Auditoría de sistemas UMG

Universidad Mariano Glvez de Guatemala
Ing. Crecencio Chang

Auditoria de Sistemas
Ingeniera en Sistemas de informacin
Seccin A
Proyecto de Auditoria de sistemas
AUDITORIA
Alumno
Allan Federico Gonzlez Barrueto
Mario Roberto Hernndez Monterroso
Juan Carlos Monterroso Hernndez
Erick Gonzlez
Francklin Funez
Joshua Figueroa
No. De Carn
0900-10-1
0900-08-3602
0900-10-11326
0900-10-105
0900-09-560
0900-11-1483
Email
allanbarrueto@gmail.com
Mario147741@gmail.com
Jeancarlohernandez582@gmail.com
erickrgt@gmail.com
jufalco.fa@gmail.com
joshfigueroa07@gmail.com
Telfono
55719640
54891387
59180559
55178828
40062743
55231380
ndice
Introduccin ............................................................................................................... 1
Justificacin............................................................................................................... 2
Planteamiento del problema ..................................................................................... 3
Definicin del problema ............................................................................................ 3
El Control Interno: .................................................................................................... 3
Efectividad y Eficiencia de las Operaciones:......................................................... 3
Suficiencia y Confiabilidad de la Informacin financiera: ...................................... 3
Cumplimiento de la Regulacin: ........................................................................... 3
Riesgo: ..................................................................................................................... 4
Gobierno de Tecnologa de la informacin: .............................................................. 4
Objetivos de Control para Informacin y Tecnologa Relacionada (COBIT) ............ 4
Objetivos de la investigacin: .................................................................................. 6
Generales ................................................................................................................. 6
Mtodos y tcnicas a utilizar: ................................................................................... 6
Mtodos ................................................................................................................... 6
Marco de Trabajo ....................................................................................................... 6
Razones para utilizarlo ............................................................................................. 7
Beneficios a Usuarios............................................................................................... 7
Orientado a Procesos............................................................................................... 8
Procesos del dominio Construir, Adquirir e Implementar: ........................................ 8
Modelo de capacidad de los procesos ..................................................................... 8
0 Proceso incompleto:........................................................................................ 9
1 Proceso ejecutado: ......................................................................................... 9
2 Proceso gestionado: ....................................................................................... 9
3 Proceso establecido: ....................................................................................... 9
4 Proceso predecible: ........................................................................................ 9
5 Proceso optimizado:........................................................................................ 9
Mtodo de determinacin del nivel de capacidad..................................................... 9
Caso practico ........................................................................................................... 11
EVALUACIN DE CONTROLES PARA LA ADQUISICIN Y MANTENIMIENTO DE
APLICACIONES INFORMTICAS DE UNA EMPRESA ASEGURADORA, SEGN
MODELO DE OBJETIVOS DE CONTROL PARA TECNOLOGA DE INFORMACIN
Y TECNOLOGAS RELACIONADAS (COBIT) ...................................................... 11
Antecedentes del caso prctico .......................................................................... 11
Desarrollo del Caso Prctico ............................................................................... 12
Contenido del Caso Prctico .................................................................................. 13
Papeles de trabajo del caso prctico...................................................................... 14
CARTA DE NOTIFICACIN DE LA REALIZACIN DE LA EVALUACIN DEL
CONTROL
INTERNO
INFORMTICO
EN
LA
ADQUISICIN
E
IMPLEMENTACIN
DE
SOLUCIONES
INFORMTICAS
EN
EL
DEPARTAMENTO DE INFORMTICA............................................................... 14
NOMBRAMIENTO PARA REALIZAR LA EVALUACIN DEL CONTROL INTERNO
EN LOS PROCESOS DE ADQUIRIR E IMPLEMENTAR SOLUCIONES
INFORMTICAS EN EL DEPARTAMENTO DE INFORMTICA........................... 15
PROGRAMA DE AUDITORA INTERNA PARA LA EVALUACIN DEL CONTROL
INTERNO INFORMTICO DE LOS PROCESOS DE ADQUISICIN E
IMPLEMENTACIN DE SOLUCIONES INFORMTICAS SEGN EL MODELO
COBIT DE CONTROL INTERNO. .......................................................................... 17
INTRODUCCIN ................................................................................................ 17
OBJETIVO .......................................................................................................... 17
ALCANCE ........................................................................................................... 17
PROCEDIMIENTO .............................................................................................. 18
EVALUACION DEL CONTROL INTERNO INFORMTICO ............................... 18
INFORME ............................................................................................................... 22
Elaboracin del informe. ..................................................................................... 22
Normativa............................................................................................................ 22
Cronograma. ....................................................................................................... 22
Presentacin del informe: ................................................................................... 22
Distribucin del informe:...................................................................................... 23
Evaluacin del proceso de Gestionar los Programas y Proyectos (BAI01) ............ 24
CONCLUSIN: ................................................................................................... 26
Evaluacin del proceso de Gestionar la Definicin de Requisitos (BAI02) ............. 38
CONCLUSIN: ................................................................................................... 40
Evaluacin del proceso de Adquirir e Implementar Infraestructura Tecnolgica
(BAI03). .................................................................................................................. 50
CONCLUSIN: ................................................................................................... 52
Evaluacin del proceso Facilitar la ejecucin y el uso (BAI04). ............................. 59
CONCLUSIN: ................................................................................................... 60
Evaluacin del proceso Gestionar la Introduccin de Cambios Organizativos (BAI05)
............................................................................................................................... 66
CONCLUSIN: ................................................................................................... 68
Evaluacin del proceso de Administracin de Cambios (BAI06). ........................... 77
CONCLUSIN: ................................................................................................... 80
Evaluacin del proceso de Gestionar la Aceptacin del Cambio y de la Transicin
(BAI07) ................................................................................................................... 93
CONCLUSIN: ................................................................................................... 94
Informe de la evaluacin de los controles ............................................................ 98
Objetivo: ................................................................................................................. 98
Alcance: ................................................................................................................. 98
Resultados por Proceso: ........................................................................................ 99
Conclusiones Generales:...................................................................................... 101
Definicin de Proyecto
Introduccin
La auditora se tiene como una forma de hacer una corroboracin sobre distintos
procesos, presupuestos, costos, entre otros, al nivel que se estar refiriendo es a nivel
de auditoria de sistemas, en los diferentes procesos, tambin se tiene como una forma
de aclarar una sospecha sobre un posible ilcito que pueda estar sucediendo dentro
de una organizacin, para poder aclarar alguna situacin que pueda estar dando una
inquietud, en el mbito de auditoria en sistemas, se puede desarrollar sobre los
diferentes procesos que se estn realizando dentro de un sistema en una organizacin.
Otra utilidad para lo que se utiliza una auditoria en sistemas es para hacer una
verificacin sobre los distintos procesos y mejoras que se puedan realizar a una
sistema en especfico, verificando cuales son los puntos dbiles del mismo, apoyado
en la documentacin respectiva para tener una mejora continua, se tiene que tomar en
cuenta que una auditoria de este tipo no se puede estar realizando con mucha
periodicidad, y se tiene que realizar de una forma correcta, eficaz y eficiente, con datos
reales para que pueda tenerlos beneficios a largo plazo de esta actividad.
Justificacin
La evaluacin de los controles en una empresa aseguradora en sus distintos procesos
donde se involucra la tecnologa de informacin, son puntos importantes para su buen
funcionamiento, el estar un una situacin de cambio constante para la mejora es una
buena prctica volviendo a la empresa con procesos dinmicos anuentes a estar
madurando constantemente, de esta forma ir amalgamando los distintos modelos para
llegar a estndares de calidad deseados.
Uno de los modelos que se puede tomar en cuenta es el de COBIT, ya que es uno de
los ms utilizados en el medio para poder auditar la gestin y control de los sistemas
de informacin IT, orientados bastante a todos los sectores de una organizacin,
administradores, usuarios y los mismos auditores.
Teniendo como objetivo principal la implementacin mediante un modelo COBIT en la
organizacin, dando una herramienta automatizada para la evolucin del cumplimiento
de los distintos procesos y recursos de informacin y tecnologa.
Planteamiento del problema

Definicin del problema
Al no implementarse una metodologa adecuada surge el involucramiento de algunas
variables considerables:
La incorrecta evaluacin de controles para la adquisicin y mantenimiento de

aplicaciones informticas
Cules son las consecuencias de la incorrecta evaluacin de los controles para la

adquisicin y mantenimiento de aplicaciones informticas?
El Control Interno:
El sistema de control interno es un proceso realizado por el consejo de administracin
(junta directiva o junta de directores), los administradores y dems personal de una
entidad, diseado para proporcionar seguridad razonable en la bsqueda del
cumplimiento de los siguientes objetivos:
Efectividad y Eficiencia de las Operaciones:
Es decir, en cuanto al cumplimiento de los objetivos estratgicos de la organizacin y
la salvaguarda o proteccin de sus recursos y los bienes de terceros que se encuentran
en su poder de la entidad.
Suficiencia y Confiabilidad de la Informacin financiera:
Y la que se produce para uso interno, as como de la preparacin de los estados
financieros con destino a terceros.
Cumplimiento de la Regulacin:
En general las disposiciones que afectan el desarrollo institucional, tales como las
leyes, normas del gobierno, los estatutos, los reglamentos, las circulares o
instrucciones internas.
Riesgo:
Es la incertidumbre de que ocurra un acontecimiento que pudiera pueda afectar el
logro de los objetivos. Tambin se define como la posibilidad de que suceda algo que
tendr impacto en los objetivos. Se mide en trminos de consecuencia y posibilidad de
ocurrencia.
Gobierno de Tecnologa de la informacin:

Es una estructura de relaciones y procesos para dirigir y controlar con el objeto de
alcanzar los objetivos de la empresa y aadir valor mientras se equilibran los riesgos
y el retorno sobre Tecnologa de la informacin y sus procesos.
El ncleo de Tecnologa de la informacin consta de dos responsabilidades

principales, la entrega de valor al negocio y mitigar los riesgos relacionados con TI.
Objetivos de Control para Informacin y Tecnologa Relacionada (COBIT)

Las organizaciones deben cumplir con requerimientos de calidad, fiduciarios y de
seguridad, tanto para su informacin, como para sus activos. La gerencia deber
adems optimizar el empleo de sus recursos disponibles, los cuales incluyen: personal,
instalaciones, tecnologa, sistemas de aplicacin y datos. Para cumplir con esta
responsabilidad, as como para alcanzar sus objetivos, la gerencia debe entender el
estado de sus propios sistemas de Tecnologa de la informacin y decidir el nivel de
seguridad y control que deben proveer estos sistemas.
Provee buenas prcticas y presenta actividades en una estructura manejable y lgica.
Las Buenas prcticas de COBIT rene el consenso de expertos quienes ayudarn a
optimizar la inversin de la informacin y proporcionarn un mecanismo de medicin
que permitir juzgar cuando las actividades van por el camino equivocado. La gerencia
debe asegurar que los sistemas de control interno o el marco referencial estn
funcionando y soportan los procesos del negocio, y debe de ser consciente de cmo
4
cada actividad individual de control satisface los requerimientos de informacin e

impacta los recursos de TI.
La gerencia, mediante este gobierno corporativo, debe asegurar que todos los
individuos involucrados en la administracin, uso, diseo, desarrollo, mantenimiento u
operacin de sistemas de informacin acten con la debida diligencia. Est diseado
no slo para ser utilizado por usuarios y auditores, sino que, lo ms importante, est
diseado para ser utilizado por los propietarios de los procesos de negocio como una
gua clara y entendible.
Objetivos de la investigacin:
Generales
Determinar la importancia de aplicar en el pas una metodologa adecuada para
la evaluacin de adquisiciones informticas.
Determinar el impacto sobre una empresa debido al adecuado manejo de los

recursos informticos.
Mtodos y tcnicas a utilizar:

Mtodos
Mtodo cientfico:
o En sus fases:
Indagatoria: al momento de efectuar la investigacin documental

y de campo.
Demostrativa: cuando se demuestre que los datos recopilados

sean vlidos.
Expositiva: se efectuar cuando la investigacin quede plasmada

en l informe final.
Mtodo deductivo:
o Parte de lo general a lo particular.
Marco de Trabajo
El marco de trabajo relaciona los requerimientos de informacin y de gobierno TI a los
objetivos de la funcin de servicios de TI. El modelo de procesos de COBIT permite
que las actividades de TI y los recursos que los soportan sean administrados y
controlados basados en los objetivos de control de COBIT, y alineados y monitoreados
usando las metas y mtricas establecidas por la metodologa.
Razones para utilizarlo

El marco de referencia COBIT otorga especial importancia a los requerimientos de
negocios en cuanto a efectividad, eficiencia, confidencialidad, integridad,
disponibilidad, cumplimiento y confiabilidad que deben ser satisfechos. El desarrollo
de este marco de referencia ha sido limitado a objetivos de control de alto nivel en
forma de necesidades de negocio dentro de un proceso de tecnologa informtica
particular, cuyo logro es posible a travs del establecimiento de controles, para el cual
deben considerarse controles aplicables potenciales.
La misin de COBIT es Investigar, desarrollar, hacer pblico y promover un marco de
control de gobierno de TI autorizado, actualizado, aceptado internacionalmente para
la adopcin por parte de las empresas y el uso diario por parte de gerentes de negocio,
profesionales de TI y profesionales de aseguramiento (COBIR 4.1 2007, p.9).
Un Objetivo de Control, es una definicin del resultado o propsito que se desea

alcanzar implementando procedimientos de control especficos dentro de una actividad
de tecnologa informtica. COBIT identifica un conjunto de 34 Objetivos de alto nivel,
uno para cada uno de los procesos de tecnologa informtica, agrupados en cuatro
dominios:
Planeacin y organizacin
Adquisicin e implementacin
Entrega de servicio
Monitoreo
Beneficios a Usuarios
COBIT proporciona ventajas a gerentes, usuarios, e interventores. Los gerentes se
benefician de COBIT por que les provee un fundamento sobre el cual basar las
decisiones de una forma eficaz, ayuda a la definicin de un plan de TI estratgico, la
definicin de la arquitectura de la informacin, la adquisicin del hardware necesario y
el software para ejecutar una estrategia, la aseguracin del servicio continuo, la
supervisin del funcionamiento del sistema TI. Los usuarios por otro lado se benefician
debido al aseguramiento proporcionado a ellos en el tratamiento de la informacin.
Finalmente los auditores o interventores se ven beneficiados ya que permite identificar
cuestiones de control de TI dentro de la infraestructura de una institucin y a corroborar

sus conclusiones de auditoria.
Orientado a Procesos
Incluye un modelo de referencia de procesos que define y describe en detalle varios
procesos de gobierno y de gestin. Dicho modelo representa todos los procesos que
normalmente se encuentran en una empresa, relacionados con las actividades de TI
Los dominios principales son:
Gobierno
o Contiene 5 procesos de gobierno, dentro de cada proceso se definen
prcticas de evaluacin, orientacin y supervisin.
Gestin
o Contiene 4 dominios de acuerdo a las reas de responsabilidad de
planificar, construir, ejecutar y supervisar.
Alinear, Planificar y Organizar
Construir, Adquirir e Implementar
Entregar, dar Servicio y Soporte
Supervisar, Evaluar y Valorar
Procesos del dominio Construir, Adquirir e Implementar:

BAI01 Gestionar los Programas y Proyectos,
BAI02 Gestionar la Definicin de Requisitos,
BAI03 Gestionar la Identificacin y la Construccin de Soluciones,
BAI04 Gestionar la Disponibilidad y la Capacidad,
BAI05 Gestionar la Introduccin de Cambios Organizativos,
BAI06 Gestionar los Cambios,
BAI07 Gestionar la Aceptacin del Cambio y de la Transaccin,
BAI08 Gestionar el Conocimiento,
BAI09 Gestionar los Activos,
BAI10 Gestionar la Configuracin.
Modelo de capacidad de los procesos
Este modelo se utiliza para medir la madurez actual o el estado en que se encuentran
los procesos relacionados con las TI de la empresa, determinar la brecha entre ellos y
la forma de mejorarlos.
Existen seis niveles de capacidad que se pueden alcanzar por un proceso.
8
0 Proceso incompleto:
El proceso no est implementado o no alcanza su propsito. A este nivel, hay muy
poca o ninguna evidencia de ningn logro sistemtico del propsito del proceso.
1 Proceso ejecutado:
El proceso implementado alcanza su propsito.
2 Proceso gestionado:
El proceso ejecutado descrito anteriormente esta ya implementado de forma
gestionada (planificado, supervisado y ajustado) y los resultados de su ejecucin estn
establecidos, controlados y mantenidos apropiadamente.
3 Proceso establecido:
El proceso gestionado descrito anteriormente esta ahora implementado usando un
proceso definido que es capaz de alcanzar sus resultados de proceso.
4 Proceso predecible:
El proceso establecido descrito anteriormente ahora se ejecuta dentro de lmites
definidos para alcanzar sus resultados de proceso.
5 Proceso optimizado:
El proceso predecible descrito anteriormente es mejorado de forma continua para
cumplir con las metas empresariales presentes y futuras.
Mtodo de determinacin del nivel de capacidad

El mtodo de determinacin de la capacidad por proceso en la que se encuentra la
empresa es asignando un valor nominal, iniciando en no alcanzado (0) hasta
completamente alcanzado (5).
Los resultados del modelo de capacidad son obtenidos en base a COBIT 5. El auditado
deber analizar y manifestar el nivel de alcance con cada declaracin dentro de cuatro
posibles respuestas que a su vez representan valores:
No alcanzado = 0
Parcialmente Alcanzado = 0.33
Ampliamente Alcanzado = 0.66
Completamente Alcanzado = 1.00
Para obtener valores sobre cada una de las respuestas a las declaraciones de COBIT,
se necesita multiplicar Peso y Respuesta, a travs de la siguiente formula:
9
V=P*R
Donde V es el valor de puntuacin de la declaracin de capacidad, P es el peso de
cada declaracin de capacidad, el cual se obtiene al sumar los valores de cada nivel y
luego dividirlos dentro del peso total para cada nivel.
C = V / P
Donde C es cumplimiento, V es el valor de las respuestas para cada declaracin de
capacidad, y P es el peso de cada declaracin.
El paso siguiente es la Normalizacin, la cual se puede obtener mediante dividir el
valor de cumplimiento de cada nivel dentro del valor de cumplimiento de todos los
niveles de cada proceso de TI
N = C / C
Donde N es el valor normalizado y C el valor de cumplimiento de cada nivel.
La contribucin se determina con la multiplicacin del Nivel (0 5) por el valor
normalizado de cada nivel. Con la contribucin total para todos los niveles de un
proceso de tecnologa informtica, el auditor obtendr la puntuacin del nivel de
madurez de la empresa.
Co = Nv x N
Donde Co es la contribucin, Nv es el nivel de madurez y N es el valor normalizado de
las respuestas a las declaraciones.
El nivel de capacidad se obtiene sumando los valores de contribucin del proceso de
tecnologa informtica evaluado.
NM = Co
Donde NM es el nivel de capacidad y Co es la contribucin para cada declaracin del
nivel de capacidad.
10
Caso practico
EVALUACIN DE CONTROLES PARA LA ADQUISICIN Y MANTENIMIENTO
DE APLICACIONES INFORMTICAS DE UNA EMPRESA ASEGURADORA,
SEGN MODELO DE OBJETIVOS DE CONTROL PARA TECNOLOGA DE
INFORMACIN Y TECNOLOGAS RELACIONADAS (COBIT)
Los sistemas de informacin cada da tomas ms relevancia en la toma de decisiones
de la empresa, por lo que los controles de estos, deben ser especializados y de
acuerdo a los niveles de capacidad que proponen los objetivos de control para
informacin y tecnologa relacionada (COBIT, por sus siglas en ingles), se presentan
los aspectos que debe considerar el auditor de sistemas:
Antecedentes del caso prctico
La evaluacin se realiz a la empresa El Mejor Seguro S.A. que inici sus operaciones
en el ao de 1960, ubicada en la zona 4 de la ciudad capital de Guatemala, siendo la
empresa aseguradora ms grande de Centroamrica segn la Asociacin
Guatemalteca de Industria del Seguro (AGIS), cuenta con ms de 350 mil clientes, una
certificacin en calidad ISO 9001 y una amplia gama de servicios electrnicos para
sus intermediarios y clientes finales.
La empresa en su ms alto nivel est organizada de la siguiente manera:
Consejo de Administracin
o Gerencia General
Gerencia de Alineamiento Estratgico
Gerencia de Lneas Personales
Gerencia Corporativa
Gerencia de Operaciones
Gerencia de Riesgos (Auditoria Interna)
El departamento de informtica se conforma de la siguiente manera:
Gerencia de Operaciones
o Direccin de Tecnologa
Jefatura de Plataforma Tecnolgica
Administradores de Proyectos
o Programadores Senior
o Programadores Junior
Jefatura de Servicios Tecnolgicos
Administradores de Proyectos
o Programadores Junior
Coordinacin de Inteligencia de Negocios
11
Jefatura de Infraestructura
Administradores de Sistemas
Escritorio de Ayuda
o Tcnicos Senior
o Tcnicos Junior
Desarrollo del Caso Prctico

La empresa El Mejor Seguro ha incrementado sus transacciones mediante la
utilizacin de sistemas de informacin, tales como cotizadores en lnea, emisores de
plizas en lnea, pagos con tarjeta de crdito en lnea, entre otros, por lo que la
administracin de la empresa demuestra su preocupacin por la adecuada evaluacin
de los sistemas de informacin, y ha solicitado a la Gerencia de Riesgos (Auditoria
Interna), que evalu los procesos de adquisicin, implementacin y mantenimiento de
tecnologa informtica, con el objetivo de conocer de forma oportuna la forma en que
las inversiones en tecnologa estn siendo gestionadas por el departamento de
Informtica.
Para dar soporte a la opinin de los auditores internos sobre los controles informticos,
el trabajo de auditora deber basarse en los Objetivos de Control para Informacin y
Tecnologa Relacionada (COBIT) por ser considerados como las mejores prcticas de
control y gobierno de tecnologa de informacin a nivel mundial. Los Objetivos de
Control para Informacin y Tecnologa Relacionada, de aqu adelante COBIT, permiten
evaluar los controles desde tres perspectivas diferentes como lo son los recursos de
tecnologa informtica, los criterios de informacin y los procesos de tecnologa
informtica.
Por lo expuesto anteriormente la Gerencia de Riesgos ha decidido realizar la
evaluacin desde el punto de vista de los procesos de tecnologa informtica, tomando
como base los criterios establecidos en uno de los cuatro dominios que conforman la
metodologa COBIT, denominado Adquisicin e Implementacin de Soluciones
Informticas (AI).
12
Contenido del Caso Prctico

Descripcin
PT No.
Fase de Planeacin
Carta de notificacin para la iniciacin de la Auditora
Nombramiento del auditor que realizar la auditora
Programa de Auditora para realizar la evaluacin de controles de acuerdo al modelo de
capacidad de COBIT
Fase de Ejecucin
Evaluacin del proceso de Gestionar los Programas y Proyectos (BAI01)
Cuestionarios a Funcin: Direccin del Departamento
Cuestionarios a Funcin: Jefatura de Servicios Tecnolgicos
Cuestionarios a Funcin: Jefatura de Plataforma Tecnolgica
Evaluacin del proceso de Gestionar la Definicin de Requisitos (BAI02)
Evaluacin del proceso de Adquirir e implementar Infraestructura tecnolgica (BAI03)
Cuestionarios a Funcin: Jefatura de Infraestructura
Evaluacin del proceso de Gestionar la Disponibilidad y la Capacidad (BAI04)
Evaluacin del proceso de Gestionar la Introduccin de Cambios Organizativos (BAI05)
Evaluacin del proceso de Gestionar los Cambios (BAI06)
Evaluacin del proceso de Gestionar la Aceptacin del Cambio y de la Transicin (BAI07)
Resumen de niveles de capacidad
Fase de Informe
Informe de Auditora
13
MM01
MM02
MM03
MM04
MM04-01
MM04-02
MM04-03
MM05
MM05-01
MM05-02
MM05-03
MM06
MM06-01
MM06-02
MM07
MM07-01
MM08
MM08-01
MM08-02
MM09
MM09-01
MM09-02
MM09-03
MM09-04
MM10
MM10-01
MM11
Papeles de trabajo del caso prctico
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
SEGURITAS S.A.
Gerencia de Riesgos
MM01
TEAM_AD
LIDER T.
CARTA DE NOTIFICACIN DE LA REALIZACIN DE LA EVALUACIN DEL CONTROL

INTERNO INFORMTICO EN LA ADQUISICIN E IMPLEMENTACIN DE SOLUCIONES
INFORMTICAS EN EL DEPARTAMENTO DE INFORMTICA
Ing. Encargado IT
Director del Departamento de Informtica
Presente
Respetable Ingeniero
Por este medio se le comunica que conforme a nuestro plan de trabajo, se iniciar la
revisin del control interno sobre los procesos de adquisicin e implementacin de
soluciones informticas que se realiz en la direccin a su cargo durante el segundo
semestre del ao. La actividad ha sido asignada al Sr. Prez, asistente de auditoria
interna y supervisada por su servidor.
Al final de la evaluacin se determinar el de nivel capacidad con que cuentan los

controles actuales aplicando la metodologa segn COBIT, y se le estarn enviando
los resultados detallando los hallazgos y recomendaciones.
Atentamente,
Lic. Donaldo
Gerente de Riesgos
14
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
MM02 1/2
TEAM_AD
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
LIDER T.
NOMBRAMIENTO PARA REALIZAR LA EVALUACIN DEL CONTROL

INTERNO EN LOS PROCESOS DE ADQUIRIR E IMPLEMENTAR SOLUCIONES
INFORMTICAS EN EL DEPARTAMENTO DE INFORMTICA.
Sr. Prez
Asistente de Auditoria
Gerencia de Riesgos
Presente
Estimado Sr. Prez
Se le comunica que ha sido nombrado para realizar la revisin del control interno
informtico en los procesos de adquisicin e implementacin de soluciones
informticas en el departamento de informtica de la empresa. Para llevar a cabo esta
evaluacin deber basarse en el correspondiente dominio contenido en el modelo de
los Objetivos de Control para Informacin y Tecnologas Relacionada (COBIT).
Los procesos a evaluar de acuerdo a la metodologa se describen a continuacin:
BAI01 Gestionar los Programas y Proyectos

BAI02 Gestionar la Definicin de Requisitos
BAI03 Adquirir e Implementar Infraestructura Tecnolgica
BAI04 Facilitar la ejecucin y el uso
15
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
MM02 2/2
TEAM_AD
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
LIDER T.
BAI05 Gestionar la Introduccin de Cambios Organizativos

BAI06 Administracin de Cambios
BAI07 Gestionar la Aceptacin del Cambio y de la Transicin
El tiempo asignado para esta actividad es de 15 das.

Atentamente,
Lic. Donaldo
Gerente de Riesgos
16
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
MM03 1/6
TEAM_AD
LIDER T.
PROGRAMA DE AUDITORA INTERNA PARA LA EVALUACIN DEL CONTROL

INTERNO INFORMTICO DE LOS PROCESOS DE ADQUISICIN E
IMPLEMENTACIN DE SOLUCIONES INFORMTICAS SEGN EL MODELO
COBIT DE CONTROL INTERNO.
INTRODUCCIN
Para poder lograr que los objetivos de la Direccin de Tecnologa estn alineados con
los de la empresa, es necesario que las soluciones informticas, desarrolladas o
adquiridas, y en ambos casos implementadas e integradas al proceso de negocio,
puedan ser controladas adecuadamente garantizando as la satisfaccin del negocio.
OBJETIVO
Evaluar el nivel de capacidad de los controles informticos en la administracin de los
procesos de adquisicin e implementacin de soluciones informticas establecida por
la direccin de informtica de la empresa El Mejor Seguro S.A.
ALCANCE
La auditora deber dar una opinin soportada en el nivel de capacidad de la
administracin de controles informticos para los procesos incluidos en el dominio
COBIT de Adquisicin e Implementacin (AI), mediante las siguientes tcnicas de
evaluacin:
17
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
SEGURITAS S.A.
Gerencia de Riesgos
MM03 2/6
TEAM_AD
LIDER T.
Cuestionarios elaborados en base a las declaraciones de los niveles de

capacidad para cada proceso de COBIT.
Verificacin fsica de documentacin requerida por el modelo.
Informe de resultados.
Resumen de resultados.
PROCEDIMIENTO
Para la evaluacin del control interno en los procesos de adquisicin e implementacin
de soluciones informticas en base al modelo COBIT, se aplicara lo siguiente:
EVALUACION DEL CONTROL INTERNO INFORMTICO
Se aplicaran cuestionarios elaborados en base a las declaraciones de los niveles de
capacidad de COBIT, as como tambin se revisara la documentacin necesaria para
determinar el nivel capacidad de cada proceso.
Los procesos y actividades a evaluar son los siguientes:
18
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
SEGURITAS S.A.
Gerencia de Riesgos
Proceso
(BAI01)
(BAI02)
(BAI03)
(BAI04)
MM03 3/6
TEAM_AD
LIDER T.
Actividades
Definicin y mantenimiento de los
Gestionar los Programas requerimientos tcnicos y funcionales del
y Proyectos
negocio.
Reporte de anlisis de riesgos.
Estudio de factibilidad y formulacin de
cursos alternativos de accin.
Requerimientos, decisin de factibilidad y
aprobacin.
Gestionar la Definicin
de Requisitos
Diseo de alto nivel.
Diseo detallado.
Control y auditabilidad de aplicaciones.
Seguridad
y
disponibilidad
de
aplicaciones.
Configuracin e implantacin de software
aplicativo adquirido.
Actualizaciones importantes en sistemas
existentes.
Desarrollo de software aplicativo.
Administracin de los requerimientos de
aplicaciones.
Mantenimiento de software aplicativo.
Gestionar
la
Identificacin
y
la
Construccin
de Plan de adquisicin de infraestructura
Soluciones
tecnolgica.
Proteccin y disponibilidad del recurso de
infraestructura.
Mantenimiento de infraestructura.
Ambiente de prueba de factibilidad.
Gestionar
la
Disponibilidad
y
la
Capacidad
Plan para soluciones de operacin.
Transferencia de conocimiento a la
gerencia del negocio.
19
Transferencia de conocimiento a los

usuarios finales.
Transferencia
de
conocimiento
al
personal de operaciones y soporte.
20
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
Proceso
(BAI05)
(BAI06)
(BAI07)
MM03 4/6
TEAM_AD
LIDER T.
Actividades
Gestionar la Introduccin
de
Cambios
Organizativos
Control de adquisicin.
Administracin
de
contratos
con
proveedores.
Seleccin de proveedores.
Adquisicin de software.
Adquisicin de recursos de desarrollo
Adquisicin
de
infraestructura,
instalaciones y servicios relacionados.
Estndares y procedimientos para
Gestionar los Cambios
cambios.
Evaluacin de impacto, priorizacin y
autorizacin.
Cambios de emergencia.
Seguimiento y reporte del estatus de
cambio.
Cierre y documentacin del cambio.
Gestionar la Aceptacin
del Cambio y de la
Transicin
Entrenamiento.
Plan de prueba.
Plan de implantacin.
Ambiente de prueba.
Conversin de sistema y datos.
Prueba de cambios.
Prueba final y aceptacin.
Transferencia a produccin.
Liberacin de software.
Distribucin del sistema.
Registro y rastreo de cambios.
Revisin posterior a la implantacin
21
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
MM03 5/6
TEAM_AD
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
LIDER T.
INFORME
Elaboracin del informe.
Se elaborara un informe describiendo los procesos incluidos en el dominio de COBIT

que fueron objeto de evaluacin, indicando los resultados y comparando contra el nivel
de control deseado por la administracin.
Normativa.
Objetivos de control para informacin y tecnologa relacionada versin 5.0 (COBIT 5.0,
por sus siglas en ingls).
Cronograma.
Para realizar esta revisin se planifican 15 das para la recoleccin de informacin,
cuestionarios y presentacin del informe.
Presentacin del informe:
Los resultados del trabajo realizado debern presentarse por medio de un informe
gerencial sobre la capacidad de los procesos incluidos en el dominio de COBIT que se
evala. El informe en borrador deber presentarse previamente al gerente del
departamento de informtica conteniendo los aspectos considerados como relevantes
para el
22
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
MM03 6/6
TEAM_AD
LIDER T.
Mejoramiento y fortalecimiento del entorno de control de esa unidad administrativa,

mediante lo cual se deber obtener el compromiso para la implementacin de las
recomendaciones.
Distribucin del informe:
Despus de la entrega definitiva de los resultados se deber enviar una copia del
informe al director del departamento de informtica. Se deber tambin distribuir una
copia a la Gerencia General.
23
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
MM04 1/2
TEAM_AD
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
LIDER T.
Evaluacin del proceso de Gestionar los Programas y Proyectos (BAI01)

Cuadro para tabulacin de resultados de los cuestionarios aplicado s a las
funciones indicadas, agrupadas segn el nivel de capacidad y el peso de la
respuesta obtenida sobre cada declaracin. Las columnas (D), (E) Y (F) se calculan
segn formula indicada.
(F) = Nivel de Madurez del Proceso.
PROCESO: BAI01 Gestionar los Programas y Proyectos
COMPUTO DE LOS VALORES DE CUMPLIMIENTO DEL NIVEL DE CAPACIDAD
FUINCION: Direccin de Tecnologa
(A)
(B)
( C)
(D)
(E )
NIVEL
DE SUMA
DE NUMERO
DE VALOR
DE
CAPACIDAD VALORES
DE DECLARACIONES CUMPLIMIENTO
CUMPLIMIENTO
(B/C)
(F)
NIVEL
CAPACIDAD
(A * E)
DE
NORMALIZACION
DEL VECTOR DE
CUMPLIMIENTO
(D/ D)
0.00
0.000
0.000
0.000
1.66
0.553
0.191
0.191
0.33
0.083
0.028
0.057
4.00
1.000
0.345
1.034
3.96
0.660
0.227
0.910
3.64
0.607
0.209
1.045
TOTAL
13.59
25.00
2.90
1.000
3.236
64.71%
PRUEBA
NIVEL ACTUAL
FUNCION: Jefatura de Servicios Tecnolgicos
0
0.00
0.000
0.000
0.000
1.33
0.443
0.162
0.162
0.33
0.083
0.030
0.060
4.00
1.000
0.365
1.095
4.30
0.717
0.262
1.047
2.98
0.497
0.181
0.907
TOTAL
12.94
25.00
2.74
1.000
3.270
65.41%
PRUEBA
24
NIVEL ACTUAL
FUNCION: Jefatura de Plataforma Tecnolgica
0
0.00
0.000
0.000
0.000
1.00
0.333
0.128
0.128
0.00
0.000
0.000
0.000
25
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
MM04 2/2
TEAM_AD
LIDER T.

(A)
(B)
( C)
(D)
(E )
NIVEL
DE SUMA
DE NUMERO
DE VALOR
DE
CAPACIDAD VALORES
CUMPLIMIENTO
(B/C)
(F)
NIVEL
CAPACIDAD
(A * E)
DE
NORMALIZACION
DEL VECTOR DE
CUMPLIMIENTO
(D/ D)
4.00
1.000
0.384
1.152
4.64
0.773
0.297
1.188
2.98
0.497
0.191
0.954
TOTAL
12.62
25.00
2.60
1.000
3.423
PRUEBA
12.62
25.00
68.45%
NIVEL ACTUAL
FUNCION: Consolidacin de resultados

0
0.00
0.000
0.000
0.000
3.99
1.330
0.161
0.161
0.66
0.165
0.020
0.040
12.00
3.000
0.364
1.092
12.90
2.150
0.261
1.043
9.60
1.600
0.194
0.970
TOTAL
39.15
25.00
8.25
1.000
3.306
PRUEBA
39.15
25.00
66.12%
NIVEL ACTUAL
CONCLUSIN:
Se determin que en la direccin de informtica se administran los controles
sobre el proceso evaluado de forma Definida, mostrando un nivel 3.306 de
capacidad y un 66.12% de confiabilidad en los objetivos de control informtico.
26
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
SEGURITAS S.A.
Gerencia de Riesgos
NV No. DECLARACION
Completamente
Fecha:
Ampliamente
Funcin: Direccin del Departamento
Parcialmente
Qu tanto se ha
alcanzado?
No alcanzado
PROCESO: BAI01 l Gestionar los Programas y Proyectos
La organizacin no requiere la identificacin de requerimientos

funcionales y operativos para el desarrollo, implementacin o
modificacin de soluciones, como por ejemplo soluciones de
sistema, de servicio, de infraestructura, de software y de datos. X
La organizacin no mantiene una conciencia sobre las
soluciones tecnolgicas disponibles que son potencialmente
relevantes para su negocio.
X
MM04-01 1/2
TEAM_AD
LIDER T.
Valor
de
cumplimiento
0.00
0.00
Hay conciencia de la necesidad de definir requerimientos y de

identificar soluciones tecnolgicas.
Los grupos individuales tienden a reunirse para discutir
necesidades de manera informal y los requerimientos por lo
general no estn documentados.
0.33
Las soluciones son identificadas por persona basadas en una

conciencia limitada del mercado, o en respuesta a ofertas de
proveedores. Hay poco o ningn anlisis estructurado o
investigacin acerca de la tecnologa disponible.
0.33
Hay algunos enfoques intuitivos para identificar las soluciones

de TI y los mismos varan en todo el negocio.
0.33
10
Las soluciones son identificadas de manera informal sobre la

base de la experiencia interna y de los conocimientos de la
funcin de TI. El xito de cada proyecto depende de la
experiencia de unas pocas personas claves de TI.
X
La calidad de la documentacin y de la toma de decisiones
vara considerablemente.
X
Se emplean enfoques sin estructura para definir los
requerimientos e identificar las soluciones de tecnologa.
X
Se usan mtodos claros y estructurados para determinar las
soluciones de TI.
27
1.00
0.00
0.00
0.00
X
1.00
11
El mtodo para la determinacin de soluciones de TI requiere

la consideracin de alternativas evaluadas contra los
requerimientos del usuario o del negocio, las oportunidades
tecnolgicas, la factibilidad econmica, los anlisis de riesgos
y otros factores.
28
1.00
SEGURITAS S.A.
Gerencia de Riesgos
15
16
17
18
19
20
21
22
23
La documentacin de proyectos es de buena calidad y

cada etapa es debidamente aprobada.
Los requerimientos son bien articulados y estn en
conformidad con estructuras predefinidas.
Se consideran soluciones alternativas, incluyendo un
anlisis de costos y ganancias.
La metodologa es clara, definida, generalmente
comprendida y medible.
Hay una interfaz claramente definida entre la gerencia de
TI y de negocios respecto a la identificacin y evaluacin
de soluciones de TI.
La metodologa para la identificacin y evaluacin de
soluciones de Ti se mejora continuamente.
La metodologa de adquisicin e implementacin es lo
suficientemente flexible para acomodar proyectos de
pequea y gran escala.
La metodologa es apoyada por bases de datos de
conocimientos internas y externas que contienen
materiales de referencia sobre soluciones tecnolgicas.
La metodologa misma produce documentacin con una
estructura predefinida que hace muy eficientes la
produccin y el mantenimiento.
29
Completamente
Ampliamente
Parcialmente
NV No. DECLARACION
El proceso para la determinacin de soluciones de TI se
aplica a algunos proyectos basndose en factores como
las decisiones hechas por el personal involucrado, la
cantidad de tiempo de administracin dedicado y el
tamao y la prioridad del requerimiento original del
3
12 negocio.
Se emplea mtodos estructurados para definir los
3
13 requerimientos e identificar las soluciones de TI.
Existe una metodologa establecida para la identificacin y
evaluacin de soluciones de TI y la misma se emplea para
4
14 la mayora de proyectos.
No alcanzado
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
MM04-01 2/2
TEAM_AD
LIDER T.
Valor
de
cumplimiento
1.00
1.00
0.66
0.66
0.66
0.66
0.66
0.66
0.66
0.66
0.33
0.33
24
25
La organizacin puede a menudo identificar nuevas

oportunidades para utilizar la tecnologa para ganar
ventaja competitiva, influir en el proceso de reingeniera
del negocio y mejorar la eficiencia general.
La gerencia detecta y acta en consecuencia si las
soluciones de TI son aprobadas sin considerar tecnologas
alternativas o requerimientos funcionales de negocio.
X
TOTAL DEL NIVEL
30
1.00
0.66
13.59
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
SEGURITAS S.A.
Gerencia de Riesgos
NV No. DECLARACION
10

sistema, de servicio, de infraestructura, de software y de datos.
Valor
de
cumplimiento
0.00
0.00
X
1.00
0.00
0.33
0.33
0.00
0.00

X
soluciones de TI.
31
Completamente
Fecha:
Ampliamente
Funcin: Jefatura de Servicios Tecnolgicos
Parcialmente
Qu tanto se ha
alcanzado?
No alcanzado
MM04-02 1/2
TEAM_AD
LIDER T.
0.00
X
1.00
11

y otros factores.
32
1.00
SEGURITAS S.A.
Gerencia de Riesgos
MM04-02 2/2
TEAM_AD
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
LIDER T.
33
Ampliamente
Parcialmente
NV No. DECLARACIN
aplica a algunos proyectos basndose en factores como las
decisiones hechas por el personal involucrado, la cantidad
de tiempo de administracin dedicado y el tamao y la
3
12 prioridad del requerimiento original del negocio.
3
evaluacin de soluciones de TI y la misma se emplea para
4
14 la mayora de proyectos.
La documentacin de proyectos es de buena calidad y cada
4
15 etapa es debidamente aprobada.
4
16 conformidad con estructuras predefinidas.
Se consideran soluciones alternativas, incluyendo un
4
17 anlisis de costos y ganancias.
4
18 comprendida y medible.
Hay una interfaz claramente definida entre la gerencia de TI
y de negocios respecto a la identificacin y evaluacin de
4
19 soluciones de TI.
5
20 soluciones de Ti se mejora continuamente.
5
21 pequea y gran escala.
conocimientos internas y externas que contienen materiales
5
22 de referencia sobre soluciones tecnolgicas.
X
estructura predefinida que hace muy eficientes la
5
23 produccin y el mantenimiento.
oportunidades para utilizar la tecnologa para ganar ventaja
competitiva, influir en el proceso de reingeniera del negocio
5
24 y mejorar la eficiencia general.
5
25 alternativas o requerimientos funcionales de negocio.
Completamente
Fecha:
No alcanzado
Papel de Trabajo
HECHO POR:
Valor
de
cumplimiento
1.00
1.00
0.66
0.66
0.66
0.66
X
1.00
0.66
0.66
0.66
0.00
0.33
1.00
0.33
TOTAL DEL NIVEL
34
12.94
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
NV No. DECLARACION
10

sistema, de servicio, de infraestructura, de software y de datos.
Valor
de
cumplimiento
0.00
0.00
X
1.00
0.00
0.00
0.00
0.00
0.00

X
soluciones de TI.
35
Completamente
Fecha:
Ampliamente
Funcin: Jefatura de Plataforma Tecnolgica
Parcialmente
Qu tanto se ha
alcanzado?
No alcanzado
MM04-03 1/2
TEAM_AD
LIDER T.
0.00
X
1.00
11

y otros factores.
36
1.00
SEGURITAS S.A.
Gerencia de Riesgos
15
16
17
18
19
20
21
22
23
24
25
La documentacin de proyectos es de buena calidad y cada

etapa es debidamente aprobada.
conformidad con estructuras predefinidas.
Se consideran soluciones alternativas, incluyendo un anlisis
de costos y ganancias.
comprendida y medible.
Hay una interfaz claramente definida entre la gerencia de TI
y de negocios respecto a la identificacin y evaluacin de
soluciones de TI.
soluciones de Ti se mejora continuamente.
pequea y gran escala.
conocimientos internas y externas que contienen materiales
de referencia sobre soluciones tecnolgicas.
X
estructura predefinida que hace muy eficientes la produccin
y el mantenimiento.
X
oportunidades para utilizar la tecnologa para ganar ventaja
competitiva, influir en el proceso de reingeniera del negocio
y mejorar la eficiencia general.
alternativas o requerimientos funcionales de negocio.
X
TOTAL
NIVEL
37
Completamente
Ampliamente
Parcialmente
NV No. DECLARACION
aplica a algunos proyectos basndose en factores como las
decisiones hechas por el personal involucrado, la cantidad de
tiempo de administracin dedicado y el tamao y la prioridad
3
12 del requerimiento original del negocio.
3
evaluacin de soluciones de TI y la misma se emplea para la
4
14 mayora de proyectos.
No alcanzado
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
MM04-03 2/2
TEAM_AD
LIDER T.
Valor
de
cumplimiento
1.00
1.00
1.00
0.66
0.66
0.66
X
1.00
0.66
0.66
0.66
0.00
0.33
1.00
0.33
DEL
12.62
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
MM05 1/2
TEAM_AD
LIDER T.
Evaluacin del proceso de Gestionar la Definicin de Requisitos (BAI02)

PROCESO: BAI02 Gestionar la Definicin de Requisitos

(A)
(B)
( C)
(D)
(E )
NIVEL
DE SUMA
DE NUMERO
DE VALOR
DE
CAPACIDAD VALORES
CUMPLIMIENTO
(B/C)
(F)
NIVEL
CAPACIDAD
(A * E)
DE
NORMALIZACION DEL
VECTOR
DE
CUMPLIMIENTO
(D/ D)
0.00
0.000
0.000
0.000
1.66
0.415
0.117
0.117
1.33
0.333
0.094
0.187
4.00
0.800
0.226
0.677
3.00
1.000
0.282
1.128
5.00
1.000
0.282
1.409
TOTAL
14.99
23.00
3.55
1.000
3.518
70.36%
PRUEBA
NIVEL ACTUAL
FUNCION: Jefatura de Servicios Tecnolgicos
0
0.00
0.000
0.000
0.000
0.99
0.248
0.075
0.075
1.00
0.250
0.076
0.152
4.00
0.800
0.243
0.728
38
3.00
1.000
0.303
1.213
5.00
1.000
0.303
1.516
TOTAL
13.99
23.00
3.30
1.000
3.684
73.68%
PRUEBA
39
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
MM05 2/2
TEAM_AD
LIDER T.
NIVEL ACTUAL
FUNCION: Jefatura de Plataforma Tecnolgica
0
0.00
0.000
0.000
0.000
0.99
0.248
0.079
0.079
1.00
0.250
0.080
0.160
4.00
0.800
0.257
0.770
2.66
0.887
0.285
1.138
4.66
0.932
0.299
1.495
TOTAL
13.31
23.00
3.12
1.000
3.644
PRUEBA
13.31
23.00
72.87%
NIVEL ACTUAL

0
0.00
0.000
0.000
0.000
3.64
0.910
0.091
0.091
3.33
0.833
0.084
0.167
12.00
2.400
0.241
0.723
8.66
2.887
0.290
1.159
14.66
2.932
0.294
1.472
TOTAL
42.29
23.00
9.96
1.000
3.612
PRUEBA
42.29
23.00
72.24%
NIVEL ACTUAL
CONCLUSIN:
sobre este proceso de forma Definida, mostrando un nivel 3.612 de capacidad y
un 72.24% de confiabilidad en los objetivos de control informtico.
40
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
MM05-01 1/2
TEAM_AD
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
LIDER T.
NV No. DECLARACION
0
1
No existe un diseo y especificacin de aplicaciones.
X
Generalmente las aplicaciones se obtienen con base en
ofertas de proveedores, en el reconocimiento de la marca o en
la familiaridad del personal de TI con productos especficos,
0
2
considerando poco o nada los requerimientos actuales
X
1
10
11
12
13
41
Valor
de
cumplimiento
0.00
0.00
Existe conciencia de la necesidad de contar con un proceso

de adquisicin y mantenimiento de aplicaciones.
Los enfoques para adquisicin y mantenimiento de software
aplicativo varan de un proyecto a otro.
Es probable que se hayan adquirido en forma independiente
una variedad de soluciones individuales para requerimientos
particulares del negocio, teniendo como resultado ineficiencias
en el mantenimiento y soporte.
X
Se tiene poca consideracin hacia la seguridad y
disponibilidad de la aplicacin en el diseo y adquisicin de
software aplicativo.
X
Hay procesos diferentes pero similares para adquirir y
mantener aplicaciones basados en la experiencia dentro de la
funcin y soporte TI.
X
La tasa de xito de las aplicaciones depende en gran medida
de las habilidades internas y de los niveles de experiencia de
la TI.
El mantenimiento es usualmente problemtico y sufre cuando
se perdieron conocimientos internos de la organizacin.
Al disear o adquirir el software de aplicacin se presta poca
o ninguna consideracin a la seguridad y disponibilidad de la
aplicacin.
X
Hay un proceso claro, definido y generalmente comprendido
para la adquisicin e implementacin de software de
aplicacin.
Este proceso est en concordancia con la estrategia de TI y la
del negocio.
Se intentan aplicar coherentemente los procesos
documentados en todos los proyectos y aplicaciones
diferentes.
Completamente
Fecha:
Ampliamente
Funcin: Gerencia del Departamento
Parcialmente
Qu tanto se ha
alcanzado?
No alcanzado
X
X
1.00
0.66
0.00
0.00
0.00
X
X
1.00
0.33
0.00
1.00
1.00
1.00
14
15
Las metodologas son generalmente inflexibles y difciles de

aplicar a todos los casos, de modo que los pasos son
frecuentemente omitidos.
X
Las actividades de mantenimiento son planificadas,
programadas y coordinadas.
42
0.00
X
1.00
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
LIDER T.
16
17
18
19
20
21
22
23
Hay una metodologa formal, clara y bien atendida que

incluye un proceso de diseo y especificacin, criterios para
la adquisicin de software de aplicacin, un proceso para
realizar pruebas y requerimientos para la documentacin.
Existen mecanismos de aprobacin documentados y
acordados para asegurar que se sigan todos los pasos y que
se autoricen las excepciones.
Las prcticas y procedimientos evolucionaron y se adecuan
a la organizacin, son usados por todo el personal, y se
aplican a la mayora de los requerimientos de aplicacin.
Las prcticas de adquisicin y mantenimiento de software de
aplicacin estn alineadas con los procesos definidos.
El mtodo est basado en componentes, con aplicaciones
predefinidas y estandarizadas adaptadas a las necesidades
del negocio. Este mtodo se aplica a nivel de toda la
organizacin.
La metodologa de adquisicin
y mantenimiento es
avanzada, posibilita una rpida implementacin y permite
una alta capacidad de respuesta y flexibilidad.
La metodologa de adquisicin e implementacin de software
de aplicacin est sujeta a una mejora continua y es
respaldada por bases de datos de conocimientos internas y
externas que contienen materiales de referencia y buenas
prcticas.
La metodologa genera documentacin con una estructura
predefinida que hace muy eficientes la produccin y el
mantenimiento.
43
Ampliamente
NV No. DECLARACION
Completamente
MM05-01 2/2
TEAM_AD
Parcialmente
Papel de Trabajo
HECHO POR:
No alcanzado
SEGURITAS S.A.
Gerencia de Riesgos
Valor
de
cumplimiento
1.00
1.00
1.00
1.00
1.00
1.00
1.00
X
1.00
TOTAL DEL NIVEL 14.99
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
SEGURITAS S.A.
Gerencia de Riesgos
MM05-02 1/2
TEAM_AD
LIDER T.
NV No. DECLARACION
0
Completamente
Fecha:
Ampliamente
Parcialmente
Qu tanto se ha
alcanzado?
No alcanzado
Valor
de
cumplimiento
0.00

X
0.00


10
11

X
X
X
la TI.
X
aplicacin.
X
aplicacin.
44
0.66
0.33
0.00
0.00
0.00
1.00
0.00
0.00
1.00
12
13

del negocio.
diferentes.
45
1.00
1.00
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
LIDER T.
14
15
Las metodologas son generalmente inflexibles y difciles de

aplicar a todos los casos, de modo que los pasos son
frecuentemente omitidos.
X
Ampliamente
NV No. DECLARACION
Completamente
MM05-02 2/2
TEAM_AD
Parcialmente
Papel de Trabajo
HECHO POR:
No alcanzado
SEGURITAS S.A.
Gerencia de Riesgos
Valor
de
cumplimiento
0.00
X
1.00
1.00
1.00
16
17

incluye un proceso de diseo y especificacin, criterios para
la adquisicin de software de aplicacin, un proceso para
realizar pruebas y requerimientos para la documentacin.
acordados para asegurar que se sigan todos los pasos y que
se autoricen las excepciones.
18
Las prcticas y procedimientos evolucionaron y se adecuan

a la organizacin, son usados por todo el personal, y se
aplican a la mayora de los requerimientos de aplicacin.
1.00
19
Las prcticas de adquisicin y mantenimiento de software de

aplicacin estn alineadas con los procesos definidos.
1.00
1.00
1.00
1.00
1.00
20
21
22
23

predefinidas y estandarizadas adaptadas a las necesidades
del negocio. Este mtodo se aplica a nivel de toda la
organizacin.
La metodologa de adquisicin
y mantenimiento es
La metodologa de adquisicin e implementacin de software
de aplicacin est sujeta a una mejora continua y es
respaldada por bases de datos de conocimientos internas y
externas que contienen materiales de referencia y buenas
prcticas.
mantenimiento.
46
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
SEGURITAS S.A.
Gerencia de Riesgos
MM05-03 1/2
TEAM_AD
LIDER T.
NV No. DECLARACION
0
Completamente
Fecha:
Ampliamente
Parcialmente
Qu tanto se ha
alcanzado?
No alcanzado
Valor
de
cumplimiento
0.00

X
0.00


10

X
X
X
la TI.
X
aplicacin.
X
47
0.66
0.33
0.00
0.00
0.00
1.00
0.00
0.00
11
12
13

aplicacin.
del negocio.
diferentes.
48
1.00
1.00
1.00
SEGURITAS S.A.
Gerencia de Riesgos
18
Las prcticas y procedimientos evolucionaron y se

adecuan a la organizacin, son usados por todo el
personal, y se aplican a la mayora de los requerimientos
de aplicacin.
19
Las prcticas de adquisicin y mantenimiento de software

de aplicacin estn alineadas con los procesos definidos.
20
21
22
23

predefinidas y estandarizadas adaptadas a las
necesidades del negocio. Este mtodo se aplica a nivel de
toda la organizacin.
La metodologa de adquisicin y mantenimiento es
La metodologa de adquisicin e implementacin de
software de aplicacin est sujeta a una mejora continua
y es respaldada por bases de datos de conocimientos
internas y externas
que contienen materiales de
referencia y buenas prcticas.
mantenimiento.
Valor
de
cumplimiento
0.00
X
1.00
0.66
1.00
1.00
1.00
0.66
1.00
1.00
1.00
TOTAL DEL NIVEL
49
MM05-03 1/2
TEAM_AD
LIDER T.
Completamente
Ampliamente
Parcialmente
NV No. DECLARACION
Las metodologas son generalmente inflexibles y difciles
de aplicar a todos los casos, de modo que los pasos son
3
14 frecuentemente omitidos.
X
3
15 programadas y coordinadas.
incluye un proceso de diseo y especificacin, criterios
para la adquisicin de software de aplicacin, un proceso
para realizar pruebas y requerimientos para la
4
16 documentacin.
acordados para asegurar que se sigan todos los pasos y
4
17 que se autoricen las excepciones.
No alcanzado
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
13.31
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
SEGURITAS S.A.
Gerencia de Riesgos
MM06 1/2
TEAM_AD
LIDER T.
Evaluacin del proceso de Adquirir e Implementar Infraestructura Tecnolgica (BAI03).

PROCESO: BAI03 Adquirir e Implementar Infraestructura Tecnolgica

(A)
(B)
( C)
(D)
(E )
NIVEL
DE SUMA
DE NUMERO
DE VALOR
DE
CAPACIDAD VALORES
CUMPLIMIENTO
(B/C)
(F)
NIVEL
CAPACIDAD
(A * E)
DE
NORMALIZACION
DEL VECTOR DE
CUMPLIMIENTO
(D/ D)
0.00
0.000
0.000
0.000
0.33
0.110
0.032
0.032
1.99
0.398
0.116
0.231
4.00
1.000
0.291
0.872
4.00
1.000
0.291
1.163
4.66
0.932
0.271
1.355
TOTAL
14.98
22.00
3.44
1.000
3.653
73.06%
PRUEBA
NIVEL ACTUAL
FUNCION: Jefatura de Infraestructura
0
0.00
0.000
0.000
0.000
0.33
0.110
0.031
0.031
2.33
0.466
0.130
0.261
50
4.00
1.000
0.280
0.839
4.00
1.000
0.280
1.119
5.00
1.000
0.280
1.398
TOTAL
15.66
22.00
3.58
1.000
3.647
72.94%
PRUEBA
NIVEL ACTUAL
51
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
MM06 2/2
TEAM_AD
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
LIDER T.

0
0.00
0.000
0.000
0.000
0.66
0.220
0.031
0.031
4.32
0.864
0.123
0.246
8.00
2.000
0.285
0.855
8.00
2.000
0.285
1.140
9.66
1.932
0.275
1.377
TOTAL
30.64
22.00
7.02
1.000
3.650
PRUEBA
30.64
22.00
73.00%
NIVEL ACTUAL
CONCLUSIN:
sobre este proceso de forma Definida, mostrando un nivel 3.65 de capacidad
y un 73% de confiabilidad en los objetivos de control informtico.
52
SEGURITAS S.A.
Gerencia de Riesgos
implementar
LIDER T.
infraestructura Qu tanto se ha
alcanzado?
Fecha:
No alcanzado
Funcin: Direccin de Tecnologia
NV No. DECLARACIN
Completamente
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
Ampliamente
Adquirir
MM06-01 1/2
TEAM_AD
Parcialmente
PROCESO:BAI03
tecnolgica
Papel de Trabajo
HECHO POR:
La arquitectura de la tecnologa no es considerada un tema

lo suficientemente importante como para ser tratado.
X
Se hacen cambios a la infraestructura para cada nueva
aplicacin sin un plan general.
X
A pesar de que hay conciencia de que la infraestructura de

TI es importante, no hay un mtodo general coherente.
X
Las actividades de mantenimiento reaccionan a las
necesidades a corto plazo. El entorno de produccin es el
entorno de pruebas.
Hay coherencia entre los mtodos tcticos, cuando se

adquiere y se mantiene la infraestructura de TI.
Valor
de
cumplimiento
0.00
0.00
0.00
0.33
X
La adquisicin y el mantenimiento de la infraestructura de TI

no se basa en una estrategia definida y no considera las
necesidades de las aplicaciones del negocio que deben ser
apoyadas.
X
Hay una comprensin de que la infraestructura de TI es
importante, y dicha comprensin es apoyada por algunas
prcticas formales.
0.66
Se programa algn mantenimiento, pero el mismo no es

programado y coordinado completamente.
X
Para algunos entornos existe un entorno de pruebas
separado.
10
Existe un proceso claro, definido y generalmente entendido

para adquirir y mantener la infraestructura de TI.
1.00
11
El proceso apoya las necesidades de las aplicaciones crticas

del negocio y est alineado con la estrategia de TI y del
negocio aunque no se aplique de forma coherente.
1.00
53
0.00
1.00
0.00
0.33
12
Las actividades de mantenimiento

son
13
Existen entornos separados para pruebas y produccin.
54
planificadas,
X
1.00
1.00
18
Ampliamente
El proceso de adquisicin y mantenimiento para la

infraestructura tecnolgica es proactivo y est
estrechamente alineado con aplicaciones crticas del
negocio y con la arquitectura de la tecnologa.
19
20
Se siguen las mejores prcticas respecto a soluciones de

tecnologa y la organizacin est al tanto de los ltimos
desarrollos en plataformas y herramientas de
administracin.
Los costos son reducidos racionalizando y estandarizando
los componentes de la infraestructura y usando la
automatizacin.
21
El alto nivel de conocimientos tcnicos puede identificar las

mejores formas de mejorar proactivamente el desempeo,
incluyendo la consideracin de opciones de tercerizacin.
22
La infraestructura de TI es vista como el posibilitador clave

para aprovechar el uso de la TI.
Valor
de
cumplimiento
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
X
TOTAL
NIVEL
55
MM06-01 2/2
TEAM_AD
LIDER T.
Completamente
Parcialmente
NV No. DECLARACIN
infraestructura tecnolgica se ha desarrollado hasta el
punto que funciona bien para la mayora de las situaciones,
es seguido coherentemente y se concentra en la
4
14 reutilizacin.
La infraestructura de TI soporta de manera adecuada las
4
15 aplicaciones de negocio.
infraestructura tecnologa est bien organizado y es
4
16 proactivo.
El costo y el tiempo para alcanzar el nivel esperado de
escalabilidad, flexibilidad e integracin estn parcialmente
4
17 optimizado.
No alcanzado
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
SEGURITAS S.A.
Gerencia de Riesgos
0.66
DEL
14.98
SEGURITAS S.A.
Gerencia de Riesgos
implementar
LIDER T.
infraestructura Qu tanto se ha
alcanzado?
Fecha:
No alcanzado
Funcin: Jefatura de Infraestructura
NV No. DECLARACION
Completamente
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
Ampliamente
Adquirir
MM06-02 1/2
TEAM_AD
Parcialmente
PROCESO: BAI03
tecnolgica
Papel de Trabajo
HECHO POR:
La arquitectura de la tecnologa no es considerada un tema

lo suficientemente importante como para ser tratado.
X
Se hacen cambios a la infraestructura para cada nueva
aplicacin sin un plan general.
X
A pesar de que hay conciencia de que la infraestructura de

TI es importante, no hay un mtodo general coherente.
X
Las actividades de mantenimiento reaccionan a las
necesidades a corto plazo. El entorno de produccin es el
entorno de pruebas.
Hay coherencia entre los mtodos tcticos, cuando se

adquiere y se mantiene la infraestructura de TI.
0.00
0.00
0.00
Se programa algn mantenimiento, pero el mismo no es

programado y coordinado completamente.
X
Para algunos entornos existe un entorno de pruebas
separado.
10
Existe un proceso claro, definido y generalmente entendido

para adquirir y mantener la infraestructura de TI.
56
0.33
X
La adquisicin y el mantenimiento de la infraestructura de TI

no se basan en una estrategia definida y no considera las
necesidades de las aplicaciones del negocio que deben ser
apoyadas.
X
Hay una comprensin de que la infraestructura de TI es
importante, y dicha comprensin es apoyada por algunas
prcticas formales.
Valor
de
cumplimiento
1.00
0.00
1.00
0.00
0.33
X
1.00
11
12
El proceso apoya las necesidades de las aplicaciones crticas

del negocio y est alineado con la estrategia de TI y del
negocio aunque no se aplique de forma coherente.
13
Existen entornos separados para pruebas y produccin.
57
1.00
1.00
1.00
SEGURITAS S.A.
Gerencia de Riesgos
18

infraestructura tecnolgica es proactivo y est
estrechamente alineado con aplicaciones crticas del
negocio y con la arquitectura de la tecnologa.
19
20
Se siguen las mejores prcticas respecto a soluciones de

tecnologa y la organizacin est al tanto de los ltimos
desarrollos en plataformas y herramientas de
administracin.
Los costos son reducidos racionalizando y estandarizando
los componentes de la infraestructura y usando la
automatizacin.
21
El alto nivel de conocimientos tcnicos puede identificar las

mejores formas de mejorar proactivamente el desempeo,
incluyendo la consideracin de opciones de tercerizacin.
22
La infraestructura de TI es vista como el posibilitador clave

para aprovechar el uso de la TI.
TOTAL
NIVEL
58
MM06-02 2/2
TEAM_AD
LIDER T.
Completamente
Ampliamente
Parcialmente
NV No. DECLARACIN
infraestructura tecnolgica se ha desarrollado hasta el
punto que funciona bien para la mayora de las situaciones,
es seguido coherentemente y se concentra en la
4
14 reutilizacin.
La infraestructura de TI soporta de manera adecuada las
4
15 aplicaciones de negocio.
infraestructura tecnologa est bien organizado y es
4
16 proactivo.
El costo y el tiempo para alcanzar el nivel esperado de
escalabilidad, flexibilidad e integracin estn parcialmente
4
17 optimizado.
No alcanzado
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
Valor
de
cumplimiento
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
X
1.00
DEL
15.66
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
SEGURITAS S.A.
Gerencia de Riesgos
MM07 1/2
TEAM_AD
LIDER T.
Evaluacin del proceso Facilitar la ejecucin y el uso (BAI04).

PROCESO: BAI04 Facilitar la ejecucin y el uso
(A)
(B)
( C)
(D)
(E )
NIVEL
DE SUMA
DE NUMERO
DE VALOR
DE
CAPACIDAD VALORES
CUMPLIMIENTO
(B/C)
(F)
NIVEL
CAPACIDAD
(A * E)
DE
NORMALIZACION
DEL VECTOR DE
CUMPLIMIENTO
(D/ D)
0.99
0.495
0.178
0.000
1.65
0.275
0.099
0.099
1.33
0.266
0.096
0.192
6.28
0.698
0.252
0.755
6.28
10
0.628
0.226
0.905
1.65
0.413
0.149
0.743
TOTAL
18.18
36.00
2.77
1.000
2.694
53.89%
PRUEBA
NIVEL ACTUAL
0
0.99
0.495
0.178
0.000
1.65
0.275
0.099
0.099
1.33
0.266
0.096
0.192
6.28
0.698
0.252
0.755
6.28
10
0.628
0.226
0.905
1.65
0.413
0.149
0.743
59
TOTAL
18.18
36.00
PRUEBA
18.18
36.00
2.77
1.000
2.694
53.89%
NIVEL ACTUAL
SEGURITAS S.A.
Gerencia de Riesgos
CONCLUSIN:
Papel de Trabajo
MM07 2/2
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
TEAM_AD
LIDER T.

sobre este proceso de forma Repetible pero Intuitivo, mostrando un nivel 2.694 de
capacidad y un 53.89% de confiabilidad en los objetivos de control informtico.
60
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
SEGURITAS S.A.
Gerencia de Riesgos
MM07-01 1/3
TEAM_AD
LIDER T.
Funcin: Direccin de Tecnologa
Fecha:
10
11
12
13
14
No hay ningn proceso establecido respecto a la produccin

de documentacin de usuario, manuales de operaciones y
material de capacitacin.
Los nicos materiales que existen son los suministrados con
los
productos
comprados.
La organizacin est consciente de que se necesita un
proceso que resuelva la documentacin.
La documentacin se produce ocasionalmente y est
distribuida desigualmente entre grupos limitados.
Gran parte de la documentacin y de los procedimientos son
obsoletos.
Los materiales de capacitacin tienden a ser esquemas que
se
usan
una
sola
vez
con calidad variable.
Prcticamente no hay integracin de los procedimientos en
todos los diferentes sistemas y unidades de negocio.
No hay colaboracin por parte de las unidades de negocio
en el diseo de programas de capacitacin
Se usan enfoques similares para producir procedimientos y
documentacin, pero los mismos no estn basados en un
enfoque o marco estructurado.
No hay un enfoque uniforme para el desarrollo de
procedimientos operativos y de usuario.
El material de capacitacin es producido individualmente o
por grupos de proyectos y su calidad depende de las
personas involucradas.
Los procedimientos y la calidad del soporte de usuario
varan de pobre a muy bueno, con muy poca coherencia e
integracin en toda la organizacin.
Se proveen o facilitan los programas de capacitacin para el
negocio y los usuarios, pero no hay un plan general para la
entrega e implementacin de capacitacin.
Hay un marco claramente definido, aceptado y entendido
para la documentacin del usuario, los manuales de
operaciones y los materiales de capacitacin.
61
Ampliamente
Parcialmente
NV No. DECLARACION
Completamente
Qu tanto se ha
alcanzado?
No alcanzado
PROCESO: BAI04 Gestionar la Disponibilidad y la Capacidad
Valor
de
cumplimiento
0.33
0.66
0.66
0.33
0.33
0.33
0.00
0.00
0.00
0.00
0.33
0.00
1.00
1.00
15
16
Los procedimientos son almacenados y mantenidos en una

biblioteca formal y pueden ser accedidos por cualquiera que
necesite saber.
Se hacen correcciones a la documentacin y los
procedimientos de manera reactiva.
62
0.66
0.66
SEGURITAS S.A.
Gerencia de Riesgos
17
18
19
20
21
22
23
24
25
26
27
28
29
30
Se cuenta con procedimientos fuera de lnea y stos

pueden ser accedidos y mantenidos en caso de desastre.
Existe un proceso que especifica que las actualizaciones
de procedimientos y materiales de capacitacin son un
producto explcito de un proyecto de cambio.
A pesar de la existencia de enfoques definidos, el contenido
real vara porque no hay control para hacer cumplir las
normas.
Los usuarios estn formalmente involucrados en este
proceso.
Se usan cada vez ms herramientas automatizadas para la
generacin y distribucin de procedimientos.
La capacitacin de usuarios y de negocio es planificada y
programada.
Hay un marco de trabajo definido para mantener los
procedimientos y los materiales de capacitacin que cuenta
con el apoyo de la gerencia de TI.
El enfoque adoptado para mantener los procedimientos y
los manuales de capacitacin cubre todos los sistemas y
unidades de negocio, a fin de que los procesos puedan ser
vistos desde una perspectiva de negocios.
Los procedimientos y los materiales de capacitacin estn
integrados para incluir interdependencias e interfaces.
Existen controles para asegurar que las normas se
cumplen y que los procedimientos se desarrollen y se
mantengan para todos los procesos.
La realimentacin del negocio y de los usuarios acerca de
la documentacin y la capacitacin se recopila y evala
como parte de un proceso de mejora continua.
La documentacin y los materiales de capacitacin estn
por lo general a un buen nivel predecible de confiabilidad y
disponibilidad.
Est emergiendo un proceso para documentar y
administrar procedimientos de forma automtica.
El desarrollo de procedimientos automatizados est cada
vez ms integrado con el desarrollo de sistemas de
aplicacin, facilitando la coherencia y el acceso de los
usuarios.
63
Completamente
Ampliamente
NV No. DECLARACION
Parcialmente
No alcanzado
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
MM07-01 2/3
TEAM_AD
LIDER T.
Valor
de
cumplimiento
0.66
0.66
0.66
0.66
0.66
0.66
0.66
0.66
0.66
0.66
0.66
0.66
0.33
0.33
31
32
La capacitacin de negocios y de usuarios tiene una gran

capacidad de respuesta respecto a las necesidades del
negocio.
La gerencia de TI est desarrollando mtricas para el
desarrollo y la entrega de documentacin, materiales de
capacitacin y programas de capacitacin.
64
1.00
0.66
SEGURITAS S.A.
Gerencia de Riesgos
65
Completamente
Ampliamente
Parcialmente
NV No. DECLARACION
El proceso para la documentacin operativa y de usuarios
es mejorado continuamente a travs de la adopcin de
5
33 nuevas herramientas o mtodos.
Los materiales de procedimiento y capacitacin son
tratados como una base de conocimientos que evoluciona
constantemente y es mantenida electrnicamente usando
una administracin de conocimientos actualizada y
tecnologas de flujo de trabajo y distribucin, lo cual la hace
5
34 accesible y fcil de mantener.
El material est actualizado para reflejar cambios
5
35 organizacionales, operativos y de software.
El desarrollo de documentacin y materiales de
capacitacin, as como la entrega de los programas de
capacitacin, estn totalmente integrados con el negocio y
con las definiciones de procesos de negocios, apoyando
as a los requerimientos a nivel de toda la organizacin en
5
36 lugar de solo a los procedimientos orientados a TI.
No alcanzado
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
MM07-01 3/3
TEAM_AD
LIDER T.
Valor
de
cumplimiento
0.66
0.33
0.33
X
TOTAL
NIVEL
0.33
DEL
18.18
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
MM08 1/2
TEAM_AD
LIDER T.
Evaluacin del proceso Gestionar la Introduccin de Cambios Organizativos (BAI05)

PROCESO: BAI05 Gestionar la Introduccin de Cambios Organizativos
(A)
(B)
( C)
(D)
(E )
NIVEL
DE SUMA
DE NUMERO
DE VALOR
DE
CAPACIDAD VALORES
CUMPLIMIENTO
(B/C)
(F)
NIVEL
CAPACIDAD
(A * E)
DE
NORMALIZACION
DEL VECTOR DE
CUMPLIMIENTO
(D/ D)
0.00
0.000
0.000
0.000
0.00
0.000
0.000
0.000
3.32
0.553
0.156
0.311
6.00
1.000
0.281
0.844
7.00
1.000
0.281
1.126
6.00
1.000
0.281
1.407
TOTAL
22.32
31.00
3.55
1.000
3.689
73.77%
PRUEBA
NIVEL ACTUAL
FUINCION: Jefatura de Infraestructura
(A)
(B)
( C)
(D)
(E )
(F)
NIVEL
DE SUMA
DE NUMERO
DE VALOR
DE NORMALIZACION
NIVEL
DE
CAPACIDAD VALORES
DE DECLARACIONES CUMPLIMIENTO DEL VECTOR DE CAPACIDAD (A *
CUMPLIMIENTO
(B/C)
CUMPLIMIENTO
E)
(D/ D)
66
0.00
0.000
0.000
0.000
1.32
0.330
0.093
0.093
3.98
0.663
0.187
0.373
6.00
1.000
0.281
0.844
67
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
MM08 2/2
TEAM_AD
LIDER T.
PROCESO: BAI05 Gestionar la Introduccin de Cambios Organizativos

(A)
(B)
( C)
(D)
(E )
(F)
NIVEL
DE SUMA
DE NUMERO
DE VALOR
DE NORMALIZACION
NIVEL
DE
CAPACIDAD VALORES
DE DECLARACIONES
CUMPLIMIENTO DEL VECTOR DE CAPACIDAD
CUMPLIMIENTO
(B/C)
CUMPLIMIENTO
(A * E)
(D/ D)
7.00
1.000
0.281
1.126
6.00
1.000
0.281
1.407
TOTAL
24.30
31.00
3.99
1.124
3.843
76.87%
NIVEL
ACTUAL
PRUEBA

0
0.00
0.000
0.000
0.000
1.32
0.330
0.044
0.044
7.30
1.217
0.161
0.322
12.00
2.000
0.265
0.795
14.00
2.000
0.265
1.060
12.00
2.000
0.265
1.325
TOTAL
46.62
31.00
7.55
1.000
3.546
PRUEBA
46.62
31.00
70.93%
NIVEL
ACTUAL
CONCLUSIN:
68
SEGURITAS S.A.
Gerencia de Riesgos
Introduccin
de
Cambios Qu tanto se ha
alcanzado?
Fecha:
No alcanzado
Funcin: Direccin de Tecnologia
NV No. DECLARACION
LIDER T.
Completamente
la
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
Ampliamente
Gestionar
MM08-01 1/3
TEAM_AD
Parcialmente
PROCESO: BAI05
Organizativos
Papel de Trabajo
HECHO POR:
Valor
de
cumplimiento
No est definido un proceso de abastecimiento de TI.
0.00
La organizacin no reconoce la necesidad de contar con

polticas y procedimientos de abastecimiento claros para
asegurar que todos los recursos de TI estn disponibles de
forma oportuna y costo-eficiente.
X
0.00
La organizacin reconoce la necesidad de contar con polticas

y procedimientos documentados que vinculen la adquisicin
de TI con el proceso general de abastecimiento de negocio de
la organizacin.
X
0.00
Se desarrollan y administran contratos para la adquisicin de

los recursos de TI por parte de los administradores de
proyecto y otras personas que emplean su juicio profesional
en lugar de polticas y procedimientos formales.
X
0.00
Existe una relacin ad hoc entre la TI y los procesos de

adquisicin corporativa y de administracin de contratos.
X
0.00
Los contratos de adquisicin se administran al finalizar los

proyectos en lugar de hacerlo de forma continua.
X
Hay conciencia en la organizacin acerca de la necesidad de
contar con polticas y procedimientos para la adquisicin de
TI.
Las polticas y los procedimientos estn parcialmente
integrados con el proceso de abastecimiento general de
negocios de la organizacin.
Los procesos de abastecimiento se emplean mayormente

para proyectos de gran porte y visibilidad.
X
69
0.00
1.00
0.66
0.00
10
Las responsabilidades y la rendicin de cuentas por el

abastecimiento de TI y la administracin de contratos se
determinan por la experiencia individual del administrador del
contrato.
X
11
Se reconoce la importancia de la administracin y el

relacionamiento con los proveedores; sin embargo los mismos
se
atienden
basndose
en
iniciativas
individuales.
70
0.00
1.00
SEGURITAS S.A.
Gerencia de Riesgos
12
13
14
15
16
Los procesos de contratos se utilizan mayormente para

proyectos de gran porte y visibilidad.
La gerencia establece polticas y procedimientos para la
adquisicin de TI.
Las polticas y los procedimientos estn guiados por el
proceso de abastecimiento general de negocios de la
organizacin.
La adquisicin de TI est mayormente integrada con los
sistemas de abastecimiento generales del negocio.
Existen estndares de TI para la adquisicin de recursos de
TI.
17
18
Los proveedores de recursos de TI estn integrados en los

mecanismos de administracin de proyectos de la
organizacin desde una perspectiva de administracin de
contratos.
La gerencia de TI comunica la necesidad de una
administracin de adquisiciones y contratos adecuada en
toda la funcin de TI.
19
La adquisicin de TI est completamente integrada con los

sistemas de abastecimiento generales del negocio.
20
21
22
23
24
25
Los estndares de TI para la adquisicin de recursos de TI

se usan para todos los abastecimientos.
Se toman mediciones relativas a los casos de negocio para
la adquisicin de TI en los contratos y en la administracin
del abastecimiento.
Se encuentra disponible una emisin de informes sobre la
actividad de adquisicin de TI que apoya los objetivos de
negocio.
La gerencia generalmente es consciente de las excepciones
a las polticas y procedimientos para la adquisicin de TI.
Comienza a desarrollarse una administracin estratgica de
relacionamiento.
La gerencia de TI exige el uso del proceso de adquisicin y
administracin de contratos para todas las adquisiciones al
revisar las mediciones de desempeo.
71
Completamente
MM08-01 2/3
TEAM_AD
LIDER T.
Ampliamente
NV No. DECLARACION
Parcialmente
No alcanzado
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
Valor
de
cumplimiento
0.66
X
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
Papel de Trabajo
HECHO POR:
REVISADO POR:
SEGURITAS S.A.
Gerencia de Riesgos
MM08-01 3/3
TEAM_AD
LIDER T.
26
27
28
29
30
31
La gerencia establece recursos de adquisiciones a procesos

exhaustivos para la adquisicin de TI.
La gerencia exige el cumplimiento de las polticas y
procedimientos para la adquisicin de TI.
Se toman mediciones que son relevantes a los casos de
negocio para las adquisiciones de TI en los contratos y en la
administracin del abastecimiento.
Se establecen buenas relaciones con los proveedores y
socios a lo largo del tiempo y la calidad de dichas relaciones
es
medida
y
monitoreada.
Las
relaciones
se administran estratgicamente.
Los estndares, polticas y procedimientos de TI para la
adquisicin de recursos de TI se administran
estratgicamente y responden a las medidas del proceso.
La gerencia de TI comunica la importancia estratgica de una
administracin de adquisiciones y contratos adecuada en
toda la funcin de TI.
TOTAL
NIVEL
72
Completamente
Ampliamente
NV No. DECLARACION
Parcialmente
No alcanzado
FECHA DE INCIO:
FECHA FIN:
Valor
de
cumplimiento
1.00
1.00
1.00
1.00
1.00
X
1.00
DEL
22.32
SEGURITAS S.A.
Gerencia de Riesgos
Introduccin
de
Cambios Qu tanto se ha
alcanzado?
Fecha:
No alcanzado
NV No. DECLARACION
No est definido un proceso de abastecimiento de TI.

X
La organizacin no reconoce la necesidad de contar con
polticas y procedimientos de abastecimiento claros para
asegurar que todos los recursos de TI estn disponibles de
forma oportuna y costo-eficiente.
X
La organizacin reconoce la necesidad de contar con polticas
y procedimientos documentados que vinculen la adquisicin
de TI con el proceso general de abastecimiento de negocio de
la organizacin.
Se desarrollan y administran contratos para la adquisicin de
los recursos de TI por parte de los administradores de
proyecto y otras personas que emplean su juicio profesional
en lugar de polticas y procedimientos formales.
10
Existe una relacin ad hoc entre la TI y los procesos de

adquisicin corporativa y de administracin de contratos.
Los contratos de adquisicin se administran al finalizar los
proyectos en lugar de hacerlo de forma continua.
Hay conciencia en la organizacin acerca de la necesidad de
contar
con
polticas
y
procedimientos para la adquisicin de TI.
Las polticas y los procedimientos estn parcialmente
integrados
con
el
proceso
de abastecimiento general de negocios de la organizacin.
Los procesos de abastecimiento se emplean mayormente
para
proyectos
de
gran
porte y visibilidad.
Las responsabilidades y la rendicin de cuentas por el
abastecimiento de TI y la administracin de contratos se
determinan por la experiencia individual del administrador del
contrato.
11
Se reconoce la importancia de la administracin y el

relacionamiento
con
los
proveedores; sin embargo los mismos se atienden basndose
MM08-02 1/3
TEAM_AD
LIDER T.
73
Completamente
la
Ampliamente
Gestionar
Parcialmente
PROCESO: BAI05
Organizativos
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
Valor
de
cumplimiento
0.00
0.00
0.33
0.33
0.33
0.33
1.00
0.66
0.33
0.33
1.00
en
individuales.
12
iniciativas
Los procesos de contratos se utilizan mayormente para

proyectos
de
gran
porte
y
visibilidad.
74
0.66
LIDER T.
NV No. DECLARACION
La gerencia establece polticas y procedimientos para la
3
13 adquisicin de TI.
Las polticas y los procedimientos estn guiados por el
proceso
de
3
14 abastecimiento general de negocios de la organizacin.
La adquisicin de TI est mayormente integrada con los
sistemas
de
3
15 abastecimiento generales del negocio.
Existen estndares de TI para la adquisicin de recursos de
3
16 TI.
Los proveedores de recursos de TI estn integrados en los
mecanismos
de
administracin de proyectos de la organizacin desde una
perspectiva
de
3
17 administracin de contratos.
La gerencia de TI comunica la necesidad de una
administracin
de
adquisiciones
y
3
18 contratos adecuada en toda la funcin de TI.
La adquisicin de TI est completamente integrada con los
sistemas
de
4
19 abastecimiento generales del negocio.
Los estndares de TI para la adquisicin de recursos de TI
se
usan
para
todos
los
4
20 abastecimientos.
Se toman mediciones relativas a los casos de negocio para
la
adquisicin
de
TI
en
4
21 los contratos y en la administracin del abastecimiento.
Se encuentra disponible una emisin de informes sobre la
actividad
de
4
22 adquisicin de TI que apoya los objetivos de negocio.
La gerencia generalmente es consciente de las excepciones
a
las
polticas
y
4
23 procedimientos para la adquisicin de TI.
Comienza a desarrollarse una administracin estratgica de
4
24 relacionamiento.
La gerencia de TI exige el uso del proceso de adquisicin y
administracin
de
contratos para todas las adquisiciones al revisar las
4
25 mediciones de desempeo.
La gerencia establece recursos de adquisiciones a procesos
exhaustivos
para
la
5
75
Completamente
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
Ampliamente
MM08-02 2/3
TEAM_AD
Parcialmente
Papel de Trabajo
HECHO POR:
No alcanzado
SEGURITAS S.A.
Gerencia de Riesgos
Valor
de
cumplimiento
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
MM08-02 3/3
TEAM_AD
LIDER T.
TOTAL
NIVEL
76
Completamente
Ampliamente
Parcialmente
NV No. DECLARACION
La gerencia exige el cumplimiento de las polticas y
procedimientos
para
la
5
Se toman mediciones que son relevantes a los casos de
negocio
para
las
adquisiciones de TI en los contratos y en la administracin
5
28 del abastecimiento.
Se establecen buenas relaciones con los proveedores y
socios
a
lo
largo
del
tiempo y la calidad de dichas relaciones es medida y
monitoreada.
Las
relaciones
5
29 se administran estratgicamente.
Los estndares, polticas y procedimientos de TI para la
adquisicin
de
recursos
de TI se administran estratgicamente y responden a las
5
30 medidas del proceso.
La gerencia de TI comunica la importancia estratgica de una
administracin
de
5
31 adquisiciones y contratos adecuada en toda la funcin de TI.
No alcanzado
FECHA FIN:
Valor
de
cumplimiento
1.00
1.00
1.00
1.00
X
1.00
DEL
24.30
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
MM09 1/3
TEAM_AD
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
LIDER T.
Evaluacin del proceso de Administracin de Cambios (BAI06).

PROCESO: BAI06 Administracin de cambios
(A)
(B)
( C)
(D)
(E )
(F)
NIVEL
DE SUMA
DE NUMERO
DE VALOR
DE NORMALIZACION
NIVEL
CAPACIDAD VALORES
DEL VECTOR DE CAPACIDAD
CUMPLIMIENTO
(B/C)
CUMPLIMIENTO
(A * E)
(D/ D)
0.00
0.000
0.000
0.000
0.00
0.000
0.000
0.000
0.00
0.000
0.000
0.000
3.00
1.000
0.333
1.000
9.00
1.000
0.333
1.333
5.00
1.000
0.333
1.667
TOTAL
17.00
24.00
3.00
1.000
4.000
DE
80.00%
PRUEBA
NIVEL ACTUAL
FUINCION: Jefatura de Plataforma Tecnolgica
0
0.00
0.000
0.000
0.000
0.00
0.000
0.000
0.000
0.00
0.000
0.000
0.000
3.00
1.000
0.333
1.000
9.00
1.000
0.333
1.333
4.66
0.932
0.311
1.553
77
3.887
TOTAL
16.66
24.00
2.93
78
0.977
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
MM09 2/3
TEAM_AD
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
LIDER T.
77.73%
NIVEL
ACTUAL
PRUEBA
FUINCION: Jefatura de Servicios Tecnolgicos

0
0.33
0.165
0.055
0.000
0.33
0.110
0.037
0.037
0.00
0.000
0.000
0.000
3.00
1.000
0.333
1.000
9.00
1.000
0.333
1.333
5.00
1.000
0.333
1.667
TOTAL
17.66
24.00
3.28
1.092
4.037
80.73%
NIVEL
ACTUAL
PRUEBA
FUINCION: Jefatura de Infraestructura

0
0.00
0.000
0.000
0.000
0.00
0.000
0.000
0.000
0.00
0.000
0.000
0.000
2.32
0.773
0.258
0.773
9.00
1.000
0.333
1.333
4.32
0.864
0.288
1.440
TOTAL
15.64
24.00
2.64
0.879
3.547
70.93%
NIVEL
ACTUAL
PRUEBA

0
0.33
0.165
0.014
0.000
0.33
0.110
0.009
0.009
0.00
0.000
0.000
0.000
11.32
3.773
0.319
0.956
36.00
4.000
0.338
1.351
18.98
3.796
0.320
1.602
TOTAL
66.96
24.00
11.84
1.000
3.918
79
PRUEBA
66.96
78.37%
NIVEL
ACTUAL
24.00
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
SEGURITAS S.A.
Gerencia de Riesgos
MM09 3/3
TEAM_AD
LIDER T.
CONCLUSIN:
80
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
MM09-01 1/2
TEAM_AD
LIDER T.
NV No. DECLARACION
10
No hay un proceso definido de administracin de cambios y se

pueden hacer cambios prcticamente sin control alguno.
No hay conciencia de que los cambios pueden causar
interrupciones tanto para la TI como para las operaciones de
negocios, y ninguna conciencia de los beneficios
de una buena administracin de cambios.
Se reconoce que los cambios deben ser administrados y
controlados. Las prcticas varan y es probable que ocurran
cambios no autorizados.
Hay documentacin insuficiente o inexistente de cambios, y la
documentacin de configuracin est incompleta y no es
confiable.
Es probable que ocurran errores junto con interrupciones en el
entorno de produccin causados por una administracin
deficiente del cambio.
Est establecido un proceso informal de administracin de
cambios y la mayora de los cambios siguen este mtodo; sin
embargo,
el
mismo
no
est
estructurado
y
es rudimentario y propenso a errores.
La precisin de la documentacin de configuracin es desigual
y solo tiene lugar una planificacin y un estudio de impacto
limitados antes de realizar un cambio.
Est establecido un proceso formal de administracin de
cambios, que incluye procedimientos de categorizacin,
priorizacin, procedimientos de emergencia, autorizacin y
administracin de cambios, y su cumplimiento est
emergiendo
Ocurren trabajos paralelos y los procesos son desviados. Es
probable que ocurran errores y los cambios no autorizados
ocurrirn ocasionalmente.
El anlisis de impacto a los cambios de TI sobre las
operaciones de negocio se estn volviendo formales para
apoyar la ejecucin de los planes para nuevas
aplicaciones y tecnologas.
81
Completamente
Fecha:
Ampliamente
Funcin: Direccin de Tecnologa
Parcialmente
Qu tanto se ha
alcanzado?
No alcanzado
PROCESO: BAI06 Gestionar los Cambios
Valor
de
cumplimiento
0.00
0.00
0.00
0.00
0.00
0.00
0.00
1.00
1.00
1.00
Todos los cambios estn sujetos a una planificacin y estudio

de impacto exhaustivos para minimizar la probabilidad de
problemas posteriores a la produccin.
Est establecido un proceso de aprobacin para los cambios.
4
4
13
14
4
4
15
16
17
La documentacin de administracin de cambios est al da

y es correcta, y los cambios son seguidos formalmente.
La documentacin de configuracin generalmente es precisa.
La planificacin e implementacin de la administracin de
cambios de TI se est integrando ms con cambios en los
procesos de negocios, para asegurar que se atienden los
problemas de capacitacin, cambios organizativos y
continuidad de negocio.
18
Hay mayor coordinacin entre la administracin de cambios

de TI y el rediseo de proceso de negocios.
19
5
5
20
21
22
23
24
Existe un proceso coherente para monitorear la calidad y el

desempeo del proceso de administracin de cambios.
El proceso de administracin de cambios es revisado y
actualizado regularmente para mantenerse en lnea con las
mejores prcticas.
El proceso de revisin refleja los resultados del monitoreo.
La informacin de configuracin est automatizada y provee
control de versiones.
El seguimiento de cambios es sofisticado e incluye
herramientas para detectar software sin licencia o
autorizacin.
La administracin de cambios de TI est integrada con la
administracin de cambios del negocio para asegurar que la
TI sea un posibilitador para aumentar la productividad y crear
nuevas oportunidades de negocios para la organizacin.
82
LIDER T.
Completamente
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
Ampliamente
MM09-01 2/2
TEAM_AD
Parcialmente
NV No. DECLARACION
El proceso de administracin de cambios est bien
desarrollado y es seguido de manera coherente para todos
los cambios, y la gerencia tiene certeza de que
4
11 apenas hay excepciones.
El proceso es eficiente y efectivo, pero se basa
considerablemente en procedimientos y controles manuales
4
12 para asegurar que se logre la calidad.
Papel de Trabajo
HECHO POR:
No alcanzado
SEGURITAS S.A.
Gerencia de Riesgos
Valor
de
cumplimiento
1.00
1.00
X
X
1.00
1.00
X
X
1.00
1.00
1.00
1.00
1.00
X
X
1.00
1.00
1.00
1.00
1.00
TOTAL
NIVEL
83
DEL
17.00
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
MM09-02 1/2
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
TEAM_AD
LIDER T.
NV No. DECLARACION
10

confiable.
embargo,
el
mismo
no
est
estructurado
y
es rudimentario y propenso a errores.
emergiendo
operaciones de negocio se est volviendo formales para
84
Completamente
Fecha:
Ampliamente
Parcialmente
Qu tanto se ha
alcanzado?
No alcanzado
Valor
de
cumplimiento
0.00
0.00
0.00
0.00
0.00
0.00
0.00
1.00
1.00
1.00
11

desarrollado y es seguido de manera coherente para todos los
cambios, y la gerencia tiene certeza de que apenas hay
excepciones.
85
1.00
13

14
15
16
17

La documentacin de configuracin generalmente es
precisa.
18

19
20
21
22
23
24

mejores prcticas.
autorizacin.
TOTAL
NIVEL
86
Completamente
Ampliamente
NV No. DECLARACION
4
Parcialmente
SEGURITAS S.A.
Gerencia de Riesgos
No alcanzado
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
MM09-02 2/2
TEAM_AD
LIDER T.
Valor
de
cumplimiento
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
0.66
X
1.00
DEL
16.66
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
MM09-03 1/2
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
TEAM_AD
LIDER T.
NV No. DECLARACION
10

confiable.
embargo, el mismo no est estructurado y es rudimentario y
propenso a errores.
emergiendo
87
Completamente
Fecha:
Ampliamente
Parcialmente
Qu tanto se ha
alcanzado?
No alcanzado
Valor
de
cumplimiento
0.00
0.33
0.33
0.00
0.00
0.00
0.00
1.00
1.00
1.00
11

excepciones.
88
1.00
SEGURITAS S.A.
Gerencia de Riesgos
Todos los cambios estn sujetos a una planificacin y

estudio de impacto exhaustivos para minimizar la
probabilidad de problemas posteriores a la produccin.
Est establecido un proceso de aprobacin para los
cambios.
13
14
15
16
17

La documentacin de configuracin generalmente es
precisa.
18

4
4
19
5
5
20
21
22
23
24

mejores prcticas.
autorizacin.
administracin de cambios del negocio para asegurar que
la TI sea un posibilitador para aumentar la productividad y
crear nuevas oportunidades de negocios para la
organizacin.
89
Completamente
Ampliamente
Parcialmente
NV No. DECLARACION
4
No alcanzado
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
MM09-03 2/2
TEAM_AD
LIDER T.
Valor
de
cumplimiento
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
X
X
1.00
1.00
1.00
1.00
X
TOTAL DEL NIVEL
1.00
17.66
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
MM09-04 1/2
TEAM_AD
LIDER T.
NV No. DECLARACION

confiable.
embargo, el mismo no est estructurado y es rudimentario y
propenso a errores.
emergiendo
10

90
Completamente
Fecha:
Ampliamente
Parcialmente
Qu tanto se ha
alcanzado?
No alcanzado
Valor
de
cumplimiento
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.66
0.66
1.00
apoyar la ejecucin de
11
los
planes
para
nuevas

excepciones.
91
1.00
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
MM09-04 2/2
TEAM_AD
LIDER T.

4
4
13
14
4
4
15
16
17

La documentacin de configuracin generalmente es precisa.
18

19
5
5
20
21
22
23
24

mejores prcticas.
autorizacin.
92
Completamente
Ampliamente
Parcialmente
NV No. DECLARACION
4
No alcanzado
FECHA FIN:
Valor
de
cumplimiento
1.00
X
X
1.00
1.00
X
X
1.00
1.00
1.00
1.00
1.00
X
X
1.00
1.00
1.00
0.66
X
0.66
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
MM10 1/2
TEAM_AD
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
LIDER T.
Evaluacin del proceso de Gestionar la Aceptacin del Cambio y de la Transicin (BAI07)

PROCESO: BAI07 Gestionar la Aceptacin del Cambio y de la Transicin
(A)
(B)
( C)
(D)
(E )
(F)
NIVEL
DE SUMA
DE NUMERO
DE VALOR
DE NORMALIZACION
NIVEL
CAPACIDAD VALORES
DEL VECTOR DE CAPACIDAD
CUMPLIMIENTO
(B/C)
CUMPLIMIENTO
(A * E)
(D/ D)
0.00
0.000
0.000
0.000
1.00
0.333
0.103
0.103
1.00
0.333
0.103
0.205
3.00
0.750
0.231
0.693
5.32
0.887
0.273
1.092
5.66
0.943
0.291
1.453
TOTAL
15.98
23.00
3.25
1.000
3.546
DE
70.92%
PRUEBA
NIVEL ACTUAL
0
0.00
0.000
0.000
0.000
1.00
0.333
0.103
0.103
1.00
0.333
0.103
0.205
3.00
0.750
0.231
0.693
5.32
0.887
0.273
1.092
5.66
0.943
0.291
1.453
TOTAL
15.98
23.00
3.25
1.000
3.546
93
PRUEBA
15.98
70.92%
23.00
NIVEL ACTUAL
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
CONCLUSIN:
MM10 2/2
TEAM_AD
LIDER T.

94
SEGURITAS S.A.
Gerencia de Riesgos
Papel de Trabajo
HECHO POR:
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
MM10-01 1/2
TEAM_AD
LIDER T.
PROCESO: Al7 Gestionar la Aceptacin del Cambio y de la Qu tanto se ha

Transicin
alcanzado?
2
2
6
7
10
11
Hay una total falta de procesos formales de instalacin o

acreditacin y ni la alta gerencia o el personal de TI reconocen
la
necesidad
de
verificar
que
las
soluciones
sean adecuadas para el propsito que se pretende.
Hay conciencia de la necesidad de verificar y confirmar que
las soluciones implementadas sirven para el propsito que se
pretende.
Se realizan pruebas para algunos proyectos, pero la iniciativa
de realizar pruebas es dejada en manos de los equipos
individuales
de
proyecto
y
los
enfoques
emprendidos varan.
La acreditacin y autorizacin formal es poco frecuente o no
existe en absoluto.
Hay alguna coherencia entre las pruebas y los enfoques de
acreditacin, pero tpicamente los mismos no se basan en
ninguna metodologa.
Los equipos de desarrollo individual normalmente deciden el
mtodo de prueba y hay por lo general ausencia de pruebas
de integracin.
Hay un proceso informal de aprobacin.
Completamente
Valor
de
cumplimiento
0.00
1.00
0.00
0.00
0.00
Est establecida una metodologa formal relativa a la

instalacin, migracin, conversin y aceptacin.
Los procesos de instalacin y acreditacin de TI estn
integrados en el ciclo de vida del sistema y estn
automatizados en cierta medida.
Es probable que la capacitacin, prueba y transicin al estado
de produccin as como la acreditacin varen en relacin al
proceso definido, basndose en decisiones puntuales.
La calidad de los sistemas que entran en produccin es
desigual, con nuevos sistemas que a menudo generan un
nivel significativo de problemas posteriores a la
implementacin.
X
95
Ampliamente
NV No. DECLARACION
Parcialmente
Fecha:
No alcanzado
Funcin: Gerencia de Seguridad
0.00
1.00
1.00
1.00
1.00
0.00
12
Los procedimientos son formalizados y desarrollados para que

estn bien organizados y sean prcticos, con entornos de
prueba y procedimientos de acreditacin definidos. En la
prctica, todos los grandes cambios a los sistemas
siguen este mtodo formal.
96
1.00
18
19
20
21
22
23
LIDER T.
Los procesos de instalacin y acreditacin han sido refinados

hasta el nivel de la mejor prctica, basados en los resultados
del mejoramiento y refinamiento continuo.
Los procesos de instalacin y acreditacin de TI estn
totalmente integrados en el ciclo de vida del sistema y
automatizados donde es conveniente, facilitando la
capacitacin, prueba y transicin al estado de produccin de
nuevos sistemas de forma ms eficiente.
Los entornos de prueba bien desarrollados, los registros de
problemas y los procesos de resolucin e fallas aseguran una
transicin eficiente y efectiva al entorno de produccin.
La acreditacin tiene lugar por lo general sin
reprocesamiento y los problemas posteriores a la
implementacin estn por lo general limitados a correcciones
menores.
Las revisiones posteriores a la implementacin estn
tambin estandarizadas, con lecciones aprendidas
canalizadas nuevamente al proceso para asegurar una
mejora continua de la calidad.
Las pruebas de estrs para los sistemas nuevos y las
pruebas de regresin para los sistemas existentes se aplican
por igual.
TOTAL
NIVEL
97
Completamente
REVISADO POR:
FECHA DE INCIO:
FECHA FIN:
Ampliamente
MM10-01 2/2
TEAM_AD
Parcialmente
NV No. DECLARACION
La evaluacin de la satisfaccin de los requerimientos de
usuario est estandarizada y se puede medir, produciendo
mtricas que pueden ser revisadas y analizadas
4
13 efectivamente por la gerencia.
La calidad de los sistemas que entran en produccin es
satisfactoria para la gerencia, con niveles razonables de
4
14 problemas posteriores a la implementacin.
La automatizacin del proceso es ad hoc y depende del
proyecto. La gerencia puede estar satisfecha con el nivel
actual de eficiencia a pesar de la falta de evaluaciones
4
15 posteriores a la implementacin.
4
16 El sistema de pruebas refleja adecuadamente el entorno real.
Las pruebas de estrs para los sistemas nuevos y las
pruebas de regresin para los sistemas existentes se aplican
4
17 para los proyectos de gran porte.
Papel de Trabajo
HECHO POR:
No alcanzado
SEGURITAS S.A.
Gerencia de Riesgos
Valor
de
cumplimiento
1.00
1.00
X
X
1.00
0.66
0.66
0.66
1.00
1.00
1.00
1.00
X
1.00
DEL
15.98
Informe de la evaluacin de los controles

SEGURITAS S.A.
Gerencia de Riesgos
Para:
De:
Asunto:
Consejo de Administracin
Gerencia de Riesgos
Evaluacin de controles en los procesos de Adquisicin
Implementacin de Tecnologa Informtica
Fecha:
**/**/2015
C.C.: Gerencia General / Direccin de Informtica
Objetivo:
El presente informe tiene como fin, presentar los resultados obtenidos en las pruebas
de nivel de capacidad de los controles informticos aplicados en la adquisicin e
implementacin de tecnologa informtica y soporta la decisin de la administracin de
invertir en este rubro posteriormente.
Alcance:
La evaluacin fue aplicada a las actividades de la direccin de informtica realizadas
durante un periodo de cuatro meses aproximado, tomando como base los Objetivos
de Control de Informacin y Tecnologa Relacionada (COBIT, por sus siglas en ingls),
desde el punto de vista de los procesos incluidos en el dominio de Adquirir e
Implementar (AI).
98
Resultados por Proceso:

Gestionar
los Se determin que en la direccin de
Programas y Proyectos informtica se administran los controles
(BAI01).
sobre este proceso de forma Definida,
mostrando un nivel 3.306 de capacidad y
un 66.12% de confiabilidad en los
objetivos de control informtico.
Gestionar la Definicin Se determin que en la direccin de
de Requisitos (BAI02).
informtica se administran los controles
Adquirir e implementar Se determin que en la direccin de
infraestructura
tecnolgica (BAI03).
mostrando un nivel 3.65 de capacidad y un
73% de confiabilidad en los objetivos de
control informtico.
Facilitar la ejecucin y Se determin que en la direccin de
el uso (BAI04).
sobre este proceso de forma Repetible
pero Intuitivo, mostrando un nivel 2.694
de capacidad y un 53.89% de confiabilidad
en los objetivos de control informtico.
Gestionar
la
Introduccin
de
Cambios Organizativos
(BAI05).
Administracin
cambios (BAI06).
Se determin que en la direccin de

de Se determin que en la direccin de
99
Gestionar la Aceptacin Se determin que en la direccin de

del Cambio y de la informtica se administran los controles
Transicin (BAI07).
100
Conclusiones Generales:
De acuerdo al modelo de capacidad establecido por COBT, especficamente en

el dominio de Adquirir e Implementar Tecnologa Informtica, se obtuvo como
resultado que, la direccin de informtica de la empresa se encuentra en los
niveles 2-Repetible pero intuitivo y 3-Definido, de una escala mxima de 5, lo
cual demuestra el cumplimiento de los objetivos de control de informacin y
tecnologa relacionada entre un 50% y 70%.
Para llevar a cabo la estrategia de la empresa, las soluciones de la direccin de

informtica necesitan ser identificadas, desarrolladas o adquiridas as como
implementadas e integradas en los procesos del negocio. De tal forma que se
cubran los cambios y el mantenimiento de los sistemas existentes, en aras de
garantizar que las soluciones sigan satisfaciendo los objetivos del negocio.
101

Auditoría de sistemas UMG

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Auditoría de sistemas UMG

Enviado por

Direitos autorais:

Formatos disponíveis

Universidad Mariano Glvez de Guatemala

Ing. Crecencio Chang

Proyecto de Auditoria de sistemas

Planteamiento del problema

La incorrecta evaluacin de controles para la adquisicin y mantenimiento de

Cules son las consecuencias de la incorrecta evaluacin de los controles para la

Gobierno de Tecnologa de la informacin:

El ncleo de Tecnologa de la informacin consta de dos responsabilidades

Objetivos de Control para Informacin y Tecnologa Relacionada (COBIT)

cada actividad individual de control satisface los requerimientos de informacin e

Determinar el impacto sobre una empresa debido al adecuado manejo de los

Mtodos y tcnicas a utilizar:

Indagatoria: al momento de efectuar la investigacin documental

Demostrativa: cuando se demuestre que los datos recopilados

Expositiva: se efectuar cuando la investigacin quede plasmada

Razones para utilizarlo

Un Objetivo de Control, es una definicin del resultado o propsito que se desea

cuestiones de control de TI dentro de la infraestructura de una institucin y a corroborar

Procesos del dominio Construir, Adquirir e Implementar:

Mtodo de determinacin del nivel de capacidad

Desarrollo del Caso Prctico

Contenido del Caso Prctico

Papeles de trabajo del caso prctico

CARTA DE NOTIFICACIN DE LA REALIZACIN DE LA EVALUACIN DEL CONTROL

Al final de la evaluacin se determinar el de nivel capacidad con que cuentan los

NOMBRAMIENTO PARA REALIZAR LA EVALUACIN DEL CONTROL

BAI01 Gestionar los Programas y Proyectos

BAI05 Gestionar la Introduccin de Cambios Organizativos

El tiempo asignado para esta actividad es de 15 das.

PROGRAMA DE AUDITORA INTERNA PARA LA EVALUACIN DEL CONTROL

Cuestionarios elaborados en base a las declaraciones de los niveles de

Transferencia de conocimiento a los

Se elaborara un informe describiendo los procesos incluidos en el dominio de COBIT

Mejoramiento y fortalecimiento del entorno de control de esa unidad administrativa,

Evaluacin del proceso de Gestionar los Programas y Proyectos (BAI01)

PROCESO: BAI01 Gestionar los Programas y Proyectos

FUNCION: Consolidacin de resultados

Funcin: Direccin del Departamento

PROCESO: BAI01 l Gestionar los Programas y Proyectos

La organizacin no requiere la identificacin de requerimientos

Hay conciencia de la necesidad de definir requerimientos y de

Las soluciones son identificadas por persona basadas en una

Hay algunos enfoques intuitivos para identificar las soluciones

Las soluciones son identificadas de manera informal sobre la

El mtodo para la determinacin de soluciones de TI requiere

La documentacin de proyectos es de buena calidad y

La organizacin puede a menudo identificar nuevas

La organizacin no requiere la identificacin de requerimientos

Se emplean enfoques sin estructura para definir los

Funcin: Jefatura de Servicios Tecnolgicos

PROCESO: BAI01 Gestionar los Programas y Proyectos

El mtodo para la determinacin de soluciones de TI requiere

Funcin: Jefatura de Servicios Tecnolgicos

TOTAL DEL NIVEL

La organizacin no requiere la identificacin de requerimientos

Se emplean enfoques sin estructura para definir los

Funcin: Jefatura de Plataforma Tecnolgica

PROCESO: BAI01 Gestionar los Programas y Proyectos

El mtodo para la determinacin de soluciones de TI requiere

La documentacin de proyectos es de buena calidad y cada

Evaluacin del proceso de Gestionar la Definicin de Requisitos (BAI02)

PROCESO: BAI02 Gestionar la Definicin de Requisitos

FUNCION: Consolidacin de resultados