Proyecto Auditoria UNASAM

UNIVERSIDAD SANTIAGO ANTUNEZ DE
MAYOLO
MAESTRIA EN CIENCAS CONTABLES

MENCION EN AUDITORIA Y CONTROL DE GESTIÓN
“IMPLEMENTACIÓN DE CALIDAD DE SERVICIO APLICANDO COBIT

5, ITIL v3, EN EL ÁREA DE RECEPCIÓN EN LA EMPRESA POLLERÍA
SANTA CRUZ- HUARAZ 2017”
AUTORES : Macedo Diburcio Eber Ronald

Cruz Vicuña Angeli Maribel
Cruz Vicuña Melissa Isabel
Morales Mejía Cris Marily
Collazos Castromonte Elizabeth
ASIGNATURA : Auditoría de Sistemas de Información
DOCENTE : Mg. Cayo Víctor León Fernández
0
UNIVERSIDAD NACIONAL SANTIAGO ANTUNEZ DE MAYOLO
INDICE GENERAL
DEDICATORIA ............................................................................................................................... 1
AGRADECIMIENTOS ................................................................................................................... 2
INDICE GENERAL......................................................................................................................... 3
I. DATOS GENERALES ............................................................................................................ 6
1.1. Giro Del Negocio .............................................................................................................. 6
1.2. Reseña Histórica ............................................................................................................... 6
1.3. Lugar Geográfico de la Empresa .................................................................................... 6
1.4. Direccionamiento Estratégico Actual ............................................................................. 8
1.4.1. Misión ........................................................................................................................ 8
1.4.2. Visión ......................................................................................................................... 8
1.5. Estrategias......................................................................................................................... 8
1.5.1. Análisis FODA .......................................................................................................... 8
1.5.1.1. Análisis Interno .................................................................................................... 8
1.5.1.2. Análisis Externo.................................................................................................... 8
1.5.2. Metas Organizacionales ........................................................................................... 9
1.5.2.1. Corto Plazo............................................................................................................ 9
1.5.2.2. Mediano Plazo ...................................................................................................... 9
1.5.2.3. Largo Plazo ........................................................................................................... 9
1.5.3. Objetivos Estratégicos.............................................................................................. 9
1.6. Organigrama .................................................................................................................... 9
1.6.1. Descripción de la Gerencia y Áreas ...................................................................... 10
a. Gerente ............................................................................................................................ 10
b. Área de Comercio ........................................................................................................... 10
c. Área de Informática ....................................................................................................... 10
II. IDENTIFICACIÓN DE LOS OBJETOS AUDITABLES.............................................. 10
2.1. Motivos de Auditoria ..................................................................................................... 10
2.2. Título de Auditoría aplicable ........................................................................................ 11
3.1. Normativa/Referencial ................................................................................................... 12
3.1.1. Normativa Referencia Internacional ........................................................................ 12
3.1.2. Normativa Referencial Nacional ............................................................................... 12
IV. ANALISIS DE RIESGOS (ASOCIADOS AL TIPO DE AUDITORÍA
SELECCIONADA) ....................................................................................................................... 12
2
4.1. Identificación de Activos de TI ..................................................................................... 12

4.2. Amenazas y Vulnerabilidades ....................................................................................... 12
4.3. Impacto............................................................................................................................ 13
4.4. Probabilidad de Ocurrencia .......................................................................................... 13
4.5. Riesgo .............................................................................................................................. 13
4.6. Evaluación de Riesgos en el Proceso de Servicio de Atención al Cliente ................... 13
4.7. Análisis y Evaluación de riesgos.................................................................................... 14
V. PLAN DE AUDITORÍA ........................................................................................................ 16
5.1. Objetivo General ............................................................................................................ 16
5.2. Objetivos específicos ...................................................................................................... 16
5.3. Alcance ............................................................................................................................ 16
5.4. Aclaraciones .................................................................................................................... 16
5.5. Limitaciones .................................................................................................................... 17
5.6. Perfil del Equipo de Auditoría ...................................................................................... 17
5.7. Asignación de roles ......................................................................................................... 17
5.8. Lista de personas a entrevistar...................................................................................... 18
5.9. Plan del proyecto ............................................................................................................ 19
5.10. Plan de entregables..................................................................................................... 20
5.11. Pruebas de cumplimiento .......................................................................................... 20
a. Cuestionario – Gerente General ................................................................................... 20
b. Cuestionario – Cajero .................................................................................................... 22
c. Cuestionario – Hornero ................................................................................................. 23
d. Cuestionario – Clientes .................................................................................................. 24
5.12. Pruebas Sustantivas ................................................................................................... 25
5.12.1. Prueba para Determinar Falta de Seguridad .......................................................... 25
5.12.2. Prueba para Asegurar la Calidad de los Datos........................................................ 25
VI. EJECUCIÓN DE LA AUDITORÍA ................................................................................. 26
6.1. Desarrollo del plan de auditoria.................................................................................... 26
6.2. Pruebas de cumplimiento .............................................................................................. 26
6.2.1. Resultado de Pruebas de Cumplimiento .............................................................. 26
6.3. Pruebas Sustantivas ....................................................................................................... 28
6.4. Análisis y planteamiento de estrategias – FODA ........................................................ 29
6.5. Primer principio Cobit 5: “Satisfacer las necesidades de las partes interesadas” .... 30
6.6. Metas relacionadas con la Tecnología de Información ............................................... 30
6.7. Mapeo de las metas de Cobit 5 con las metas de TI .................................................... 31
6.8. Mapeo con las metas de TI con el dominio APO de Cobit 5 ....................................... 33
3
6.8.1. Evaluación del proceso APO 04 seleccionado mediante el mapeo ......................... 34

6.8.2. Matriz RACI del proceso APO 04 ............................................................................ 35
6.8.1. Evaluación del proceso APO 11 seleccionado mediante el mapeo ......................... 39
6.8.2. Matriz RACI del proceso APO 11 ............................................................................ 41
VII. APLICACIÓN DE ITIL COMO UNA REFERENCIA PARA LA AUDITORÍA ....... 46
7.1. La Gestión del Servicio como una práctica .................................................................. 46
7.1.1. Servicios del área de TI .......................................................................................... 46
7.1.2. Organigrama del área de TI ...................................................................................... 46
7.1.3. Retos del Negocio.................................................................................................... 47
7.1.4. Responsabilidades de TI ........................................................................................ 47
7.2. Ciclo de vida del servicio ............................................................................................... 47
7.2.1. Estrategia del Servicio ........................................................................................... 48
7.2.1.1. Objetivos ............................................................................................................. 48
7.2.1.2. Propósitos de la estrategia del servicio ............................................................. 49
7.2.1.3. Gestión de estrategia para servicios TI .......................................................... 49
CONCLUSIONES .......................................................................................................................... 50
RECOMENDACIONES ................................................................................................................ 50
BIBLIOGRAFÍA ............................................................................................................................ 51
4
I. DATOS GENERALES
1.1. Giro del Negocio

Pollería Santa Cruz, es una empresa que ofrece servicios de consumo de pollos a la
brasa a todos los usuarios, la empresa también ofrece servicios de entregas de pollos a
domicilio y cuenta con un piso de entretenimiento para los más pequeños.
1.2. Reseña Histórica

La empresa Pollería Santa Cruz, se formó en 2002 solo con venta de
anticuchos, 6 meses más tarde se abrió la pollería con el nombre de “Pollería
Mareli” frente al mercado central, al paso del tiempo esta pollería fue creciendo con
su venta de pollos a la brasa. En 2006 esta empresa decidió cambiar el nombre y se
denominó “pollería Santa Cruz”, con este cambio de nombre dicha empresa empezó a
crecer increíblemente, en los años 2007, 2008 era uno de las pollerías con
mayor ingreso económico por la mayor cantidad de personas que iban a
consumir su producto, el consumo de pollos en esta empresa fue tanto que
llego a vender un aproximado de 250 a 300 pollos por día.
Casi finales del 2008 esta empresa decide abrir un nuevo local en la av.
Fitscarrald, así creciendo más esta empresa con su servicio de venta de pollos a
la brasa, después del 2009 la empresa perdió clientes así disminuyendo en sus
ventas. En 2012 la empresa implementa un sistema informático para poder
procesar sus datos más rápido y así autenticando los procesos de su venta.
1.3. Lugar Geográfico de la Empresa
Razón Social: POLLERÍA SANTA CRUZ

Dirección: Av. Fitzcarrald N° 445
Departamento: Ancash
Provincia: Huaraz
Distrito: Huaraz
5
6
1.4. Direccionamiento Estratégico Actual

1.4.1. Misión
Servir a la familia huaracina pollos a la brasa de calidad y a un precio justo,
bajo estándares internacionales de salubridad, dietéticos y con valor
agregado.
1.4.2. Visión
Ser la primera marca huaracina en pollería que logra posicionarse en el
departamento de Ancash a través de una cadena de locales estratégicamente
ubicados.
1.5. Estrategias
1.5.1. Análisis FODA
1.5.1.1. Análisis Interno
 Fortalezas
 Trato personalizado a los clientes por parte del recepcionista y
de los meseros.
 Atención en el menor tiempo posible.
 Sabor del pollo a la brasa al gusto del cliente.
 Debilidades
 Contar con un local pequeño e insuficiente para la atención a la
totalidad de los clientes.
1.5.1.2. Análisis Externo

 Oportunidades
 Ubicación céntrica del local.
 Amenazas
 Oferta de productos a menor precio por parte de la competencia.
 Cambio económico de los pobladores de la ciudad de Huaraz.
7
1.5.2. Metas Organizacionales
1.5.2.1. Corto Plazo

 Incluir venta de nuevos productos, tales como p o l l o s broaster,
anticuchos etc.
1.5.2.2. Mediano Plazo

 Abrir un nuevo local para la venta de pollos a la brasa en la ciudad de
Huaraz y aumentar en sus ingresos económicos.
1.5.2.3. Largo Plazo

 Sistematizar los procesos de atención al cliente mediante aplicaciones
para estar vinculado con todas las áreas en cada momento.
1.5.3. Objetivos Estratégicos

 Trato personalizado de los clientes: Contar con personal con
experiencia y comprometido permitirá mantener una atención a los
clientes.
 Desarrollar estrategias publicitarias: Llamar la atención de nuevos
clientes y fortalecer lealtad de clientes.
 Aprovechar los días festivos: aprovechar el movimiento de la gente en
los días de festividades y fines de semana.
1.6. Organigrama
GERENTE
ÁREA DE ÁREA DE
COMERCIO INFORMÁTICA
Almacen Ventas Cajero
8
1.6.1. Descripción de la Gerencia y Áreas
a. Gerente:
Oficina del dueño y representante legal de la empresa.
b. Área de Comercio:
Es el área de las oficinas de almacén, y ventas.
Almacén; Es el área encargado de los controles de salida e ingreso de
los pollos.
Ventas; Área encargado de administrar las atenciones a los clientes.
c. Área de Informática:
En esta área se ve todo incluido a lo tecnológico.
Caja: Es el área donde el encargado controla todas las ventas de los
pollos, las contabilidades de estos se llevan a cabo con un sistema
informático que hace posible un mejor proceso de sus ventas.
II. IDENTIFICACIÓN DE LOS OBJETOS AUDITABLES
2.1. Motivos de Auditoria

Los motivos de la auditoria es mejorar la calidad de atención y servicio a los
clientes con un manejo de adecuado de las TI. Además de resaltar la
problemática que surgen como riesgos por un manejo no óptimo de las TI,
necesarias para garantizar su confianza, seguridad y disponibilidad del servicio
de ventas de pollos a la brasa.
10
Cuadro de la Problemática dentro del Área informática

Sistema
Proceso Actividad Responsable Servicio
Informático
Falta de comunicación con

almacén para realizar pedido Cajero x
de más productos.
Control de Productos
Falta de integración del

sistema informático con el Cajero x x
área de almacén.
Información insuficiente de
Cajero x
las materias primas.
Falta de seguridad en el
sistema para la protección de
Gerente x x
la cantidad real de los
productos.
Insatisfacción de los clientes

por falta de productos Gerente x
complementarios del platillo.
Incomodidad de los clientes a

Servicio a Clientes
Cajero x
la hora de obtener sus tickets.
Inadecuada infraestructura
Gerente x
para la atención de los clientes.
Falta de capacidad de atención

Mozos x
a los clientes.
Falta de control de productos

complementarios en estados Gerente x
defectuosos.
2.2. Título de Auditoría aplicable
“Implementación de calidad de servicio aplicando Cobit 5.0, Itil v3, en el área

de recepción en la empresa Pollería Santa Cruz- Huaraz 2017”.
11
III. MARCO NORMATIVO/REFERENCIAL APLICABLE
3.1. Normativa/Referencial
3.1.1. Normativa Referencia Internacional
 COBIT 5.0: Buenas prácticas para el manejo y control de TI.

 Normas de calidad ISO 9000: Malcom Baldrige Nacional Quality Award,
EFQM.
 ISO 27001/IEC : Anexo “A” Gestión de Activos, Capitulo 8.2 y 8.3
Evaluación y Tratamiento de riesgos.
3.1.2. Normativa Referencial Nacional

 NTP-ISO/IEC 20003:2011: Tecnología de la información. Gestión del
servicio. Parte 3: Guía sobre la definición del alcance y la aplicabilidad
de la ISO/IEC 20000-1.
 Organismos de Certificación de Sistemas de Gestión de Calidad y
Ambiental GP-ISO/IEC 62, GP-ISO/IEC 66 Directriz CRT – acr-04-D.
 NTP-ISO/IEC 20000-1:2008: Tecnología de la Información. Gestión del
servicio. Parte 1: Especificaciones.
 NTP-ISO/IEC 20000-2:2008: Tecnología de la información. Gestión del
servicio. Parte 2: Código de buenas prácticas.
IV. ANALISIS DE RIESGOS (ASOCIADOS AL TIPO DE AUDITORÍA

SELECCIONADA)
4.1. Identificación de Activos de TI

Se identifican los activos relacionados al servicio de expendio y
administraciones de pedido de los clientes en el área de informática, que incluye
situaciones de manejo y seguridad de TI inmersos en los procesos de ventas.
4.2. Amenazas y Vulnerabilidades

Se identifican las principales amenazas y vulnerabilidades relacionadas con cada
activo relacionado a la calidad de servicio involucrado en el proceso mencionado
de la empresa.
12
4.3. Impacto
Se evalúa el impacto que tiene cada amenaza producto de la vulnerabilidad de
cada activo para determinar su impacto. El impacto para el presente informe de
auditoría está basado en:
�
𝐼��= max(�
��
��
��𝑖�
�∨ �
��
��
��𝐼�)
4.4. Probabilidad de Ocurrencia

Es la frecuencia en la cual la amenaza producto de la vulnerabilidad se hace
realidad en un entorno establecido medido en periodo de tiempo
4.5. Riesgo
Está determinado por la siguiente ecuación:
𝑅𝑖��𝑔� = 𝑃��𝑖�𝑖�� 𝑖� 𝑥 𝐼��
4.6. Evaluación de Riesgos en el Proceso de Servicio de Atención al Cliente
a. Leyenda
Impacto CLASE DE RIESGO

de 7 a
BAJO MEDIO ALTO E
Extremo
más
CID
Probabilidad 1 2 3 A Alto de 5 a 6
Valor de
ALTO 3
MEDIO 2 M Moderado de 3 a 4
BAJO 1
B Bajo de 1 a 2
Estadísticas del riesgo Valor de riesgo

Las estadísticas muestran un 45% de riesgo en
cuanto a la calidad de servicio usando TI, esto 5%5%
ocasionará un gran impacto dentro de las
actividades en los diversos procesos que se realizan 45% 45%
BAJO MODERADO ALTO EXTREMO
13
4.7. Análisis y Evaluación de riesgos

Proceso: Servicio y Atención al Cliente
ACEPTA EL RIESGO
VULNERABILIDAD
TIPO DE ACTIVO
VALOR DE ACTIVO
Confidencialidad
CLASE DE RIESGO
AMENAZA
Disponibilidad
PROBABILIDAD
USUARIO
AGENTE
ÍTEM ACTIVO
Integridad
IMPACTO
RIESGO
Personal sin formación
Datos de los productos y clientes Información Cajero Errores de operación Personal interno 2 2 2 2 2 2 4 M Si
adecuada
Personal sin conocimiento
BASE DE DATOS
Datos de los proveedores Información Gerente Errores de operación Personal interno 2 1 2 2 2 2 4 M No

en informática
Errores de Manipulación de Desconcentración del
Control diario de servicio de ventas Información Cajero Personal interno 1 2 2 3 3 2 6 A No
software personal
Control mensual de ingresos por Amenazas de malware en el
Información Gerente Perdida de información Personal interno 2 2 2 3 3 3 9 E No
concepto de ventas del producto sistema
Control de ingreso de productos Ausencias repentinas del
Información Cajero Ingreso de datos no reales Personal interno 2 1 3 2 3 1 3 M Si
complementario personal sin previo aviso
Personal sin conocimiento de la
Clientes Personas Cajero Accidentes del personal Personal externo 3 3 2 3 3 1 3 M No
situación
RECURSOS HUMANOS
Falta de capacitación al
Cajero Personas Cajero Abuso de privilegios de acceso Personal interno 3 2 2 3 3 1 3 M No
personal
Política de seguridad de la
Gerente Personas Gerente Robos intencionados Personal interno 3 2 3 3 3 2 6 A No
información inadecuada
Hornero Personas Cajero Ventas externas Personal externo Vivez del personal 1 2 3 2 3 2 6 A No
Demora de atención de Faltas continuas sin previo
Ayudante Personas Cajero Personal interno 1 2 2 2 2 1 2 B No
pedidos aviso
Calidad de atención
Mozos Personas Cajero Personal interno Distracciones repentinas 1 1 2 2 2 3 6 A No
inadecuada
INFORMACIÓN
TECNOLOGÍA
Computador Tangible Cajero Manipulación de hardware Personal interno Ausencia de mantenimiento 1 1 2 2 2 2 4 M Si

Falta de mantenimientos del
Impresora Térmica Tangible Cajero Fallo de suministro eléctrico Personal interno 1 1 2 2 2 3 6 A No
estabilizador de tensión
Fallos en las copias de
Sistema Informático (Software) Intangible Cajero Personal interno Ausencia de backups 2 2 2 3 3 2 6 A No
seguridad
14
Sillas Tangible Clientes Incendio Personal externo Mala disposición del personal 2 2 3 2 3 2 6 A Si
Mesas Tangible Clientes Incendio Personal externo Mala disposición del personal 2 2 2 2 2 2 4 M Si
INMUEBLES
Protección física de equipos

Tiquetes Tangible Cajero Mala impresión Personal interno 2 3 2 3 3 2 6 A No
inadecuada
Hornos Tangible Hornero Falla mecánica Personal externo Ausencia de mantenimiento 2 2 3 2 3 1 3 M No
Freidoras Tangible Ayudante Falta de mantenimiento Personal interno Fuga de gas 2 2 3 2 3 1 3 M No
Congeladoras Tangible Hornero Putrefacción de los pollos Personal interno Ausencia de corriente electica 2 2 2 3 3 2 6 A No
15
V. PLAN DE AUDITORÍA
5.1. Objetivo General
Implementar la calidad de servicio aplicando Cobit 5.0, Itil v3 en el área de
recepción en la empresa pollería santa cruz- Huaraz 2017
5.2. Objetivos específicos
 Evaluar el control y manejos de las TI con relación a la calidad de servicio que

presta.
 Evaluar el cumplimiento de servicio establecido por la empresa.
 Analizar los informes mensuales del Control de servicio de pedidos y ventas
5.3. Alcance
La auditoría se realizará a la calidad del servicio que brinda el área de informática
(Caja) con el uso del software que involucra procesos de control de productos,
registro de productos secundarios y clientes, con el uso del software y el proceso
mismo de servicio de ventas y atención al cliente, implica un manejo adecuado y
oportuno del software, control de productos (ingreso y salida), la atención, servicio
y satisfacción de sus clientes en cuanto a la calidad de servicio en dicha empresa.
La auditoría se llevará a cabo en un periodo de 4 meses, del 21 de Setiembre hasta
el 15 de diciembre del 2017 en la empresa “pollería Santa Cruz” en la ciudad de
Huaraz.
5.4. Aclaraciones
Documentación que se realizará:
 Verificar la existencia de controles asociados a la calidad del servicio.
 Verificar el mantenimiento de la base de datos del sistema.
 Verificar la topología de la empresa.
 Verificar el cumplimiento de Directivas relacionadas a TI.
16
5.5. Limitaciones
 No permiten ninguna grabación ni filmación en la empresa por motivos de
seguridad interna.
 La poca disponibilidad por parte del empleado para facilitar documentos y
datos.
 El tiempo que se propone es muy corto para una completa evaluación de la
calidad del servicio.
 El tiempo de los clientes y la poca información que brindan en cuanto al
servicio.
5.6. Perfil del Equipo de Auditoría
ROL PERFIL ENCARGADO
Profesional que debe tener un alto grado de

calificación técnica y manejo de las diferentes
Auditor corrientes organizativas empresariales actuales. Mallqui Figueroa
líder Deben contemplar unas características para Ciro
mantener un perfil profesional adecuado y
actualizado.
Experiencia como asistente de sistemas.
Asistente Conocimiento de lenguajes, de sistemas a su García Lecca
Auditoría cargo. Elaborar y mantener actualizados los Yordan
manuales de usuario.
5.7. Asignación de roles
MANUAL DE ORGANIZACIÓN Y FUNCIONES

ROLES PERFIL ÁREA RESPONSABILIDAD
Dar cuenta, al
Planear, organizar,
Directorio, de la
dirigir y supervisar las
Gerente Gerencia marcha y estado de
actividades de la
empresa. todas las actividades
de la empresa.
Asistir a la Gerencia Dirigir y representar
General apoyando en Administrad en forma
Administrador
labores or administrativa,
documentarias y comercial y judicial
17
administrando los a la pollería Santa

recursos humanos. Cruz.
Organizar, dirigir y
controlar los servicios Administrar las
Jefe de Área
de venta, en Informática entradas económicas y
(Cajera)
coordinación con la la atención al cliente.
gerencia general.
Responsable de
Producir producto de
Atención al atender al cliente con
Hornero calidad para la satisfacción
cliente una buena calidad de
del cliente.
productos.
Efectuar la ejecución de los
Atención al
Mozos servicios de atención al Atención al cliente.
cliente y otros.
cliente
Colabora con la producción Atención al Abastecimiento con los

Ayudante
de productos de calidad cliente productos.
5.8. Lista de personas a entrevistar

LISTA DE PERSONAS A ENTREVISTAR
Gerente 1
Administrador 1
Cajero 1
Hornero 1
Clientes 10
TOTAL 14
18
5.9. Plan del proyecto
PERIODO
RECURSOS Mes 1 Mes 2 Mes 3

ETAPA ACTIVIDADES RESPONSABLE
NECESARIOS
S1 S2 S3 S4 S1 S2 S3 S4 S1 S2 S3 S4
 Reunión con el administrador y/o Gerente.
 Técnicas de
PLANIFICACIÓN  Reconocimiento de la entidad. recolección de datos-
Y  Recolección de documentos acerca del software y el entrevistas.
RECOLECCIÓN
DE DATOS
área de recepción.  Lapiceros.
 Revisar, organizar y elaborar entrevistas y  Cuaderno de apuntes.
cuestionarios. Equipo de
Auditoría
 Analizar los documentos recolectados.  Técnicas de
recolección de datos-
 Aplicación de cuestionarios en la empresa. entrevistas y
ANÁLISIS
 Realizar entrevistas con los clientes (usuarios). cuestionarios.
 Lapiceros.
 Analizar los resultados de los cuestionarios.  Cuaderno de apuntes.
 Realizar los mapeos adecuados de acuerdo a Cobit 5
 Evaluar la problemática dentro del proceso de  Guía para la
servicio y atención al cliente con el software. elaboración de perfiles
Equipo de
EJECUCIÓN  Mapear las metas empresariales con el dominio de de puestos.
Auditoría
Cobit 5 Alinear, Planificar y Organizar  Esquema de proyecto
de investigación.
 Aplicar los cuadros de referencia de procesos de
Cobit 5
 Realizar informe de la auditoria.
 Esquema de proyecto
ELABORACIÓN Equipo de
 Presentar informe de auditoría. de investigación.
DE INFORME Auditoría
 Directivas.
 Cierre de proyecto.
19
5.10. Plan de entregables

 Informe de la auditoría del proceso de atención al cliente, además de la
evaluación del proceso que se realiza en el área de recepción que involucra el
manejo y control de tickets con el sistema integrado en dicha área.
 Informe de la las entrevistas y cuestionarios a realizarse.
 Informe Final.
5.11. Pruebas de cumplimiento
a. Cuestionario – Gerente General
ENCUESTA DE AUDITORIA INFORMATICA

Nº 01 FECHA 20 /09 / /2017
DATOS DEL ENCUESTADO

Nombres y Apellidos:
PREGUNTAS:
1. ¿Se ha realizado anteriormente en esta oficina una auditoria y en qué fecha se ha realizado?
Si / / _ No
2. ¿Conoce acerca de las Tecnologías de Información?
Sí No
3. ¿Usted ha identificado los problemas que han surgido en su empresa por la falta de TI?
Sí No
4. ¿El área de recepción (caja), para usted está en óptimas condiciones?
20
Sí No
5. En su empresa emplean TI ¿Diferente a un producto de software?
Sí No
-------------------------------------------------------------------------------------
6. ¿En caso de extravío de algún producto de informática en el proceso de ventas de tickets,

toman alguna medida?
Sí No
------------------------------------------------------------------------------
7. ¿Usted Se involucra en el manejo y control del software?
Sí No
8. ¿Ha visto algún crecimiento en el servicio que se brinda desde la implantación del
software?
Sí No
9. ¿Invierte en el mantenimiento de la infraestructura y sus recursos dentro del área de

recepción?
Sí No
10. ¿Ha realizado o evaluado la satisfacción de sus clientes en este año?
Sí No
21
b. Cuestionario – Cajero
ENCUESTA DE AUDITORIA DE AREA

Nº 01 FECHA 20 /09 / /2017

PREGUNTAS:
1. ¿Cómo califica las actividades en el área de recepción al cliente?
a) pésimo b) malo c) regular d) bueno e) excelente
2. ¿En qué nivel de manejo y conocimiento se encuentran con relación al software?
3. ¿Cómo evalúa usted el nivel del servicio que brinda su área?
4. ¿En qué nivel colocaría al software de acuerdo a la labor que realiza?
5. ¿Cómo califica el crecimiento en el proceso de atención y servicio al cliente desde que se

adquirió el software?
6. ¿Desde su visión, el grado de satisfacción por el servicio que se les brinda a los clientes es?
22
7. ¿En qué nivel califica las herramientas y equipos que son usados en su área?
8. ¿Cómo considera no contar con un Backup de su información?
c. Cuestionario – Hornero

Nº 01 FECHA 20 /09/ /2017

PREGUNTAS:
1. ¿En qué nivel colocaría al software de acuerdo a la labor que realiza?
2. ¿En qué nivel ha incrementado la eficiencia en su labor desde la adquisición del software?
3. ¿En qué nivel cree usted que se encuentra la calidad del servicio que brindan?
23
4. ¿Cómo considera el ambiente laboral para brindar un buen servicio?
5. ¿Cómo valora los sistema de alarma por presencia de fuego, humo, así como extintores de
incendio, conexiones eléctricas, entre otras?
6. ¿Cómo evalúa usted el nivel del servicio que brinda con el uso del software?
d. Cuestionario – Clientes

Nº 01 FECHA 20 /09 / /2017

PREGUNTAS:
1. ¿Usted Considera que el ambiente que usan para prestar el servicio es?
2. ¿A qué nivel del cumplimiento llegan con los servicios comprometidos?
3. ¿En qué nivel cree usted que se encuentra la calidad del servicio?
24
4. ¿Cómo evalúa la disponibilidad y amabilidad del personal para con los clientes en general?
5. ¿En qué grado considera usted colocar el tiempo en que se demoran en realizar la atención?
6. ¿En qué nivel de satisfacción cree usted encontrarse actualmente?
5.12. Pruebas Sustantivas
5.12.1. Prueba para Determinar Falta de Seguridad.
 En el proceso de auditoria se detectó que el software no realiza Backups de

su información.
 Además se detectó que la aplicación y el sistema gestor de base de datos
están en el mismo equipo, por lo cual genera mayor riesgo para sus datos.
5.12.2. Prueba para Asegurar la Calidad de los Datos.
 Durante la Evaluación de algunos registros proporcionados se pudo detectar

que al momento de registro existen muchos campos vacíos generando poca
calidad de datos.
 Uno de las faltas más graves en cuanto a la calidad de los datos, es la falta
de validación de los campos de ingreso de datos numéricos, por esta false se
detectó que existen datos erróneos y una mala información a la hora de
realizar reportes.
25
VI. EJECUCIÓN DE LA AUDITORÍA
6.1. Desarrollo del plan de auditoria
La ejecución de la auditoría corresponde a la puesta en marcha de un análisis de los

procesos y manejo de TI haciendo uso de las buenas prácticas de COBIT 5 y el
marco de trabajo de las mejores prácticas ITIL v3. Aquí se registraran los cuadros
más básicos, de acuerdo a la problemática y el análisis de riesgos realizado con
anterioridad.
6.2. Pruebas de cumplimiento
6.2.1. Resultado de Pruebas de Cumplimiento
 Cuestionario – Gerente General
RESULTADOS CHECK PREGUNTAS -

GERENTE GENERAL
8
60%
6
40%
4
SI NO
RESULTADOS CHECK
PREGUNTAS - GERENTE
GENERAL
Los resultados que se han logrado
obtener son, que el gerente tiene
SI 6
conocimiento en un 60% acerca de
NO 4 las TI e identifica en qué medida han
apoyado a su empresa.
Total Checks 10
26
 Cuestionario – Cajero

CAJERO
6
50%
4 37.5%
2 12.5%
0 0
0
Pésimo Malo Regular Bueno Excelente
RESULTADOS CHECK
PREGUNTAS - CAJERO
pésimo 1 Los resultados que se han logrado
obtener, indican que para el cajero
malo 0 existe un nivel de calidad de servicio
regular 4 y satisfacción de sus clientes es
bueno con un 37.50%, apoyándose
bueno 3 en el uso de las TI y las capacidades
excelente 0 del personal técnico.
Total Checks 8
 Cuestionario – Hornero

HORNERO
5
50%
33.3%
16.7%
0 0
0
RESULTADOS CHECK
PREGUNTAS - HORNERO
pésimo 1 Los resultados que se han logrado
obtener, indican que para el hornero
malo 0
existe un nivel de calidad de servicio
regular 2 y satisfacción de sus clientes es
bueno con un 50%, apoyándose en
bueno 3 el uso de las TI y las capacidades del
excelente 0 personal técnico.
Total Checks 6
27
 Cuestionario – Clientes

CLIENTES
30
41.9%
25
32.3%
20
15
10 9.7% 9.7%
8.7%
5
0
RESULTADOS CHECK
PREGUNTAS - CLIENTES Los resultados que se han logrado
Pésimo 5 obtener, permiten percibir que los
Malo 6 clientes consideran los servicios
Regular 25 prestados están a un nivel regular
Bueno 20 (41.9%) y bueno (32.3%), esto
Excelente 6
evaluando la calidad del servicio y la
infraestructura empleada en esta.
Total Checks 60
6.3. Pruebas Sustantivas

Son aquellas pruebas que diseña el auditor como el objeto de conseguir evidencia
referida a la información auditada. Están relacionadas con la integridad, la exactitud
y la validez de la información auditada
28
6.4. Análisis y planteamiento de estrategias – FODA
OPORTUNIDADES AMENAZAS
ANÁLISIS EXTERNO
 Fidelidad de los clientes.  Ingreso de nuevos competidores dentro de la mina.
 Avances e Innovación tecnológica al alcance de la  Perdida de los clientes por demoras o insatisfacción
empresa. de sus necesidades.
ANÁLISIS INTERNO  Alta demanda de consumo por parte de los clientes.  Que los clientes opten por llevar de fuera del local.
 Apertura de nuevos locales por buenas referencias.  Cambios repentinos en las necesidades y gustos de los
 Convenios con diversas empresas a nivel regional. clientes.
 Innovación constante en productos y

 Tener actualizada una cartera de clientes fieles.
servicios.  Hacer un plan de control, para verificar la
 Priorizar las necesidades de los nuevos clientes.
 Personal comprometido con la visión de la satisfacción los clientes.
FORTALEZAS
empresa.  Desarrollar nuevos servicios y perfeccionar los ya

 Realizar promociones de venta por la fidelidad de
 Infraestructura física acorde a las exigencias existentes.
los clientes.
del área.  Desarrollar una campaña de publicidad para los
 Ser la única pollería dentro del campus de la  Capacitar constantemente a los trabajadores para
nuevos productos.
mina. que puedan afrontar las nuevas innovaciones
 Mejorar el ambiente interno de la pollería, de
 Software que maneja y controla el proceso de tecnológicas.
acuerdo a las fechas importante dentro de la mina.
atención al cliente.
 Demora de atención a clientes en horas  Capacitar a más trabajadores para que se pueda  Mantener a los trabajadores en un ambiente
punta. atender adecuadamente a cada cliente. adecuado y con incentivos en sus capacitaciones.
DEBILIDADES
 Poco control en los productos, con fechas de  Hacer una lista de proveedores para evaluar su  Incorporar y mejorar las metodologías de trabajo y
vencimiento.
grado de responsabilidad y mejorar el capacidades de los trabajadores.
 Dependencia de los proveedores de
abastecimiento.  Buscar nuevos proveedores que asuman las
productos.
 Manejo inadecuado del Sistema Integrado.  Capacitar adecuadamente a los trabajadores con responsabilidades de los requerimientos,
 Uso de software sin licencias. actividades acerca de innovaciones tecnológicas. adecuadamente.
29
6.5. Primer principio Cobit 5: “Satisfacer las necesidades de las partes interesadas”.
6.6. Metas relacionadas con la Tecnología de Información.
30
FINANCIERA
31
6
5
4
3
1
gestionados
riesgos de las TI
regulaciones externas
INFORMACIÓN
Cumplimiento y soporte de la TI al
tomar decisiones relacionadas con TI

2 cumplimiento del negocio de las leyes y
Transparencia de los costes, beneficios y

METAS RELACIONADAS A LAS TECNOLOGÍAS DE
Realización de beneficios del portafolio de

Compromiso de la dirección ejecutiva para
Riesgos de negocio relacionados con las TI

Alineamiento de TI y la estrategia de negocio
Inversiones y Servicios relacionados con las TI

Valor para las partes interesadas de las
1
P
S
P
Inversiones de Negocio
2
S
P
P
S
P
S
Cartera de productos y servicios competitivos
6.7. Mapeo de las metas de Cobit 5 con las metas de TI.
Riesgos de negocio gestionados (salvaguarda

3
de activos)
FINANCIERA
Cumplimiento de leyes y regulaciones

4
S
S
externas
5
P
S
P
S
Transparencia financiera
6
S
P
P
P
Cultura de servicio orientada al cliente

Continuidad y disponibilidad del servicio de

7
S
P
P
P
P
negocio
Respuestas ágiles a un entorno de negocio
8
S
S
S
P
cambiante
CLIENTE
Toma estratégica de Decisiones basada en

9
S
P
S
S
Información
S
S
S
10
Optimización de costes de entrega del servicio

Optimización de la funcionalidad de los
P
S
S
P
S
P
11
METAS CORPORATIVAS
procesos de negocio
Optimización de los costes de los procesos de
P
P
P
12
negocio
Programas gestionados de cambio en el
P
S
13
INTERNA
negocio
S
S
P
14
Productividad operacional y de los empleados

P
15
Cumplimiento con las políticas internas

S
S
16
Personas preparadas y motivadas

CRECIMIENTO
S
S
S
S
S
APRENDIZAJE Y
17
Cultura de innovación de producto y negocio

3
3
3
6
3
7
"P"
CONT
Entrega de los servicios de TI en línea con los

7 P P S P S S S S S 3
CLIENTES
requerimientos de negocio
Uso adecuado de aplicaciones, información y
8 P P S P S S P S P S P S 6
soluciones tecnológicas
9 Agilidad de las TI S S S P S P P S S 3
Seguridad de la información, infraestructura de
10 S S P P S S P S 3
procesamiento y aplicaciones
Optimización de activos, recursos y capacidades
11 P S P P P S S P 5
de las TI
Capacitación y soporte de procesos de negocio
12 integrando aplicaciones y tecnología en
INTERNA
S P S S S S S P S 2
procesos de negocio
Entrega de Programas que proporcionen
13 beneficios a tiempo, dentro del presupuesto y P S S P S S 2
satisfaciendo los requisitos y normas de calidad.
Disponibilidad de información útil y relevante
14 S P S P P P S S P 5
para la toma de decisiones
Cumplimiento de las políticas internas por parte
15 S P S P S P 3
de las TI
APRENDIZAJE Y
Personal del negocio y de las TI competente y

CRECIMIENTO
16 S P S P S P P S 4
motivado
Conocimiento, experiencia e iniciativas para la
17 P P S S S S P 3
innovación de negocio
CONTEO "P" 3 6 3 3 3 6 7 2 7 0 7 5 1 4 3 2 2
LEYENDA
P Principal S Secundario
32
ALINEAR, PLANIFICAR Y ORGANIZAR
33
APO10
APO09
APO08
APO07
APO06
APO05
APO04
APO03
APO01
APO12 Gestionar el Riesgo

APO11 Gestionar la Calidad
Gestionar el portafolio
APO02 Gestionar la Estrategia
APO13 Gestionar la Seguridad

Gestionar la Innovación
PROCESOS DE COBIT 5
Gestionar la Arquitectura
Gestionar las Relaciones
Gestionar los Proveedores

Gestionar los Recursos humanos
Gestionar los Acuerdos de servicio

Gestionar el Marco de Gestión de TI
Gestionar el Presupuesto y los costes

1
S
P
P
S
P
S
P
S
P
Alineamiento de TI y la estrategia de negocio
Cumplimiento y soporte de la TI al cumplimiento
2
P
S
P
S
S
P
del negocio de las leyes y regulaciones
Compromiso de la dirección ejecutiva para
3
S
S
S
S
S
S
S
tomar decisiones relacionadas con TI
FINANCIERA
Riesgos de negocio relacionados con las TI

4
P
S
P
S
S
S
S
S
S
S
S
S
gestionados
5
Realización de beneficios del portafolio de
P
S
P
S
P
P
P
S
S
6.8. Mapeo con las metas de TI con el dominio APO de Cobit 5.
Inversiones y Servicios relacionados con las TI

Transparencia de los costes, beneficios y
6
P
P
S
S
S
S
P
S
S
riesgos de las TI
Entrega de los servicios de TI en línea con los
7
S
S
P
P
P
P
S
S
S
S
P
S
requerimientos de negocio
Uso adecuado de aplicaciones, información y

8
S
S
S
S
S
S
P
S
P
S
S
CLIENTE
soluciones tecnológicas
9
S
S
P
S
S
S
P
P
S
S
Agilidad de las TI
Seguridad de la información, infraestructura de

P
P
P
S
S
S
S
S
10
procesamiento y aplicaciones
Optimización de activos, recursos y
S
S
S
S
P
S
S
P
P
S
P
11
capacidades de las TI
METAS RELACIONADAS A TI
Capacitación y soporte de procesos de negocio

P
S
S
S
S
12
integrando aplicaciones y tecnología en

procesos de negocio
Entrega de Programas que proporcionen
S
P
S
S
S
S
P
S
S
13
beneficios a tiempo, dentro del presupuesto y

INTERNA
satisfaciendo los requisitos y normas de

Disponibilidad de información útil y relevante
P
S
S
S
P
S
S
S
S
14
para la toma de decisiones

Cumplimiento de las políticas internas por parte
P
S
S
S
S
S
S
P
15
de las TI
Personal del negocio y de las TI competente y
S
P
S
P
S
S
16
motivado
Conocimiento, experiencia e iniciativas para la
S
S
S
P
P
S
P
S
P
P
17
APR Y CRE
innovación de negocio
4
4
6
3
3
4
4
2
3
5
3
3
5
C - "P"
6.8.1. Evaluación del proceso APO 04 seleccionado mediante el mapeo
Área: Gestión
APO 04 GESTIONAR LA INNOVACIÓN
Dominio: Alinear, planificar y organizar
Descripción del Proceso

Mantener un conocimiento de la tecnología de la información y las tendencias relacionadas con el servicio,
identificar las oportunidades de innovación y planificar la manera de beneficiarse de la innovación en relación
con las necesidades del negocio. Analizar cuáles son las oportunidades para la innovación empresarial o qué
mejora puede crearse con las nuevas tecnologías, servicios o innovaciones empresariales facilitadas por TI, así
como a través de las tecnologías ya existentes y por la innovación en procesos empresariales y de TI. Influir en la
planificación estratégica y en las decisiones de la arquitectura de empresa.
Objetivo del proceso

Lograr ventaja competitiva, innovación empresarial y eficacia y eficiencia operativa mejorada mediante la
explotación de los desarrollos tecnológicos para la explotación de la información.
El proceso contribuye al logro de un conjunto de principales objetivos relacionados con la TI
Meta relacionada con TI Métricas Relacionadas
 Existe un 60% en inversiones de TI para un beneficio

05 Realización de beneficios del
interno de la empresa.
portafolio de Inversiones y Servicios
 Solo cumplen con el 30% de explotación de TI a
relacionados con las TI
beneficio de la empresa.
 El 40% no se encuentra satisfecho con la adquisición del

software.
08 Uso adecuado de aplicaciones,
 Existe un 60% de las actividades del proceso de atención al
información y soluciones tecnológicas. cliente, que se viene satisfaciendo con el uso del software.
 Un promedio del 70% de los usuarios no manejan soluciones
tecnológicas adecuadas.
 Existe un regular nivel de satisfacción del gerente ante la

capacidad de respuesta de nuevos requerimientos de TI.
09 Agilidad de las TI.
 Son 2 los procesos que actualmente se encuentran en un
estado crítico en cuanto a la actualización de aplicaciones.
 No se efectúa con frecuencia una evaluación adecuada

para optimizar la capacidad y optimización de TI.
11 Optimización de activos, recursos y
 La tendencia de los resultados de las evaluaciones
capacidades de las TI.
difieren mucho con los objetivos y satisfacción de los
ejecutivos de la empresa.
 Hay un alto nivel de conciencia y comprensión en las

17 Conocimiento, experiencia e posibilidades de innovación de TI.
iniciativas para la innovación de negocio.  Existe un nivel bajo de satisfacción del gerente en
cuanto a experiencia e ideas de innovación de TI.
34
OBJETIVOS Y MÉTRICAS DE PROCESOS
Meta del Proceso Métricas Relacionadas
El valor de empresa es creada se  Ingreso a un mercado de competencia debido a la

manifiesta por medio de los avances e innovación de TI.
innovaciones tecnológicas más  Generación de nuevas ideas por parte de la empresa y
apropiadas, métodos y soluciones de TI. realimentación sobre la innovación en TI.
Los objetivos de la empresa se cumplen

por la mejora de los beneficios de la  Hay un 40% de las iniciativas implementadas que
calidad y/o la reducción de costes como dieron los beneficios previstos.
resultado de la identificación e  Existe un 35% de las iniciativas implementadas con una
implementación de soluciones relación claro a los objetivos de la empresa.
innovadoras.
 Se han generado objetivos de innovación relacionadas a

La innovación se aprueba, se permite y se
TI dentro de las metas de rendimiento en el personal.
inicia, de esta manera forma parte de la
 Se realiza una evaluación a cada cierto tiempo para ver
cultura de la empresa.
las opiniones por parte de la gerencia y trabajadores.
6.8.2. Matriz RACI del proceso APO 04
MATRIZ RACI APO 04

HORNERO
ADMINIST
GENERAL
GERENTE
CAJERO
MOZOS
RADOR
PRÁCTICA CLAVE DE
GOBIERNO
APO 04.01
Crear un entorno favorable A R R
para la innovación.
APO 04.02
Mantener un entendimiento I C R R R
del entorno de la empresa.
APO 04.03
Supervisar y explorar el I C R
entorno tecnológico.
APO 04.04
Evaluar el potencial de las R C
tecnologías emergentes y las
ideas innovadoras.
APO 04.05
Recomendar iniciativas I C R
apropiadas adicionales.
APO 04.06
Supervisar la implementación C R
y el uso de la innovación.
35
APO 04 PRÁCTICAS, ENTRADAS/SALIDAS Y ACTIVIDADES DEL PROCESO
PRÁCTICA DE GESTIÓN ENTRADAS SALIDAS

DE DESCRIPCIÓN DESCRIPCIÓN HASTA
APO 04.01 Crear un entorno
favorable para la innovación. Plan de
Interno
Innovación
Crear un entorno que sea propicio para
la innovación de TI, considerando la Programa de
cultura, la gratificación, la colaboración APO
y los mecanismos para promover y reconocimiento y
07.04
captar ideas de los trabajadores.
recompensa
ACTIVIDADES
1.Crear un plan de innovación de TI teniendo en cuenta el cuadro de riesgo, un adecuado

presupuesto para invertir en innovaciones tecnológicas.
2.Proporcionar una infraestructura que innovadora, con relación a herramientas de trabajo en las
diferentes ubicaciones y relaciones de la empresa.
3.Crear un ambiente en el cual se pueda fomentar la innovación como iniciativas dentro de la

empresa, realizar una rotación apropiada en los puestos de trabajo en un tiempo prudencial para la
experimentación.
4.Mantener un programa que permita a los trabajadores presentar ideas innovadoras y crear una
estructura adecuada para evaluar y aplicar estas ideas.
5.Fomentar ideas de innovación a los clientes, proveedores y socios.

APO 04.02 Mantener un DE DESCRIPCIÓN DESCRIPCIÓN A

entendimiento del entorno de la
empresa.
Fuera
Trabajar junto a los responsables más del Estrategia
directos para entender los retos y
corporativa y APO
mantener un entendimiento adecuado de Ámbito
análisis FODA de 02.01
las estrategias y normas competitivas, de
la empresa
así como las oportunidades que se
apertura gracias a las TI que se puedan COBIT
identificar.
ACTIVIDADES
1.Conservar un entendimiento de los objetivos empresariales para potenciar los valores de

innovación tecnológica que puedan identificarse.
2.Realizar reuniones periódicas dentro de la empresa y/o otras entidades interesadas para entender
los problemas actuales de la empresa, cuellos de botella de los procesos en el área de cafetería
donde las TI pueden crear oportunidades.
3.Entender los parámetros de inversiones para la innovación y las nuevas TI, de modo que se
desarrollen las estrategias adecuadas.
36
APO 04.03 Supervisar y explorar DESDE DESCRIPCIÓN DESCRIPCIÓN PARA

el entorno tecnológico.
Realizar una supervisión sistemática
Fuera Análisis de
entorno a la empresa para identificar
del investigación
TI que tengan el potencial de crear
Tecnologías
valor. Supervisar el mercado, la Ámbito de las BAI 03.01
emergentes
competencia, sectores industriales y de posibilidades de
tendencias legales y regulatorias que innovación
permitan analizar TI innovadoras en COBIT
el contexto empresarial.
ACTIVIDADES
1.Comprender el interés de la empresa y su potencial para adoptar nuevas innovaciones

tecnológicas encaminando los esfuerzos de conciencia para optar por TI más oportunas.
2.Realizar estudios y analizar el entorno exterior, para identificar TI.
3.Consultar con terceras personas expertas cuando se necesite confirmar los resultados de la
investigación o como fuente de información en TI
4.Recopilar las ideas innovadoras del personal, analizarlas y consultarlas con un experto para su
posible implementación.

DE DESCRIPCIÓN DESCRIPCIÓN A
Evaluación de las
ideas de BAI 03.01
APO 04.04 Evaluar el potencial de las
innovación
tecnologías emergentes y las ideas
innovadoras. APO
Alcanzar la prueba
Analizar las nuevas TI identificadas o de concepto y 05.03
sugerencias de innovación con TI. descripción de los APO
Trabajar con las partes interesadas para casos de negocio. 06.02
validar el potencial de las nuevas
tecnologías y la innovación. Comprobar los
resultados de las
Interno
iniciativas con
innovación de TI
ACTIVIDADES
1.Evaluar las tecnologías identificadas, considerando el tiempo para alcanzar la madurez y riesgo
de la nueva tecnología ajuste con la arquitectura y potencial para proporcionar valor añadido.
2.Identificar cualquier problema que pueda necesitar ser resuelto o probado a través de una decisión
de pruebas de conocimiento.
3.Obtener autorización para realizar la prueba necesarias con las TI.
4.Realizar pruebas de concepto para evaluar las TI u otras ideas innovadoras, identificar cualquier
problema para ser tomadas en cuenta, para ver el potencial de la TI.
37

APO 04.05 Recomendar iniciativas Resultados y

apropiadas adicionales. APO02.03
recomendaciones
Evaluar y supervisar los resultados de de pruebas de BAI03.09
las pruebas de conocimiento y, si son conocimiento
favorables, generar recomendaciones
para más iniciativas y obtener la Realizar el análisis
aprobación por parte de los altos adecuado para las APO02.03
directivos de la empresa. iniciativas que se
BAI03.08
rechazaron
ACTIVIDADES
1.Documentar los resultados de las pruebas de conocimiento, incluyendo las guías y

recomendaciones para los programas de innovación.
2.Comunicar las oportunidades de innovación factibles dentro de la empresa y en los procesos más
involucrados a la innovación.
3.Realizar un seguimiento de las pruebas de conocimiento para medir el grado en que han
influenciado en las inversiones de innovación.
4.Analizar y comunicar las razones por las que se ha rechazado una prueba de conocimiento.

Valoración del uso APO02.04

APO 04.06 Supervisar la
de los enfoques
implementación y el uso de la BAI03.02
innovadores.
innovación.
Supervisar la implementación y el uso Evaluación de los

de las tecnologías emergentes durante la beneficios de APO05.04
integración, aceptación y durante todo el innovación
ciclo de vida económico para garantizar
que se produzcan beneficios prometidos Realizar planes de
y poder identificar las enseñanzas innovación de
aprendidas. acuerdo a un Interno
presupuesto
adecuado.
ACTIVIDADES
1.Valorar la implementación de nuevas tecnologías innovadoras de TI, el desarrollo de diseños

empresariales y su ejecución durante programas de gestión de iniciativas.
2.Capturar instrucciones aprendidas y las oportunidades de mejora.
3.Ajustar el plan de innovación, si fuese necesario.
4.Identificar y evaluar los resultados obtenidos como un antecedente para el uso de planes de
innovación.
38
6.8.1. Evaluación del proceso APO 11 seleccionado mediante el mapeo
Área: Gestión
APO 11 GESTIONAR LA CALIDAD
Dominio: Alinear, planificar y organizar
Descripción del Proceso
Definir y comunicar los requisitos de calidad en todos los procesos, procedimientos y resultados
relacionados de la organización, incluyendo controles, vigilancia constante y el uso de prácticas
probadas y estándares de mejora continua y esfuerzos de eficiencia.
Declaración del Propósito del Proceso
Asegurar la entrega consistente de soluciones y servicios que cumplan con los requisitos de la
organización y que satisfagan las necesidades de las partes interesadas.
El proceso apoya la consecución de un conjunto de principales metas TI
Meta relacionada con TI Métricas Relacionadas
 Son muchas las actividades dentro del proceso

de atención al cliente que se relacionan con el
02 Cumplimiento y soporte de la TI al
incumplimiento de satisfacción.
cumplimiento del negocio de las leyes y
 La cobertura de la evaluación solo llega al área
regulaciones externas
afectada y no a todos los responsables de la
empresa
 El 35% de inversiones en TI se monitoriza a

través del ciclo de vida económico completo.
05 Realización de beneficios del  Solo el 30% de los servicios con el uso de TI
portafolio de Inversiones y Servicios realizan los beneficios esperados.
relacionados con las TI  No existe actualmente un porcentaje de las
inversiones en TI donde los beneficios
demandados son alcanzados.
 Solo el 32% de los usuarios interesados se

sienten satisfechos con el cumplimiento del
servicio de TI entregado respecto a los niveles
07 Entrega de los servicios de TI en línea
de servicio acordados.
con los requerimientos de negocio
 Los clientes en un 20% sienten la satisfacción
con la calidad de los servicios usando TI dentro
del local.
 Son 5 las veces en que se ha interrumpido la

10 Seguridad de la información, atención y servicio a causa de la pérdida de
infraestructura de procesamiento y imagen pública.
aplicaciones  El tiempo es prolongado para poder tener
privilegios de acceso, comparado con los
niveles de servicio acordados.
39
 No se realiza una evaluación con frecuencia

acerca de la seguridad frente a los últimos
estándares y guías, para el sistema.
 No existe un plazo específico para la ejecución

13 Entrega de Programas que de proyectos de TI.
proporcionen beneficios a tiempo, dentro  Hay un 40% de la empresa que tiene interés por
del presupuesto y satisfaciendo los satisfacer las necesidades con proyectos de
requisitos y normas de calidad. calidad. los costos de mantenimiento no se
encuentran en un plan económico adecuado.
 Solo el 40% se encuentra satisfecho con su

función en el manejo de TI.
16 Personal del negocio y de las TI
 No hay un plan adecuado para las
competente y motivado
capacitaciones para el uso de TI y atención y
servicio a los clientes.
OBJETIVOS Y MÉTRICAS DEL PROCESO
Meta del Proceso Métricas Relacionadas
 Solo el 9.7% de los clientes se sienten

completamente satisfechos en cuanto a los
1. Que los clientes se encuentran servicios que se les brinda.
realmente satisfechos con la calidad de  Un 41% de los clientes creen que se puede
los servicios y las soluciones mejorar la calidad de acuerdo al buen manejo de
prestadas. las TI.
 Son 1 los servicios que se brinda con un plan de
calidad formal y adecuada.
 Solo el 15% del proyecto con TI ha cumplido

con las metas y objetivos de calidad.
2. Obtener resultados de los proyectos  No existe soluciones y servicios con una
con TI y los servicios entregados a los certificación formal y adecuada.
usuarios y clientes.  No se evaluó adecuadamente el sistema para
descubrir los defectos antes de la puesta en
marcha.
 Son dos los procesos los cuales tienen un

requisito de calidad definido
3. Implementar los requerimientos  El proceso de atención y servicio al cliente
adecuados en todos los procesos. requiere un informe de evaluación formal de la
calidad.
40
6.8.2. Matriz RACI del proceso APO 11
MATRIZ RACI APO 04
ADMINISTRAD
HORNERO
GENERAL
GERENTE
CAJERO
MOZOS
PRÁCTICA CLAVE DE
OR
GOBIERNO
APO 11.01
Establecer un sistema de gestión R C
de la calidad (SGC).
APO 11.02
Definir y gestionar los estándares, R C
procesos y prácticas de calidad.
APO 11.03
Enfocar la gestión de la calidad en I R R C
los clientes.
APO 11.04
Supervisar y hacer controles y A I R R
revisiones de calidad.
APO 11.05
Integrar la gestión de la calidad en R C R C
la implementación de soluciones y
la entrega de servicios.
APO 11.06
A R R R
Mantener una mejora continua
41
APO 11 PRÁCTICAS, ENTRADAS/SALIDAS Y ACTIVIDADES DEL PROCESO
APO 11.01. Establecer un DE DESCRIPCIÓN DESCRIPCIÓN HASTA

sistema de gestión de la calidad Roles,
(SGC). responsabilidades APO01.02
y capacidades de DSS06.03
Establecer y mantener un SGC Fuera del Sistema decisión.
que facilite la calidad para la empresarial de
Ámbito
información, la tecnología y los Hacer planes de
de gestión de la BAI01.09
procesos de la empresa de manera gestión de calidad
COBIT calidad
formal y que esté alineada con los Resultados de las
requerimientos y la gestión de evaluaciones de BAI03.06
calidad a nivel empresarial. eficacia del SGC
ACTIVIDADES
1.Asegurar que el marco de control de TI y los procesos de la empresa manejen un estándar formal
y continuo alineado con los requerimientos de la empresa, identificando los requisitos y criterios
de calidad.
2.Definir roles, tareas, capacidades de decisión y responsabilidades para la gestión de la calidad,

dentro de la estructura organizativa.
3.Definir planes de gestión de la calidad para los procesos, proyectos u objetivos importantes, que
estén alineados con las políticas de la empresa.
4.Supervisar y medir la eficacia y la aceptación de la gestión de la calidad, y mejorarla cuando sea

necesario.
5.Alinear la gestión de la calidad TI con la gestión de la calidad a nivel gerencial promoviendo un

enfoque de calidad estandarizado y continuo.
6.Obtener as entradas necesarias por parte de los trabajadores y clientes (internas y externas) para la
definición de los requisitos y los criterios de aceptación de la calidad.
7.Comunicar los planes de innovación a la empresa en general mediante capacitaciones y programas

de formación.
8.Revisar periódicamente la eficiencia y eficacia de los procesos específicos de gestión de calidad y

supervisar el cumplimiento de los objetivos de la calidad.
DE DESCRIPCIÓN DESCRIPCIÓN HASTA

APO 11.02. Definir y gestionar
estándares, procesos y prácticas Todo
de calidad. Estándares de
Revisiones de la
BAI02.04 gestión de la  APO
calidad aprobadas
Identificar y mantener los calidad  BAI
requisitos, normas,  DSS
42
procedimientos y prácticas de los  MEA

Fuera del Buenas prácticas
procesos clave para orientar a la
Ámbito de la industria.
organización en el cumplimiento
de Certificaciones de
del SGC.
COBIT calidad disponibles
ACTIVIDADES
1.Definir normas, procedimientos y prácticas de gestión de la calidad en concordia con los

requisitos del marco de control TI.
2.Considerar los costes y los beneficios de las certificaciones de calidad.
DESDE DESCRIPCIÓN DESCRIPCIÓN PARA
Requisitos de los APO08.05

clientes para la
APO09.03
gestión de la
calidad. BAI01.09
APO 11.03. Enfocar la gestión
de la calidad en los clientes. Criterios de
Fuera del aceptación y BAI02.01
Enfocar la gestión de la calidad en Requerimientos
satisfacción ante BAI02.02
los clientes, mediante la Ámbito de calidad del
el servicio.
determinación de sus necesidades de área de cafetería
y asegurar el alineamiento con las y los clientes. Revisión de los
COBIT APO08.05
prácticas de gestión de calidad. resultados de la
calidad de los APO09.05
servicios,
incluyendo la BAI05.01
opinión de los BAI07.07
clientes.
ACTIVIDADES
1.Enfocar la gestión de la calidad en los clientes, mediante la determinación de requerimientos

internos y externos, asegurando su alineamiento a las normas y prácticas de TI.
2.Definir y comunicar los roles y responsabilidades relativos a la resolución de conflictos entre

clientes/usuarios y el área de cafetería.
3.Gestionar las necesidades y las expectativas del área para cada proceso de servicio operativo y
nuevas soluciones de TI y manteniendo los criterios de aceptación de la calidad.
4.Comunicar los requerimientos y expectativas del cliente por toda la empresa.
5.Obtener periódicamente los puntos de vista del cliente sobre el proceso de servicio y atención,
para determinar el impacto sobre las normas y prácticas de TI garantizando que se cumplen las
expectativas de los clientes.
43
6.Supervisar y revisar regularmente que el SGC está de acuerdo a los criterios de

aceptación de la calidad, incluir los comentarios de los clientes, usuarios y responsables
de los procesos.
APO 11.04. Supervisar y hacer
 Resultados de las
controles y revisiones de revisiones de
Resultados de las APO08.05
calidad. calidad y
deficiencias. revisiones y APO09.04
Supervisar la calidad de los BAI03.06
procesos y servicios de forma  Plan para auditorias de APO09.05
permanente como se defina en el asegurar el
calidad BAI07.08
SGC. servicio de
calidad.
Definir, planificar y aplicar
medidas para supervisar la  Solicitudes de
satisfacción del cliente con la cambio o
calidad, así como el valor que mejoras acerca Todo
de los requisitos Metas y métricas
proporciona el SGC. del proceso de  APO
del cliente
DSS02.07 calidad de los  BAI
La información recogida debe de  Informe de los
ser evaluada y aplicada por el área productos de alta  DSS
servicios
de cafetería para mejorar la demanda, por  MEA
calidad. parte de los
clientes.
ACTIVIDADES
1.Supervisar la calidad de los procesos y servicios de forma permanente y sistemática mediante la

descripción, las métricas, los análisis, la mejora/ingeniería y controles de los procesos.
2.Preparar y llevar a cabo revisiones de calidad.
3.Informar de los resultados de las revisiones y poner en marcha las mejores soluciones.
4.Supervisar la calidad de los procesos, asegurar que la supervisión y registro de la información es

utilizada por parte de los interesados de los procesos para tomar las acciones correctivas y
preventivas necesarias ante los riesgos.
5.Supervisar las métricas de calidad basadas en objetivos de TI cubriendo la calidad de todos los
servicios y los procesos.
6.Asegurar que la gerencia y los involucrados de los procesos revisan periódicamente el

rendimiento del servicio respecto a las reglas de calidad.
APO 11.05. Integrar la gestión DE DESCRIPCIÓN DESCRIPCIÓN A

de la calidad en la
implementación de soluciones y Resultados de la APO08.05
la entrega de servicios. supervisión de la APO09.04
calidad de los
BAI07.08
servicios y las
44
Incorporar las prácticas adecuadas soluciones

de gestión de calidad en la entregadas
definición, supervisión,
APO08.02
notificación y gestión continua del
desarrollo de soluciones y los Causas desde la APO09.04
servicios ofrecidos en la cafetería. raíz de los fallos BAI07.08
en la entrega del
servicio de MEA02.04
calidad. MEA02.07
MEA02.08
ACTIVIDADES
1.Integrar las prácticas de gestión de la calidad en los procesos y prácticas de desarrollo de

soluciones.
2.Supervisar de manera continua los niveles de servicio e incorporar prácticas de gestión de la

calidad en todos los procesos y actividades que involucran el servicio al cliente.
3.Identificar y documentar las causas de raíz de las insatisfacciones y comunicar los resultados a la
gerencia y partes interesadas de manera oportuna para que se adopten las medidas correctivas
adecuadas.
4.Realizar revisiones y seguimientos de los procesos de servicio de calidad cuando sea necesario.
APO 11.06. Mantener una DE DESCRIPCIÓN DESCRIPCIÓN A
mejora continua. Comunicación

Mantener y comunicar sobre la mejora
regularmente un plan de la calidad continua de la
general que promueva la mejora calidad
continua. Ejemplos Todo
Esto debe incluir datos sobre el compartidos de  APO

SGC para mejorar su eficacia. mejores prácticas  BAI
para la calidad.  DSS
Corregir las insatisfacciones para
 MEA
prevenir los riesgos. Resultados de
revisiones y
Promover una cultura de mejora análisis
continua de la calidad, dentro y comparativos de
fuera del área de cafetería. calidad
ACTIVIDADES
1. Mantener y comunicar regularmente la necesidad y los beneficios de la mejora continua.
2.Establecer reuniones para compartir las mejores prácticas y capturar la información sobre los
defectos y errores que permita aprender de ellos.
45
3.Identificar ejemplos permanentes de los defectos de calidad, determinar su raíz, evaluar su

impacto y resultado tomando acciones de mejora con todos los miembros que ejecutan los
servicios.
4.Proporcionar a los empleados la formación necesaria en los métodos y herramientas de mejora

continua.
5.Realizar un análisis comparativo con los resultados de las revisiones de calidad internas frente a
datos históricos, las directrices de la industria, las normas y datos de tipo similar en otras
empresas.
VII. APLICACIÓN DE ITIL COMO UNA REFERENCIA PARA LA AUDITORÍA
7.1. La Gestión del Servicio como una práctica

7.1.1. Servicios del área de TI
 Control de tickets
 Control de productos
 Control de personal
 Control económico
o Inversión en materias primas
o Pagos de servicios
7.1.2. Organigrama del área de TI
TICKETS
CONTROL DE
PRODUCTO
BENEFICIOS
PERSONAL
CAJA
INVERSIONES
CONTROL
ECONÓMICO
PAGOS
46
7.1.3. Retos del Negocio

 Desarrollar nuevos productos, servicios y mercados.
 Obtener logros organizacionales de la mano con un apropiado clima
económico.
 Generar mayores utilidades a menores costos.
 Brindar mayores Retornos de la Inversión.
 Tener un rendimiento satisfactorio.
 Dar respuestas ágiles frente a cambios.
7.1.4. Responsabilidades de TI
 Demostrar la contribución de TI en la satisfacción de las necesidades de la
pollería.
 Realizar una contribución medible a la cadena de valor del negocio.
 Proporcionar servicios de TI en lugar de productos de TI.
 Hacer más efectiva al personal de la organización mediante los servicios de
TI.
7.2. Ciclo de vida del servicio
47
7.2.1. Estrategia del Servicio

 Proporciona guías sobre cómo diseñar, desarrollar e implementar la Gestión
de Servicios no sólo como una capacidad sino como un Activo Estratégico.
 Proporciona dirección para asegurar que las organizaciones están en posición
para manejar los costos y riesgos asociados con su Cartera de Servicios para
obtener efectividad operacional y distinción en el rendimiento.
 Anima a pensar en el por qué se debe hacer algo antes de pensar en el cómo.
7.2.1.1. Objetivos
 Entender los conceptos clave de la estrategia de servicio en el área de
recepción.
 Comprender y explicar los principios clave de modelos de estrategia del
servicio al cliente.
 Entender como los procesos de la estrategia del servicio contribuyen al
ciclo de vida del servicio.
 Explicar los objetivos de alto nivel para procesos de la estrategia del
servicio:
 Gestión de la estrategia en servicios en TI
 Gestión de portafolio
 Gestión de demanda
 Gestión financiera para servicio TI
 Gestión de relaciones con el negocio
48
7.2.1.2. Propósitos de la estrategia del servicio

 Operar y crecer exitosamente a largo plazo.
 Transformar la Gestión de Servicios en un Activo Estratégico.
 Ver las relaciones entre varios servicios, procesos o sistemas que son
gestionados y los modelos de negocio, estrategias y objetivos que
soportan.
 Proporcionar guías en las siguientes preguntas:
 ¿Qué servicios debemos ofrecer y a quién?
 ¿Cómo nos diferenciamos de la competencia existente?
 ¿Cómo realmente creamos valor para nuestros clientes?
 ¿Cómo capturamos valor para nuestros interesados?
 ¿Cómo debemos definir la calidad del servicio?
 ¿Cómo podemos hacer un caso para inversiones estratégicas?
 ¿Cómo colocamos eficientemente los recursos a lo largo de una
cartera de servicios?
7.2.1.3. Gestión de estrategia para servicios TI

Objetivos a cumplir en este proceso:
Objetivos
 Cumplimiento de servicios establecidos por la empresa.
 Control de calidad de los productos.
Procesos
 Mejora de infraestructura y de recursos en la pollería.
 Requerimientos para abastecer el servicio.
 Control de ingresos y salidas de productos.
 Control y manejos de las TI con relación al servicio que presta.
49
CONCLUSIONES
 Las pocas informaciones obtenidas de la empresa, en cuanto a su infraestructura y sus
recursos, han sido de mucha utilidad para poder evaluar de manera adecuada un plan
de innovación de TI.
 Los análisis que se realizó del funcionamiento del área de caja, se pudo concluir que el
sistema no realiza los procesos completos como para cubrir todas las tareas del área.
 El análisis de la situación actual de la empresa resaltan que, dentro de sus procesos de
servicio al cliente presentan deficiencias.
 De acuerdo a la encuesta realizada a los clientes en cuanto a la calidad de servicio, un
promedio de 18.4% de los clientes se sienten insatisfechos por el servicio que brinda
la pollería, lo cual refleja perdidas económicas.
 Con el uso de COBIT 5, se realizó diversos mapeos y comprender el grado de mejora
con el dominio APO y sus actividades.
RECOMENDACIONES
 Tomar conciencia en los procesos críticos de acuerdo a la evaluación de control
mediante COBIT 5.
 Según la funcionalidad de la empresa se debe diseñar el software para llevar un mejor
control relacionado en todas sus áreas.
 Evaluar con frecuencia los procesos de servicio con fines de medir las mejoras de la
pollería.
 Considerar los procesos que se han evaluado, para una aplicación de mejora y modelo
de madurez dentro de la organización.
 Por medio del uso de ITIL v3 conocer y comprender la gestión de servicios como una
práctica dentro de la organización.
 Proporcionar materiales de buenas prácticas de auditoria informática con las diversas
normativas de aplicación, para mejorar y complementar los conocimientos de calidad
de servicios y así aumentar la fidelización.
50
BIBLIOGRAFÍA
ISACA, I. (2013). COBIT 5 marco de referencia para el gobierno y la administración de TI en la

empresa. EE.UU.: Copyright © ISACA.
Liderazgo 21, D. T. (2006). Excelencia en servicio.
Serafín Caridad, S. (2006). Auditoría Informática.
Velthuis, M. G. (2001). Auditoría Informática 2da Edición. Mexico D.F.: Alfaomega Grupo Editor.
Juan Manuel Fernandez P. (2011). Calidad de servicio de tecnologías de la Información.
Huercano, S. R. (M. I.). Manuel de ITIL v3
Martínez Muñoz, J. M. (2012), Evaluación y mejora de un servicio mediante ITIL.
Cristina Borrazás, CISA, CRISC, PMP (2014). COBIT 5. Niveles de Capacidad Desafío de formalización
de procesos Costos y Beneficios.
51

Proyecto Auditoria UNASAM

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Proyecto Auditoria UNASAM

Hochgeladen von

Copyright:

Verfügbare Formate

UNIVERSIDAD SANTIAGO ANTUNEZ DE

MAESTRIA EN CIENCAS CONTABLES

“IMPLEMENTACIÓN DE CALIDAD DE SERVICIO APLICANDO COBIT

AUTORES : Macedo Diburcio Eber Ronald

ASIGNATURA : Auditoría de Sistemas de Información

DOCENTE : Mg. Cayo Víctor León Fernández

4.1. Identificación de Activos de TI ..................................................................................... 12

6.8.1. Evaluación del proceso APO 04 seleccionado mediante el mapeo ......................... 34

1.1. Giro del Negocio

domicilio y cuenta con un piso de entretenimiento para los más pequeños.

1.2. Reseña Histórica

1.3. Lugar Geográfico de la Empresa

Razón Social: POLLERÍA SANTA CRUZ

1.4. Direccionamiento Estratégico Actual

1.5.1.2. Análisis Externo

1.5.2. Metas Organizacionales

1.5.2.1. Corto Plazo

1.5.2.2. Mediano Plazo

1.5.2.3. Largo Plazo

1.5.3. Objetivos Estratégicos

Almacen Ventas Cajero

1.6.1. Descripción de la Gerencia y Áreas

II. IDENTIFICACIÓN DE LOS OBJETOS AUDITABLES

2.1. Motivos de Auditoria

Cuadro de la Problemática dentro del Área informática

Falta de comunicación con

Falta de integración del

Insatisfacción de los clientes

Incomodidad de los clientes a

Falta de capacidad de atención

Falta de control de productos

2.2. Título de Auditoría aplicable

“Implementación de calidad de servicio aplicando Cobit 5.0, Itil v3, en el área

III. MARCO NORMATIVO/REFERENCIAL APLICABLE

 COBIT 5.0: Buenas prácticas para el manejo y control de TI.

3.1.2. Normativa Referencial Nacional

IV. ANALISIS DE RIESGOS (ASOCIADOS AL TIPO DE AUDITORÍA

4.1. Identificación de Activos de TI

4.2. Amenazas y Vulnerabilidades

4.4. Probabilidad de Ocurrencia

𝑅𝑖��𝑔� = 𝑃�����𝑖�𝑖��� �� ��������𝑖� 𝑥 𝐼������

4.6. Evaluación de Riesgos en el Proceso de Servicio de Atención al Cliente

Impacto CLASE DE RIESGO

Estadísticas del riesgo Valor de riesgo

BAJO MODERADO ALTO EXTREMO

4.7. Análisis y Evaluación de riesgos

Datos de los proveedores Información Gerente Errores de operación Personal interno 2 1 2 2 2 2 4 M No

Computador Tangible Cajero Manipulación de hardware Personal interno Ausencia de mantenimiento 1 1 2 2 2 2 4 M Si

Protección física de equipos

Freidoras Tangible Ayudante Falta de mantenimiento Personal interno Fuga de gas 2 2 3 2 3 1 3 M No

5.2. Objetivos específicos

 Evaluar el control y manejos de las TI con relación a la calidad de servicio que

 Evaluar el cumplimiento de servicio establecido por la empresa.

 Analizar los informes mensuales del Control de servicio de pedidos y ventas

5.6. Perfil del Equipo de Auditoría

ROL PERFIL ENCARGADO

Profesional que debe tener un alto grado de

5.7. Asignación de roles

MANUAL DE ORGANIZACIÓN Y FUNCIONES

administrando los a la pollería Santa

Colabora con la producción Atención al Abastecimiento con los

5.8. Lista de personas a entrevistar

5.9. Plan del proyecto

𝑅𝑖��𝑔� = 𝑃��𝑖�𝑖�� 𝑖� 𝑥 𝐼��