Você está na página 1de 106

Universidad Mariano Glvez de Guatemala

Ing. Crecencio Chang


Auditoria de Sistemas
Ingeniera en Sistemas de informacin
Seccin A

Proyecto de Auditoria de sistemas

AUDITORIA

Alumno
Allan Federico Gonzlez Barrueto
Mario Roberto Hernndez Monterroso
Juan Carlos Monterroso Hernndez
Erick Gonzlez
Francklin Funez
Joshua Figueroa

No. De Carn
0900-10-1
0900-08-3602
0900-10-11326
0900-10-105
0900-09-560
0900-11-1483

Email
allanbarrueto@gmail.com
Mario147741@gmail.com
Jeancarlohernandez582@gmail.com

erickrgt@gmail.com
jufalco.fa@gmail.com
joshfigueroa07@gmail.com

Telfono
55719640
54891387
59180559
55178828
40062743
55231380

ndice
Introduccin ............................................................................................................... 1
Justificacin............................................................................................................... 2
Planteamiento del problema ..................................................................................... 3
Definicin del problema ............................................................................................ 3
El Control Interno: .................................................................................................... 3
Efectividad y Eficiencia de las Operaciones:......................................................... 3
Suficiencia y Confiabilidad de la Informacin financiera: ...................................... 3
Cumplimiento de la Regulacin: ........................................................................... 3
Riesgo: ..................................................................................................................... 4
Gobierno de Tecnologa de la informacin: .............................................................. 4
Objetivos de Control para Informacin y Tecnologa Relacionada (COBIT) ............ 4
Objetivos de la investigacin: .................................................................................. 6
Generales ................................................................................................................. 6
Mtodos y tcnicas a utilizar: ................................................................................... 6
Mtodos ................................................................................................................... 6
Marco de Trabajo ....................................................................................................... 6
Razones para utilizarlo ............................................................................................. 7
Beneficios a Usuarios............................................................................................... 7
Orientado a Procesos............................................................................................... 8
Procesos del dominio Construir, Adquirir e Implementar: ........................................ 8
Modelo de capacidad de los procesos ..................................................................... 8
0 Proceso incompleto:........................................................................................ 9
1 Proceso ejecutado: ......................................................................................... 9
2 Proceso gestionado: ....................................................................................... 9
3 Proceso establecido: ....................................................................................... 9
4 Proceso predecible: ........................................................................................ 9

5 Proceso optimizado:........................................................................................ 9
Mtodo de determinacin del nivel de capacidad..................................................... 9
Caso practico ........................................................................................................... 11
EVALUACIN DE CONTROLES PARA LA ADQUISICIN Y MANTENIMIENTO DE
APLICACIONES INFORMTICAS DE UNA EMPRESA ASEGURADORA, SEGN
MODELO DE OBJETIVOS DE CONTROL PARA TECNOLOGA DE INFORMACIN
Y TECNOLOGAS RELACIONADAS (COBIT) ...................................................... 11
Antecedentes del caso prctico .......................................................................... 11
Desarrollo del Caso Prctico ............................................................................... 12
Contenido del Caso Prctico .................................................................................. 13
Papeles de trabajo del caso prctico...................................................................... 14
CARTA DE NOTIFICACIN DE LA REALIZACIN DE LA EVALUACIN DEL
CONTROL
INTERNO
INFORMTICO
EN
LA
ADQUISICIN
E
IMPLEMENTACIN
DE
SOLUCIONES
INFORMTICAS
EN
EL
DEPARTAMENTO DE INFORMTICA............................................................... 14
NOMBRAMIENTO PARA REALIZAR LA EVALUACIN DEL CONTROL INTERNO
EN LOS PROCESOS DE ADQUIRIR E IMPLEMENTAR SOLUCIONES
INFORMTICAS EN EL DEPARTAMENTO DE INFORMTICA........................... 15
PROGRAMA DE AUDITORA INTERNA PARA LA EVALUACIN DEL CONTROL
INTERNO INFORMTICO DE LOS PROCESOS DE ADQUISICIN E
IMPLEMENTACIN DE SOLUCIONES INFORMTICAS SEGN EL MODELO
COBIT DE CONTROL INTERNO. .......................................................................... 17
INTRODUCCIN ................................................................................................ 17
OBJETIVO .......................................................................................................... 17
ALCANCE ........................................................................................................... 17
PROCEDIMIENTO .............................................................................................. 18
EVALUACION DEL CONTROL INTERNO INFORMTICO ............................... 18
INFORME ............................................................................................................... 22
Elaboracin del informe. ..................................................................................... 22
Normativa............................................................................................................ 22
Cronograma. ....................................................................................................... 22
Presentacin del informe: ................................................................................... 22
Distribucin del informe:...................................................................................... 23
Evaluacin del proceso de Gestionar los Programas y Proyectos (BAI01) ............ 24

CONCLUSIN: ................................................................................................... 26
Evaluacin del proceso de Gestionar la Definicin de Requisitos (BAI02) ............. 38
CONCLUSIN: ................................................................................................... 40
Evaluacin del proceso de Adquirir e Implementar Infraestructura Tecnolgica
(BAI03). .................................................................................................................. 50
CONCLUSIN: ................................................................................................... 52
Evaluacin del proceso Facilitar la ejecucin y el uso (BAI04). ............................. 59
CONCLUSIN: ................................................................................................... 60
Evaluacin del proceso Gestionar la Introduccin de Cambios Organizativos (BAI05)
............................................................................................................................... 66
CONCLUSIN: ................................................................................................... 68
Evaluacin del proceso de Administracin de Cambios (BAI06). ........................... 77
CONCLUSIN: ................................................................................................... 80
Evaluacin del proceso de Gestionar la Aceptacin del Cambio y de la Transicin
(BAI07) ................................................................................................................... 93
CONCLUSIN: ................................................................................................... 94
Informe de la evaluacin de los controles ............................................................ 98
Objetivo: ................................................................................................................. 98
Alcance: ................................................................................................................. 98
Resultados por Proceso: ........................................................................................ 99
Conclusiones Generales:...................................................................................... 101

Definicin de Proyecto

Introduccin
La auditora se tiene como una forma de hacer una corroboracin sobre distintos
procesos, presupuestos, costos, entre otros, al nivel que se estar refiriendo es a nivel
de auditoria de sistemas, en los diferentes procesos, tambin se tiene como una forma
de aclarar una sospecha sobre un posible ilcito que pueda estar sucediendo dentro
de una organizacin, para poder aclarar alguna situacin que pueda estar dando una
inquietud, en el mbito de auditoria en sistemas, se puede desarrollar sobre los
diferentes procesos que se estn realizando dentro de un sistema en una organizacin.
Otra utilidad para lo que se utiliza una auditoria en sistemas es para hacer una
verificacin sobre los distintos procesos y mejoras que se puedan realizar a una
sistema en especfico, verificando cuales son los puntos dbiles del mismo, apoyado
en la documentacin respectiva para tener una mejora continua, se tiene que tomar en
cuenta que una auditoria de este tipo no se puede estar realizando con mucha
periodicidad, y se tiene que realizar de una forma correcta, eficaz y eficiente, con datos
reales para que pueda tenerlos beneficios a largo plazo de esta actividad.

Definicin de Proyecto

Justificacin
La evaluacin de los controles en una empresa aseguradora en sus distintos procesos
donde se involucra la tecnologa de informacin, son puntos importantes para su buen
funcionamiento, el estar un una situacin de cambio constante para la mejora es una
buena prctica volviendo a la empresa con procesos dinmicos anuentes a estar
madurando constantemente, de esta forma ir amalgamando los distintos modelos para
llegar a estndares de calidad deseados.
Uno de los modelos que se puede tomar en cuenta es el de COBIT, ya que es uno de
los ms utilizados en el medio para poder auditar la gestin y control de los sistemas
de informacin IT, orientados bastante a todos los sectores de una organizacin,
administradores, usuarios y los mismos auditores.
Teniendo como objetivo principal la implementacin mediante un modelo COBIT en la
organizacin, dando una herramienta automatizada para la evolucin del cumplimiento
de los distintos procesos y recursos de informacin y tecnologa.

Definicin de Proyecto

Planteamiento del problema


Definicin del problema
Al no implementarse una metodologa adecuada surge el involucramiento de algunas
variables considerables:

La incorrecta evaluacin de controles para la adquisicin y mantenimiento de


aplicaciones informticas

Cules son las consecuencias de la incorrecta evaluacin de los controles para la


adquisicin y mantenimiento de aplicaciones informticas?

El Control Interno:
El sistema de control interno es un proceso realizado por el consejo de administracin
(junta directiva o junta de directores), los administradores y dems personal de una
entidad, diseado para proporcionar seguridad razonable en la bsqueda del
cumplimiento de los siguientes objetivos:
Efectividad y Eficiencia de las Operaciones:
Es decir, en cuanto al cumplimiento de los objetivos estratgicos de la organizacin y
la salvaguarda o proteccin de sus recursos y los bienes de terceros que se encuentran
en su poder de la entidad.
Suficiencia y Confiabilidad de la Informacin financiera:
Y la que se produce para uso interno, as como de la preparacin de los estados
financieros con destino a terceros.
Cumplimiento de la Regulacin:
En general las disposiciones que afectan el desarrollo institucional, tales como las
leyes, normas del gobierno, los estatutos, los reglamentos, las circulares o
instrucciones internas.

Definicin de Proyecto

Riesgo:
Es la incertidumbre de que ocurra un acontecimiento que pudiera pueda afectar el
logro de los objetivos. Tambin se define como la posibilidad de que suceda algo que
tendr impacto en los objetivos. Se mide en trminos de consecuencia y posibilidad de
ocurrencia.

Gobierno de Tecnologa de la informacin:


Es una estructura de relaciones y procesos para dirigir y controlar con el objeto de
alcanzar los objetivos de la empresa y aadir valor mientras se equilibran los riesgos
y el retorno sobre Tecnologa de la informacin y sus procesos.

El ncleo de Tecnologa de la informacin consta de dos responsabilidades


principales, la entrega de valor al negocio y mitigar los riesgos relacionados con TI.

Objetivos de Control para Informacin y Tecnologa Relacionada (COBIT)


Las organizaciones deben cumplir con requerimientos de calidad, fiduciarios y de
seguridad, tanto para su informacin, como para sus activos. La gerencia deber
adems optimizar el empleo de sus recursos disponibles, los cuales incluyen: personal,
instalaciones, tecnologa, sistemas de aplicacin y datos. Para cumplir con esta
responsabilidad, as como para alcanzar sus objetivos, la gerencia debe entender el
estado de sus propios sistemas de Tecnologa de la informacin y decidir el nivel de
seguridad y control que deben proveer estos sistemas.
Provee buenas prcticas y presenta actividades en una estructura manejable y lgica.
Las Buenas prcticas de COBIT rene el consenso de expertos quienes ayudarn a
optimizar la inversin de la informacin y proporcionarn un mecanismo de medicin
que permitir juzgar cuando las actividades van por el camino equivocado. La gerencia
debe asegurar que los sistemas de control interno o el marco referencial estn
funcionando y soportan los procesos del negocio, y debe de ser consciente de cmo
4

Definicin de Proyecto

cada actividad individual de control satisface los requerimientos de informacin e


impacta los recursos de TI.
La gerencia, mediante este gobierno corporativo, debe asegurar que todos los
individuos involucrados en la administracin, uso, diseo, desarrollo, mantenimiento u
operacin de sistemas de informacin acten con la debida diligencia. Est diseado
no slo para ser utilizado por usuarios y auditores, sino que, lo ms importante, est
diseado para ser utilizado por los propietarios de los procesos de negocio como una
gua clara y entendible.

Definicin de Proyecto

Objetivos de la investigacin:
Generales
Determinar la importancia de aplicar en el pas una metodologa adecuada para
la evaluacin de adquisiciones informticas.

Determinar el impacto sobre una empresa debido al adecuado manejo de los


recursos informticos.

Mtodos y tcnicas a utilizar:


Mtodos
Mtodo cientfico:
o En sus fases:

Indagatoria: al momento de efectuar la investigacin documental


y de campo.

Demostrativa: cuando se demuestre que los datos recopilados


sean vlidos.

Expositiva: se efectuar cuando la investigacin quede plasmada


en l informe final.

Mtodo deductivo:
o Parte de lo general a lo particular.

Marco de Trabajo
El marco de trabajo relaciona los requerimientos de informacin y de gobierno TI a los
objetivos de la funcin de servicios de TI. El modelo de procesos de COBIT permite
que las actividades de TI y los recursos que los soportan sean administrados y
controlados basados en los objetivos de control de COBIT, y alineados y monitoreados
usando las metas y mtricas establecidas por la metodologa.

Definicin de Proyecto

Razones para utilizarlo


El marco de referencia COBIT otorga especial importancia a los requerimientos de
negocios en cuanto a efectividad, eficiencia, confidencialidad, integridad,
disponibilidad, cumplimiento y confiabilidad que deben ser satisfechos. El desarrollo
de este marco de referencia ha sido limitado a objetivos de control de alto nivel en
forma de necesidades de negocio dentro de un proceso de tecnologa informtica
particular, cuyo logro es posible a travs del establecimiento de controles, para el cual
deben considerarse controles aplicables potenciales.
La misin de COBIT es Investigar, desarrollar, hacer pblico y promover un marco de
control de gobierno de TI autorizado, actualizado, aceptado internacionalmente para
la adopcin por parte de las empresas y el uso diario por parte de gerentes de negocio,
profesionales de TI y profesionales de aseguramiento (COBIR 4.1 2007, p.9).

Un Objetivo de Control, es una definicin del resultado o propsito que se desea


alcanzar implementando procedimientos de control especficos dentro de una actividad
de tecnologa informtica. COBIT identifica un conjunto de 34 Objetivos de alto nivel,
uno para cada uno de los procesos de tecnologa informtica, agrupados en cuatro
dominios:

Planeacin y organizacin
Adquisicin e implementacin
Entrega de servicio
Monitoreo

Beneficios a Usuarios
COBIT proporciona ventajas a gerentes, usuarios, e interventores. Los gerentes se
benefician de COBIT por que les provee un fundamento sobre el cual basar las
decisiones de una forma eficaz, ayuda a la definicin de un plan de TI estratgico, la
definicin de la arquitectura de la informacin, la adquisicin del hardware necesario y
el software para ejecutar una estrategia, la aseguracin del servicio continuo, la
supervisin del funcionamiento del sistema TI. Los usuarios por otro lado se benefician
debido al aseguramiento proporcionado a ellos en el tratamiento de la informacin.
Finalmente los auditores o interventores se ven beneficiados ya que permite identificar

Definicin de Proyecto

cuestiones de control de TI dentro de la infraestructura de una institucin y a corroborar


sus conclusiones de auditoria.
Orientado a Procesos
Incluye un modelo de referencia de procesos que define y describe en detalle varios
procesos de gobierno y de gestin. Dicho modelo representa todos los procesos que
normalmente se encuentran en una empresa, relacionados con las actividades de TI
Los dominios principales son:
Gobierno
o Contiene 5 procesos de gobierno, dentro de cada proceso se definen
prcticas de evaluacin, orientacin y supervisin.
Gestin
o Contiene 4 dominios de acuerdo a las reas de responsabilidad de
planificar, construir, ejecutar y supervisar.
Alinear, Planificar y Organizar
Construir, Adquirir e Implementar
Entregar, dar Servicio y Soporte
Supervisar, Evaluar y Valorar

Procesos del dominio Construir, Adquirir e Implementar:


BAI01 Gestionar los Programas y Proyectos,
BAI02 Gestionar la Definicin de Requisitos,
BAI03 Gestionar la Identificacin y la Construccin de Soluciones,
BAI04 Gestionar la Disponibilidad y la Capacidad,
BAI05 Gestionar la Introduccin de Cambios Organizativos,
BAI06 Gestionar los Cambios,
BAI07 Gestionar la Aceptacin del Cambio y de la Transaccin,
BAI08 Gestionar el Conocimiento,
BAI09 Gestionar los Activos,
BAI10 Gestionar la Configuracin.
Modelo de capacidad de los procesos
Este modelo se utiliza para medir la madurez actual o el estado en que se encuentran
los procesos relacionados con las TI de la empresa, determinar la brecha entre ellos y
la forma de mejorarlos.
Existen seis niveles de capacidad que se pueden alcanzar por un proceso.
8

Definicin de Proyecto

0 Proceso incompleto:
El proceso no est implementado o no alcanza su propsito. A este nivel, hay muy
poca o ninguna evidencia de ningn logro sistemtico del propsito del proceso.
1 Proceso ejecutado:
El proceso implementado alcanza su propsito.
2 Proceso gestionado:
El proceso ejecutado descrito anteriormente esta ya implementado de forma
gestionada (planificado, supervisado y ajustado) y los resultados de su ejecucin estn
establecidos, controlados y mantenidos apropiadamente.
3 Proceso establecido:
El proceso gestionado descrito anteriormente esta ahora implementado usando un
proceso definido que es capaz de alcanzar sus resultados de proceso.
4 Proceso predecible:
El proceso establecido descrito anteriormente ahora se ejecuta dentro de lmites
definidos para alcanzar sus resultados de proceso.
5 Proceso optimizado:
El proceso predecible descrito anteriormente es mejorado de forma continua para
cumplir con las metas empresariales presentes y futuras.

Mtodo de determinacin del nivel de capacidad


El mtodo de determinacin de la capacidad por proceso en la que se encuentra la
empresa es asignando un valor nominal, iniciando en no alcanzado (0) hasta
completamente alcanzado (5).
Los resultados del modelo de capacidad son obtenidos en base a COBIT 5. El auditado
deber analizar y manifestar el nivel de alcance con cada declaracin dentro de cuatro
posibles respuestas que a su vez representan valores:
No alcanzado = 0
Parcialmente Alcanzado = 0.33
Ampliamente Alcanzado = 0.66
Completamente Alcanzado = 1.00
Para obtener valores sobre cada una de las respuestas a las declaraciones de COBIT,
se necesita multiplicar Peso y Respuesta, a travs de la siguiente formula:
9

Definicin de Proyecto

V=P*R
Donde V es el valor de puntuacin de la declaracin de capacidad, P es el peso de
cada declaracin de capacidad, el cual se obtiene al sumar los valores de cada nivel y
luego dividirlos dentro del peso total para cada nivel.
C = V / P
Donde C es cumplimiento, V es el valor de las respuestas para cada declaracin de
capacidad, y P es el peso de cada declaracin.
El paso siguiente es la Normalizacin, la cual se puede obtener mediante dividir el
valor de cumplimiento de cada nivel dentro del valor de cumplimiento de todos los
niveles de cada proceso de TI
N = C / C
Donde N es el valor normalizado y C el valor de cumplimiento de cada nivel.
La contribucin se determina con la multiplicacin del Nivel (0 5) por el valor
normalizado de cada nivel. Con la contribucin total para todos los niveles de un
proceso de tecnologa informtica, el auditor obtendr la puntuacin del nivel de
madurez de la empresa.
Co = Nv x N
Donde Co es la contribucin, Nv es el nivel de madurez y N es el valor normalizado de
las respuestas a las declaraciones.
El nivel de capacidad se obtiene sumando los valores de contribucin del proceso de
tecnologa informtica evaluado.
NM = Co
Donde NM es el nivel de capacidad y Co es la contribucin para cada declaracin del
nivel de capacidad.

10

Definicin de Proyecto

Caso practico
EVALUACIN DE CONTROLES PARA LA ADQUISICIN Y MANTENIMIENTO
DE APLICACIONES INFORMTICAS DE UNA EMPRESA ASEGURADORA,
SEGN MODELO DE OBJETIVOS DE CONTROL PARA TECNOLOGA DE
INFORMACIN Y TECNOLOGAS RELACIONADAS (COBIT)
Los sistemas de informacin cada da tomas ms relevancia en la toma de decisiones
de la empresa, por lo que los controles de estos, deben ser especializados y de
acuerdo a los niveles de capacidad que proponen los objetivos de control para
informacin y tecnologa relacionada (COBIT, por sus siglas en ingles), se presentan
los aspectos que debe considerar el auditor de sistemas:
Antecedentes del caso prctico
La evaluacin se realiz a la empresa El Mejor Seguro S.A. que inici sus operaciones
en el ao de 1960, ubicada en la zona 4 de la ciudad capital de Guatemala, siendo la
empresa aseguradora ms grande de Centroamrica segn la Asociacin
Guatemalteca de Industria del Seguro (AGIS), cuenta con ms de 350 mil clientes, una
certificacin en calidad ISO 9001 y una amplia gama de servicios electrnicos para
sus intermediarios y clientes finales.
La empresa en su ms alto nivel est organizada de la siguiente manera:
Consejo de Administracin
o Gerencia General
Gerencia de Alineamiento Estratgico
Gerencia de Lneas Personales
Gerencia Corporativa
Gerencia de Operaciones
Gerencia de Riesgos (Auditoria Interna)
El departamento de informtica se conforma de la siguiente manera:
Gerencia de Operaciones
o Direccin de Tecnologa
Jefatura de Plataforma Tecnolgica
Administradores de Proyectos
o Programadores Senior
o Programadores Junior
Jefatura de Servicios Tecnolgicos
Administradores de Proyectos
o Programadores Senior
o Programadores Junior
Coordinacin de Inteligencia de Negocios
11

Definicin de Proyecto

o Programadores Senior
Jefatura de Infraestructura
Administradores de Sistemas
Escritorio de Ayuda
o Tcnicos Senior
o Tcnicos Junior

Desarrollo del Caso Prctico


La empresa El Mejor Seguro ha incrementado sus transacciones mediante la
utilizacin de sistemas de informacin, tales como cotizadores en lnea, emisores de
plizas en lnea, pagos con tarjeta de crdito en lnea, entre otros, por lo que la
administracin de la empresa demuestra su preocupacin por la adecuada evaluacin
de los sistemas de informacin, y ha solicitado a la Gerencia de Riesgos (Auditoria
Interna), que evalu los procesos de adquisicin, implementacin y mantenimiento de
tecnologa informtica, con el objetivo de conocer de forma oportuna la forma en que
las inversiones en tecnologa estn siendo gestionadas por el departamento de
Informtica.
Para dar soporte a la opinin de los auditores internos sobre los controles informticos,
el trabajo de auditora deber basarse en los Objetivos de Control para Informacin y
Tecnologa Relacionada (COBIT) por ser considerados como las mejores prcticas de
control y gobierno de tecnologa de informacin a nivel mundial. Los Objetivos de
Control para Informacin y Tecnologa Relacionada, de aqu adelante COBIT, permiten
evaluar los controles desde tres perspectivas diferentes como lo son los recursos de
tecnologa informtica, los criterios de informacin y los procesos de tecnologa
informtica.
Por lo expuesto anteriormente la Gerencia de Riesgos ha decidido realizar la
evaluacin desde el punto de vista de los procesos de tecnologa informtica, tomando
como base los criterios establecidos en uno de los cuatro dominios que conforman la
metodologa COBIT, denominado Adquisicin e Implementacin de Soluciones
Informticas (AI).

12

Definicin de Proyecto

Contenido del Caso Prctico


Descripcin

PT No.

Fase de Planeacin
Carta de notificacin para la iniciacin de la Auditora
Nombramiento del auditor que realizar la auditora
Programa de Auditora para realizar la evaluacin de controles de acuerdo al modelo de
capacidad de COBIT
Fase de Ejecucin
Evaluacin del proceso de Gestionar los Programas y Proyectos (BAI01)
Cuestionarios a Funcin: Direccin del Departamento
Cuestionarios a Funcin: Jefatura de Servicios Tecnolgicos
Cuestionarios a Funcin: Jefatura de Plataforma Tecnolgica
Evaluacin del proceso de Gestionar la Definicin de Requisitos (BAI02)
Cuestionarios a Funcin: Direccin del Departamento
Cuestionarios a Funcin: Jefatura de Servicios Tecnolgicos
Cuestionarios a Funcin: Jefatura de Plataforma Tecnolgica
Evaluacin del proceso de Adquirir e implementar Infraestructura tecnolgica (BAI03)
Cuestionarios a Funcin: Direccin del Departamento
Cuestionarios a Funcin: Jefatura de Infraestructura
Evaluacin del proceso de Gestionar la Disponibilidad y la Capacidad (BAI04)
Cuestionarios a Funcin: Direccin del Departamento
Evaluacin del proceso de Gestionar la Introduccin de Cambios Organizativos (BAI05)
Cuestionarios a Funcin: Direccin del Departamento
Cuestionarios a Funcin: Jefatura de Infraestructura
Evaluacin del proceso de Gestionar los Cambios (BAI06)
Cuestionarios a Funcin: Direccin del Departamento
Cuestionarios a Funcin: Jefatura de Plataforma Tecnolgica
Cuestionarios a Funcin: Jefatura de Servicios Tecnolgicos
Cuestionarios a Funcin: Jefatura de Infraestructura
Evaluacin del proceso de Gestionar la Aceptacin del Cambio y de la Transicin (BAI07)
Cuestionarios a Funcin: Direccin del Departamento
Resumen de niveles de capacidad
Fase de Informe
Informe de Auditora

13

MM01
MM02
MM03

MM04
MM04-01
MM04-02
MM04-03
MM05
MM05-01
MM05-02
MM05-03
MM06
MM06-01
MM06-02
MM07
MM07-01
MM08
MM08-01
MM08-02
MM09
MM09-01
MM09-02
MM09-03
MM09-04
MM10
MM10-01
MM11

Definicin de Proyecto

Papeles de trabajo del caso prctico

Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

SEGURITAS S.A.
Gerencia de Riesgos

MM01
TEAM_AD
LIDER T.

CARTA DE NOTIFICACIN DE LA REALIZACIN DE LA EVALUACIN DEL CONTROL


INTERNO INFORMTICO EN LA ADQUISICIN E IMPLEMENTACIN DE SOLUCIONES
INFORMTICAS EN EL DEPARTAMENTO DE INFORMTICA

Ing. Encargado IT
Director del Departamento de Informtica
Presente

Respetable Ingeniero

Por este medio se le comunica que conforme a nuestro plan de trabajo, se iniciar la
revisin del control interno sobre los procesos de adquisicin e implementacin de
soluciones informticas que se realiz en la direccin a su cargo durante el segundo
semestre del ao. La actividad ha sido asignada al Sr. Prez, asistente de auditoria
interna y supervisada por su servidor.

Al final de la evaluacin se determinar el de nivel capacidad con que cuentan los


controles actuales aplicando la metodologa segn COBIT, y se le estarn enviando
los resultados detallando los hallazgos y recomendaciones.

Atentamente,

Lic. Donaldo
Gerente de Riesgos

14

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos

Papel de Trabajo
HECHO POR:

MM02 1/2
TEAM_AD

REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

LIDER T.

NOMBRAMIENTO PARA REALIZAR LA EVALUACIN DEL CONTROL


INTERNO EN LOS PROCESOS DE ADQUIRIR E IMPLEMENTAR SOLUCIONES
INFORMTICAS EN EL DEPARTAMENTO DE INFORMTICA.
Sr. Prez
Asistente de Auditoria
Gerencia de Riesgos
Presente
Estimado Sr. Prez
Se le comunica que ha sido nombrado para realizar la revisin del control interno
informtico en los procesos de adquisicin e implementacin de soluciones
informticas en el departamento de informtica de la empresa. Para llevar a cabo esta
evaluacin deber basarse en el correspondiente dominio contenido en el modelo de
los Objetivos de Control para Informacin y Tecnologas Relacionada (COBIT).
Los procesos a evaluar de acuerdo a la metodologa se describen a continuacin:

BAI01 Gestionar los Programas y Proyectos


BAI02 Gestionar la Definicin de Requisitos
BAI03 Adquirir e Implementar Infraestructura Tecnolgica
BAI04 Facilitar la ejecucin y el uso

15

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos

Papel de Trabajo
HECHO POR:

MM02 2/2
TEAM_AD

REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

LIDER T.

BAI05 Gestionar la Introduccin de Cambios Organizativos


BAI06 Administracin de Cambios
BAI07 Gestionar la Aceptacin del Cambio y de la Transicin

El tiempo asignado para esta actividad es de 15 das.


Atentamente,
Lic. Donaldo
Gerente de Riesgos

16

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos

Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

MM03 1/6
TEAM_AD
LIDER T.

PROGRAMA DE AUDITORA INTERNA PARA LA EVALUACIN DEL CONTROL


INTERNO INFORMTICO DE LOS PROCESOS DE ADQUISICIN E
IMPLEMENTACIN DE SOLUCIONES INFORMTICAS SEGN EL MODELO
COBIT DE CONTROL INTERNO.
INTRODUCCIN
Para poder lograr que los objetivos de la Direccin de Tecnologa estn alineados con
los de la empresa, es necesario que las soluciones informticas, desarrolladas o
adquiridas, y en ambos casos implementadas e integradas al proceso de negocio,
puedan ser controladas adecuadamente garantizando as la satisfaccin del negocio.
OBJETIVO
Evaluar el nivel de capacidad de los controles informticos en la administracin de los
procesos de adquisicin e implementacin de soluciones informticas establecida por
la direccin de informtica de la empresa El Mejor Seguro S.A.
ALCANCE
La auditora deber dar una opinin soportada en el nivel de capacidad de la
administracin de controles informticos para los procesos incluidos en el dominio
COBIT de Adquisicin e Implementacin (AI), mediante las siguientes tcnicas de
evaluacin:

17

Definicin de Proyecto

Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

SEGURITAS S.A.
Gerencia de Riesgos

MM03 2/6
TEAM_AD
LIDER T.

Cuestionarios elaborados en base a las declaraciones de los niveles de


capacidad para cada proceso de COBIT.
Verificacin fsica de documentacin requerida por el modelo.
Informe de resultados.
Resumen de resultados.

PROCEDIMIENTO
Para la evaluacin del control interno en los procesos de adquisicin e implementacin
de soluciones informticas en base al modelo COBIT, se aplicara lo siguiente:
EVALUACION DEL CONTROL INTERNO INFORMTICO
Se aplicaran cuestionarios elaborados en base a las declaraciones de los niveles de
capacidad de COBIT, as como tambin se revisara la documentacin necesaria para
determinar el nivel capacidad de cada proceso.
Los procesos y actividades a evaluar son los siguientes:

18

Definicin de Proyecto

Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

SEGURITAS S.A.
Gerencia de Riesgos

Proceso
(BAI01)

(BAI02)

(BAI03)

(BAI04)

MM03 3/6
TEAM_AD
LIDER T.

Actividades
Definicin y mantenimiento de los
Gestionar los Programas requerimientos tcnicos y funcionales del
y Proyectos
negocio.
Reporte de anlisis de riesgos.
Estudio de factibilidad y formulacin de
cursos alternativos de accin.
Requerimientos, decisin de factibilidad y
aprobacin.
Gestionar la Definicin
de Requisitos
Diseo de alto nivel.
Diseo detallado.
Control y auditabilidad de aplicaciones.
Seguridad
y
disponibilidad
de
aplicaciones.
Configuracin e implantacin de software
aplicativo adquirido.
Actualizaciones importantes en sistemas
existentes.
Desarrollo de software aplicativo.
Administracin de los requerimientos de
aplicaciones.
Mantenimiento de software aplicativo.
Gestionar
la
Identificacin
y
la
Construccin
de Plan de adquisicin de infraestructura
Soluciones
tecnolgica.
Proteccin y disponibilidad del recurso de
infraestructura.
Mantenimiento de infraestructura.
Ambiente de prueba de factibilidad.
Gestionar
la
Disponibilidad
y
la
Capacidad
Plan para soluciones de operacin.
Transferencia de conocimiento a la
gerencia del negocio.
19

Definicin de Proyecto

Transferencia de conocimiento a los


usuarios finales.
Transferencia
de
conocimiento
al
personal de operaciones y soporte.

20

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

Proceso
(BAI05)

(BAI06)

(BAI07)

MM03 4/6
TEAM_AD
LIDER T.

Actividades
Gestionar la Introduccin
de
Cambios
Organizativos
Control de adquisicin.
Administracin
de
contratos
con
proveedores.
Seleccin de proveedores.
Adquisicin de software.
Adquisicin de recursos de desarrollo
Adquisicin
de
infraestructura,
instalaciones y servicios relacionados.
Estndares y procedimientos para
Gestionar los Cambios
cambios.
Evaluacin de impacto, priorizacin y
autorizacin.
Cambios de emergencia.
Seguimiento y reporte del estatus de
cambio.
Cierre y documentacin del cambio.
Gestionar la Aceptacin
del Cambio y de la
Transicin
Entrenamiento.
Plan de prueba.
Plan de implantacin.
Ambiente de prueba.
Conversin de sistema y datos.
Prueba de cambios.
Prueba final y aceptacin.
Transferencia a produccin.
Liberacin de software.
Distribucin del sistema.
Registro y rastreo de cambios.
Revisin posterior a la implantacin
21

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos

Papel de Trabajo
HECHO POR:

MM03 5/6
TEAM_AD

REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

LIDER T.

INFORME
Elaboracin del informe.

Se elaborara un informe describiendo los procesos incluidos en el dominio de COBIT


que fueron objeto de evaluacin, indicando los resultados y comparando contra el nivel
de control deseado por la administracin.
Normativa.
Objetivos de control para informacin y tecnologa relacionada versin 5.0 (COBIT 5.0,
por sus siglas en ingls).
Cronograma.
Para realizar esta revisin se planifican 15 das para la recoleccin de informacin,
cuestionarios y presentacin del informe.
Presentacin del informe:
Los resultados del trabajo realizado debern presentarse por medio de un informe
gerencial sobre la capacidad de los procesos incluidos en el dominio de COBIT que se
evala. El informe en borrador deber presentarse previamente al gerente del
departamento de informtica conteniendo los aspectos considerados como relevantes
para el

22

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos

Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

MM03 6/6
TEAM_AD
LIDER T.

Mejoramiento y fortalecimiento del entorno de control de esa unidad administrativa,


mediante lo cual se deber obtener el compromiso para la implementacin de las
recomendaciones.
Distribucin del informe:
Despus de la entrega definitiva de los resultados se deber enviar una copia del
informe al director del departamento de informtica. Se deber tambin distribuir una
copia a la Gerencia General.

23

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos

Papel de Trabajo
HECHO POR:

MM04 1/2
TEAM_AD

REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

LIDER T.

Evaluacin del proceso de Gestionar los Programas y Proyectos (BAI01)


Cuadro para tabulacin de resultados de los cuestionarios aplicado s a las
funciones indicadas, agrupadas segn el nivel de capacidad y el peso de la
respuesta obtenida sobre cada declaracin. Las columnas (D), (E) Y (F) se calculan
segn formula indicada.
(F) = Nivel de Madurez del Proceso.
PROCESO: BAI01 Gestionar los Programas y Proyectos
COMPUTO DE LOS VALORES DE CUMPLIMIENTO DEL NIVEL DE CAPACIDAD
FUINCION: Direccin de Tecnologa
(A)

(B)

( C)

(D)

(E )

NIVEL
DE SUMA
DE NUMERO
DE VALOR
DE
CAPACIDAD VALORES
DE DECLARACIONES CUMPLIMIENTO
CUMPLIMIENTO
(B/C)

(F)
NIVEL
CAPACIDAD
(A * E)

DE

NORMALIZACION
DEL VECTOR DE
CUMPLIMIENTO
(D/ D)

0.00

0.000

0.000

0.000

1.66

0.553

0.191

0.191

0.33

0.083

0.028

0.057

4.00

1.000

0.345

1.034

3.96

0.660

0.227

0.910

3.64

0.607

0.209

1.045

TOTAL

13.59

25.00

2.90

1.000

3.236
64.71%

PRUEBA

NIVEL ACTUAL
FUNCION: Jefatura de Servicios Tecnolgicos
0

0.00

0.000

0.000

0.000

1.33

0.443

0.162

0.162

0.33

0.083

0.030

0.060

4.00

1.000

0.365

1.095

4.30

0.717

0.262

1.047

2.98

0.497

0.181

0.907

TOTAL

12.94

25.00

2.74

1.000

3.270
65.41%

PRUEBA

24

Definicin de Proyecto

NIVEL ACTUAL
FUNCION: Jefatura de Plataforma Tecnolgica
0

0.00

0.000

0.000

0.000

1.00

0.333

0.128

0.128

0.00

0.000

0.000

0.000

25

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos

Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

MM04 2/2
TEAM_AD
LIDER T.

PROCESO: BAI01 Gestionar los Programas y Proyectos


COMPUTO DE LOS VALORES DE CUMPLIMIENTO DEL NIVEL DE CAPACIDAD
FUINCION: Direccin de Tecnologa
(A)

(B)

( C)

(D)

(E )

NIVEL
DE SUMA
DE NUMERO
DE VALOR
DE
CAPACIDAD VALORES
DE DECLARACIONES CUMPLIMIENTO
CUMPLIMIENTO
(B/C)

(F)
NIVEL
CAPACIDAD
(A * E)

DE

NORMALIZACION
DEL VECTOR DE
CUMPLIMIENTO
(D/ D)

4.00

1.000

0.384

1.152

4.64

0.773

0.297

1.188

2.98

0.497

0.191

0.954

TOTAL

12.62

25.00

2.60

1.000

3.423

PRUEBA

12.62

25.00

68.45%
NIVEL ACTUAL

FUNCION: Consolidacin de resultados


0

0.00

0.000

0.000

0.000

3.99

1.330

0.161

0.161

0.66

0.165

0.020

0.040

12.00

3.000

0.364

1.092

12.90

2.150

0.261

1.043

9.60

1.600

0.194

0.970

TOTAL

39.15

25.00

8.25

1.000

3.306

PRUEBA

39.15

25.00

66.12%
NIVEL ACTUAL

CONCLUSIN:
Se determin que en la direccin de informtica se administran los controles
sobre el proceso evaluado de forma Definida, mostrando un nivel 3.306 de
capacidad y un 66.12% de confiabilidad en los objetivos de control informtico.
26

Definicin de Proyecto

Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

SEGURITAS S.A.
Gerencia de Riesgos

NV No. DECLARACION

Completamente

Fecha:

Ampliamente

Funcin: Direccin del Departamento

Parcialmente

Qu tanto se ha
alcanzado?

No alcanzado

PROCESO: BAI01 l Gestionar los Programas y Proyectos

La organizacin no requiere la identificacin de requerimientos


funcionales y operativos para el desarrollo, implementacin o
modificacin de soluciones, como por ejemplo soluciones de
sistema, de servicio, de infraestructura, de software y de datos. X
La organizacin no mantiene una conciencia sobre las
soluciones tecnolgicas disponibles que son potencialmente
relevantes para su negocio.
X

MM04-01 1/2
TEAM_AD
LIDER T.

Valor
de
cumplimiento

0.00

0.00

Hay conciencia de la necesidad de definir requerimientos y de


identificar soluciones tecnolgicas.
Los grupos individuales tienden a reunirse para discutir
necesidades de manera informal y los requerimientos por lo
general no estn documentados.

0.33

Las soluciones son identificadas por persona basadas en una


conciencia limitada del mercado, o en respuesta a ofertas de
proveedores. Hay poco o ningn anlisis estructurado o
investigacin acerca de la tecnologa disponible.

0.33

Hay algunos enfoques intuitivos para identificar las soluciones


de TI y los mismos varan en todo el negocio.

0.33

10

Las soluciones son identificadas de manera informal sobre la


base de la experiencia interna y de los conocimientos de la
funcin de TI. El xito de cada proyecto depende de la
experiencia de unas pocas personas claves de TI.
X
La calidad de la documentacin y de la toma de decisiones
vara considerablemente.
X
Se emplean enfoques sin estructura para definir los
requerimientos e identificar las soluciones de tecnologa.
X
Se usan mtodos claros y estructurados para determinar las
soluciones de TI.

27

1.00

0.00
0.00
0.00
X

1.00

Definicin de Proyecto

11

El mtodo para la determinacin de soluciones de TI requiere


la consideracin de alternativas evaluadas contra los
requerimientos del usuario o del negocio, las oportunidades
tecnolgicas, la factibilidad econmica, los anlisis de riesgos
y otros factores.

28

1.00

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos

15

16

17

18

19

20

21

22

23

La documentacin de proyectos es de buena calidad y


cada etapa es debidamente aprobada.
Los requerimientos son bien articulados y estn en
conformidad con estructuras predefinidas.
Se consideran soluciones alternativas, incluyendo un
anlisis de costos y ganancias.
La metodologa es clara, definida, generalmente
comprendida y medible.
Hay una interfaz claramente definida entre la gerencia de
TI y de negocios respecto a la identificacin y evaluacin
de soluciones de TI.
La metodologa para la identificacin y evaluacin de
soluciones de Ti se mejora continuamente.
La metodologa de adquisicin e implementacin es lo
suficientemente flexible para acomodar proyectos de
pequea y gran escala.
La metodologa es apoyada por bases de datos de
conocimientos internas y externas que contienen
materiales de referencia sobre soluciones tecnolgicas.
La metodologa misma produce documentacin con una
estructura predefinida que hace muy eficientes la
produccin y el mantenimiento.

29

Completamente

Ampliamente

Parcialmente

NV No. DECLARACION
El proceso para la determinacin de soluciones de TI se
aplica a algunos proyectos basndose en factores como
las decisiones hechas por el personal involucrado, la
cantidad de tiempo de administracin dedicado y el
tamao y la prioridad del requerimiento original del
3
12 negocio.
Se emplea mtodos estructurados para definir los
3
13 requerimientos e identificar las soluciones de TI.
Existe una metodologa establecida para la identificacin y
evaluacin de soluciones de TI y la misma se emplea para
4
14 la mayora de proyectos.

No alcanzado

Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

MM04-01 2/2
TEAM_AD
LIDER T.

Valor
de
cumplimiento

1.00

1.00

0.66

0.66

0.66

0.66

0.66

0.66

0.66

0.66

0.33

0.33

Definicin de Proyecto

24

25

La organizacin puede a menudo identificar nuevas


oportunidades para utilizar la tecnologa para ganar
ventaja competitiva, influir en el proceso de reingeniera
del negocio y mejorar la eficiencia general.
La gerencia detecta y acta en consecuencia si las
soluciones de TI son aprobadas sin considerar tecnologas
alternativas o requerimientos funcionales de negocio.

X
TOTAL DEL NIVEL

30

1.00

0.66
13.59

Definicin de Proyecto

Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

SEGURITAS S.A.
Gerencia de Riesgos

NV No. DECLARACION

10

La organizacin no requiere la identificacin de requerimientos


funcionales y operativos para el desarrollo, implementacin o
modificacin de soluciones, como por ejemplo soluciones de
sistema, de servicio, de infraestructura, de software y de datos.
La organizacin no mantiene una conciencia sobre las
soluciones tecnolgicas disponibles que son potencialmente
relevantes para su negocio.
Hay conciencia de la necesidad de definir requerimientos y de
identificar soluciones tecnolgicas.
Los grupos individuales tienden a reunirse para discutir
necesidades de manera informal y los requerimientos por lo
general no estn documentados.
Las soluciones son identificadas por persona basadas en una
conciencia limitada del mercado, o en respuesta a ofertas de
proveedores. Hay poco o ningn anlisis estructurado o
investigacin acerca de la tecnologa disponible.
Hay algunos enfoques intuitivos para identificar las soluciones
de TI y los mismos varan en todo el negocio.
Las soluciones son identificadas de manera informal sobre la
base de la experiencia interna y de los conocimientos de la
funcin de TI. El xito de cada proyecto depende de la
experiencia de unas pocas personas claves de TI.
La calidad de la documentacin y de la toma de decisiones
vara considerablemente.

Valor
de
cumplimiento

0.00

0.00
X

1.00

0.00

0.33

0.33

0.00

0.00

Se emplean enfoques sin estructura para definir los


requerimientos e identificar las soluciones de tecnologa.
X
Se usan mtodos claros y estructurados para determinar las
soluciones de TI.

31

Completamente

Fecha:

Ampliamente

Funcin: Jefatura de Servicios Tecnolgicos

Parcialmente

Qu tanto se ha
alcanzado?

No alcanzado

PROCESO: BAI01 Gestionar los Programas y Proyectos

MM04-02 1/2
TEAM_AD
LIDER T.

0.00
X

1.00

Definicin de Proyecto

11

El mtodo para la determinacin de soluciones de TI requiere


la consideracin de alternativas evaluadas contra los
requerimientos del usuario o del negocio, las oportunidades
tecnolgicas, la factibilidad econmica, los anlisis de riesgos
y otros factores.

32

1.00

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos

MM04-02 2/2
TEAM_AD

REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

LIDER T.

33

Ampliamente

Parcialmente

NV No. DECLARACIN
El proceso para la determinacin de soluciones de TI se
aplica a algunos proyectos basndose en factores como las
decisiones hechas por el personal involucrado, la cantidad
de tiempo de administracin dedicado y el tamao y la
3
12 prioridad del requerimiento original del negocio.
Se emplea mtodos estructurados para definir los
3
13 requerimientos e identificar las soluciones de TI.
Existe una metodologa establecida para la identificacin y
evaluacin de soluciones de TI y la misma se emplea para
4
14 la mayora de proyectos.
La documentacin de proyectos es de buena calidad y cada
4
15 etapa es debidamente aprobada.
Los requerimientos son bien articulados y estn en
4
16 conformidad con estructuras predefinidas.
Se consideran soluciones alternativas, incluyendo un
4
17 anlisis de costos y ganancias.
La metodologa es clara, definida, generalmente
4
18 comprendida y medible.
Hay una interfaz claramente definida entre la gerencia de TI
y de negocios respecto a la identificacin y evaluacin de
4
19 soluciones de TI.
La metodologa para la identificacin y evaluacin de
5
20 soluciones de Ti se mejora continuamente.
La metodologa de adquisicin e implementacin es lo
suficientemente flexible para acomodar proyectos de
5
21 pequea y gran escala.
La metodologa es apoyada por bases de datos de
conocimientos internas y externas que contienen materiales
5
22 de referencia sobre soluciones tecnolgicas.
X
La metodologa misma produce documentacin con una
estructura predefinida que hace muy eficientes la
5
23 produccin y el mantenimiento.
La organizacin puede a menudo identificar nuevas
oportunidades para utilizar la tecnologa para ganar ventaja
competitiva, influir en el proceso de reingeniera del negocio
5
24 y mejorar la eficiencia general.
La gerencia detecta y acta en consecuencia si las
soluciones de TI son aprobadas sin considerar tecnologas
5
25 alternativas o requerimientos funcionales de negocio.

Completamente

Fecha:

No alcanzado

Funcin: Jefatura de Servicios Tecnolgicos

Papel de Trabajo
HECHO POR:

Valor
de
cumplimiento

1.00

1.00

0.66

0.66

0.66

0.66
X

1.00

0.66

0.66

0.66

0.00

0.33

1.00

0.33

Definicin de Proyecto

TOTAL DEL NIVEL

34

12.94

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos

Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

NV No. DECLARACION

10

La organizacin no requiere la identificacin de requerimientos


funcionales y operativos para el desarrollo, implementacin o
modificacin de soluciones, como por ejemplo soluciones de
sistema, de servicio, de infraestructura, de software y de datos.
La organizacin no mantiene una conciencia sobre las
soluciones tecnolgicas disponibles que son potencialmente
relevantes para su negocio.
Hay conciencia de la necesidad de definir requerimientos y de
identificar soluciones tecnolgicas.
Los grupos individuales tienden a reunirse para discutir
necesidades de manera informal y los requerimientos por lo
general no estn documentados.
Las soluciones son identificadas por persona basadas en una
conciencia limitada del mercado, o en respuesta a ofertas de
proveedores. Hay poco o ningn anlisis estructurado o
investigacin acerca de la tecnologa disponible.
Hay algunos enfoques intuitivos para identificar las soluciones
de TI y los mismos varan en todo el negocio.
Las soluciones son identificadas de manera informal sobre la
base de la experiencia interna y de los conocimientos de la
funcin de TI. El xito de cada proyecto depende de la
experiencia de unas pocas personas claves de TI.
La calidad de la documentacin y de la toma de decisiones
vara considerablemente.

Valor
de
cumplimiento

0.00

0.00
X

1.00

0.00

0.00

0.00

0.00

0.00

Se emplean enfoques sin estructura para definir los


requerimientos e identificar las soluciones de tecnologa.
X
Se usan mtodos claros y estructurados para determinar las
soluciones de TI.

35

Completamente

Fecha:

Ampliamente

Funcin: Jefatura de Plataforma Tecnolgica

Parcialmente

Qu tanto se ha
alcanzado?

No alcanzado

PROCESO: BAI01 Gestionar los Programas y Proyectos

MM04-03 1/2
TEAM_AD
LIDER T.

0.00
X

1.00

Definicin de Proyecto

11

El mtodo para la determinacin de soluciones de TI requiere


la consideracin de alternativas evaluadas contra los
requerimientos del usuario o del negocio, las oportunidades
tecnolgicas, la factibilidad econmica, los anlisis de riesgos
y otros factores.

36

1.00

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos

15

16

17

18

19

20

21

22

23

24

25

La documentacin de proyectos es de buena calidad y cada


etapa es debidamente aprobada.
Los requerimientos son bien articulados y estn en
conformidad con estructuras predefinidas.
Se consideran soluciones alternativas, incluyendo un anlisis
de costos y ganancias.
La metodologa es clara, definida, generalmente
comprendida y medible.
Hay una interfaz claramente definida entre la gerencia de TI
y de negocios respecto a la identificacin y evaluacin de
soluciones de TI.
La metodologa para la identificacin y evaluacin de
soluciones de Ti se mejora continuamente.
La metodologa de adquisicin e implementacin es lo
suficientemente flexible para acomodar proyectos de
pequea y gran escala.
La metodologa es apoyada por bases de datos de
conocimientos internas y externas que contienen materiales
de referencia sobre soluciones tecnolgicas.
X
La metodologa misma produce documentacin con una
estructura predefinida que hace muy eficientes la produccin
y el mantenimiento.
X
La organizacin puede a menudo identificar nuevas
oportunidades para utilizar la tecnologa para ganar ventaja
competitiva, influir en el proceso de reingeniera del negocio
y mejorar la eficiencia general.
La gerencia detecta y acta en consecuencia si las
soluciones de TI son aprobadas sin considerar tecnologas
alternativas o requerimientos funcionales de negocio.
X
TOTAL
NIVEL

37

Completamente

Ampliamente

Parcialmente

NV No. DECLARACION
El proceso para la determinacin de soluciones de TI se
aplica a algunos proyectos basndose en factores como las
decisiones hechas por el personal involucrado, la cantidad de
tiempo de administracin dedicado y el tamao y la prioridad
3
12 del requerimiento original del negocio.
Se emplea mtodos estructurados para definir los
3
13 requerimientos e identificar las soluciones de TI.
Existe una metodologa establecida para la identificacin y
evaluacin de soluciones de TI y la misma se emplea para la
4
14 mayora de proyectos.

No alcanzado

Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

MM04-03 2/2
TEAM_AD
LIDER T.

Valor
de
cumplimiento

1.00

1.00

1.00

0.66

0.66

0.66
X

1.00

0.66

0.66

0.66

0.00

0.33

1.00

0.33
DEL
12.62

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos

Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

MM05 1/2
TEAM_AD
LIDER T.

Evaluacin del proceso de Gestionar la Definicin de Requisitos (BAI02)


Cuadro para tabulacin de resultados de los cuestionarios aplicado s a las
funciones indicadas, agrupadas segn el nivel de capacidad y el peso de la
respuesta obtenida sobre cada declaracin. Las columnas (D), (E) Y (F) se calculan
segn formula indicada.
(F) = Nivel de Madurez del Proceso.

PROCESO: BAI02 Gestionar la Definicin de Requisitos


COMPUTO DE LOS VALORES DE CUMPLIMIENTO DEL NIVEL DE CAPACIDAD
FUINCION: Direccin de Tecnologa
(A)

(B)

( C)

(D)

(E )

NIVEL
DE SUMA
DE NUMERO
DE VALOR
DE
CAPACIDAD VALORES
DE DECLARACIONES CUMPLIMIENTO
CUMPLIMIENTO
(B/C)

(F)
NIVEL
CAPACIDAD
(A * E)

DE

NORMALIZACION DEL
VECTOR
DE
CUMPLIMIENTO
(D/ D)

0.00

0.000

0.000

0.000

1.66

0.415

0.117

0.117

1.33

0.333

0.094

0.187

4.00

0.800

0.226

0.677

3.00

1.000

0.282

1.128

5.00

1.000

0.282

1.409

TOTAL

14.99

23.00

3.55

1.000

3.518
70.36%

PRUEBA

NIVEL ACTUAL
FUNCION: Jefatura de Servicios Tecnolgicos
0

0.00

0.000

0.000

0.000

0.99

0.248

0.075

0.075

1.00

0.250

0.076

0.152

4.00

0.800

0.243

0.728

38

Definicin de Proyecto

3.00

1.000

0.303

1.213

5.00

1.000

0.303

1.516

TOTAL

13.99

23.00

3.30

1.000

3.684
73.68%

PRUEBA

39

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos

Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

MM05 2/2
TEAM_AD
LIDER T.

NIVEL ACTUAL
FUNCION: Jefatura de Plataforma Tecnolgica
0

0.00

0.000

0.000

0.000

0.99

0.248

0.079

0.079

1.00

0.250

0.080

0.160

4.00

0.800

0.257

0.770

2.66

0.887

0.285

1.138

4.66

0.932

0.299

1.495

TOTAL

13.31

23.00

3.12

1.000

3.644

PRUEBA

13.31

23.00

72.87%
NIVEL ACTUAL

FUNCION: Consolidacin de resultados


0

0.00

0.000

0.000

0.000

3.64

0.910

0.091

0.091

3.33

0.833

0.084

0.167

12.00

2.400

0.241

0.723

8.66

2.887

0.290

1.159

14.66

2.932

0.294

1.472

TOTAL

42.29

23.00

9.96

1.000

3.612

PRUEBA

42.29

23.00

72.24%
NIVEL ACTUAL

CONCLUSIN:
Se determin que en la direccin de informtica se administran los controles
sobre este proceso de forma Definida, mostrando un nivel 3.612 de capacidad y
un 72.24% de confiabilidad en los objetivos de control informtico.

40

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos

Papel de Trabajo
HECHO POR:

MM05-01 1/2
TEAM_AD

REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

LIDER T.

NV No. DECLARACION
0
1
No existe un diseo y especificacin de aplicaciones.
X
Generalmente las aplicaciones se obtienen con base en
ofertas de proveedores, en el reconocimiento de la marca o en
la familiaridad del personal de TI con productos especficos,
0
2
considerando poco o nada los requerimientos actuales
X
1

10

11

12

13

41

Valor
de
cumplimiento
0.00

0.00

Existe conciencia de la necesidad de contar con un proceso


de adquisicin y mantenimiento de aplicaciones.
Los enfoques para adquisicin y mantenimiento de software
aplicativo varan de un proyecto a otro.
Es probable que se hayan adquirido en forma independiente
una variedad de soluciones individuales para requerimientos
particulares del negocio, teniendo como resultado ineficiencias
en el mantenimiento y soporte.
X
Se tiene poca consideracin hacia la seguridad y
disponibilidad de la aplicacin en el diseo y adquisicin de
software aplicativo.
X
Hay procesos diferentes pero similares para adquirir y
mantener aplicaciones basados en la experiencia dentro de la
funcin y soporte TI.
X
La tasa de xito de las aplicaciones depende en gran medida
de las habilidades internas y de los niveles de experiencia de
la TI.
El mantenimiento es usualmente problemtico y sufre cuando
se perdieron conocimientos internos de la organizacin.
Al disear o adquirir el software de aplicacin se presta poca
o ninguna consideracin a la seguridad y disponibilidad de la
aplicacin.
X
Hay un proceso claro, definido y generalmente comprendido
para la adquisicin e implementacin de software de
aplicacin.
Este proceso est en concordancia con la estrategia de TI y la
del negocio.
Se intentan aplicar coherentemente los procesos
documentados en todos los proyectos y aplicaciones
diferentes.

Completamente

Fecha:

Ampliamente

Funcin: Gerencia del Departamento

Parcialmente

Qu tanto se ha
alcanzado?

No alcanzado

PROCESO: BAI02 Gestionar la Definicin de Requisitos

X
X

1.00
0.66

0.00

0.00

0.00

X
X

1.00
0.33

0.00

1.00

1.00

1.00

Definicin de Proyecto

14

15

Las metodologas son generalmente inflexibles y difciles de


aplicar a todos los casos, de modo que los pasos son
frecuentemente omitidos.
X
Las actividades de mantenimiento son planificadas,
programadas y coordinadas.

42

0.00
X

1.00

Definicin de Proyecto

REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

LIDER T.

16

17

18

19

20

21

22

23

Hay una metodologa formal, clara y bien atendida que


incluye un proceso de diseo y especificacin, criterios para
la adquisicin de software de aplicacin, un proceso para
realizar pruebas y requerimientos para la documentacin.
Existen mecanismos de aprobacin documentados y
acordados para asegurar que se sigan todos los pasos y que
se autoricen las excepciones.
Las prcticas y procedimientos evolucionaron y se adecuan
a la organizacin, son usados por todo el personal, y se
aplican a la mayora de los requerimientos de aplicacin.
Las prcticas de adquisicin y mantenimiento de software de
aplicacin estn alineadas con los procesos definidos.
El mtodo est basado en componentes, con aplicaciones
predefinidas y estandarizadas adaptadas a las necesidades
del negocio. Este mtodo se aplica a nivel de toda la
organizacin.
La metodologa de adquisicin
y mantenimiento es
avanzada, posibilita una rpida implementacin y permite
una alta capacidad de respuesta y flexibilidad.
La metodologa de adquisicin e implementacin de software
de aplicacin est sujeta a una mejora continua y es
respaldada por bases de datos de conocimientos internas y
externas que contienen materiales de referencia y buenas
prcticas.
La metodologa genera documentacin con una estructura
predefinida que hace muy eficientes la produccin y el
mantenimiento.

43

Ampliamente

NV No. DECLARACION

Completamente

MM05-01 2/2
TEAM_AD

Parcialmente

Papel de Trabajo
HECHO POR:

No alcanzado

SEGURITAS S.A.
Gerencia de Riesgos

Valor
de
cumplimiento

1.00

1.00

1.00

1.00

1.00

1.00

1.00

X
1.00
TOTAL DEL NIVEL 14.99

Definicin de Proyecto

Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

SEGURITAS S.A.
Gerencia de Riesgos

MM05-02 1/2
TEAM_AD
LIDER T.

NV No. DECLARACION
0

Completamente

Fecha:

Ampliamente

Funcin: Jefatura de Servicios Tecnolgicos

Parcialmente

Qu tanto se ha
alcanzado?

No alcanzado

PROCESO: BAI02 Gestionar la Definicin de Requisitos

Valor
de
cumplimiento

No existe un diseo y especificacin de aplicaciones.

0.00

Generalmente las aplicaciones se obtienen con base en


ofertas de proveedores, en el reconocimiento de la marca o en
la familiaridad del personal de TI con productos especficos,
considerando poco o nada los requerimientos actuales
X

0.00

Existe conciencia de la necesidad de contar con un proceso


de adquisicin y mantenimiento de aplicaciones.

Los enfoques para adquisicin y mantenimiento de software


aplicativo varan de un proyecto a otro.

10

11

Es probable que se hayan adquirido en forma independiente


una variedad de soluciones individuales para requerimientos
particulares del negocio, teniendo como resultado ineficiencias
en el mantenimiento y soporte.
X
Se tiene poca consideracin hacia la seguridad y
disponibilidad de la aplicacin en el diseo y adquisicin de
software aplicativo.
X
Hay procesos diferentes pero similares para adquirir y
mantener aplicaciones basados en la experiencia dentro de la
funcin y soporte TI.
X
La tasa de xito de las aplicaciones depende en gran medida
de las habilidades internas y de los niveles de experiencia de
la TI.
El mantenimiento es usualmente problemtico y sufre cuando
se perdieron conocimientos internos de la organizacin.
X
Al disear o adquirir el software de aplicacin se presta poca
o ninguna consideracin a la seguridad y disponibilidad de la
aplicacin.
X
Hay un proceso claro, definido y generalmente comprendido
para la adquisicin e implementacin de software de
aplicacin.

44

0.66

0.33

0.00

0.00

0.00

1.00
0.00

0.00

1.00

Definicin de Proyecto

12

13

Este proceso est en concordancia con la estrategia de TI y la


del negocio.
Se intentan aplicar coherentemente los procesos
documentados en todos los proyectos y aplicaciones
diferentes.

45

1.00

1.00

Definicin de Proyecto

REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

LIDER T.

14

15

Las metodologas son generalmente inflexibles y difciles de


aplicar a todos los casos, de modo que los pasos son
frecuentemente omitidos.
X
Las actividades de mantenimiento son planificadas,
programadas y coordinadas.

Ampliamente

NV No. DECLARACION

Completamente

MM05-02 2/2
TEAM_AD

Parcialmente

Papel de Trabajo
HECHO POR:

No alcanzado

SEGURITAS S.A.
Gerencia de Riesgos

Valor
de
cumplimiento

0.00
X

1.00

1.00

1.00

16

17

Hay una metodologa formal, clara y bien atendida que


incluye un proceso de diseo y especificacin, criterios para
la adquisicin de software de aplicacin, un proceso para
realizar pruebas y requerimientos para la documentacin.
Existen mecanismos de aprobacin documentados y
acordados para asegurar que se sigan todos los pasos y que
se autoricen las excepciones.

18

Las prcticas y procedimientos evolucionaron y se adecuan


a la organizacin, son usados por todo el personal, y se
aplican a la mayora de los requerimientos de aplicacin.

1.00

19

Las prcticas de adquisicin y mantenimiento de software de


aplicacin estn alineadas con los procesos definidos.

1.00

1.00

1.00

1.00

1.00

20

21

22

23

El mtodo est basado en componentes, con aplicaciones


predefinidas y estandarizadas adaptadas a las necesidades
del negocio. Este mtodo se aplica a nivel de toda la
organizacin.
La metodologa de adquisicin
y mantenimiento es
avanzada, posibilita una rpida implementacin y permite
una alta capacidad de respuesta y flexibilidad.
La metodologa de adquisicin e implementacin de software
de aplicacin est sujeta a una mejora continua y es
respaldada por bases de datos de conocimientos internas y
externas que contienen materiales de referencia y buenas
prcticas.
La metodologa genera documentacin con una estructura
predefinida que hace muy eficientes la produccin y el
mantenimiento.

TOTAL DEL NIVEL 13.99

46

Definicin de Proyecto

Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

SEGURITAS S.A.
Gerencia de Riesgos

MM05-03 1/2
TEAM_AD
LIDER T.

NV No. DECLARACION
0

Completamente

Fecha:

Ampliamente

Funcin: Jefatura de Plataforma Tecnolgica

Parcialmente

Qu tanto se ha
alcanzado?

No alcanzado

PROCESO: BAI02 Gestionar la Definicin de Requisitos

Valor
de
cumplimiento

No existe un diseo y especificacin de aplicaciones.

0.00

Generalmente las aplicaciones se obtienen con base en


ofertas de proveedores, en el reconocimiento de la marca o en
la familiaridad del personal de TI con productos especficos,
considerando poco o nada los requerimientos actuales
X

0.00

Existe conciencia de la necesidad de contar con un proceso


de adquisicin y mantenimiento de aplicaciones.

Los enfoques para adquisicin y mantenimiento de software


aplicativo varan de un proyecto a otro.

10

Es probable que se hayan adquirido en forma independiente


una variedad de soluciones individuales para requerimientos
particulares del negocio, teniendo como resultado ineficiencias
en el mantenimiento y soporte.
X
Se tiene poca consideracin hacia la seguridad y
disponibilidad de la aplicacin en el diseo y adquisicin de
software aplicativo.
X
Hay procesos diferentes pero similares para adquirir y
mantener aplicaciones basados en la experiencia dentro de la
funcin y soporte TI.
X
La tasa de xito de las aplicaciones depende en gran medida
de las habilidades internas y de los niveles de experiencia de
la TI.
El mantenimiento es usualmente problemtico y sufre cuando
se perdieron conocimientos internos de la organizacin.
X
Al disear o adquirir el software de aplicacin se presta poca
o ninguna consideracin a la seguridad y disponibilidad de la
aplicacin.
X

47

0.66

0.33

0.00

0.00

0.00

1.00
0.00

0.00

Definicin de Proyecto

11

12

13

Hay un proceso claro, definido y generalmente comprendido


para la adquisicin e implementacin de software de
aplicacin.
Este proceso est en concordancia con la estrategia de TI y la
del negocio.
Se intentan aplicar coherentemente los procesos
documentados en todos los proyectos y aplicaciones
diferentes.

48

1.00

1.00

1.00

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos

18

Las prcticas y procedimientos evolucionaron y se


adecuan a la organizacin, son usados por todo el
personal, y se aplican a la mayora de los requerimientos
de aplicacin.

19

Las prcticas de adquisicin y mantenimiento de software


de aplicacin estn alineadas con los procesos definidos.

20

21

22

23

El mtodo est basado en componentes, con aplicaciones


predefinidas y estandarizadas adaptadas a las
necesidades del negocio. Este mtodo se aplica a nivel de
toda la organizacin.
La metodologa de adquisicin y mantenimiento es
avanzada, posibilita una rpida implementacin y permite
una alta capacidad de respuesta y flexibilidad.
La metodologa de adquisicin e implementacin de
software de aplicacin est sujeta a una mejora continua
y es respaldada por bases de datos de conocimientos
internas y externas
que contienen materiales de
referencia y buenas prcticas.
La metodologa genera documentacin con una estructura
predefinida que hace muy eficientes la produccin y el
mantenimiento.

Valor
de
cumplimiento

0.00
X

1.00

0.66

1.00

1.00

1.00

0.66

1.00

1.00

1.00

TOTAL DEL NIVEL

49

MM05-03 1/2
TEAM_AD
LIDER T.

Completamente

Ampliamente

Parcialmente

NV No. DECLARACION
Las metodologas son generalmente inflexibles y difciles
de aplicar a todos los casos, de modo que los pasos son
3
14 frecuentemente omitidos.
X
Las actividades de mantenimiento son planificadas,
3
15 programadas y coordinadas.
Hay una metodologa formal, clara y bien atendida que
incluye un proceso de diseo y especificacin, criterios
para la adquisicin de software de aplicacin, un proceso
para realizar pruebas y requerimientos para la
4
16 documentacin.
Existen mecanismos de aprobacin documentados y
acordados para asegurar que se sigan todos los pasos y
4
17 que se autoricen las excepciones.

No alcanzado

Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

13.31

Definicin de Proyecto

Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

SEGURITAS S.A.
Gerencia de Riesgos

MM06 1/2
TEAM_AD
LIDER T.

Evaluacin del proceso de Adquirir e Implementar Infraestructura Tecnolgica (BAI03).


Cuadro para tabulacin de resultados de los cuestionarios aplicado s a las
funciones indicadas, agrupadas segn el nivel de capacidad y el peso de la
respuesta obtenida sobre cada declaracin. Las columnas (D), (E) Y (F) se calculan
segn formula indicada.
(F) = Nivel de Madurez del Proceso.

PROCESO: BAI03 Adquirir e Implementar Infraestructura Tecnolgica


COMPUTO DE LOS VALORES DE CUMPLIMIENTO DEL NIVEL DE CAPACIDAD
FUINCION: Direccin de Tecnologa
(A)

(B)

( C)

(D)

(E )

NIVEL
DE SUMA
DE NUMERO
DE VALOR
DE
CAPACIDAD VALORES
DE DECLARACIONES CUMPLIMIENTO
CUMPLIMIENTO
(B/C)

(F)
NIVEL
CAPACIDAD
(A * E)

DE

NORMALIZACION
DEL VECTOR DE
CUMPLIMIENTO
(D/ D)

0.00

0.000

0.000

0.000

0.33

0.110

0.032

0.032

1.99

0.398

0.116

0.231

4.00

1.000

0.291

0.872

4.00

1.000

0.291

1.163

4.66

0.932

0.271

1.355

TOTAL

14.98

22.00

3.44

1.000

3.653
73.06%

PRUEBA

NIVEL ACTUAL
FUNCION: Jefatura de Infraestructura
0

0.00

0.000

0.000

0.000

0.33

0.110

0.031

0.031

2.33

0.466

0.130

0.261

50

Definicin de Proyecto

4.00

1.000

0.280

0.839

4.00

1.000

0.280

1.119

5.00

1.000

0.280

1.398

TOTAL

15.66

22.00

3.58

1.000

3.647
72.94%

PRUEBA

NIVEL ACTUAL

51

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos

Papel de Trabajo
HECHO POR:

MM06 2/2
TEAM_AD

REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

LIDER T.

FUNCION: Consolidacin de resultados


0

0.00

0.000

0.000

0.000

0.66

0.220

0.031

0.031

4.32

0.864

0.123

0.246

8.00

2.000

0.285

0.855

8.00

2.000

0.285

1.140

9.66

1.932

0.275

1.377

TOTAL

30.64

22.00

7.02

1.000

3.650

PRUEBA

30.64

22.00

73.00%
NIVEL ACTUAL

CONCLUSIN:
Se determin que en la direccin de informtica se administran los controles
sobre este proceso de forma Definida, mostrando un nivel 3.65 de capacidad
y un 73% de confiabilidad en los objetivos de control informtico.

52

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos

implementar

LIDER T.

infraestructura Qu tanto se ha
alcanzado?
Fecha:

No alcanzado

Funcin: Direccin de Tecnologia

NV No. DECLARACIN

Completamente

REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

Ampliamente

Adquirir

MM06-01 1/2
TEAM_AD

Parcialmente

PROCESO:BAI03
tecnolgica

Papel de Trabajo
HECHO POR:

La arquitectura de la tecnologa no es considerada un tema


lo suficientemente importante como para ser tratado.
X
Se hacen cambios a la infraestructura para cada nueva
aplicacin sin un plan general.
X

A pesar de que hay conciencia de que la infraestructura de


TI es importante, no hay un mtodo general coherente.
X
Las actividades de mantenimiento reaccionan a las
necesidades a corto plazo. El entorno de produccin es el
entorno de pruebas.

Hay coherencia entre los mtodos tcticos, cuando se


adquiere y se mantiene la infraestructura de TI.

Valor
de
cumplimiento

0.00
0.00
0.00

0.33
X

La adquisicin y el mantenimiento de la infraestructura de TI


no se basa en una estrategia definida y no considera las
necesidades de las aplicaciones del negocio que deben ser
apoyadas.
X
Hay una comprensin de que la infraestructura de TI es
importante, y dicha comprensin es apoyada por algunas
prcticas formales.

0.66

Se programa algn mantenimiento, pero el mismo no es


programado y coordinado completamente.
X
Para algunos entornos existe un entorno de pruebas
separado.

10

Existe un proceso claro, definido y generalmente entendido


para adquirir y mantener la infraestructura de TI.

1.00

11

El proceso apoya las necesidades de las aplicaciones crticas


del negocio y est alineado con la estrategia de TI y del
negocio aunque no se aplique de forma coherente.

1.00

53

0.00

1.00
0.00

0.33

Definicin de Proyecto

12

Las actividades de mantenimiento


programadas y coordinadas.

son

13

Existen entornos separados para pruebas y produccin.

54

planificadas,
X

1.00

1.00

Definicin de Proyecto

18

Ampliamente

El proceso de adquisicin y mantenimiento para la


infraestructura tecnolgica es proactivo y est
estrechamente alineado con aplicaciones crticas del
negocio y con la arquitectura de la tecnologa.

19

20

Se siguen las mejores prcticas respecto a soluciones de


tecnologa y la organizacin est al tanto de los ltimos
desarrollos en plataformas y herramientas de
administracin.
Los costos son reducidos racionalizando y estandarizando
los componentes de la infraestructura y usando la
automatizacin.

21

El alto nivel de conocimientos tcnicos puede identificar las


mejores formas de mejorar proactivamente el desempeo,
incluyendo la consideracin de opciones de tercerizacin.

22

La infraestructura de TI es vista como el posibilitador clave


para aprovechar el uso de la TI.

Valor
de
cumplimiento

1.00

1.00

1.00

1.00

1.00

1.00

1.00

1.00

X
TOTAL
NIVEL

55

MM06-01 2/2
TEAM_AD
LIDER T.

Completamente

Parcialmente

NV No. DECLARACIN
El proceso de adquisicin y mantenimiento para la
infraestructura tecnolgica se ha desarrollado hasta el
punto que funciona bien para la mayora de las situaciones,
es seguido coherentemente y se concentra en la
4
14 reutilizacin.
La infraestructura de TI soporta de manera adecuada las
4
15 aplicaciones de negocio.
El proceso de adquisicin y mantenimiento para la
infraestructura tecnologa est bien organizado y es
4
16 proactivo.
El costo y el tiempo para alcanzar el nivel esperado de
escalabilidad, flexibilidad e integracin estn parcialmente
4
17 optimizado.

No alcanzado

Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

SEGURITAS S.A.
Gerencia de Riesgos

0.66
DEL
14.98

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos

implementar

LIDER T.

infraestructura Qu tanto se ha
alcanzado?
Fecha:

No alcanzado

Funcin: Jefatura de Infraestructura

NV No. DECLARACION

Completamente

REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

Ampliamente

Adquirir

MM06-02 1/2
TEAM_AD

Parcialmente

PROCESO: BAI03
tecnolgica

Papel de Trabajo
HECHO POR:

La arquitectura de la tecnologa no es considerada un tema


lo suficientemente importante como para ser tratado.
X
Se hacen cambios a la infraestructura para cada nueva
aplicacin sin un plan general.
X

A pesar de que hay conciencia de que la infraestructura de


TI es importante, no hay un mtodo general coherente.
X
Las actividades de mantenimiento reaccionan a las
necesidades a corto plazo. El entorno de produccin es el
entorno de pruebas.

Hay coherencia entre los mtodos tcticos, cuando se


adquiere y se mantiene la infraestructura de TI.

0.00
0.00
0.00

Se programa algn mantenimiento, pero el mismo no es


programado y coordinado completamente.
X
Para algunos entornos existe un entorno de pruebas
separado.

10

Existe un proceso claro, definido y generalmente entendido


para adquirir y mantener la infraestructura de TI.

56

0.33
X

La adquisicin y el mantenimiento de la infraestructura de TI


no se basan en una estrategia definida y no considera las
necesidades de las aplicaciones del negocio que deben ser
apoyadas.
X
Hay una comprensin de que la infraestructura de TI es
importante, y dicha comprensin es apoyada por algunas
prcticas formales.

Valor
de
cumplimiento

1.00

0.00

1.00
0.00

0.33
X

1.00

Definicin de Proyecto

11

12

El proceso apoya las necesidades de las aplicaciones crticas


del negocio y est alineado con la estrategia de TI y del
negocio aunque no se aplique de forma coherente.
Las actividades de mantenimiento son planificadas,
programadas y coordinadas.

13

Existen entornos separados para pruebas y produccin.

57

1.00

1.00

1.00

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos

18

El proceso de adquisicin y mantenimiento para la


infraestructura tecnolgica es proactivo y est
estrechamente alineado con aplicaciones crticas del
negocio y con la arquitectura de la tecnologa.

19

20

Se siguen las mejores prcticas respecto a soluciones de


tecnologa y la organizacin est al tanto de los ltimos
desarrollos en plataformas y herramientas de
administracin.
Los costos son reducidos racionalizando y estandarizando
los componentes de la infraestructura y usando la
automatizacin.

21

El alto nivel de conocimientos tcnicos puede identificar las


mejores formas de mejorar proactivamente el desempeo,
incluyendo la consideracin de opciones de tercerizacin.

22

La infraestructura de TI es vista como el posibilitador clave


para aprovechar el uso de la TI.
TOTAL
NIVEL

58

MM06-02 2/2
TEAM_AD
LIDER T.

Completamente

Ampliamente

Parcialmente

NV No. DECLARACIN
El proceso de adquisicin y mantenimiento para la
infraestructura tecnolgica se ha desarrollado hasta el
punto que funciona bien para la mayora de las situaciones,
es seguido coherentemente y se concentra en la
4
14 reutilizacin.
La infraestructura de TI soporta de manera adecuada las
4
15 aplicaciones de negocio.
El proceso de adquisicin y mantenimiento para la
infraestructura tecnologa est bien organizado y es
4
16 proactivo.
El costo y el tiempo para alcanzar el nivel esperado de
escalabilidad, flexibilidad e integracin estn parcialmente
4
17 optimizado.

No alcanzado

Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

Valor
de
cumplimiento

1.00

1.00

1.00

1.00

1.00

1.00

1.00

1.00

X
1.00
DEL
15.66

Definicin de Proyecto

Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

SEGURITAS S.A.
Gerencia de Riesgos

MM07 1/2
TEAM_AD
LIDER T.

Evaluacin del proceso Facilitar la ejecucin y el uso (BAI04).


Cuadro para tabulacin de resultados de los cuestionarios aplicado s a las
funciones indicadas, agrupadas segn el nivel de capacidad y el peso de la
respuesta obtenida sobre cada declaracin. Las columnas (D), (E) Y (F) se calculan
segn formula indicada.
(F) = Nivel de Madurez del Proceso.
PROCESO: BAI04 Facilitar la ejecucin y el uso
COMPUTO DE LOS VALORES DE CUMPLIMIENTO DEL NIVEL DE CAPACIDAD
FUINCION: Direccin de Tecnologa
(A)

(B)

( C)

(D)

(E )

NIVEL
DE SUMA
DE NUMERO
DE VALOR
DE
CAPACIDAD VALORES
DE DECLARACIONES CUMPLIMIENTO
CUMPLIMIENTO
(B/C)

(F)
NIVEL
CAPACIDAD
(A * E)

DE

NORMALIZACION
DEL VECTOR DE
CUMPLIMIENTO
(D/ D)

0.99

0.495

0.178

0.000

1.65

0.275

0.099

0.099

1.33

0.266

0.096

0.192

6.28

0.698

0.252

0.755

6.28

10

0.628

0.226

0.905

1.65

0.413

0.149

0.743

TOTAL

18.18

36.00

2.77

1.000

2.694
53.89%

PRUEBA

NIVEL ACTUAL
FUNCION: Consolidacin de resultados
0

0.99

0.495

0.178

0.000

1.65

0.275

0.099

0.099

1.33

0.266

0.096

0.192

6.28

0.698

0.252

0.755

6.28

10

0.628

0.226

0.905

1.65

0.413

0.149

0.743

59

Definicin de Proyecto

TOTAL

18.18

36.00

PRUEBA

18.18

36.00

2.77

1.000

2.694
53.89%
NIVEL ACTUAL

SEGURITAS S.A.
Gerencia de Riesgos

CONCLUSIN:

Papel de Trabajo

MM07 2/2

HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

TEAM_AD
LIDER T.

Se determin que en la direccin de informtica se administran los controles


sobre este proceso de forma Repetible pero Intuitivo, mostrando un nivel 2.694 de
capacidad y un 53.89% de confiabilidad en los objetivos de control informtico.

60

Definicin de Proyecto

Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

SEGURITAS S.A.
Gerencia de Riesgos

MM07-01 1/3
TEAM_AD
LIDER T.

Funcin: Direccin de Tecnologa

Fecha:

10

11

12

13

14

No hay ningn proceso establecido respecto a la produccin


de documentacin de usuario, manuales de operaciones y
material de capacitacin.
Los nicos materiales que existen son los suministrados con
los
productos
comprados.
La organizacin est consciente de que se necesita un
proceso que resuelva la documentacin.
La documentacin se produce ocasionalmente y est
distribuida desigualmente entre grupos limitados.
Gran parte de la documentacin y de los procedimientos son
obsoletos.
Los materiales de capacitacin tienden a ser esquemas que
se
usan
una
sola
vez
con calidad variable.
Prcticamente no hay integracin de los procedimientos en
todos los diferentes sistemas y unidades de negocio.
No hay colaboracin por parte de las unidades de negocio
en el diseo de programas de capacitacin
Se usan enfoques similares para producir procedimientos y
documentacin, pero los mismos no estn basados en un
enfoque o marco estructurado.
No hay un enfoque uniforme para el desarrollo de
procedimientos operativos y de usuario.
El material de capacitacin es producido individualmente o
por grupos de proyectos y su calidad depende de las
personas involucradas.
Los procedimientos y la calidad del soporte de usuario
varan de pobre a muy bueno, con muy poca coherencia e
integracin en toda la organizacin.
Se proveen o facilitan los programas de capacitacin para el
negocio y los usuarios, pero no hay un plan general para la
entrega e implementacin de capacitacin.
Hay un marco claramente definido, aceptado y entendido
para la documentacin del usuario, los manuales de
operaciones y los materiales de capacitacin.

61

Ampliamente

Parcialmente

NV No. DECLARACION

Completamente

Qu tanto se ha
alcanzado?

No alcanzado

PROCESO: BAI04 Gestionar la Disponibilidad y la Capacidad

Valor
de
cumplimiento

0.33

0.66

0.66

0.33

0.33

0.33

0.00

0.00

0.00

0.00

0.33

0.00

1.00

1.00

Definicin de Proyecto

15

16

Los procedimientos son almacenados y mantenidos en una


biblioteca formal y pueden ser accedidos por cualquiera que
necesite saber.
Se hacen correcciones a la documentacin y los
procedimientos de manera reactiva.

62

0.66

0.66

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos

17

18

19

20

21

22

23

24

25

26

27

28

29

30

Se cuenta con procedimientos fuera de lnea y stos


pueden ser accedidos y mantenidos en caso de desastre.
Existe un proceso que especifica que las actualizaciones
de procedimientos y materiales de capacitacin son un
producto explcito de un proyecto de cambio.
A pesar de la existencia de enfoques definidos, el contenido
real vara porque no hay control para hacer cumplir las
normas.
Los usuarios estn formalmente involucrados en este
proceso.
Se usan cada vez ms herramientas automatizadas para la
generacin y distribucin de procedimientos.
La capacitacin de usuarios y de negocio es planificada y
programada.
Hay un marco de trabajo definido para mantener los
procedimientos y los materiales de capacitacin que cuenta
con el apoyo de la gerencia de TI.
El enfoque adoptado para mantener los procedimientos y
los manuales de capacitacin cubre todos los sistemas y
unidades de negocio, a fin de que los procesos puedan ser
vistos desde una perspectiva de negocios.
Los procedimientos y los materiales de capacitacin estn
integrados para incluir interdependencias e interfaces.
Existen controles para asegurar que las normas se
cumplen y que los procedimientos se desarrollen y se
mantengan para todos los procesos.
La realimentacin del negocio y de los usuarios acerca de
la documentacin y la capacitacin se recopila y evala
como parte de un proceso de mejora continua.
La documentacin y los materiales de capacitacin estn
por lo general a un buen nivel predecible de confiabilidad y
disponibilidad.
Est emergiendo un proceso para documentar y
administrar procedimientos de forma automtica.
El desarrollo de procedimientos automatizados est cada
vez ms integrado con el desarrollo de sistemas de
aplicacin, facilitando la coherencia y el acceso de los
usuarios.

63

Completamente

Ampliamente

NV No. DECLARACION

Parcialmente

No alcanzado

Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

MM07-01 2/3
TEAM_AD
LIDER T.

Valor
de
cumplimiento

0.66

0.66

0.66

0.66

0.66

0.66

0.66

0.66

0.66

0.66

0.66

0.66

0.33

0.33

Definicin de Proyecto

31

32

La capacitacin de negocios y de usuarios tiene una gran


capacidad de respuesta respecto a las necesidades del
negocio.
La gerencia de TI est desarrollando mtricas para el
desarrollo y la entrega de documentacin, materiales de
capacitacin y programas de capacitacin.

64

1.00

0.66

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos

65

Completamente

Ampliamente

Parcialmente

NV No. DECLARACION
El proceso para la documentacin operativa y de usuarios
es mejorado continuamente a travs de la adopcin de
5
33 nuevas herramientas o mtodos.
Los materiales de procedimiento y capacitacin son
tratados como una base de conocimientos que evoluciona
constantemente y es mantenida electrnicamente usando
una administracin de conocimientos actualizada y
tecnologas de flujo de trabajo y distribucin, lo cual la hace
5
34 accesible y fcil de mantener.
El material est actualizado para reflejar cambios
5
35 organizacionales, operativos y de software.
El desarrollo de documentacin y materiales de
capacitacin, as como la entrega de los programas de
capacitacin, estn totalmente integrados con el negocio y
con las definiciones de procesos de negocios, apoyando
as a los requerimientos a nivel de toda la organizacin en
5
36 lugar de solo a los procedimientos orientados a TI.

No alcanzado

Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

MM07-01 3/3
TEAM_AD
LIDER T.

Valor
de
cumplimiento

0.66

0.33

0.33

X
TOTAL
NIVEL

0.33
DEL
18.18

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos

Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

MM08 1/2
TEAM_AD
LIDER T.

Evaluacin del proceso Gestionar la Introduccin de Cambios Organizativos (BAI05)


Cuadro para tabulacin de resultados de los cuestionarios aplicado s a las
funciones indicadas, agrupadas segn el nivel de capacidad y el peso de la
respuesta obtenida sobre cada declaracin. Las columnas (D), (E) Y (F) se calculan
segn formula indicada.
(F) = Nivel de Madurez del Proceso.
PROCESO: BAI05 Gestionar la Introduccin de Cambios Organizativos
COMPUTO DE LOS VALORES DE CUMPLIMIENTO DEL NIVEL DE CAPACIDAD
FUINCION: Direccin de Tecnologa
(A)

(B)

( C)

(D)

(E )

NIVEL
DE SUMA
DE NUMERO
DE VALOR
DE
CAPACIDAD VALORES
DE DECLARACIONES CUMPLIMIENTO
CUMPLIMIENTO
(B/C)

(F)
NIVEL
CAPACIDAD
(A * E)

DE

NORMALIZACION
DEL VECTOR DE
CUMPLIMIENTO
(D/ D)

0.00

0.000

0.000

0.000

0.00

0.000

0.000

0.000

3.32

0.553

0.156

0.311

6.00

1.000

0.281

0.844

7.00

1.000

0.281

1.126

6.00

1.000

0.281

1.407

TOTAL

22.32

31.00

3.55

1.000

3.689
73.77%

PRUEBA

NIVEL ACTUAL
FUINCION: Jefatura de Infraestructura
(A)

(B)

( C)

(D)

(E )

(F)

NIVEL
DE SUMA
DE NUMERO
DE VALOR
DE NORMALIZACION
NIVEL
DE
CAPACIDAD VALORES
DE DECLARACIONES CUMPLIMIENTO DEL VECTOR DE CAPACIDAD (A *
CUMPLIMIENTO
(B/C)
CUMPLIMIENTO
E)
(D/ D)

66

Definicin de Proyecto

0.00

0.000

0.000

0.000

1.32

0.330

0.093

0.093

3.98

0.663

0.187

0.373

6.00

1.000

0.281

0.844

67

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

MM08 2/2
TEAM_AD
LIDER T.

PROCESO: BAI05 Gestionar la Introduccin de Cambios Organizativos


COMPUTO DE LOS VALORES DE CUMPLIMIENTO DEL NIVEL DE CAPACIDAD
FUINCION: Direccin de Tecnologa
(A)

(B)

( C)

(D)

(E )

(F)

NIVEL
DE SUMA
DE NUMERO
DE VALOR
DE NORMALIZACION
NIVEL
DE
CAPACIDAD VALORES
DE DECLARACIONES
CUMPLIMIENTO DEL VECTOR DE CAPACIDAD
CUMPLIMIENTO
(B/C)
CUMPLIMIENTO
(A * E)
(D/ D)

7.00

1.000

0.281

1.126

6.00

1.000

0.281

1.407

TOTAL

24.30

31.00

3.99

1.124

3.843
76.87%
NIVEL
ACTUAL

PRUEBA

FUNCION: Consolidacin de resultados


0

0.00

0.000

0.000

0.000

1.32

0.330

0.044

0.044

7.30

1.217

0.161

0.322

12.00

2.000

0.265

0.795

14.00

2.000

0.265

1.060

12.00

2.000

0.265

1.325

TOTAL

46.62

31.00

7.55

1.000

3.546

PRUEBA

46.62

31.00

70.93%
NIVEL
ACTUAL

CONCLUSIN:
Se determin que en la direccin de informtica se administran los controles
sobre este proceso de forma Definida, mostrando un nivel 3.546 de capacidad y
un 70.93% de confiabilidad en los objetivos de control informtico.
68

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos

Introduccin

de

Cambios Qu tanto se ha
alcanzado?
Fecha:

No alcanzado

Funcin: Direccin de Tecnologia

NV No. DECLARACION

LIDER T.

Completamente

la

REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

Ampliamente

Gestionar

MM08-01 1/3
TEAM_AD

Parcialmente

PROCESO: BAI05
Organizativos

Papel de Trabajo
HECHO POR:

Valor
de
cumplimiento

No est definido un proceso de abastecimiento de TI.

0.00

La organizacin no reconoce la necesidad de contar con


polticas y procedimientos de abastecimiento claros para
asegurar que todos los recursos de TI estn disponibles de
forma oportuna y costo-eficiente.
X

0.00

La organizacin reconoce la necesidad de contar con polticas


y procedimientos documentados que vinculen la adquisicin
de TI con el proceso general de abastecimiento de negocio de
la organizacin.
X

0.00

Se desarrollan y administran contratos para la adquisicin de


los recursos de TI por parte de los administradores de
proyecto y otras personas que emplean su juicio profesional
en lugar de polticas y procedimientos formales.
X

0.00

Existe una relacin ad hoc entre la TI y los procesos de


adquisicin corporativa y de administracin de contratos.
X

0.00

Los contratos de adquisicin se administran al finalizar los


proyectos en lugar de hacerlo de forma continua.
X
Hay conciencia en la organizacin acerca de la necesidad de
contar con polticas y procedimientos para la adquisicin de
TI.
Las polticas y los procedimientos estn parcialmente
integrados con el proceso de abastecimiento general de
negocios de la organizacin.

Los procesos de abastecimiento se emplean mayormente


para proyectos de gran porte y visibilidad.
X

69

0.00

1.00

0.66
0.00

Definicin de Proyecto

10

Las responsabilidades y la rendicin de cuentas por el


abastecimiento de TI y la administracin de contratos se
determinan por la experiencia individual del administrador del
contrato.
X

11

Se reconoce la importancia de la administracin y el


relacionamiento con los proveedores; sin embargo los mismos
se
atienden
basndose
en
iniciativas
individuales.

70

0.00

1.00

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos

12

13

14

15

16

Los procesos de contratos se utilizan mayormente para


proyectos de gran porte y visibilidad.
La gerencia establece polticas y procedimientos para la
adquisicin de TI.
Las polticas y los procedimientos estn guiados por el
proceso de abastecimiento general de negocios de la
organizacin.
La adquisicin de TI est mayormente integrada con los
sistemas de abastecimiento generales del negocio.
Existen estndares de TI para la adquisicin de recursos de
TI.

17

18

Los proveedores de recursos de TI estn integrados en los


mecanismos de administracin de proyectos de la
organizacin desde una perspectiva de administracin de
contratos.
La gerencia de TI comunica la necesidad de una
administracin de adquisiciones y contratos adecuada en
toda la funcin de TI.

19

La adquisicin de TI est completamente integrada con los


sistemas de abastecimiento generales del negocio.

20

21

22

23

24

25

Los estndares de TI para la adquisicin de recursos de TI


se usan para todos los abastecimientos.
Se toman mediciones relativas a los casos de negocio para
la adquisicin de TI en los contratos y en la administracin
del abastecimiento.
Se encuentra disponible una emisin de informes sobre la
actividad de adquisicin de TI que apoya los objetivos de
negocio.
La gerencia generalmente es consciente de las excepciones
a las polticas y procedimientos para la adquisicin de TI.
Comienza a desarrollarse una administracin estratgica de
relacionamiento.
La gerencia de TI exige el uso del proceso de adquisicin y
administracin de contratos para todas las adquisiciones al
revisar las mediciones de desempeo.

71

Completamente

MM08-01 2/3
TEAM_AD
LIDER T.

Ampliamente

NV No. DECLARACION

Parcialmente

No alcanzado

Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

Valor
de
cumplimiento

0.66
X

1.00

1.00

1.00

1.00

1.00

1.00

1.00

1.00

1.00

1.00

1.00

1.00

1.00

Definicin de Proyecto

Papel de Trabajo
HECHO POR:
REVISADO POR:

SEGURITAS S.A.
Gerencia de Riesgos

MM08-01 3/3
TEAM_AD
LIDER T.

26

27

28

29

30

31

La gerencia establece recursos de adquisiciones a procesos


exhaustivos para la adquisicin de TI.
La gerencia exige el cumplimiento de las polticas y
procedimientos para la adquisicin de TI.
Se toman mediciones que son relevantes a los casos de
negocio para las adquisiciones de TI en los contratos y en la
administracin del abastecimiento.
Se establecen buenas relaciones con los proveedores y
socios a lo largo del tiempo y la calidad de dichas relaciones
es
medida
y
monitoreada.
Las
relaciones
se administran estratgicamente.
Los estndares, polticas y procedimientos de TI para la
adquisicin de recursos de TI se administran
estratgicamente y responden a las medidas del proceso.
La gerencia de TI comunica la importancia estratgica de una
administracin de adquisiciones y contratos adecuada en
toda la funcin de TI.
TOTAL
NIVEL

72

Completamente

Ampliamente

NV No. DECLARACION

Parcialmente

No alcanzado

FECHA DE INCIO:
FECHA FIN:

Valor
de
cumplimiento

1.00

1.00

1.00

1.00

1.00

X
1.00
DEL
22.32

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos

Introduccin

de

Cambios Qu tanto se ha
alcanzado?
Fecha:

No alcanzado

Funcin: Jefatura de Infraestructura

NV No. DECLARACION

No est definido un proceso de abastecimiento de TI.


X
La organizacin no reconoce la necesidad de contar con
polticas y procedimientos de abastecimiento claros para
asegurar que todos los recursos de TI estn disponibles de
forma oportuna y costo-eficiente.
X
La organizacin reconoce la necesidad de contar con polticas
y procedimientos documentados que vinculen la adquisicin
de TI con el proceso general de abastecimiento de negocio de
la organizacin.
Se desarrollan y administran contratos para la adquisicin de
los recursos de TI por parte de los administradores de
proyecto y otras personas que emplean su juicio profesional
en lugar de polticas y procedimientos formales.

10

Existe una relacin ad hoc entre la TI y los procesos de


adquisicin corporativa y de administracin de contratos.
Los contratos de adquisicin se administran al finalizar los
proyectos en lugar de hacerlo de forma continua.
Hay conciencia en la organizacin acerca de la necesidad de
contar
con
polticas
y
procedimientos para la adquisicin de TI.
Las polticas y los procedimientos estn parcialmente
integrados
con
el
proceso
de abastecimiento general de negocios de la organizacin.
Los procesos de abastecimiento se emplean mayormente
para
proyectos
de
gran
porte y visibilidad.
Las responsabilidades y la rendicin de cuentas por el
abastecimiento de TI y la administracin de contratos se
determinan por la experiencia individual del administrador del
contrato.

11

Se reconoce la importancia de la administracin y el


relacionamiento
con
los
proveedores; sin embargo los mismos se atienden basndose

MM08-02 1/3
TEAM_AD
LIDER T.

73

Completamente

la

Ampliamente

Gestionar

Parcialmente

PROCESO: BAI05
Organizativos

Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

Valor
de
cumplimiento

0.00

0.00

0.33

0.33

0.33

0.33

1.00

0.66

0.33

0.33

1.00

Definicin de Proyecto

en
individuales.

12

iniciativas

Los procesos de contratos se utilizan mayormente para


proyectos
de
gran
porte
y
visibilidad.

74

0.66

Definicin de Proyecto

LIDER T.

NV No. DECLARACION
La gerencia establece polticas y procedimientos para la
3
13 adquisicin de TI.
Las polticas y los procedimientos estn guiados por el
proceso
de
3
14 abastecimiento general de negocios de la organizacin.
La adquisicin de TI est mayormente integrada con los
sistemas
de
3
15 abastecimiento generales del negocio.
Existen estndares de TI para la adquisicin de recursos de
3
16 TI.
Los proveedores de recursos de TI estn integrados en los
mecanismos
de
administracin de proyectos de la organizacin desde una
perspectiva
de
3
17 administracin de contratos.
La gerencia de TI comunica la necesidad de una
administracin
de
adquisiciones
y
3
18 contratos adecuada en toda la funcin de TI.
La adquisicin de TI est completamente integrada con los
sistemas
de
4
19 abastecimiento generales del negocio.
Los estndares de TI para la adquisicin de recursos de TI
se
usan
para
todos
los
4
20 abastecimientos.
Se toman mediciones relativas a los casos de negocio para
la
adquisicin
de
TI
en
4
21 los contratos y en la administracin del abastecimiento.
Se encuentra disponible una emisin de informes sobre la
actividad
de
4
22 adquisicin de TI que apoya los objetivos de negocio.
La gerencia generalmente es consciente de las excepciones
a
las
polticas
y
4
23 procedimientos para la adquisicin de TI.
Comienza a desarrollarse una administracin estratgica de
4
24 relacionamiento.
La gerencia de TI exige el uso del proceso de adquisicin y
administracin
de
contratos para todas las adquisiciones al revisar las
4
25 mediciones de desempeo.
La gerencia establece recursos de adquisiciones a procesos
exhaustivos
para
la
5
26 adquisicin de TI.

75

Completamente

REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

Ampliamente

MM08-02 2/3
TEAM_AD

Parcialmente

Papel de Trabajo
HECHO POR:

No alcanzado

SEGURITAS S.A.
Gerencia de Riesgos

Valor
de
cumplimiento

1.00

1.00

1.00

1.00

1.00

1.00

1.00

1.00

1.00

1.00

1.00

1.00

1.00

1.00

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos

Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:

MM08-02 3/3
TEAM_AD
LIDER T.

TOTAL
NIVEL

76

Completamente

Ampliamente

Parcialmente

NV No. DECLARACION
La gerencia exige el cumplimiento de las polticas y
procedimientos
para
la
5
27 adquisicin de TI.
Se toman mediciones que son relevantes a los casos de
negocio
para
las
adquisiciones de TI en los contratos y en la administracin
5
28 del abastecimiento.
Se establecen buenas relaciones con los proveedores y
socios
a
lo
largo
del
tiempo y la calidad de dichas relaciones es medida y
monitoreada.
Las
relaciones
5
29 se administran estratgicamente.
Los estndares, polticas y procedimientos de TI para la
adquisicin
de
recursos
de TI se administran estratgicamente y responden a las
5
30 medidas del proceso.
La gerencia de TI comunica la importancia estratgica de una
administracin
de
5
31 adquisiciones y contratos adecuada en toda la funcin de TI.

No alcanzado

FECHA FIN:

Valor
de
cumplimiento

1.00

1.00

1.00

1.00

X
1.00
DEL
24.30

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos

Papel de Trabajo
HECHO POR:

MM09 1/3
TEAM_AD

REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

LIDER T.

Evaluacin del proceso de Administracin de Cambios (BAI06).


Cuadro para tabulacin de resultados de los cuestionarios aplicado s a las
funciones indicadas, agrupadas segn el nivel de capacidad y el peso de la
respuesta obtenida sobre cada declaracin. Las columnas (D), (E) Y (F) se calculan
segn formula indicada.
(F) = Nivel de Madurez del Proceso.
PROCESO: BAI06 Administracin de cambios
COMPUTO DE LOS VALORES DE CUMPLIMIENTO DEL NIVEL DE CAPACIDAD
FUINCION: Direccin de Tecnologa
(A)

(B)

( C)

(D)

(E )

(F)

NIVEL
DE SUMA
DE NUMERO
DE VALOR
DE NORMALIZACION
NIVEL
CAPACIDAD VALORES
DE DECLARACIONES CUMPLIMIENTO
DEL VECTOR DE CAPACIDAD
CUMPLIMIENTO
(B/C)
CUMPLIMIENTO
(A * E)
(D/ D)

0.00

0.000

0.000

0.000

0.00

0.000

0.000

0.000

0.00

0.000

0.000

0.000

3.00

1.000

0.333

1.000

9.00

1.000

0.333

1.333

5.00

1.000

0.333

1.667

TOTAL

17.00

24.00

3.00

1.000

4.000

DE

80.00%

PRUEBA

NIVEL ACTUAL
FUINCION: Jefatura de Plataforma Tecnolgica
0

0.00

0.000

0.000

0.000

0.00

0.000

0.000

0.000

0.00

0.000

0.000

0.000

3.00

1.000

0.333

1.000

9.00

1.000

0.333

1.333

4.66

0.932

0.311

1.553

77

Definicin de Proyecto

3.887
TOTAL

16.66

24.00

2.93

78

0.977

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos

Papel de Trabajo
HECHO POR:

MM09 2/3
TEAM_AD

REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

LIDER T.

77.73%
NIVEL
ACTUAL

PRUEBA

FUINCION: Jefatura de Servicios Tecnolgicos


0

0.33

0.165

0.055

0.000

0.33

0.110

0.037

0.037

0.00

0.000

0.000

0.000

3.00

1.000

0.333

1.000

9.00

1.000

0.333

1.333

5.00

1.000

0.333

1.667

TOTAL

17.66

24.00

3.28

1.092

4.037
80.73%
NIVEL
ACTUAL

PRUEBA

FUINCION: Jefatura de Infraestructura


0

0.00

0.000

0.000

0.000

0.00

0.000

0.000

0.000

0.00

0.000

0.000

0.000

2.32

0.773

0.258

0.773

9.00

1.000

0.333

1.333

4.32

0.864

0.288

1.440

TOTAL

15.64

24.00

2.64

0.879

3.547
70.93%
NIVEL
ACTUAL

PRUEBA

FUNCION: Consolidacin de resultados


0

0.33

0.165

0.014

0.000

0.33

0.110

0.009

0.009

0.00

0.000

0.000

0.000

11.32

3.773

0.319

0.956

36.00

4.000

0.338

1.351

18.98

3.796

0.320

1.602

TOTAL

66.96

24.00

11.84

1.000

3.918

79

Definicin de Proyecto

PRUEBA

66.96

78.37%
NIVEL
ACTUAL

24.00

Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

SEGURITAS S.A.
Gerencia de Riesgos

MM09 3/3
TEAM_AD
LIDER T.

CONCLUSIN:
Se determin que en la direccin de informtica se administran los controles
sobre este proceso de forma Definida, mostrando un nivel 3.918 de capacidad y
un 78.37% de confiabilidad en los objetivos de control informtico.

80

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos

Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

MM09-01 1/2
TEAM_AD
LIDER T.

NV No. DECLARACION

10

No hay un proceso definido de administracin de cambios y se


pueden hacer cambios prcticamente sin control alguno.
No hay conciencia de que los cambios pueden causar
interrupciones tanto para la TI como para las operaciones de
negocios, y ninguna conciencia de los beneficios
de una buena administracin de cambios.
Se reconoce que los cambios deben ser administrados y
controlados. Las prcticas varan y es probable que ocurran
cambios no autorizados.
Hay documentacin insuficiente o inexistente de cambios, y la
documentacin de configuracin est incompleta y no es
confiable.
Es probable que ocurran errores junto con interrupciones en el
entorno de produccin causados por una administracin
deficiente del cambio.
Est establecido un proceso informal de administracin de
cambios y la mayora de los cambios siguen este mtodo; sin
embargo,
el
mismo
no
est
estructurado
y
es rudimentario y propenso a errores.
La precisin de la documentacin de configuracin es desigual
y solo tiene lugar una planificacin y un estudio de impacto
limitados antes de realizar un cambio.
Est establecido un proceso formal de administracin de
cambios, que incluye procedimientos de categorizacin,
priorizacin, procedimientos de emergencia, autorizacin y
administracin de cambios, y su cumplimiento est
emergiendo
Ocurren trabajos paralelos y los procesos son desviados. Es
probable que ocurran errores y los cambios no autorizados
ocurrirn ocasionalmente.
El anlisis de impacto a los cambios de TI sobre las
operaciones de negocio se estn volviendo formales para
apoyar la ejecucin de los planes para nuevas
aplicaciones y tecnologas.

81

Completamente

Fecha:

Ampliamente

Funcin: Direccin de Tecnologa

Parcialmente

Qu tanto se ha
alcanzado?

No alcanzado

PROCESO: BAI06 Gestionar los Cambios

Valor
de
cumplimiento

0.00

0.00

0.00

0.00

0.00

0.00

0.00

1.00

1.00

1.00

Definicin de Proyecto

Todos los cambios estn sujetos a una planificacin y estudio


de impacto exhaustivos para minimizar la probabilidad de
problemas posteriores a la produccin.
Est establecido un proceso de aprobacin para los cambios.

4
4

13
14

4
4

15
16

17

La documentacin de administracin de cambios est al da


y es correcta, y los cambios son seguidos formalmente.
La documentacin de configuracin generalmente es precisa.
La planificacin e implementacin de la administracin de
cambios de TI se est integrando ms con cambios en los
procesos de negocios, para asegurar que se atienden los
problemas de capacitacin, cambios organizativos y
continuidad de negocio.

18

Hay mayor coordinacin entre la administracin de cambios


de TI y el rediseo de proceso de negocios.

19

5
5

20
21

22

23

24

Existe un proceso coherente para monitorear la calidad y el


desempeo del proceso de administracin de cambios.
El proceso de administracin de cambios es revisado y
actualizado regularmente para mantenerse en lnea con las
mejores prcticas.
El proceso de revisin refleja los resultados del monitoreo.
La informacin de configuracin est automatizada y provee
control de versiones.
El seguimiento de cambios es sofisticado e incluye
herramientas para detectar software sin licencia o
autorizacin.
La administracin de cambios de TI est integrada con la
administracin de cambios del negocio para asegurar que la
TI sea un posibilitador para aumentar la productividad y crear
nuevas oportunidades de negocios para la organizacin.

82

LIDER T.

Completamente

REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

Ampliamente

MM09-01 2/2
TEAM_AD

Parcialmente

NV No. DECLARACION
El proceso de administracin de cambios est bien
desarrollado y es seguido de manera coherente para todos
los cambios, y la gerencia tiene certeza de que
4
11 apenas hay excepciones.
El proceso es eficiente y efectivo, pero se basa
considerablemente en procedimientos y controles manuales
4
12 para asegurar que se logre la calidad.

Papel de Trabajo
HECHO POR:

No alcanzado

SEGURITAS S.A.
Gerencia de Riesgos

Valor
de
cumplimiento

1.00

1.00

X
X

1.00
1.00

X
X

1.00
1.00

1.00

1.00

1.00

X
X

1.00
1.00

1.00

1.00

1.00

Definicin de Proyecto

TOTAL
NIVEL

83

DEL
17.00

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos

Papel de Trabajo

MM09-02 1/2

HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

TEAM_AD
LIDER T.

NV No. DECLARACION

10

No hay un proceso definido de administracin de cambios y se


pueden hacer cambios prcticamente sin control alguno.
No hay conciencia de que los cambios pueden causar
interrupciones tanto para la TI como para las operaciones de
negocios, y ninguna conciencia de los beneficios
de una buena administracin de cambios.
Se reconoce que los cambios deben ser administrados y
controlados. Las prcticas varan y es probable que ocurran
cambios no autorizados.
Hay documentacin insuficiente o inexistente de cambios, y la
documentacin de configuracin est incompleta y no es
confiable.
Es probable que ocurran errores junto con interrupciones en el
entorno de produccin causados por una administracin
deficiente del cambio.
Est establecido un proceso informal de administracin de
cambios y la mayora de los cambios siguen este mtodo; sin
embargo,
el
mismo
no
est
estructurado
y
es rudimentario y propenso a errores.
La precisin de la documentacin de configuracin es desigual
y solo tiene lugar una planificacin y un estudio de impacto
limitados antes de realizar un cambio.
Est establecido un proceso formal de administracin de
cambios, que incluye procedimientos de categorizacin,
priorizacin, procedimientos de emergencia, autorizacin y
administracin de cambios, y su cumplimiento est
emergiendo
Ocurren trabajos paralelos y los procesos son desviados. Es
probable que ocurran errores y los cambios no autorizados
ocurrirn ocasionalmente.
El anlisis de impacto a los cambios de TI sobre las
operaciones de negocio se est volviendo formales para
apoyar la ejecucin de los planes para nuevas
aplicaciones y tecnologas.

84

Completamente

Fecha:

Ampliamente

Funcin: Jefatura de Plataforma Tecnolgica

Parcialmente

Qu tanto se ha
alcanzado?

No alcanzado

PROCESO: BAI06 Gestionar los Cambios

Valor
de
cumplimiento

0.00

0.00

0.00

0.00

0.00

0.00

0.00

1.00

1.00

1.00

Definicin de Proyecto

11

El proceso de administracin de cambios est bien


desarrollado y es seguido de manera coherente para todos los
cambios, y la gerencia tiene certeza de que apenas hay
excepciones.

85

1.00

Definicin de Proyecto

13

Todos los cambios estn sujetos a una planificacin y estudio


de impacto exhaustivos para minimizar la probabilidad de
problemas posteriores a la produccin.

14

Est establecido un proceso de aprobacin para los cambios.

15

16

17

La documentacin de administracin de cambios est al da


y es correcta, y los cambios son seguidos formalmente.
La documentacin de configuracin generalmente es
precisa.
La planificacin e implementacin de la administracin de
cambios de TI se est integrando ms con cambios en los
procesos de negocios, para asegurar que se atienden los
problemas de capacitacin, cambios organizativos y
continuidad de negocio.

18

Hay mayor coordinacin entre la administracin de cambios


de TI y el rediseo de proceso de negocios.

19

20

21

22

23

24

Existe un proceso coherente para monitorear la calidad y el


desempeo del proceso de administracin de cambios.
El proceso de administracin de cambios es revisado y
actualizado regularmente para mantenerse en lnea con las
mejores prcticas.
El proceso de revisin refleja los resultados del monitoreo.
La informacin de configuracin est automatizada y provee
control de versiones.
El seguimiento de cambios es sofisticado e incluye
herramientas para detectar software sin licencia o
autorizacin.
La administracin de cambios de TI est integrada con la
administracin de cambios del negocio para asegurar que la
TI sea un posibilitador para aumentar la productividad y crear
nuevas oportunidades de negocios para la organizacin.

TOTAL
NIVEL

86

Completamente

Ampliamente

NV No. DECLARACION
El proceso es eficiente y efectivo, pero se basa
considerablemente en procedimientos y controles manuales
4
12 para asegurar que se logre la calidad.

Parcialmente

SEGURITAS S.A.
Gerencia de Riesgos

No alcanzado

Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

MM09-02 2/2
TEAM_AD
LIDER T.

Valor
de
cumplimiento

1.00

1.00

1.00

1.00

1.00

1.00

1.00

1.00

1.00

1.00

1.00

0.66

X
1.00
DEL
16.66

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos

Papel de Trabajo

MM09-03 1/2

HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

TEAM_AD
LIDER T.

NV No. DECLARACION

10

No hay un proceso definido de administracin de cambios y se


pueden hacer cambios prcticamente sin control alguno.
No hay conciencia de que los cambios pueden causar
interrupciones tanto para la TI como para las operaciones de
negocios, y ninguna conciencia de los beneficios
de una buena administracin de cambios.
Se reconoce que los cambios deben ser administrados y
controlados. Las prcticas varan y es probable que ocurran
cambios no autorizados.
Hay documentacin insuficiente o inexistente de cambios, y la
documentacin de configuracin est incompleta y no es
confiable.
Es probable que ocurran errores junto con interrupciones en el
entorno de produccin causados por una administracin
deficiente del cambio.
Est establecido un proceso informal de administracin de
cambios y la mayora de los cambios siguen este mtodo; sin
embargo, el mismo no est estructurado y es rudimentario y
propenso a errores.
La precisin de la documentacin de configuracin es desigual
y solo tiene lugar una planificacin y un estudio de impacto
limitados antes de realizar un cambio.
Est establecido un proceso formal de administracin de
cambios, que incluye procedimientos de categorizacin,
priorizacin, procedimientos de emergencia, autorizacin y
administracin de cambios, y su cumplimiento est
emergiendo
Ocurren trabajos paralelos y los procesos son desviados. Es
probable que ocurran errores y los cambios no autorizados
ocurrirn ocasionalmente.
El anlisis de impacto a los cambios de TI sobre las
operaciones de negocio se estn volviendo formales para
apoyar la ejecucin de los planes para nuevas
aplicaciones y tecnologas.

87

Completamente

Fecha:

Ampliamente

Funcin: Jefatura de Servicios Tecnolgicos

Parcialmente

Qu tanto se ha
alcanzado?

No alcanzado

PROCESO: BAI06 Gestionar los Cambios

Valor
de
cumplimiento

0.00

0.33

0.33

0.00

0.00

0.00

0.00

1.00

1.00

1.00

Definicin de Proyecto

11

El proceso de administracin de cambios est bien


desarrollado y es seguido de manera coherente para todos los
cambios, y la gerencia tiene certeza de que apenas hay
excepciones.

88

1.00

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos

Todos los cambios estn sujetos a una planificacin y


estudio de impacto exhaustivos para minimizar la
probabilidad de problemas posteriores a la produccin.
Est establecido un proceso de aprobacin para los
cambios.

13

14

15

16

17

La documentacin de administracin de cambios est al da


y es correcta, y los cambios son seguidos formalmente.
La documentacin de configuracin generalmente es
precisa.
La planificacin e implementacin de la administracin de
cambios de TI se est integrando ms con cambios en los
procesos de negocios, para asegurar que se atienden los
problemas de capacitacin, cambios organizativos y
continuidad de negocio.

18

Hay mayor coordinacin entre la administracin de cambios


de TI y el rediseo de proceso de negocios.

4
4

19

5
5

20
21

22

23

24

Existe un proceso coherente para monitorear la calidad y el


desempeo del proceso de administracin de cambios.
El proceso de administracin de cambios es revisado y
actualizado regularmente para mantenerse en lnea con las
mejores prcticas.
El proceso de revisin refleja los resultados del monitoreo.
La informacin de configuracin est automatizada y provee
control de versiones.
El seguimiento de cambios es sofisticado e incluye
herramientas para detectar software sin licencia o
autorizacin.
La administracin de cambios de TI est integrada con la
administracin de cambios del negocio para asegurar que
la TI sea un posibilitador para aumentar la productividad y
crear nuevas oportunidades de negocios para la
organizacin.

89

Completamente

Ampliamente

Parcialmente

NV No. DECLARACION
El proceso es eficiente y efectivo, pero se basa
considerablemente en procedimientos y controles manuales
4
12 para asegurar que se logre la calidad.

No alcanzado

Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

MM09-03 2/2
TEAM_AD
LIDER T.

Valor
de
cumplimiento

1.00

1.00

1.00

1.00

1.00

1.00

1.00

1.00

X
X

1.00
1.00

1.00

1.00

X
TOTAL DEL NIVEL

1.00
17.66

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos

Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

MM09-04 1/2
TEAM_AD
LIDER T.

NV No. DECLARACION

No hay un proceso definido de administracin de cambios y se


pueden hacer cambios prcticamente sin control alguno.
No hay conciencia de que los cambios pueden causar
interrupciones tanto para la TI como para las operaciones de
negocios, y ninguna conciencia de los beneficios
de una buena administracin de cambios.
Se reconoce que los cambios deben ser administrados y
controlados. Las prcticas varan y es probable que ocurran
cambios no autorizados.
Hay documentacin insuficiente o inexistente de cambios, y la
documentacin de configuracin est incompleta y no es
confiable.
Es probable que ocurran errores junto con interrupciones en el
entorno de produccin causados por una administracin
deficiente del cambio.
Est establecido un proceso informal de administracin de
cambios y la mayora de los cambios siguen este mtodo; sin
embargo, el mismo no est estructurado y es rudimentario y
propenso a errores.
La precisin de la documentacin de configuracin es desigual
y solo tiene lugar una planificacin y un estudio de impacto
limitados antes de realizar un cambio.
Est establecido un proceso formal de administracin de
cambios, que incluye procedimientos de categorizacin,
priorizacin, procedimientos de emergencia, autorizacin y
administracin de cambios, y su cumplimiento est
emergiendo
Ocurren trabajos paralelos y los procesos son desviados. Es
probable que ocurran errores y los cambios no autorizados
ocurrirn ocasionalmente.

10

El anlisis de impacto a los cambios de TI sobre las


operaciones de negocio se estn volviendo formales para

90

Completamente

Fecha:

Ampliamente

Funcin: Jefatura de Infraestructura

Parcialmente

Qu tanto se ha
alcanzado?

No alcanzado

PROCESO: BAI06 Gestionar los Cambios

Valor
de
cumplimiento

0.00

0.00

0.00

0.00

0.00

0.00

0.00

0.66

0.66

1.00

Definicin de Proyecto

apoyar la ejecucin de
aplicaciones y tecnologas.

11

los

planes

para

nuevas

El proceso de administracin de cambios est bien


desarrollado y es seguido de manera coherente para todos los
cambios, y la gerencia tiene certeza de que apenas hay
excepciones.

91

1.00

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos

Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:

MM09-04 2/2
TEAM_AD
LIDER T.

Todos los cambios estn sujetos a una planificacin y estudio


de impacto exhaustivos para minimizar la probabilidad de
problemas posteriores a la produccin.
Est establecido un proceso de aprobacin para los cambios.

4
4

13
14

4
4

15
16

17

La documentacin de administracin de cambios est al da


y es correcta, y los cambios son seguidos formalmente.
La documentacin de configuracin generalmente es precisa.
La planificacin e implementacin de la administracin de
cambios de TI se est integrando ms con cambios en los
procesos de negocios, para asegurar que se atienden los
problemas de capacitacin, cambios organizativos y
continuidad de negocio.

18

Hay mayor coordinacin entre la administracin de cambios


de TI y el rediseo de proceso de negocios.

19

5
5

20
21

22

23

24

Existe un proceso coherente para monitorear la calidad y el


desempeo del proceso de administracin de cambios.
El proceso de administracin de cambios es revisado y
actualizado regularmente para mantenerse en lnea con las
mejores prcticas.
El proceso de revisin refleja los resultados del monitoreo.
La informacin de configuracin est automatizada y provee
control de versiones.
El seguimiento de cambios es sofisticado e incluye
herramientas para detectar software sin licencia o
autorizacin.
La administracin de cambios de TI est integrada con la
administracin de cambios del negocio para asegurar que la
TI sea un posibilitador para aumentar la productividad y crear
nuevas oportunidades de negocios para la organizacin.

92

Completamente

Ampliamente

Parcialmente

NV No. DECLARACION
El proceso es eficiente y efectivo, pero se basa
considerablemente en procedimientos y controles manuales
4
12 para asegurar que se logre la calidad.

No alcanzado

FECHA FIN:

Valor
de
cumplimiento

1.00

X
X

1.00
1.00

X
X

1.00
1.00

1.00

1.00

1.00

X
X

1.00
1.00

1.00

0.66

X
0.66
TOTAL DEL NIVEL 15.64

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos

Papel de Trabajo
HECHO POR:

MM10 1/2
TEAM_AD

REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

LIDER T.

Evaluacin del proceso de Gestionar la Aceptacin del Cambio y de la Transicin (BAI07)


Cuadro para tabulacin de resultados de los cuestionarios aplicado s a las
funciones indicadas, agrupadas segn el nivel de capacidad y el peso de la
respuesta obtenida sobre cada declaracin. Las columnas (D), (E) Y (F) se calculan
segn formula indicada.
(F) = Nivel de Madurez del Proceso.
PROCESO: BAI07 Gestionar la Aceptacin del Cambio y de la Transicin
COMPUTO DE LOS VALORES DE CUMPLIMIENTO DEL NIVEL DE CAPACIDAD
FUINCION: Direccin de Tecnologa
(A)

(B)

( C)

(D)

(E )

(F)

NIVEL
DE SUMA
DE NUMERO
DE VALOR
DE NORMALIZACION
NIVEL
CAPACIDAD VALORES
DE DECLARACIONES CUMPLIMIENTO
DEL VECTOR DE CAPACIDAD
CUMPLIMIENTO
(B/C)
CUMPLIMIENTO
(A * E)
(D/ D)

0.00

0.000

0.000

0.000

1.00

0.333

0.103

0.103

1.00

0.333

0.103

0.205

3.00

0.750

0.231

0.693

5.32

0.887

0.273

1.092

5.66

0.943

0.291

1.453

TOTAL

15.98

23.00

3.25

1.000

3.546

DE

70.92%

PRUEBA

NIVEL ACTUAL
FUNCION: Consolidacin de resultados
0

0.00

0.000

0.000

0.000

1.00

0.333

0.103

0.103

1.00

0.333

0.103

0.205

3.00

0.750

0.231

0.693

5.32

0.887

0.273

1.092

5.66

0.943

0.291

1.453

TOTAL

15.98

23.00

3.25

1.000

3.546

93

Definicin de Proyecto

PRUEBA

15.98

70.92%

23.00

NIVEL ACTUAL

SEGURITAS S.A.
Gerencia de Riesgos

Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

CONCLUSIN:

MM10 2/2
TEAM_AD
LIDER T.

Se determin que en la direccin de informtica se administran los controles


sobre este proceso de forma Definida, mostrando un nivel 3.546 de capacidad y
un 70.92% de confiabilidad en los objetivos de control informtico.

94

Definicin de Proyecto

SEGURITAS S.A.
Gerencia de Riesgos

Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

MM10-01 1/2
TEAM_AD
LIDER T.

PROCESO: Al7 Gestionar la Aceptacin del Cambio y de la Qu tanto se ha


Transicin
alcanzado?

2
2

6
7

10

11

Hay una total falta de procesos formales de instalacin o


acreditacin y ni la alta gerencia o el personal de TI reconocen
la
necesidad
de
verificar
que
las
soluciones
sean adecuadas para el propsito que se pretende.
Hay conciencia de la necesidad de verificar y confirmar que
las soluciones implementadas sirven para el propsito que se
pretende.
Se realizan pruebas para algunos proyectos, pero la iniciativa
de realizar pruebas es dejada en manos de los equipos
individuales
de
proyecto
y
los
enfoques
emprendidos varan.
La acreditacin y autorizacin formal es poco frecuente o no
existe en absoluto.
Hay alguna coherencia entre las pruebas y los enfoques de
acreditacin, pero tpicamente los mismos no se basan en
ninguna metodologa.
Los equipos de desarrollo individual normalmente deciden el
mtodo de prueba y hay por lo general ausencia de pruebas
de integracin.
Hay un proceso informal de aprobacin.

Completamente

Valor
de
cumplimiento

0.00

1.00

0.00

0.00

0.00

Est establecida una metodologa formal relativa a la


instalacin, migracin, conversin y aceptacin.
Los procesos de instalacin y acreditacin de TI estn
integrados en el ciclo de vida del sistema y estn
automatizados en cierta medida.
Es probable que la capacitacin, prueba y transicin al estado
de produccin as como la acreditacin varen en relacin al
proceso definido, basndose en decisiones puntuales.
La calidad de los sistemas que entran en produccin es
desigual, con nuevos sistemas que a menudo generan un
nivel significativo de problemas posteriores a la
implementacin.
X

95

Ampliamente

NV No. DECLARACION

Parcialmente

Fecha:

No alcanzado

Funcin: Gerencia de Seguridad

0.00
1.00

1.00

1.00

1.00

0.00

Definicin de Proyecto

12

Los procedimientos son formalizados y desarrollados para que


estn bien organizados y sean prcticos, con entornos de
prueba y procedimientos de acreditacin definidos. En la
prctica, todos los grandes cambios a los sistemas
siguen este mtodo formal.

96

1.00

Definicin de Proyecto

18

19

20

21

22

23

LIDER T.

Los procesos de instalacin y acreditacin han sido refinados


hasta el nivel de la mejor prctica, basados en los resultados
del mejoramiento y refinamiento continuo.
Los procesos de instalacin y acreditacin de TI estn
totalmente integrados en el ciclo de vida del sistema y
automatizados donde es conveniente, facilitando la
capacitacin, prueba y transicin al estado de produccin de
nuevos sistemas de forma ms eficiente.
Los entornos de prueba bien desarrollados, los registros de
problemas y los procesos de resolucin e fallas aseguran una
transicin eficiente y efectiva al entorno de produccin.
La acreditacin tiene lugar por lo general sin
reprocesamiento y los problemas posteriores a la
implementacin estn por lo general limitados a correcciones
menores.
Las revisiones posteriores a la implementacin estn
tambin estandarizadas, con lecciones aprendidas
canalizadas nuevamente al proceso para asegurar una
mejora continua de la calidad.
Las pruebas de estrs para los sistemas nuevos y las
pruebas de regresin para los sistemas existentes se aplican
por igual.
TOTAL
NIVEL

97

Completamente

REVISADO POR:
FECHA DE INCIO:
FECHA FIN:

Ampliamente

MM10-01 2/2
TEAM_AD

Parcialmente

NV No. DECLARACION
La evaluacin de la satisfaccin de los requerimientos de
usuario est estandarizada y se puede medir, produciendo
mtricas que pueden ser revisadas y analizadas
4
13 efectivamente por la gerencia.
La calidad de los sistemas que entran en produccin es
satisfactoria para la gerencia, con niveles razonables de
4
14 problemas posteriores a la implementacin.
La automatizacin del proceso es ad hoc y depende del
proyecto. La gerencia puede estar satisfecha con el nivel
actual de eficiencia a pesar de la falta de evaluaciones
4
15 posteriores a la implementacin.
4
16 El sistema de pruebas refleja adecuadamente el entorno real.
Las pruebas de estrs para los sistemas nuevos y las
pruebas de regresin para los sistemas existentes se aplican
4
17 para los proyectos de gran porte.

Papel de Trabajo
HECHO POR:

No alcanzado

SEGURITAS S.A.
Gerencia de Riesgos

Valor
de
cumplimiento

1.00

1.00

X
X

1.00
0.66

0.66

0.66

1.00

1.00

1.00

1.00

X
1.00
DEL
15.98

Definicin de Proyecto

Informe de la evaluacin de los controles


SEGURITAS S.A.
Gerencia de Riesgos
Para:
De:
Asunto:

Consejo de Administracin
Gerencia de Riesgos
Evaluacin de controles en los procesos de Adquisicin
Implementacin de Tecnologa Informtica
Fecha:
**/**/2015
C.C.: Gerencia General / Direccin de Informtica

Objetivo:
El presente informe tiene como fin, presentar los resultados obtenidos en las pruebas
de nivel de capacidad de los controles informticos aplicados en la adquisicin e
implementacin de tecnologa informtica y soporta la decisin de la administracin de
invertir en este rubro posteriormente.
Alcance:
La evaluacin fue aplicada a las actividades de la direccin de informtica realizadas
durante un periodo de cuatro meses aproximado, tomando como base los Objetivos
de Control de Informacin y Tecnologa Relacionada (COBIT, por sus siglas en ingls),
desde el punto de vista de los procesos incluidos en el dominio de Adquirir e
Implementar (AI).

98

Definicin de Proyecto

Resultados por Proceso:


Gestionar
los Se determin que en la direccin de
Programas y Proyectos informtica se administran los controles
(BAI01).
sobre este proceso de forma Definida,
mostrando un nivel 3.306 de capacidad y
un 66.12% de confiabilidad en los
objetivos de control informtico.
Gestionar la Definicin Se determin que en la direccin de
de Requisitos (BAI02).
informtica se administran los controles
sobre este proceso de forma Definida,
mostrando un nivel 3.612 de capacidad y
un 72.24% de confiabilidad en los
objetivos de control informtico.
Adquirir e implementar Se determin que en la direccin de
infraestructura
informtica se administran los controles
tecnolgica (BAI03).
sobre este proceso de forma Definida,
mostrando un nivel 3.65 de capacidad y un
73% de confiabilidad en los objetivos de
control informtico.
Facilitar la ejecucin y Se determin que en la direccin de
el uso (BAI04).
informtica se administran los controles
sobre este proceso de forma Repetible
pero Intuitivo, mostrando un nivel 2.694
de capacidad y un 53.89% de confiabilidad
en los objetivos de control informtico.

Gestionar
la
Introduccin
de
Cambios Organizativos
(BAI05).

Administracin
cambios (BAI06).

Se determin que en la direccin de


informtica se administran los controles
sobre este proceso de forma Definida,
mostrando un nivel 3.546 de capacidad y
un 70.93% de confiabilidad en los
objetivos de control informtico.
de Se determin que en la direccin de
informtica se administran los controles
sobre este proceso de forma Definida,
mostrando un nivel 3.918 de capacidad y
un 78.37% de confiabilidad en los
objetivos de control informtico.
99

Definicin de Proyecto

Gestionar la Aceptacin Se determin que en la direccin de


del Cambio y de la informtica se administran los controles
Transicin (BAI07).
sobre este proceso de forma Definida,
mostrando un nivel 3.546 de capacidad y
un 70.92% de confiabilidad en los
objetivos de control informtico.

100

Definicin de Proyecto

Conclusiones Generales:

De acuerdo al modelo de capacidad establecido por COBT, especficamente en


el dominio de Adquirir e Implementar Tecnologa Informtica, se obtuvo como
resultado que, la direccin de informtica de la empresa se encuentra en los
niveles 2-Repetible pero intuitivo y 3-Definido, de una escala mxima de 5, lo
cual demuestra el cumplimiento de los objetivos de control de informacin y
tecnologa relacionada entre un 50% y 70%.

Para llevar a cabo la estrategia de la empresa, las soluciones de la direccin de


informtica necesitan ser identificadas, desarrolladas o adquiridas as como
implementadas e integradas en los procesos del negocio. De tal forma que se
cubran los cambios y el mantenimiento de los sistemas existentes, en aras de
garantizar que las soluciones sigan satisfaciendo los objetivos del negocio.

101