Академический Документы
Профессиональный Документы
Культура Документы
Agradecimiento ...................................................................................................................................2
Dedicatoria ..........................................................................................................................................3
Introducción ........................................................................................................................................4
A nuestros padres, por su amor, trabajo y sacrificio, gracias a ellos hemos logrado
llegar hasta aquí́ y convertirnos en lo que somos. Ha sido el orgullo y el privilegio,
son los mejores padres.
A todas las personas que nos han apoyado y han hecho que el trabajo se realice con
éxito en especial a aquellos que nos abrieron las puertas y compartieron sus
conocimientos.
2
DEDICATORIA
A mis padres, por estar conmigo, por enseñarme a crecer y a que si caigo
debo levantarme, por apoyarme y guiarme, por ser las bases que me ayudaron
a llegar hasta aquí.
3
Introducción
Este trabajo aporta una visión holística del aprovechamiento de las tecnologías de la información en
las organizaciones y para la sociedad, sobre la base de un modelo que integra los elementos del
estado del arte en gobierno de TI. La metodología está basada en el estudio del estado del arte de
la cuestión. De acuerdo con ella, se hace un planteamiento del gobierno de tecnologías de
información, se efectúa una presentación del modelo de gobierno de tecnologías de información y,
finalmente, se exponen las conclusiones.
En este sentido, es una realidad la transformación de cómo las personas utilizan sus propios
dispositivos y tecnologías en las empresas a través de tendencias, como Byod (bring your own
device-traiga su propio dispositivo) o en un sentido más amplio Byot (bring your own technology-
traiga su propia tecnología), lo cual significa que los empleados pueden utilizar sus propios
dispositivos/tecnologías en la oficina y continuar con las tareas laborales fuera de ella, desde
cualquier lugar y en cualquier momento.
Las empresas innovadoras deben tomar ventaja de estos nuevos recursos y reinventarse en sus
mercados. Aquellas que no tomen ventaja de esta revolución se pueden quedar rápidamente
desactualizadas y tal vez fuera del negocio. Los informes publicados por los más reputados
consultores de TI, tales como IDC, y Gartner o Forrester avalan las teorías anteriores,
pronosticando cifras de ingresos para negocios relativos a la nube que van desde los 42.000
millones de dólares para 2012.
4
I. GOBIERNO DE TECNOLOGÍAS DE INFORMACIÓN
El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de
información y tecnología, orientado a todos los sectores de una organización, es decir,
administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. El COBIT es
un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que
abarca controles específicos de IT desde una perspectiva de negocios.
Las siglas COBIT significan Objetivos de Control para Tecnología de Información y Tecnologías
relacionadas (Control Objectives for Information Systems and related Technology). El modelo es el
resultado de una investigación con expertos de varios países, desarrollado por ISACA (Information
Systems Audit and Control Association).
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que
trabajan los profesionales de tecnología. Vinculando tecnología informática y prácticas de control, el
modelo COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso
crítico para la gerencia, los profesionales de control y los auditores.
COBIT se aplica a los sistemas de información de toda la empresa, incluyendo los computadores
personales y las redes. Está basado en la filosofía de que los recursos TI necesitan ser
administrados por un conjunto de procesos naturalmente agrupados para proveer la información
pertinente y confiable que requiere una organización para lograr sus objetivos.
BENEFICIOS COBIT
• Mejor alineación basado en una focalización sobre el negocio.
• Visión comprensible de TI para su administración.
• Clara definición de propiedad y responsabilidades.
• Aceptabilidad general con terceros y entes reguladores.
• Entendimiento compartido entre todos los interesados basados en un lenguaje común.
• Cumplimiento global de los requerimientos de TI planteados en el Marco de Control Interno.
5
ESTRUCTURA
La estructura del modelo COBIT propone un marco de acción donde se evalúan los criterios de
información, como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la
tecnología de información, como por ejemplo el recurso humano, instalaciones, sistemas, entre
otros, y finalmente se realiza una evaluación sobre los procesos involucrados en la organización.
"La adecuada implementación de un modelo COBIT en una organización, provee una herramienta
automatizada, para evaluar de manera ágil y consistente el cumplimiento de los objetivos de control
y controles detallados, que aseguran que los procesos y recursos de información y tecnología
contribuyen al logro de los objetivos del negocio en un mercado cada vez más exigente, complejo y
diversificado.
DOMINIOS COBIT
El conjunto de lineamientos y estándares internacionales conocidos como COBIT, define un marco
de referencia que clasifica los procesos de las unidades de tecnología de información de las
organizaciones en cuatro "dominios" principales, a saber:
• Adquisición e implantación: Para llevar a cabo la estrategia de TI, las soluciones de TI deben
ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro
del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento
realizados a sistemas existentes.
• Soporte y servicios: En este dominio se hace referencia a la entrega de los servicios requeridos,
que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por
seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse
los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por
sistemas de aplicación, frecuentemente clasificados como controles de aplicación.
6
• Monitoreo: Todos los procesos necesitan ser evaluados regularmente a través del tiempo para
verificar su calidad y suficiencia en cuanto a los requerimientos de control.
Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de
información, como de la tecnología que la respalda. Estos dominios y objetivos de control
facilitan que la generación y procesamiento de la información cumplan con las
características de efectividad, eficiencia, confidencialidad, integridad, disponibilidad,
cumplimiento y confiabilidad.
USUARIOS
• La Gerencia: Para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las
mismas, analizar el costo beneficio del control.
• Los Usuarios Finales: Quienes obtienen una garantía sobre la seguridad y el control de los
productos que adquieren interna y externamente.
• Los Auditores: Para soportar sus opiniones sobre los controles de los proyectos de TI, su
impacto en la organización y determinar el control mínimo requerido.
• Los Responsables de TI: Para identificar los controles que requieren en sus áreas.
También puede ser utilizado dentro de las empresas por el responsable de un proceso de
negocio en su responsabilidad de controlar los aspectos de información del proceso, y por todos
aquellos con responsabilidades en el campo de la TI en las empresas.
CARACTERÍSTICAS
• Orientado al negocio.
• Alineado con estándares y regulaciones "de facto".
• Basado en una revisión crítica y analítica de las tareas y actividades en TI.
• Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA).
NIVELES COBIT
Se divide en 3 niveles, los cuales son los siguientes:
7
COMPONENTES COBIT
• Resumen Ejecutivo: Es un documento dirigido a la alta gerencia presentando los antecedentes
y la estructura básica de COBIT Además, describe de manera general los procesos, los
recursos y los criterios de información, los cuales conforman la "Columna Vertebral" de COBIT.
PLANEAR Y ORGANIZAR
PO1 Definir el plan estratégico de TI.
PO2 Definir la arquitectura de la información
PO3 Determinar la dirección tecnológica.
PO4 Definir procesos, organización y relaciones de TI.
PO5 Administrar la inversión en TI.
PO6 Comunicar las aspiraciones y la dirección de la gerencia.
PO7 Administrar recursos humanos de TI.
PO8 Administrar calidad.
PO9 Evaluar y administrar riesgos de TI
PO10 Administrar proyectos.
PO11Administración de Calidad
ADQUIRIR E IMPLANTAR
AI1 Identificar soluciones automatizadas.
AI2 Adquirir y mantener el software aplicativo.
AI3 Adquirir y mantener la infraestructura tecnológica
AI4 Facilitar la operación y el uso.
AI5 Adquirir recursos de TI.
AI6 Administrar cambios.
8
MONITOREAR Y EVALUAR
ME1 Monitorear y evaluar el desempeño de TI.
ME2 Monitorear y evaluar el control interno
ME3 Garantizar cumplimiento regulatorio.
ME4 Proporcionar gobierno de TI.
PRESTACIÓN Y SOPORTE
DS1 Definir y administrar niveles de servicio.
DS2 Administrar servicios de terceros.
DS3 Administrar desempeño y capacidad.
DS4 Garantizar la continuidad del servicio.
DS5 Garantizar la seguridad de los sistemas.
DS6 Identificar y asignar costos.
DS7 Educar y entrenar a los usuarios.
DS8 Administrar la mesa de servicio y los incidentes.
DS9 Administrar la configuración.
DS10 Administrar los problemas.
DS11 Administrar los datos.
DS12 Administrar el ambiente físico.
DS13 Administrar las operaciones.
Sin intención de ser exhaustivo, sólo mencionaré las que desde hace tiempo lo vienen haciendo:
Gobierno de la Provincia de Mendoza; Superintendencia de Administradoras de Fondos de
Jubilaciones y Pensiones; Superintendencia de Entidades Financieras y Cambiarias; la Reserva
Federal de los Estados Unidos de América; Daimler-Chrysler en Alemania y los EE.UU., entre otras.
9
información y su tecnología. Los principios, que forman la base del marco de referencia COBIT 5,
pueden beneficiar a cualquier empresa, sin importar su tamaño, ubicación o industria.
Entender estos principios ayudará a la compañía a utilizar COBIT de forma efectiva para hacer
mejores inversiones y tomar mejores decisiones relacionadas con TI, así como para generar más
valor a partir de su información y sus activos tecnológicos”, aseguró Robert Stroud, CGEIT, CRISC
y presidente internacional de ISACA. “COBIT es práctico y efectivo para todo tipo de empresas, lo
que ayuda a asegurar que todos estén avanzando hacia la misma dirección y hablando el mismo
idioma”.
Cubrir la empresa de extremo a extremo. Las compañías deben cambiar de visión, con el
objetivo de considerar el área de TI como un activo y no un costo. Los directivos deben tomar la
responsabilidad de gobernar y gestionar los activos relacionados con TI dentro de sus propias
funciones.
Aplicar un solo marco integrado. Usar un solo marco de gobierno integrado puede ayudar a las
organizaciones a brindar valor óptimo de sus activos y recursos de TI.
Separar al gobierno de la administración. Los procesos de gobierno aseguran que los objetivos
se alcancen mediante la evaluación de las necesidades de los interesados, el establecimiento de
la dirección a través de la priorización y la toma de decisiones; y el monitoreo del desempeño, el
cumplimiento y el progreso. De acuerdo con los resultados de las actividades de gobierno, la
administración de la empresa y de TI entonces debe planear, crear, realizar y monitorear las
actividades para asegurar el alineamiento con la dirección que se estableció.
10
II. PAPELES DE TRABAJO
Los papeles de trabajo son los documentos en que el Auditor registra los datos e informaciones
obtenidas a lo largo de su examen y los resultados obtenidos de las pruebas realizadas, las que le
servirán para poder elaborar su informe o dictamen final que deberá presentar a la empresa o
entidad.
Objetivos e Importancia
Tomándose en cuenta todo lo enunciado, los objetivos e importancia de los papeles de trabajo son:
1. Planes de auditoría,
2. Hoja de trabajo y asientos de ajuste,
3. Hojas detalle, confeccionadas para agrupar cuentas de una tema
4. Sumarios descriptivos, para los casos de auditoría financiera o certificación de estados
financieros
5. Declaraciones y confirmaciones, y
6. Actas y otros registros.
Cada papel de trabajo debe ser tan completo como sea posible, y no dejar dudas relativas al asunto
con el cual se relacionan.
11
Propiedad de los Papeles de Trabajo
Los papeles de trabajo son propiedad del Auditor, él los preparó y son la prueba material del trabajo
efectuado, pero, esta propiedad no es irrestricta ya que por contener datos que puedan
considerarse confidenciales, está obligado a mantener absoluta discreción respecto a la información
que contienen.
Es decir, los papeles de trabajo son del Auditor, pero queda obligado al secreto profesional que
estipula no revelar por ningún motivo los hechos, datos o circunstancias de que tenga conocimiento
en el ejercicio de su profesión (a menos que lo autorice él o los interesados) y salvo los informes
que obligatoriamente debe presentar a la Contraloría General de la República o en su caso al Poder
Judicial cuando es requerido por tales entidades.
Para diseñar las cédulas y su integración ordenada, es preciso considerar las necesidades de la
revisión en función de los objetivos planteados y de las probables conclusiones a que se pretenda
llegar, con objeto de que constituyan elementos prácticos para estructurar la información, su
proceso y los resultados de los procedimientos aplicados.
A continuación se describen las cualidades que debe reunir una cédula para cumplir su cometido:
a) Objetiva: es decir, la información debe ser imparcial y lo suficientemente amplia para que el
lector pueda formarse una opinión.
b) De fácil lectura: para lo cual su contenido se integrará de manera lógica, clara y sencilla.
d) Relacionar claramente: los cruces entre las distintas cédulas (sumarias, analíticas y
subanalíticas, de tal manera que los índices y marcas remitan al lector a otros datos con facilidad.
e) Ser pertinente: por lo cual sólo deberá contener la información necesaria para cumplir el
objetivo propuesto.
12
Contenido de los Papeles de Trabajo
Los papeles de trabajo deben contener los productos del sistema de información financiera sujeto a
examen, desglosados en su mínima unidad de análisis, las técnicas y procedimientos que el Auditor
aplicó, la extensión y oportunidad de las pruebas realizadas, los resultados de las técnicas y
procedimientos tales como confirmaciones de tipo interno o externo y las conclusiones que obtuvo
en cada una de las áreas examinadas.
13
III. PRACTICA: EVALUAR, ORIENTAR Y SUPERVISAR LOS PROCESOS DE GOBIERNO DE LA
IT
Asegura que los objetivos de la empresa sean logrados, evaluando las necesidades de los
interesados .
-EDM02. Asegurar la entrega de beneficios: Optimizar la contribución al valor del negocio desde
los procesos de negocios, los de servicios TI y activos de las TI resultado de la inversión hecha por
TI a unos costos aceptables.
-EDM03. Asegurar la optimización del riesgo: Asegurar que el apetito y la tolerancia al riesgo de
la empresa son entendidos, articulados y comunicados y que el riesgo para el valor de la empresa
relacionado con el uso de las TI es identificado y gestionado.
-EDM05. Asegurar la transparencia hacia las partes interesadas: Asegurar que la medición y la
elaboración de informes en cuanto a conformidad y desempeño de las TI de la empresa son
transparentes, con aprobación por las partes interesadas de las metas, las métricas y las acciones
correctivas necesarias.
DOMINIOS DE GESTIÓN.
Alinear, Planear y Organizar (APO): Este dominio cubre las estrategias y las tácticas, y tiene que
ver con identificar la manera en que TI puede contribuir mejor con los objetivos del negocio. Es
importante mencionar que la realización de la visión estratégica requiere ser planeada, comunicada
y administrada desde diferentes perspectivas; y finalmente, la implementación de una estructura
organizacional y tecnológica apropiada. Este dominio proporciona la dirección para la entrega de
soluciones y la entrega de servicios.
14
APO01. Gestionar el Marco de Gestión de TI: Aclarar y mantener el gobierno de la misión y la
visión corporativa de TI. Implementar y mantener mecanismos y autoridades para la gestión de la
información y el uso de TI en la empresa para apoyar los objetivos de gobierno en consonancia con
las políticas y los principios rectores.
APO02. Gestionar la Estrategia: Proporcionar una visión holística del negocio actual y del entorno
de TI, la dirección futura, y las iniciativas necesarias para migrar al entorno deseado. Aprovechar los
bloques y componentes de la estructura empresarial, incluyendo los servicios externalizados y las
capacidades relacionadas que permitan una respuesta ágil, confiable y eficiente a los objetivos
estratégicos.
APO04. Gestionar la Innovación: Analizar cuáles son las oportunidades para la innovación
empresarial o qué mejora puede crearse con las nuevas tecnologías, servicios o innovaciones
empresariales facilitadas por TI, así como a través de las tecnologías ya existentes y por la
innovación en procesos empresariales y de TI. Influir en la planificación estratégica y en las
decisiones de la arquitectura de empresa.
15
APO06 Gestionar el Presupuesto y los Costes: Gestionar las actividades financieras
relacionadas con las TI tanto en el negocio como en las funciones de TI, abarcando presupuesto,
coste y gestión del beneficio, y la priorización del gasto mediante el uso de prácticas
presupuestarias formales y un sistema justo y equitativo de reparto de costes a la empresa.
APO07. Gestionar los Recursos Humanos: Proporcionar un enfoque estructurado para garantizar
una óptima estructuración, ubicación, capacidades de decisión y habilidades de los recursos
humanos. Esto incluye la comunicación de las funciones y responsabilidades definidas, la formación
y planes de desarrollo personal y las expectativas de desempeño, con el apoyo de gente
competente y motivada.
AP008. Gestionar las relaciones: Gestionar las relaciones entre el negocio y TI de modo formal y
transparente, enfocándolas hacia el objetivo común de obtener resultados empresariales exitosos
apoyando los objetivos estratégicos y dentro de las restricciones del presupuesto y los riesgos
tolerables. Basar la relación en la confianza mutua, usando términos entendibles, lenguaje común y
voluntad de asumir la propiedad y responsabilidad en las decisiones claves.
AP009. Gestionar los acuerdos de servicio: Alinear los servicios basados en TI y los niveles de
servicio con las necesidades y expectativas de la empresa, incluyendo identificación, especificación,
diseño, publicación, acuerdo y supervisión de los servicios TI, niveles de servicio e indicadores de
rendimiento.
APO10. Gestionar los Proveedores: Administrar todos los servicios de TI prestados por todo tipo
de proveedores para satisfacer las necesidades del negocio, incluyendo la selección de los
proveedores, la gestión de las relaciones, la gestión de los contratos y la revisión y supervisión del
desempeño, para una eficacia y cumplimiento adecuados.
APO11. Gestionar la Calidad: Definir y comunicar los requisitos de calidad en todos los procesos,
procedimientos y resultados relacionados de la organización, incluyendo controles, vigilancia
constante y el uso de prácticas probadas y estándares de mejora continua y esfuerzos de
eficiencia.
APO12 Gestionar el Riesgo: Identificar, evaluar y reducir los riesgos relacionados con TI de forma
continua, dentro de niveles de tolerancia establecidos por la dirección ejecutiva de la empresa.
16
APO13. Gestionar la Seguridad: Definir, operar y supervisar un sistema para la gestión de la
seguridad de la información.
CONSTRUIR, ADQUIRIR E IMPLEMENTAR: La gerencia con este dominio pretende cubrir, que los
nuevos proyectos generen soluciones que satisfagan las necesidades del negocio, que sean
entregados en tiempo y dentro del presupuesto, que los nuevos sistemas una vez implementados
trabajen adecuadamente y que los cambios no afecten las operaciones actuales del negocio. Con el
fin de cumplir una estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o
adquiridas, como también implementadas e integradas en los procesos del negocio.
Proporciona soluciones y las desarrolla para convertirlas en servicios.
BAI01. Gestión de Programas y Proyectos: Gestionar todos los programas y proyectos del
portafolio de inversiones de forma coordinada y en línea con la estrategia corporativa. Iniciar,
planificar, controlar y ejecutar programas y proyectos y cerrarlos con una revisión post-
implementación.
17
reducido, cubriendo el ciclo de vida completo del cambio y todos las partes interesadas del negocio
y de TI.
BAI06. Gestionar los Cambios: Gestiona todos los cambios de una forma controlada, incluyendo
cambios estándar y de mantenimiento de emergencia en relación con los procesos de negocio,
aplicaciones e infraestructura. Esto incluye normas y procedimientos de cambio, análisis de
impacto, priorización y autorización, cambios de emergencia, seguimiento, reporte, cierre y
documentación.
BAI09. Gestionar los Activos: Gestionar los activos de TI a través de su ciclo de vida para
asegurar que su uso aporta valor a un coste óptimo, que se mantendrán en funcionamiento, que
están justificados y protegidos físicamente, y que los activos que son fundamentales para apoyar la
capacidad del servicio son fiables y están disponibles. Administrar las licencias de software para
asegurar que se adquiere el número óptimo, se mantienen y despliegan en relación con el uso
necesario para le negocio y que el software instalado cumple con los acuerdos de licencia.
BAI10. Gestionar la Configuración: Definir y mantener las definiciones y relaciones entre los
principales recursos y capacidades necesarios para la prestación de los servicios proporcionados
por TI, incluyendo la recopilación de información de configuración, el establecimiento de líneas de
referencia, la verificación y auditoría de la información de configuración y la actualización del
repositorio de configuración.
18
ENTREGAR, DAR SERVICIO Y SOPORTE: Involucra la entrega en sí de los servicios requeridos,
incluyendo la prestación del servicio, la administración de la seguridad y de la continuidad, el
soporte a los usuarios del servicio, la administración de los datos y de las instalaciones operativas.
DSS03. Gestionar Problemas: Identificar y clasificar problemas y sus causas raíz y proporcionar
resolución en tiempo para prevenir incidentes recurrentes. Proporcionar recomendaciones de
mejora.
19
SUPERVISAR, EVALUAR Y VALORAR: La totalidad de los procesos de TI deben de ser
evaluados regularmente en el tiempo, para conocer su calidad y cumplimiento de los requerimientos
de control. Este dominio incluye la administración del desempeño, el monitoreo del control interno,
el cumplimiento regulatorio y la aplicación del gobierno.
Con esto se obtendrá de manera oportuna la detección de problemas por medio de la medición del
desempeño, se garantiza que los controles internos sean efectivos y eficientes, la vinculación del
desempeño de TI con las metas del negocio así como la medición y reporte de riesgos, además del
control, cumplimiento y desempeño.
20
CASO PRÁCTICO
Lic. Conny Godefroid Lic. Andrés Laupichler Lic. Néstor Garay Farías
Señores:
Cooperativa Maná de Producción Agrícola Limitada Fralk
De nuestra consideración
Nos es grato someter a vuestra consideración nuestra propuesta para la prestación de los servicios
profesionales de auditoria informática, correspondiente al 1er semestre del año en curso.
Nuestra empresa tiene un particular interés en poder servir a la Cooperativa Maná de Producción
Agrícola Limitada y habrá́ de comprometer sus mejores recursos humanos y técnicos para hacerlo.
Sabemos que brindar servicios profesionales de alta calidad, requiere conocimiento, experiencia,
creatividad y por sobre todo, espíritu de trabajo y dedicación. Una característica de nuestra
modalidad de servicio es nuestro contacto personal con el cliente, en especial de nuestros socios y
gerentes, de modo tal de estudiar las cuestiones a medida que surjan, tratando en lo posible de
anticiparnos a los problemas.
A. Descripción de los servicios a ser prestados: Asesorar a la Dirección para mejorar el Control
Interno y el resguardo de los Activos. Asesorar sobre las nuevas normas legales. Emitir informes
sobre los trabajos realizados y los cambios propuestos. Mantener reuniones con la Dirección y la
Gerencia.
B. Equipo de trabajo: El equipo de trabajo estará́ dirigido por un Socio de la Firma, quien será́ el
responsable de asegurar que reciban un servicio de la mas alta calidad. El trabajo de campo será́
ejecutado por personal capacitado y experimentado en el área informático.
C. Plazos e informes: Los informes serán entregados en un plazo no máximo de 2 semanas, una
vez previamente con el personal afectado y con la alta Gerencia.
Confiamos haber planteado en nuestra propuesta un enfoque y un alcance del trabajo que se
adecua a vuestras necesidades y responde a nuestra filosofía de servicios profesionales de alto
valor agregado.
Quedamos a vuestra disposición para efectuar las aclaraciones o ampliaciones que Uds. consideren
necesarias.
Sin otro particular, los saludamos muy atentamente ACA Consulta Auditores Informáticos
Arcenio Falk
21
2. PROPUESTA TÉCNICA
Productos: La Casa Matriz se encuentra ubicada a 2 Km del centro de la ciudad de Fran, sobre la
ruta Graneros del Sur que une la localidad de La Paz con Fran pueblo.
Cuenta con 5 sucursales que se encuentran ubicados en áreas estratégicas, tanto para la
producción y comercialización como para su exportación a los países vecinos.
ORGANIGRAMA DE LA EMPRESA
PROGRAMA DE AUDITORIA
EMPRESA: Cooperativa Maná de Producción Agrícola Limitada FECHA HOJA Nº
Fase ACTIVIDADES Hs estimadas Encargados
I VISITA PRELIMINAR 8 Hs
/Solicitud de Manuales y Documentaciones. /Elaboración de los
cuestionarios. /Recopilación de la información organizacional: estructura
orgánica, recursos humanos, presupuestos
II Desarrollo de la Auditoría 32 Hs
III /Aplicación del cuestionario al personal.
/Entrevistas a lideres y usuarios mas relevantes de la dirección. /Análisis
de las claves de acceso, control, seguridad, confiabilidad y respaldos.
/Evaluación de la estructura orgánica: departamentos, puestos, funciones,
autoridad y responsabilidades. /Evaluación de los Recursos Humanos y de
la situación Presupuestal y Financiera: desempeño, capacitación,
condiciones de trabajo, recursos en materiales y financieros mobiliario y
equipos. /Evaluación de los sistemas: relevamiento de Hardware y
Software, evaluación del diseño lógico y del desarrollo del sistema.
/Evaluación del Proceso de Datos y de los Equipos de Cómputos:
seguridad de los datos, control de operación, seguridad física y
procedimientos de respaldo.
IV REVISION Y PREINFORME 16 Hs
/Revisión de los papeles de trabajo. /Determinación del Diagnostico e
Implicancias. /Elaboración de la Carta de Gerencia. /Elaboración del
Borrador.
V INFORME: /Elaboración y presentación del Informe. 4 Hs
22
2.3 INFORME FINAL DE LA AUDITORIA
Señores: Cooperativa Maná de Producción Agrícola Limitada Atte. Sr. Gerente Luis A. Pena
De nuestra consideración:
Encarnación, 26 de Julio de 2.002
Tenemos el agrado de dirigirnos a Ud. a efectos de elevar a vuestra consideración el alcance del
trabajo de Auditoria del Área de Informática practicada los días 10 al 14 del corriente, sobre la base
del análisis y procedimientos detallados de todas las informaciones recopiladas y emitidos en el
presente informe, que a nuestro criterio es razonable. Síntesis de la revisión realizada, clasificado
en las siguientes secciones:
A. Organización y Administración del Área
B. Seguridad física y lógica
C. Desarrollo y mantenimiento de los sistemas de aplicaciones. El Contenido del informe ha sido
dividido de la siguiente forma a efectos de facilitar su análisis:
a. Observaciones: Describe brevemente las debilidades resultantes de nuestro análisis.
b. Efectos y/o implicancias probables: Enuncian los posibles riesgos a que se encuentran expuestos
las operaciones realizadas por la Cooperativa.
c. Índice de importancia establecida: Indica con una calificación del 0 al 3 el grado critico del
problema y la oportunidad en que se deben tomar las acciones correctivas del caso.
0 = Alto (acciones correctivas inmediatas) 1 = Alto ( acciones preventivas inmediatas) 2 = Medio (
acciones diferidas correctivas) 3 = Bajo ( acciones diferidas preventivas)
d. Sugerencias: Indicamos a la Gerencia la adopción de las medidas correctivas tendientes a
subsanar las debilidades comentadas.
Según el análisis realizado hemos encontrado falencias en que no existe un Comité́ y plan
informático; falta de organización y administración del área; falencias en la seguridad física y lógica;
no existe auditoria de sistemas; falta de respaldo a las operaciones; accesos de los usuarios; plan
de contingencias; y entorno de desarrollo y mantenimiento de las aplicaciones.
El detalle de las deficiencias encontradas, como así́ también las sugerencias de solución se
encuentran especificadas en el Anexo adjunto. La aprobación y puesta en practica de estas
sugerencias ayudaran a la empresa a brindar un servicio más eficiente a todos sus clientes.
Agradecemos la colaboración prestada durante nuestra visita por todo el personal de la Cooperativa
y quedamos a vuestra disposición para cualquier aclaración y/o ampliación de la presente que
estime necesaria. Atentamente. Arsenio Folk
23
2.4 DOCUMENTOS DE TRABAJO
2.4.1. Organización y administración del área
1. Comité́ y Plan Informático
a. Observaciones:
No existe un Comité́ de Informática o al menos no se encuentra formalmente establecido.
No existe ninguna metodología de planificación, concepción y/o seguimiento de proyectos.
b. Efectos y/o implicancias probables
Posibilidad de que las soluciones que se implementen para resolver problemas operativos
sean parciales, tanto en Hardware como en Software.
Falta de conocimiento sobre las inversiones necesarias, ante nuevas exigencias o
prestaciones que se deban implementar para atender la operatoria de la Cooperativa.
c. Índice de importancia establecida.
d. Sugerencias
Establecer un Comité́ de Informática integrado por representantes de las áreas funcionales
claves ( Gerencia Administrativa, responsables de las Áreas Operativas, responsables de
Informática y el responsable Contable).
Reunirse por lo menos una vez al mes.
Trazar los lineamientos de dirección del Área de Informática.
Implementar normas y/o procedimientos que aseguren la eficaz administración de los
recursos informáticos, y permitan el crecimiento coherente del área conforme a la
implementación de las soluciones que se desarrollen y/o se requieran de terceros.
2. Organización y Administración del Área
a. Observaciones:
El área adolece de una estructura organizacional.
Existe una exigua cantidad de funcionarios capacitados, afectados al área de sistemas, con lo
cual se evidencia heterogeneidad de tareas desarrolladas con una misma persona.
Ausencia de manual de funciones para cada puesto de trabajo dentro del área.
b. Efectos y/o implicancias probables
La escasez de personal debidamente capacitado, aumenta el nivel de riesgo de errores al
disminuir la posibilidad de los controles internos en el procesamiento de la información; y
limita la cantidad de soluciones que pueden implementarse en tiempo y forma oportuna a los
efectos de satisfacer los requerimientos de las áreas funcionales.
c. Índice de importancia establecida.
24
d. Sugerencias
Establecer una estructura organizacional del área de la siguiente manera: :Gerencia del Área
Informática: Jefe del Área: Desarrollo y mantenimiento de aplicaciones: Soporte técnico.
Centro de atención a usuarios.
Se establezca un manual de funciones para cada uno de los cargos funcionales en que se
sub-divida el área de cómputos.
2.4.2. Seguridad Física Y Lógica
1. Entorno General
a. Observaciones
No existe una vigilancia estricta del Área de Informática por personal de seguridad dedicado a
este sector.
No existe detectores, ni extintores automáticos.
Existe material altamente inflamable.
Carencia de un estudio de vulnerabilidad de la Cooperativa, frente a las riesgos físicos o no
físicos, incluyendo el riesgo Informático.
No existe un puesto o cargo especifico para la función de seguridad Informática.
b. Efectos y/o implicancias probables
Probable difusión de datos confidenciales.
Alta facilidad para cambios involuntarios o intencionales de datos, debido a la falta de
controles internos.
Debido a la debilidad del servicio de mantenimiento del equipo central, la continuidad de las
actividades informáticas podrían verse seriamente afectadas ante eventuales roturas y/o
desperfectos de los sistemas.
c. Índice de importancia establecida.....0 ( cero )
d. Sugerencias: A los efectos de minimizar los riesgos descriptos, se sugiere:
Establecer guardia de seguridad, durante horarios no habilitados para el ingreso al Área de
Informática.
Colocar detectores y extintores de incendios automáticos en los lugares necesarios. Remover
del Centro de Cómputos los materiales inflamables.
Determinar orgánicamente la función de seguridad.
Realizar periódicamente un estudio de vulnerabilidad, documentando efectivamente el
mismo, a los efectos de implementar las acciones correctivas sobre los puntos débiles que se
detecten.
25
2. Auditoria de Sistema
a. Observaciones
Hemos observado que la Cooperativa no cuenta con auditoria Informática , ni con políticas
formales que establezcan responsables, frecuencias y metodología a seguir para efectuar
revisiones de los archivos de auditoria.
Cabe destacar que el sistema integrado posee un archivo que pudiera servir de auditoria
Informática, el cual no es habilitado por falta de espacio en el disco duro.
b. Efectos y/o implicancias probables
Posibilidad de que adulteraciones voluntarias o involuntarias sean realizadas a los elementos
componentes del procesamiento de datos (programas, archivos de datos, definiciones de
seguridad de acceso, etc ) o bien accesos a datos confidenciales por personas no
autorizadas que no sean detectadas oportunamente.
c. Índice de importancia establecida.....0 ( cero )
d. Sugerencias
Establecer normas y procedimientos en los que se fijen responsables, periodicidad y
metodología de control de todos los archivos de auditoria que pudieran existir como
asimismo, de todos los elementos componentes de los sistemas de aplicación.
3. Operaciones de Respaldo
a. Observaciones
Existe una rutina de trabajo de tomar una copia de respaldo de datos en Diskette, que se
encuentra en el recinto del centro de cómputos, en poder del auxiliar de informática.
Si bien existen la copia de seguridad, no se poseen normas y/o procedimientos que exijan la
prueba sistemática de las mismas a efectos de establecer los mínimos niveles de
confiabilidad.
b. Efectos y/o implicancias probables
La Cooperativa está expuesta a la perdida de información por no poseer un chequeo
sistemático periódico de los back-up's, y que los mismas se exponen a riesgo por encontrarse
en poder del auxiliar de informática.
c. Índice de importancia establecida.....0 ( cero )
d. Sugerencias: Minimizar los efectos, será́ posible a través de:
Desarrollar normas y procedimientos generales que permitan la toma de respaldo necesarios,
utilitario a utilizar.
Realizar 3 copias de respaldos de datos en Zip de las cuales, una se encuentre en el recinto
26
del área de informática, otra en la sucursal más cercana y la ultima en poder del Jefe de área.
Implementar pruebas sistemáticas semanales de las copias y distribución de las mismas.
4. Acceso a usuarios
a. Situación. De acuerdo a lo relevado hemos constatado que:
Existen niveles de acceso permitidos, los cuales son establecidos conforme a la función que
cumple cada uno de los usuarios.
Los usuarios definidos al rotar o retirarse del local no son borrados de los perfiles de acceso.
Las terminales en uso y dado un cierto tipo de inactividad no salen del sistema.
El sistema informático no solicita al usuario, el cambio del Password en forma mensual.
b. Efectos y/o implicancia probables
Existe la imposibilidad de establecer responsabilidades dado que esta se encuentra dividida
entre el área de sistema y los usuarios finales.
La falta de seguridad en la utilización de los Password, podrían ocasionar fraudes por
terceros.
c. Índice de importancia establecida.....2 ( dos )
d. Sugerencia
Implementar algún software de seguridad y auditoria existente en el mercado o desarrollar
uno propio.
Establecer una metodología que permita ejercer un control efectivo sobre el uso o
modificación de los programas o archivos por el personal autorizado.
5. Plan de Contingencias
a. Observación
Ausencia de un Plan de Contingencia debidamente formalizado en el Área de Informática.
No existen normas y procedimientos que indiquen las tareas manuales e informáticas que
son necesarias para realizar y recuperar la capacidad de procesamiento ante una eventual
contingencia (desperfectos de equipos, incendios, cortes de energía), y que determinen los
niveles de participación y responsabilidades del área de sistemas y de los usuarios.
No existen acuerdos formalizados de Centro de Cómputos paralelos con otras empresas o
proveedores que permitan la restauración inmediata de los servicios informáticos de la
Cooperativa en tiempo oportuno, en caso de contingencia.
b. Efectos y/o implicancia probable
Perdida de información vital.
Perdida de la capacidad de procesamiento.
27
c. Índice de Importancia relativa.....1 ( uno )
d. Sugerencias
Establecer un plan de contingencia escrito, en donde se establezcan los procedimientos
manuales e informáticos para restablecer la operatoria normal de la Cooperativa y establecer
los responsables de cada sistema.
Efectuar pruebas simuladas en forma periódica, a efectos de monitorear el desempeño de los
funcionarios responsables ante eventuales desastres.
Establecer convenios bilaterales con empresas o proveedores a los efectos de asegurar
los equipos necesarios para sustentar la continuidad del procesamiento.
2.4.3. Desarrollo y mantenimiento de los sistemas de aplicaciones
1. Entorno de Desarrollo y mantenimiento de las aplicaciones
a. Situación
No existe documentaciones técnicas del sistema integrado de la Cooperativa y tampoco no
existe un control o registro formal de las modificaciones efectuadas.
No se cuenta con un Software que permita la seguridad de las librerías de los programas y la
restricción y/o control del acceso de los mismos.
Las modificaciones a los programas son solicitadas generalmente sin notas internas, en
donde se describen los cambios o modificaciones que se requieren.
b. Efectos y/o implicancias probables
La escasa documentación técnica de cada sistema dificulta la compresión de las normas,
demandando tiempos considerables para su mantenimiento e imposibilitando la capacitación
del personal nuevo en el área.
Se incrementa aun más la posibilidad de producir modificaciones erróneas y/o no autorizadas
a los programas o archivos y que las mismas no sean detectadas en forma oportuna.
c. Índice de importancia establecida.....1 ( uno )
d. Sugerencias. Para reducir el impacto sobre los resultados de los efectos y consecuencias
probables sugerimos:
Elaborar toda la documentación técnica correspondiente a los sistemas implementados y
establecer normas y procedimientos para los desarrollos y su actualización.
Evaluar e implementar un software que permita mantener el resguardo de acceso de los
archivos de programas y aun de los programadores.
Implementar y conservar todas las documentaciones de prueba de los sistemas, como así́
también las modificaciones y aprobaciones de programas realizadas por los usuarios
28
2 Área de Contabilidad
a. Situación
No existe una validación de la cuenta a donde debería acreditarse el monto del aporte social.
La contabilización de cada operación se hace en forma manual, tanto en la parte de
recepción de productos, como en los productos en procesos.
b. Efectos y/o implicancias probables
La Cooperativa se encuentra expuesto a serios riesgos, entre ellos:
Posibilidad de que ocurran errores por la falta de conocimiento del tema contable en el área
operativa.
Alto riesgo de que el usuario final pueda incurrir en cambios no autorizados en los sistemas,
por cuanto que el usuario final tiene acceso irrestricto al mismo.
c. Índice de importancia establecida.....0 ( cero ) d. Sugerencias
Implementar debidamente los controles internos necesarios para el adecuado manejo del
usuario final.
Implementar la contabilización automática.
2.4.4. Relevamiento de Hardware
Equipamiento Central
La cooperativa cuenta actualmente con un Equipo Central Pentium IV con las siguientes
características: Procesador Intel Pentium IV de 1.600 MHz, Memoria: RAM 128 MB,
Almacenamiento: 35 GB de 10 K RPM, Conexión: Ethernet 10/100. Es un equipamiento ideal para
las funciones que cumple y su configuración es aceptable. Tiene posibilidades de crecimiento y el
fabricante cuenta con repuestos y mantenimientos que garantizan la buena utilización del mismo.
Equipamiento Periférico
La cooperativa cuenta en su casa central con 30 PC ́s de las cuales el 50%(cincuenta por ciento)
aproximadamente son Pentium III de 550Mhs con 64 MB de memoria y discos de 5 GB. El resto son
de menor porte, pero el parque de computadoras personales es suficientemente apto para los
requerimientos actuales.
Las impresoras: de sistema (conectadas al equipo central) son de marca Epson 1170 y Epson 1200.
Además cuentan con equipos de HP 560 de chorro de tintas conectadas a algunos equipos.
Equipamiento en Sucursales. Las sucursales cuentan con PC ́s AMD – Athlon de 750 MHz, 64 de
memoria y discos de 5 GB. Equipamiento holgadamente apto para las funciones que cumple.
Las sucursales tienen una impresora matricial del sistema y algunos usuarios cuentan con
impresoras a chorro de tinta.
29
2.4.5. Relevamiento De Software
Software de Base: El sistema operativo con el que cuenta la Pentium IV es el de Windows Server
2000 que posee una importante estructura de seguridad. Con sistema de red Windows 2000 con
licencia para 50 usuarios. Base de datos Tango Gestión, Software de aplicación, Sistema de
Contabilidad, Control de Materias Primas, Control Presupuestarios, Libro IVA (Compras – Ventas),
Sueldos y Jornales, todos bajo sistema Tango Gestión 5.2
2.4.6. Comunicaciones
En casa central existe una red local (Ethernet) conectada al equipo central (Pentium IV) y en la
sucursales cuentan con Reuters de marca IBM modelo 7.000 para conectarse a la casa central. Las
transmisiones son con líneas de Antelco.
Cableado: El cableado es estructurado y con cables del tipo UTP categoría S, tanto en sucursales
como en casa matriz. En General no presenta problemas de cableado.
30
RECOMENDACIONES
Mejorar el acceso y utilización de las interfaces para la creación, gestión y utilización del
conocimiento, utilizando nuevas tecnologías desarrolladas, ya que además de lograr una reducción
significativa en el tiempo de utilización y lograr una automatización más transparente acerca de los
procesos de actualización de información como bitácoras y procedimiento, serán de gran utilidad
para reducir aun más el tiempo de solución a los problemas presentados y aumentando la calidad
en el servicio.
Utilización de sistemas basados en técnicas del análisis y de datos y ontologías para lograr un
mejor manejo de la información almacenada, diferenciando con mayor precisión el conocimiento
que sí representa un activo para la organización y cual no. Establecer indicadores de evaluación del
sistema de memoria organizacional en su contexto tecnológico y organizacional más específicos y
definidos, para obtener datos más precisos acerca del funcionamiento del sistema.
Realizar un diseño de una interfaz personalizable para el técnico, con el fin de que se puedan
realizar adecuaciones dependiendo de los gustos personales de cada usuario. Implementar
asistentes de interfaz para que a través de ellos el técnico pueda ser asistido a la hora de crear
información mediante funciones de escritura por voz, correctores de idioma, entre otros.
Capacitar a las personas involucradas en la implementación del sistema, acerca de los aspectos
importantes para las evaluaciones del sistema, en el contexto tecnológico y que conozcan su
importancia en la implementación. Realizar reuniones con los técnicos del departamento para
conocer de primera mano cuales son los principales problemas con los que se enfrentan día a día al
solucionar alguna problemática.
31
CONCLUSIONES
Si bien COBIT es un marco general, su flexibilidad y versatilidad nos permite adaptarlo a cualquier
tipo y tamaño de empresa, realizando una implementación gradual y progresiva acorde a los
recursos disponibles y acompasando la estrategia empresarial.
En el marco de una sociedad como la actual, que destaca las competencias, la competitividad, la
velocidad, la eficiencia de los recursos y más recientemente la ética en el manejo de los recursos
públicos, aparecen la gobernanza y el buen gobierno como conceptos fundamentales para tratar de
armonizar el mundo cambiante de las organizaciones. Es así como la transición hacia una
economía dinámica, una sociedad y organizaciones de buen gobierno exigen e implican esfuerzos
para una nueva configuración, desde su reinvención, tratando de alinearse con las nuevas
demandas que surgen de los interesados que se ven cada vez más a sí mismos como participes de
una sociedad global.
32
Este trabajo proporciona una visión holística del aprovechamiento de las tecnologías de la
información en las organizaciones y para la sociedad sobre la base de un modelo propio que integra
los elementos del estado del arte en gobierno de las tecnologías de información (GTI).
Se inicia con la concepción y exploración del estado del arte de la cuestión, se hace una
presentación de Cobit 5 y se procede a presentar un modelo ecléctico de GTI en el cual se busca
eliminar las complejidades de algunos de los marcos de referencia analizados y permitir un abordaje
ágil y completo para el ámbito empresarial sin perder la perspectiva global. El modelo está diseñado
para ser flexible, evolutivo y poder ser usado por diferentes tipos de organizaciones, en cuanto a
tamaño (grandes o pequeñas), tiempo de existencia (antigua o moderna), con ánimo y sin ánimo de
lucro.
Los papeles de trabajo constituyen la base fundamental para la toma de decisiones en la auditoria.
Los comentarios, observaciones y conclusiones que figuran en los papeles de trabajo apoyan los
principios, normas y procedimientos de auditoria generalmente aceptados. Amparan el alcance de la
revisión y la opinión del auditor.
Los propósitos de los papeles de trabajo es de servir de fuente entre los documentos y registros del
cliente y el informe del auditor; mediante ellos se puede medir el grado de confianza del control
interno y la eficacia de la política administrativa de la gerencia.
33
ANEXOS
34
BIBLIOGRAFIA
Ayogu, M. y Bayat F.; ICT governance: South Africa. Telecommunications Policy (34), 244-247
(2010) [ Links ]
Fernández, C. y Piattini, M.; Modelo para el gobierno de las TIC basado en las normas ISO. 1ª Ed,
AENOR., Madrid (2012) [ Links ]
Guevara, R. y García, B.; Gobierno de TI e ITIL: situación y variables críticas. Universidad Pontificia
Bolivariana, 69-75 (2013) [ Links ]
Janssen, M. y Voort, H.; Adaptive governance: Towards a stable, accountable and responsive
government. Government Information Quarterly (33), 1-5 (2016) [ Links ]
Jiménez-Pitre, I. A, Martelo, Raúl J and Jaimes, José, D.C.,Escuela de Gobierno basada en TIC:
Determinante para la Accesibilidad e Integralidad del Empoderamiento Digital. Inf. tecnol, vol.28,
no.5, p.75-86 ( 2017). [ Links ]
Juiz, C., Gómez, M. y Barceló, I.; Business/IT Projects Alignment through the Project Portfolio
Approval Process as IT Governance Instrument. Procedia - Social and Behavioral Sciences(65), 70 -
75 (2012) [ Links ]
Kooper, M., Maes, R. y Lindgreen, R.; On the governance of information: Introducing a new concept
of governance to support the management of information. International Journal of Information
Management (31), 195-200 (2011) [ Links ]
Mejía, N. J.; Sobre la investigación cualitativa. Investigaciones sociales. 2a ed., McGraw Hill, Madrid
(2004). [ Links ]
Misuraca, G., Broster, D. y Centeno, C.; Digital Europe 2030: Designing scenarios for ICT in future
governance and policy making. Government Information Quarterly (29), S121-S131. (2012) [ Links ]
Morales, J.; Modelos de Gobierno TI para Instituciones de Educación Superior. Revista Politécnica,
36(3), 1-6 (2015) [ Links ]
35