García Chávarry, Alan Leonel Chiclote Suelpres, Richard

BIBLIOTECA DIGITAL - DIRECCIÓN DE SISTEMAS DE INFORMÁTICA Y COMUNICACIÓN
UNIVERSIDAD NACIONAL DE TRUJILLO

FACULTAD DE INGENIERIA
Escuela Académico Profesional de Ingeniería de Sistemas
TESIS PROFESIONAL:
“MODELO DE EVALUACIÓN DEL PROCESO DE
MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN DE LA
C.A.C. “CHICLAYO” LTDA. BASADO EN COBIT 5”
Autores:
Br. Alan Leonel García Chávarry.
Br. Richard Chiclote Suelpres.
Asesor:
Mg. Ing. Zoraida Yanet Vidal Melgarejo
Trujillo-Perú
2016
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajo la misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
DEDICATORIA
A DIOS
Por ser mi guía espiritual
que me conduce siempre
hacia el camino del bien
y el éxito.
A MIS PADRES
Quienes me impulsaron a seguir adelante
a pesar de las dificultades,
dándome la fuerza para
alcanzar esta meta tan anhelada.
ii
PRESENTACIÓN
Señores Miembros del Jurado:
De conformidad y en cumplimiento de los requisitos estipulados en el Reglamento de

Grados y Títulos de la Universidad Nacional de Trujillo y el Reglamento Interno de la
Escuela Académico Profesional de Ingeniería de Sistemas, ponemos a vuestra disposición
la presente tesis titulada: “MODELO DE EVALUACIÓN DEL PROCESO DE
MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN DE LA C.A.C.
“CHICLAYO” LTDA. BASADO EN COBIT 5”, esperamos que este trabajo de
investigación sirva como base para abrir nuevos horizontes a los futuros proyectos
basados en esta temática.
Trujillo, Octubre del 2016
Br. Alan Leonel García Chávarry. Br. Richard Chiclote Suelpres.
iii
AGRADECIMIENTOS
Agradecemos a la Universidad Nacional de Trujillo por la formación que nos impartieron,

que hoy nos permiten presentar este trabajo de investigación.
Del mismo modo agradecemos a todas las personas que hacen posible que podamos
mantenernos en constante labor de alcanzar los objetivos profesionales que nos hemos
trazado.
Gracias a la Mg. Ing. Zoraida Yanet Vidal Melgarejo, que nos asesoró en el desarrollo de
nuestra tesis.
iv
RESUMEN
El presente trabajo de investigación titulado “MODELO DE EVALUACIÓN DEL

PROCESO DE MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN DE LA
C.A.C. “CHICLAYO” LTDA. BASADO EN COBIT 5” describe el modelo de
evaluación del proceso de mantenimiento de sistemas de información aplicando las
buenas prácticas propuestas en COBIT 5.
El estudio se desarrolló en la C.A.C. “Chiclayo” Ltda., ubicada en la ciudad de Chiclayo,

departamento de Lambayeque.
El objetivo general del estudio es desarrollar un Modelo de Evaluación del proceso de

mantenimiento de Sistemas de Información de la C.A.C. “Chiclayo” Ltda., basado en
COBIT 5 que evalúe objetivamente su confiabilidad, con el fin de efectuar acciones
preventivas y correctivas para eliminar las carencias que se detecten.
El principal logro es realizar un diagnóstico situacional, que permita evaluar la

operatividad, los riesgos y la protección de la información procesada por la C.A.C.
“Chiclayo” Ltda., lo cual permitirá a los responsables efectuar acciones preventivas y
correctivas en base a las recomendaciones propuestas como resultado del estudio
LOS AUTORES
v
ABSTRACT
This research paper entitled "MODEL EVALUATION PROCESS SYSTEMS

MAINTENANCE INFORMATION C.A.C. "TRUJILLO" LTDA. BASED ON COBIT
5 "describes the evaluation model process of maintaining information systems applying
the good practices proposed in COBIT 5.
The study was conducted in the C.A.C. "Chiclayo" Ltda., Located in the city of Chiclayo,
Lambayeque department.
The overall objective of the study is to develop a model evaluation process of maintaining
Information Systems C.A.C. "Chiclayo" Ltda. Based on COBIT 5, which objectively
evaluate their reliability, in order to carry out preventive and corrective action to eliminate
the shortcomings detected.
The main achievement is to conduct a situational analysis, to assess the operation, the
risks and the protection of information processed by the C.A.C. "Chiclayo" Ltda. Which
will allow those responsible carry out preventive and corrective actions based on the
recommendations proposed as a result of the study
THE AUTHORS
vi
ÍNDICE GENERAL
DEDICATORIA ............................................................................................................... ii
PRESENTACIÓN ........................................................................................................... iii
AGRADECIMIENTOS ................................................................................................... iv
RESUMEN ....................................................................................................................... v
ABSTRACT .................................................................................................................... vi
ÍNDICE GENERAL ....................................................................................................... vii
ÍNDICE DE GRÁFICOS .............................................................................................. viii
ÍNDICE DE TABLAS ..................................................................................................... ix
CAPÍTULO I: GENERALIDADES ................................................................................. 1
1.1. Realidad Problemática: ........................................................................................... 2
1.2. Enunciado del Problema: ........................................................................................ 5
1.3. Hipótesis.................................................................................................................. 6
1.4. Justificación............................................................................................................. 6
1.5. Objetivos. ................................................................................................................ 8
1.6. Limitaciones: ........................................................................................................... 8
CAPÍTULO II: MARCO TEÓRICO ................................................................................ 6
2.1. Antecedentes: ........................................................................................................ 10
2.2. Teorías que sustentan el trabajo: ........................................................................... 13
CAPÍTULO III: MATERIALES Y MÉTODOS ............................................................ 27
3.1. Material: ................................................................................................................ 28
3.2. Métodos:................................................................................................................ 29
3.3. Técnicas: ............................................................................................................... 29
CAPÍTULO IV: DESARROLLO DE LA INVESTIGACIÓN ...................................... 35
CAPÍTULO V: CONCLUSIONES Y RECOMENDACIONES ................................... 71
BIBLIOGRAFÍA ............................................................................................................ 74
vii
ÍNDICE DE GRÁFICOS
Gráfico N° 1: Actividades del Sistema de Información ............................................... 16

Gráfico N° 2: Determinación de la Región de Aceptación .......................................... 34
Gráfico N° 3: Determinación de la Región de Aceptación – Indicador 1 .................... 61
viii
ÍNDICE DE TABLAS
Tabla N° 1. Operacionalización de las variables .......................................................... 7

Tabla Nº 02: Técnicas e Instrumentos .......................................................................... 30
Tabla N° 3: Tabla de datos para indicador cuantitativo ............................................... 31
Tabla N° 4: Varianzas Muestrales de indicador cuantitativo ....................................... 33
Tabla N° 5: Tabla de datos para indicador cualitativo ................................................. 33
Tabla N° 6: Tabla Resumen para indicador cualitativo ................................................ 34
Tabla N° 7: Varianzas Muestrales de indicador cualitativo ......................................... 34
ix
CAPÍTULO I:
GENERALIDADES
1
Facultad de Ingeniería
Universidad Nacional de Trujillo
Escuela de Ingeniería de Sistemas
1.1. Realidad Problemática:
En el Perú, la Oficina Nacional de Gobierno Electrónico e Información (ONGEI)

es, desde el 2004, la entidad reguladora en términos de tecnología de información
y la encargada de publicar y divulgar los mecanismos de control que deben cumplir
todas las entidades del Sistema Nacional de Informática, siendo las
Municipalidades o Gobiernos Locales parte de este sistema. Asimismo, la
Contraloría General de la República (CGR) es el organismo supervisor del
cumplimiento de las Normas de Control Interno (NCI) en todas las entidades del
sector público, y estas normas contienen controles para las Tecnologías de
Información y Comunicaciones (TIC) y para los Sistemas de Información (SI).
“En el transcurrir de las últimas décadas, el tema de la seguridad de información se

ha convertido en un aspecto vital en la gestión de las organizaciones. Conforme van
saliendo a la luz incidentes de seguridad que afectan a grandes empresas
internacionalmente reconocidas, la sociedad cada vez más va tomando conciencia
de la importancia y el valor que representa la información. Estas incidencias
ocurrieron con mayor frecuencia en la década del 2000 con los famosos
“Wikileaks”, los cuales, entre otros informes, publicaron diversos documentos de
gobiernos de distintos países con contenido muy confidencial. Frente a esta
realidad, se observa que el no contar con un programa de seguridad de información
que brinde las garantías necesarias para la información en cualquier organización,
en medio de un mercado tan competitivo como el actual, representa una desventaja
considerable frente a empresas del mismo rubro que sí trabajan el tema dentro de
su cultura organizacional. Esta desventaja podría traer pérdidas muy graves, tales
como la pérdida de un número importante de clientes o de acuerdos laborales con
otras empresas, lo cual afectaría principalmente la parte financiera de la
organización, y finalmente podría, si las pérdidas llegan a ser críticas, llevar a la
quiebra al negocio”. (ALIAGA FLORES, 2013)
En el Perú, la Superintendencia de Banca, Seguros y AFP (SBS, 2000) en su Portal

Institucional indica que “es el organismo encargado de la regulación y supervisión
de los Sistemas Financiero, de Seguros y del Sistema Privado de Pensiones, así
“Modelo de Evaluación del Proceso de
Mantenimiento de Sistemas de Información Br. García Chávarry, Alan Leonel
2
de la C.A.C. “Chiclayo” Ltda. basado en Br. Chiclote Suelpres, Richard
COBIT 5”
como de prevenir y detectar el lavado de activos y financiamiento del terrorismo.

Su objetivo primordial es preservar los intereses de los depositantes, de los
asegurados y de los afiliados al SPP.
El enfoque de la SBS es crear, a través de la regulación, un sistema de incentivos

que propicie que las decisiones privadas de las empresas sean consistentes con el
objetivo de lograr que los sistemas bajo supervisión adquieran la solidez e
integridad necesarios para mantener su solvencia y estabilidad en el largo plazo.
La SBS confía en el mercado como mecanismo de organización y asignación de
recursos, siempre que los incentivos dados por la regulación orienten a las empresas
a internalizar los costos sociales en sus decisiones. Para que este enfoque se pueda
desarrollar en la práctica, la SBS se apoya sobre la base de cuatro principios básicos
relacionados a (i) la calidad de los participantes del mercado, (ii) la calidad de la
información y análisis que respalda las decisiones de las empresas supervisadas (iii)
la información que revelan las empresas supervisadas para que otros agentes
económicos tomen decisiones y (iv) la claridad de las reglas de juego.
Respecto de la calidad de información y análisis empleado por las empresas

supervisadas, la regulación de la SBS se basa en el principio de prospección. Esto
quiere decir que, en la regulación de la SBS, se propicia una visión prospectiva de
los riesgos que enfrentan las empresas supervisadas. Así, el énfasis está puesto en
la necesidad de aplicar sistemas que les permitan identificar, medir, controlar y
monitorear sus riesgos de una manera eficiente. Las empresas tienen libertad para
implementar los sistemas que crean más convenientes, pero la SBS establece los
parámetros mínimos que deben cumplirse para garantizar un manejo prudente de
los riesgos a que las empresas supervisadas están expuestas.” (SBS, 2000)
La Cooperativa de Ahorro y Crédito “Chiclayo” Ltda. (COOPCHIC, en adelante),

inicia sus actividades el 16 de noviembre de 1964 y se registró a la Superintendencia
Nacional de Administración Tributaria (SUNAT), el 21 de junio de 1993, como tipo
de empresa “Cooperativa, SAIS, CAPS” y actividad comercial “Otros Tipos de
Crédito”. Desde el 22 de agosto del 2013, su Presidente es Don Pedro Jesús Reyes
Carrasco y cuenta con CINCO (05) trabajadores. (SUNAT, 2002)
3
COBIT 5”
Durante las entrevistas sostenidas con el Señor Presidente de la COOPCHIC, se

pudo deducir que se otorgan créditos a sus asociados dispuestos a utilizar sus
servicios y a aceptar las responsabilidades que conlleva su membresía. Los
asociados contribuyen de manera equitativa y controlan de manera democrática el
capital de la cooperativa a través de un Comité de Vigilancia y del responsable de
Auditoría Interna. Parte de ese capital es propiedad común de la cooperativa y los
asociados, reciben una compensación limitada, si es que la hay, sobre el capital
suscrito como condición de membresía. Los asociados asignan excedentes para
cualquiera de los siguientes propósitos: (1) El desarrollo de la cooperativa mediante
la creación de reservas, la cual una debe ser indivisible; los beneficios para los
miembros en proporción con sus transacciones con la cooperativa; y (2) El apoyo a
otras actividades, según lo apruebe la membresía.
Asimismo, la COOPCHIC realiza las siguientes actividades financieras entre y para

sus asociados: (1) Créditos Personales con descuento directo en planilla de pagos;
(2) Cuentas de Ahorro ofreciendo manejar su dinero de forma más segura y
conveniente con las Cuentas de Ahorro en soles, sin montos mínimos, ni gastos, ni
comisiones; (3) Cuentas del Futuro comprometida con incentivar la cultura del
ahorro en los hijos, niños y jóvenes, de los asociados, ofreciendo una tasa de interés
exclusiva, sorteos y programas especiales; (4) Depósitos a Plazo, permitiendo
invertir dinero de manera segura y rentable en depósitos a plazo desde 30 hasta
1080 días con tasas de interés competitivas con las bancarias; y otras más.
Las actividades anteriores son realizadas con el soporte de un sistema de

información desarrollado e implantando, por una persona externa en el año 2006,
en el lenguaje de programación Microsoft Visual FoxPro 5.0 y gestor de base de
datos Microsoft SQL Server 7.0. Se encuentra instalado en las CINCO (05)
computadoras de la COOPCHIC, siendo la computadora del Presidente la que
cumple el rol de servidor de base de datos, las demás computadoras están
distribuidas de la siguiente manera DOS (02) están destinadas para el cobro de los
aportes, la entrega de dinero prestado y el registro de nuevos socios, UNA (01) para
la Contadora y UNA (01) para el Auditor Interno. Todas las computadoras se
4
COBIT 5”
encienden y apagan al iniciar y finalizar el horario de trabajo diario.
Según manifiesta el Señor Presidente, el sistema de información presenta muchos

puntos débiles y/o errores, como por ejemplo: (1) Los reportes deben ser generados
solo en su computadora, y en caso él no se encuentre, no se pueden realizar los
mismos; (2) Cuando se registra un nuevo socio, debe formar la misma cola con los
socios que aportan o retiran, generando disconformidad; (3) Malos cálculos en los
reportes semanales, mensuales y anuales debido que están mal diseñados o no se
ajustan a la necesidad de la COOPCHIC; (4) No cuentan con reportes de para ser
remitidos a la Federación Nacional de Cooperativas de Ahorro y Crédito del Perú
(FENACREP) y la SBS; (5) Dependencia del proveedor para el mantenimiento del
sistema de información al no contarse con los códigos fuentes; entre otros.
Respecto al proceso de mantenimiento del sistema de información, se consultó a la

Señorita Contadora en su calidad de Custodia del mismo, quién manifestó que (1)
Al asumir el cargo a inicios del 2014 no le entregaron ni encontró documentos para
la Gestión, tales como Manuales de Usuarios, Instalación, Configuración, Gestión
de Usuarios y Gestión de Base de Datos, Políticas y Directivas de Gestión y
Seguridad de la Información, Bitácora de Errores, Gestión de Cambios, Inventario
de Hardware y Software, entre otros; (2) El Personal actualmente contratado no
participó de las fases de formulación de requerimientos, diseño, evaluación y
capacitación del sistema de información; (3) El mantenimiento es solicitado vía
telefónicamente al proveedor, debido que radica en la ciudad de Lima; y, (4) El
mantenimiento es realizado por el proveedor de manera remota haciendo uso de la
aplicación TeamViewer, accediendo a todas las computadoras, y en muchas
ocasiones, requiere que el servidor de base de datos no se apague al finalizar la
jornada diaria.
1.2. Enunciado del Problema:
¿Cómo mejorar el proceso de mantenimiento del Sistema de Información de la

COOPCHIC?

5
COBIT 5”
1.3. Hipótesis.
Un modelo basado en COBIT 5 permite la mejora del proceso de mantenimiento del

Sistema de Información de la COOPCHIC.
Variables:
1.3.1. Variable Independiente.
Modelo basado en COBIT 5.0.
1.3.2. Variable Dependiente.

Mantenimiento de Sistema de Información.
1.3.3. Operacionalización de las variables.

En la tabla N° 1, mostrada en la siguiente página se hace el detalle de la
operacionalización de las variables y sus indicadores.
1.4. Justificación.
1.4.1. Justificación Tecnológica:

Los recursos tecnológicos a utilizar están basados en software libre, estando
al alcance de la COOPCHIC.
1.4.2. Justificación Económica:

Es un proyecto desarrollado con presupuesto de los investigadores y no
generarán gastos para la COOPCHIC.
1.4.3. Justificación Operativa:

Facilitar el mantenimiento de los sistemas de información de la
COOPCHIC.

6
COBIT 5”
Tabla N° 1. Operacionalización de las variables.
Instrumento de
Variable Indicador Fórmula Categoría
medición
Tiempo Cronómetro T = TF - TI Ordinal
VI Costo Hoja de datos C = PP - PE Razón
Modelo basado en COBIT 5.0. Oportunidad de atención Hoja de datos Encuesta Ordinal
Procesos formalizados Hoja de datos Encuesta Ordinal
Tiempo Hoja de datos Encuesta Razón
VD Productividad Línea base de costos Encuesta Ordinal

Mantenimiento de Sistema de
Satisfacción del cliente Encuesta Nivel de satisfacción Ordinal
Información
Calidad del servicio Encuesta Cualificación de calidad Ordinal
Donde:
• T = Tiempo empleado en el mantenimiento.
• TF = Tiempo de entrega
• TI = Tiempo de requerimiento
• C = Costo del mantenimiento
• PP = Presupuesto programado
• PE = Presupuesto ejecutado

7
COBIT 5”
1.4.4. Justificación Social:

Al tratarse de un proyecto que busca optimizar el proceso de mantenimiento
de los Sistemas de Información, se alcanzará una mejoría en el desempeño
y la productividad reflejándose en la satisfacción del personal.
1.4.5. Justificación Legal:

Por tratarse de una Cooperativa de Ahorro y Crédito, conformante del
Sistema Financiero Peruano, se debe verificar el cumplimiento de las
normas emitidas por la Superintendencia de Banca, Seguros y AFP (SBS).
1.5. Objetivos.
1.5.1. Objetivo General:
Formular un modelo de mantenimiento de sistemas de información de las

Cooperativa de Ahorro y Crédito “Chiclayo” Ltda., basado en COBIT 5.0.
1.5.2. Objetivos Específicos:

• Evaluar el proceso de mantenimiento del SI de la COOPCHIC según
normas establecidas.
• Evaluar si el Modelo de mantenimiento propuesto disminuye el tiempo
del mantenimiento del SI de la COOPCHIC.
• Evaluar si el Modelo de mantenimiento propuesto disminuye el costo del
mantenimiento del SI de la COOPCHIC.
• Evaluar si el Modelo de mantenimiento propuesto facilita el incremento
de funcionalidades del SI de la COOPCHIC.
1.6. Limitaciones:
➢ La falta de libre acceso de información confidencial de la Institución.
➢ Falta de información documentada.

8
COBIT 5”
CAPÍTULO II:
MARCO TEÓRICO
Universidad Nacional de Trujillo Facultad de Ingeniería
2.1. Antecedentes:
A) Nacional.
Título: Diseño de un Sistema de Gestión de Seguridad de Información para un

instituto educativo
Autor(es): Aliaga Flores, Luis Carlos
Universidad: Pontificia Universidad Católica del Perú
Resumen: En el caso de instituciones educativas, se puede observar que éstas aún no

toman a la seguridad de información como prioridad. Así como también se
observa que no existe una cultura de seguridad transversal en dichas
entidades. Si bien es cierto que aún no existe una regulación del Ministerio
de Educación, no se tendría que esperar que el tema se regule para que
recién tomar acción en el establecimiento de controles para mitigar o
reducir los riesgos a los que la información de estas entidades está expuesta.
Bajo este contexto, el presente proyecto brinda como alternativa el diseño
de un Sistema de Seguridad de Información (SGSI) para una institución
educativa de nivel superior, tomando la realidad de una entidad educativa
local y se enfoca en proteger la información de los procesos principales
siguiendo normas internacionales vigentes.
Aporte: Nos sirve para conocer las características del diseño de un Sistema de
Seguridad de Información a fin de poder extraer algunos lineamientos que
nos ayuden a formular nuestro modelo de evaluación.
Fuente: (ALIAGA FLORES, 2013)

10
COBIT 5”
Título: Análisis y diseño de un sistema de gestión de seguridad de información

basado en la norma ISO/IEC 27001:2005 para una empresa de producción
y comercialización de productos de consumo masivo
Autor(es): Espinoza Aguinaga, Hans Ryan
Universidad: Pontificia Universidad Católica del Perú
Resumen: En el presente proyecto de fin de carrera se tomaran en cuenta los aspectos

más importantes de la norma ISO/IEC 27001:2005, a partir de los cuales se
buscará poder desarrollar cada una de las etapas del diseño de un sistema
de gestión de seguridad de información para que pueda ser empleado por
una empresa dedicada a la producción de alimentos de consumo masivo en
el Perú, lo cual permitirá que ésta cumpla con las normas de regulación
vigentes en lo que respecta a seguridad de información. Para efectos del
análisis de riesgos para este proyecto de tesis, se decidió trabajar con el
proceso de producción, ya que se consideró que era el proceso más
importante dentro del funcionamiento de la empresa. Este proceso de
producción a su vez se dividió en 4 subprocesos que lo conforman, los
cuales fueron el proceso de planificación, manufactura, calidad y bodegas
e inventarios
Aporte: Nos sirve para conocer las características del diseño de un Sistema de
Seguridad de Información a fin de poder extraer algunos lineamientos que
nos ayuden a formular nuestro modelo de evaluación para el mantenimiento
de las aplicaciones.
Fuente: (ESPINOZA AGUINAGA, 2013)

B) Internacional.
Titulo: Diseño de Sistema de Gestión de Seguridad de Información para Ecuacolor.
Autor(es): Lara Muñoz, Hernán; Reyes Reina, José Humberto; Navarrete Mera,
Washington
Universidad: Escuela Superior Politécnica del Litoral - Ecuador
Resumen: El objetivo de nuestra tesis es el Diseño de un Sistema de Gestión de

Seguridad de la Información para la empresa ECUACOLOR, basado en el
análisis de la empresa y el conocimiento adquirido durante el Diplomado

11
COBIT 5”
de Auditoría Informática Un segundo objetivo es contribuir para que las

empresas ecuatorianas tomen conciencia de la necesidad de implementar
Sistemas de Seguridad, como una herramienta que ayudará a cumplir con
las metas y objetivos de la empresas, ayudándoles en la gestión del negocio
y ser más competitivas en el mercado.
Aporte: Nos sirve para extraer algunos lineamientos que nos ayuden a formular
nuestro modelo de evaluación de mantenimiento de aplicaciones en el
marco de la gestión adecuada del negocio.
Fuente: (LARA MUÑOZ, y otros, 2006)
Titulo: Evaluación de controles según el modelo COBIT, para la adquisición y

mantenimiento de aplicaciones informáticas en el departamento de
informática de una empresa distribuidora de vehículos automotores.
Autor(es): Dionicio Teo, Luis Guillermo
Universidad: San Carlos de Guatemala
Resumen: El presente trabajo de tesis pretende aportar a los Contadores Públicos y

Auditores que desarrollan su actividad como Auditores Internos en una
empresa de este tipo, los lineamientos necesarios para desarrollar una
auditoría de sistemas evaluando los controles aplicados por el
departamento de informática en base al modelo de los Objetivos de Control
de Información y Tecnología Relacionada (COBIT), con la finalidad de
soportar su opinión en base a criterios internacionales de aceptación general
que agreguen mayor valor a sus conclusiones y recomendaciones ante la
administración de la empresa.
Aporte: Nos sirve ya que aplica COBIT en la medición de controles en la

adquisición y mantenimiento de aplicaciones informáticas y nos permitirá
extraer algunos lineamientos que nos ayuden a formular nuestro modelo de
evaluación.
Fuente: (DIONICIO TEO, 2011)

12
COBIT 5”
2.2. Teorías que sustentan el trabajo:
2.2.1. Cooperativa de Ahorro y Crédito (Rabines Ripalda, 2006).

“Empresa cooperativa que brinda servicios financieros de carácter solidario,
constituida en forma libre y voluntaria para satisfacer necesidades comunes.
Su vida institucional se desenvuelve en el marco doctrinario de los
principios y valores cooperativos mundialmente aceptados, así como
observando y respetando las disposiciones legales vigentes emitidas para la
actividad financiera. Se les conoce como “el banco del pueblo” por su
servicio a las clases necesitadas, y su relación con la comunidad.
Alrededor del mundo, las Cooperativas de Ahorro y Crédito (COOPAC)

presentan las siguientes cifras:
En el Perú, el Sistema de COOPAC presenta las siguientes características:

• No operan con el público, solo con sus socios.
• Las COOPAC son instituciones especializadas en servicios financieros,
no hacen multiactividad.
• Se rigen por la Ley General de Cooperativas, y por la Ley de Banca a
través de la 24 Disposición Final y Complementaria
• La Federación es y ha sido históricamente su órgano de representación,
defensa, asistencia técnica, y capacitación.

13
COBIT 5”
Las Cooperativas de Ahorro y Crédito del Perú son supervisadas por la

Organización Nacional de Integración Cooperativa (FENACREP), que fue
creada en abril de 1959. Su Objeto es ejercer actividades de representación,
defensa, asistencia técnica, educación cooperativa; y desde 1993,
supervisión de las COOPAC.
FENACREP es una institución sin fines de lucro, de duración indefinida, y

de responsabilidad limitada. Tiene como marco normativo los siguientes:
• Un solo Plan de Cuentas para COOPAC.
• Presentación Mensual y Trimestral de Información Financiera.
• Auditoría Interna obligatoria (Todas) y Auditoría Externa a COOPAC
de mayor volumen de activos (72 COOPAC).
• Régimen de Provisiones de Cartera, Bienes Adjudicados y Otros
Activos de Riesgo.
• Publicación de Tasas de Interés.
La FENACREP mantiene una estrecha coordinación con la

Superintendencia de Banca, Seguros y AFP (SBS). Durante varios años se
mantuvo vínculo cercano con la SBS, bajo un mecanismo de coordinación
para la emisión de normas y de esa manera tratar de evitar discrepancias.
Desde el inicio de la Supervisión, la SBS apoyó a FENACREP en formar
un equipo que desarrolle la labor de manera eficiente y objetiva. A partir de
ello, FENCREP ha optimizado y especializado la supervisión enfocada a
Riesgos, y el apoyo de SBS continúa”.
2.2.2. Modelo
Un modelo es una abstracción teórica del mundo real que tiene dos
utilidades fundamentales:
Reducir la complejidad, permitiéndonos ver las características importantes
que están detrás de un proceso, ignorando detalles de menor importancia
que harían el análisis innecesariamente laborioso; es decir, permitiéndonos
ver el bosque a pesar del detalle de los árboles.

14
COBIT 5”
Hacer predicciones concretas, que se puedan falsar mediante experimentos

u observaciones. De esta forma, los modelos dirigen los estudios empíricos
en una u otra dirección, al sugerir qué información es más importante
conseguir. (UAM, 2014)
2.2.3. Sistema de Información.

[Laudon, 2010], indica que es un conjunto de “componentes interrelacionados
que capturan, almacenan, procesan y distribuyen la información para apoyar
la toma de decisiones, el control, análisis y visión de una institución”.
[Peralta, 2008] señala: “un sistema de información es un conjunto de

elementos que interactúan entre sí con el fin de apoyar las actividades de una
empresa o negocio. Un Sistema de Información no necesariamente incluye
equipo electrónico (hardware). Sin embargo, en la práctica, se utiliza como
sinónimo de Sistema de Información Computarizado”.
Estos elementos, son de naturaleza diversa y normalmente incluyen:
• El equipo computacional: el hardware necesario para que el sistema de
información pueda operar.
• El recurso humano que interactúa con el Sistema de Información, el cual
está formado por las personas que utilizan el sistema.
• Un sistema de información realiza cuatro actividades básicas: entrada,
almacenamiento, procesamiento y salida de información.
• Los programas son ejecutados por la computadora y producen diferentes
tipos de resultados. (software).
[Castillo, 2008] dice son “cuatro las actividades de un sistema de información

que producen la información requerida por la institución para la toma de
decisiones, para el control de las operaciones, el análisis de los problemas y
la creación de los nuevos productos y servicios, estas actividades son:

15
COBIT 5”
• Entrada:
Es el proceso mediante el cual el Sistema de Información toma los datos
que requiere para procesar la información. Las entradas pueden ser
manuales o automáticas.
Gráfico N° 1: Actividades del Sistema de Información

Fuente: [Peralta, 2008]
• Almacenamiento:
Es una de las actividades o capacidades más importantes que tiene una
computadora, ya que a través de esta propiedad el sistema puede recordar
la información guardada en la sección o proceso anterior. La unidad típica
de almacenamiento son los discos magnéticos o discos duros, los discos
flexibles o disquetes y los discos compactos (CD-ROM).
• Procesamiento:
Es la capacidad del Sistema de Información para efectuar cálculos de
acuerdo con una secuencia de operaciones preestablecida. Estos cálculos
pueden efectuarse con datos introducidos recientemente en el sistema o
bien con datos que están almacenados.
• Salida de Información:
Es la capacidad de un Sistema de Información para sacar la información
procesada o bien datos de entrada al exterior.

16
COBIT 5”
Los Sistemas de Información cumplen tres objetivos básicos dentro de las

organizaciones:
• Automatización de procesos operativos.
• Proporcionar información que sirva de apoyo al proceso de toma de
decisiones.
• Lograr ventajas competitivas a través de su implantación y uso.
Los sistemas de información pueden ser clasificados de la siguiente manera:

▪ Transaccionales: Son aquellos que sirven de apoyo a la operación diaria,
ponen a disposición de los usuarios toda la información que necesitan para
el desempeño de sus funciones, lo cual supone una pequeña parcela de
datos del sistema de información global.
A través de éstos suelen lograrse ahorros significativos de mano de obra,
debido a que automatizan tareas operativas de la organización. Tienen la
propiedad de ser recolectores de información, es decir, a través de estos
sistemas se cargan las grandes bases de información para su explotación
posterior.
▪ De ayuda a la Toma de Decisiones: Son una ampliación y continuación

de los anteriores y permiten realizar análisis diversos de los mismos datos
sin necesidad de programación; ayudan a los directivos a tomar decisiones
no muy estructuradas o decisiones semiestructurada y resolver problemas,
suelen tener capacidades gráficas, de confección de informen e incluso de
simulación. Si utilizan los datos de gestión están destinados a los usuarios
de nivel táctico.
Los directivos recurren a los datos almacenados como consecuencia del
procesamiento de las transacciones, pero también emplean otra
información.
[Burch, 1998] nos dice: “Todos los sistemas de información grandes o

pequeños, avanzados o sencillos, buenos o malos, están formados por seis

17
COBIT 5”
componentes: entrada, modelos, salida, tecnología, base de datos y

controles.”
La manera en que se forman y entrelazan estos componentes estructurales y
la sustancia que contienen estará influenciada, en gran medida por diez
fuerzas de diseño: integración, interfaz usuario/sistema, fuerzas competitivas,
calidad y utilidad de la información, requerimientos de sistemas,
requerimientos de procesamientos de datos, factores organizacionales,
requerimientos costo/eficacia, factores humanos y requerimientos de
factibilidad.
Los componentes estructurales no hacen un sistema de información con un
propósito determinado, a menos que satisfagan los dictados de las fuerzas de
diseño y se aglutinen en una unidad.
2.2.4. Confiabilidad del Sistema de Información

Cómo lo indican Piattini y otros en “Calidad de Sistemas Informáticos” (pág.
86, 2008) la Fiabilidad es la “capacidad del producto software para mantener
un nivel especificado de prestaciones cuando se usa bajo condiciones
especificadas.
Esta característica se subdivide a su vez en:

- Madurez: Capacidad del producto software para evitar fallar como
resultado de fallos en el software.
- Tolerancia a fallos: Capacidad del producto software para mantener un
nivel especificado de prestaciones en caso de fallos software o de infringir
las interfaces especificadas.
- Capacidad de recuperación: Capacidad del producto software para
restablecer un nivel de prestaciones especificado y de recuperar los datos
directamente afectados en caso de fallo.
- Cumplimiento de la confiabilidad: Capacidad del producto software
para adherirse a normas, convenciones o regulaciones relacionadas con la
fiabilidad”.

18
COBIT 5”
2.2.5. Mantenimiento de Software (Pressman, 2010)

“El mantenimiento corrige los defectos, adapta el software para satisfacer
un entorno cambiante y mejorar la funcionalidad a fin de cubrir las
necesidades evolutivas de los clientes. En el nivel de la organización, el
mantenimiento lo realiza el personal de apoyo que es parte de la
organización de ingeniería de software.
Al vivir en un mundo que cambia rápidamente, las demandas sobre las
funciones empresariales y la tecnología de la información que las apoyan
cambian a un paso que pone enorme presión competitiva sobre toda la
organización comercial. Por esto, el software debe mantenerse
continuamente y, en el momento adecuado, someterse a reingeniería para
sostener el paso.
El software se libera a los usuarios finales y prácticamente el reto del

mantenimiento de software comienza. Uno se enfrenta con una creciente
lista de corrección de errores, peticiones de adaptación y mejoras
categóricas que deben planearse, calendarizarse y, a final de cuentas,
lograrse. Mucho antes, la fila creció bastante y el trabajo que implica
amenaza con abrumar los recursos disponibles. Conforme pasa el tiempo, la
organización descubre que emplea más dinero y tiempo en mantener los
programas existentes que en someter a ingeniería nuevas aplicaciones. De
hecho, no es raro que una organización de software emplee entre 60 y 70
por ciento de todos sus recursos en mantenimiento de software.
Una de las razones por las cuales se requiere tanto mantenimiento y porqué
se emplea tanto es esfuerzo es que mucho del software del que dependemos
en la actualidad tiene en promedio una antigüedad de 10 a 15 años. Aun
cuando dichos programas se crearon usando las mejores técnicas de diseño
y codificación conocidas en la época [y muchas no lo fueron], se produjeron
cuando el tamaño del programa y el espacio de almacenamiento eran las
preocupaciones principales. Luego migraron a nuevas plataformas, se
ajustaron para cambios en máquina y tecnología de sistema operativo, y
aumentaron para satisfacer las necesidades de los nuevos usuarios, todo sin
19
COBIT 5”
suficiente preocupación por la arquitectura global. El resultado de

estructuras pobremente diseñadas, pobre codificación, pobre lógica y pobre
documentación de los sistemas de software que ahora debemos seguir
usando.
Otra razón del problema del mantenimiento del software es la movilidad

del personal. Es probable que el equipo (o la persona) de software que hizo
el trabajo original ya no esté más por ahí. Peor aún, otras generaciones de
personal de software modificaron el sistema y se mudaron. Y puede ser que
ya no quede alguien que tenga algún conocimiento directo del sistema
heredado.
La naturaleza ubicua del cambio subyace a todo el trabajo del software. El

cambio es inevitable cuando se construyen sistemas basados en
computadoras; por tanto, deben desarrollarse mecanismos para evaluar,
controlar y realizar modificaciones. De allí que se enfatiza la importancia
de entender el problema (análisis) y de desarrollar una solución bien
estructurada (diseño). Análisis y diseño conducen a una importante
características del software que se llamará mantenibilidad. En esencia, la
mantenibilidad es un indicio cualitativo de la facilidad con la que el
software existente puede corregirse, adaptarse o aumentarse. Gran parte de
lo que trata la ingeniería de software es acerca de la construcción de sistemas
que muestren alta mantenibilidad.
¿Pero qué es mantenibilidad? El software mantenible muestra modularidad

efectiva, usa patrones de diseño que permiten facilidad de comprensión. Se
construyó con estándares y convenciones de codificaciones bien definidas,
que conducen a código fuente autodocumentable y comprensibles.
Experimentó varias técnicas de aseguramiento de calidad que descubrieron
potenciales problemas de mantenimiento antes de que el software se
liberara. Fue creado por ingenieros de software que reconocen que acaso ya
no estén presentes cuando deban realizarse cambios. En consecuencia, el
diseño y la implementación del software debe ‘auxiliar’ a la persona que
20
COBIT 5”
realice el cambio.”
2.2.6. Seguridad de la Información:

La información es un activo que, como otros activos importantes del negocio,
tiene valor para la organización y requiere en consecuencia una protección
adecuada. La seguridad de la información protege a ésta de un amplio rango
de amenazas para asegurar la continuidad del negocio, minimizar los daños a
la organización y maximizar el retorno de las inversiones y las oportunidades
de negocio.
La seguridad de la información se caracteriza aquí como la preservación de

su confiabilidad, integridad y disponibilidad.
La seguridad se consigue implantando un conjunto adecuado de controles,

que pueden ser políticas prácticas, procedimientos, estructuras organizativas
y funciones de software, los controles deberían establecerse para asegurar que
se cumplen los objetivos específicos de seguridad de la organización. La
información y procesos que la apoyan, sistemas y redes son importantes
activos de la organización. La disponibilidad, integridad y confidencialidad
de la información pueden ser esenciales para mantener su competitividad,
tesorería, rentabilidad, cumplimiento de la legalidad e imagen comercial.
2.2.7. Tecnología de Información:

Se aplica al proceso a través del cual los seres humanos diseñan herramientas
y máquinas para incrementar su control y su comprensión del entorno
material.
La tecnología de información proporciona soluciones claras a determinados

problemas que se presentan, en mayor o menor grado de implementación en
los Sistemas de Información.
Los recursos de la Tecnología de Información son:

• Proceso: Funciones de negocio y actividades que utilizan la tecnología de
21
COBIT 5”
información.
• Datos: Los objetos de datos en su sentido más amplio, es decir: externos,
internos, estructurados y no estructurados, gráficos, sonidos, etc.
• Aplicaciones: La suma de programas de aplicación, funciones de
procesamiento y procedimientos manuales.
• Tecnología: Hardware, sistemas operativos, manejo de base de datos,
trabajo en redes, multimedia, telecomunicaciones y telefonía.
• Instalaciones: Ambientes que albergan y soportan los sistemas y procesos
informáticos.
• Personal: Habilidades, conocimientos y productividad del personal para
planificar, organizar, adquirir, entregar y dar soporte y monitorear servicios
y sistemas de información.
2.2.8. Superintendencia de Banca, Seguros y AFP – SBS (SBS, 2000)

“El enfoque de la SBS es crear, a través de la regulación, un sistema de
incentivos que propicie que las decisiones privadas de las empresas sean
consistentes con el objetivo de lograr que los sistemas bajo supervisión
adquieran la solidez e integridad necesarios para mantener su solvencia y
estabilidad en el largo plazo.
La SBS confía en el mercado como mecanismo de organización y

asignación de recursos, siempre que los incentivos dados por la regulación
orienten a las empresas a internalizar los costos sociales en sus decisiones.
Para que este enfoque se pueda desarrollar en la práctica, la SBS se apoya
sobre la base de cuatro principios básicos relacionados a (i) la calidad de los
participantes del mercado, (ii) la calidad de la información y análisis que
respalda las decisiones de las empresas supervisadas (iii) la información que
revelan las empresas supervisadas para que otros agentes económicos tomen
decisiones y (iv) la claridad de las reglas de juego.
En cuanto a la calidad de los participantes del mercado, la regulación de la

SBS se basa en el principio de idoneidad. Si se desea que los sistemas gocen

22
COBIT 5”
de solidez e integridad, entonces es necesario asegurar que quienes operan

en el mercado sean personas de solvencia moral, económica y que
demuestren capacidad de gestión. Así, la regulación de la SBS busca
verificar que la dirección de las empresas supervisadas esté en manos de
personas idóneas. El principal énfasis de este principio se encuentra en los
requisitos de entrada al mercado.
Respecto de la calidad de información y análisis empleado por las empresas

supervisadas, la regulación de la SBS se basa en el principio de prospección.
Esto quiere decir que, en la regulación de la SBS, se propicia una visión
prospectiva de los riesgos que enfrentan las empresas supervisadas. Así, el
énfasis está puesto en la necesidad de aplicar sistemas que les permitan
identificar, medir, controlar y monitorear sus riesgos de una manera
eficiente. Las empresas tienen libertad para implementar los sistemas que
crean más convenientes, pero la SBS establece los parámetros mínimos que
deben cumplirse para garantizar un manejo prudente de los riesgos a que las
empresas supervisadas están expuestas.
Las empresas de los sistemas financieros, de seguros y privado de pensiones

también proporcionan información para que otros agentes económicos
tomen decisiones. Con relación a este punto, la regulación de la SBS se basa
en el principio de transparencia. Los clientes, supervisores, analistas e
inversionistas, requieren de información proporcionada por las empresas
supervisadas para poder tomar sus decisiones. Para que las decisiones sean
óptimas y fomenten una disciplina de mercado, se requiere que la
información sea correcta, confiable y oportuna. La regulación de la SBS
busca crear incentivos y herramientas que garanticen la calidad y
oportunidad de la información emitida por las empresas supervisadas.
Finalmente, respecto de la claridad de las reglas de juego, la regulación de

la SBS se basa en el principio de ejecutabilidad. Este principio persigue que
las normas dictadas por la SBS sean de fácil comprensión, exigibles y que
puedan ser supervisadas. En esta dirección, las normas de la SBS buscan
23
COBIT 5”
cumplir con cuatro características básicas. En primer término, las normas

deben ser de carácter general, es decir, deben basarse en la exigencia de
lineamientos generales y en la definición de parámetros mínimos, dejando
un margen prudencial para la toma de decisiones por parte de las empresas
supervisadas. En segundo lugar, dichas normas deben estar bien acotadas,
es decir, deben tener un ámbito de acción claramente definido y éste debe
girar en torno a algún riesgo en particular. Asimismo, las normas deben ser
claras, evitando dejar lugar a interpretaciones erróneas. En cuarto y último
término, las normas deben establecer metas que puedan ser cumplidas por
las empresas supervisadas”. (SBS, 2000)
2.2.9. COBIT 5.0.

“Objetivos de Control para Información y Tecnologías Relacionadas
(COBIT, en inglés: Control Objectives for Information and related
Technology) es una guía de mejores prácticas presentado como framework,
dirigida al control y supervisión de tecnología de la información (TI).
Mantenido por ISACA (en inglés: Information Systems Audit and Control
Association) y el IT GI (en inglés: IT Governance Institute), tiene una serie
de recursos que pueden servir de modelo de referencia para la gestión de TI,
incluyendo un resumen ejecutivo, un framework, objetivos de control,
mapas de auditoría, herramientas para su implementación y principalmente,
una guía de técnicas de gestión.
ISACA lanzó el 10 de abril del 2012 la nueva edición de este marco de

referencia. COBIT 5 es la última edición del framework mundialmente
aceptado, el cual proporciona una visión empresarial del Gobierno de TI que
tiene a la tecnología y a la información como protagonistas en la creación
de valor para las empresas.
COBIT 5 se basa en COBIT 4.1, y a su vez lo amplía mediante la integración

de otros importantes marcos y normas como Val IT y Risk IT, Information
Technology Infrastructure Library (ITIL ®) y las normas ISO relacionadas
en esta norma.
24
COBIT 5”
Entre los beneficios que COBIT 5 se considera que ayuda a empresas de

todos los tamaños a:
• Optimizar los servicios el coste de las TI y la tecnología
• Apoyar el cumplimiento de las leyes, reglamentos, acuerdos
contractuales y las políticas
• Gestión de nuevas tecnologías de información
Respecto al enfoque de COBIT para la seguridad de la información, en el

mes de junio del 2012, ISACA lanzó "COBIT 5 para la seguridad de la
información", actualizando la última versión de su marco a fin de
proporcionar una guía práctica en la seguridad de la empresa, en todos sus
niveles prácticos: ‘COBIT 5 para seguridad de la información puede ayudar
a las empresas a reducir sus perfiles de riesgo a través de la adecuada
administración de la seguridad. La información específica y las tecnologías
relacionadas son cada vez más esenciales para las organizaciones, pero la
seguridad de la información es esencial para la confianza de los accionistas’
La misión de COBIT es "investigar, desarrollar, publicar y promocionar un

conjunto de objetivos de control generalmente aceptados para las
tecnologías de la información que sean autorizados (dados por alguien con
autoridad), actualizados, e internacionales para el uso del día a día de los
gestores de negocios (también directivos) y auditores". Gestores, auditores,
y usuarios se benefician del desarrollo de COBIT porque les ayuda a
entender sus Sistemas de Información (o tecnologías de la información) y
decidir el nivel de seguridad y control que es necesario para proteger los
activos de sus compañías mediante el desarrollo de un modelo de
administración de las tecnologías de la información”. (Wikipedia, 2015)
“COBIT 5 es el marco de gestión y de negocio global para el gobierno y la

gestión de las TI de la empresa. Contiene 5 principios de COBIT 5 y define
7 catalizadores que componen el marco. COBIT permite a las empresas
maximizar el valor y minimizar los riesgos relacionados con la información,
25
COBIT 5”
que se ha convertido en la divisa del Siglo XXI. COBIT 5 es un marco

exhaustivo de principios, prácticas, herramientas y modelos de análisis
mundialmente aceptados, que pueden ayudar a cualquier empresa a abordar
aspectos críticos relacionados con el gobierno y la gestión de la información
y tecnología”. (ISACA, 2015)

26
COBIT 5”
CAPÍTULO III:
MATERIALES Y MÉTODOS

3.1. Material:
3.1.1. Objeto de Estudio:
Procesos de Mantenimiento del Sistema de Información de la C.A.C.
“Chiclayo” Ltda.
3.1.2. Población:
Personal involucrado en los procesos de Mantenimiento del Sistema de
Información de la C.A.C. “Chiclayo” Ltda.
Son 10 los empleados (entre administrativos y personal técnico) que están
relacionado con los procesos de mantenimiento del sistema de información.
En este caso la muestra estará conformada por los mismos integrantes de la
población.
3.1.3. Personal investigador:

➢ Br. Alan Leonel García Chávarry.
➢ Br. Richard Chiclote Suelpres.
3.1.4. Equipos y Materiales:

a. Equipos y Materiales Disponibles:
• MATERIAL DE ESCRITORIO:
Lápiz docena.
Lapicero docena.
Borrador.
Corrector.
Folder docena.
Plumones gruesos docena.
Cuadernos.
• MATERIAL DE IMPRESIÓN
Papel Bond A4 por millar.
Papel bulky por millar.

28
COBIT 5”

• LIBROS Y SUSCRIPCIONES
Búsqueda en base de datos.
Separatas, folletos.
• SERVICIOS
Fotostáticas.
Procesamiento de datos.
Empaste (anillado).
Pasajes, viáticos y fletes.
b. Equipos y Materiales No Disponibles:

➢ Libros de Ingeniería de Software.
➢ Movilidad.
➢ Fotocopias.
➢ Llamadas telefónicas.
➢ Papel bond.
3.1.5. Locales:
➢ C.A.C. “Chiclayo” Ltda.
➢ Domicilio de los Autores.
➢ Bibliotecas de la Universidad Nacional de Trujillo.
3.2. Métodos:
Se utilizará un diseño no experimental y descriptivo, porque no se manipularán las
variables y se tiene la necesidad de indagar la incidencia y los valores que se
manifiestan una o más variables, tal como lo definen Hernández, Hernández y
Baptista [HER97].
Además, exhibe el conocimiento de la realidad tal como se presenta en una situación

“de espacio y de tiempo” dado. Aquí se observa y se registra, o se pregunta y se
registra. Describe el fenómeno sin introducir modificaciones: “tal cual”.
3.3. Técnicas:
29
COBIT 5”

En este proyecto las técnicas empleadas para el levantamiento de información son:
Tabla Nº 02: Técnicas e Instrumentos.
TÉCNICA INSTRUMENTOS
Entrevistas Grabadora / Preguntas pre-formuladas
Observación directa de los procesos Visión / Observación
Encuestas Hoja de encuestas
Fuente: Elaboración Propia, 2016.
Los datos a obtener son del personal administrativo de la C.A.C. “Chiclayo” Ltda.,
diversos procesos, documentos y reportes que se generen.
3.3.1. Técnicas de procesamiento y análisis de datos.

Diseño de Pruebas
Para las pruebas de los indicadores cualitativos se aplicará la Distribución t de
Student, y para las pruebas de los indicadores cuantitativos se aplicará la prueba
estadística Z (normal).
Se seguirá el siguiente proceso:
a) Establecer la Hipótesis Nula y la Hipótesis Alternativa:
H o :     0
Hipótesis Nula:
Un modelo basado en COBIT 5 no permite la mejora del proceso de
mantenimiento del Sistema de Información de la COOPCHIC.
H1 :     0
Hipótesis Alternativa:
Un modelo basado en COBIT 5 permite la mejora del proceso de
b) Establecer el Nivel de Significancia:
Es la posibilidad de aceptar
H 0 cuando en realidad es falsa y ha sido definido
en 95%.
c) Determinar el valor crítico de las tablas:
𝑧𝑡 : Valor Crítico 𝑡𝑡 : Valor Crítico
d) Calcular el valor estadístico de la prueba:

30
COBIT 5”

Para los indicadores cuantitativos se seguirá el siguiente procedimiento:

- Tabular los valores obtenidos antes y después del modelo de procesos para
el mantenimiento del Sistema de Información de la COOPCHIC, en la
siguiente tabla:
Tabla N° 3: Tabla de datos para indicador cuantitativo
Antes Después
(𝑿𝑨𝒊 (𝑿𝑫𝒊
Nº 𝑿𝑨𝒊 𝑿𝑫𝒊
𝑿𝑨𝒊 𝑿𝑫𝒊 − ̅̅̅̅
𝑿𝑨 )𝟐 − ̅̅̅̅
𝑿𝑫 )𝟐
− ̅̅̅̅
𝑿𝑨 − ̅̅̅̅
𝑿𝑫
1
…
n-1
n
Suma
Promedio
Donde:
• n: Cantidad de Preguntas
• i: Número de Pregunta
• Suma: es la suma de los valores de cada columna
• 𝑿𝑨𝒊 : Respuestas de Pregunta i Antes
• ̅̅̅̅
𝑿𝑨 : Promedio de Respuestas de Pregunta Antes
• 𝑿𝑨𝒊 − ̅̅̅̅
𝑿𝑨 : Respuesta de Pregunta i Antes menos Promedio de Respuestas
de Pregunta Antes
• 𝑿𝑫𝒊 : Respuestas de Pregunta i Después
• ̅̅̅̅
𝑿𝑫 : Promedio de Respuestas de Pregunta Después
• 𝑿𝑫𝒊 − ̅̅̅̅
𝑿𝑫 : Respuesta de Pregunta i Después menos Promedio de
Respuestas de Pregunta Después
- Calcular las Varianzas Muestrales usando las expresiones de la Tabla N° 2:

31
COBIT 5”

Tabla N° 4: Varianzas Muestrales de indicador cuantitativo

Antes Después
𝝈𝑨 𝟐 𝝈𝑫 𝟐
Varianza
∑𝒏𝒊=𝟏(𝑿𝑨𝒊 − ̅̅̅̅
𝑿𝑨 )𝟐 ∑𝒏𝒊=𝟏(𝑿𝑫𝒊 − ̅̅̅̅
𝑿𝑫 ) 𝟐
Muestral = =
𝒏−𝟏 𝒏−𝟏
- Calcular el Valor Estadístico de la Prueba usando la expresión:

̅̅̅̅
𝑿𝑨 − ̅̅̅̅
𝑿𝑫
𝒁𝒄 = (1)
𝝈𝟐
𝑨 𝝈𝟐
𝑫
√( + )
𝒏𝑨 𝒏𝑫
- Comparar ambos valores (de tablas y calculado) para redactar la Conclusión

de la Prueba Estadística.
Para los indicadores cualitativos se seguirá el siguiente procedimiento:

- Tabular los valores obtenidos antes y después del modelo de procesos para
el mantenimiento del Sistema de Información de la COOPCHIC, en la
siguiente tabla:
Tabla N° 5: Tabla de datos para indicador cualitativo
Respuestas Puntaje
Puntaje
MI I PI NI Promedio
Nº Pregunta Pregunta
Pregunta
3 2 1 0 (PP)
(PPP)
1
2
…
n
Donde:
• j: Tipo de Respuestas de Pregunta i
• Puntaje de la Pregunta (PP) i:

32
COBIT 5”

𝟒
𝑷𝑷𝒊 = ∑(𝑷𝒖𝒏𝒕𝒂𝒋𝒆𝒋 ∗ 𝑹𝒆𝒔𝒑𝒖𝒆𝒔𝒕𝒂𝒔𝒋 )

𝒋=𝟏
𝑷𝑷𝒊
• Puntaje Promedio de la Pregunta i: 𝑷𝑷𝑷𝑨𝒊 = 𝒏
- Luego se llena la Tabla Nº 6:
Tabla N° 6: Tabla Resumen para indicador cualitativo

Puntaje Promedio
Pregunta Pre-Prueba Post-Prueba Di Di2
PPPAi PPPDi
1
2
…
n
Suma
Promedio
Donde:
• Diferencia i de Puntajes Promedio i: 𝑫𝒊 = 𝑷𝑷𝑷𝑨𝒊 − 𝑷𝑷𝑷𝑫𝒊
- Calcular la Desviación Estándar Muestral usando las expresiones de la

Tabla N° 7:
Tabla N° 7: Varianzas Muestrales de indicador cualitativo

Antes Después
𝑺𝟐 𝑺𝟐𝑫
Varianza 𝑨 ∑𝒏
𝒏 𝒊=𝟏 𝐷𝐴2 − (∑𝒏𝒊=𝟏 𝑫𝑨𝒊 )𝟐 𝒏 ∑𝒏𝒊=𝟏 𝐷𝐷2 − (∑𝒏𝒊=𝟏 𝑫𝑫𝒊 )𝟐
Muestral = =
𝒏(𝒏 − 𝟏) 𝒏(𝒏 − 𝟏)
- Calcular el Valor Estadístico de la Prueba usando la expresión

𝟐
𝒏 ∑𝒏 2 𝒏
𝒊=𝟏 𝐷𝐷 − (∑𝒊=𝟏 𝑫𝑨𝒊 )
𝑺𝟐 = (2)
𝒏(𝒏−𝟏)
- Calcular el Valor Estadístico de la Prueba usando la expresión:

̅ √𝒏
𝑫
𝒕𝒄 = (3)
√𝑺𝟐

33
COBIT 5”

- Comparar ambos valores (de tablas y calculado) para redactar la Conclusión

de la Prueba Estadística.
a. Determinar la Región de Aceptación:
Gráfico N° 2: Determinación de la Región de Aceptación.

Fuente: http://www.terra.es/personal2/jpb00000/imagenes/ttesthipotesisim5.gif
b. Decisión:
Si
t0 , z0  R.R  Rechazamos H o :     0
H1 :     0
Aceptamos
t0 , z0  R.R  Aceptamos H o :     0
Si
H1 :     0
Rechazamos

34
COBIT 5”
CAPÍTULO IV:
DESARROLLO DE LA
INVESTIGACIÓN

4.1. Estudio Inicial:
4.1.1. Generalidades de la Institución:

A. Razón social
Cooperativa de Ahorro y Crédito Chiclayo Ltda.
B. RUC (Registro Unitario del Contribuyente)

20103691771.
C. Dirección
Calle Juan Cuglievan Nro. 1062 Int. 201.
D. Teléfono
(074) 23-4456.
E. Reseña Histórica
La Cooperativa de Ahorro y Crédito “Chiclayo” Ltda., inicia sus
actividades el 16 de noviembre de 1964 y se registró a la
Superintendencia Nacional de Administración Tributaria (SUNAT), el
21 de junio de 1993, como tipo de empresa “Cooperativa, SAIS, CAPS”
y actividad comercial “Otros Tipos de Crédito”. Desde el 22 de agosto
del 2013 y hasta Julio del 2015, su Presidente fue Don Pedro Jesús
Reyes Carrasco (SUNAT, 2002).
Desde el 20 de Julio de 2015, su presidente y representante legal es Don

Jorge Orlando Farro Delgado y cuenta con CINCO (05) trabajadores.
(SUNAT, 2016).
Durante las entrevistas sostenidas con el Señor Presidente de la

COOPCHIC, se pudo deducir que se otorgan créditos a sus asociados
dispuestos a utilizar sus servicios y a aceptar las responsabilidades que
conlleva su membresía. Los asociados contribuyen de manera

36
COBIT 5”

equitativa y controlan de manera democrática el capital de la

cooperativa a través de un Comité de Vigilancia y del responsable de
Auditoría Interna. Parte de ese capital es propiedad común de la
cooperativa y los asociados, reciben una compensación limitada, si es
que la hay, sobre el capital suscrito como condición de membresía. Los
asociados asignan excedentes para cualquiera de los siguientes
propósitos: (1) El desarrollo de la cooperativa mediante la creación de
reservas, la cual una debe ser indivisible; los beneficios para los
miembros en proporción con sus transacciones con la cooperativa; y (2)
El apoyo a otras actividades, según lo apruebe la membresía.
Asimismo, la COOPCHIC realiza las siguientes actividades financieras

entre y para sus asociados: (1) Créditos Personales con descuento
directo en planilla de pagos; (2) Cuentas de Ahorro ofreciendo manejar
su dinero de forma más segura y conveniente con las Cuentas de Ahorro
en soles, sin montos mínimos, ni gastos, ni comisiones; (3) Cuentas del
Futuro comprometida con incentivar la cultura del ahorro en los hijos,
niños y jóvenes, de los asociados, ofreciendo una tasa de interés
exclusiva, sorteos y programas especiales; (4) Depósitos a Plazo,
permitiendo invertir dinero de manera segura y rentable en depósitos a
plazo desde 30 hasta 1080 días con tasas de interés competitivas con las
bancarias; y otras más.
4.2. Aplicación de la Metodología.
4.2.1. Fase I: Identificación de los Procesos de COBIT 5
4.2.1.1. Dominio Evaluar, Orientar y Supervisar (EDM)
Proceso Análisis Selección

EDM01 Asegurar el
No se cuenta con una estructura
establecimiento y NO
organizacional para el gobierno de TI
mantenimiento del

37
COBIT 5”


marco de referencia de
gobierno
El plan estratégico de negocio no
EDM02 Asegurar la
formula la contribución de valor basado NO
entrega de beneficios
en soluciones de TI
EDM03 Asegurar la Al contar con pocos elementos de TI, la
NO
optimización del riesgo gestión de riesgos es mínima necesaria
No se cuenta con una política de
EDM04 Asegurar la
optimización de recursos basada en NO
optimización de recursos
soluciones de TI
EDM05 Asegurar la En el proceso se encuentra involucrado
transparencia hacia las el Administrador General y el Jefe de NO
partes interesadas Operaciones
4.2.1.2. Dominio Alinear, Planear y Organizar (APO)

APO01 Administrar el No se cuenta con una estructura
marco de la organizacional para la administración NO
administración de TI de TI
APO02 Administrar la
No se cuenta con plan estratégico de TI NO
estrategia
APO03 Administrar la No se cuenta con una arquitectura
NO
arquitectura empresarial empresarial
APO04 Administrar la
innovación
APO05 Administrar el
portafolio
presupuesto y los costos organizacional para la administración NO
de TI
recurso humano organizacional para la administración NO
de TI
APO08 Administrar las
relaciones
APO09 Administrar los Se debe garantizar el cumplimiento de
Contratos de Servicios los acuerdos del contrato para el SI
mantenimiento del SI

38
COBIT 5”


APO10 Administrar los El SI ha sido desarrollado por un solo
NO
Proveedores proveedor y la relación es directa
APO11 Administrar la No se cuenta con un sistema de gestión
NO
Calidad de la calidad
APO12 Administrar los
No se cuenta con una gestión de riesgos NO
Riesgos
APO13 Administrar la No se cuenta con un sistema de gestión
NO
Seguridad de seguridad de la información
4.2.1.3. Dominio Construir, Adquirir e Implementar (BAI)

BAI01 Administrar No se cuenta con portafolio de
NO
programas y proyectos inversiones en TI
BAI02 Administrar la
definición de Necesario para el mantenimiento del SI SI
requerimientos
identificación y
Necesario para el mantenimiento del SI SI
construcción de
soluciones
BAI04 Administrar la Necesario para garantizar la
disponibilidad y disponibilidad del SI después del SI
capacidad mantenimiento
La estructura organizacional permanece
habilitación del cambio NO
sin cambios desde su creación
organizativo
BAI06 Administrar los Necesario para el mantenimiento del
SI
cambios sistema de información
Necesario para la puesta en producción
aceptación de cambios y SI
del SI después del mantenimiento
transiciones
BAI08 Administrar el
No se realiza gestión del conocimiento NO
conocimiento
BAI09 Administrar los Necesario para gestionar el ciclo de
SI
activos vida del sistema de información
BAI10 Administrar la La arquitectura tecnológica es básica y
configuración no requiere de una administración NO
específica

39
COBIT 5”

4.2.1.4. Dominio Entregar, Servir y Dar Soporte (DSS)

DSS01 Administrar las Para garantizar las operaciones con el
SI
operaciones SI
DSS02 Administrar las
Necesario para las peticiones de
solicitudes e incidentes SI
de servicio
DSS03 Administrar Necesario para identificar los
NO
problemas problemas en el SI
DSS04 Administrar la No involucrado en el proceso de
NO
continuidad mantenimiento del SI
DSS05 Administrar los No involucrado en el proceso de
NO
servicios de seguridad mantenimiento del SI
DSS06 Administrar los Necesario para los cambios en el
controles en los procesos procesamiento de la información que se SI
de negocio realicen en el mantenimiento del SI
4.2.1.5. Dominio Monitorear, Evaluar y Valorar (MEA)

MEA01 Monitorear,
evaluar y valorar el No relacionado en el proceso de
NO
rendimiento y el mantenimiento
cumplimiento
MEA02 Monitorear,
evaluar y valorar el Relacionado con el mantenimiento del
NO
Sistema de Control SI por identificación de riesgos
Interno
MEA03 Monitorear,
evaluar y valorar el Relacionado con el mantenimiento del
NO
cumplimiento con SI por regulaciones externas
requisitos externos

40
COBIT 5”

4.2.2. Fase II: Formulación del Modelo de Evaluación

Como consecuencia del análisis del punto anterior, el modelo de evaluación está
compuesto por DIEZ (10) procesos:
1. APO09 Administrar los contratos de servicios.
2. BAI02 Administrar la definición de requerimientos.
3. BAI03 Administrar la identificación y construcción de soluciones.
4. BAI04 Administrar la disponibilidad y capacidad.
5. BAI06 Administrar los cambios.
6. BAI07 Administrar la aceptación de cambios y transiciones.
7. BAI09 Administrar los activos.
8. DSS01 Administrar las operaciones.
9. DSS02 Administrar las solicitudes e incidentes de servicio.
10. DSS06 Administrar los controles en los procesos de negocio.
4.2.3. Fase III: Formulación de las Guías de Referencia para el Modelo de

Evaluación.
4.2.3.1. Proceso: APO09 Administrar los contratos de servicios

Guía del proceso Versión Revisión
Administrar los contratos de servicios 1 01/04/2016
Objetivo del proceso
Asegurar el cumplimiento de los acuerdos para el mantenimiento del SI, establecidos en el
contrato de adquisición
Meta de TI relacionada Métricas relacionadas
• Número de interrupciones del negocio
debidas a incidentes con el sistema de
información
• Porcentaje de partes interesadas
Entrega de servicios TI de acuerdo a los satisfechas con el cumplimiento del
requisitos del negocio servicio de sistema de información
respecto a los niveles de servicio
acordados
• Porcentaje de usuarios satisfechos con la
calidad del sistema de información
Meta del proceso Métricas relacionadas
• Porcentaje de cumplimiento del servicio
El SI rinde como está estipulado en los
• Porcentaje de mantenimientos que
acuerdos de servicio
satisfagan los requerimientos de cambios

41
COBIT 5”

Responsables del proceso

• Administrador General (I)
• Jefe de Operaciones (RA)
• Asesor Legal (C)
Práctica de Gestión
APO09.04 Supervisar e informar de los niveles de servicio.
El Administrador General debe supervisar los niveles de servicio acordados, informar de las
mejoras e identificar tendencias. Proporcionar información de gestión adecuada para ayudar a la
gestión del rendimiento.
El Jefe de Operaciones debe supervisar e informar del cumplimiento de los requerimientos de
cambios.
El Asesor Legal debe brindar asesoría acerca del alcance del acuerdo de mantenimiento del SI
Entradas del proceso Salidas del proceso
• Informes de rendimiento del nivel de
• Contrato de adquisición servicio
• Requerimientos de cambios • Informes de cumplimiento de
requerimientos de cambios
Actividades que forman el proceso
1. Establecer y mantener medidas para supervisar y recolectar datos del nivel del servicio.
2. Evaluar el rendimiento y proporcionar informes regular y formalmente sobre el rendimiento
del acuerdo del servicio, incluyendo desviaciones con respecto a los valores acordados.
Distribuir estos informes a la gestión de las relaciones del negocio.
3. Hacer revisiones regulares para anticipar e identificar tendencias en el rendimiento del nivel
de servicio.
4. Proporcionar información de gestión apropiada para ayudar en la gestión del rendimiento.
5. Acordar planes de acción y mitigación para los incidentes del rendimiento o tendencias
negativas del mismo.
Requerimientos
1. Solicitudes de cambio.
2. Aprobación de las solicitudes.
3. Contrato de adquisición.
Registros/Archivos
1. Bitácora de solicitudes de cambio (correos electrónicos).
2. Informes de resultados de los cambios realizados.
3. Encuesta de satisfacción del cliente.
4.2.3.2. Proceso: BAI02 Administrar la Definición de Requerimientos

Administrar la Definición de Requerimientos 1 01/04/2016
Asegurar que los requerimientos para el mantenimiento del SI sean viables y acordes con las
necesidades funcionales, técnicas y de cumplimiento del negocio

42
COBIT 5”


información
acordados
• Porcentaje de requerimientos satisfechos
por la solución propuesta
El SI actualizado conforme los requerimientos
• Nivel de satisfacción de las partes
interesadas con los requerimientos
BAI02.01 Definir y mantener los requerimientos técnicos y funcionales de negocio.
Basándose en el caso de negocio, identificar, priorizar, especificar y acordar los requerimientos
de información de negocio, funcionales, técnicos y de control que cubra el alcance/entendimiento
de todas las iniciativas necesarias para alcanzar los resultados esperados en el SI.
El Administrador General debe ser informado de los cambios pertinentes en el SI.
El Jefe de Operaciones debe gestionar la implementación requerimientos en el mantenimiento del
SI.
El Asesor Legal, de ser necesario, debe brindar asesoría acerca de los requerimientos de
• Bitácora de requerimientos
• Requerimientos de cambios
• Informes de cumplimiento de
• Criterios de aceptación
requerimientos
• Manuales del SI
• Manuales actualizados del SI
1. Definir e implementar la definición de requerimientos y el procedimiento de mantenimiento
y un repositorio de requerimientos acorde al tamaño, complejidad, objetivos y riesgos de la
iniciativa que la empresa está considerando acometer.
2. Expresar los requerimientos de la empresa en términos de cómo la diferencia entre las
capacidades de negocios existentes y deseadas son tratadas y como cada rol interactuará con
la solución y la utilizará.
3. Durante todo el mantenimiento, obtener, analizar y confirmar que los requerimientos de todas
las partes interesadas, incluyendo los criterios de aceptación relevantes, son considerados,
obtenidos, priorizados y registrados de un modo comprensible para las partes interesadas,
patrocinadores de negocio y personal de la implementación técnica, reconociendo que los
requerimientos pueden cambiar y llegar a ser más detallados según se implementen.

43
COBIT 5”

4. Especificar y priorizar la información, los requerimientos técnicos y funcionales basados en

los requerimientos de las partes interesadas. Incluir requerimientos de control de la
información en los procesos de negocio, procesos automatizados y entornos de TI para hacer
frente a los riesgos de la información y cumplimiento con regulaciones, leyes y contratos
comerciales.
5. Validar todos los requerimientos mediante aproximaciones tales como revisión por iguales,
validación del modelo o prototipo operativo.
6. Confirmar la aceptación de aspectos clave de los requerimientos, incluyendo reglas de
negocio, controles de información, continuidad de negocio, cumplimiento legal y regulatorio,
‘auditabilidad’, ergonomía, operatividad y usabilidad, seguridad y soporte documental.
7. Hacer seguimiento y controlar el alcance, los requerimientos y los cambios a lo largo del
mantenimiento según evolucione la comprensión de la solución.
8. Considerar los requerimientos relativos a políticas y estándares empresariales, arquitectura
empresarial, planes TI estratégicos y tácticos, procesos de TI internos y externalizados,
requerimientos de seguridad, requerimientos regulatorios, competencias del personal,
estructura organizativa, caso de negocio y tecnologías catalizadoras.
Requerimientos
1. Solicitudes de cambio
2. Aprobación de las solicitudes
3. Contrato de adquisición
4. Requerimientos de mantenimiento
5. Manuales del SI
Registros/Archivos
1. Bitácora de solicitudes de cambio (correos electrónicos).
2. Bitácora de Requerimientos.
3. Bitácora de Informes de cumplimiento de requerimientos.
4. Control de Versiones del SI.
4.2.3.3. Proceso: BAI03 Administrar la Identificación y Construcción

de Soluciones
Administrar la Identificación y Construcción de Soluciones 1 01/04/2016
Asegurar que los requerimientos aprobados están correctamente incorporadas en el SI
información
acordados

44
COBIT 5”


• Número de solicitudes de mantenimiento
Las actividades de mantenimiento cumplen
no atendidas
satisfactoriamente con las necesidades
• Número de cambios aprobados y
tecnológicas y de negocio
registrados que generan nuevos errores
• Cajero (C)
• Asesor Legar (C)
• Contadora (C)
BAI03.09 Gestionar cambios a los requerimientos.
Hacer seguimiento del estado de los requerimientos individuales (incluyendo todos los
requerimientos rechazados) a través de todo el mantenimiento y gestionar la aprobación de los
cambios a los requerimientos.
El Jefe de Operaciones debe gestionar la implementación requerimientos en el mantenimiento del
SI.
El Cajero debe validar la inclusión de los requerimientos de mantenimiento del SI.
• Bitácora de requerimientos
• Requerimientos de cambios • Informes de cumplimiento de
requerimientos
1. Definir e implementar la definición de requerimientos y el procedimiento de mantenimiento
y un repositorio de requerimientos acorde al tamaño, complejidad, objetivos y riesgos de la
iniciativa que la empresa está considerando acometer.
2. Evaluar el impacto de todas las peticiones de cambio de la solución en el desarrollo de la
solución, el caso de negocio original y en el presupuesto, y categorizar y priorizar las
peticiones convenientemente.
3. Hacer seguimiento de los requerimientos, facilitando a las partes interesadas la supervisión,
revisión y aprobación de los cambios. Asegurar que los resultados de los procesos de cambio
están completamente entendidos y están de acuerdo todos las partes interesadas y el
patrocinador/propietario del proceso de negocio.
4. Aplicar las peticiones de cambio, manteniendo la integridad de la integración y configuración
de los componentes del SI. Evaluar el impacto de cualquier actualización mayor del SI y
clasificarla conforme a criterios objetivos acordados (tales como los requerimientos de
empresa) basados en los resultados del análisis de riesgos que lo acompaña (tales como el
impacto en los sistemas existentes y procesos o seguridad), justificación del coste/beneficio
y otros requerimientos.
BAI03.10 Mantener soluciones.
Desarrollar y ejecutar un plan/procedimiento para el mantenimiento del SI y componentes de la
infraestructura. Incluir revisiones periódicas respecto a las necesidades de negocio y
requerimientos operacionales.
El Jefe de Operaciones debe elaborar un Plan/Procedimiento de mantenimiento del SI.

45
COBIT 5”

El Asesor Legar y la Contadora, de ser necesario, deben brindar asesoría en la elaboración del
plan/procedimiento de mantenimiento del SI.
• Requerimientos de cambios • Plan/Procedimiento de Mantenimiento
• Informes de asesoría • Bitácora de requerimientos
1. Desarrollar y ejecutar un plan/procedimiento para el mantenimiento de los componentes del
SI que incluya revisiones periódicas respecto a las necesidades de negocio y requerimientos
operacionales tales como la gestión de parches, estrategias de actualización, riesgos, análisis
de vulnerabilidades y requerimientos de seguridad.
2. Evaluar la significatividad de las actividades de mantenimiento propuestas sobre el diseño
del SI, funcionalidad y/o procesos de negocio actuales. Considerar el riesgo, impacto en los
usuarios y disponibilidad de recursos.
3. En el caso de cambios mayores al SI existente que resulten en un cambio significativo en el
diseño actual y/o funcionalidad y/o procesos de negocio, seguir el proceso de desarrollo usado
para nuevos sistemas.
4. Para actualizaciones de mantenimiento, utilizar el proceso de gestión de cambio, si se tuviera
uno, para controlar todas las peticiones de mantenimiento.
Requerimientos
1. Bitácora de requerimientos.
2. Procedimiento de compras.
3. Informes de asesoría.
Registros/Archivos
2. Control de versiones del SI.
4.2.3.4. Proceso: BAI04 Administrar la disponibilidad y capacidad

Administrar la disponibilidad y capacidad 1 01/04/2016
Asegurar que los requerimientos aprobados no afecten la capacidad, rendimiento y
disponibilidad del SI
información
acordados

46
COBIT 5”


• Número de picos de transacciones donde
Las actividades de mantenimiento cumplen se excede la meta de rendimiento
requerimientos de capacidad, rendimiento y • Número de incidentes de disponibilidad
disponibilidad • Número de eventos donde la capacidad ha
excedido los límites planificados
• Administrador General (IC)
BAI04.03 Planificar requisitos de servicios nuevos o modificados.
Planificar y priorizar las implicaciones en la disponibilidad, el rendimiento y la capacidad de
cambios en las necesidades del negocio y en los requerimientos de servicio.
El Jefe de Operaciones debe planificar el mantenimiento del SI teniendo en cuenta su capacidad,
rendimiento y disponibilidad.
• Especificaciones de diseño de alto nivel
aprobadas
• Planes de capacidad y rendimiento
• Especificaciones de diseño detallado
aprobadas
1. Revisar las implicaciones en la disponibilidad y la capacidad del SI.
2. Identificar las implicaciones en la disponibilidad y la capacidad de cambios en las necesidades
del negocio y oportunidades de mejora.
3. Priorizar las necesidades de mejora y crear planes de disponibilidad y capacidad justificables
en costes.
Requerimientos
Registros/Archivos
4.2.3.5. Proceso: BAI06 Administrar Cambios

Administrar cambios 1 01/04/2016
Administrar todos los cambios de una forma controlada, incluyendo cambios estándar y de
mantenimiento de emergencia en relación con las aplicaciones.
Entrega de servicios de TI de acuerdo a los debidas a incidentes en el servicio de TI.
requisitos del negocio • Porcentaje de partes interesadas satisfechas
con el cumplimiento del servicio de TI

47
COBIT 5”

entregado respecto a los niveles de servicio

acordados.
calidad de los servicios de TI entregados.
• Cantidad de trabajo rehecho debido a
cambios fallidos
Los cambios autorizados son realizados de
• Reducción en el tiempo y esfuerzo
acuerdo a sus cronogramas respectivos y con
necesarios para aplicar los cambios
errores mínimos.
• Número y antigüedad de peticiones de
cambio en cartera
• Jefe de Operaciones (AC)
• Contadora (RC)
BAI06.01 Evaluar, priorizar y autorizar peticiones de cambio.
Evaluar todas las peticiones de cambio para determinar su impacto en los procesos de negocio y
en el sistema, y analizar si el cambio afectará negativamente al entorno operativo y generará un
riesgo inaceptable. Asegurar que los cambios son registrados, priorizados, categorizados,
analizados, autorizados, planificados y programados por el Jefe de Operaciones, así como
informados al Administrador General.
• Módulos del sistema comprometidos • Evaluaciones de impacto de Contadora
• Peticiones de cambio aprobadas por el Jefe
• Solicitudes de servicio aprobadas
de Operaciones
• Soluciones adecuadas identificadas • Plan de Cambio (vía correo electrónico se
• Cambios aprobados a los planes indican la duración del mantenimiento y la
• Análisis de causas y recomendaciones fecha y hora de la actualización)
1. Utilizar solicitudes de cambio formales para posibilitar que los propietarios de procesos de
negocio (Jefe de Operaciones) y los operarios (Secretaria) soliciten cambios en el sistema. El
Jefe de Operaciones debe asegurar que todos estos cambios se soliciten sólo a través del
proceso de gestión de las peticiones de cambio.
2. Categorizar todas las peticiones de cambio (ej. sistemas operativos, redes, sistemas de
aplicación, software externo adquirido) y relacionarlas con los elementos de configuración
afectados.
3. Priorizar todas las peticiones de cambio sobre la base de los requisitos técnicos y de negocio,
recursos necesarios, así como las razones contractuales, legales o de regulación que motivan
el cambio.
4. Planificar y evaluar todas las peticiones de una manera estructurada. Incluir un análisis de
impacto sobre los sistemas y aplicaciones, planes de continuidad de negocio (BCPs) y
proveedores de servicios para asegurar que todos los componentes afectados han sido
debidamente identificados. Evaluar la probabilidad de que afecten negativamente el entorno
operativo y el riesgo de implementar el cambio. Considerar las implicaciones de seguridad,
legales, contractuales, y de cumplimiento normativo del cambio solicitado. Considerar

48
COBIT 5”

además todas las inter-dependencias entre cambios. Involucrar a los propietarios de procesos
de negocio en el proceso de evaluación, de forma apropiada.
5. Aprobar formalmente cada cambio por parte de los propietarios de los procesos de negocio,
gestores de servicio, partes interesadas de los departamentos de TI, según sea apropiado. Los
cambios relativamente frecuentes con niveles de riesgo bajo deberían ser pre-aprobados como
cambios estándar.
6. Planificar y programar todos los cambios aprobados.
7. Considerar el impacto en los proveedores de servicios contratados (ej. procesamiento de
negocio externalizado, infraestructuras, desarrollo de aplicaciones y servicios compartidos)
en el proceso de gestión del cambio, incluyendo la integración de la gestión de cambios
organizativos con los procesos de gestión de cambios de los proveedores de servicios y el
impacto en términos contractuales y Acuerdos de Nivel de Servicios (ANS).
Requerimientos
Registros/Archivos
1. Bitácora de solicitudes de cambio (correos electrónicos)
4.2.3.6. Proceso: BAI07 Administrar la aceptación de cambios y

transiciones
Administrar la aceptación de cambios y transiciones 1 01/04/2016
Asegurar la implementación del SI de forma segura y en línea con los requerimientos y resultados
acordados.
debidas a incidentes en el servicio de TI.
• Número de incidentes en los procesos de
negocio debidos a errores de integración
tecnológica
• Número de cambios en los procesos de
Capacitación y soporte de procesos de negocio negocio que necesitan ser retrasados o
integrando aplicaciones y tecnología en modificados debido a problemas de
procesos de negocio integración tecnológica.
• Número de procesos de negocio
habilitados por TI que se retrasan o
incurren en un mayor coste debido a
asuntos de integración tecnológica
• Número de aplicaciones o infraestructuras
críticas operando en silos sin integración

49
COBIT 5”


• Número o porcentaje de lanzamientos que
Los lanzamientos pasan a producción no consiguen ser estables en un periodo de
satisfactoriamente, son estables y cumplen con tiempo aceptable
las expectativas. • Porcentaje de lanzamientos que causan
períodos de inactividad
• Jefe de Operaciones (AR)
• Cajero (C)
BAI07.01 Establecer un plan de implementación.
Establecer un plan de implementación que cubra la conversión de datos y sistemas, criterios de
aceptación de las pruebas, comunicación, formación, preparación del lanzamiento, paso a
producción, soporte inicial en producción, plan de marcha atrás o de contingencia y una revisión
post-implantación. Obtener la aprobación de las partes relevantes.
• Proceso de marcha atrás de la implantación
• Plan y cronograma de cambio
o de recuperación
• Requerimientos de cambio aprobados
• Plan de implantación del SI
1. Crear un plan de implantación que refleje la estrategia global de implantación, la secuencia
de acciones de implantación, recursos necesarios, interdependencias, criterios para la
aceptación por parte de la Administración de la implantación en producción, requisitos para
verificar la instalación, estrategia de transición para el soporte en producción, y la
actualización de los planes de continuidad de negocio (BCPs).
2. Confirmar que todos los planes de implantación son aprobados por las partes interesadas tanto
de ámbito técnico como de negocio, y revisados por auditoría interna, si es apropiado.
3. Obtener el compromiso del proveedor de SI a participar en cada paso de la implantación.
4. Identificar y documentar el proceso de marcha atrás y recuperación.
5. Revisar formalmente los riesgos técnicos y de negocio asociados a la implantación y asegurar
que el riesgo clave es considerado y tratado en el proceso de planificación.
Requerimientos
3. Plan de continuidad de negocio (BCP)
Registros/Archivos

50
COBIT 5”

4.2.3.7. Proceso: BAI09 Administrar los Activos

Administrar los activos 1 01/04/2016
Administrar las licencias de software para asegurar que se adquiere el número óptimo, se
mantienen y despliegan en relación con el uso necesario para el negocio y que el software
instalado cumple con los acuerdos de licencia.
• Frecuencia de evaluaciones de la madurez
de la capacidad y de la optimización de
costes
Optimización de activos, recursos y • Tendencia de los resultados de las
capacidades de TI evaluaciones
• Niveles de satisfacción de los ejecutivos de
negocio y TI con los costes y capacidades
TI.
Las licencias cumplen y están alineadas con las • Porcentaje de licencias usadas respecto a
necesidades del negocio. licencias pagadas
• Jefe de Operaciones (AC)
• Contadora (RC)
BAI09.05 Administrar Licencias.
Administrar las licencias de software de forma que se mantenga el número óptimo de licencias
para soportar los requerimientos de negocio y el número de licencias en propiedad sea suficiente
para cubrir el software instalado y en uso, bajo responsabilidad de la Contadora y el Jefe de
Operaciones, con opinión del Asesor Legal y con informe al Administrador General.
• Registro de licencias de software realizado
• Licencias de software adquiridas.
por el Jefe de Operaciones.
• Resultado de auditorías de licencias
• Plan de auditoria aprobado instaladas con informe a Contadora y Jefe
de Operaciones
• Plan de acción para ajustar el número de
• Cambios aprobados a los planes licencias y su asignación, comunicado por
• Análisis de causas y recomendaciones correo electrónico señalando los cambios a
efectuar.
1. Mantener un registro de todas las licencias de software adquiridas y sus acuerdos de licencia
asociados.
2. De forma regular, planificar una auditoría para identificar a todos las copias de software
instalado con licencia, la cual es aprobada por el Administrador General.
3. Comparar el número de copias de software instalado con el número de licencias en propiedad.

51
COBIT 5”

4. Cuando las copias sean inferiores al número en propiedad, decidir si existe una necesidad de
mantener o cancelar licencias, considerando el potencial de ahorrar en mantenimiento
innecesario, formación y otros gastos.
5. Cuando las copias sean superiores al número en propiedad, considerar primero la posibilidad
de desinstalar copias que no sean ya necesarias o no estén justificadas, y después, si es
necesario, adquirir licencias adicionales para cumplir con los acuerdos de licencia, para lo
cual se deberá contar con informe del Asesor Legal, Contadora, Jefe de Operaciones y VºBº
de Administrador General.
6. De forma regular, considerar si se puede obtenerse un mejor valor mediante la actualización
de productos y licencias asociadas.
Requerimientos
1. Registro de licencias de software adquiridas y sus acuerdos de licencia asociados.
2. Planificación de auditoría a las copias de software instalado con licencia.
Registros/Archivos
1. Bitácora de adquisición de licencias de software.
2. Informe de auditoría a las copias de software instalado con licencia.
4.2.3.8. Proceso: DSS01 Administrar las Operaciones

Administrar las operaciones 1 01/04/2016
Entregar los resultados del servicio operativo de TI, según lo planificado.
debidas a incidentes en el servicio de TI
• Porcentaje de partes interesadas satisfechas
Entrega de servicios de TI de acuerdo a los con el cumplimiento del servicio de TI
requisitos del negocio entregado respecto a los niveles de servicio
acordados
calidad de los servicios de TI entregados
• Tasa de eventos comparada con el número
de incidentes
Las operaciones son controladas, medidas,
• Porcentaje de tipos de eventos operativos
reportadas y solucionadas.
críticos cubiertos por sistemas de detección
automática
• Jefe de Operaciones (RC)
• Contadora (AC)
DSS01.03 Supervisar la infraestructura de TI.
Supervisar la infraestructura TI y los eventos relacionados con ella a cargo del Jefe de
Operaciones con VºBº del Administrador General. Almacenar la suficiente información

52
COBIT 5”

cronológica en los registros de operaciones para permitir el análisis (reconstrucción, revisión y

examen de las secuencias de tiempo) de las operaciones y las actividades relacionadas con el
soporte a esas operaciones.
• Reglas de monitorización de activos y
condiciones de eventos
• Definiciones de servicio • Registro de eventos
• Registro de incidentes
1. Registrar eventos, identificando el nivel de información a ser grabada sobre la base de una
consideración del riesgo y el rendimiento.
2. Identificar y mantener una lista de activos de infraestructura que necesiten ser monitorizados
en base a la criticidad del servicio y la relación entre los elementos de configuración y los
servicios que de ellos dependen, bajo la responsabilidad de la Contadora y el Jefe de
Operaciones.
3. Definir e implantar reglas que identifiquen y registren incidencias de ingresos no autorizados
y condiciones de eventos. Categorizar los eventos, de forma tal que el registro de los mismos
no estén sobrecargados con información innecesaria.
4. Generar registros de eventos y mantenerlos por un periodo apropiado para asistir en
investigaciones futuras, bajo responsabilidad de la Contadora y el Jefe de Operaciones.
5. Establecer procedimientos para supervisar los registros de eventos y llevar a cabo revisiones
periódicas, a cargo del Jefe de Operaciones y Contadora, con informe al Director General.
Requerimientos
1. Registro de eventos.
2. Reglas y normas que definan los procedimientos de registros de eventos.
Registros/Archivos
1. Bitácora de eventos e incidentes registrados.
2. Manual de Procedimientos para el registro de eventos e incidentes.
4.2.3.9. Proceso: DSS02 Administrar las solicitudes e incidentes de

servicio
Administrar las solicitudes e incidentes de servicio 1 01/04/2016
Entregar los resultados del servicio operativo de TI, según lo planificado.
acordados

53
COBIT 5”


• Tasa de eventos comparada con el número
de incidentes
Las operaciones son controladas, medidas,
• Porcentaje de tipos de eventos operativos
reportadas y solucionadas.
críticos cubiertos por sistemas de detección
automática
• Contadora (AC)
DSS01.03 Supervisar la infraestructura de TI.
Supervisar la infraestructura TI y los eventos relacionados con ella a cargo del Jefe de
Operaciones con VºBº del Administrador General. Almacenar la suficiente información
cronológica en los registros de operaciones para permitir el análisis (reconstrucción, revisión y
examen de las secuencias de tiempo) de las operaciones y las actividades relacionadas con el
soporte a esas operaciones.
• Reglas de monitorización de activos y
condiciones de eventos
• Definiciones de servicio • Registro de eventos
• Registro de incidentes
1. Registrar eventos, identificando el nivel de información a ser grabada sobre la base de una
consideración del riesgo y el rendimiento.
2. Identificar y mantener una lista de activos de infraestructura que necesiten ser monitorizados
en base a la criticidad del servicio y la relación entre los elementos de configuración y los
servicios que de ellos dependen, bajo la responsabilidad de la Contadora y el Jefe de
Operaciones.
3. Definir e implantar reglas que identifiquen y registren incidencias de ingresos no autorizados
y condiciones de eventos. Categorizar los eventos, de forma tal que el registro de los mismos
no estén sobrecargados con información innecesaria.
4. Generar registros de eventos y mantenerlos por un periodo apropiado para asistir en
investigaciones futuras, bajo responsabilidad de la Contadora y el Jefe de Operaciones.
5. Establecer procedimientos para supervisar los registros de eventos y llevar a cabo revisiones
periódicas, a cargo del Jefe de Operaciones y Contadora, con informe al Director General.
Requerimientos
1. Registro de eventos.
2. Reglas y normas que definan los procedimientos de registros de eventos.
Registros/Archivos
1. Bitácora de eventos e incidentes registrados.
2. Manual de Procedimientos para el registro de eventos e incidentes.
4.2.3.10. Proceso: DSS06 Administrar los Controles en los Procesos de

Negocio

54
COBIT 5”


Administrar los controles en los Procesos de Negocio. 1 01/04/2016
Mantener la integridad de la información y la seguridad de los activos de información manejados
en los procesos de negocio dentro de la empresa o externalizados.
acordados
• Porcentaje completado de inventario de
procesos críticos y controles clave
La cobertura y efectividad de los controles
• Porcentaje de controles clave cubiertos con
clave para cumplir con los requerimientos de
los planes de pruebas
negocio para el procesamiento de la
• Número de incidentes y evidencias del
información es completa.
informe de auditoría indicando fallos de los
controles clave
• Contadora (AC)
DSS06.02 Controlar el procesamiento de la información.
Operar la ejecución de las actividades de proceso de negocio y controles relacionados, basados
en el riesgo corporativo, para asegurar que el procesamiento de la información es válido,
completo, preciso, oportuno y seguro (es decir, refleja el uso de negocio autorizado y legitimado).
• Plan de operación y uso
• Informes de control de procesamiento
• Plan de migración
1. Crear transacciones por usuarios autorizados siguiendo los procedimientos establecidos,
definidos por el Jefe de Operaciones y la Contadora, con opinión del Asesor Legal y con
informe al Administrador General.
2. Autenticar la fuente de las transacciones y verificar que el usuario tiene la autoridad para
originar las transacciones.
3. Verificar que las transacciones son precisas, completas y válidas. Validar los datos de entrada
y la edición o, cuando sea aplicable, la devolución para su corrección tan cerca al punto de
origen como sea posible.

55
COBIT 5”

4. Corregir y reenviar datos cuya entrada fue erróneamente aceptada, sin comprometer los
niveles de autorización de la transacción original. Cuando sea apropiado para la
reconstrucción, conservar los documentos fuentes originales durante tiempo apropiado.
5. Mantener la integridad y validez de los datos a través del ciclo de procesamiento. Asegurar
que la detección de transacciones erróneas no interrumpe el procesamiento de las
transacciones válidas.
6. Mantener la integridad de los datos durante interrupciones no esperadas en el procesamiento
de negocio y confirmar la integridad de los datos después de los fallos de procesamiento.
7. Manejar la salida de una forma autorizada, entregarla al beneficiario apropiado y proteger la
información durante la transmisión. Verificar la precisión y completitud de la salida.
Requerimientos
1. Registro de usuarios y transacciones.
2. Reglamentos y directivas que definan los procedimientos de registros de usuarios y
transacciones.
Registros/Archivos
1. Bitácora de transacciones registradas.
2. Reglamento para el registro de usuarios y transacciones.
4.2.4. Fase IV: Validación del Modelo de Evaluación.

Para cada una de las variables, se han determinado sus dimensiones y por cada
dimensión el o los indicadores para realizar las mediciones correspondientes.
La siguiente tabla contiene el detalle de los indicadores respecto a su
dimensión y categoría.
Variable Dimensión Indicador Categoría

Tiempo Ordinal
Eficiencia
VI Costo Razón
Modelo basado en Oportunidad de
COBIT 5.0. Ordinal
Eficacia atención
Procesos formalizados Ordinal
Metas alcanzadas Razón Indicador 1
VD Eficiencia
Productividad Ordinal Indicador 2
Mantenimiento de
Sistema de Satisfacción del
Ordinal Indicador 3
Información Eficacia cliente
Calidad del servicio Ordinal Indicador 4
Para cada uno de los indicadores se ha elaborado una lista de verificación que
ha sido validada por un experto.

56
COBIT 5”

1 Alcance de Metas Si No N/A

1.1 ¿Se formula un objetivo por cada proceso?
1.2 ¿Se asocian Metas de TI al proceso?
1.3 ¿Tiene un conjunto de actividades?
1.4 ¿Está estructurado y sistematizado para garantizar el logro de la meta?
1.5 ¿Tiene una participación organizada del personal?
1.6 ¿Permite documentar y tener evidencias de lo que se hace?
1.7 ¿Puede ser rediseñado o adaptado a su organización?
1.8 ¿Se formulan métricas para evaluar las metas?
2 Productividad Si No N/A
2.1 ¿Se identifican las métricas en función del objetivo?
2.2 ¿Se relacionan las métricas con la meta del proceso?
2.3 ¿Se identifican los controles de cada proceso?
2.4 ¿Se identificar los repositorios (archivos) de información?
2.5 ¿Se identifican los indicadores de cada proceso?
2.6 ¿Se registra el tiempo de atención por cada requerimiento?
2.7 ¿Se registra el costo por cada requerimiento?
¿Se registra el tiempo de capacitación por cada requerimiento
2.8
implementado?
2.9 ¿Se registra el porcentaje de requerimientos atendidos e implementados?
¿Se actualizan los manuales de usuario indicando los cambios
2.10
implementados?
3 Satisfacción del cliente Si No N/A
3.1 ¿Se incluyeron todos los detalles del requerimiento?
3.2 ¿Se cubren las necesidades del mantenimiento?
3.3 ¿La atención del servicio se hace en un tiempo adecuado?
3.4 ¿El resultado de la atención es el esperado?
3.5 ¿El impacto del cambio no afecta la capacidad del sistema?
3.6 ¿La comunicación es asertiva?
3.7 ¿Los resultados del mantenimiento son los esperados?
3.8 ¿Se trabajó en conjunto con las áreas de apoyo técnico?
4 Calidad del servicio Si No N/A
4.1 ¿Se definen y documentan los servicios?
4.2 ¿Los formatos empleados son de fácil aplicación?
4.3 ¿Permite realizar una solicitud de servicio de forma adecuada?
4.4 ¿Se toman en cuenta las características y necesidades de los clientes?
4.5 ¿Se permite medir los resultados?
¿Permite verificar que todas las áreas y el personal conozcan las
4.6
versiones actualizadas de los procesos y procedimientos?
¿Se asegura que los productos y servicios satisfagan permanentemente a
4.7
los clientes internos y externos?
4.8 ¿El servicio impacta en el rendimiento de la empresa?

57
COBIT 5”

Una vez validada la lista de verificación, se ha procedido a la aplicación de

una encuesta a los usuarios de los sistemas de información de la C.A.C.
“Chiclayo” Ltda.
Para ello se ha aplicado la Escala de Likert con el fin de cuantificar las
respuestas de los encuestados con los siguientes niveles y su ponderación
respectiva, tal como se muestra a continuación:
Nivel Abreviatura Ponderación

Muy Importante MI 4
Importante I 3
Medianamente Importante MI 2
Poco Importante PI 1
Nada Importante NI 0
Se han establecido las Hipótesis Nula y Alternativa para el presente trabajo

de investigación:
H o :     0
Hipótesis Nula:
Un modelo basado en COBIT 5 no permite la mejora del proceso de
H1 :     0
Un modelo basado en COBIT 5 permite la mejora del proceso de
Se procederá a evaluar cada uno de los indicadores que se definieron

previamente.

58
COBIT 5”

a. Indicador 1: Metas alcanzadas.

H o :     0
Hipótesis Nula:
Un modelo basado en COBIT 5 no permite alcanzar las metas trazadas del proceso de mantenimiento del Sistema de Información de la COOPCHIC.
H1 :     0
Un modelo basado en COBIT 5 permite alcanzar las metas trazadas del proceso de mantenimiento del Sistema de Información de la COOPCHIC.
Indicador 1 Metas alcanzadas
Número de Encuestados 10
Respuestas Consolidadas Después
Respuestas Puntaje
Puntaje
Promedio
Nº Pregunta MI I RI PI NI Pregunta
Pregunta
4 3 2 1 0 (PP) (PPP)
1 ¿Se formula un objetivo por cada proceso? 4 2 2 2 0 24 3,00
2 ¿Se asocian Metas de TI al proceso? 4 2 3 1 2 23 2,88
3 ¿Tiene un conjunto de actividades? 4 2 2 2 0 24 3,00
4 ¿Está estructurado y sistematizado para garantizar el logro de la meta? 4 1 3 2 0 21 2,63
5 ¿Tiene una participación organizada del personal? 5 1 3 1 0 24 3,00
6 ¿Permite documentar y tener evidencias de lo que se hace? 5 1 2 1 1 24 3,00
7 ¿Puede ser rediseñado o adaptado a su organización? 5 2 3 1 0 27 3,38
8 ¿Se formulan métricas para evaluar las metas? 4 1 3 1 1 20 2,50
.

59
COBIT 5”

Se procede a realizar el cálculo estadístico de la prueba.
Trabajo Estadístico con T-Student para dos medias
Puntaje Promedio
Nº Pregunta Pre-Prueba Post-Prueba Di Di2
PPP Ai PPP Di
1 ¿Se formula un objetivo por cada proceso? 0.00 3.00 -3.00 9.00
2 ¿Se asocian Metas de TI al proceso? 0.00 2.88 -2.88 8.29
3 ¿Tiene un conjunto de actividades? 0.00 3.00 -3.00 9.00
4 ¿Está estructurado y sistematizado para garantizar el logro de la meta? 0.00 2.63 -2.63 6.92
5 ¿Tiene una participación organizada del personal? 0.00 3.00 -3.00 9.00
6 ¿Permite documentar y tener evidencias de lo que se hace? 0.00 3.00 -3.00 9.00
7 ¿Puede ser rediseñado o adaptado a su organización? 0.00 3.38 -3.38 11.42
8 ¿Se formulan métricas para evaluar las metas? 0.00 2.50 -2.50 6.25
Suma 0.00 23.39 -23.39 68.88
Promedio 0.00 2.92 -2.92 8.61
Valor Antes Después

Promedio Aritmético Muestral 0.00 2.92
Valor Cálculo
Desviación Estándar Muestral 0,070
Cálculo Estadístico de la Prueba -31,1456
Valor Critico de t (En tablas) 2,5710
Comparación de Medias por Preguntas

5,00
4,00
3,00
2,00
1,00
0,00
1 2 3 4 5 6 7 8
Antes Después
Prueba t para medias de dos muestras emparejadas (Microsoft Excel)

Prueba t para medias d
Variable 1 Variable 2
Media 0,0000 23,3750 Media
Varianza 0,0000 4,5536 Varianza
Observaciones 8 8 Observaciones
Coeficiente de correlación de Pearson #¡DIV/0! Coeficiente de correla
Diferencia hipotética de las medias 0 Diferencia hipotética d
Grados de libertad 7 Grados de libertad
Estadístico t -30,9828 Estadístico t
60
de P(T<=t)
la C.A.C. “Chiclayo” Ltda. basado en
una cola Br. Chiclote Suelpres, Richard
0,0000000047 P(T<=t) una cola
COBIT 5”crítico de t (una cola)
Valor 1,8946 Valor crítico de t (una c
P(T<=t) dos colas 0,0000000094
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/ P(T<=t) dos colas
Valor crítico de t (dos colas) 2,3646 Valor crítico de t (dos c

Media 0.0000 23.3750
Varianza 0.0000 4.5536
Observaciones 8 8
Coeficiente de correlación de Pearson #¡DIV/0!
Diferencia hipotética de las medias 0
Grados de libertad 7
Estadístico t -30.9828
P(T<=t) una cola 0.0000000047
Valor crítico de t (una cola) 1.8946
P(T<=t) dos colas 0.0000000094
Valor crítico de t (dos colas) 2.3646
Tanto el cálculo manual como el automatizado (utilizando MS-Excel) coinciden.
Tabla t student
Grados de libertad = 7
-2.36 2.36
Gráfico N° 3: Determinación de la Región de Aceptación – Indicador 1
Fuente: Elaboración propia.
El valor obtenido de t = -30.98 se encuentra en la región de rechazo, por lo que se rechaza

la hipótesis nula y se acepta la hipótesis alternativa: “Un modelo basado en COBIT 5
permite alcanzar las metas trazadas del proceso de mantenimiento del Sistema de
Información de la COOPCHIC”.

61
COBIT 5”

b. Indicador 2: Productividad.
o  H :  0

Hipótesis Nula:
Un modelo basado en COBIT 5 no permite incrementar la productividad del proceso de mantenimiento del S.I. de la COOPCHIC.
1  H :  0
Un modelo basado en COBIT 5 permite incrementar la productividad del proceso de mantenimiento del S.I. de la COOPCHIC.
Indicador 2 Productividad
Respuestas Puntaje
Puntaje
Promedio
Pregunta
4 3 2 1 0 (PP) (PPP)
1 ¿Se identifican las métricas en función del objetivo? 4 2 2 1 1 27 2.70
2 ¿Se relacionan las métricas con la meta del proceso? 4 2 3 1 0 29 2.90
3 ¿Se identifican los controles de cada proceso? 5 3 2 0 0 33 3.30
4 ¿Se identificar los repositorios (archivos) de información? 4 3 3 0 0 31 3.10

5 ¿Se identifican los indicadores de cada proceso? 4 3 1 1 0 28 2.80
6 ¿Se registra el tiempo de atención por cada requerimiento? 5 2 2 1 0 31 3.10

7 ¿Se registra el costo por cada requerimiento? 5 3 2 0 0 33 3.30
¿Se registra el tiempo de capacitación por cada
8 4 2 3 1 0 29 2.90
requerimiento implementado?
¿Se regisra el porcentaje de requerimientos atendidos e
9 4 2 3 1 0 29 2.90
implementados?
¿Se actualizan los manuales de usuario indicando los
10 4 3 2 1 1 30 3.00
cambios implementados?

62
COBIT 5”

Se procede a realizar el cálculo estadístico de la prueba
Puntaje Promedio
PPP Ai PPP Di
1 ¿Se identifican las métricas en función del objetivo? 0.00 2.70 -2.70 7.29
2 ¿Se relacionan las métricas con la meta del proceso? 0.00 2.90 -2.90 8.41
3 ¿Se identifican los controles de cada proceso? 0.00 3.30 -3.30 10.89
4 ¿Se identificar los repositorios (archivos) de información? 0.00 3.10 -3.10 9.61
5 ¿Se identifican los indicadores de cada proceso? 0.00 2.80 -2.80 7.84
6 ¿Se registra el tiempo de atención por cada requerimiento? 0.00 3.10 -3.10 9.61
7 ¿Se registra el costo por cada requerimiento? 0.00 3.30 -3.30 10.89
¿Se registra el tiempo de capacitación por cada
8 0.00 2.90 -2.90 8.41
requerimiento implementado?
¿Se regisra el porcentaje de requerimientos atendidos e
9 0.00 2.90 -2.90 8.41
implementados?
¿Se actualizan los manuales de usuario indicando los
10 0.00 3.00 -3.00 9.00
cambios implementados?
Suma 0.00 30.00 -30.00 90.36
Promedio 0.00 3.00 -3.00 9.04

Valor Cálculo
Desviación Estándar Muestral 0.040
Cálculo Estadístico de la Prueba -47.4342
Valor Critico de t (En tablas) 2.7100

4.00
3.00
2.00
1.00
0.00
1 2 3 4 5 6 7 8 9 10
Antes Después

63
COBIT 5”

Media 0.0000 3.0000
Varianza 0.0000 0.0400
Observaciones 10 10
P(T<=t) una cola 0.0000
P(T<=t) dos colas 0.000000
Tabla t student
-2.26 2.26
Fuente: Elaboración propia.
permite incrementar la productividad del proceso de mantenimiento del Sistema de
Información de la COOPCHIC”.

64
COBIT 5”

c. Indicador 3: Satisfacción del cliente.

o  H :  0

Hipótesis Nula:
Un modelo basado en COBIT 5 no permite incrementar la satisfacción del cliente en el proceso de mantenimiento del S.I. de la COOPCHIC.
1  H :  0

Un modelo basado en COBIT 5 permite incrementar la satisfacción del cliente en el proceso de mantenimiento del S.I. de la COOPCHIC.
Indicador 3 Satisfacción del cliente
Respuestas Puntaje
Puntaje
Promedio
Pregunta
4 3 2 1 0 (PP) (PPP)
1 ¿Se incluyeron todos los detalles del requerimiento? 5 3 2 0 0 33 3.30
2 ¿Se cuibren las necesidades del mantenimiento? 5 4 1 0 0 34 3.40

3 ¿La atención del servicio se hace en un tiempo adecuado? 5 4 1 0 0 34 3.40
4 ¿El resultado de la atención es el esperado? 4 4 2 0 0 32 3.20
5 ¿El impacto del cambio no afecta la capacidad del sistema? 4 3 3 0 0 31 3.10
6 ¿La comunicación es acertiva? 4 3 3 0 0 31 3.10

7 ¿Los resultados del mantenimiento son los esperados? 4 3 2 1 0 30 3.00
8 ¿Se trabajó en conjunto con las áreas de apoyo técnico? 4 3 2 1 0 30 3.00

65
COBIT 5”

Puntaje Promedio
PPP Ai PPP Di
1 ¿Se incluyeron todos los detalles del requerimiento? 0.00 3.30 -3.30 10.89
2 ¿Se cuibren las necesidades del mantenimiento? 0.00 3.40 -3.40 11.56
3 ¿La atención del servicio se hace en un tiempo adecuado? 0.00 3.40 -3.40 11.56
4 ¿El resultado de la atención es el esperado? 0.00 3.20 -3.20 10.24
5 ¿El impacto del cambio no afecta la capacidad del sistema? 0.00 3.10 -3.10 9.61
6 ¿La comunicación es acertiva? 0.00 3.10 -3.10 9.61
7 ¿Los resultados del mantenimiento son los esperados? 0.00 3.00 -3.00 9.00
8 ¿Se trabajó en conjunto con las áreas de apoyo técnico? 0.00 3.00 -3.00 9.00
Suma 0.00 25.50 -25.50 81.47
Promedio 0.00 3.19 -3.19 10.18

Valor Cálculo

5.00
4.00
3.00
2.00
1.00
0.00
1 2 3 4 5 6 7 8
Antes Después

66
COBIT 5”

Tabla t student
-2.77 2.77
Fuente: Elaboración propia

permite incrementar la satisfacción del cliente en el proceso de mantenimiento del
Sistema de Información de la COOPCHIC”.

67
COBIT 5”

d. Indicador 4: Calidad del servicio.

o  H :  0

Hipótesis Nula:
Un modelo basado en COBIT 5 no permite incrementar la calidad del servicio en el proceso de mantenimiento del S.I. de la COOPCHIC.
1  H :  0

Un modelo basado en COBIT 5 permite incrementar la calidad del servicio en el proceso de mantenimiento del S.I. de la COOPCHIC.
Indicador 4 Calidad del servicio
Respuestas Puntaje
Puntaje
Promedio
Pregunta
4 3 2 1 0 (PP) (PPP)
1 ¿Se definen y documentan los servicios? 4 4 2 0 0 32 3.20
2 ¿Los formatos empleados son de fácil aplicación? 5 3 2 0 0 33 3.30
¿Permite realizar una solicitud de servicio de forma
3 5 3 2 0 0 33 3.30
adecuada?
¿Se toman en cuenta las características y necesidades de
4 4 3 2 1 0 29 2.90
los clientes?
5 ¿Se permite medir los resultados? 5 4 1 0 0 34 3.40
¿Permite verificar que todas las áreas y el personal
6 conozcan las versiones actualizadas de los procesos y 5 3 2 0 0 33 3.30
procedimientos?
¿Se asegura que los productos y servicios satisfagan
7 4 4 2 0 0 32 3.20
permanentemente a los clientes internos y externos?
8 ¿El servicio impacta en el rendimiento de la empresa? 5 4 1 0 0 34 3.40

68
COBIT 5”

Puntaje Promedio
PPP Ai PPP Di
1 ¿Se definen y documentan los servicios? 0.00 3.20 -3.20 10.24
2 ¿Los formatos empleados son de fácil aplicación? 0.00 3.30 -3.30 10.89
¿Permite realizar una solicitud de servicio de forma
3 0.00 3.30 -3.30 10.89
adecuada?
¿Se toman en cuenta las características y necesidades de
4 0.00 2.90 -2.90 8.41
los clientes?
5 ¿Se permite medir los resultados? 0.00 3.40 -3.40 11.56
¿Permite verificar que todas las áreas y el personal
6 conozcan las versiones actualizadas de los procesos y 0.00 3.30 -3.30 10.89
procedimientos?
¿Se asegura que los productos y servicios satisfagan
7 0.00 3.20 -3.20 10.24
permanentemente a los clientes internos y externos?
8 ¿El servicio impacta en el rendimiento de la empresa? 0.00 3.40 -3.40 11.56
Suma 0.00 26.00 -26.00 84.68
Promedio 0.00 3.25 -3.25 10.59

Valor Cálculo

5.00
4.00
3.00
2.00
1.00
0.00
1 2 3 4 5 6 7 8
Antes Después

69
COBIT 5”

Media 0.0000 3.2500
Varianza 0.0000 0.0257
Observaciones 8 8
P(T<=t) una cola 0.0000000001
P(T<=t) dos colas 0.0000000001
Tabla t student
-2.36 2.36

Fuente: Elaboración propia

permite incrementar la calidad del servicio en el proceso de mantenimiento del Sistema
de Información de la COOPCHIC”.

70
COBIT 5”
CAPÍTULO V:
CONCLUSIONES Y
RECOMENDACIONES
CONCLUSIONES
1. El proceso de mantenimiento del SI de la COOPCHIC se califica como ineficiente

porque no tiene un procedimiento adecuado para la gestión de requerimientos,
como ineficaz porque no permite que se alcancen las metas y objetivos del proceso
e inefectivo como consecuencia de no ser eficiente ni eficaz.
2. El Modelo de mantenimiento propuesto contribuye a disminuir el tiempo del
mantenimiento del SI de la COOPCHIC, debido a que en modelo propuesto
estructura y esquematiza el conjunto de actividades de cada proceso, y se verifica
con el registro y comparación del tiempo de atención de cada requerimiento.
3. El Modelo de mantenimiento propuesto contribuye a disminuir el costo del
mantenimiento del SI de la COOPCHIC, debido a que establece una participación
organizada del personal para una mejor atención de los requerimientos, y se verifica
con el registro y comparación del costo incurrido en la atención de cada
requerimiento.
4. El Modelo de mantenimiento propuesto facilita el incremento de funcionalidades
del SI de la COOPCHIC, debido a que establece mecanismos como la formalización
de la formulación de objetivos y metas de TI por cada proceso, la actualización de
los manuales de usuario indicando los cambios realizados y la verificación del
impacto que los cambios generan en la capacidad del sistema.

Br. García Chávarry, Alan Leonel
Mantenimiento de Sistemas de Información de la 72
Br. Chiclote Suelpres, Richard
C.A.C. “Chiclayo” Ltda. basado en COBIT 5”
RECOMENDACIONES
• Implementación del modelo propuesto y su revisión periódica para incorporar

mejoras resultantes de la experiencia de su aplicación.
• Socialización del modelo propuesto a todo el personal a fin de motivar su

participación activa durante la etapa de implementación del mismo.

BIBLIOGRAFÍA
ALIAGA FLORES, Luis Carlos. 2013. Diseño de un Sistema de Gestión de

Seguridad de Información para un instituto educativo. Lima : Pontificia Universidad
Católica del Perú, 2013.
BURCH. 1998. Sistemas de Información. Madrid : Editorial Parainfo, 1998.
C.LAUDON, KENNETH. 2010. Sistemas de Información. 2010.
CASTILLO, José. 2008. monografias.com.pe. monografias.com.pe. [En línea] 2008

[Citado el: 8 de Enero de 2016.]
http://www.monografias.com/trabajossisinf/sisinf.shtml.
DERRIEN, Yan. 1995. Técnicas de Auditoría informática. Guadalajara : Editorial Alfa

Omega, 1995.
DIONICIO TEO, Luis Guillermo. 2011. Evaluación de Controles según el modelo

COBIT, para la adquisición y mantenimiento de aplicaciones informáticas en el
Departamento de Informática de una empresa distribuidora de vehículos automotores.
Guatemala : Universidad de San Carlos de Guatemala, 2011.
ESPINOZA AGUINAGA, Hans Ryan. 2013. Análisis y Diseño de un Sistema de

Gestión de Seguridad de Información basado en la norma ISO/IEC 27001:2005 para
una empresa de producción y comercialización de productos de consumo masivo.
Lima : s.n., 2013.
HERNÁNDEZ, Roberto, HERNÁNDEZ, Carlos y CAPTISTA, Pilar. 1997.

Metodología de la Investigación. México : McGraw-Hill, 1997.
INEI. 2008. INEI.GOB.PE. INEI.GOB.PE. [En línea] 2008. [Citado el: 24 de Enero de
2016.] http://www.inei.gob.pe/web/metodologias/attach/lib605/n00.htm.
ISACA. 2015. ISACA - COBIT 5 Spanish. [En línea] 2015. [Citado el: 20 de Enero de
2016.] http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx.
JIMENEZ, Yolanda. 2008. monografías .com.pe. monografías .com.pe. [En línea]

2008. [Citado el: 16 de Febrero de 2016.]
http://www.monografias.com/trabajos14/auditoria/auditoria.shtml.
LARA MUÑOZ, Hernán, REYES REINA, José Humberto y NAVARRETE

MERA, Washington. 2006. Diseño de un Sistema de Gestión de Seguridad de
Información para Ecuacolor. Guayaquil : Escuela Superior Politecnica del Litoral,
2006.
LAUDON, KENNETH. 2010. Sistemas de Información. Madrid : Paraninfo, 2010.

MAMANI POMA, Orlando. 2004. Auditoría Informática Municipalidad Provinciañ

mariscal. Moquegua : s.n., 2004.
MORENO, Mario. 2002. Auditoría de Sistemas. Trujillo : s.n., 2002.
PERALTA, Manuel. 2008. Monografías.Com. Monografías.Com. [En línea] 2008.

[Citado el: 05 de Febrero de 2016.]
http://www.monografias.com/trabajos7/sisinf/sisinf.shtml.
PERLATA. 2008. SISTEMAS DE INFORMACIÓN. 2008.
Pressman, Roger S. 2010. Ingeniería del Software. Un enfoque práctico. México :

McGraw Hill, 2010.
Rabines Ripalda, Manuel. 2006. Congreso de la República del Perú. [En línea] 2006.
[Citado el: 20 de Febrero de 2016.]
http://www4.congreso.gob.pe/comisiones/2006/recomendacion_193/documentos/FENA
CREP.pdf.
SBS. 2000. Superintendencia de Banca, Seguros y AFP. [En línea] 2000. [Citado el: 20
de Febrero de 2016.] http://www.sbs.gob.pe.
SUNAT. 2016. SUNAT. [En línea] 1 de 1 de 2016. [Citado el: 15 de Enero de 2016.]
http://www.sunat.gob.pe.
—. 2002. Superintendencia Nacional de Administración Tributaria. [En línea] 18 de

Enero de 2002. [Citado el: 20 de Febrero de 2016.] http://ww1.sunat.gob.pe/cl-ti-
itmrconsruc/jcrS00Alias.
UAM. 2014. UAM. UAM. [En línea] 2014. [Citado el: 16 de Enero de 2016.]
https://www.uam.es/personal_pdi/ciencias/joaquina/BOXES-
POP/que_es_un_modelo.htm.
Wikipedia. 2015. Objetivos de control para la información y tecnologías relacionadas.

[En línea] 3 de Febrero de 2015. [Citado el: 20 de Febrero de 2016.]
http://es.wikipedia.org/wiki/Objetivos_de_control_para_la_información_y_tecnologías_
relacionadas.


García Chávarry, Alan Leonel Chiclote Suelpres, Richard

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

García Chávarry, Alan Leonel Chiclote Suelpres, Richard

Hochgeladen von

Copyright:

Verfügbare Formate

BIBLIOTECA DIGITAL - DIRECCIÓN DE SISTEMAS DE INFORMÁTICA Y COMUNICACIÓN

UNIVERSIDAD NACIONAL DE TRUJILLO

Señores Miembros del Jurado:

De conformidad y en cumplimiento de los requisitos estipulados en el Reglamento de

Trujillo, Octubre del 2016

Br. Alan Leonel García Chávarry. Br. Richard Chiclote Suelpres.

Agradecemos a la Universidad Nacional de Trujillo por la formación que nos impartieron,

El presente trabajo de investigación titulado “MODELO DE EVALUACIÓN DEL

El estudio se desarrolló en la C.A.C. “Chiclayo” Ltda., ubicada en la ciudad de Chiclayo,

El objetivo general del estudio es desarrollar un Modelo de Evaluación del proceso de

El principal logro es realizar un diagnóstico situacional, que permita evaluar la

This research paper entitled "MODEL EVALUATION PROCESS SYSTEMS

Gráfico N° 1: Actividades del Sistema de Información ............................................... 16

Tabla N° 1. Operacionalización de las variables .......................................................... 7

1.1. Realidad Problemática:

En el Perú, la Oficina Nacional de Gobierno Electrónico e Información (ONGEI)

“En el transcurrir de las últimas décadas, el tema de la seguridad de información se

En el Perú, la Superintendencia de Banca, Seguros y AFP (SBS, 2000) en su Portal

como de prevenir y detectar el lavado de activos y financiamiento del terrorismo.

El enfoque de la SBS es crear, a través de la regulación, un sistema de incentivos

Respecto de la calidad de información y análisis empleado por las empresas

La Cooperativa de Ahorro y Crédito “Chiclayo” Ltda. (COOPCHIC, en adelante),

Durante las entrevistas sostenidas con el Señor Presidente de la COOPCHIC, se

Asimismo, la COOPCHIC realiza las siguientes actividades financieras entre y para

Las actividades anteriores son realizadas con el soporte de un sistema de

encienden y apagan al iniciar y finalizar el horario de trabajo diario.

Según manifiesta el Señor Presidente, el sistema de información presenta muchos

Respecto al proceso de mantenimiento del sistema de información, se consultó a la

1.2. Enunciado del Problema:

¿Cómo mejorar el proceso de mantenimiento del Sistema de Información de la

“Modelo de Evaluación del Proceso de

Un modelo basado en COBIT 5 permite la mejora del proceso de mantenimiento del

1.3.2. Variable Dependiente.

1.3.3. Operacionalización de las variables.

1.4.1. Justificación Tecnológica:

1.4.2. Justificación Económica:

1.4.3. Justificación Operativa:

“Modelo de Evaluación del Proceso de

Tabla N° 1. Operacionalización de las variables.

VI Costo Hoja de datos C = PP - PE Razón

Procesos formalizados Hoja de datos Encuesta Ordinal

Tiempo Hoja de datos Encuesta Razón

VD Productividad Línea base de costos Encuesta Ordinal

“Modelo de Evaluación del Proceso de

1.4.4. Justificación Social:

1.4.5. Justificación Legal:

1.5.1. Objetivo General:

Formular un modelo de mantenimiento de sistemas de información de las

1.5.2. Objetivos Específicos:

“Modelo de Evaluación del Proceso de

Título: Diseño de un Sistema de Gestión de Seguridad de Información para un

Autor(es): Aliaga Flores, Luis Carlos

Universidad: Pontificia Universidad Católica del Perú

Resumen: En el caso de instituciones educativas, se puede observar que éstas aún no

Fuente: (ALIAGA FLORES, 2013)

“Modelo de Evaluación del Proceso de

Título: Análisis y diseño de un sistema de gestión de seguridad de información

Autor(es): Espinoza Aguinaga, Hans Ryan

Universidad: Pontificia Universidad Católica del Perú

Resumen: En el presente proyecto de fin de carrera se tomaran en cuenta los aspectos

Fuente: (ESPINOZA AGUINAGA, 2013)

Titulo: Diseño de Sistema de Gestión de Seguridad de Información para Ecuacolor.

Universidad: Escuela Superior Politécnica del Litoral - Ecuador