ÍNDICE

Agradecimiento ...................................................................................................................................2
Dedicatoria ..........................................................................................................................................3
Introducción ........................................................................................................................................4

I. Gobierno De Tecnologías De Información ...................................................................................5

Misión Del Cobit ..................................................................................................................................5
Beneficios Cobit ..................................................................................................................................5
Estructura ...........................................................................................................................................6
Dominios Cobit ....................................................................................................................................6
Usuarios ..............................................................................................................................................7
Características ....................................................................................................................................7
Niveles Cobit .......................................................................................................................................7
Componentes Cobit ............................................................................................................................8
Quiénes han Adoptado el Cobit ..........................................................................................................9
Los Principios de Cobit 5 ....................................................................................................................9

II. Papeles de Trabajo .....................................................................................................................11

Objetivos e Importancia ....................................................................................................................12

Propiedad de los Papeles de Trabajo ...............................................................................................12

Diseño de los Papeles de Trabajo ....................................................................................................12

Contenido de los Papeles de Trabajo ...............................................................................................13

Ejemplos de Papeles de Trabajo ......................................................................................................13

III. Practica: Evaluar, Orientar y Supervisar los Procesos de Gobierno de la IT .......................14

Dominios De Gestión ........................................................................................................................14

Construir, Adquirir e Implementar .....................................................................................................17
Entregar, Dar Servicio y Soporte ......................................................................................................19
Supervisar, Evaluar y Valorar ...........................................................................................................20
Caso Práctico ....................................................................................................................................21
Recomendaciones ............................................................................................................................31
Conclusiones ....................................................................................................................................32
Anexos ..............................................................................................................................................34
Bibliografía ........................................................................................................................................35
 AGRADECIMIENTO

El presente trabajo investigativo lo dedicamos principalmente a Dios, por ser el

inspirador y darnos fuerza para continuar en este proceso de obtener uno de los
anhelos más deseados.

A nuestros padres, por su amor, trabajo y sacrificio, gracias a ellos hemos logrado
llegar hasta aquí́ y convertirnos en lo que somos. Ha sido el orgullo y el privilegio,
son los mejores padres.

A nuestros hermanas (os) por estar siempre presentes, acompañándonos y por el

apoyo moral, que nos brindaron a lo largo de esta etapa de nuestras vidas.

A todas las personas que nos han apoyado y han hecho que el trabajo se realice con
éxito en especial a aquellos que nos abrieron las puertas y compartieron sus
conocimientos.

2
 DEDICATORIA

A mis padres, por estar conmigo, por enseñarme a crecer y a que si caigo
debo levantarme, por apoyarme y guiarme, por ser las bases que me ayudaron
a llegar hasta aquí.

El presente trabajo es dedicado a mi familia, a quienes han sido parte

fundamental para la investigación de este trabajo, ellos son quienes me dieron
grandes enseñanzas y los principales protagonistas de este “sueño
alcanzado”.

3
 Introducción

Este trabajo aporta una visión holística del aprovechamiento de las tecnologías de la información en
las organizaciones y para la sociedad, sobre la base de un modelo que integra los elementos del
estado del arte en gobierno de TI. La metodología está basada en el estudio del estado del arte de
la cuestión. De acuerdo con ella, se hace un planteamiento del gobierno de tecnologías de
información, se efectúa una presentación del modelo de gobierno de tecnologías de información y,
finalmente, se exponen las conclusiones.

El gobierno de las tecnologías de información, que se enmarca en la responsabilidad social

corporativa, en un mundo donde confluyen paradójicamente el vertiginoso y ubicuo desarrollo
tecnológico con el largo período de crisis en los países desarrollados, la democratización y
masificación de las tecnologías a través de la web 2.0 y la web semántica, la computación en la
nube como estrategia dinamizadora de la gestión tecnológica en las empresas y la utilización de
tecnologías personales tanto en el ámbito social como empresarial.

En este sentido, es una realidad la transformación de cómo las personas utilizan sus propios
dispositivos y tecnologías en las empresas a través de tendencias, como Byod (bring your own
device-traiga su propio dispositivo) o en un sentido más amplio Byot (bring your own technology-
traiga su propia tecnología), lo cual significa que los empleados pueden utilizar sus propios
dispositivos/tecnologías en la oficina y continuar con las tareas laborales fuera de ella, desde
cualquier lugar y en cualquier momento.

El movimiento a la computación en nube (cloud computing) es el cambio disruptivo al que los

departamentos de TI han de enfrentarse y que comenzará a tener efecto en las empresas
modernas. Los directivos de TI deben considerar el modo de adquirir y distribuir información en este
entorno de compartición, protegiendo los intereses de la compañía.

Las empresas innovadoras deben tomar ventaja de estos nuevos recursos y reinventarse en sus
mercados. Aquellas que no tomen ventaja de esta revolución se pueden quedar rápidamente
desactualizadas y tal vez fuera del negocio. Los informes publicados por los más reputados
consultores de TI, tales como IDC, y Gartner o Forrester avalan las teorías anteriores,
pronosticando cifras de ingresos para negocios relativos a la nube que van desde los 42.000
millones de dólares para 2012.

4
I. GOBIERNO DE TECNOLOGÍAS DE INFORMACIÓN
El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de
información y tecnología, orientado a todos los sectores de una organización, es decir,
administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. El COBIT es
un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que
abarca controles específicos de IT desde una perspectiva de negocios.

Las siglas COBIT significan Objetivos de Control para Tecnología de Información y Tecnologías
relacionadas (Control Objectives for Information Systems and related Technology). El modelo es el
resultado de una investigación con expertos de varios países, desarrollado por ISACA (Information
Systems Audit and Control Association).

COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que
trabajan los profesionales de tecnología. Vinculando tecnología informática y prácticas de control, el
modelo COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso
crítico para la gerencia, los profesionales de control y los auditores.

COBIT se aplica a los sistemas de información de toda la empresa, incluyendo los computadores
personales y las redes. Está basado en la filosofía de que los recursos TI necesitan ser
administrados por un conjunto de procesos naturalmente agrupados para proveer la información
pertinente y confiable que requiere una organización para lograr sus objetivos.

MISIÓN DEL COBIT

Buscar, desarrollar, publicar y promover un autoritario y actualizado conjunto internacional de
objetivos de control de tecnologías de la información, generalmente aceptadas, para el uso diario
por parte de gestores de negocio y auditores.

BENEFICIOS COBIT
• Mejor alineación basado en una focalización sobre el negocio.
• Visión comprensible de TI para su administración.
• Clara definición de propiedad y responsabilidades.
• Aceptabilidad general con terceros y entes reguladores.
• Entendimiento compartido entre todos los interesados basados en un lenguaje común.
• Cumplimiento global de los requerimientos de TI planteados en el Marco de Control Interno.

5
ESTRUCTURA
La estructura del modelo COBIT propone un marco de acción donde se evalúan los criterios de
información, como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la
tecnología de información, como por ejemplo el recurso humano, instalaciones, sistemas, entre
otros, y finalmente se realiza una evaluación sobre los procesos involucrados en la organización.

"La adecuada implementación de un modelo COBIT en una organización, provee una herramienta
automatizada, para evaluar de manera ágil y consistente el cumplimiento de los objetivos de control
y controles detallados, que aseguran que los procesos y recursos de información y tecnología
contribuyen al logro de los objetivos del negocio en un mercado cada vez más exigente, complejo y
diversificado.

DOMINIOS COBIT
El conjunto de lineamientos y estándares internacionales conocidos como COBIT, define un marco
de referencia que clasifica los procesos de las unidades de tecnología de información de las
organizaciones en cuatro "dominios" principales, a saber:

• Planificación y organización: Este dominio cubre la estrategia y las tácticas y se refiere a la

identificación de la forma en que la tecnología de información puede contribuir de la mejor
manera al logro de los objetivos del negocio. Además, la consecución de la visión
estratégica necesita ser planeada, comunicada y administrada desde diferentes
perspectivas. Finalmente, deberán establecerse una organización y una infraestructura
tecnológica apropiadas.

• Adquisición e implantación: Para llevar a cabo la estrategia de TI, las soluciones de TI deben
ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro
del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento
realizados a sistemas existentes.

• Soporte y servicios: En este dominio se hace referencia a la entrega de los servicios requeridos,
que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por
seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse
los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por
sistemas de aplicación, frecuentemente clasificados como controles de aplicación.

6
• Monitoreo: Todos los procesos necesitan ser evaluados regularmente a través del tiempo para
verificar su calidad y suficiencia en cuanto a los requerimientos de control.

Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de
información, como de la tecnología que la respalda. Estos dominios y objetivos de control
facilitan que la generación y procesamiento de la información cumplan con las
características de efectividad, eficiencia, confidencialidad, integridad, disponibilidad,
cumplimiento y confiabilidad.

USUARIOS
• La Gerencia: Para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las
mismas, analizar el costo beneficio del control.
• Los Usuarios Finales: Quienes obtienen una garantía sobre la seguridad y el control de los
productos que adquieren interna y externamente.
• Los Auditores: Para soportar sus opiniones sobre los controles de los proyectos de TI, su
impacto en la organización y determinar el control mínimo requerido.
• Los Responsables de TI: Para identificar los controles que requieren en sus áreas.
También puede ser utilizado dentro de las empresas por el responsable de un proceso de
negocio en su responsabilidad de controlar los aspectos de información del proceso, y por todos
aquellos con responsabilidades en el campo de la TI en las empresas.

CARACTERÍSTICAS
• Orientado al negocio.
• Alineado con estándares y regulaciones "de facto".
• Basado en una revisión crítica y analítica de las tareas y actividades en TI.
• Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA).

NIVELES COBIT
Se divide en 3 niveles, los cuales son los siguientes:

• Dominios: Agrupación natural de procesos, normalmente corresponden a un dominio o una

responsabilidad organizacional.
• Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control.
• Actividades: Acciones requeridas para lograr un resultado medible.

7
COMPONENTES COBIT
• Resumen Ejecutivo: Es un documento dirigido a la alta gerencia presentando los antecedentes
y la estructura básica de COBIT Además, describe de manera general los procesos, los
recursos y los criterios de información, los cuales conforman la "Columna Vertebral" de COBIT.

• Marco de Referencia (Framework): Incluye la introducción contenida en el resumen ejecutivo y

presenta las guías de navegación para que los lectores se orienten en la exploración del
material de COBIT haciendo una presentación detallada de los 34 procesos contenidos en los
cuatro dominios.
• Objetivos de Control: Integran en su contenido lo expuesto tanto en el resumen ejecutivo como
en el marco de referencia y presenta los objetivos de control detallados para cada uno de los
34 procesos.

PLANEAR Y ORGANIZAR
PO1 Definir el plan estratégico de TI.
PO2 Definir la arquitectura de la información
PO3 Determinar la dirección tecnológica.
PO4 Definir procesos, organización y relaciones de TI.
PO5 Administrar la inversión en TI.
PO6 Comunicar las aspiraciones y la dirección de la gerencia.
PO7 Administrar recursos humanos de TI.
PO8 Administrar calidad.
PO9 Evaluar y administrar riesgos de TI
PO10 Administrar proyectos.
PO11Administración de Calidad

ADQUIRIR E IMPLANTAR
AI1 Identificar soluciones automatizadas.
AI2 Adquirir y mantener el software aplicativo.
AI3 Adquirir y mantener la infraestructura tecnológica
AI4 Facilitar la operación y el uso.
AI5 Adquirir recursos de TI.
AI6 Administrar cambios.

8
MONITOREAR Y EVALUAR
ME1 Monitorear y evaluar el desempeño de TI.
ME2 Monitorear y evaluar el control interno
ME3 Garantizar cumplimiento regulatorio.
ME4 Proporcionar gobierno de TI.

PRESTACIÓN Y SOPORTE
DS1 Definir y administrar niveles de servicio.
DS2 Administrar servicios de terceros.
DS3 Administrar desempeño y capacidad.
DS4 Garantizar la continuidad del servicio.
DS5 Garantizar la seguridad de los sistemas.
DS6 Identificar y asignar costos.
DS7 Educar y entrenar a los usuarios.
DS8 Administrar la mesa de servicio y los incidentes.
DS9 Administrar la configuración.
DS10 Administrar los problemas.
DS11 Administrar los datos.
DS12 Administrar el ambiente físico.
DS13 Administrar las operaciones.

Quiénes han Adoptado el Cobit

Advirtiendo la necesidad de contar con un adecuado marco de referencia para el gobierno de los
sistemas de información y las tecnologías relacionadas, muchas organizaciones en el ámbito
nacional e internacional ya han adoptado el COBIT como una de las mejores prácticas.

Sin intención de ser exhaustivo, sólo mencionaré las que desde hace tiempo lo vienen haciendo:
Gobierno de la Provincia de Mendoza; Superintendencia de Administradoras de Fondos de
Jubilaciones y Pensiones; Superintendencia de Entidades Financieras y Cambiarias; la Reserva
Federal de los Estados Unidos de América; Daimler-Chrysler en Alemania y los EE.UU., entre otras.

Los Principios de COBIT 5

En una nueva guía, titulada “Los principios de COBIT 5: ¿De dónde vinieron?”, ISACA resumió
cinco acciones que las organizaciones pueden realizar para gobernar y gestionar efectivamente su

9
información y su tecnología. Los principios, que forman la base del marco de referencia COBIT 5,
pueden beneficiar a cualquier empresa, sin importar su tamaño, ubicación o industria.

Entender estos principios ayudará a la compañía a utilizar COBIT de forma efectiva para hacer
mejores inversiones y tomar mejores decisiones relacionadas con TI, así como para generar más
valor a partir de su información y sus activos tecnológicos”, aseguró Robert Stroud, CGEIT, CRISC
y presidente internacional de ISACA. “COBIT es práctico y efectivo para todo tipo de empresas, lo
que ayuda a asegurar que todos estén avanzando hacia la misma dirección y hablando el mismo
idioma”.

Los principios compilados en la nueva guía son:

 Satisfacer las necesidades de los colaboradores. Es crítico definir y vincular los objetivos
empresariales y los objetivos relacionados con TI.

 Cubrir la empresa de extremo a extremo. Las compañías deben cambiar de visión, con el
objetivo de considerar el área de TI como un activo y no un costo. Los directivos deben tomar la
responsabilidad de gobernar y gestionar los activos relacionados con TI dentro de sus propias
funciones.

 Aplicar un solo marco integrado. Usar un solo marco de gobierno integrado puede ayudar a las
organizaciones a brindar valor óptimo de sus activos y recursos de TI.

 Habilitar un enfoque holístico. El gobierno de TI empresarial (GEIT) requiere de un enfoque

holístico que tome en cuenta muchos componentes, también conocidos como habilitadores. Los
habilitadores influyen en si algo va a funcionar o no. COBIT 5 incluye siete habilitadores para
mejorar el GEIT, como los principios, las políticas y marcos; los procesos; la cultura; la
información y la gente.

 Separar al gobierno de la administración. Los procesos de gobierno aseguran que los objetivos
se alcancen mediante la evaluación de las necesidades de los interesados, el establecimiento de
la dirección a través de la priorización y la toma de decisiones; y el monitoreo del desempeño, el
cumplimiento y el progreso. De acuerdo con los resultados de las actividades de gobierno, la
administración de la empresa y de TI entonces debe planear, crear, realizar y monitorear las
actividades para asegurar el alineamiento con la dirección que se estableció.

10
II. PAPELES DE TRABAJO

Los papeles de trabajo son los documentos en que el Auditor registra los datos e informaciones
obtenidas a lo largo de su examen y los resultados obtenidos de las pruebas realizadas, las que le
servirán para poder elaborar su informe o dictamen final que deberá presentar a la empresa o
entidad.

Objetivos e Importancia

Tomándose en cuenta todo lo enunciado, los objetivos e importancia de los papeles de trabajo son:

 En ellos el Auditor respalda y fundamenta sus informes, Dictámenes y Carta de observaciones.

 Sirven de fuente de información posterior al propio cliente o entidad auditada, a otro Auditor que
se le pueda contratar para opinar sobre el trabajo realizado, a las autoridades de entidades
fiscalizadoras como la Contraloría General de la República y en su caso a las autoridades
judiciales.
 Con ellos se evidencia el trabajo realizado, su alcance, sus limitaciones y su oportunidad de
presentación.
 Ellos sirven para comprobar que el Auditor realizó un trabajo de calidad profesional.
 Sirven de guía para la realización de futuras auditorías y como referencia para determinar la
consistencia en la aplicación de los principios de contabilidad generalmente aceptados de un
ejercicio a otro.

Tipos de Papeles de Trabajo

1. Planes de auditoría,
2. Hoja de trabajo y asientos de ajuste,
3. Hojas detalle, confeccionadas para agrupar cuentas de una tema
4. Sumarios descriptivos, para los casos de auditoría financiera o certificación de estados
financieros
5. Declaraciones y confirmaciones, y
6. Actas y otros registros.

Cada papel de trabajo debe ser tan completo como sea posible, y no dejar dudas relativas al asunto
con el cual se relacionan.

11
Propiedad de los Papeles de Trabajo

Los papeles de trabajo son propiedad del Auditor, él los preparó y son la prueba material del trabajo
efectuado, pero, esta propiedad no es irrestricta ya que por contener datos que puedan
considerarse confidenciales, está obligado a mantener absoluta discreción respecto a la información
que contienen.

Es decir, los papeles de trabajo son del Auditor, pero queda obligado al secreto profesional que
estipula no revelar por ningún motivo los hechos, datos o circunstancias de que tenga conocimiento
en el ejercicio de su profesión (a menos que lo autorice él o los interesados) y salvo los informes
que obligatoriamente debe presentar a la Contraloría General de la República o en su caso al Poder
Judicial cuando es requerido por tales entidades.

Diseño de los Papeles de Trabajo

Para diseñar las cédulas y su integración ordenada, es preciso considerar las necesidades de la
revisión en función de los objetivos planteados y de las probables conclusiones a que se pretenda
llegar, con objeto de que constituyan elementos prácticos para estructurar la información, su
proceso y los resultados de los procedimientos aplicados.

A continuación se describen las cualidades que debe reunir una cédula para cumplir su cometido:

a) Objetiva: es decir, la información debe ser imparcial y lo suficientemente amplia para que el
lector pueda formarse una opinión.

b) De fácil lectura: para lo cual su contenido se integrará de manera lógica, clara y sencilla.

c) Completa: en cuanto a la naturaleza y alcance del trabajo de auditoría realizado, y sustentar

debidamente los resultados, conclusiones y recomendaciones.

d) Relacionar claramente: los cruces entre las distintas cédulas (sumarias, analíticas y
subanalíticas, de tal manera que los índices y marcas remitan al lector a otros datos con facilidad.

e) Ser pertinente: por lo cual sólo deberá contener la información necesaria para cumplir el
objetivo propuesto.

12
Contenido de los Papeles de Trabajo

Los papeles de trabajo deben contener los productos del sistema de información financiera sujeto a
examen, desglosados en su mínima unidad de análisis, las técnicas y procedimientos que el Auditor
aplicó, la extensión y oportunidad de las pruebas realizadas, los resultados de las técnicas y
procedimientos tales como confirmaciones de tipo interno o externo y las conclusiones que obtuvo
en cada una de las áreas examinadas.

Por lo tanto, los papeles de trabajo están constituidos por:

1. Programas de trabajo
2. Planillas con análisis y anotaciones obtenidas de la empresa.
3. Las cartas de confirmación enviadas por terceros.
4. Manifestaciones obtenidas de la compañía
5. Extractos de documentos y registros de la compañía.
6. Planillas con comentarios preparados por el Auditor o Revisor Fiscal.
7. Memorandos preparados por el Auditor o Revisor Fiscal, para exponer algunos hechos, que
complementan la información de las planillas.

Ejemplos de Papeles de Trabajo

 Los programas de auditoría

 Los análisis
 Los memorando
 Las cartas de confirmación y declaración
 Resúmenes de documentos de la entidad y Papeles preparados u obtenidos por el auditor.

13
III. PRACTICA: EVALUAR, ORIENTAR Y SUPERVISAR LOS PROCESOS DE GOBIERNO DE LA
IT
Asegura que los objetivos de la empresa sean logrados, evaluando las necesidades de los
interesados .

-EDM01. Asegurar el establecimiento y mantenimiento del marco de referencia de

gobierno: Analizar y articular los requerimientos para el gobierno de las TI de la empresa y pone
en marcha y mantiene efectivas las estructuras, procesos y prácticas facilitadoras, con claridad de
las responsabilidades y la autoridad para alcanzar la misión, las metas y objetivos de la empresa.

-EDM02. Asegurar la entrega de beneficios: Optimizar la contribución al valor del negocio desde
los procesos de negocios, los de servicios TI y activos de las TI resultado de la inversión hecha por
TI a unos costos aceptables.

-EDM03. Asegurar la optimización del riesgo: Asegurar que el apetito y la tolerancia al riesgo de
la empresa son entendidos, articulados y comunicados y que el riesgo para el valor de la empresa
relacionado con el uso de las TI es identificado y gestionado.

-EDM04. Asegurar la optimización de recursos: Asegurar que las adecuadas y suficientes

capacidades relacionadas con las TI (personas, procesos y tecnologías) están disponibles para
soportar eficazmente los objetivos de la empresa a un coste óptimo.

-EDM05. Asegurar la transparencia hacia las partes interesadas: Asegurar que la medición y la
elaboración de informes en cuanto a conformidad y desempeño de las TI de la empresa son
transparentes, con aprobación por las partes interesadas de las metas, las métricas y las acciones
correctivas necesarias.

DOMINIOS DE GESTIÓN.
Alinear, Planear y Organizar (APO): Este dominio cubre las estrategias y las tácticas, y tiene que
ver con identificar la manera en que TI puede contribuir mejor con los objetivos del negocio. Es
importante mencionar que la realización de la visión estratégica requiere ser planeada, comunicada
y administrada desde diferentes perspectivas; y finalmente, la implementación de una estructura
organizacional y tecnológica apropiada. Este dominio proporciona la dirección para la entrega de
soluciones y la entrega de servicios.

14
APO01. Gestionar el Marco de Gestión de TI: Aclarar y mantener el gobierno de la misión y la
visión corporativa de TI. Implementar y mantener mecanismos y autoridades para la gestión de la
información y el uso de TI en la empresa para apoyar los objetivos de gobierno en consonancia con
las políticas y los principios rectores.

APO02. Gestionar la Estrategia: Proporcionar una visión holística del negocio actual y del entorno
de TI, la dirección futura, y las iniciativas necesarias para migrar al entorno deseado. Aprovechar los
bloques y componentes de la estructura empresarial, incluyendo los servicios externalizados y las
capacidades relacionadas que permitan una respuesta ágil, confiable y eficiente a los objetivos
estratégicos.

APO03. Gestionar la Arquitectura Empresarial: Establecer una arquitectura común compuesta

por los procesos de negocio, la información, los datos, las aplicaciones y las capas de la
arquitectura tecnológica de manera eficaz y eficiente para la realización de las estrategias de la
empresa y de TI mediante la creación de modelos clave y prácticas que describan las líneas de
partida y las arquitecturas objetivo. Define los requisitos para la taxonomía, las normas, las
directrices, los procedimientos, as plantillas y las herramientas y proporcionar un vínculo para estos
componentes.

APO04. Gestionar la Innovación: Analizar cuáles son las oportunidades para la innovación
empresarial o qué mejora puede crearse con las nuevas tecnologías, servicios o innovaciones
empresariales facilitadas por TI, así como a través de las tecnologías ya existentes y por la
innovación en procesos empresariales y de TI. Influir en la planificación estratégica y en las
decisiones de la arquitectura de empresa.

APO05. Gestionar el Portafolio: Ejecutar el conjunto de direcciones estratégicas para la inversión

alineada con la visión de la arquitectura empresarial, las características deseadas de inversión, los
portafolios de servicios relacionados, considerar las diferentes categorías de inversión y recursos y
las restricciones de financiación. Evaluar, priorizar y equilibrar programas y servicios, gestionar la
demanda con los recursos y restricciones de fondos, basados en su alineamiento con los objetivos
estratégicos así como en su valor y riesgo corporativo. Supervisar el rendimiento global del
portafolio de servicios y programas, proponiendo ajustes si fuesen necesarios en respuesta al
rendimiento de programas y servicios o al cambio en las prioridades corporativas.

15
APO06 Gestionar el Presupuesto y los Costes: Gestionar las actividades financieras
relacionadas con las TI tanto en el negocio como en las funciones de TI, abarcando presupuesto,
coste y gestión del beneficio, y la priorización del gasto mediante el uso de prácticas
presupuestarias formales y un sistema justo y equitativo de reparto de costes a la empresa.

APO07. Gestionar los Recursos Humanos: Proporcionar un enfoque estructurado para garantizar
una óptima estructuración, ubicación, capacidades de decisión y habilidades de los recursos
humanos. Esto incluye la comunicación de las funciones y responsabilidades definidas, la formación
y planes de desarrollo personal y las expectativas de desempeño, con el apoyo de gente
competente y motivada.

AP008. Gestionar las relaciones: Gestionar las relaciones entre el negocio y TI de modo formal y
transparente, enfocándolas hacia el objetivo común de obtener resultados empresariales exitosos
apoyando los objetivos estratégicos y dentro de las restricciones del presupuesto y los riesgos
tolerables. Basar la relación en la confianza mutua, usando términos entendibles, lenguaje común y
voluntad de asumir la propiedad y responsabilidad en las decisiones claves.

AP009. Gestionar los acuerdos de servicio: Alinear los servicios basados en TI y los niveles de
servicio con las necesidades y expectativas de la empresa, incluyendo identificación, especificación,
diseño, publicación, acuerdo y supervisión de los servicios TI, niveles de servicio e indicadores de
rendimiento.

APO10. Gestionar los Proveedores: Administrar todos los servicios de TI prestados por todo tipo
de proveedores para satisfacer las necesidades del negocio, incluyendo la selección de los
proveedores, la gestión de las relaciones, la gestión de los contratos y la revisión y supervisión del
desempeño, para una eficacia y cumplimiento adecuados.

APO11. Gestionar la Calidad: Definir y comunicar los requisitos de calidad en todos los procesos,
procedimientos y resultados relacionados de la organización, incluyendo controles, vigilancia
constante y el uso de prácticas probadas y estándares de mejora continua y esfuerzos de
eficiencia.

APO12 Gestionar el Riesgo: Identificar, evaluar y reducir los riesgos relacionados con TI de forma
continua, dentro de niveles de tolerancia establecidos por la dirección ejecutiva de la empresa.

16
APO13. Gestionar la Seguridad: Definir, operar y supervisar un sistema para la gestión de la
seguridad de la información.

CONSTRUIR, ADQUIRIR E IMPLEMENTAR: La gerencia con este dominio pretende cubrir, que los
nuevos proyectos generen soluciones que satisfagan las necesidades del negocio, que sean
entregados en tiempo y dentro del presupuesto, que los nuevos sistemas una vez implementados
trabajen adecuadamente y que los cambios no afecten las operaciones actuales del negocio. Con el
fin de cumplir una estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o
adquiridas, como también implementadas e integradas en los procesos del negocio.
Proporciona soluciones y las desarrolla para convertirlas en servicios.

BAI01. Gestión de Programas y Proyectos: Gestionar todos los programas y proyectos del
portafolio de inversiones de forma coordinada y en línea con la estrategia corporativa. Iniciar,
planificar, controlar y ejecutar programas y proyectos y cerrarlos con una revisión post-
implementación.

BAI02. Gestionar la Definición de Requisitos: Identificar soluciones y analizar requerimientos

antes de la adquisición o creación para asegurar que estén en línea con los requerimientos
estratégicos de la organización y que cubren los procesos de negocios, aplicaciones,
información/datos, infraestructura y servicios.

BAI03. Gestionar la Identificación y Construcción de Soluciones: Establecer y mantener

soluciones identificadas en línea con los requerimientos de la empresa que abarcan el diseño,
desarrollo, compras/contratación y asociación con proveedores/fabricantes. Gestionar la
configuración, preparación de pruebas, realización de pruebas, gestión de requerimientos y
mantenimiento de procesos de negocio, aplicaciones, datos/información, infraestructura y servicios.

BAI04. Gestionar la Disponibilidad y la Capacidad: Equilibrar las necesidades actuales y futuras

de disponibilidad, rendimiento y capacidad con una provisión de servicio efectiva en costes. Incluye
la evaluación de las capacidades actuales, la previsión de necesidades futuras basadas en los
requerimientos del negocio.

BAI05. Gestionar la Facilitación del Cambio Organizativo: Maximizar la probabilidad de la

implementación exitosa en toda la empresa del cambio organizativo de forma rápida y con riesgo

17
reducido, cubriendo el ciclo de vida completo del cambio y todos las partes interesadas del negocio
y de TI.

BAI06. Gestionar los Cambios: Gestiona todos los cambios de una forma controlada, incluyendo
cambios estándar y de mantenimiento de emergencia en relación con los procesos de negocio,
aplicaciones e infraestructura. Esto incluye normas y procedimientos de cambio, análisis de
impacto, priorización y autorización, cambios de emergencia, seguimiento, reporte, cierre y
documentación.

BAI07. Gestionar la Aceptación del Cambio y la Transición: Aceptar formalmente y hacer

operativas las nuevas soluciones, incluyendo la planificación de la implementación, la conversión de
los datos y los sistemas, las pruebas de aceptación, la comunicación, la preparación del
lanzamiento, el paso a producción de procesos de negocio o servicios TI nuevos o modificados, el
soporte temprano en producción y una revisión post-implementación.

BAI08. Gestionar el Conocimiento: Mantener la disponibilidad de conocimiento relevante, actual,

validado y fiable para dar soporte a todas las actividades de los procesos y facilitar la toma de
decisiones. Planificar la identificación, recopilación, organización, mantenimiento, uso y retirada de
conocimiento.

BAI09. Gestionar los Activos: Gestionar los activos de TI a través de su ciclo de vida para
asegurar que su uso aporta valor a un coste óptimo, que se mantendrán en funcionamiento, que
están justificados y protegidos físicamente, y que los activos que son fundamentales para apoyar la
capacidad del servicio son fiables y están disponibles. Administrar las licencias de software para
asegurar que se adquiere el número óptimo, se mantienen y despliegan en relación con el uso
necesario para le negocio y que el software instalado cumple con los acuerdos de licencia.

BAI10. Gestionar la Configuración: Definir y mantener las definiciones y relaciones entre los
principales recursos y capacidades necesarios para la prestación de los servicios proporcionados
por TI, incluyendo la recopilación de información de configuración, el establecimiento de líneas de
referencia, la verificación y auditoría de la información de configuración y la actualización del
repositorio de configuración.

18
ENTREGAR, DAR SERVICIO Y SOPORTE: Involucra la entrega en sí de los servicios requeridos,
incluyendo la prestación del servicio, la administración de la seguridad y de la continuidad, el
soporte a los usuarios del servicio, la administración de los datos y de las instalaciones operativas.

DSS01. Gestionar Operaciones: Coordinar y ejecutar las actividades y los procedimientos

operativos requeridos para entregar servicios de TI tanto internos como externalizados, incluyendo
la ejecución de procedimientos operativos estándar predefinidos y las actividades de monitorización
requeridas.

DSS02. Gestionar Peticiones e Incidentes de Servicio: Proveer una respuesta oportuna y

efectiva a las peticiones de usuario y la resolución de todo tipo de incidentes. Recuperar el servicio
normal; registrar y completar las peticiones de usuario; y registrar, investigar, diagnosticar, escalar y
resolver incidentes.

DSS03. Gestionar Problemas: Identificar y clasificar problemas y sus causas raíz y proporcionar
resolución en tiempo para prevenir incidentes recurrentes. Proporcionar recomendaciones de
mejora.

DSS04. Gestionar la Continuidad: Establecer y mantener un plan para permitir al negocio y a TI

responder a incidentes e interrupciones de servicio para la operación continua de los procesos
críticos para el negocio y los servicios TI requeridos y mantener la disponibilidad de la información a
un nivel aceptable para la empresa.

DSS05. Gestionar Servicios de Seguridad: Proteger la información de la empresa para mantener

aceptable el nivel de riesgo de seguridad de la información de acuerdo con la política de seguridad.
Establecer y mantener los roles de seguridad y privilegios de acceso de la información y realizar la
supervisión de la seguridad.

DSS06. Gestionar Controles de Proceso de Negocio: Definir y mantener controles apropiados de

proceso de negocio para asegurar que la información relacionada y procesada dentro de la
organización o de forma externa satisface todos los requerimientos relevantes para el control de la
información.

19
SUPERVISAR, EVALUAR Y VALORAR: La totalidad de los procesos de TI deben de ser
evaluados regularmente en el tiempo, para conocer su calidad y cumplimiento de los requerimientos
de control. Este dominio incluye la administración del desempeño, el monitoreo del control interno,
el cumplimiento regulatorio y la aplicación del gobierno.
Con esto se obtendrá de manera oportuna la detección de problemas por medio de la medición del
desempeño, se garantiza que los controles internos sean efectivos y eficientes, la vinculación del
desempeño de TI con las metas del negocio así como la medición y reporte de riesgos, además del
control, cumplimiento y desempeño.

MEA01. Supervisar, Evaluar y Valorar el Rendimiento y la Conformidad: Recolectar, validar y

evaluar métricas y objetivos de negocio, de TI y de procesos. Supervisar que los procesos se están
realizando acorde al rendimiento acordado y conforme a los objetivos y métricas y se proporcionan
informes de forma sistemática y planificada.

MEA02. Supervisar, Evaluar y Valorar el Sistema de Control Interno: Facilitar a la Dirección la

identificación de deficiencias e ineficiencias en el control y el inicio de acciones de mejora.
Planificar, organizar y mantener normas para la evaluación del control interno y las actividades de
aseguramiento.

MEA03. Supervisar, Evaluar y Valorar la Conformidad con los Requerimientos

Externos: Evaluar el cumplimiento de requisitos regulatorios y contractuales tanto en los procesos
de TI como en los procesos de negocio dependientes de las tecnologías de la información. Obtener
garantías de que se han identificado, se cumple con los requisitos y se ha integrado el cumplimiento
de TI en el cumplimiento de la empresa general.

20
CASO PRÁCTICO

Auditoria informática a la cooperativa maná de producción agrícola limitada a cargo de ACA

Consulta Auditores Informáticos socios:

Lic. Arcenio Falk

Lic. Conny Godefroid Lic. Andrés Laupichler Lic. Néstor Garay Farías

Señores:
Cooperativa Maná de Producción Agrícola Limitada Fralk

De nuestra consideración

Nos es grato someter a vuestra consideración nuestra propuesta para la prestación de los servicios
profesionales de auditoria informática, correspondiente al 1er semestre del año en curso.
Nuestra empresa tiene un particular interés en poder servir a la Cooperativa Maná de Producción
Agrícola Limitada y habrá́ de comprometer sus mejores recursos humanos y técnicos para hacerlo.

Sabemos que brindar servicios profesionales de alta calidad, requiere conocimiento, experiencia,
creatividad y por sobre todo, espíritu de trabajo y dedicación. Una característica de nuestra
modalidad de servicio es nuestro contacto personal con el cliente, en especial de nuestros socios y
gerentes, de modo tal de estudiar las cuestiones a medida que surjan, tratando en lo posible de
anticiparnos a los problemas.

A. Descripción de los servicios a ser prestados: Asesorar a la Dirección para mejorar el Control
Interno y el resguardo de los Activos. Asesorar sobre las nuevas normas legales. Emitir informes
sobre los trabajos realizados y los cambios propuestos. Mantener reuniones con la Dirección y la
Gerencia.

B. Equipo de trabajo: El equipo de trabajo estará́ dirigido por un Socio de la Firma, quien será́ el
responsable de asegurar que reciban un servicio de la mas alta calidad. El trabajo de campo será́
ejecutado por personal capacitado y experimentado en el área informático.

C. Plazos e informes: Los informes serán entregados en un plazo no máximo de 2 semanas, una
vez previamente con el personal afectado y con la alta Gerencia.

D. Presupuesto de honorarios: Teniendo en cuenta nuestra experiencia y trayectoria, proponemos

un honorario total ( Seis mil ) dólares americanos, pagaderos en seis cuotas mensuales, iguales y
consecutivas de 1.000 dólares cada una a partir de julio de 2.002. discutido de 6.000

Confiamos haber planteado en nuestra propuesta un enfoque y un alcance del trabajo que se
adecua a vuestras necesidades y responde a nuestra filosofía de servicios profesionales de alto
valor agregado.

Quedamos a vuestra disposición para efectuar las aclaraciones o ampliaciones que Uds. consideren
necesarias.

Sin otro particular, los saludamos muy atentamente ACA Consulta Auditores Informáticos
Arcenio Falk

21
2. PROPUESTA TÉCNICA

2.1 Diagnostico de la situación actual

Presentación de la empresa: Cooperativa mana de producción agrícola ROL BASICO, Se dedica

principalmente a la producción, comercialización y exportación de agrícolas. NATURALEZA.

Producción y comercialización. UBICACIÓN

Productos: La Casa Matriz se encuentra ubicada a 2 Km del centro de la ciudad de Fran, sobre la
ruta Graneros del Sur que une la localidad de La Paz con Fran pueblo.
Cuenta con 5 sucursales que se encuentran ubicados en áreas estratégicas, tanto para la
producción y comercialización como para su exportación a los países vecinos.

Sucursal N° 1 en Asunción Sucursal N° 2 en Ciudad del Este Sucursal N° 3 en Marina Auxiliadora

Sucursal N° 4 en Encarnación Sucursal N° 5 en Hohenau

ORGANIGRAMA DE LA EMPRESA

Asamblea General de Socios Consejo de Administración: Junta Electoral, Junta de Vigilancia

Gerencia General: Administración Comercialización Producción Informática Contabilidad

ORGANIGRAMA DEL ÁREA INFORMÁTICA Gerencia de Informática: Análisis y Programación

Operadores, Desarrollo.

2.2 PROGRAMA DE AUDITORIA

PROGRAMA DE AUDITORIA
EMPRESA: Cooperativa Maná de Producción Agrícola Limitada FECHA HOJA Nº
Fase ACTIVIDADES Hs estimadas Encargados
I VISITA PRELIMINAR 8 Hs
/Solicitud de Manuales y Documentaciones. /Elaboración de los
cuestionarios. /Recopilación de la información organizacional: estructura
orgánica, recursos humanos, presupuestos
II Desarrollo de la Auditoría 32 Hs
III /Aplicación del cuestionario al personal.
/Entrevistas a lideres y usuarios mas relevantes de la dirección. /Análisis
de las claves de acceso, control, seguridad, confiabilidad y respaldos.
/Evaluación de la estructura orgánica: departamentos, puestos, funciones,
autoridad y responsabilidades. /Evaluación de los Recursos Humanos y de
la situación Presupuestal y Financiera: desempeño, capacitación,
condiciones de trabajo, recursos en materiales y financieros mobiliario y
equipos. /Evaluación de los sistemas: relevamiento de Hardware y
Software, evaluación del diseño lógico y del desarrollo del sistema.
/Evaluación del Proceso de Datos y de los Equipos de Cómputos:
seguridad de los datos, control de operación, seguridad física y
procedimientos de respaldo.
IV REVISION Y PREINFORME 16 Hs
/Revisión de los papeles de trabajo. /Determinación del Diagnostico e
Implicancias. /Elaboración de la Carta de Gerencia. /Elaboración del
Borrador.
V INFORME: /Elaboración y presentación del Informe. 4 Hs

22
2.3 INFORME FINAL DE LA AUDITORIA
Señores: Cooperativa Maná de Producción Agrícola Limitada Atte. Sr. Gerente Luis A. Pena
De nuestra consideración:
Encarnación, 26 de Julio de 2.002
Tenemos el agrado de dirigirnos a Ud. a efectos de elevar a vuestra consideración el alcance del
trabajo de Auditoria del Área de Informática practicada los días 10 al 14 del corriente, sobre la base
del análisis y procedimientos detallados de todas las informaciones recopiladas y emitidos en el
presente informe, que a nuestro criterio es razonable. Síntesis de la revisión realizada, clasificado
en las siguientes secciones:
A. Organización y Administración del Área
B. Seguridad física y lógica
C. Desarrollo y mantenimiento de los sistemas de aplicaciones. El Contenido del informe ha sido
dividido de la siguiente forma a efectos de facilitar su análisis:
a. Observaciones: Describe brevemente las debilidades resultantes de nuestro análisis.
b. Efectos y/o implicancias probables: Enuncian los posibles riesgos a que se encuentran expuestos
las operaciones realizadas por la Cooperativa.
c. Índice de importancia establecida: Indica con una calificación del 0 al 3 el grado critico del
problema y la oportunidad en que se deben tomar las acciones correctivas del caso.
0 = Alto (acciones correctivas inmediatas) 1 = Alto ( acciones preventivas inmediatas) 2 = Medio (
acciones diferidas correctivas) 3 = Bajo ( acciones diferidas preventivas)
d. Sugerencias: Indicamos a la Gerencia la adopción de las medidas correctivas tendientes a
subsanar las debilidades comentadas.

Según el análisis realizado hemos encontrado falencias en que no existe un Comité́ y plan
informático; falta de organización y administración del área; falencias en la seguridad física y lógica;
no existe auditoria de sistemas; falta de respaldo a las operaciones; accesos de los usuarios; plan
de contingencias; y entorno de desarrollo y mantenimiento de las aplicaciones.

El detalle de las deficiencias encontradas, como así́ también las sugerencias de solución se
encuentran especificadas en el Anexo adjunto. La aprobación y puesta en practica de estas
sugerencias ayudaran a la empresa a brindar un servicio más eficiente a todos sus clientes.
Agradecemos la colaboración prestada durante nuestra visita por todo el personal de la Cooperativa
y quedamos a vuestra disposición para cualquier aclaración y/o ampliación de la presente que
estime necesaria. Atentamente. Arsenio Folk

23
2.4 DOCUMENTOS DE TRABAJO
2.4.1. Organización y administración del área
1. Comité́ y Plan Informático
a. Observaciones:
 No existe un Comité́ de Informática o al menos no se encuentra formalmente establecido.
 No existe ninguna metodología de planificación, concepción y/o seguimiento de proyectos.
b. Efectos y/o implicancias probables
 Posibilidad de que las soluciones que se implementen para resolver problemas operativos
sean parciales, tanto en Hardware como en Software.
 Falta de conocimiento sobre las inversiones necesarias, ante nuevas exigencias o
prestaciones que se deban implementar para atender la operatoria de la Cooperativa.
c. Índice de importancia establecida.
d. Sugerencias
 Establecer un Comité́ de Informática integrado por representantes de las áreas funcionales
claves ( Gerencia Administrativa, responsables de las Áreas Operativas, responsables de
Informática y el responsable Contable).
 Reunirse por lo menos una vez al mes.
 Trazar los lineamientos de dirección del Área de Informática.
 Implementar normas y/o procedimientos que aseguren la eficaz administración de los
recursos informáticos, y permitan el crecimiento coherente del área conforme a la
implementación de las soluciones que se desarrollen y/o se requieran de terceros.
2. Organización y Administración del Área
a. Observaciones:
 El área adolece de una estructura organizacional.
 Existe una exigua cantidad de funcionarios capacitados, afectados al área de sistemas, con lo
cual se evidencia heterogeneidad de tareas desarrolladas con una misma persona.
 Ausencia de manual de funciones para cada puesto de trabajo dentro del área.
b. Efectos y/o implicancias probables
 La escasez de personal debidamente capacitado, aumenta el nivel de riesgo de errores al
disminuir la posibilidad de los controles internos en el procesamiento de la información; y
limita la cantidad de soluciones que pueden implementarse en tiempo y forma oportuna a los
efectos de satisfacer los requerimientos de las áreas funcionales.
c. Índice de importancia establecida.

24
d. Sugerencias
 Establecer una estructura organizacional del área de la siguiente manera: :Gerencia del Área
Informática: Jefe del Área: Desarrollo y mantenimiento de aplicaciones: Soporte técnico.
Centro de atención a usuarios.
 Se establezca un manual de funciones para cada uno de los cargos funcionales en que se
sub-divida el área de cómputos.
2.4.2. Seguridad Física Y Lógica
1. Entorno General
a. Observaciones
 No existe una vigilancia estricta del Área de Informática por personal de seguridad dedicado a
este sector.
 No existe detectores, ni extintores automáticos.
 Existe material altamente inflamable.
 Carencia de un estudio de vulnerabilidad de la Cooperativa, frente a las riesgos físicos o no
físicos, incluyendo el riesgo Informático.
 No existe un puesto o cargo especifico para la función de seguridad Informática.
b. Efectos y/o implicancias probables
 Probable difusión de datos confidenciales.
 Alta facilidad para cambios involuntarios o intencionales de datos, debido a la falta de
controles internos.
 Debido a la debilidad del servicio de mantenimiento del equipo central, la continuidad de las
actividades informáticas podrían verse seriamente afectadas ante eventuales roturas y/o
desperfectos de los sistemas.
c. Índice de importancia establecida.....0 ( cero )
d. Sugerencias: A los efectos de minimizar los riesgos descriptos, se sugiere:
 Establecer guardia de seguridad, durante horarios no habilitados para el ingreso al Área de
Informática.
 Colocar detectores y extintores de incendios automáticos en los lugares necesarios. Remover
del Centro de Cómputos los materiales inflamables.
 Determinar orgánicamente la función de seguridad.
 Realizar periódicamente un estudio de vulnerabilidad, documentando efectivamente el
mismo, a los efectos de implementar las acciones correctivas sobre los puntos débiles que se
detecten.

25
2. Auditoria de Sistema
a. Observaciones
 Hemos observado que la Cooperativa no cuenta con auditoria Informática , ni con políticas
formales que establezcan responsables, frecuencias y metodología a seguir para efectuar
revisiones de los archivos de auditoria.
 Cabe destacar que el sistema integrado posee un archivo que pudiera servir de auditoria
Informática, el cual no es habilitado por falta de espacio en el disco duro.
b. Efectos y/o implicancias probables
 Posibilidad de que adulteraciones voluntarias o involuntarias sean realizadas a los elementos
componentes del procesamiento de datos (programas, archivos de datos, definiciones de
seguridad de acceso, etc ) o bien accesos a datos confidenciales por personas no
autorizadas que no sean detectadas oportunamente.
c. Índice de importancia establecida.....0 ( cero )
d. Sugerencias
 Establecer normas y procedimientos en los que se fijen responsables, periodicidad y
metodología de control de todos los archivos de auditoria que pudieran existir como
asimismo, de todos los elementos componentes de los sistemas de aplicación.
3. Operaciones de Respaldo
a. Observaciones
 Existe una rutina de trabajo de tomar una copia de respaldo de datos en Diskette, que se
encuentra en el recinto del centro de cómputos, en poder del auxiliar de informática.
 Si bien existen la copia de seguridad, no se poseen normas y/o procedimientos que exijan la
prueba sistemática de las mismas a efectos de establecer los mínimos niveles de
confiabilidad.
b. Efectos y/o implicancias probables
 La Cooperativa está expuesta a la perdida de información por no poseer un chequeo
sistemático periódico de los back-up's, y que los mismas se exponen a riesgo por encontrarse
en poder del auxiliar de informática.
c. Índice de importancia establecida.....0 ( cero )
d. Sugerencias: Minimizar los efectos, será́ posible a través de:
 Desarrollar normas y procedimientos generales que permitan la toma de respaldo necesarios,
utilitario a utilizar.
 Realizar 3 copias de respaldos de datos en Zip de las cuales, una se encuentre en el recinto

26
 del área de informática, otra en la sucursal más cercana y la ultima en poder del Jefe de área.
 Implementar pruebas sistemáticas semanales de las copias y distribución de las mismas.
4. Acceso a usuarios
a. Situación. De acuerdo a lo relevado hemos constatado que:
 Existen niveles de acceso permitidos, los cuales son establecidos conforme a la función que
cumple cada uno de los usuarios.
 Los usuarios definidos al rotar o retirarse del local no son borrados de los perfiles de acceso.
 Las terminales en uso y dado un cierto tipo de inactividad no salen del sistema.
 El sistema informático no solicita al usuario, el cambio del Password en forma mensual.
b. Efectos y/o implicancia probables
 Existe la imposibilidad de establecer responsabilidades dado que esta se encuentra dividida
entre el área de sistema y los usuarios finales.
 La falta de seguridad en la utilización de los Password, podrían ocasionar fraudes por
terceros.
c. Índice de importancia establecida.....2 ( dos )
d. Sugerencia
 Implementar algún software de seguridad y auditoria existente en el mercado o desarrollar
uno propio.
 Establecer una metodología que permita ejercer un control efectivo sobre el uso o
modificación de los programas o archivos por el personal autorizado.
5. Plan de Contingencias
a. Observación
 Ausencia de un Plan de Contingencia debidamente formalizado en el Área de Informática.
 No existen normas y procedimientos que indiquen las tareas manuales e informáticas que
son necesarias para realizar y recuperar la capacidad de procesamiento ante una eventual
contingencia (desperfectos de equipos, incendios, cortes de energía), y que determinen los
niveles de participación y responsabilidades del área de sistemas y de los usuarios.
 No existen acuerdos formalizados de Centro de Cómputos paralelos con otras empresas o
proveedores que permitan la restauración inmediata de los servicios informáticos de la
Cooperativa en tiempo oportuno, en caso de contingencia.
b. Efectos y/o implicancia probable
 Perdida de información vital.
 Perdida de la capacidad de procesamiento.

27
c. Índice de Importancia relativa.....1 ( uno )
d. Sugerencias
 Establecer un plan de contingencia escrito, en donde se establezcan los procedimientos
manuales e informáticos para restablecer la operatoria normal de la Cooperativa y establecer
los responsables de cada sistema.
 Efectuar pruebas simuladas en forma periódica, a efectos de monitorear el desempeño de los
funcionarios responsables ante eventuales desastres.
 Establecer convenios bilaterales con empresas o proveedores a los efectos de asegurar
los equipos necesarios para sustentar la continuidad del procesamiento.
2.4.3. Desarrollo y mantenimiento de los sistemas de aplicaciones
1. Entorno de Desarrollo y mantenimiento de las aplicaciones
a. Situación
 No existe documentaciones técnicas del sistema integrado de la Cooperativa y tampoco no
existe un control o registro formal de las modificaciones efectuadas.
 No se cuenta con un Software que permita la seguridad de las librerías de los programas y la
restricción y/o control del acceso de los mismos.
 Las modificaciones a los programas son solicitadas generalmente sin notas internas, en
donde se describen los cambios o modificaciones que se requieren.
b. Efectos y/o implicancias probables
 La escasa documentación técnica de cada sistema dificulta la compresión de las normas,
demandando tiempos considerables para su mantenimiento e imposibilitando la capacitación
del personal nuevo en el área.
 Se incrementa aun más la posibilidad de producir modificaciones erróneas y/o no autorizadas
a los programas o archivos y que las mismas no sean detectadas en forma oportuna.
c. Índice de importancia establecida.....1 ( uno )
d. Sugerencias. Para reducir el impacto sobre los resultados de los efectos y consecuencias
probables sugerimos:
 Elaborar toda la documentación técnica correspondiente a los sistemas implementados y
establecer normas y procedimientos para los desarrollos y su actualización.
 Evaluar e implementar un software que permita mantener el resguardo de acceso de los
archivos de programas y aun de los programadores.
 Implementar y conservar todas las documentaciones de prueba de los sistemas, como así́
también las modificaciones y aprobaciones de programas realizadas por los usuarios

28
2 Área de Contabilidad
a. Situación
 No existe una validación de la cuenta a donde debería acreditarse el monto del aporte social.
 La contabilización de cada operación se hace en forma manual, tanto en la parte de
recepción de productos, como en los productos en procesos.
b. Efectos y/o implicancias probables
La Cooperativa se encuentra expuesto a serios riesgos, entre ellos:
 Posibilidad de que ocurran errores por la falta de conocimiento del tema contable en el área
operativa.
 Alto riesgo de que el usuario final pueda incurrir en cambios no autorizados en los sistemas,
por cuanto que el usuario final tiene acceso irrestricto al mismo.
c. Índice de importancia establecida.....0 ( cero ) d. Sugerencias
 Implementar debidamente los controles internos necesarios para el adecuado manejo del
usuario final.
 Implementar la contabilización automática.
2.4.4. Relevamiento de Hardware
Equipamiento Central
La cooperativa cuenta actualmente con un Equipo Central Pentium IV con las siguientes
características: Procesador Intel Pentium IV de 1.600 MHz, Memoria: RAM 128 MB,
Almacenamiento: 35 GB de 10 K RPM, Conexión: Ethernet 10/100. Es un equipamiento ideal para
las funciones que cumple y su configuración es aceptable. Tiene posibilidades de crecimiento y el
fabricante cuenta con repuestos y mantenimientos que garantizan la buena utilización del mismo.
Equipamiento Periférico
La cooperativa cuenta en su casa central con 30 PC ́s de las cuales el 50%(cincuenta por ciento)
aproximadamente son Pentium III de 550Mhs con 64 MB de memoria y discos de 5 GB. El resto son
de menor porte, pero el parque de computadoras personales es suficientemente apto para los
requerimientos actuales.
Las impresoras: de sistema (conectadas al equipo central) son de marca Epson 1170 y Epson 1200.
Además cuentan con equipos de HP 560 de chorro de tintas conectadas a algunos equipos.
Equipamiento en Sucursales. Las sucursales cuentan con PC ́s AMD – Athlon de 750 MHz, 64 de
memoria y discos de 5 GB. Equipamiento holgadamente apto para las funciones que cumple.
Las sucursales tienen una impresora matricial del sistema y algunos usuarios cuentan con
impresoras a chorro de tinta.

29
2.4.5. Relevamiento De Software
Software de Base: El sistema operativo con el que cuenta la Pentium IV es el de Windows Server
2000 que posee una importante estructura de seguridad. Con sistema de red Windows 2000 con
licencia para 50 usuarios. Base de datos Tango Gestión, Software de aplicación, Sistema de
Contabilidad, Control de Materias Primas, Control Presupuestarios, Libro IVA (Compras – Ventas),
Sueldos y Jornales, todos bajo sistema Tango Gestión 5.2
2.4.6. Comunicaciones
En casa central existe una red local (Ethernet) conectada al equipo central (Pentium IV) y en la
sucursales cuentan con Reuters de marca IBM modelo 7.000 para conectarse a la casa central. Las
transmisiones son con líneas de Antelco.
Cableado: El cableado es estructurado y con cables del tipo UTP categoría S, tanto en sucursales
como en casa matriz. En General no presenta problemas de cableado.

30
RECOMENDACIONES

La implementación del modelo de sistema de memoria organizacional planteado en este trabajo,

con el objetivo de mejorar la calidad de servicio de un departamento de tecnología es importante
tener en cuenta, para una mejor organización y planeamiento:

Mejorar el acceso y utilización de las interfaces para la creación, gestión y utilización del
conocimiento, utilizando nuevas tecnologías desarrolladas, ya que además de lograr una reducción
significativa en el tiempo de utilización y lograr una automatización más transparente acerca de los
procesos de actualización de información como bitácoras y procedimiento, serán de gran utilidad
para reducir aun más el tiempo de solución a los problemas presentados y aumentando la calidad
en el servicio.

Adecuar los procedimientos de gestión de información y atención a usuarios a un modelo de trabajo

basado en normas de calidad como ITIL y COBIT. Utilizar los resultados de las evaluaciones
periódicas de la calidad en el servicio como oportunidades de mejora, tanto para los procesos de
servicio de la organización, como para los procesos de utilización del sistema de memoria
organizacional.

Utilización de sistemas basados en técnicas del análisis y de datos y ontologías para lograr un
mejor manejo de la información almacenada, diferenciando con mayor precisión el conocimiento
que sí representa un activo para la organización y cual no. Establecer indicadores de evaluación del
sistema de memoria organizacional en su contexto tecnológico y organizacional más específicos y
definidos, para obtener datos más precisos acerca del funcionamiento del sistema.

Realizar un diseño de una interfaz personalizable para el técnico, con el fin de que se puedan
realizar adecuaciones dependiendo de los gustos personales de cada usuario. Implementar
asistentes de interfaz para que a través de ellos el técnico pueda ser asistido a la hora de crear
información mediante funciones de escritura por voz, correctores de idioma, entre otros.

Capacitar a las personas involucradas en la implementación del sistema, acerca de los aspectos
importantes para las evaluaciones del sistema, en el contexto tecnológico y que conozcan su
importancia en la implementación. Realizar reuniones con los técnicos del departamento para
conocer de primera mano cuales son los principales problemas con los que se enfrentan día a día al
solucionar alguna problemática.

31
CONCLUSIONES
Si bien COBIT es un marco general, su flexibilidad y versatilidad nos permite adaptarlo a cualquier
tipo y tamaño de empresa, realizando una implementación gradual y progresiva acorde a los
recursos disponibles y acompasando la estrategia empresarial.

Si bien aún no es requerido formalmente en forma regulatoria, es un estándar de facto en toda

Latinoamérica y es una fuerte recomendación en los ámbitos financieros. Es parte de la misión de
ISACA, la divulgación de COBIT y apoyo en la implementación como forma de promover la
eficiencia y buena gestión de los procesos de tecnología que nos permita compararnos y mejorar
día a día en pos de la concreción de los Objetivos de Negocio.

En el futuro, continuaremos viendo el crecimiento de COBIT en sus facetas de administración y

dirección de los recursos de tecnología. Aparecerán nuevas herramientas de la familia de productos
COBIT y nuevos recursos con los cuales mejorar la administración. Se continuará refinando el
producto en sí, mejorando la calidad de sus referencias cruzadas, su relacionamiento con otros
modelos, estándares y normas. Se procurará institucionalizar y mejorar la calidad de las versiones
en otras lenguas y, sin duda, continuará el esfuerzo fundamental del ITGI en la difusión del uso de
esta importante base de dirección.

En el marco de una sociedad como la actual, que destaca las competencias, la competitividad, la
velocidad, la eficiencia de los recursos y más recientemente la ética en el manejo de los recursos
públicos, aparecen la gobernanza y el buen gobierno como conceptos fundamentales para tratar de
armonizar el mundo cambiante de las organizaciones. Es así como la transición hacia una
economía dinámica, una sociedad y organizaciones de buen gobierno exigen e implican esfuerzos
para una nueva configuración, desde su reinvención, tratando de alinearse con las nuevas
demandas que surgen de los interesados que se ven cada vez más a sí mismos como participes de
una sociedad global.

La gobernabilidad puede ser abordada analíticamente describiendo las instituciones como

generadoras de patrones que rigen las actividades de los actores sociales, políticos y
administrativos, enfatizando los procesos para guiar, dirigir, controlar o gestionar sectores o facetas
de sociedades. Mientras que la gobernanza convencional se basa en recursos confiables, creencia
en el control de la información y poder. El gobierno de TI aborda las nuevas formas de gobernar a
través de la información y el cambio que se genera debido a nuevos flujos de información.

32
Este trabajo proporciona una visión holística del aprovechamiento de las tecnologías de la
información en las organizaciones y para la sociedad sobre la base de un modelo propio que integra
los elementos del estado del arte en gobierno de las tecnologías de información (GTI).

Se inicia con la concepción y exploración del estado del arte de la cuestión, se hace una
presentación de Cobit 5 y se procede a presentar un modelo ecléctico de GTI en el cual se busca
eliminar las complejidades de algunos de los marcos de referencia analizados y permitir un abordaje
ágil y completo para el ámbito empresarial sin perder la perspectiva global. El modelo está diseñado
para ser flexible, evolutivo y poder ser usado por diferentes tipos de organizaciones, en cuanto a
tamaño (grandes o pequeñas), tiempo de existencia (antigua o moderna), con ánimo y sin ánimo de
lucro.

Los papeles de trabajo constituyen la base fundamental para la toma de decisiones en la auditoria.
Los comentarios, observaciones y conclusiones que figuran en los papeles de trabajo apoyan los
principios, normas y procedimientos de auditoria generalmente aceptados. Amparan el alcance de la
revisión y la opinión del auditor.

Los propósitos de los papeles de trabajo es de servir de fuente entre los documentos y registros del
cliente y el informe del auditor; mediante ellos se puede medir el grado de confianza del control
interno y la eficacia de la política administrativa de la gerencia.

33
ANEXOS

34
BIBLIOGRAFIA

Ayogu, M. y Bayat F.; ICT governance: South Africa. Telecommunications Policy (34), 244-247
(2010) [ Links ]

Fernández, C. y Piattini, M.; Modelo para el gobierno de las TIC basado en las normas ISO. 1ª Ed,
AENOR., Madrid (2012) [ Links ]

Guevara, R. y García, B.; Gobierno de TI e ITIL: situación y variables críticas. Universidad Pontificia
Bolivariana, 69-75 (2013) [ Links ]

IT Governance Institute. COBIT 4.1. Rolling, Meadows. (2007) [ Links ]

Janssen, M. y Voort, H.; Adaptive governance: Towards a stable, accountable and responsive
government. Government Information Quarterly (33), 1-5 (2016) [ Links ]

Jiménez-Pitre, I. A, Martelo, Raúl J and Jaimes, José, D.C.,Escuela de Gobierno basada en TIC:
Determinante para la Accesibilidad e Integralidad del Empoderamiento Digital. Inf. tecnol, vol.28,
no.5, p.75-86 ( 2017). [ Links ]

Juiz, C., Gómez, M. y Barceló, I.; Business/IT Projects Alignment through the Project Portfolio
Approval Process as IT Governance Instrument. Procedia - Social and Behavioral Sciences(65), 70 -
75 (2012) [ Links ]

Kooper, M., Maes, R. y Lindgreen, R.; On the governance of information: Introducing a new concept
of governance to support the management of information. International Journal of Information
Management (31), 195-200 (2011) [ Links ]

Mejía, N. J.; Sobre la investigación cualitativa. Investigaciones sociales. 2a ed., McGraw Hill, Madrid
(2004). [ Links ]

Misuraca, G., Broster, D. y Centeno, C.; Digital Europe 2030: Designing scenarios for ICT in future
governance and policy making. Government Information Quarterly (29), S121-S131. (2012) [ Links ]

Morales, J.; Modelos de Gobierno TI para Instituciones de Educación Superior. Revista Politécnica,
36(3), 1-6 (2015) [ Links ]

35