Beruflich Dokumente
Kultur Dokumente
AUDITORIA
Alumno
Allan Federico Gonzlez Barrueto
Mario Roberto Hernndez Monterroso
Juan Carlos Monterroso Hernndez
Erick Gonzlez
Francklin Funez
Joshua Figueroa
No. De Carn
0900-10-1
0900-08-3602
0900-10-11326
0900-10-105
0900-09-560
0900-11-1483
Email
allanbarrueto@gmail.com
Mario147741@gmail.com
Jeancarlohernandez582@gmail.com
erickrgt@gmail.com
jufalco.fa@gmail.com
joshfigueroa07@gmail.com
Telfono
55719640
54891387
59180559
55178828
40062743
55231380
ndice
Introduccin ............................................................................................................... 1
Justificacin............................................................................................................... 2
Planteamiento del problema ..................................................................................... 3
Definicin del problema ............................................................................................ 3
El Control Interno: .................................................................................................... 3
Efectividad y Eficiencia de las Operaciones:......................................................... 3
Suficiencia y Confiabilidad de la Informacin financiera: ...................................... 3
Cumplimiento de la Regulacin: ........................................................................... 3
Riesgo: ..................................................................................................................... 4
Gobierno de Tecnologa de la informacin: .............................................................. 4
Objetivos de Control para Informacin y Tecnologa Relacionada (COBIT) ............ 4
Objetivos de la investigacin: .................................................................................. 6
Generales ................................................................................................................. 6
Mtodos y tcnicas a utilizar: ................................................................................... 6
Mtodos ................................................................................................................... 6
Marco de Trabajo ....................................................................................................... 6
Razones para utilizarlo ............................................................................................. 7
Beneficios a Usuarios............................................................................................... 7
Orientado a Procesos............................................................................................... 8
Procesos del dominio Construir, Adquirir e Implementar: ........................................ 8
Modelo de capacidad de los procesos ..................................................................... 8
0 Proceso incompleto:........................................................................................ 9
1 Proceso ejecutado: ......................................................................................... 9
2 Proceso gestionado: ....................................................................................... 9
3 Proceso establecido: ....................................................................................... 9
4 Proceso predecible: ........................................................................................ 9
5 Proceso optimizado:........................................................................................ 9
Mtodo de determinacin del nivel de capacidad..................................................... 9
Caso practico ........................................................................................................... 11
EVALUACIN DE CONTROLES PARA LA ADQUISICIN Y MANTENIMIENTO DE
APLICACIONES INFORMTICAS DE UNA EMPRESA ASEGURADORA, SEGN
MODELO DE OBJETIVOS DE CONTROL PARA TECNOLOGA DE INFORMACIN
Y TECNOLOGAS RELACIONADAS (COBIT) ...................................................... 11
Antecedentes del caso prctico .......................................................................... 11
Desarrollo del Caso Prctico ............................................................................... 12
Contenido del Caso Prctico .................................................................................. 13
Papeles de trabajo del caso prctico...................................................................... 14
CARTA DE NOTIFICACIN DE LA REALIZACIN DE LA EVALUACIN DEL
CONTROL
INTERNO
INFORMTICO
EN
LA
ADQUISICIN
E
IMPLEMENTACIN
DE
SOLUCIONES
INFORMTICAS
EN
EL
DEPARTAMENTO DE INFORMTICA............................................................... 14
NOMBRAMIENTO PARA REALIZAR LA EVALUACIN DEL CONTROL INTERNO
EN LOS PROCESOS DE ADQUIRIR E IMPLEMENTAR SOLUCIONES
INFORMTICAS EN EL DEPARTAMENTO DE INFORMTICA........................... 15
PROGRAMA DE AUDITORA INTERNA PARA LA EVALUACIN DEL CONTROL
INTERNO INFORMTICO DE LOS PROCESOS DE ADQUISICIN E
IMPLEMENTACIN DE SOLUCIONES INFORMTICAS SEGN EL MODELO
COBIT DE CONTROL INTERNO. .......................................................................... 17
INTRODUCCIN ................................................................................................ 17
OBJETIVO .......................................................................................................... 17
ALCANCE ........................................................................................................... 17
PROCEDIMIENTO .............................................................................................. 18
EVALUACION DEL CONTROL INTERNO INFORMTICO ............................... 18
INFORME ............................................................................................................... 22
Elaboracin del informe. ..................................................................................... 22
Normativa............................................................................................................ 22
Cronograma. ....................................................................................................... 22
Presentacin del informe: ................................................................................... 22
Distribucin del informe:...................................................................................... 23
Evaluacin del proceso de Gestionar los Programas y Proyectos (BAI01) ............ 24
CONCLUSIN: ................................................................................................... 26
Evaluacin del proceso de Gestionar la Definicin de Requisitos (BAI02) ............. 38
CONCLUSIN: ................................................................................................... 40
Evaluacin del proceso de Adquirir e Implementar Infraestructura Tecnolgica
(BAI03). .................................................................................................................. 50
CONCLUSIN: ................................................................................................... 52
Evaluacin del proceso Facilitar la ejecucin y el uso (BAI04). ............................. 59
CONCLUSIN: ................................................................................................... 60
Evaluacin del proceso Gestionar la Introduccin de Cambios Organizativos (BAI05)
............................................................................................................................... 66
CONCLUSIN: ................................................................................................... 68
Evaluacin del proceso de Administracin de Cambios (BAI06). ........................... 77
CONCLUSIN: ................................................................................................... 80
Evaluacin del proceso de Gestionar la Aceptacin del Cambio y de la Transicin
(BAI07) ................................................................................................................... 93
CONCLUSIN: ................................................................................................... 94
Informe de la evaluacin de los controles ............................................................ 98
Objetivo: ................................................................................................................. 98
Alcance: ................................................................................................................. 98
Resultados por Proceso: ........................................................................................ 99
Conclusiones Generales:...................................................................................... 101
Definicin de Proyecto
Introduccin
La auditora se tiene como una forma de hacer una corroboracin sobre distintos
procesos, presupuestos, costos, entre otros, al nivel que se estar refiriendo es a nivel
de auditoria de sistemas, en los diferentes procesos, tambin se tiene como una forma
de aclarar una sospecha sobre un posible ilcito que pueda estar sucediendo dentro
de una organizacin, para poder aclarar alguna situacin que pueda estar dando una
inquietud, en el mbito de auditoria en sistemas, se puede desarrollar sobre los
diferentes procesos que se estn realizando dentro de un sistema en una organizacin.
Otra utilidad para lo que se utiliza una auditoria en sistemas es para hacer una
verificacin sobre los distintos procesos y mejoras que se puedan realizar a una
sistema en especfico, verificando cuales son los puntos dbiles del mismo, apoyado
en la documentacin respectiva para tener una mejora continua, se tiene que tomar en
cuenta que una auditoria de este tipo no se puede estar realizando con mucha
periodicidad, y se tiene que realizar de una forma correcta, eficaz y eficiente, con datos
reales para que pueda tenerlos beneficios a largo plazo de esta actividad.
Definicin de Proyecto
Justificacin
La evaluacin de los controles en una empresa aseguradora en sus distintos procesos
donde se involucra la tecnologa de informacin, son puntos importantes para su buen
funcionamiento, el estar un una situacin de cambio constante para la mejora es una
buena prctica volviendo a la empresa con procesos dinmicos anuentes a estar
madurando constantemente, de esta forma ir amalgamando los distintos modelos para
llegar a estndares de calidad deseados.
Uno de los modelos que se puede tomar en cuenta es el de COBIT, ya que es uno de
los ms utilizados en el medio para poder auditar la gestin y control de los sistemas
de informacin IT, orientados bastante a todos los sectores de una organizacin,
administradores, usuarios y los mismos auditores.
Teniendo como objetivo principal la implementacin mediante un modelo COBIT en la
organizacin, dando una herramienta automatizada para la evolucin del cumplimiento
de los distintos procesos y recursos de informacin y tecnologa.
Definicin de Proyecto
El Control Interno:
El sistema de control interno es un proceso realizado por el consejo de administracin
(junta directiva o junta de directores), los administradores y dems personal de una
entidad, diseado para proporcionar seguridad razonable en la bsqueda del
cumplimiento de los siguientes objetivos:
Efectividad y Eficiencia de las Operaciones:
Es decir, en cuanto al cumplimiento de los objetivos estratgicos de la organizacin y
la salvaguarda o proteccin de sus recursos y los bienes de terceros que se encuentran
en su poder de la entidad.
Suficiencia y Confiabilidad de la Informacin financiera:
Y la que se produce para uso interno, as como de la preparacin de los estados
financieros con destino a terceros.
Cumplimiento de la Regulacin:
En general las disposiciones que afectan el desarrollo institucional, tales como las
leyes, normas del gobierno, los estatutos, los reglamentos, las circulares o
instrucciones internas.
Definicin de Proyecto
Riesgo:
Es la incertidumbre de que ocurra un acontecimiento que pudiera pueda afectar el
logro de los objetivos. Tambin se define como la posibilidad de que suceda algo que
tendr impacto en los objetivos. Se mide en trminos de consecuencia y posibilidad de
ocurrencia.
Definicin de Proyecto
Definicin de Proyecto
Objetivos de la investigacin:
Generales
Determinar la importancia de aplicar en el pas una metodologa adecuada para
la evaluacin de adquisiciones informticas.
Mtodo deductivo:
o Parte de lo general a lo particular.
Marco de Trabajo
El marco de trabajo relaciona los requerimientos de informacin y de gobierno TI a los
objetivos de la funcin de servicios de TI. El modelo de procesos de COBIT permite
que las actividades de TI y los recursos que los soportan sean administrados y
controlados basados en los objetivos de control de COBIT, y alineados y monitoreados
usando las metas y mtricas establecidas por la metodologa.
Definicin de Proyecto
Planeacin y organizacin
Adquisicin e implementacin
Entrega de servicio
Monitoreo
Beneficios a Usuarios
COBIT proporciona ventajas a gerentes, usuarios, e interventores. Los gerentes se
benefician de COBIT por que les provee un fundamento sobre el cual basar las
decisiones de una forma eficaz, ayuda a la definicin de un plan de TI estratgico, la
definicin de la arquitectura de la informacin, la adquisicin del hardware necesario y
el software para ejecutar una estrategia, la aseguracin del servicio continuo, la
supervisin del funcionamiento del sistema TI. Los usuarios por otro lado se benefician
debido al aseguramiento proporcionado a ellos en el tratamiento de la informacin.
Finalmente los auditores o interventores se ven beneficiados ya que permite identificar
Definicin de Proyecto
Definicin de Proyecto
0 Proceso incompleto:
El proceso no est implementado o no alcanza su propsito. A este nivel, hay muy
poca o ninguna evidencia de ningn logro sistemtico del propsito del proceso.
1 Proceso ejecutado:
El proceso implementado alcanza su propsito.
2 Proceso gestionado:
El proceso ejecutado descrito anteriormente esta ya implementado de forma
gestionada (planificado, supervisado y ajustado) y los resultados de su ejecucin estn
establecidos, controlados y mantenidos apropiadamente.
3 Proceso establecido:
El proceso gestionado descrito anteriormente esta ahora implementado usando un
proceso definido que es capaz de alcanzar sus resultados de proceso.
4 Proceso predecible:
El proceso establecido descrito anteriormente ahora se ejecuta dentro de lmites
definidos para alcanzar sus resultados de proceso.
5 Proceso optimizado:
El proceso predecible descrito anteriormente es mejorado de forma continua para
cumplir con las metas empresariales presentes y futuras.
Definicin de Proyecto
V=P*R
Donde V es el valor de puntuacin de la declaracin de capacidad, P es el peso de
cada declaracin de capacidad, el cual se obtiene al sumar los valores de cada nivel y
luego dividirlos dentro del peso total para cada nivel.
C = V / P
Donde C es cumplimiento, V es el valor de las respuestas para cada declaracin de
capacidad, y P es el peso de cada declaracin.
El paso siguiente es la Normalizacin, la cual se puede obtener mediante dividir el
valor de cumplimiento de cada nivel dentro del valor de cumplimiento de todos los
niveles de cada proceso de TI
N = C / C
Donde N es el valor normalizado y C el valor de cumplimiento de cada nivel.
La contribucin se determina con la multiplicacin del Nivel (0 5) por el valor
normalizado de cada nivel. Con la contribucin total para todos los niveles de un
proceso de tecnologa informtica, el auditor obtendr la puntuacin del nivel de
madurez de la empresa.
Co = Nv x N
Donde Co es la contribucin, Nv es el nivel de madurez y N es el valor normalizado de
las respuestas a las declaraciones.
El nivel de capacidad se obtiene sumando los valores de contribucin del proceso de
tecnologa informtica evaluado.
NM = Co
Donde NM es el nivel de capacidad y Co es la contribucin para cada declaracin del
nivel de capacidad.
10
Definicin de Proyecto
Caso practico
EVALUACIN DE CONTROLES PARA LA ADQUISICIN Y MANTENIMIENTO
DE APLICACIONES INFORMTICAS DE UNA EMPRESA ASEGURADORA,
SEGN MODELO DE OBJETIVOS DE CONTROL PARA TECNOLOGA DE
INFORMACIN Y TECNOLOGAS RELACIONADAS (COBIT)
Los sistemas de informacin cada da tomas ms relevancia en la toma de decisiones
de la empresa, por lo que los controles de estos, deben ser especializados y de
acuerdo a los niveles de capacidad que proponen los objetivos de control para
informacin y tecnologa relacionada (COBIT, por sus siglas en ingles), se presentan
los aspectos que debe considerar el auditor de sistemas:
Antecedentes del caso prctico
La evaluacin se realiz a la empresa El Mejor Seguro S.A. que inici sus operaciones
en el ao de 1960, ubicada en la zona 4 de la ciudad capital de Guatemala, siendo la
empresa aseguradora ms grande de Centroamrica segn la Asociacin
Guatemalteca de Industria del Seguro (AGIS), cuenta con ms de 350 mil clientes, una
certificacin en calidad ISO 9001 y una amplia gama de servicios electrnicos para
sus intermediarios y clientes finales.
La empresa en su ms alto nivel est organizada de la siguiente manera:
Consejo de Administracin
o Gerencia General
Gerencia de Alineamiento Estratgico
Gerencia de Lneas Personales
Gerencia Corporativa
Gerencia de Operaciones
Gerencia de Riesgos (Auditoria Interna)
El departamento de informtica se conforma de la siguiente manera:
Gerencia de Operaciones
o Direccin de Tecnologa
Jefatura de Plataforma Tecnolgica
Administradores de Proyectos
o Programadores Senior
o Programadores Junior
Jefatura de Servicios Tecnolgicos
Administradores de Proyectos
o Programadores Senior
o Programadores Junior
Coordinacin de Inteligencia de Negocios
11
Definicin de Proyecto
o Programadores Senior
Jefatura de Infraestructura
Administradores de Sistemas
Escritorio de Ayuda
o Tcnicos Senior
o Tcnicos Junior
12
Definicin de Proyecto
PT No.
Fase de Planeacin
Carta de notificacin para la iniciacin de la Auditora
Nombramiento del auditor que realizar la auditora
Programa de Auditora para realizar la evaluacin de controles de acuerdo al modelo de
capacidad de COBIT
Fase de Ejecucin
Evaluacin del proceso de Gestionar los Programas y Proyectos (BAI01)
Cuestionarios a Funcin: Direccin del Departamento
Cuestionarios a Funcin: Jefatura de Servicios Tecnolgicos
Cuestionarios a Funcin: Jefatura de Plataforma Tecnolgica
Evaluacin del proceso de Gestionar la Definicin de Requisitos (BAI02)
Cuestionarios a Funcin: Direccin del Departamento
Cuestionarios a Funcin: Jefatura de Servicios Tecnolgicos
Cuestionarios a Funcin: Jefatura de Plataforma Tecnolgica
Evaluacin del proceso de Adquirir e implementar Infraestructura tecnolgica (BAI03)
Cuestionarios a Funcin: Direccin del Departamento
Cuestionarios a Funcin: Jefatura de Infraestructura
Evaluacin del proceso de Gestionar la Disponibilidad y la Capacidad (BAI04)
Cuestionarios a Funcin: Direccin del Departamento
Evaluacin del proceso de Gestionar la Introduccin de Cambios Organizativos (BAI05)
Cuestionarios a Funcin: Direccin del Departamento
Cuestionarios a Funcin: Jefatura de Infraestructura
Evaluacin del proceso de Gestionar los Cambios (BAI06)
Cuestionarios a Funcin: Direccin del Departamento
Cuestionarios a Funcin: Jefatura de Plataforma Tecnolgica
Cuestionarios a Funcin: Jefatura de Servicios Tecnolgicos
Cuestionarios a Funcin: Jefatura de Infraestructura
Evaluacin del proceso de Gestionar la Aceptacin del Cambio y de la Transicin (BAI07)
Cuestionarios a Funcin: Direccin del Departamento
Resumen de niveles de capacidad
Fase de Informe
Informe de Auditora
13
MM01
MM02
MM03
MM04
MM04-01
MM04-02
MM04-03
MM05
MM05-01
MM05-02
MM05-03
MM06
MM06-01
MM06-02
MM07
MM07-01
MM08
MM08-01
MM08-02
MM09
MM09-01
MM09-02
MM09-03
MM09-04
MM10
MM10-01
MM11
Definicin de Proyecto
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
SEGURITAS S.A.
Gerencia de Riesgos
MM01
TEAM_AD
LIDER T.
Ing. Encargado IT
Director del Departamento de Informtica
Presente
Respetable Ingeniero
Por este medio se le comunica que conforme a nuestro plan de trabajo, se iniciar la
revisin del control interno sobre los procesos de adquisicin e implementacin de
soluciones informticas que se realiz en la direccin a su cargo durante el segundo
semestre del ao. La actividad ha sido asignada al Sr. Prez, asistente de auditoria
interna y supervisada por su servidor.
Atentamente,
Lic. Donaldo
Gerente de Riesgos
14
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
MM02 1/2
TEAM_AD
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
LIDER T.
15
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
MM02 2/2
TEAM_AD
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
LIDER T.
16
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
MM03 1/6
TEAM_AD
LIDER T.
17
Definicin de Proyecto
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
SEGURITAS S.A.
Gerencia de Riesgos
MM03 2/6
TEAM_AD
LIDER T.
PROCEDIMIENTO
Para la evaluacin del control interno en los procesos de adquisicin e implementacin
de soluciones informticas en base al modelo COBIT, se aplicara lo siguiente:
EVALUACION DEL CONTROL INTERNO INFORMTICO
Se aplicaran cuestionarios elaborados en base a las declaraciones de los niveles de
capacidad de COBIT, as como tambin se revisara la documentacin necesaria para
determinar el nivel capacidad de cada proceso.
Los procesos y actividades a evaluar son los siguientes:
18
Definicin de Proyecto
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
SEGURITAS S.A.
Gerencia de Riesgos
Proceso
(BAI01)
(BAI02)
(BAI03)
(BAI04)
MM03 3/6
TEAM_AD
LIDER T.
Actividades
Definicin y mantenimiento de los
Gestionar los Programas requerimientos tcnicos y funcionales del
y Proyectos
negocio.
Reporte de anlisis de riesgos.
Estudio de factibilidad y formulacin de
cursos alternativos de accin.
Requerimientos, decisin de factibilidad y
aprobacin.
Gestionar la Definicin
de Requisitos
Diseo de alto nivel.
Diseo detallado.
Control y auditabilidad de aplicaciones.
Seguridad
y
disponibilidad
de
aplicaciones.
Configuracin e implantacin de software
aplicativo adquirido.
Actualizaciones importantes en sistemas
existentes.
Desarrollo de software aplicativo.
Administracin de los requerimientos de
aplicaciones.
Mantenimiento de software aplicativo.
Gestionar
la
Identificacin
y
la
Construccin
de Plan de adquisicin de infraestructura
Soluciones
tecnolgica.
Proteccin y disponibilidad del recurso de
infraestructura.
Mantenimiento de infraestructura.
Ambiente de prueba de factibilidad.
Gestionar
la
Disponibilidad
y
la
Capacidad
Plan para soluciones de operacin.
Transferencia de conocimiento a la
gerencia del negocio.
19
Definicin de Proyecto
20
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
Proceso
(BAI05)
(BAI06)
(BAI07)
MM03 4/6
TEAM_AD
LIDER T.
Actividades
Gestionar la Introduccin
de
Cambios
Organizativos
Control de adquisicin.
Administracin
de
contratos
con
proveedores.
Seleccin de proveedores.
Adquisicin de software.
Adquisicin de recursos de desarrollo
Adquisicin
de
infraestructura,
instalaciones y servicios relacionados.
Estndares y procedimientos para
Gestionar los Cambios
cambios.
Evaluacin de impacto, priorizacin y
autorizacin.
Cambios de emergencia.
Seguimiento y reporte del estatus de
cambio.
Cierre y documentacin del cambio.
Gestionar la Aceptacin
del Cambio y de la
Transicin
Entrenamiento.
Plan de prueba.
Plan de implantacin.
Ambiente de prueba.
Conversin de sistema y datos.
Prueba de cambios.
Prueba final y aceptacin.
Transferencia a produccin.
Liberacin de software.
Distribucin del sistema.
Registro y rastreo de cambios.
Revisin posterior a la implantacin
21
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
MM03 5/6
TEAM_AD
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
LIDER T.
INFORME
Elaboracin del informe.
22
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
MM03 6/6
TEAM_AD
LIDER T.
23
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
MM04 1/2
TEAM_AD
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
LIDER T.
(B)
( C)
(D)
(E )
NIVEL
DE SUMA
DE NUMERO
DE VALOR
DE
CAPACIDAD VALORES
DE DECLARACIONES CUMPLIMIENTO
CUMPLIMIENTO
(B/C)
(F)
NIVEL
CAPACIDAD
(A * E)
DE
NORMALIZACION
DEL VECTOR DE
CUMPLIMIENTO
(D/ D)
0.00
0.000
0.000
0.000
1.66
0.553
0.191
0.191
0.33
0.083
0.028
0.057
4.00
1.000
0.345
1.034
3.96
0.660
0.227
0.910
3.64
0.607
0.209
1.045
TOTAL
13.59
25.00
2.90
1.000
3.236
64.71%
PRUEBA
NIVEL ACTUAL
FUNCION: Jefatura de Servicios Tecnolgicos
0
0.00
0.000
0.000
0.000
1.33
0.443
0.162
0.162
0.33
0.083
0.030
0.060
4.00
1.000
0.365
1.095
4.30
0.717
0.262
1.047
2.98
0.497
0.181
0.907
TOTAL
12.94
25.00
2.74
1.000
3.270
65.41%
PRUEBA
24
Definicin de Proyecto
NIVEL ACTUAL
FUNCION: Jefatura de Plataforma Tecnolgica
0
0.00
0.000
0.000
0.000
1.00
0.333
0.128
0.128
0.00
0.000
0.000
0.000
25
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
MM04 2/2
TEAM_AD
LIDER T.
(B)
( C)
(D)
(E )
NIVEL
DE SUMA
DE NUMERO
DE VALOR
DE
CAPACIDAD VALORES
DE DECLARACIONES CUMPLIMIENTO
CUMPLIMIENTO
(B/C)
(F)
NIVEL
CAPACIDAD
(A * E)
DE
NORMALIZACION
DEL VECTOR DE
CUMPLIMIENTO
(D/ D)
4.00
1.000
0.384
1.152
4.64
0.773
0.297
1.188
2.98
0.497
0.191
0.954
TOTAL
12.62
25.00
2.60
1.000
3.423
PRUEBA
12.62
25.00
68.45%
NIVEL ACTUAL
0.00
0.000
0.000
0.000
3.99
1.330
0.161
0.161
0.66
0.165
0.020
0.040
12.00
3.000
0.364
1.092
12.90
2.150
0.261
1.043
9.60
1.600
0.194
0.970
TOTAL
39.15
25.00
8.25
1.000
3.306
PRUEBA
39.15
25.00
66.12%
NIVEL ACTUAL
CONCLUSIN:
Se determin que en la direccin de informtica se administran los controles
sobre el proceso evaluado de forma Definida, mostrando un nivel 3.306 de
capacidad y un 66.12% de confiabilidad en los objetivos de control informtico.
26
Definicin de Proyecto
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
SEGURITAS S.A.
Gerencia de Riesgos
NV No. DECLARACION
Completamente
Fecha:
Ampliamente
Parcialmente
Qu tanto se ha
alcanzado?
No alcanzado
MM04-01 1/2
TEAM_AD
LIDER T.
Valor
de
cumplimiento
0.00
0.00
0.33
0.33
0.33
10
27
1.00
0.00
0.00
0.00
X
1.00
Definicin de Proyecto
11
28
1.00
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
15
16
17
18
19
20
21
22
23
29
Completamente
Ampliamente
Parcialmente
NV No. DECLARACION
El proceso para la determinacin de soluciones de TI se
aplica a algunos proyectos basndose en factores como
las decisiones hechas por el personal involucrado, la
cantidad de tiempo de administracin dedicado y el
tamao y la prioridad del requerimiento original del
3
12 negocio.
Se emplea mtodos estructurados para definir los
3
13 requerimientos e identificar las soluciones de TI.
Existe una metodologa establecida para la identificacin y
evaluacin de soluciones de TI y la misma se emplea para
4
14 la mayora de proyectos.
No alcanzado
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
MM04-01 2/2
TEAM_AD
LIDER T.
Valor
de
cumplimiento
1.00
1.00
0.66
0.66
0.66
0.66
0.66
0.66
0.66
0.66
0.33
0.33
Definicin de Proyecto
24
25
X
TOTAL DEL NIVEL
30
1.00
0.66
13.59
Definicin de Proyecto
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
SEGURITAS S.A.
Gerencia de Riesgos
NV No. DECLARACION
10
Valor
de
cumplimiento
0.00
0.00
X
1.00
0.00
0.33
0.33
0.00
0.00
31
Completamente
Fecha:
Ampliamente
Parcialmente
Qu tanto se ha
alcanzado?
No alcanzado
MM04-02 1/2
TEAM_AD
LIDER T.
0.00
X
1.00
Definicin de Proyecto
11
32
1.00
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
MM04-02 2/2
TEAM_AD
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
LIDER T.
33
Ampliamente
Parcialmente
NV No. DECLARACIN
El proceso para la determinacin de soluciones de TI se
aplica a algunos proyectos basndose en factores como las
decisiones hechas por el personal involucrado, la cantidad
de tiempo de administracin dedicado y el tamao y la
3
12 prioridad del requerimiento original del negocio.
Se emplea mtodos estructurados para definir los
3
13 requerimientos e identificar las soluciones de TI.
Existe una metodologa establecida para la identificacin y
evaluacin de soluciones de TI y la misma se emplea para
4
14 la mayora de proyectos.
La documentacin de proyectos es de buena calidad y cada
4
15 etapa es debidamente aprobada.
Los requerimientos son bien articulados y estn en
4
16 conformidad con estructuras predefinidas.
Se consideran soluciones alternativas, incluyendo un
4
17 anlisis de costos y ganancias.
La metodologa es clara, definida, generalmente
4
18 comprendida y medible.
Hay una interfaz claramente definida entre la gerencia de TI
y de negocios respecto a la identificacin y evaluacin de
4
19 soluciones de TI.
La metodologa para la identificacin y evaluacin de
5
20 soluciones de Ti se mejora continuamente.
La metodologa de adquisicin e implementacin es lo
suficientemente flexible para acomodar proyectos de
5
21 pequea y gran escala.
La metodologa es apoyada por bases de datos de
conocimientos internas y externas que contienen materiales
5
22 de referencia sobre soluciones tecnolgicas.
X
La metodologa misma produce documentacin con una
estructura predefinida que hace muy eficientes la
5
23 produccin y el mantenimiento.
La organizacin puede a menudo identificar nuevas
oportunidades para utilizar la tecnologa para ganar ventaja
competitiva, influir en el proceso de reingeniera del negocio
5
24 y mejorar la eficiencia general.
La gerencia detecta y acta en consecuencia si las
soluciones de TI son aprobadas sin considerar tecnologas
5
25 alternativas o requerimientos funcionales de negocio.
Completamente
Fecha:
No alcanzado
Papel de Trabajo
HECHO POR:
Valor
de
cumplimiento
1.00
1.00
0.66
0.66
0.66
0.66
X
1.00
0.66
0.66
0.66
0.00
0.33
1.00
0.33
Definicin de Proyecto
34
12.94
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
NV No. DECLARACION
10
Valor
de
cumplimiento
0.00
0.00
X
1.00
0.00
0.00
0.00
0.00
0.00
35
Completamente
Fecha:
Ampliamente
Parcialmente
Qu tanto se ha
alcanzado?
No alcanzado
MM04-03 1/2
TEAM_AD
LIDER T.
0.00
X
1.00
Definicin de Proyecto
11
36
1.00
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
15
16
17
18
19
20
21
22
23
24
25
37
Completamente
Ampliamente
Parcialmente
NV No. DECLARACION
El proceso para la determinacin de soluciones de TI se
aplica a algunos proyectos basndose en factores como las
decisiones hechas por el personal involucrado, la cantidad de
tiempo de administracin dedicado y el tamao y la prioridad
3
12 del requerimiento original del negocio.
Se emplea mtodos estructurados para definir los
3
13 requerimientos e identificar las soluciones de TI.
Existe una metodologa establecida para la identificacin y
evaluacin de soluciones de TI y la misma se emplea para la
4
14 mayora de proyectos.
No alcanzado
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
MM04-03 2/2
TEAM_AD
LIDER T.
Valor
de
cumplimiento
1.00
1.00
1.00
0.66
0.66
0.66
X
1.00
0.66
0.66
0.66
0.00
0.33
1.00
0.33
DEL
12.62
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
MM05 1/2
TEAM_AD
LIDER T.
(B)
( C)
(D)
(E )
NIVEL
DE SUMA
DE NUMERO
DE VALOR
DE
CAPACIDAD VALORES
DE DECLARACIONES CUMPLIMIENTO
CUMPLIMIENTO
(B/C)
(F)
NIVEL
CAPACIDAD
(A * E)
DE
NORMALIZACION DEL
VECTOR
DE
CUMPLIMIENTO
(D/ D)
0.00
0.000
0.000
0.000
1.66
0.415
0.117
0.117
1.33
0.333
0.094
0.187
4.00
0.800
0.226
0.677
3.00
1.000
0.282
1.128
5.00
1.000
0.282
1.409
TOTAL
14.99
23.00
3.55
1.000
3.518
70.36%
PRUEBA
NIVEL ACTUAL
FUNCION: Jefatura de Servicios Tecnolgicos
0
0.00
0.000
0.000
0.000
0.99
0.248
0.075
0.075
1.00
0.250
0.076
0.152
4.00
0.800
0.243
0.728
38
Definicin de Proyecto
3.00
1.000
0.303
1.213
5.00
1.000
0.303
1.516
TOTAL
13.99
23.00
3.30
1.000
3.684
73.68%
PRUEBA
39
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
MM05 2/2
TEAM_AD
LIDER T.
NIVEL ACTUAL
FUNCION: Jefatura de Plataforma Tecnolgica
0
0.00
0.000
0.000
0.000
0.99
0.248
0.079
0.079
1.00
0.250
0.080
0.160
4.00
0.800
0.257
0.770
2.66
0.887
0.285
1.138
4.66
0.932
0.299
1.495
TOTAL
13.31
23.00
3.12
1.000
3.644
PRUEBA
13.31
23.00
72.87%
NIVEL ACTUAL
0.00
0.000
0.000
0.000
3.64
0.910
0.091
0.091
3.33
0.833
0.084
0.167
12.00
2.400
0.241
0.723
8.66
2.887
0.290
1.159
14.66
2.932
0.294
1.472
TOTAL
42.29
23.00
9.96
1.000
3.612
PRUEBA
42.29
23.00
72.24%
NIVEL ACTUAL
CONCLUSIN:
Se determin que en la direccin de informtica se administran los controles
sobre este proceso de forma Definida, mostrando un nivel 3.612 de capacidad y
un 72.24% de confiabilidad en los objetivos de control informtico.
40
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
MM05-01 1/2
TEAM_AD
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
LIDER T.
NV No. DECLARACION
0
1
No existe un diseo y especificacin de aplicaciones.
X
Generalmente las aplicaciones se obtienen con base en
ofertas de proveedores, en el reconocimiento de la marca o en
la familiaridad del personal de TI con productos especficos,
0
2
considerando poco o nada los requerimientos actuales
X
1
10
11
12
13
41
Valor
de
cumplimiento
0.00
0.00
Completamente
Fecha:
Ampliamente
Parcialmente
Qu tanto se ha
alcanzado?
No alcanzado
X
X
1.00
0.66
0.00
0.00
0.00
X
X
1.00
0.33
0.00
1.00
1.00
1.00
Definicin de Proyecto
14
15
42
0.00
X
1.00
Definicin de Proyecto
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
LIDER T.
16
17
18
19
20
21
22
23
43
Ampliamente
NV No. DECLARACION
Completamente
MM05-01 2/2
TEAM_AD
Parcialmente
Papel de Trabajo
HECHO POR:
No alcanzado
SEGURITAS S.A.
Gerencia de Riesgos
Valor
de
cumplimiento
1.00
1.00
1.00
1.00
1.00
1.00
1.00
X
1.00
TOTAL DEL NIVEL 14.99
Definicin de Proyecto
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
SEGURITAS S.A.
Gerencia de Riesgos
MM05-02 1/2
TEAM_AD
LIDER T.
NV No. DECLARACION
0
Completamente
Fecha:
Ampliamente
Parcialmente
Qu tanto se ha
alcanzado?
No alcanzado
Valor
de
cumplimiento
0.00
0.00
10
11
44
0.66
0.33
0.00
0.00
0.00
1.00
0.00
0.00
1.00
Definicin de Proyecto
12
13
45
1.00
1.00
Definicin de Proyecto
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
LIDER T.
14
15
Ampliamente
NV No. DECLARACION
Completamente
MM05-02 2/2
TEAM_AD
Parcialmente
Papel de Trabajo
HECHO POR:
No alcanzado
SEGURITAS S.A.
Gerencia de Riesgos
Valor
de
cumplimiento
0.00
X
1.00
1.00
1.00
16
17
18
1.00
19
1.00
1.00
1.00
1.00
1.00
20
21
22
23
46
Definicin de Proyecto
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
SEGURITAS S.A.
Gerencia de Riesgos
MM05-03 1/2
TEAM_AD
LIDER T.
NV No. DECLARACION
0
Completamente
Fecha:
Ampliamente
Parcialmente
Qu tanto se ha
alcanzado?
No alcanzado
Valor
de
cumplimiento
0.00
0.00
10
47
0.66
0.33
0.00
0.00
0.00
1.00
0.00
0.00
Definicin de Proyecto
11
12
13
48
1.00
1.00
1.00
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
18
19
20
21
22
23
Valor
de
cumplimiento
0.00
X
1.00
0.66
1.00
1.00
1.00
0.66
1.00
1.00
1.00
49
MM05-03 1/2
TEAM_AD
LIDER T.
Completamente
Ampliamente
Parcialmente
NV No. DECLARACION
Las metodologas son generalmente inflexibles y difciles
de aplicar a todos los casos, de modo que los pasos son
3
14 frecuentemente omitidos.
X
Las actividades de mantenimiento son planificadas,
3
15 programadas y coordinadas.
Hay una metodologa formal, clara y bien atendida que
incluye un proceso de diseo y especificacin, criterios
para la adquisicin de software de aplicacin, un proceso
para realizar pruebas y requerimientos para la
4
16 documentacin.
Existen mecanismos de aprobacin documentados y
acordados para asegurar que se sigan todos los pasos y
4
17 que se autoricen las excepciones.
No alcanzado
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
13.31
Definicin de Proyecto
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
SEGURITAS S.A.
Gerencia de Riesgos
MM06 1/2
TEAM_AD
LIDER T.
(B)
( C)
(D)
(E )
NIVEL
DE SUMA
DE NUMERO
DE VALOR
DE
CAPACIDAD VALORES
DE DECLARACIONES CUMPLIMIENTO
CUMPLIMIENTO
(B/C)
(F)
NIVEL
CAPACIDAD
(A * E)
DE
NORMALIZACION
DEL VECTOR DE
CUMPLIMIENTO
(D/ D)
0.00
0.000
0.000
0.000
0.33
0.110
0.032
0.032
1.99
0.398
0.116
0.231
4.00
1.000
0.291
0.872
4.00
1.000
0.291
1.163
4.66
0.932
0.271
1.355
TOTAL
14.98
22.00
3.44
1.000
3.653
73.06%
PRUEBA
NIVEL ACTUAL
FUNCION: Jefatura de Infraestructura
0
0.00
0.000
0.000
0.000
0.33
0.110
0.031
0.031
2.33
0.466
0.130
0.261
50
Definicin de Proyecto
4.00
1.000
0.280
0.839
4.00
1.000
0.280
1.119
5.00
1.000
0.280
1.398
TOTAL
15.66
22.00
3.58
1.000
3.647
72.94%
PRUEBA
NIVEL ACTUAL
51
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
MM06 2/2
TEAM_AD
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
LIDER T.
0.00
0.000
0.000
0.000
0.66
0.220
0.031
0.031
4.32
0.864
0.123
0.246
8.00
2.000
0.285
0.855
8.00
2.000
0.285
1.140
9.66
1.932
0.275
1.377
TOTAL
30.64
22.00
7.02
1.000
3.650
PRUEBA
30.64
22.00
73.00%
NIVEL ACTUAL
CONCLUSIN:
Se determin que en la direccin de informtica se administran los controles
sobre este proceso de forma Definida, mostrando un nivel 3.65 de capacidad
y un 73% de confiabilidad en los objetivos de control informtico.
52
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
implementar
LIDER T.
infraestructura Qu tanto se ha
alcanzado?
Fecha:
No alcanzado
NV No. DECLARACIN
Completamente
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
Ampliamente
Adquirir
MM06-01 1/2
TEAM_AD
Parcialmente
PROCESO:BAI03
tecnolgica
Papel de Trabajo
HECHO POR:
Valor
de
cumplimiento
0.00
0.00
0.00
0.33
X
0.66
10
1.00
11
1.00
53
0.00
1.00
0.00
0.33
Definicin de Proyecto
12
son
13
54
planificadas,
X
1.00
1.00
Definicin de Proyecto
18
Ampliamente
19
20
21
22
Valor
de
cumplimiento
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
X
TOTAL
NIVEL
55
MM06-01 2/2
TEAM_AD
LIDER T.
Completamente
Parcialmente
NV No. DECLARACIN
El proceso de adquisicin y mantenimiento para la
infraestructura tecnolgica se ha desarrollado hasta el
punto que funciona bien para la mayora de las situaciones,
es seguido coherentemente y se concentra en la
4
14 reutilizacin.
La infraestructura de TI soporta de manera adecuada las
4
15 aplicaciones de negocio.
El proceso de adquisicin y mantenimiento para la
infraestructura tecnologa est bien organizado y es
4
16 proactivo.
El costo y el tiempo para alcanzar el nivel esperado de
escalabilidad, flexibilidad e integracin estn parcialmente
4
17 optimizado.
No alcanzado
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
SEGURITAS S.A.
Gerencia de Riesgos
0.66
DEL
14.98
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
implementar
LIDER T.
infraestructura Qu tanto se ha
alcanzado?
Fecha:
No alcanzado
NV No. DECLARACION
Completamente
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
Ampliamente
Adquirir
MM06-02 1/2
TEAM_AD
Parcialmente
PROCESO: BAI03
tecnolgica
Papel de Trabajo
HECHO POR:
0.00
0.00
0.00
10
56
0.33
X
Valor
de
cumplimiento
1.00
0.00
1.00
0.00
0.33
X
1.00
Definicin de Proyecto
11
12
13
57
1.00
1.00
1.00
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
18
19
20
21
22
58
MM06-02 2/2
TEAM_AD
LIDER T.
Completamente
Ampliamente
Parcialmente
NV No. DECLARACIN
El proceso de adquisicin y mantenimiento para la
infraestructura tecnolgica se ha desarrollado hasta el
punto que funciona bien para la mayora de las situaciones,
es seguido coherentemente y se concentra en la
4
14 reutilizacin.
La infraestructura de TI soporta de manera adecuada las
4
15 aplicaciones de negocio.
El proceso de adquisicin y mantenimiento para la
infraestructura tecnologa est bien organizado y es
4
16 proactivo.
El costo y el tiempo para alcanzar el nivel esperado de
escalabilidad, flexibilidad e integracin estn parcialmente
4
17 optimizado.
No alcanzado
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
Valor
de
cumplimiento
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
X
1.00
DEL
15.66
Definicin de Proyecto
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
SEGURITAS S.A.
Gerencia de Riesgos
MM07 1/2
TEAM_AD
LIDER T.
(B)
( C)
(D)
(E )
NIVEL
DE SUMA
DE NUMERO
DE VALOR
DE
CAPACIDAD VALORES
DE DECLARACIONES CUMPLIMIENTO
CUMPLIMIENTO
(B/C)
(F)
NIVEL
CAPACIDAD
(A * E)
DE
NORMALIZACION
DEL VECTOR DE
CUMPLIMIENTO
(D/ D)
0.99
0.495
0.178
0.000
1.65
0.275
0.099
0.099
1.33
0.266
0.096
0.192
6.28
0.698
0.252
0.755
6.28
10
0.628
0.226
0.905
1.65
0.413
0.149
0.743
TOTAL
18.18
36.00
2.77
1.000
2.694
53.89%
PRUEBA
NIVEL ACTUAL
FUNCION: Consolidacin de resultados
0
0.99
0.495
0.178
0.000
1.65
0.275
0.099
0.099
1.33
0.266
0.096
0.192
6.28
0.698
0.252
0.755
6.28
10
0.628
0.226
0.905
1.65
0.413
0.149
0.743
59
Definicin de Proyecto
TOTAL
18.18
36.00
PRUEBA
18.18
36.00
2.77
1.000
2.694
53.89%
NIVEL ACTUAL
SEGURITAS S.A.
Gerencia de Riesgos
CONCLUSIN:
Papel de Trabajo
MM07 2/2
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
TEAM_AD
LIDER T.
60
Definicin de Proyecto
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
SEGURITAS S.A.
Gerencia de Riesgos
MM07-01 1/3
TEAM_AD
LIDER T.
Fecha:
10
11
12
13
14
61
Ampliamente
Parcialmente
NV No. DECLARACION
Completamente
Qu tanto se ha
alcanzado?
No alcanzado
Valor
de
cumplimiento
0.33
0.66
0.66
0.33
0.33
0.33
0.00
0.00
0.00
0.00
0.33
0.00
1.00
1.00
Definicin de Proyecto
15
16
62
0.66
0.66
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
17
18
19
20
21
22
23
24
25
26
27
28
29
30
63
Completamente
Ampliamente
NV No. DECLARACION
Parcialmente
No alcanzado
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
MM07-01 2/3
TEAM_AD
LIDER T.
Valor
de
cumplimiento
0.66
0.66
0.66
0.66
0.66
0.66
0.66
0.66
0.66
0.66
0.66
0.66
0.33
0.33
Definicin de Proyecto
31
32
64
1.00
0.66
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
65
Completamente
Ampliamente
Parcialmente
NV No. DECLARACION
El proceso para la documentacin operativa y de usuarios
es mejorado continuamente a travs de la adopcin de
5
33 nuevas herramientas o mtodos.
Los materiales de procedimiento y capacitacin son
tratados como una base de conocimientos que evoluciona
constantemente y es mantenida electrnicamente usando
una administracin de conocimientos actualizada y
tecnologas de flujo de trabajo y distribucin, lo cual la hace
5
34 accesible y fcil de mantener.
El material est actualizado para reflejar cambios
5
35 organizacionales, operativos y de software.
El desarrollo de documentacin y materiales de
capacitacin, as como la entrega de los programas de
capacitacin, estn totalmente integrados con el negocio y
con las definiciones de procesos de negocios, apoyando
as a los requerimientos a nivel de toda la organizacin en
5
36 lugar de solo a los procedimientos orientados a TI.
No alcanzado
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
MM07-01 3/3
TEAM_AD
LIDER T.
Valor
de
cumplimiento
0.66
0.33
0.33
X
TOTAL
NIVEL
0.33
DEL
18.18
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
MM08 1/2
TEAM_AD
LIDER T.
(B)
( C)
(D)
(E )
NIVEL
DE SUMA
DE NUMERO
DE VALOR
DE
CAPACIDAD VALORES
DE DECLARACIONES CUMPLIMIENTO
CUMPLIMIENTO
(B/C)
(F)
NIVEL
CAPACIDAD
(A * E)
DE
NORMALIZACION
DEL VECTOR DE
CUMPLIMIENTO
(D/ D)
0.00
0.000
0.000
0.000
0.00
0.000
0.000
0.000
3.32
0.553
0.156
0.311
6.00
1.000
0.281
0.844
7.00
1.000
0.281
1.126
6.00
1.000
0.281
1.407
TOTAL
22.32
31.00
3.55
1.000
3.689
73.77%
PRUEBA
NIVEL ACTUAL
FUINCION: Jefatura de Infraestructura
(A)
(B)
( C)
(D)
(E )
(F)
NIVEL
DE SUMA
DE NUMERO
DE VALOR
DE NORMALIZACION
NIVEL
DE
CAPACIDAD VALORES
DE DECLARACIONES CUMPLIMIENTO DEL VECTOR DE CAPACIDAD (A *
CUMPLIMIENTO
(B/C)
CUMPLIMIENTO
E)
(D/ D)
66
Definicin de Proyecto
0.00
0.000
0.000
0.000
1.32
0.330
0.093
0.093
3.98
0.663
0.187
0.373
6.00
1.000
0.281
0.844
67
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
MM08 2/2
TEAM_AD
LIDER T.
(B)
( C)
(D)
(E )
(F)
NIVEL
DE SUMA
DE NUMERO
DE VALOR
DE NORMALIZACION
NIVEL
DE
CAPACIDAD VALORES
DE DECLARACIONES
CUMPLIMIENTO DEL VECTOR DE CAPACIDAD
CUMPLIMIENTO
(B/C)
CUMPLIMIENTO
(A * E)
(D/ D)
7.00
1.000
0.281
1.126
6.00
1.000
0.281
1.407
TOTAL
24.30
31.00
3.99
1.124
3.843
76.87%
NIVEL
ACTUAL
PRUEBA
0.00
0.000
0.000
0.000
1.32
0.330
0.044
0.044
7.30
1.217
0.161
0.322
12.00
2.000
0.265
0.795
14.00
2.000
0.265
1.060
12.00
2.000
0.265
1.325
TOTAL
46.62
31.00
7.55
1.000
3.546
PRUEBA
46.62
31.00
70.93%
NIVEL
ACTUAL
CONCLUSIN:
Se determin que en la direccin de informtica se administran los controles
sobre este proceso de forma Definida, mostrando un nivel 3.546 de capacidad y
un 70.93% de confiabilidad en los objetivos de control informtico.
68
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
Introduccin
de
Cambios Qu tanto se ha
alcanzado?
Fecha:
No alcanzado
NV No. DECLARACION
LIDER T.
Completamente
la
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
Ampliamente
Gestionar
MM08-01 1/3
TEAM_AD
Parcialmente
PROCESO: BAI05
Organizativos
Papel de Trabajo
HECHO POR:
Valor
de
cumplimiento
0.00
0.00
0.00
0.00
0.00
69
0.00
1.00
0.66
0.00
Definicin de Proyecto
10
11
70
0.00
1.00
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
12
13
14
15
16
17
18
19
20
21
22
23
24
25
71
Completamente
MM08-01 2/3
TEAM_AD
LIDER T.
Ampliamente
NV No. DECLARACION
Parcialmente
No alcanzado
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
Valor
de
cumplimiento
0.66
X
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
Definicin de Proyecto
Papel de Trabajo
HECHO POR:
REVISADO POR:
SEGURITAS S.A.
Gerencia de Riesgos
MM08-01 3/3
TEAM_AD
LIDER T.
26
27
28
29
30
31
72
Completamente
Ampliamente
NV No. DECLARACION
Parcialmente
No alcanzado
FECHA DE INCIO:
FECHA FIN:
Valor
de
cumplimiento
1.00
1.00
1.00
1.00
1.00
X
1.00
DEL
22.32
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
Introduccin
de
Cambios Qu tanto se ha
alcanzado?
Fecha:
No alcanzado
NV No. DECLARACION
10
11
MM08-02 1/3
TEAM_AD
LIDER T.
73
Completamente
la
Ampliamente
Gestionar
Parcialmente
PROCESO: BAI05
Organizativos
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
Valor
de
cumplimiento
0.00
0.00
0.33
0.33
0.33
0.33
1.00
0.66
0.33
0.33
1.00
Definicin de Proyecto
en
individuales.
12
iniciativas
74
0.66
Definicin de Proyecto
LIDER T.
NV No. DECLARACION
La gerencia establece polticas y procedimientos para la
3
13 adquisicin de TI.
Las polticas y los procedimientos estn guiados por el
proceso
de
3
14 abastecimiento general de negocios de la organizacin.
La adquisicin de TI est mayormente integrada con los
sistemas
de
3
15 abastecimiento generales del negocio.
Existen estndares de TI para la adquisicin de recursos de
3
16 TI.
Los proveedores de recursos de TI estn integrados en los
mecanismos
de
administracin de proyectos de la organizacin desde una
perspectiva
de
3
17 administracin de contratos.
La gerencia de TI comunica la necesidad de una
administracin
de
adquisiciones
y
3
18 contratos adecuada en toda la funcin de TI.
La adquisicin de TI est completamente integrada con los
sistemas
de
4
19 abastecimiento generales del negocio.
Los estndares de TI para la adquisicin de recursos de TI
se
usan
para
todos
los
4
20 abastecimientos.
Se toman mediciones relativas a los casos de negocio para
la
adquisicin
de
TI
en
4
21 los contratos y en la administracin del abastecimiento.
Se encuentra disponible una emisin de informes sobre la
actividad
de
4
22 adquisicin de TI que apoya los objetivos de negocio.
La gerencia generalmente es consciente de las excepciones
a
las
polticas
y
4
23 procedimientos para la adquisicin de TI.
Comienza a desarrollarse una administracin estratgica de
4
24 relacionamiento.
La gerencia de TI exige el uso del proceso de adquisicin y
administracin
de
contratos para todas las adquisiciones al revisar las
4
25 mediciones de desempeo.
La gerencia establece recursos de adquisiciones a procesos
exhaustivos
para
la
5
26 adquisicin de TI.
75
Completamente
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
Ampliamente
MM08-02 2/3
TEAM_AD
Parcialmente
Papel de Trabajo
HECHO POR:
No alcanzado
SEGURITAS S.A.
Gerencia de Riesgos
Valor
de
cumplimiento
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
MM08-02 3/3
TEAM_AD
LIDER T.
TOTAL
NIVEL
76
Completamente
Ampliamente
Parcialmente
NV No. DECLARACION
La gerencia exige el cumplimiento de las polticas y
procedimientos
para
la
5
27 adquisicin de TI.
Se toman mediciones que son relevantes a los casos de
negocio
para
las
adquisiciones de TI en los contratos y en la administracin
5
28 del abastecimiento.
Se establecen buenas relaciones con los proveedores y
socios
a
lo
largo
del
tiempo y la calidad de dichas relaciones es medida y
monitoreada.
Las
relaciones
5
29 se administran estratgicamente.
Los estndares, polticas y procedimientos de TI para la
adquisicin
de
recursos
de TI se administran estratgicamente y responden a las
5
30 medidas del proceso.
La gerencia de TI comunica la importancia estratgica de una
administracin
de
5
31 adquisiciones y contratos adecuada en toda la funcin de TI.
No alcanzado
FECHA FIN:
Valor
de
cumplimiento
1.00
1.00
1.00
1.00
X
1.00
DEL
24.30
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
MM09 1/3
TEAM_AD
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
LIDER T.
(B)
( C)
(D)
(E )
(F)
NIVEL
DE SUMA
DE NUMERO
DE VALOR
DE NORMALIZACION
NIVEL
CAPACIDAD VALORES
DE DECLARACIONES CUMPLIMIENTO
DEL VECTOR DE CAPACIDAD
CUMPLIMIENTO
(B/C)
CUMPLIMIENTO
(A * E)
(D/ D)
0.00
0.000
0.000
0.000
0.00
0.000
0.000
0.000
0.00
0.000
0.000
0.000
3.00
1.000
0.333
1.000
9.00
1.000
0.333
1.333
5.00
1.000
0.333
1.667
TOTAL
17.00
24.00
3.00
1.000
4.000
DE
80.00%
PRUEBA
NIVEL ACTUAL
FUINCION: Jefatura de Plataforma Tecnolgica
0
0.00
0.000
0.000
0.000
0.00
0.000
0.000
0.000
0.00
0.000
0.000
0.000
3.00
1.000
0.333
1.000
9.00
1.000
0.333
1.333
4.66
0.932
0.311
1.553
77
Definicin de Proyecto
3.887
TOTAL
16.66
24.00
2.93
78
0.977
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
MM09 2/3
TEAM_AD
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
LIDER T.
77.73%
NIVEL
ACTUAL
PRUEBA
0.33
0.165
0.055
0.000
0.33
0.110
0.037
0.037
0.00
0.000
0.000
0.000
3.00
1.000
0.333
1.000
9.00
1.000
0.333
1.333
5.00
1.000
0.333
1.667
TOTAL
17.66
24.00
3.28
1.092
4.037
80.73%
NIVEL
ACTUAL
PRUEBA
0.00
0.000
0.000
0.000
0.00
0.000
0.000
0.000
0.00
0.000
0.000
0.000
2.32
0.773
0.258
0.773
9.00
1.000
0.333
1.333
4.32
0.864
0.288
1.440
TOTAL
15.64
24.00
2.64
0.879
3.547
70.93%
NIVEL
ACTUAL
PRUEBA
0.33
0.165
0.014
0.000
0.33
0.110
0.009
0.009
0.00
0.000
0.000
0.000
11.32
3.773
0.319
0.956
36.00
4.000
0.338
1.351
18.98
3.796
0.320
1.602
TOTAL
66.96
24.00
11.84
1.000
3.918
79
Definicin de Proyecto
PRUEBA
66.96
78.37%
NIVEL
ACTUAL
24.00
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
SEGURITAS S.A.
Gerencia de Riesgos
MM09 3/3
TEAM_AD
LIDER T.
CONCLUSIN:
Se determin que en la direccin de informtica se administran los controles
sobre este proceso de forma Definida, mostrando un nivel 3.918 de capacidad y
un 78.37% de confiabilidad en los objetivos de control informtico.
80
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
MM09-01 1/2
TEAM_AD
LIDER T.
NV No. DECLARACION
10
81
Completamente
Fecha:
Ampliamente
Parcialmente
Qu tanto se ha
alcanzado?
No alcanzado
Valor
de
cumplimiento
0.00
0.00
0.00
0.00
0.00
0.00
0.00
1.00
1.00
1.00
Definicin de Proyecto
4
4
13
14
4
4
15
16
17
18
19
5
5
20
21
22
23
24
82
LIDER T.
Completamente
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
Ampliamente
MM09-01 2/2
TEAM_AD
Parcialmente
NV No. DECLARACION
El proceso de administracin de cambios est bien
desarrollado y es seguido de manera coherente para todos
los cambios, y la gerencia tiene certeza de que
4
11 apenas hay excepciones.
El proceso es eficiente y efectivo, pero se basa
considerablemente en procedimientos y controles manuales
4
12 para asegurar que se logre la calidad.
Papel de Trabajo
HECHO POR:
No alcanzado
SEGURITAS S.A.
Gerencia de Riesgos
Valor
de
cumplimiento
1.00
1.00
X
X
1.00
1.00
X
X
1.00
1.00
1.00
1.00
1.00
X
X
1.00
1.00
1.00
1.00
1.00
Definicin de Proyecto
TOTAL
NIVEL
83
DEL
17.00
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
MM09-02 1/2
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
TEAM_AD
LIDER T.
NV No. DECLARACION
10
84
Completamente
Fecha:
Ampliamente
Parcialmente
Qu tanto se ha
alcanzado?
No alcanzado
Valor
de
cumplimiento
0.00
0.00
0.00
0.00
0.00
0.00
0.00
1.00
1.00
1.00
Definicin de Proyecto
11
85
1.00
Definicin de Proyecto
13
14
15
16
17
18
19
20
21
22
23
24
TOTAL
NIVEL
86
Completamente
Ampliamente
NV No. DECLARACION
El proceso es eficiente y efectivo, pero se basa
considerablemente en procedimientos y controles manuales
4
12 para asegurar que se logre la calidad.
Parcialmente
SEGURITAS S.A.
Gerencia de Riesgos
No alcanzado
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
MM09-02 2/2
TEAM_AD
LIDER T.
Valor
de
cumplimiento
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
0.66
X
1.00
DEL
16.66
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
MM09-03 1/2
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
TEAM_AD
LIDER T.
NV No. DECLARACION
10
87
Completamente
Fecha:
Ampliamente
Parcialmente
Qu tanto se ha
alcanzado?
No alcanzado
Valor
de
cumplimiento
0.00
0.33
0.33
0.00
0.00
0.00
0.00
1.00
1.00
1.00
Definicin de Proyecto
11
88
1.00
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
13
14
15
16
17
18
4
4
19
5
5
20
21
22
23
24
89
Completamente
Ampliamente
Parcialmente
NV No. DECLARACION
El proceso es eficiente y efectivo, pero se basa
considerablemente en procedimientos y controles manuales
4
12 para asegurar que se logre la calidad.
No alcanzado
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
MM09-03 2/2
TEAM_AD
LIDER T.
Valor
de
cumplimiento
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
X
X
1.00
1.00
1.00
1.00
X
TOTAL DEL NIVEL
1.00
17.66
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
MM09-04 1/2
TEAM_AD
LIDER T.
NV No. DECLARACION
10
90
Completamente
Fecha:
Ampliamente
Parcialmente
Qu tanto se ha
alcanzado?
No alcanzado
Valor
de
cumplimiento
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.66
0.66
1.00
Definicin de Proyecto
apoyar la ejecucin de
aplicaciones y tecnologas.
11
los
planes
para
nuevas
91
1.00
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
MM09-04 2/2
TEAM_AD
LIDER T.
4
4
13
14
4
4
15
16
17
18
19
5
5
20
21
22
23
24
92
Completamente
Ampliamente
Parcialmente
NV No. DECLARACION
El proceso es eficiente y efectivo, pero se basa
considerablemente en procedimientos y controles manuales
4
12 para asegurar que se logre la calidad.
No alcanzado
FECHA FIN:
Valor
de
cumplimiento
1.00
X
X
1.00
1.00
X
X
1.00
1.00
1.00
1.00
1.00
X
X
1.00
1.00
1.00
0.66
X
0.66
TOTAL DEL NIVEL 15.64
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
MM10 1/2
TEAM_AD
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
LIDER T.
(B)
( C)
(D)
(E )
(F)
NIVEL
DE SUMA
DE NUMERO
DE VALOR
DE NORMALIZACION
NIVEL
CAPACIDAD VALORES
DE DECLARACIONES CUMPLIMIENTO
DEL VECTOR DE CAPACIDAD
CUMPLIMIENTO
(B/C)
CUMPLIMIENTO
(A * E)
(D/ D)
0.00
0.000
0.000
0.000
1.00
0.333
0.103
0.103
1.00
0.333
0.103
0.205
3.00
0.750
0.231
0.693
5.32
0.887
0.273
1.092
5.66
0.943
0.291
1.453
TOTAL
15.98
23.00
3.25
1.000
3.546
DE
70.92%
PRUEBA
NIVEL ACTUAL
FUNCION: Consolidacin de resultados
0
0.00
0.000
0.000
0.000
1.00
0.333
0.103
0.103
1.00
0.333
0.103
0.205
3.00
0.750
0.231
0.693
5.32
0.887
0.273
1.092
5.66
0.943
0.291
1.453
TOTAL
15.98
23.00
3.25
1.000
3.546
93
Definicin de Proyecto
PRUEBA
15.98
70.92%
23.00
NIVEL ACTUAL
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
CONCLUSIN:
MM10 2/2
TEAM_AD
LIDER T.
94
Definicin de Proyecto
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
MM10-01 1/2
TEAM_AD
LIDER T.
2
2
6
7
10
11
Completamente
Valor
de
cumplimiento
0.00
1.00
0.00
0.00
0.00
95
Ampliamente
NV No. DECLARACION
Parcialmente
Fecha:
No alcanzado
0.00
1.00
1.00
1.00
1.00
0.00
Definicin de Proyecto
12
96
1.00
Definicin de Proyecto
18
19
20
21
22
23
LIDER T.
97
Completamente
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
Ampliamente
MM10-01 2/2
TEAM_AD
Parcialmente
NV No. DECLARACION
La evaluacin de la satisfaccin de los requerimientos de
usuario est estandarizada y se puede medir, produciendo
mtricas que pueden ser revisadas y analizadas
4
13 efectivamente por la gerencia.
La calidad de los sistemas que entran en produccin es
satisfactoria para la gerencia, con niveles razonables de
4
14 problemas posteriores a la implementacin.
La automatizacin del proceso es ad hoc y depende del
proyecto. La gerencia puede estar satisfecha con el nivel
actual de eficiencia a pesar de la falta de evaluaciones
4
15 posteriores a la implementacin.
4
16 El sistema de pruebas refleja adecuadamente el entorno real.
Las pruebas de estrs para los sistemas nuevos y las
pruebas de regresin para los sistemas existentes se aplican
4
17 para los proyectos de gran porte.
Papel de Trabajo
HECHO POR:
No alcanzado
SEGURITAS S.A.
Gerencia de Riesgos
Valor
de
cumplimiento
1.00
1.00
X
X
1.00
0.66
0.66
0.66
1.00
1.00
1.00
1.00
X
1.00
DEL
15.98
Definicin de Proyecto
Consejo de Administracin
Gerencia de Riesgos
Evaluacin de controles en los procesos de Adquisicin
Implementacin de Tecnologa Informtica
Fecha:
**/**/2015
C.C.: Gerencia General / Direccin de Informtica
Objetivo:
El presente informe tiene como fin, presentar los resultados obtenidos en las pruebas
de nivel de capacidad de los controles informticos aplicados en la adquisicin e
implementacin de tecnologa informtica y soporta la decisin de la administracin de
invertir en este rubro posteriormente.
Alcance:
La evaluacin fue aplicada a las actividades de la direccin de informtica realizadas
durante un periodo de cuatro meses aproximado, tomando como base los Objetivos
de Control de Informacin y Tecnologa Relacionada (COBIT, por sus siglas en ingls),
desde el punto de vista de los procesos incluidos en el dominio de Adquirir e
Implementar (AI).
98
Definicin de Proyecto
Gestionar
la
Introduccin
de
Cambios Organizativos
(BAI05).
Administracin
cambios (BAI06).
Definicin de Proyecto
100
Definicin de Proyecto
Conclusiones Generales:
101