacin e identificar la efectividad
de las inversiones. Se utiliza el anlisis
de los avances tecnolgicos en el
proceso de seleccin y presupuesto
de inversiones.

RECOMENDACIONES:
Realizar estudios que permitan conocer las diferencias de costos a la hora de invertir
podra estimarse presupuesto para tal fin.

Nivel
1

Nivel
2

Existe una investigacin o anlisis

estructurado mnimo de la tecnologa
disponible.

El xito de cada proyecto depende de

la experiencia de unos cuantos
individuos clave. La calidad de la
documentacin y de la toma de
decisiones
vara
de
forma
considerable.

Nivel
3

Observaciones

GRADO DE MADUREZ:
V
El
proceso
de
Identificar
Soluciones Automatizadas est
en el nivel de madurez 3.
OBJETIVOS NO CUMPLIDOS:
V

V
El proceso para determinar las
soluciones de TI se aplica para
algunos proyectos con base en
factores tales como las decisiones
tomadas por el personal involucrado,
la cantidad de tiempo administrativo
dedicado, y el tamao y prioridad del
requerimiento de negocio original.

No cumple

Nivel de Madurez

Cumple

Dominio: Adquirir e Implementar

AI1: Identificar Soluciones Automatizadas

Fallas
en
la
documentacin de los
proyectos.
Inexistencia
de
referencias solidas que
respalden la toma de
decisiones.

Nivel
4

Nivel
5

La documentacin de los proyectos es

de buena calidad y cada etapa se
aprueba adecuadamente.

La metodologa est soportada en

bases de datos de conocimiento
internas y externas que contienen
material
de
referencia
sobre
soluciones tecnolgicas.

RECOMENDACIONES:
Realizar anlisis y estudios y sumarlas a la experiencia en el mbito para facilitar el
proceso de toma de decisiones.

Nivel
1

Nivel
2

Es probable que se hayan adquirido en

forma independiente una variedad de
soluciones individuales para requerimientos
particulares del negocio, teniendo como
resultado ineficiencias en el mantenimiento y
soporte.

Existen
procesos
de
adquisicin
y
mantenimiento
de
aplicaciones,
con
diferencias pero similares, en base a la
experiencia dentro de la operacin de TI.

Nivel
3

No cumple

Nivel de Madurez

Cumple

Dominio: Adquirir e Implementar

AI2: Adquirir y Mantener Software Aplicativo

GRADO DE MADUREZ:
El proceso de Adquirir y
Mantener
Software
Aplicativo est en el nivel
de madurez 2.

OBJETIVOS NO
CUMPLIDOS:
V

V
Existe un proceso claro, definido y de
comprensin general para la adquisicin y
mantenimiento de software aplicativo. Este

Observaciones

No se cumplen un
proceso de
estudio previo a
la adquisicin de
software.
El software no son

proceso va de acuerdo con la estrategia de

TI y del negocio.

Nivel
4

Nivel
5

flexibles ni
adaptables a
cambios.

Existe una metodologa formal y bien

comprendida que incluye un proceso de
diseo y especificacin, un criterio de
adquisicin, un proceso de prueba y
requerimientos para la documentacin.

El enfoque se extiende para toda la

empresa. La metodologa de adquisicin y
mantenimiento presenta un buen avance y
permite un posicionamiento estratgico y
rpido, que permite un alto grado de
reaccin y flexibilidad para responder a los
requerimientos cambiantes del negocio.

RECOMENDACIONES:
Platean estudios ms profundos a la hora de la adquisicin de software.
Garantizar la integridad accesibilidad y respaldo de la informacin.

Nivel
1

Se
realizan
cambios
a
la
infraestructura para cada nueva
aplicacin, sin ningn plan en
conjunto.
La
actividad
de
mantenimiento
reacciona
a
necesidades de corto plazo.

Nivel
2

Observaciones

GRADO DE MADUREZ:
V

V
La adquisicin y mantenimiento de la
infraestructura de TI no se basa en
una estrategia definida y no considera
las necesidades de las aplicaciones
del negocio que se deben respaldar.

No cumple

Nivel de Madurez

Cumple

Dominio: Adquirir e Implementar

AI3: Adquirir y Mantener Infraestructura Tecnolgica

El proceso de Adquirir y
Mantener
Infraestructura
Tecnolgica est en el nivel de
madurez 4.
OBJETIVOS NO CUMPLIDOS:
Definir una estrategia de
adquisicin
y
mantenimiento de la
infraestructura..

Nivel
3

Nivel
4

Nivel
5

El proceso respalda las necesidades

de las aplicaciones crticas del negocio
y concuerda con la estrategia de
negocio de TI, pero no se aplica en
forma consistente.

La infraestructura de TI soporta
adecuadamente las aplicaciones del
negocio. El proceso est bien
organizado y es preventivo.

El
proceso
de
adquisicin
y
mantenimiento de la infraestructura de
tecnologa es preventivo y est
estrechamente en lnea con las
aplicaciones crticas del negocio y con
la arquitectura de la tecnologa.

RECOMENDACIONES:
Garantizar la disponibilidad de la infraestructura y mantener planes alternativos.

Nivel
1
Nivel
2

Mucha de la documentacin y muchos

de los procedimientos ya caducaron.
Los materiales de entrenamiento
tienden a ser esquemas nicos con
calidad variable.
Individuos o equipos de proyecto
generan
los
materiales
de
entrenamiento, y la calidad depende
de los individuales que se involucran.

No cumple

Nivel de Madurez

Cumple

Dominio: Adquirir e Implementar

AI4: Facilitar la Operacin y el Uso

Observaciones

GRADO DE MADUREZ:
V

El proceso de Facilitar la
Operacin y el Uso est en el
nivel de madurez 1.
V
OBJETIVOS NO CUMPLIDOS:
Los materiales de apoyo

Nivel
3

Nivel
4

Nivel
5

Se guardan y se mantienen los

procedimientos en una biblioteca
formal y cualquiera que necesite saber
tiene acceso a ella.

no
brindan
son
anticuados y en muchos
casos inexistentes.

No existe un estndar de
cmo
realizar
los
procesos.

Existen controles para garantizar que

se adhieren los estndares y que se
desarrollan
y
mantienen
procedimientos
para
todos
los
procesos.

Los materiales de procedimientos y de

entrenamiento se tratan como una
base de conocimiento en evolucin
constante que se mantiene en forma
electrnica,
como
el
uso
de
administracin
de
conocimientos
actualizada, workflow y tecnologas de
distribucin, que los hacen accesibles
y fciles de mantener.

RECOMENDACIONES:
Creacin de instructivos que permitan la transferencia de conocimiento.
Documentar los aspectos tcnicos y los niveles de servicios requeridos.

Nivel
1

No cumple

Nivel de Madurez

Cumple

Dominio: Adquirir e Implementar

AI5: Adquirir Recursos de TI

Observaciones

V
Los contratos para la adquisicin de
recursos de TI son elaborados y
administrados
por
gerentes
de
proyectos y otras personas que
ejercen un juicio profesional ms que
seguir resultados de procedimientos y
polticas formales.

GRADO DE MADUREZ:
El proceso de Adquirir Recursos
de TI est en el nivel de
madurez 2.
OBJETIVOS NO CUMPLIDOS:

Nivel
2

Nivel
3

Nivel
4

Nivel
5

Se determinan responsabilidades y
rendicin de cuentas para la
administracin de adquisicin y
contrato de TI segn la experiencia
particular del gerente de contrato.

No existen estndares
para la adquisicin de
recursos.
Falta
de
relaciones
estratgicas
con
posibles proveedores.

La adquisicin de TI se integra en gran

parte con los sistemas generales de
adquisicin del negocio.

La adquisicin de TIse integra en gran

parte con los sistemas generales de
adquisicin del negocio. Existen
estndares de Ti para la adquisicin
de recursos de TI.

Se establecen buenas relaciones con

el tiempo con la mayora de los
proveedores y socios, y se mide y
vigila la calidad de estas relaciones.
Se manejan las relaciones en forma
estratgicas.

RECOMENDACIONES:
Implementar estrategias que permitan conocer los recursos ms necesarios para
estandarizar la obtencin de recursos.

Nivel
1

No cumple

Nivel de Madurez

Cumple

Dominio: Entregar y Dar Soporte

DS1: Definir y Administrar los Niveles de Servicio

Observaciones

V
La responsabilidad y la rendicin de
cuentas sobre para la definicin y la
administracin de servicios no est
definida.

GRADO DE MADUREZ:
El proceso de definir y
Administrar los Niveles de
Servicio est en el nivel de

madurez 1.

Nivel
2

Los reportes de os niveles de servicio

estn incompletos y pueden ser
irrelevantes o engaosos para los
clientes. Los reportes de los niveles de
servicio
dependen,
en
forma
individual, de las habilidades y la
iniciativa de los administradores.

Nivel
3

El proceso de desarrollo del acuerdo

de los niveles de servicio est en
orden y cuenta con puntos de control
para revalorar los niveles de servicio y
la satisfaccin del cliente.

Nivel
4

La satisfaccin del cliente es medida y

valorada de formas
rutinaria. Las
medidas de desempeo reflejan las
necesidades del cliente, en lugar de
las metas de TI.

Nivel
5

Todos los procesos de administracin

de niveles de servicio estn sujetos a
mejora continua. Los niveles de
satisfaccin
del
cliente
son
administrados y monitoreados de
manera continua.

OBJETIVOS NO CUMPLIDOS:
El proceso de desarrollo
de los niveles de
servicios
no
estn
definidos.
No se realizan planes a
largo plazo.

RECOMENDACIONES:
Definir claramente los niveles de servicios y repartir las labores segn el nivel de
conocimiento de quienes los desarrollan.

Nivel
1

No cumple

Nivel de Madurez

Cumple

Dominio: Entregar y Dar Soporte

DS3: Administrar el Desempeo y la Capacidad

Observaciones

v
Los responsables de los procesos del
negocio valoran poco la necesidades

GRADO DE MADUREZ:
El proceso de Administrar el

llevar a cabo una planeacin de la

capacidad y del desempeo. Las
acciones
para
administrar
el
desempeo
la capacidad son
tpicamente reactivas.

Nivel
2

Nivel
3

Nivel
4

Nivel
5

Desempeo y la Capacidad est

en el nivel de madurez 1.

Las necesidades de desempeo se

logran por lo general con base en
evaluaciones de sistemas individuales
y el conocimiento y soporte de equipos
de proyectos.

Los pronsticos de la capacidad y

desempeo se modelan por medio de
un proceso definido. Los reportes se
generan
con
estadsticas
de
desempeo.

Hay
informacin
actualizada
disponible. Brindando estadsticas de
desempeo
estandarizadas
y
alertando sobre incidentes causados
por falta de desempeo o de
capacidad.

La infraestructura de Ti y la demanda
del negocio estn sujetas a revisiones
regulares para asegurar que se logre
una capacidad ptima con el menor
costo posible.

OBJETIVOS NO CUMPLIDOS:
Establecer mtodos de
desempeo
y
evaluacin.
La infraestructura TI no
est sujeta a regulaciones
que
permitan
un
desempeo ptimo.

RECOMENDACIONES:
Evaluar y monitorear la capacidad y el desempeo de quienes laboran.

No cumple

Nivel de Madurez

Cumple

Dominio: Entregar y Dar Soporte

DS4: Garantizar la Continuidad del Servicio

Observaciones

Nivel
1

Nivel
2

Nivel
3

Nivel
4

Nivel
5

Las responsabilidades sobre la

continuidad de los servicios son
informales y la autoridad para ejecutar
responsabilidades es limitada.

GRADO DE MADUREZ:
V

El proceso de Garantizar la
Continuidad del Servicio est en
el nivel de madurez 2.

Los reportes sobre la disponibilidad

son
espordicos, pueden
estar
incompletos y no toman en cuenta el
impacto en el negocio.

Las
responsabilidades
de
la
planeacin y de las pruebas de la
continuidad
de
servicios
estn
claramente asignadas y definidas.

Se asigna la responsabilidad de
mantener un plan de continuidad de
servicios.

Los procesos integrados de servicio

continuo toman en cuenta referencias
de la industria y las mejores prcticas
externas.

OBJETIVOS NO CUMPLIDOS:
Mantener
planes
servicios continuos.

RECOMENDACIONES:
Desarrollar planes de continuidad para as prever posibles fallas repetidas.

Dominio: Entregar y Dar Soporte

DS5: Garantizar la Seguridad de los Sistemas

de

Nivel
1

La seguridad deTI se lleva a cabo de forma

reactiva. No se mide la seguridad de Ti. Las
brechas de seguridad de TI ocasionan
respuestas con acusaciones personales,
debido a que las responsabilidades no son
claras. Las respuestas a la brechas de
seguridad TI son impredecibles.

No cumple

Cumple

Nivel de Madurez

Observaciones

GRADO DE MADUREZ:
El proceso de Garantizar
la Seguridad de los
Sistemas est en el nivel
de madurez 3.

OBJETIVOS NO
CUMPLIDOS:
Nivel
2

Nivel
3

Nivel
4

Nivel
5

La conciencia sobre la necesidad de la

seguridad fraccionada y limitada. Aunque los
sistemas producen informacin relevante
respecto a la seguridad, esto no se analiza.

Las responsabilidades de la seguridad TI

estn asignadas y entendidas, pero no
continuamente implementadas. Existe un
plan de seguridad de TI y existen soluciones
de seguridad motivadas por un anlisis de
riesgo.

Elaborar planes de
seguridad.
Ofrecer
instrucciones a los
usuarios sobre el
uso correcto de los
sistemas.

El contacto con mtodos para promover la

conciencia de la seguridad es obligatorio. La
identificacin,
la
autenticacin
y
la
autorizacin
de
los
usuarios
estn
estandarizadas.

Los
usuarios
y
los
clientes
se
responsabilizan cada vez ms de definir
requerimientos de seguridad, y las funciones
de seguridad estn integradas con las
aplicaciones en la fase de diseo.

RECOMENDACIONES:
Realizar y mantener planes de seguridad.
Revisar peridicamente los sistemas de seguridad fsicos y lgicos.

Nivel
1

Nos e han identificado procesos

estndar de recoleccin y evaluacin. El
monitoreo se implanta y las mtricas se
seleccionan de acuerdo a cada caso, de
acuerdo a las necesidades de proyectos
y procesos de TI especficos.

No cumple

Nivel de Madurez

Cumple

Dominio: Monitorear y Evaluar

ME1: Monitorear y Evaluar el Desempeo TI

Observaciones

GRADO DE MADUREZ:
El proceso de Monitorear y
Evaluar el Desempeo TI est
en el nivel de madurez 1.

OBJETIVOS NO
CUMPLIDOS:
Nivel
2

Nivel
3

Nivel
4

Nivel
5

La interpretacin de los resultados del

monitoreo se basa en la experiencia de
individuos clave.

Las mediciones de la contribucin de la

funcin de servicios de informacin al
desempeo de la organizacin se han
definido, usando criterios financieros y
operativos tradicionales.

No hay integracin de mtricas a lo

largo de todos los proyectos y procesos
de TI. Los sistemas de reporte de la
administracin de TI estn formalizados.

Las mtricas impulsadas por el negocio

se usan de forma rutinaria para medir el
desempeo, y estn integradas en los
marcos de trabajo estratgicos, tales
como el BalancedScorecard.

Identificar los estndares

de evaluacin.

RECOMENDACIONES:
Definir los estndares de evaluacin y una vez echo eso evaluar el desempeo del
mismo peridicamente

Nivel
1

Nivel
2

Nivel
3

Nivel
4

La gerencia de TI no ha asignado de
manera formal las responsabilidades
para monitorear la efectividad de los
controles internos.
La gerencia de servicios de informacin
realiza monitoreo peridicos sobre la
efectividad de lo que considera
controles internos crticos. Se estn
empezando a usar metodologas y
herramientas para monitorear los
controles internos.
Se ha definido un programa de
educacin y entrenamiento para el
monitoreo de control interno. Se ha
definido tambin un proceso para auto
evaluaciones y revisiones de seguro del
control interno, con los roles definidos
para
los
responsables
de
la
administracin del negocio y de TI.
Se han implantado herramientas para
estandarizar evaluaciones y para
detectar de forma automtica las
excepciones de control. Se ha
establecido una funcin formal para el
control interno de TI, con profesionales
especializados y certificados que utilizan
un marco de trabajo de control formal
avalado por la alta direccin.

Nivel
5

No cumple

Nivel de Madurez

Cumple

Dominio: Monitorear y Evaluar

ME2: Monitorear y Evaluar el Control Interno

GRADO DE MADUREZ:
V
El proceso de Monitorear y
Evaluar el Control Interno est
en el nivel de madurez 2.

V
La organizacin utiliza herramientas
integradas y actualizadas, que permiten

Observaciones

OBJETIVOS NO
CUMPLIDOS:
Establecer monitoreo
peridicos.
Realizar programas de
entrenamiento para el
monitoreo del control
interno.
Utilizar las herramientas
necesarias para el
control interno

una evaluacin efectiva de los controles

crticos de TI y una deteccin rpida de
incidentes de control de TI.
RECOMENDACIONES:
Brindar ayuda acerca del control interno adems de proporcionar herramientas que
hagan ms fcil el mismo

Nivel
1

Nivel
2

Nivel
3

Nivel
4

Se siguen procesos informales para

mantener el cumplimiento, pero solo si
la necesidad surge en nuevos proyectos
o como respuesta auditoras y
revisiones.

El proceso de Garantizar el
Cumplimiento Regulatorio est
en el nivel de madurez 1.
OBJETIVOS NO
CUMPLIDOS:
V

Se
brinda
entrenamiento
sobre
requisitos
legales
y
regulatorios
externos que afectan a la organizacin y
se instruye respecto a los procesos de
cumplimiento definidos.

Las responsabilidades son claras y el

empoderamiento de los procesos es
entendido. El proceso incluye una
revisin del entorno para identificar
requerimientos externos y cambios
recurrentes.

V
Hay un amplio conocimiento de los
requerimientos externos aplicables,

Observaciones

GRADO DE MADUREZ:

No existe, sin embargo, un enfoque

estndar. Hay mucha confianza en el
conocimiento y responsabilidad de los
individuos, y los errores son posibles.

Nivel
5

No cumple

Nivel de Madurez

Cumple

Dominio: Monitorear y Evaluar

ME3: Garantizar el Cumplimiento Regulatorio

Capacitar
al
personal
sobre las regulaciones.
Solucionar las necesidades
aplicando las regulaciones.

incluyendo sus tendencias futuras y

cambios anticipados as como la
necesidad de nuevas soluciones.

RECOMENDACIONES:

Proceso

Madurez Nivel de

Monitorear y Entregar y Dar Soporte Adquirir e Implementar Planificar y Organizar Dominio

Proporcionar la informacin acerca de los requerimientos y regulaciones pertinente

para brindar parmetros al desarrollo laboral

PO1

Definir el plan estratgico de tecnologa de informacin.

PO2

Definir la arquitectura de la informacin.

PO3

Determinar la direccin tecnolgica.

PO4

Definir los procesos, la organizacin y las relaciones de TI.

PO5

Administrar la inversin de TI.

AI1

Identificar las soluciones automatizadas.

AI2

Adquirir y mantener software aplicativo.

AI3

Adquirir y mantener infraestructura tecnolgica.

AI4

Facilitar la operacin y el uso.

AI5

Adquirir recursos de TI.

DS1

Definir y administrar los niveles de servicios.

DS3

Administrar el desempeo y la capacidad.

DS4

Garantizar la continuidad del servicio.

DS5

Garantizar la seguridad de los sistemas.

ME1

Monitorear y evaluar el desempeo de TI.

ME2

Monitorear y evaluar el control interno.

ME3

Garantizar el cumplimiento regulatorio.

Evaluar

Resumen de Anlisis por Dominios:

Planificar y Organizar: Esta en un nivel intermedio sin alcanzar una
estabilidad que lo ayude a alcanzar el mximo potencial todo esto
sumado la deficiencia de algunas herramientas necesarias para
realizar ciertas tareas y desconocimiento de la importancia de
mantener una buena organizacin.
Adquirir e Implementar: Se observa un nivel muy bajo de madures a la
hora de adquirir cierto tipo de recursos que son necesarios

implementar para el desarrollo total de la empresa.

Entregar y Dar Soporte: los niveles de madurez son no son los
esperados, aunque parcialmente se observa cierto seguimiento a las
problemticas as como un nivel intermedio el cuanto a la seguridad

de los sistemas
Monitorear y Evaluar: Este dominio muestra niveles extremadamente
bajos en el desarrollo y evaluacin del control interno.

Definir el plan estratgico de tecnologa de

informacin.
Total real (Impacto * Nivel real)
Total Ideal (Impacto * Nivel ideal)
PO1

PO2

Definir la arquitectura de la informacin.

Total real (Impacto * Nivel real)

Total Ideal (Impacto * Nivel ideal)

0.83

0.83

0.5

1.5
3

2.49
5

2.49
5

1.5
3

DATOS

0.5

INSTALACIONES

1.5
3

TECNOLOGA

2.49
5

APLICACIN

0.5

INTEGRIDAD

0.83

PERSONA

CONFIABILIODAD

CUMPLIMIENTO

DISPONIBILIDAD

CONFIDENCIALIDAD

EFICIENCIA

PROCESOS

RECURSOS TI

EFECTIVIDAD
PLANIFICAR Y

DOMINIO

CRITERIOS DE INFORMACIN

NIVEL DE MADUREZ

2.2.3 RESUMEN DE PROCESOS Y CRITERIOS DE INFORMACIN POR IMPACTO

x
2
5

ADQUIRIR E IMPLEMENTAR

ORGANIZAR

PO3

Determinar la direccin tecnolgica.

0.83

0.83

Total real (Impacto * Nivel real)

Total Ideal (Impacto * Nivel ideal)
Definir los procesos, la organizacin y las
PO4
relaciones de TI.
Total real (Impacto * Nivel real)
Total Ideal (Impacto * Nivel ideal)

2.49
5

2.49
5

0.83

0.83

2.49
5

2.49
5

PO5

0.83

0.83

0.5

Total real (Impacto * Nivel real)

Total Ideal (Impacto * Nivel ideal)

2.49
5

2.49
5

1
3

AI1

0.83

0.5

Total real (Impacto * Nivel real)

Total Ideal (Impacto * Nivel ideal)

3.32
5

2
3

AI2

0.83

0.83

0.5

Total real (Impacto * Nivel real)

Total Ideal (Impacto * Nivel ideal)
Adquirir y mantener infraestructura
AI3
tecnolgica.
Total real (Impacto * Nivel real)
Total Ideal (Impacto * Nivel ideal)

2.49
5

2.49
5

1.5
3

0.5

0.83

0.5

0.5

2.5
3

4.15
5

2.5
3

2.5
3

AI4

0.83

0.83

0.5

0.5

0.5

0.5

Total real (Impacto * Nivel real)

Total Ideal (Impacto * Nivel ideal)

1.66
5

1.66
5

1
3

1
3

1
3

1
3

AI5

Adquirir recursos de TI.

0.5

0.83

0.5

Total real (Impacto * Nivel real)

1.5

2.49

1.5

Administrar la inversin de TI.

Identificar las soluciones automatizadas.

Adquirir y mantener software aplicativo.

Facilitar la operacin y el uso.

x
2
5

x
1
5
x

x
2
5

x
3
5

x
2
5
x
4
5

x
1
5

x
2

ENTREGAR Y DAR SOPORTE

Total Ideal (Impacto * Nivel ideal)

Definir y administrar los
DS1
servicios.
Total real (Impacto * Nivel real)
Total Ideal (Impacto * Nivel ideal)

0.83

0.83

0.5

0.5

0.5

0.5

0.5

1.66
5

1.66
5

1
3

1
3

1
3

1
3

1
3

0.83

0.83

0.5

Total real (Impacto * Nivel real)

Total Ideal (Impacto * Nivel ideal)

1.66
5

1.66
5

1
3

DS4

0.83

0.5

0.83

2.49
5

1.5
3

2.49
5

DS3

niveles

de

Administrar el desempeo y la capacidad.

Garantizar la continuidad del servicio.

Total real (Impacto * Nivel real)

Total Ideal (Impacto * Nivel ideal)
DS5

Garantizar la seguridad de los sistemas.

MONITOREAR Y EVALUAR

Total real (Impacto * Nivel real)

Total Ideal (Impacto * Nivel ideal)
ME1

Monitorear y evaluar el desempeo de TI.

0.83

0.83

0.5

0.5

0.5

3.32
5

3.32
5

2
3

2
3

2
3

0.5

0.5

0.5

Total real (Impacto * Nivel real)

Total Ideal (Impacto * Nivel ideal)

1.66
5

1.66
5

1
3

1
3

1
3

1
3

1
3

ME2

0.83

0.83

0.5

0.5

0.5

0.5

0.5

2.49
5

2.49
5

1.5
3

1.5
3

1.5
3

1.5
3

1.5
3

0.83

0.5

1.66
5

1
3

Total real (Impacto * Nivel real)

Total Ideal (Impacto * Nivel ideal)

x
2
5

0.5

Garantizar el cumplimiento regulatorio.

1
5

0.5

ME3

1
5

0.83

Total real (Impacto * Nivel real)

Total Ideal (Impacto * Nivel ideal)

0.83

Monitorear y evaluar el control interno.

x
3
5

x
1
5

x
2
5

x
1
5

2.2.4 RESULTADOS FINALES DEL IMPACTO SOBRE LOS CRITERIOS DE INFORMACIN

Total real (Impacto * Nivel real)
Total Ideal (Impacto * Nivel ideal)
Porcentaje Alcanzado

32.89
69
47.66

33.22
69
48.14

8.48
19
44.63

11.32
23
49.21

13.49
29
46.51

10.49
23
45.60

9.5
21
45.23

Efectividad: Para este criterio de informacin se obtuvo un porcentaje

47.66% sobre 100%, es decir, que la informacin que es de
importancia para Rattan Hypermarket, C.A; que tiene incidencia en los
procesos del negocio y debe ser entregada de forma oportuna,
consistente, y veraz tiene un porcentaje del 47.66%.
Eficiencia: Para este criterio de informacin se obtuvo un porcentaje del
48.14% sobre el 100%, es decir que la informacin que debe generar
el uso del ptimo de los recursos de Rattan Hypermarket, C.A, tiene
un porcentaje del 48.14%.
Confidencialidad: Para este criterio de informacin se obtuvo un
porcentaje del 44.63% sobre el 100%, es decir, que la proteccin de
Rattan Hypermarket, C.A, para que esta no sea divulgada a personas
o sectores extraos a este tiene un porcentaje del 44.63%.
Integridad: Para este criterio de informacin se obtuvo un porcentaje del
49.21% sobre el 100%, es decir, la distribucin de la informacin
exacta y correcta, as con su validez con las expectativas de la
empresa tiene un porcentaje del 49.21%.
Disponibilidad: Para este criterio de la informacin obtuvo un porcentaje
del 46.51% sobre el 100%, es decir, la accesibilidad de la informacin
cuando esta sea requerida por los procesos de negocio y a la
salvaguarda de los recursos y capacidades asociadas a la misma en
Rattan Hypermarket, C.A, tiene un porcentaje del 46.51%.
Cumplimiento: Para este criterio de la informacin se obtuvo un
porcentaje del 45.60% sobre 100%, es decir que el cumplimiento de
las leyes, regulaciones, y compromisos contractuales con los cuales

est comprometidos Rattan Hypermarket, C.A, tiene un porcentaje del

45.60%.
Confiabilidad: Para este criterio de la informacin se obtuvo un
porcentaje del 45.23% sobre el 100%, es decir, proveer la informacin
apropiada para que la administracin tome decisiones adecuadas para
manejar

Rattan

Hypermarket,

C.A,

cumplir

con

sus

responsabilidades, tiene un porcentaje del 45.23%.

2.2.5 GRFICA REPRESENTATIVA DEL IMPACTO DE LOS CRITERIOS DE

INFORMACIN

IMPACTO SOBRE LOS CRITERIOS DE LA INFORMACIN

50
49
48
47
46
45
44
43
42

3.2 INFORME EJECUTIVO

COBIT recomienda 34 procesos para ser evaluados en las
auditoras, pero en este informe ejecutivo se detallaran los resultados
17 procesos ms importantes seleccionadas para abarcar mbitos
especficos. Los criterios de informacin se encuentran en el siguiente
porcentaje todo sobre el 100%.

Criterio de la Informacin: Efectividad

Efectividad

Defcit

La efectividad consiste en que la informacin relevante sea

entregada de forma oportuna, correcta, consistente y utilizable, este
criterio tiene un promedio del 47,66%.

Criterio de Informacin: Eficiencia

Eficiencia

Defcit

La eficiencia consiste en que la informacin debe ser generada

optimizando los recursos, este criterio tiene un promedio del 48,14%.

Criterio de Informacin: Integridad

Confidencialidad

Defcit

La confidencialidad consiste en que la informacin vital sea

protegida contra la revelacin no autorizada, este criterio tiene un
promedio del 44,63%.

Criterio de Informacin: Integridad

Integridad

49,21%

Defcit

La integridad consiste en que la informacin debe ser precisa,

completa y valida, este criterio tiene un promedio del 49,21%.

Criterio de Informacin: Disponibilidad

Disponibilidad

Defcit

La disponibilidad consiste en que la informacin est disponible

cundo esta sea requerida por parte de las reas del negocio en
cualquier momento, este criterio tiene un promedio del 32,96%.

Criterio de Informacin: Cumplimiento

Cumplimiento

Defcit

El cumplimiento consiste en que se debe respetar las leyes,

reglamentos y acuerdos contractuales a los que est sujeta el proceso
del negocio, como polticas internas, ese criterio

un promedio del

45,6%.

Criterio de Informacin: Confiabilidad

Confiabilidad

Defcit

La confiabilidad consiste en que debe respetar, proporcionar la

informacin apropiada, con el fin de que la gerencia general
administre la entidad, este criterio tiene un promedio del 45,23%.