UNIVERSIDAD NACIONAL DE SAN AGUSTÍN

FACULTAD DE PRODUCCIÓN Y SERVICIOS

ESCUELA PROFESIONAL
DE INGENIERÍA DE SISTEMAS
 Curso:
Auditoria de Sistemas

EMPRESA “SOFTMASMAS S.A.C.”

“COBIT 4.1”
Grupo: 18

Docente:
Ing. Jesús Zuñiga Cueva

Integrantes:

 Apaza Apaza Karen G.

 Ojeda Collazos Sharon
 Zegarra Figueroa Ronald

Arequipa Perú
201

Tabla de Contenido
I. MODELO DE MEJORES PRÁCTICAS UTILIZADO: COBIT ..................................................................... 4
II. PROCESOS DE COBIT RELACIONADOS CON LA AUDITORIA ............................................................ 6
III. COBIT Y AUDITORIA ........................................................................................................................ 7
 3.1 ENTIDAD AUDITADA: SOFTMASMAS S.A.C. .............................................................................. 7
3.2 ALCANCE DE LA AUDITORIA ...................................................................................................... 7
3.3 NORMA APLICADA..................................................................................................................... 8
3.4 DIAGNÓSTICO DE LA EMPRESA “SOFTMASMAS S.A.C” ............................................................ 9
Ubicación Geográfica .................................................................................................................. 9
Antecedentes .............................................................................................................................. 9
Misión, Visión y Objetivos ........................................................................................................... 9
Fortalezas, Oportunidades, Debilidades y Amenazas ............................................................... 10
Fortalezas .................................................................................................................................. 10
Oportunidades .......................................................................................................................... 11
Debilidades ................................................................................................................................ 11
Amenazas .................................................................................................................................. 12
IV. REALIZACIÓN DE LA AUDITORIA .................................................................................................. 13
4.1 MODELOS DE MADUREZ DE LOS PROCESOS ........................................................................... 13
REPORTE GENERAL DE GRADOS DE MADUREZ ......................................................................... 30
RESUMEN DE ANÁLISIS POR DOMINIOS: .................................................................................. 30
V. ANALISIS Y RESULTADOS ............................................................................................................... 31
Informe Técnico ............................................................................................................................ 31
ALCANCE .................................................................................................................................... 31
OBJETIVOS ................................................................................................................................. 31
Dominio a Plantear y Organizar .................................................................................................... 31
Dominio Adquirir e implementar .................................................................................................. 32
Dominio Entregar y Dar Soporte ................................................................................................... 32
Dominio Monitorear y Evaluar ...................................................................................................... 33
Impacto sobre los Criterios de Información .................................................................................. 33
VI. CONCLUSIONES Y RECOMENDACIONES....................................................................................... 34
CONCLUSIONES ............................................................................................................................. 34
RECOMENDACIONES ..................................................................................................................... 35
BIBLIOGRAFIA .................................................................................................................................... 35
ANEXOS ............................................................................................................................................. 36
Auditoría a la Empresa:

“SOFTMASMAS S.A.C.”

I. MODELO DE MEJORES PRÁCTICAS UTILIZADO: COBIT

Los Objetivos de Control para la Información y las Tecnologías Relacionadas (COBIT), ayuda a
satisfacer las múltiples necesidades de la Administración estableciendo un puente entre los riesgos
del negocio, los controles necesarios y los aspectos técnicos. Provee buenas prácticas a través de un
dominio y el marco referencial de los procesos y presenta actividades en una estructura manejable
y lógica. Las “Buenas prácticas” de COBIT reúne el consenso de expertos - quienes ayudarán a
optimizar la inversión de la información y proporcionarán un mecanismo de medición que permitirá
juzgar cuando las actividades van por el camino equivocado.
La Administración debe asegurar que los sistemas de control interno o el marco referencial están
funcionando y soportan los procesos del negocio y debe tener claridad sobre la forma como cada
actividad individual de control satisface los requerimientos de información e impacta los recursos
de TI. El impacto sobre los recursos de TI son resaltados en el Marco de Referencia de COBIT junto
con los requerimientos del negocio que deben ser alcanzados:

 Eficiencia

 Efectividad

 Confidencialidad

 Integridad

 Disponibilidad

 Cumplimiento y

 Confiabilidad de la información.

La orientación al negocio es el tema principal de COBIT. El Marco de Referencia de COBIT

proporciona, al propietario de procesos de negocio, herramientas que facilitan el cumplimiento de
esta responsabilidad. El Marco de Referencia contiene un conjunto de 34 Objetivos de Control de
alto nivel, uno para cada uno de los Procesos de TI, agrupados en cuatro dominios:

a) Planeación y Organización,

b) Adquisición e Implementación

c) Entrega de servicios y Soporte y

d) Monitoreo.
Específicamente COBIT provee Modelos de Madurez para el control sobre los procesos de TI de tal
forma que la Administración puede ubicarse en el punto donde la organización está hoy, donde está
en relación con los “mejores de su clase” en su industria y con los estándares internacionales y así
mismo determinar adonde quiere llegar.

Por lo tanto, COBIT está diseñado para ser la herramienta de gobierno de TI que ayude al
entendimiento y a la administración de los riesgos así como de los beneficios asociados con la
información y sus tecnologías relacionadas.

II. PROCESOS DE COBIT RELACIONADOS CON LA AUDITORIA

Los Recursos de TI necesitan ser administrados por un conjunto de procesos agrupados en

forma natural, con el fin de proporcionar la información que la empresa necesita para alcanzar
sus objetivos.
Resulta claro que las medidas de control no satisfarán necesariamente los diferentes
requerimientos de información del negocio en la misma medida.
Por esa razón los procesos en COBIT satisfacen uno o varios criterios de la información de la
siguiente manera:

(P) Primario: Es el grado al cual el objetivo de control definido impacta directamente el

requerimiento de información de interés.
(S) Secundario: Es el grado al cual el objetivo de control definido satisface únicamente
de forma indirecta o en menor medida el requerimiento de información de interés.
Blanco (vacío): Podría aplicarse; sin embargo, los requerimientos son satisfechos más
apropiadamente por otro criterio en este proceso y/o por otro proceso.

PROCESOS COBIT

Definir un plan estratégico de tecnología de

P01 la información DS1 Definir y Administrar los niveles de servicio
 P02 Definir la arquitectura de la información DS2 Administrar los servicios de terceros

P03 Determinar la dirección tecnológica DS3 Administrar el desempeño y capacidad

Definir los procesos, La Organización y las

P04 relaciones TI DS4 Garantizar la continuidad del servicio

P05 Administrar las inversiones (en TI) DS5 Garantizar la seguridad de los sistemas

Comunicar la dirección y objetivos de la

P06 gerencia DS6 Identificar y asignar costos

P07 Administrar los recursos humanos DS7 Educar y capacitar a usuarios

P08 Asegurar el apego a disposiciones externas DS8 Apoyar y orientar a clientes

P09 Evaluar Riesgos DS9 Administrar la configuración

P010 Administrar Proyectos DS10 Administrar problemas e incidentes

P011 Administrar Calidad DS11 Administrar la información

DS12 Administrar las instalaciones

AI1 Identificar soluciones automatizadas DS13 Administrar la operación

AI2 Adquirir y mantener software Aplicativo

Adquirir y mantener la Infraestructura

AI3 tecnológica M1 Monitorear y evaluar el Desempeño de TI

AI4 Facilitar la Operación y el Uso M2 Monitorear y Evaluar el control interno

AI5 Adquirir Recursos de TI M3 Garantizar el Cumplimiento Regulatorio

AI6 Administrar cambios M4 Proporcionar Gobierno de TI

III. COBIT Y AUDITORIA

3.1 ENTIDAD AUDITADA: SOFTMASMAS S.A.C.

3.2 ALCANCE DE LA AUDITORIA

Se realizará la Auditoria a la empresa de Desarrollo de Software “SOFTMASMAS S.A.C.” y sus

principales Áreas Informatizadas como son:
 • Proyectos
• Contabilidad
• Logística
• Soporte

La auditoría en estas áreas se realizará respecto al cumplimiento del proceso ―Garantizar la

seguridad de los sistemas‖ de la norma COBIT

Gerencia
General

Proyectos Contabilidad Logística Soporte

Analisis Programación Calidad

Área Hardware Software Personal

Gerencia 1 PC Tipo Desktop, Microsoft Office 1 Gerente
General RAM:8G,Procesador Intel:Corei5
Proyectos 10 PCs Tipo Desktop,RAM:8G, Microsoft Office 10 miembros
Procesador IntelCorei5 IDEs de Programación, Herramientas
Case, Gestores de Base de Datos y
Herramientas de Testeo de
Software.
Contabilidad 1 PC Tipo Desktop, Microsoft Office, PDT 1 contador
RAM:4G,Procesador Intel Corei3
Logística 1 PC Tipo Desktop, Microsoft Office 1 Logística
RAM:4G,Procesador Intel Corei3
Soporte 1 PC Tipo Desktop, Software de Diagnostico de Fallas 1 Soporte
RAM:4G,Procesador Intel Corei3

Hardware Adicional:

• 2 PCs Tipo Desktop, RAM: 8G, Procesador Intel:Corei5 – (Servidor Web y Correo – Servidor
de Archivos y Servidor Proxy )

• 1 Switch D-LINK -24 puertos

3.3 NORMA APLICADA

COBIT, tomando en cuenta los procesos que garanticen el cumplimiento del sistema de gestión
de seguridad de la información, específicamente el proceso de TI DS5 “Garantizar la Seguridad
de los Sistemas”.

3.4 DIAGNÓSTICO DE LA EMPRESA “SOFTMASMAS S.A.C”

Ubicación Geográfica

La empresa de Desarrollo de Software “SOFTMASMAS S.A.C.” se encuentra ubicada Av.

Vidaurrazaga Mza. B Lote. 5ª en el Distrito de José Luis Bustamante y Rivero, provincia y
departamento de Arequipa. La empresa cuenta con una página Web
(http://www.softmasmas.com/#), que describe brevemente el rol de la empresa.

Antecedentes

SOFTMASMAS S.A.C.es una empresa de desarrollo de software creada en el año 2012 en Arequipa,
Perú. Como empresa de desarrollo de software, nuestro objetivo es utilizar las más modernas
tecnologías para brindar a las empresas de la región, aplicaciones y software de última generación
que logren automatizar los complejos procesos empresariales y productivos con la mayor eficiencia
y rentabilidad posible.

Nuestro equipo formado por un experimentado grupo de jóvenes profesionales de alta calificación,
nos hace una importante empresa de desarrollo de software en el mercado local y con una gran
experiencia en el desarrollo de software de última generación.

Nuestra meta frente a nuestros clientes es ser su empresa de desarrollo de software aliada, para
logar de forma conjunta la mayor eficiencia de sus procesos productivos y empresariales, garantizar
el crecimiento y la productividad de la empresa.

Misión, Visión y Objetivos

Misión

Brindar soluciones informáticas innovadoras y de alta calidad, permitiendo a nuestros clientes poder
administrar e integrar su información, automatizando sus procesos de negocio e incrementando su
competitividad.

Visión

Ser reconocidos como líderes en la Región por la calidad de nuestros productos y servicios. Y
establecer relaciones comerciales duraderas basadas en la excelencia y la satisfacción. Nuestro
método de trabajo está adaptado a la filosofía de la empresa: Software a medida del cliente.
Objetivos

Objetivo general

Implementar y hacer uso de las herramientas informáticas ya existentes de la Empresa

“SOFTMASMAS S.A.C.” haciendo uso legal de las tecnologías de información. Optimizar de una
manera eficiente y eficaz el área de informática (que involucra a toda la empresa).

Objetivos Específicos

• Analizar la situación problemática de la Empresa.

• Evaluar el Hardware y el software de la Empresa.
• Efectuar diagnósticos referidos a la utilización potencial de las computadoras.
• Desarrollar la verificación total de los empleados (cámaras en las oficinas).
• Implementar la comunicación total haciendo uso de las redes.
• Mantenimiento de hardware y software.
• Proporcionar asesoramiento técnico calificado en asuntos materia de la competencia de la
Empresa.

Los Objetivos Estratégicos son los siguientes:

 Mantener el cumplimiento de nuestra misión empresarial con la calidad, productividad y

rentabilidad óptimas; involucradas en un proceso de mejora constante de nuestros
procesos para lograr la satisfacción total de nuestros clientes.

 Mejorar la calidad de la oferta en el mercado regional brindando soluciones de alta

tecnología confiable y seguras que optimicen los procesos de comunicación y gestión de
información de las organizaciones

Fortalezas, Oportunidades, Debilidades y Amenazas

Fortalezas

 En el área de Proyectos la empresa de “SOFTMASMAS S.A.C.” cuenta con una fiel lista
de clientes que debido a su adecuado desempeño, se han convertido en su mejor
respaldo para el cumplimiento de sus objetivos como empresa.

 Se cuenta con un sólido equipo de profesionales en ingeniería, con la finalidad de

brindar soluciones tecnológicas eficientes y de calidad.
  Se cuenta además con certificaciones de calidad y procesos, Certificación de Madurez
Organizacional: Nivel1, y preparándonos para obtener nivel 2. Modelos de procesos y
evaluación para desarrollo y mantenimiento de software -Requisitos de Procesos
(MoProSoft)

 El personal con el que se cuenta se sienten identificados con los objetivos de la empresa
y es por lo cual se consiguen los logros obtenidos y así también con los de nuestros
clientes.

 La empresa está enfocada a dar soluciones confiables a organizaciones ofreciendo

oportunamente, soluciones innovadoras a nivel informático.

 El área de proyectos cuenta con las herramientas tanto de hardware como software
para implementar los sistemas deseados.

 Son un quipo con ideas innovadoras para el desarrollo de actividades y proyectos.

 Totalmente actualizados con las últimas tecnologías.

 El personal están dispuestos a ofrecer tecnología de calidad

Oportunidades

 La demanda creciente en el mercado en cuanto a soluciones informáticas les hace ser

una alternativa para dicho servicio, para lo cual la empresa está en una óptima situación
para llevarlas a cabo.

 Aprovechar de alguna manera las fallas o debilidades de las demás empresas de su

rubro, proponiendo mejoras en la calidad de los productos y servicio

 Las constantes capacitaciones y talleres que se aplican a los trabajadores

 Existencia de gran variedad de sistemas en el mercado que pueden ser adaptados a las
necesidades internas de la empresa.

 La necesidad de la pequeña empresa de implementar tecnologías para el tratamiento

de su información.
 La empresa Software ++ cuenta con muchos negocios que aun aplica procesos
ordinarios al tratamiento de la información.

 Tecnologías las cuales se pueden implementar en el negocio.

 Generación de actualizaciones tanto de software como hardware que conllevan a más

ventajas.

Debilidades
  Quizá uno de sus aspectos en contra es su poca inversión en publicidad lo cual conlleva
a ser poco conocidos entre la población.

 El ser una empresa nueva en el rubro de alguna manera hace que sus clientes tengan
una mínima pero relevante percepción de desconfianza.

 Miedo o ansiedad del personal por el desarrollo del nuevo negocio.

 Presupuesto.

 No se cuenta con la experiencia como las demás empresas ya insertadas en el mercado

laboral.

 Como nuevo negocio no cuentan con los suficientes clientes.

 Por ser un nuevo negocio las demás empresas sienten un grado de desconfianza al
momento de optar por nuestros servicios.

 Poca experiencia del grupo en el área laboral.

 Falta de personal capacitado para el desarrollo de proyectos más extensos.

Amenazas

 El reconocimiento que tienen ciertas empresas debido al mayor tiempo de existencia

en el rubro.

 La continua oferta que tienen las demás empresas en busca de ganar demanda de los
clientes

 Problema externos no controlables como la inflación, inestabilidad política, económica

entre otros.

 Entrada de nuevas empresas del mismo rubro al mercado.

 El surgimiento de nuevas empresas en el ramo.

 La inconformidad de los clientes por servicios o productos que no han llenado sus
necesidades.

 La conformidad de los negocios en seguir utilizando técnicas ordinarias para el

tratamiento de la información.

 Estrategias mercadotécnicas de las competencias.

  Hackers.

 Generaciones de virus cada vez más destructivos

IV. REALIZACIÓN DE LA AUDITORIA

4.1 MODELOS DE MADUREZ DE LOS PROCESOS

Se mostrara a continuación una ficha por cada uno de los objetivos haciendo un análisis de
los modelos de madurez de COBIT 4.1, para determinar el nivel mínimo que no cumple la
Organización que a su vez califica el nivel en dicho objetivo.
 DOMINIO: PLANIFICAR Y ORGANIZAR
PO2: Definir la Arquitectura de la Información

CUMPLE
CUMPLE
NO
NIVEL DE MADUREZ OBSERVACIONES

El conocimiento, la experiencia y las GRADO DE MADUREZ

Nivel responsabilidades necesarias para El proceso de Definir la Arquitectura de la
√
0 desarrollar esta arquitectura no Información está en el nivel de madurez
existen en la organización. 1.
La gerencia reconoce la necesidad de OBJETIVOS NO CUMPLIDOS
una arquitectura de información. El Que no se resolvió necesidades
Nivel
desarrollo de algunos componentes √ futuras del negocio realizando el
1
de una arquitectura de información proceso de la arquitectura de la
ocurre de manera ad hoc. información.
Las personas obtienen sus Aprovechar las habilidades
habilidades al construir la
Nivel personales para la construcción
arquitectura de información por √
2 de la arquitectura de la
medio de experiencia práctica y la
información.
aplicación repetida de técnicas.
Existe una función de administración
de datos definida formalmente, que
Nivel establece estándares para toda la
√
3 organización, y empieza a reportar
sobre la aplicación y uso de la
arquitectura de la información.
El proceso de definición de
Nivel la arquitectura de información es √
4 proactivo y se enfoca en resolver
necesidades futuras del negocio.
El personal de TI cuenta con la
Nivel experiencia y las habilidades
5 necesarias para desarrollar y dar
mantenimiento a una arquitectura de √
información robusta y sensible que
refleje todos los requerimientos del
negocio.
RECOMENDACIONES
Para el proceso PO2 de COBIT estable los siguientes objetivos de control:
Desarrollar y mantener la arquitectura de la información.
Tener en claro la definición del proceso de la arquitectura de la información.
Ser partícipe de la construcción de la arquitectura de la información para incrementar sus
habilidades.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el
Corto Plazo:
Establecer y mantener un modelo de arquitectura de la información para facilitar el
desarrollo de aplicaciones y actividades de soporte a la toma de decisiones, este modelo
será útil para la creación, uso y compartición óptimas de la información vital. En el
Largo Plazo:
Definir e implementar procedimientos para brindar integridad y consistencia de todos los
datos que se encuentran almacenado en formato electrónico, como bases de datos,
almacenamiento de datos y archivos.
 DOMINIO: PLANIFICAR Y ORGANIZAR
PO5: Administrar la Inversión de TI

CUMPLE
CUMPLE
NO
NIVEL DE MADUREZ OBSERVACIONES

No existe conciencia de la GRADO DE MADUREZ

importancia de la selección y El proceso de Administrar la Inversión de TI
Nivel presupuesto de las inversiones en TI. está en el nivel de madurez 4. OBJETIVOS NO
No existe seguimiento o √ CUMPLIDOS
0
monitoreo de las inversiones y gastos Formular las relaciones con
de TI. terceros para la TI.
La organización reconoce la
necesidad de administrar la
Nivel inversión en TI, aunque esta √
1 necesidad se comunica de manera
inconsistente.
Existe un entendimiento implícito
Nivel
de la necesidad de seleccionar y √
2
presupuestar las inversiones en TI.
El presupuesto de TI está alineado con
los planes estratégicos de TI y con los √
Nivel planes del negocio. Los procesos de
3
selección de inversiones en TI y de
presupuestos están formalizados,
documentados y comunicados.
La responsabilidad y la rendición de
Nivel cuentas por la selección y presupuestos √
4 de inversiones se asignan a un individuo
específico. Las diferencias en el
presupuesto se identifican y se
resuelven.

Se utilizan las mejores prácticas de la

industria para evaluar los costos por √
Nivel comparación e identificar la efectividad
5
de las inversiones. Se utiliza el análisis
de los avances tecnológicos en el
proceso de selección y presupuesto de
inversiones.
RECOMENDACIONES
Para el proceso PO5 de COBIT estable los siguientes objetivos de control:
Reconocer la necesidad de administrar la inversión en TI.
Utilizar las mejores prácticas para la evaluación de costos de inversión.
Documentar y formalizar el presupuesto en TI.
Para pasar al nivel de madurez 5 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Incluir un análisis de costos y beneficios a largo plazo del ciclo total de vida en la toma de
decisiones de inversiones.
En el Largo Plazo:
Mejorar de forma continua la administración de inversiones en base a las lecciones
aprendidas del análisis del desempeño real de las inversiones.
 DOMINIO: ADQUIRIR E IMPLEMENTAR
AI3: Adquirir y Mantener Infraestructura Tecnológica

CUMPLE
CUMPLE
NO
NIVEL DE MADUREZ OBSERVACIONES

No se reconoce la administración de GRADO DE MADUREZ

Nivel la infraestructura de tecnología como El proceso de Adquirir y Mantener
un asunto importante al cual deba ser √ Infraestructura Tecnológica está en el nivel de
0
resuelto. madurez 1.
OBJETIVOS NO CUMPLIDOS
Se realizan cambios a la
infraestructura para cada nueva Definir una estrategia para la
Nivel aplicación, sin ningún plan en adquisición y mantenimiento de
conjunto. La actividad de √ la infraestructura.
1
mantenimiento reacciona a Organizar y prevenir el proceso
necesidades de corto plazo. de adquisición y mantenimiento
de la infraestructura.
La adquisición y mantenimiento de la
infraestructura de TI no se basa en una
Nivel estrategia definida y no considera las
necesidades de las aplicaciones del √
2
negocio que se deben respaldar.

El proceso respalda las necesidades

de las aplicaciones críticas del negocio
Nivel y concuerda con la estrategia de
√
3 negocio de TI, pero no se aplica en
forma consistente.

La infraestructura de TI soporta
Nivel adecuadamente las aplicaciones del
√
4 negocio. El proceso está bien
organizado y es preventivo.
El proceso de adquisición y √
Nivel mantenimiento de la infraestructura
5 de tecnología es preventivo y está
estrechamente en línea con las
aplicaciones críticas del negocio y con
la arquitectura de la tecnología.
RECOMENDACIONES
Para el proceso AI3 de COBIT estable los siguientes objetivos de control:
Crear un plan de adquisición de infraestructura tecnológica.
Garantizar la disponibilidad de la infraestructura tecnológica.
Identificar que necesidades se tiene para adquisición de infraestructura tecnológica.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Crear un plan de adquisición de infraestructura tecnológica.
En el Largo Plazo:
Proteger la infraestructura tecnológica mediante medidas de control interno,
seguridad y auditabilidad durante la configuración, integración y mantenimiento de
hardware y software de la infraestructura tecnológica.
 DOMINIO: ADQUIRIR E IMPLEMENTAR
AI5: Adquirir Recursos de TI

CUMPLE
CUMPLE
NO
NIVEL DE MADUREZ OBSERVACIONES

Nivel No existe un proceso definido de GRADO DE MADUREZ

0 adquisición de recursos de TI.
Los contratos para la adquisición
de recursos de TI son elaborados y
administrados por gerentes de
Nivel proyecto y otras personas que ejercen
su juicio profesional más que seguir
1
resultados de procedimientos
y políticas formales.
√
El proceso de Adquirir Recursos de TI está
en el nivel de madurez 4.
OBJETIVOS NO CUMPLIDOS
Falta de buenas relaciones con
algunos proveedores de forma
√ estratégica.

Nivel Se determinan responsabilidades y

√
2 rendición de cuentas para la
administración de adquisición y
contrato de TI según la experiencia
particular del gerente de contrato.
Nivel La adquisición de TI se integra en
3 Gran parte con los sistemas √
generales de adquisición del
negocio.

Nivel La adquisición de TI se integra en

4 Gran parte con los sistemas
generales de adquisición del √
negocio. Existen estándares de TI para
la adquisición de recursos de TI.
Nivel Se establecen buenas relaciones
5 con el tiempo con la mayoría de los
proveedores y socios, y se mide y vigila
la calidad de estas relaciones. Se
manejan las relaciones en forma √
estratégica.
RECOMENDACIONES
Para el proceso AI5 de COBIT estable los siguientes objetivos de control:
Tomar medidas en la administración de contratos y adquisiciones.
Establecer buenas relaciones con la mayoría de proveedores y socios.
Para pasar al nivel de madurez 5 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Manejar estratégicamente los estándares, políticas y procedimientos de TI para adquirir
los recursos de TI.
En el Largo Plazo:
Cumplir y hacer cumplir los derechos y obligaciones de ambas partes en los términos
contractuales.
 DOMINIO: ENTREGAR Y DAR SOPORTE
DS1: Definir y Administrar los Niveles de Servicio

CUMPLE
CUMPLE
NO
NIVEL DE MADUREZ OBSERVACIONES

La gerencia no reconoce la GRADO DE MADUREZ

Nivel
necesidad de un proceso para √ El proceso de Definir y Administrar los
0
definir los niveles de servicio. Niveles de Servicio está en el nivel de madurez
La responsabilidad y la rendición 1.
Nivel de cuentas sobre para la definición y la OBJETIVOS NO CUMPLIDOS
√ No ordenar los procesos de
1 administración de servicios no está
definida. desarrollo por niveles de servicio.
Los reportes de los niveles de Realizar reportes de servicio de
√
Nivel servicio están incompletos y
2 pueden ser irrelevantes o
engañosos para los clientes. Los
reportes de los niveles de servicio
dependen, en forma individual, de las
habilidades y la iniciativa de los
administradores.

El proceso de desarrollo del √

Nivel acuerdo de niveles de servicio esta en
3 orden y cuenta con puntos de control
para revalorar los niveles de servicio
y la satisfacción de cliente.

La satisfacción del cliente es

Nivel √
medida y valorada de forma
4 rutinaria. Las medidas de desempeño
reflejanlas necesidades del cliente, en
lugar de las metas de TI.
 Todos los procesos de
√
Administración de niveles de
servicio están sujetos a mejora
Nivel continua. Los niveles de
5 satisfacción del cliente son
administrados y monitoreados de
manera continua.

RECOMENDACIONES
Para el proceso DS1 de COBIT estable los siguientes objetivos de control:
Realizar un portafolio de servicios.
Realizar acuerdos de niveles de servicio.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Realizar a menudo una revisión con los proveedores internos y externos los acuerdos
de niveles de servicio.
En el Largo Plazo:
Realizar un monitoreo y reporte del cumplimiento de los niveles de servicio, estos
reporte deben mantener un formato entendible por parte de los interesados.
 DOMINIO: ENTREGAR Y DAR SOPORTE
DS5: Garantizar la Seguridad de los Sistemas

CUMPLE
CUMPLE
NO
NIVEL DE MADUREZ OBSERVACIONES

Las medidas para soportar la GRADO DE MADUREZ

administrar la seguridad de TI no están El proceso de Garantizar la Seguridad de los
Nivel implementadas. No hay Sistemas está en el nivel de madurez 1.
0 reportes de seguridad de TI ni un √ OBJETIVOS NO CUMPLIDOS
proceso de respuesta para resolver Concientizar el valor de la
brechas de seguridad de TI. seguridad de la información.
La seguridad de TI se lleva a cabo Elaborar un plan de seguridad de
de forma reactiva. No se mide la TI.
seguridad de TI. Las brechas de
seguridad de TI ocasionan
Nivel respuestas con acusaciones √
1 personales, debido a que las
responsabilidades no son claras. Las
respuestas a las brechas de seguridad
de TI son impredecibles.

La conciencia sobre la necesidad

de la seguridad esta fraccionada y
Nivel limitada. Aunque los sistemas
producen información relevante √
2
respecto a la seguridad, ésta no se
analiza.
Las responsabilidades de la
seguridad de TI están asignadas y
entendidas, pero no
Nivel continuamente implementadas.
Existe un plan de seguridad de TI y √
3
existen soluciones de seguridad
motivadas por un análisis de
riesgo.

El contacto con métodos para

promover la conciencia de la
Nivel seguridad es obligatorio. La
identificación, autenticación y √
4
autorización de los usuarios está
estandarizada.
Nivel Los usuarios y los clientes se
√
5 responsabilizan cada vez más de
definir requerimientos de seguridad, y
las funciones de seguridad están
integradas con las aplicaciones en la
fase de diseño.

RECOMENDACIONES
Para el proceso DS5 de COBIT estable los siguientes objetivos de control:
Se debe administrar la seguridad TI.
Realizar un plan de seguridad de TI.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Implementar seguridad en la red como por ejemplo firewalls, dispositivos de seguridad,
detección de intrusos, etc.)
En el Largo Plazo:
Realizar pruebas a la implementación de la seguridad, de igual forma monitorear
esta.
 DOMINIO: MONITOREAR Y EVALUAR
ME1: Monitorear y Evaluar el Desempeño de TI

CUMPLE
CUMPLE
NO
NIVEL DE MADUREZ OBSERVACIONES

TI no lleva a cabo monitoreo de GRADO DE MADUREZ

proyectos o procesos de forma El proceso de Monitorear y Evaluar el
independiente. No se cuenta con Desempeño de TI está en el nivel de madurez 0.
Nivel reportes útiles, oportunos y √ OBJETIVOS NO CUMPLIDOS
0 precisos. La necesidad de entender de Poder identificar los procesos
forma clara los objetivos de los estándares de evaluación.
procesos no se reconoce. Integrar todos los procesos y
No se han identificado procesos proyectos de TI.
estándar de recolección y
evaluación. El monitoreo se
Nivel implanta y las métricas se
seleccionan de acuerdo a cada caso, √
1
de acuerdo a las necesidades de
proyectos y procesos de TI específicos.

La interpretación de los resultados del

Nivel
monitoreo se basa en la √
2
experiencia de individuos clave.
Las mediciones de la contribución
de la función de servicios de
Nivel información al desempeño de la
organización se han definido, √
3
usando criterios financieros y
operativos tradicionales.
Hay una integración de métricas a lo
Nivel largo de todos los proyectos y procesos √
4 de TI. Los sistemas de reporte de la
administración de TI están
formalizados.

Las métricas impulsadas por el

negocio se usan de forma rutinaria para
Nivel √
5 medir el desempeño, y están
integradas en los marcos de
trabajo estratégicos, tales como el
Balanced Scorecard.
RECOMENDACIONES
Para el proceso ME1 de COBIT estable los siguientes objetivos de control:
Definir un método de monitoreo como Balance Scorecard.
Evaluar el desempeño comparándolo periódicamente con las metas.
Para pasar al nivel de madurez 1 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Realizar una marco de trabajo de monitoreo general garantizado por la gerencia.
En el Largo Plazo:
Identificar e iniciar medidas correctivas sobre el desempeño de TI.
 DOMINIO: MONITOREAR Y EVALUAR
ME2: Monitorear y Evaluar el Control Interno

CUMPLE
CUMPLE
NO
NIVEL DE MADUREZ OBSERVACIONES

Los métodos de reporte de control GRADO DE MADUREZ

interno gerenciales no existen. El proceso de Monitorear y Evaluar el Control
Nivel Existe una falta generalizada de Interno está en el nivel de
conciencia sobre laseguridad √ madurez 0.
0
operativa y el aseguramiento del OBJETIVOS NO CUMPLIDOS
control interno de TI. Establecer los procesos para la
La gerencia de TI no ha asignado de evaluación y aseguramiento del
manera formal las control interno.
Nivel responsabilidades para monitorear la Utilizar herramientas integradas
√
1 efectividad de los controles internos. para la detección del control
interno de TI.
La gerencia de servicios de
información realiza monitoreo
periódico sobre la efectividad de lo que
Nivel considera controles internos críticos.
Se están empezando a usar √
2
metodologías y herramientas para
monitorear los controles
internos, aunque no se basan en un
plan

Se ha definido un programa de
educación y entrenamiento para el
monitoreo del control interno. Se ha
Nivel definido también un proceso para
3 auto evaluaciones y revisiones de √
aseguramiento del control interno, con
roles definidos para los
responsables de la administración
del negocio y de TI.
 Se han implantado herramientas para
estandarizar evaluaciones y para
detectar de forma
automática las excepciones de
control. Se ha establecido una función
Nivel √
4 formal para el control interno de TI, con
profesionales especializados y
certificados que utilizan un marco de
trabajo de control formal avalado por la
alta dirección.

La organización utiliza herramientas

integradas y actualizadas, donde
es apropiado, que permiten
Nivel √
5 una evaluación efectiva
de los controles críticos de TI y una
detección rápida de incidentes de
control de TI.

RECOMENDACIONES
Para el proceso ME2 de COBIT estable los siguientes objetivos de control:
Monitorear el marco de trabajo de control interno de forma continua.
Mediante las revisiones de auditoría reportar la efectividad de los controles internos sobre
las TI.
Para pasar al nivel de madurez 1 se debe adoptar las siguientes estrategias: En el
Corto Plazo:
Realizar una auto-evaluación del control interno de la administración de procesos,
políticas y contratos de TI.
En el Largo Plazo:
Identificar e iniciar medidas correctivas sobre el desempeño de TI.
REPORTE GENERAL DE GRADOS DE MADUREZ

Dominio Proceso Nivel de

Madurez

Planificar y Organizar PO2 Definir la Arquitectura de la Información 1

PO5 Administrar la Inversión de TI 4
Adquirir e Implementar AI3 Adquirir y Mantener Infraestructura Tecnológica 1
AI5 Adquirir Recursos de TI 4
Entregar y Dar Soporte DS1 Definir y Administrar los Niveles de Servicio 1
DS5 Garantizar la Seguridad de los Sistemas 1
Monitorear y Evaluar ME1 Monitorear y Evaluar el Desempeño de TI 0
ME2 Monitorear y Evaluar el Control Interno 0

RESUMEN DE ANÁLISIS POR DOMINIOS:

 Dominio: Planear y Organizar (PO)

No se encuentran alineadas las estrategias de TI y del negocio. “SOFTMASMAS S.A.C” no
está alcanzando el uso óptimo de los recursos ya que estos no son aprovechados al máximo o de
también no se cuenta con los recursos necesarios para el desempeño de ciertas tareas.

No todo el personal de “SOFTMASMAS S.A.C” entiende los objetivos de TI, son pocos los usuarios
que comprenden la importancia de estos para el cumplimiento de las metas de “SOFTMASMAS
S.A.C”

 Dominio: Adquirir e Implementar (AI)

Para que se cumplan la estrategia de TI, se debe identificar, desarrollar o adquirir las soluciones
de TI, así como la implementación e integración en los procesos del negocio.

 Dominio: Entrega y Dar Soporte (DS)

Los servicios de TI son medianamente entregados de acuerdo a las prioridades del negocio.

Los costos de TI no se encuentran totalmente optimizados. Puesto que no existe un plan de

continuidad noes implementada la disponibilidad de forma completa de los sistemas de TI, de
igual forma la integridad y la confidencialidad no se encuentran implementadas de forma óptima.

 Dominio: Monitorear y Evaluar (ME)

La gerencia no monitorea ni evalúa el control interno en “SOFTMASMAS S.A.C”.
Existe un poco vinculación en el desempeño de TI con las metas del negocio.
No existe una medición óptima de riesgos y el reporte de estos, así como el cumplimiento,
desempeño y control.

V. ANALISIS Y RESULTADOS

Informe Técnico

ALCANCE

Mediante esta auditoría se pretende evaluar el estado actual de la Empresa “SOFTMASMAS S.A.C”,
mediante este proceso se podrá brindar a la Empresa c sus respectivas conclusiones y
recomendaciones para cada uno de los procesos evaluados en cada dominio según la
metodología COBIT 4.1.

OBJETIVOS

 Identificar problemas técnicos en las TI y dar posibles soluciones.

 Definir controles que permitan disminuir riesgos.
 Realizar un informe técnico y ejecutivo.

A continuación se detalla los resultados de la evaluación de cada uno de los 8 procesos

divididos en sus respectivos dominios (Planear y organizar, adquirir e implementar, entregar
y dar soporte, monitorear y evaluar.), basándonos en los niveles de madurez los cuales van desde
el grado 0 (no existente) al grado máximo 5 (administrado).

Dominio a Plantear y Organizar

PO2. DEFINIR LA ARQUITECTURA DE LA INFORMACIÓN

CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1, puesto que se reconoce

no tener una arquitectura de información, pero a pesar de reconocer su importancia no se
la elabora.

RECOMENDACIONES COBIT
• Establecer un diseño de clasificación de datos que aplique a todo “SOFTMASMAS S.A.C”,
basado en la información crítica y sensible.
• Definir e implementar procedimientos para brindar integridad y consistencia de todos los
datos que se encuentran almacenado en formato electrónico, como bases de datos,
almacenamiento de datos y archivos.
PO5. ADMINISTRAR LA INVERSIÓN DE TI

CONCLUSIÓN.- Las responsabilidades y rendición de cuentas para la selección de

presupuestos de inversiones son asignadas en específico al Gerente General.

RECOMENDACIONES COBIT
• Mejorar de forma continua la administración de inversiones
en base a las lecciones aprendidas del análisis del desempeño real de las inversiones.
• Incluir un análisis de costos y beneficios a largo plazo del ciclo total de vida en la toma
de decisiones de inversiones.

Dominio Adquirir e implementar

AI3. ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA

CONCLUSIÓN.- Este proceso se encuentra en el nivel de

madurez 1, ya que no se cuenta con un plan de adquisición de tecnología, por lo tanto no se
controlan los procesos de adquirir, implantar y actualizar infraestructura tecnológica.

RECOMENDACIONES COBIT
• Proteger la infraestructura tecnológica mediante medidas de control interno,
seguridad y auditabilidad durante la configuración, integración y mantenimiento de
hardware y software de la infraestructura tecnológica.
• Desarrollar un plan de mantenimiento de la infraestructura y garantizar el control de
cambios de esta.

AI5. ADQUIRIR RECURSOS DE TI

CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 4 ya que la adquisición de TI

se integra totalmente con los sistemas generales del gobierno, ya que se sigue el proceso de
compras públicas en la adquisición de algún recurso de TI.

RECOMENDACIONES COBIT
• Establecer buenas relaciones con la mayoría de proveedores y
socios.
• Cumplir y hacer cumplir los derechos y obligaciones de ambas partes en los
términos contractuales.

Dominio Entregar y Dar Soporte

DS1. DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO

CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1 ya que no se administra

los niveles de servicio, la rendición de cuentas no se encuentra definido realmente.
RECOMENDACIONES COBIT
• Se debe definir un marco de trabajo para la administración de los niveles de servicio.
• Realizar un monitoreo y reporte del cumplimiento de los niveles de servicio, estos
reporte deben mantener un formato entendible por parte de los interesados.

DS5. GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS

CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1 ya que la seguridad de

los sistemas se encuentra a cargo de un solo individuo el cual es el Jefe del departamento
Informático, no existen responsabilidades claras.

RECOMENDACIONES COBIT
• Realizar pruebas a la implementación de la seguridad, de igual forma monitorear
esta.
• Garantizar que las características de posibles incidentes de seguridad sean definidas y
comunicadas de forma clara y oportuna.

Dominio Monitorear y Evaluar

ME1. MONITOREAR Y EVALUAR EL DESEMPEÑO DE TI

CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 0, por cuanto no

se cuenta con un proceso implementado de monitoreo, así como con reporte útiles, oportunos
y precisos sobre el desempeño.

RECOMENDACIONES COBIT
• Definir y recolectar los datos del monitoreo mediante un conjunto de
objetivos, mediciones, metas y comparaciones de desempeño.
• Evaluar el desempeño comparándolo periódicamente con las metas.

ME2. MONITOREAR Y EVALUAR EL CONTROL INTERNO

CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 0, por cuanto, No se tiene

procedimientos para monitorear la efectividad de los controles internos.

RECOMENDACIONES COBIT
• Realizar una auto-evaluación del control interno de la administración de procesos,
políticas y contratos de TI.
• Si es necesario, mediante revisiones de terceros asegurar la completitud y efectividad de
los controles internos.
• Verificar que los proveedores externos cumplan con los requerimientos legales y
regulatorios y con las obligaciones contractuales.

Impacto sobre los Criterios de Información

 IMPACTO SOBRE LOS CRITERIOS DE INFORMACIÓN
CRITERIOS DE LA INFORMACIÓN OBSERVACIONES
Efectividad El objetivo es alcanzar el 100%, para esto la información en
“SOFTMASMAS S.A.C” debe ser entregada de forma oportuna,
correcta, consistente y utilizable.
Eficiencia El objetivo es alcanzar el 100%, para esto la información debe ser
generada optimizando los recursos.
Confidencialidad El objetivo es alcanzar el 100%, para lo cual se debe proteger la
información sensitiva contra revelación no autorizada.
Integridad El objetivo es alcanzar el 100%, para lo cual la información debe ser
precisa, completa y valida.
Disponibilidad El objetivo es alcanzar el 100%, para la cual la información debe estar
disponible cuando esta se requiera por parte de las áreas del negocio
en cualquier momento.
Cumplimiento El objetivo es alcanzar el 100%, para lo cual se debe respetar las
leyes, reglamentos y acuerdos contractuales a los que esta sujeta el
proceso del negocio, como políticas internas.
Confiabilidad El objetivo es alcanzar el 100%, para lo cual se debe proporcionar la
información apropiada, con el fin de que la Gerencia General
administre la entidad.

VI. CONCLUSIONES Y RECOMENDACIONES

CONCLUSIONES

 Con este estudio se ha dado un conjunto de directrices las cuales pueden ayudar a alinear
TI con el negocio, es decir identificar riesgos, gestionar recursos y medir el desempeño, así
como el nivel de madurez de cada uno de los procesos de “SOFTMASMAS S.A.C”.
 Los gerentes y usuarios son beneficiados con el desarrollo de COBIT 4.1, ya que este marco
de referencia ayuda a estos individuos a entender sus sistemas de TI, de igual forma decidir
el nivel de seguridad y control para proteger los activos (información, hardware, software,
etc.) de “SOFTMASMAS S.A.C” mediante un modelo de desarrollo de gobernación de TI.
 Mediante el marco de referencia COBIT, se ha podido evaluar y diagnosticar los procesos
de TI en “SOFTMASMAS S.A.C” de Arequipa. También se ha diagnosticado cada uno de los
 criterios de la información, los cuales son efectividad, eficiencia, confidencialidad,
integridad, disponibilidad, cumplimiento y confiabilidad.

RECOMENDACIONES

 Tomar en cuenta los procesos que se encuentran con el nivel de madurez de 0 y 1, que son
los de carácter crítico.
 Realizar evaluaciones periódicas con el fin de medir el avance de cada uno de los procesos
estudiados en este trabajo.
 Se debe utilizar software aplicativo con licenciamiento, así como adecuar las instalaciones
del área de informática, puesto que el espacio de trabajo de este es muy limitado e inseguro
y sin las seguridades fiscas pertinentes.
 Hacer el uso del presente trabajo, con el fin de tomarlo como guía para futuras mejoras en
TI.

BIBLIOGRAFIA

 http://www.isaca.org/Knowledge-Center/cobit/Pages/Overview.aspx
 http://www.isaca.org/Knowledge-Center/cobit/Pages/COBIT-Case-Studies.aspx
 http://en.wikipedia.org/wiki/COBIT
 http://www.eafit.edu.co/escuelas/administracion/consultorio-
contable/Documents/boletines/auditoria-control/b13.pdf
ANEXOS

A. Cuestionario de Auditoría correspondiente al funcionamiento del Área de Soporte:

¿Se tiene restringida la operación del sistema de administración de cómputo a los

usuarios?

SI ( ) NO ( )

¿Son funcionales las herramientas asignados para los equipos de cómputo?

SI ( ) NO ( )

B. Cuestionario de Auditoría correspondiente a la seguridad física:

¿“SOFTMASMAS S.A.C” cuenta con extintores de fuego?

SI ( ) NO ( )

¿Existe salida de emergencia?

SI ( ) NO ( )

¿Existe alarma para detectar fuego (calor o humo) en forma automática?

SI ( ) NO ( )

¿Existen una persona responsable de la seguridad?

SI ( ) NO ( )

El lugar donde se encuentra “SOFTMASMAS S.A.C” está situado a salvo de:

a) ¿Inundación? ( ) b) ¿Terremoto? ( ) c) ¿Fuego? ( ) d) ¿Sabotaje? ( )

C. Cuestionario de Auditoria en Comunicaciones y Redes:

¿Están establecidos controles especiales para salvaguardar la confidencialidad e integridad

del procesamiento de los datos que pasan a través de redes públicas, y para proteger los
sistemas conectados?

_______________________________________________________________________

_______________________________________________________________________
¿Existen controles especiales para mantener la disponibilidad de
los servicios de red y computadoras conectadas?

_______________________________________________________________________

_______________________________________________________________________

¿Existen protocolos de comunicaron establecida?

_______________________________________________________________________

_______________________________________________________________________

¿Existe un plan de infraestructura de redes?

_______________________________________________________________________

_______________________________________________________________________

¿Existen controles y procedimientos de gestión para proteger el acceso a las conexiones y

servicios de red?

_______________________________________________________________________

_______________________________________________________________________